議題觀點

《法令遵循篇》法令遵循管理的回顧與展望

德勤商務法律事務所 / 林瑞彬主持律師、張憲瑋資深律師、劉家全律師

一、法令遵循發展的回顧

2017年,對於台灣企業的「法令遵循」議題,著實是一個重要的里程碑。自2016年9月我國兆豐銀行紐約分行,因洗錢防制法令遵循缺失,遭到美國紐約州金融廳 (NYDFS) 重罰後,法令遵循議題一直持續在台灣各界發酵醞釀。在2017年,紐約州金融廳所指定之獨立監督人 (Independent Monitor),亦來到台灣檢查、監督兆豐銀行總行的洗錢防制管理制度。國外政府部門對於企業法令遵循的重視,確實讓台灣的產官學界開始深思法令遵循與風險管理的重要性。尤其是在洗錢防制議題上,台灣於2018年即將接受亞太防制洗錢組織 (Asia / Pacific Group on Money Laundering, APG) 的相互評鑑,評鑑的結果對於台灣的金融產業及金融消費者,甚至國家形象與競爭力等,影響至為重大。我國行政院為此於2017年3月開設「洗錢防制辦公室」,集中資源全力推動相互評鑑的準備工作。

作為洗錢防制主要核心關鍵的金融機構,更被金管會要求於期限內完成防制洗錢及打擊資助恐怖主義、個人資料管理制度的建置,甚至修訂「金融控股公司及銀行業內部控制及稽核制度實施辦法」、「保險業內部控制及稽核制度實施辦法」等,明文要求特定金融機構應每年提出會計師專案查核之確信報告書,以確保管理制度的完整性與有效性。金融機構在接受金管會檢查局檢查時,亦面臨愈趨嚴格的審查項目與強度,除對於洗錢防制與個人資料保護管理之強化有明顯效果外,亦促使金融機構更加重視法令遵循的有效管理,更直接衝擊金融消費者的消費習慣與經驗,尤其是現代社會各階層絕無可能與金融機構絕緣,除自身之身分背景外,對於特定交易之目的與資金來源與流向,均將可能遭受金融機構的詳盡審查與確認,若無法即時配合提出必要之說明及佐證資料,甚至可能遭到拒絕開戶、交易或銷戶。顯見,金融機構對於法令遵循制度的強化,其影響深入各行各業。

在兆豐銀行遭重罰後的2017年,台灣各界不論是金融業抑或非金融業,都一直不斷反思法令遵循的意義,並且陸續開始不斷有各種研討會、專書或文章嘗試探討法令遵循與風險管理等議題。此議題雖確實開始萌芽,但始終無法真正的扎根茁壯,尤其是在非金融產業未受到法令主管機關或目的事業主管機關的監理與要求下,常未能主動建置必要的管理程序。健全的法遵意識與文化,在一般公司治理中仍有相當大的發展空間。在2017年裡,台灣的若干產業即發生為數不少的高層或採購單位圖利特定廠商、協助廠商圍標、洩漏競標廠商底價、收取廠商賄賂或回扣等弊案;關於在職或離職員工,藉由企業的資訊與機密管理漏洞,攜出或洩漏重要的資訊檔案或客戶名單等案件更是時有所聞;惟也曾看到公司對於高階管理人員離職違反競業限制條款提起訴訟,卻遭法院認定限制無效的案件;另有公司內部人參與重要會議,知悉對公司股價有重大影響之訊息後,利用親友作為人頭買入或賣出股票等事件,更是令人印象深刻。實際上,在台灣公司企業中各種層出不窮的舞弊事件,多可藉由法令遵循與公司治理來適度的防堵或避免。在我國雖僅有公開發行公司或特定產業應建立完整之內部控制制度,惟縱使建立內部控制制度之企業,對於各項法令遵循管理仍未能完整建構並有效落實,例如「公開發行公司建立內部控制制度處理準則」第8條第3項所規定之「防範內線交易之管理」,多未受真正有效落實,更遑論非公開發行公司或未建立內部控制制度之公司,其法遵管理的觀念更是有待推廣及主管機關強化監理。

2017年,確實是法令遵循觀念受到普遍重視與討論的一年,公司企業為達到興利除弊的效果,實應開始建置完整的法遵管理制度並有效落實。以「營業秘密保護」為例,若待資訊遭外洩後,方遭法院認定因未建立有效保密措施與程序而非屬「營業秘密」不受保護時,才意識到「營業秘密管理」法遵制度的重要性,實已重創公司在市場中的競爭優勢,並造成難以彌補的損害。法遵管理絕非僅是一種口號或理論,而必須由公司企業具體實踐,並藉由法律、會計與管理專家團隊的參與,方可能真正實現「預防法學」的功能。

