金管會啟動「責任地圖」防弊

形塑銀行誠信文化 建置責任基礎

去年底公布了一老字號商業銀行客戶資料外洩案的查核結果，該銀行所涉及的缺失，被依照違反《銀行法》第129條第7款規定裁處1,000萬元罰鍰。金管會表示，陸續接獲匿名民眾反映該行資訊安全問題，後續查核結果，該商銀有未完善建立及未確實執行內部控制制度的情形，導致1.4萬名客戶資料外洩，且未能保有相關軌跡。

今年初，一國內知名銀行分行發生理專不當挪用客戶款項，經銀行追查發現涉案理專在6年內利用客戶信任取得網銀密碼，並以避稅為由，請客戶設定其他客戶或該名理專關係戶的帳號為約定帳號，再使用網銀將客戶外幣資金轉出補貼其他客戶，涉及金額高達4,700萬元左右。金管會重罰後，銀行主動處理並廣泛清查可能受影響的客戶，也解雇涉案員工，對內部作業流程深入檢討，積極強化管控措施等云云。

缺失頻傳 誰該扛責？

問題是，兩家銀行的資安缺失和理專A錢所涉及的「內部控制未完善建立」及「未確實執行內部控制或作業流程」，其直屬長官總行資安長和理財部門的最高階主管是否要負責任？資安缺失和理專A錢屬於哪一部門的業務決策範圍？董事會及問責委員會如何判斷由哪一位高階管理人員承擔責任？

為了促進銀行業形塑誠信經營文化，建置以責任為基礎的公司治理架構，金管會於2022年3月陸續發布「資本市場藍圖」、「公司治理3.0永續發展藍圖」等，同時發布「證券期貨業永續發展轉型執行策略」，在策略推動項目方面，「架構一：健全證券期貨業永續發展治理架構」的策略3部分：落實董事會及經營管理階層問責制度；具體推動措施方面有「強化證券期貨業負責人資安防護、公平待客及法令遵循等問責制度」，包括1.針對當前重大議題，包括資安防護、公平待客及法令遵循等事項，涉及證券期貨業各部門業務，證券期貨業須指定人員及部門統籌並協調聯繫各有關部門。2.為確保董事會落實問責機制，發揮董事會職能，除消極資格以外，證券商及期貨商之董事長應具備一定積極資格條件。3.董事會應確保權責劃分及分層負責，高階經營管理階層應督導各業務部門執行。4.董事會應評估整體執行成效，並列入業務部門及人員之績效考核。」讓董事會及經營管理層的問責制度正式浮上檯面，成為銀行業高層最關心的議題。

自律規範參考英、星、港與澳洲

中華民國銀行商業同業公會（簡稱「銀行公會」）復於今年1月研擬「銀行業導入責任地圖制度的自律規範」（簡稱「自律規範」），報請金管會同意備查，銀行業應參照前開自律規範訂定內部作業規範，建立責任地圖制度，並列為銀行內部查核項目，以強化內部控制制度，所有銀行最晚都應於2024年12月31日前完成相關作業，並將自2025年1月1日起實施。

而銀行公會所訂定的「自律規範」主要是參考英國的「資深經理人問責制度」、新加坡、香港及澳洲等國相關制度而來，英國問責制度乃由負責監管金融機構業務行為的金融行為監理總署（Financial Conduct Authority, FCA）所制定，目的在幫助金融企業與監理機構清楚地了解公司組織、聯繫窗口，金融企業應有一完整周全且即時的責任地圖，當金融機構發生不當行為時就可以進行問責。

英國國會於2016年促使金融行為監理總署與審慎監理署（Prudential Regulation Authority, PRA）制定「高階管理人員及認證制度」（Senior Managers and Certification Regime, SM&CR），適用於銀行與信用等金融機構，到2020年則適用於所有FCA所監理的企業。

而SM&CR主要由高階管理人員制度（Senior Managers Regime, SMR）、認證制度（Certification Regime）以及行為準則（Conduct Rules）等三大架構所組成，要求金融機構從業人員以誠信從事工作、以適當專業技能謹慎勤勉從事工作、與主管機關密切配合、注意客戶利益與公平待客、遵守市場的行為準則，並期待承擔法定職責的人員，應為該領域的最高階經理人、具備可信度，具有足夠的資源與權力，能夠有效地行使監管與監督權力，同時訂有高階管理人員的職責劃分、責任聲明以及行為準則、適任性、移交程序、認證制度、責任分配等配套規範。

