Month: March 2019

銀行法令遵循、法務、風險管理、內稽內控等制度入門簡介

Share on facebook Share on linkedin Share on google Share on twitter 我的專書《洗錢防制法:銀行業實務挑戰》出版已經屆滿一年,這一年間我一直都在台灣的AML/CFT領域中打滾,也參與了非常多金融業中高階層的洗錢政策與策略制定;然而回過頭來,我發現我們在面對一般大眾或有志於此業的初階從業人員的認知教育訓練還是相當不足。甚至我在接觸已經相當有專業的先進時,還是經常被問: 反洗錢 / 反詐欺 / 內稽內控 / 法務 / 法令遵循(合規) / 風險管理 / 資訊安全…等等的內涵在金融業怎麼區分? 這讓我恍然大悟,因為的確,我初入社會時,也經常對這些內涵有所混淆,只是當在業界時間久了,自然而然體會領悟後就視為理所應當了。也因為如此,我認為有必要針對這個主題做一點「科普」式的解析,針對幾個經常容易混淆的功能先做一對一比較與解構。希望也能算是個入門教材。 首先從簡單的、也最容易被混淆的開始。 反洗錢 v.s. 反詐欺 資安、反洗錢、反詐欺看起相當類似,也似乎「做法」上是一致的:都是「防止」某些「壞事」發生。實際上也是如此,的確這些「防止」、「反制」的功能都存在於銀行中,只是可能被反制的客體不同而已。例如,洗錢很明確就是要遏止犯罪的金流;而詐欺則是要杜絕詐欺的行為。那麼如果詐欺身為一個犯罪,所產生的金流怎麼辦呢?沒錯,因為洗錢有所謂「前置犯罪」的概念,所以詐欺的金流也有可能是反洗錢的目標之一。 覺得上段文字很像繞口令,沒問題!舉個例子來說:我們經常碰到的狀況是在比較冷門的國家旅遊刷信用卡時,有時候會被偵測異常並鎖卡,此時可能理專會立刻打越洋電話來確認交易,那麼這便是反詐欺的工作範圍了,因為銀行自有一套偵測異常行為的機制,當判斷你的海外刷卡很可能是被盜用時,就會啟動反詐欺的機制。 如果不幸,信用卡真被盜刷而你我都渾然不知,那麼詐欺的「犯罪」就會發生;假使此時詐騙集團車手去領回犯罪所得,那麼銀行也有責任遏止這個犯罪金流的處理,那麼此時就是「反洗錢」的範疇了。 總之,同樣是「防止」某些「壞事」,反詐欺管的是壞事行為本身、而反洗錢則是在意犯罪金流的處理。 反洗錢/反詐欺 v.s. 資訊安全 有了上一個對比的釐清,再來看資安的問題就會清晰一些了。資訊安全最近重新被重視就是因為一銀盜領案。一銀盜領其中一個主因就是ATM主機被駭,造成大量異常吐鈔,所以這也看似一個需要被防止的「壞事」,所以其內涵當然經常與反洗錢、反欺詐混淆。不過從「被駭」此事本身就能夠看出來,資安的焦點領域會放在資訊系統,因為資訊系統的特性而衍生的種種問題才會是主題。 簡單來說,一筆交易可能透過資訊系統完成,也可能透過紙本處理;而若這樣的交易背後事涉犯罪(無論哪種,當然可能是詐欺),那麼就會是反洗錢部門的關注焦點,與是不是透過資訊系統沒有太大關係。另外一面來說,如果正因為資訊系統的漏洞造成歹徒有機可乘,那麼解決這個漏洞來防止憾事再發生便是資安的關注領域。 法務 v.s. 法令遵循(合規) 下一個主題則是稍微跳脫「被防止的壞事」,純粹從功能性來討論這二個經常被混淆的銀行部門。其實不說業外人士,即使是銀行業的從業人員也經常看不懂這二者的差別。主因當然是「法」這個字。由於看起來都是與「法律」或「規範」相關,所以是否就代表工作內容相同呢? 這題的回答經常有點微妙,但我倒覺得用一般我們關於健康的看法來解說或許會好理解一些:「法律事務(法務)」是去醫院看醫生、而「法令遵循(合規)」則是飲食習慣與規律運動。到醫院看醫生本質可能與日常保養無關,反而會是把醫院當成諮詢性質,用來積極解決眼前的問題;而為了健康,飲食習慣或規律運動都是平常的「練兵」,所以法令遵循(合規)就是為了確保健康有被良善管理而進行的活動。 法務專責法律事務,而由於現代商業社會也是法治社會,一家公司在對外時經常會有法律上的專業需要處理,小則比方合約的條款對公司利益的影響、或信用卡申請書哪句條款造成法律疑慮等;大則會有訴訟,需要針對涉及法律相關的事務對外解決,這就是法務的專業。 至於法令遵循的原文是「Compliance」,另一種翻譯是「合規」,所以用「符合規範」來理解就會好一些了。由於金融業是高度受整府監理的特許行業,所以規範多如牛毛,也因為如此,遵循部門才應運而生,絕大多數的時候都扮演著對內確保「防禦」有效的角色,幫忙大家看守制度,確認公司的日常運作沒有違反各式各樣的內規外規。 法令遵循(合規) v.s. 風險管理 延伸到這個主題就經常莫衷一是了,因為很多觀點會認為風險管理與法令遵循是八竿子打不著關係的獨立功能;而又有另一派認為這是一體的兩面。會有這樣的想法很正常,也稍微碰觸到了金融業(尤其是銀行)的經營本質。 任何營利事業都是將本求利,銀行也不例外,只示銀行的成本大多來自「風險」,所以我們在銀行說「風險管理」其實和在製造業說「成本管理」內涵是一樣的。只是風險與成本的本質會有不同。 主要差異會是在一般製造業的成本大致可以預測,而銀行的風險的來源則有很大一部分來自「不確定性」。所以如果說製造業的成本關心「期望值」的控制,則銀行業的成本則是關心「變異數」的控管。 對銀行業來說風險很多,不過經過歷史的演進,有為者大概已經歸納出幾個大項目,並且有制度化的管理模式(巴賽爾協定的資本適足率控管;非本文主題,有興趣者請按此):流動性風險關心資金管理的變現問題、市場風險關心投資部位的上沖下洗、信用風險關心銀行會被倒帳到甚麼程度、最後作業風險則關心營運上的失誤與非預期損失。 既然說這是已經發展成熟的制度,那麼當然就會有「規範」或「法令」的成分在。事實上,資本適足率的控管方式也理所當然是主管機關法令所明定的。所以,符合風險管理的法令當然也是金融業法令遵循需要關心的構面。 […]