二、法令遵循的展望

在2018年可預期的法令遵循趨勢中,主管機關監管力道最大的領域仍以防制洗錢與打擊資恐項目為首要,因為亞太防制洗錢組織APG相互評鑑即將於第四季進行,先前有部分先進國家在相互評鑑的評分不甚理想,例如小型銀行有許多違規現象 (未遵循反洗錢法規) 而且並不了解本身的風險情況;主管機關對於防制洗錢法規制定的項目並未制定相對應的懲處措施和合規的標準認定,該國的制裁措施既不有效,也無任何抑制的作用;有四分之一的銀行幾乎從未進行過強化客戶審查,間接表示這些機構並未適時偵測到高風險客戶並加以管理等缺失發現事項。據了解,APG審查亦可能會針對金融機構高階管理人員 (可能包括董事) 進行面談,若面試過程中對於高風險客戶之強化審查等防制洗錢基本觀念未能有效應對,或對金融機構本身風險狀況不能明確辨識及說明控管措施者,可能評分會不甚理想。所以對金融機構而言,2018年除了面對已經施行的金融機構防制洗錢辦法、各業別注意事項範本等規定外,在主管機關要求下,銀行也委託會計師進行防制洗錢與打擊資恐的確信專案查核,且主管機關在2017年亦作出9件以上關於防制洗錢的裁罰處分,可預期監管力道在2018年勢必更行加重,不只是在金融機構的內部規範應發展更細部的作業流程,並留存客戶審查、姓名檢核、交易監控、可疑交易審查等紀錄,且應強化金融機構的防制洗錢文化,高階管理人員及營業單位人員都應明瞭相關規範與控管狀態。在金融機構及法律規定的特定行業已強化洗錢防制的法令遵循機制後,其他非法律規定之特定行業勢必在營運上必須評估並面對金融機構等徹底實施該法遵機制後帶來的衝擊。

至於歐盟一般資料保護規則 (General Data Protection Regulation, GDPR) 將於2018年5月25日起施行,GDPR規範係以資料為中心,只要是屬於歐洲民眾的個資,並符合GDPR之行為定義,不論組織或企業是否於歐洲設有據點,一律必須遵守GDPR對於資料保護之相關規範。雖然GDPR規定中,企業擁有的歐洲民眾個資數量,應符合一定的比例原則,不會只因為有一筆歐洲居民之個資,企業即需以GDPR為資料保護標準。台灣企業不必然適用GDPR的規定,但就品牌廠商、電子商務、交通運輸業及醫療業等仍宜評估是否就GDPR對企業的影響進行分析,評估企業除遵守我國個人資料保護法外,是否應進行GDPR的遵循計畫。況且個人資料可攜權 (Data portability)、反對權 (Right to object)、接近使用權 (Right of access)、資料處理限制權 (Right to restriction of processing) 及被遺忘權 (Right to be forgotten) 等GDPR所規範的新權利亦已被國際個資認證標準BS10012:2017納入標準中,企業亦可評估進一步優化其個資管理制度 (PIMS) 之需要。

另一個在2018年值得注意的法遵趨勢是,《聯合國反貪腐公約施行法》已於2015年5月20日經總統公布,並於2015年12月9日正式施行,具國內法律之效力。廉政署表示將與各行政機關依該施行法規定,積極就國內法令與行政措施有不符本公約規定者,應於2018年12月8日前完成法令之制 (訂) 定、修正或廢止,以及行政措施之改進,共同落實反貪腐公約建立之反貪腐法律架構。是故,可預期各相關行政機關在2018年反貪腐法制將可能會陸續提出法令草案,其中對於企業界影響最大的是,反貪腐公約第12條訂定關於私部門的反貪腐控管措施指導原則,包括維護操守的標準與程序、識別公司高階管理人員的身分,及有助於預防與發現貪腐之充分內部審計控制等。依照聯合國的建議,企業對於反貪腐遵循計畫應採取「風險基礎方法 (Risk Based Approach, RBA)」:首先應進行風險評估,在瞭解風險的過程當中,必須辨識風險 (Identify the risks)、評估固有風險 (Rate the Inherent Risk)、辨識與評估抵減措施 (Identify and rate mitigating controls)、計算剩餘風險 (Calculate the residual risk) 與發展改善方案 (Develop an action plan)。是故,國際上對於企業反貪腐之遵循計畫已有一套方法論,如同國際上對防制洗錢所採用的風險基礎方法論般,是一套精細的法令遵循計畫,國際上亦有認證機構提出反賄賂管理制度的標準 (ISO37001:2016),協助企業就其所面對的賄賂風險,建立合理、適當的防制、偵測、反應的控管與程序,此點亦可能在2018年成為一項新的法令遵循趨勢,各行業亦必須及早規劃因應。

三、結語

本文總結了在2017年的法令遵循發展歷程,法令遵循已逐漸成為銀行業、金融產業的必要事項,許多金融業高層亦公開宣示法令遵循的重要性,但法令遵循亦不只是單一產業需要留意,而是各產業別都可能有依其產業特性可能遇到的相關遵循議題,本文認為2018年可預期的法令遵循趨勢,可能會與國際上對法令遵循要求的事件相結合,此種趨勢亦可能產生擴大產業影響面的效果,更加深化各業別法令遵循的力道。

是否找到您要的資訊?