我國銀行公會的自律規範共計有14條條文，其主要內涵包括以下幾點：

自律規範適用對象

自律規範所適用的對象為「高階管理人員」，係指負責銀行所分配關鍵職責並就有關業務或管理活動具有決策權的人員，包括且不限於總經理、副總經理、總行各部門主管（例如總稽核、資安部主管等）。比較特別的是，自律規範將「董事長」也納入適用對象，實則董事長是股東會、董事會主席，對外代表公司，應該以身作則負起重大決策的權責，許多銀行董事長也多半是專業經理人，對銀行營運管理負有關鍵責任，納入可避免「罰主管、不罰董事長」；至於是否包括各銀行國內、外營業單位主則授權各銀行自行決定。

「總體責任」、「責任地圖」、「責任聲明書」定義

「總體責任」係指「高階管理人員」本身所負責的主要業務內容及對應應該要承擔的責任，並對於所負的責任有決策權，各銀行得依據實際業務和管理內涵進行調整。

「責任地圖」則指紀錄銀行管理與治理架構之整體樣貌，其包括高階管理人員的權責分配及各自的呈報對象，以確保銀行主要業務與管理活動都確實分配給適當的高階管理人員。

「責任聲明書」：係載明高階管理人員的基本資料及其負責的業務範圍與承擔的責任，並由高階管理人員確認其權責範圍後簽署之。而「責任聲明書」包括個人資料、職能與職責、同意聲明3項明確資訊。

依照定責、當責、問責、究責階段辦理

銀行導入責任地圖時，應依照定責、當責、問責、究責等階段辦理。當銀行業務或管理發生「重大違失」時，應啟動問責程序，並對事件根本原因進行完整分析，以了解該事件可能存在的缺失行為判斷是屬於「作業未遵循規範」或者是「內部控制制度失靈」所致，並輔以責任地圖了解相關缺失所對應的問責對象。

啟動四大問責程序

自律規範並沒有明確定義銀行啟動問責程序之「重大違失」的標準，各銀行可以根據本身需要與實際情況規範「重大違失」涵蓋：1.屬於主管機關的重大裁罰案件；2.主管機關來函要求調查；3.銀行透過吹哨者機制接獲舉報；4.內部稽核缺失等方式發現有重大違反法令之疑慮時，各銀行依其業務性質、組織規模及架構等，自行制定判斷「重大違失」之質化與量化指標（如重大偶發事件），例如：違反規範的情節嚴重程度、主管機關裁罰金額、所影響的客戶人數、所造成對客戶財產或權益受損程度等來決定。

評估問責對象是否盡責

銀行於評估被問責對象是否已克盡其督導或管理之責，可綜合衡量依根本原因分析該對象的關聯部分，就其督導或管理權責對應的內外規範確認是否於內部控制機制設計或執行上有重大違失（例如：事件重複發生而顯見規範機制設計失靈）、違失事件之重大性等，也可基於銀行與高階管理人員之契約關係，衡酌其有無注意義務之違反，或是否可舉證其已盡督導或管理之責，由最後適當權責之人員或委員會綜合衡量之。

如前開銀行發生重大資安或理專舞弊案件，應依據銀行本身之調查機制，對於事件根本原因進行完整分析，以了解違失事件的發生原因及相關涉案人員，並判斷是否屬於銀行所認定之「重大違失」，如符合其條件者，則依據銀行的問責制度辦理，其他洗錢防制打擊資恐或風險控管違失也是如此。

最後，銀行透過責任地圖記錄銀行的管理與治理架構，故責任地圖應包括公司治理架構圖、權責分配表及內部呈報流程圖，並輔以責任聲明書以示同意承擔責任與範疇，這是目前許多銀行尚有欠缺、不足的部分，須趕緊補強責任地圖所必備的程序、條件與文件，釐清高階管理人員的本身職責與範疇，以免責任不明確，並有利於主管機關了解銀行整體的權責分配，建構一合理、有效能的究責制度，而公司治理架構圖係最上層的管理架構，也是責任地圖制度的核心，實務上銀行得以董事會及委員會組織圖作為公司治理架構圖，並由董事會來督導責任地圖制度的有效執行，確認當責的高階管理人員責任，再由問責委員會釐清責任歸屬。（本文作者為中華獨立董事協會理事長）