銀行法令遵循、法務、風險管理、內稽內控等制度入門簡介

Share on facebook
Share on linkedin
Share on google
Share on twitter

我的專書《洗錢防制法:銀行業實務挑戰》出版已經屆滿一年,這一年間我一直都在台灣的AML/CFT領域中打滾,也參與了非常多金融業中高階層的洗錢政策與策略制定;然而回過頭來,我發現我們在面對一般大眾或有志於此業的初階從業人員的認知教育訓練還是相當不足。甚至我在接觸已經相當有專業的先進時,還是經常被問: 反洗錢 / 反詐欺 / 內稽內控 / 法務 / 法令遵循(合規) / 風險管理 / 資訊安全…等等的內涵在金融業怎麼區分? 這讓我恍然大悟,因為的確,我初入社會時,也經常對這些內涵有所混淆,只是當在業界時間久了,自然而然體會領悟後就視為理所應當了。也因為如此,我認為有必要針對這個主題做一點「科普」式的解析,針對幾個經常容易混淆的功能先做一對一比較與解構。希望也能算是個入門教材。

首先從簡單的、也最容易被混淆的開始。

反洗錢 v.s. 反詐欺

資安、反洗錢、反詐欺看起相當類似,也似乎「做法」上是一致的:都是「防止」某些「壞事」發生。實際上也是如此,的確這些「防止」、「反制」的功能都存在於銀行中,只是可能被反制的客體不同而已。例如,洗錢很明確就是要遏止犯罪的金流;而詐欺則是要杜絕詐欺的行為。那麼如果詐欺身為一個犯罪,所產生的金流怎麼辦呢?沒錯,因為洗錢有所謂「前置犯罪」的概念,所以詐欺的金流也有可能是反洗錢的目標之一。

覺得上段文字很像繞口令,沒問題!舉個例子來說:我們經常碰到的狀況是在比較冷門的國家旅遊刷信用卡時,有時候會被偵測異常並鎖卡,此時可能理專會立刻打越洋電話來確認交易,那麼這便是反詐欺的工作範圍了,因為銀行自有一套偵測異常行為的機制,當判斷你的海外刷卡很可能是被盜用時,就會啟動反詐欺的機制。

如果不幸,信用卡真被盜刷而你我都渾然不知,那麼詐欺的「犯罪」就會發生;假使此時詐騙集團車手去領回犯罪所得,那麼銀行也有責任遏止這個犯罪金流的處理,那麼此時就是「反洗錢」的範疇了。

總之,同樣是「防止」某些「壞事」,反詐欺管的是壞事行為本身、而反洗錢則是在意犯罪金流的處理。

反洗錢/反詐欺 v.s. 資訊安全

有了上一個對比的釐清,再來看資安的問題就會清晰一些了。資訊安全最近重新被重視就是因為一銀盜領案。一銀盜領其中一個主因就是ATM主機被駭,造成大量異常吐鈔,所以這也看似一個需要被防止的「壞事」,所以其內涵當然經常與反洗錢、反欺詐混淆。不過從「被駭」此事本身就能夠看出來,資安的焦點領域會放在資訊系統,因為資訊系統的特性而衍生的種種問題才會是主題。

簡單來說,一筆交易可能透過資訊系統完成,也可能透過紙本處理;而若這樣的交易背後事涉犯罪(無論哪種,當然可能是詐欺),那麼就會是反洗錢部門的關注焦點,與是不是透過資訊系統沒有太大關係。另外一面來說,如果正因為資訊系統的漏洞造成歹徒有機可乘,那麼解決這個漏洞來防止憾事再發生便是資安的關注領域。

法務 v.s. 法令遵循(合規)

下一個主題則是稍微跳脫「被防止的壞事」,純粹從功能性來討論這二個經常被混淆的銀行部門。其實不說業外人士,即使是銀行業的從業人員也經常看不懂這二者的差別。主因當然是「法」這個字。由於看起來都是與「法律」或「規範」相關,所以是否就代表工作內容相同呢?