歐盟避稅天堂新名單影響 / 各種洗錢資恐國家風險參考來源的考量

國家風險是判定銀行內曝險的依據之一,以台灣來說去年就曾經出具第一份國家風險評估NRA,另外國際之間也經常針對不同國家的洗錢風險作評估。我在著作《洗錢防制法:銀行業實務挑戰》中的風險管理曾經略為分析幾種國家風險的來源,例如巴賽爾排名即是一例,但是最近歐盟列出了一系列高風險/制裁名單,其內容卻與國際間有很大不同,其中更尤其與美國相當有衝突。故本文針對國家風險的真義稍作分析,來協助大家評估國家風險選用的優劣。 歐盟稅務天堂名單 首先從這次風頭上的歐盟名單開始。精確而言,歐盟最近的名單全稱是「EU list of non-cooperative jurisdictions for tax purposes」,嚴格而論是針對稅務天堂而言所出具的名單,原本的名單只有五個:美屬薩摩亞 (American Samoa, ASM)、關島 (Guam, GUM)、薩摩亞 Samoa (WSM)、千里達與托貝哥 (Trinidad and Tobago, TTO)、美屬維京群島 (US Virgin Islands, VIR);但最近更新日期為2019年3月12日的名單中則擴充了另外10個:阿魯巴 (Aruba, ABW)、巴貝多 (Barbados, BRB)、貝里斯 (Belize, BLZ)、百慕達 (Bermuda, BMU)、多明尼加 (Dominica, DMA)、斐濟 (Fiji, FJI)、馬紹爾群島 (Marshall Islands, MHL)、阿曼 (Oman, OMN)、阿拉伯聯合大公國 (United Arab Emirates, ARE)、萬那杜(Vanuatu, VUT)。 其中不說關島是美國屬地,UAE也不只是美國的重要經貿夥伴,甚至和歐盟自身區域內很多國家都有密切貿易往來,所以造成此波名單更新的反彈不小。畢竟,此類洗錢相關的名單目的當然是為了遏止洗錢背後的前置犯罪(以此名單來說即是逃稅/避稅),但施行上若造成太多窒礙難行之處,效果就會大大打折。 下個制裁名目則可以大大體現所謂窒礙難行造成的效果打折。 The EU list of non-cooperative jurisdictions […]

台灣的不擾民反洗錢 v.s. 英國凍結疑涉洗錢留學生帳戶

很多人在問為什麼要洗錢,最近相關的洗錢新聞中,報導洗錢案例/洗錢手法過程最引人注意的是以下兩個新聞。一個是台灣政府因為擾民問題頻遭抱怨,所以訂出一系列清單統一規範所謂「常規或例行性交易」,並建議銀行可以簡化相關措施;另一個則是中國留學生在英帳戶因為涉嫌洗錢被凍結,並面臨洗錢罪(刑事罪)的風險。二國政府的態度有何差異? 我們應該如何看待便民與反洗錢之間的平衡呢? 反洗錢不擾民 訂出參考書 疑涉洗錢 近百中國留學生在英帳戶被凍結 首先台灣所謂客戶基於日常所需之交易型態例示的用意非常好,在公告的立論依據也正確,是為了要「要達簡政便民,也是落實洗錢防制的風險基礎原則,重點應放在異常交易,避免資源錯置」;然而偏偏就是這個風險基礎原則(Risk Based Approach, RBA)的落實方式非常弔詭。 我通常一再強調,RBA的實行應該是要允許不同金融機構之間,對於自身風險評估後對於不同狀況做不同作為、配置不同資源。主要原因無他,因為國際上對於洗錢防制已經從單純地「遵循」或「合規」逐漸轉向為「風險管理」。即使台灣政府訂出的10種情狀再怎麼合理,我們也不應該統一由政府出面如此地明訂。更進一步說,由於銀行處在受高度監管的環境,政府訂出10條幾乎就保證銀行不多不少,就「只」剛剛好會基於這10條設計作業模式。 這在國際洗錢防制作業中會降低有效性。試想,若有個小偷知道某社區全部的住戶都遵守朝9晚5的生活作息,而且幾乎不會有變化,那麼他一定很輕鬆寫意地挑個下午上班時間前往偷竊就好。 「統一化規範」絕對是反洗錢的大敵,又尤其政府出面訂出反洗錢相關的制式化規則一定會造成反效果,致使有心洗錢的人士只要輕鬆寫意避開這些規則即可。 再看往英國的例子。其中的重點在於「負責調查此批問題帳戶的是英國新成立的全國經濟犯罪中心(NECC),NECC的公告顯示,懷疑這些被凍結的帳戶是犯罪所得或用於犯罪目的。」的公告。顯然英國對於執法單位的預期台灣有所不同。 英國是英美法(海洋法)系國家,對於法律議題的釐清有很大工程落在判決這個步驟身上,這在反洗錢的作業是很有幫助的;也就是說這則新聞的凍結甚至在定罪之前,顯見這些留學生很有可能目前並不會得知實際的犯罪情事與可能的定罪方向,卻只知道自己是「疑似」。 這在反洗錢的風險基礎下,可以有效嚇阻將犯罪之人,因為犯罪的人會很明確知道,政府鼓勵的是針對重大犯罪的裁量(discretion),而非規則本身。 回到台灣的出發點是不擾民,這值得肯定;但不得不說所謂「不擾民」大概政治考量是高過真正的便民考量的。若真是如此,政府更應該反思要如何逐漸讓社會大眾更加認知到銀行是特許行業處理金流對社會經濟運作至關重要的事實,並且逐漸體認就算被擾,也應該是追求更好洗錢防制下的必要之惡!