這題的回答經常有點微妙,但我倒覺得用一般我們關於健康的看法來解說或許會好理解一些:「法律事務(法務)」是去醫院看醫生、而「法令遵循(合規)」則是飲食習慣與規律運動。到醫院看醫生本質可能與日常保養無關,反而會是把醫院當成諮詢性質,用來積極解決眼前的問題;而為了健康,飲食習慣或規律運動都是平常的「練兵」,所以法令遵循(合規)就是為了確保健康有被良善管理而進行的活動。

法務專責法律事務,而由於現代商業社會也是法治社會,一家公司在對外時經常會有法律上的專業需要處理,小則比方合約的條款對公司利益的影響、或信用卡申請書哪句條款造成法律疑慮等;大則會有訴訟,需要針對涉及法律相關的事務對外解決,這就是法務的專業。

至於法令遵循的原文是「Compliance」,另一種翻譯是「合規」,所以用「符合規範」來理解就會好一些了。由於金融業是高度受整府監理的特許行業,所以規範多如牛毛,也因為如此,遵循部門才應運而生,絕大多數的時候都扮演著對內確保「防禦」有效的角色,幫忙大家看守制度,確認公司的日常運作沒有違反各式各樣的內規外規。

法令遵循(合規) v.s. 風險管理

延伸到這個主題就經常莫衷一是了,因為很多觀點會認為風險管理與法令遵循是八竿子打不著關係的獨立功能;而又有另一派認為這是一體的兩面。會有這樣的想法很正常,也稍微碰觸到了金融業(尤其是銀行)的經營本質。

任何營利事業都是將本求利,銀行也不例外,只示銀行的成本大多來自「風險」,所以我們在銀行說「風險管理」其實和在製造業說「成本管理」內涵是一樣的。只是風險與成本的本質會有不同。

主要差異會是在一般製造業的成本大致可以預測,而銀行的風險的來源則有很大一部分來自「不確定性」。所以如果說製造業的成本關心「期望值」的控制,則銀行業的成本則是關心「變異數」的控管。

對銀行業來說風險很多,不過經過歷史的演進,有為者大概已經歸納出幾個大項目,並且有制度化的管理模式(巴賽爾協定的資本適足率控管;非本文主題,有興趣者請按此):流動性風險關心資金管理的變現問題、市場風險關心投資部位的上沖下洗、信用風險關心銀行會被倒帳到甚麼程度、最後作業風險則關心營運上的失誤與非預期損失。

既然說這是已經發展成熟的制度,那麼當然就會有「規範」或「法令」的成分在。事實上,資本適足率的控管方式也理所當然是主管機關法令所明定的。所以,符合風險管理的法令當然也是金融業法令遵循需要關心的構面。

內稽內控 v.s. 法令遵循/風險管理

再區分了「控管風險」和「遵循法令」後,下一個也著重「控制」的工作內容就可以稍加釐清了。一般上市櫃公司都會有個直屬董事會的稽核部門,銀行也不例外;甚至銀行會更加強調所謂「三道防線」的觀念:第一道防線是直接接觸風險發生的前台、第二道是防止「壞事」發生所相應的政策/規範制定、第三道則是內部稽核。

這樣的差異就可以很清楚看到,法令遵循或風險管理用意是在制定出好的規章制度或作業流程來「標準化」管理,那麼內部稽核的功能就會是獨立檢視該些「標準」是否有被良好履行了。

所以說上文所談風險管理、反洗錢、法令遵循都是一個普通的公司部門,唯獨內稽會被拉高層級到隸屬董事會。其立論背景就是,其實內部稽核是資本市場董事會履行股東交付的「公司治理」任務之一,已經不太像是普通的公司經營範疇了。

 

總而言之從上到下的層次大概是這樣的:

  • 一家良善治理的公司,必須要符合三道防線的架構,而內稽內控就是最後的守門員。
  • 往下在經營層面必須有良好的規章制度,這必須由法令遵循或風險管理部門負責。
  • 對銀行而言,風險是重要的成本來源,所以會有精密的風險管理制度。
  • 對銀行而言,經營環境是高度受監管的,所以會有精密的法令遵循制度。
  • 何種「壞事」被關注則非常多元,可能是關心犯罪金流的反洗錢、可能是確保資訊系統不被錯用的資訊安全、也可能是關心交易偽冒的防詐欺。
  • 若「關注壞事」需要合規的手法,那麼法遵部門可以發揮功能;若需要風險管理的手法,則風管必須關注(例如反洗錢強調的RBA)。
  • 法務則通常是專指對外的法律事務。
 
 
 

中英文名詞對照

  • Anti-Money Laundering, AML = 反洗錢
  • Compliance = 法令遵循 / 合規
  • Corporate Governance = 公司治理
  • Fraud Risk = 詐欺或偽冒風險
  • Information Security = 資訊安全
  • Internal Audit / Internal Control = 內部稽核 / 內部控制
  • Legal Affairs = 法律事務
  • Risk Management = 風險管理