議題觀點
法令遵循-走出兼顧執法效益及成本之路
勤業眾信風險管理諮詢 (股) 公司 / 吳志洋執行副總經理、羅喜文副總經理、許懷文專案協理
金融業一直以來都是受到高度監理之產業,主管機關透過法令之制定及金融檢查機制,嚴格監管其營運活動。檢視我國金融管理委員會(簡稱金管會) 2012年至2017年重大裁罰案件資訊,不難窺見五年間裁罰案件與程度均顯著成長。因此,金融業者為避免觸法,一旦頒布新法令,無不是重金禮聘專業顧問,透過建立政策程序、制定文件表單,讓員工有所依循。因此,一部法令即一套管理機制,每套機制都有其適用之文件表單及權責單位,更不用說金融業者自身因應法令要求所建立之財務、業務內部控制,各式各樣管理機制並行,究竟是讓「機制們」發揮綜效?抑或其實是讓員工疲於應付應接不暇之文件表單,多頭馬車之情況反而增加許多非必要的管理及營運成本,也讓「機制們」的持久運行程度大大降低?
管理機制之目的,是協助公司在遵循法令之前提下,兼顧效率及效果地達成營運目標,並能因應外部監管機構或是內部管理當局之要求,提供透明及可靠之報導資訊,所以公司在建立管理機制時,應避免僅著眼於當下單一法令遵循面之目標,而是應將法令遵循面、營運面及報導面均綜合納入考量,以設定正確的共同目標,如此一來,各單位就必須基於自身之專業提出對應之想法,並使用共通語言進行跨單位的溝通,聚焦於建置目標相同之管理機制,提出整合各單位需求且較能兼顧效率及效果之控管措施。舉例來說,倘若金融業者於面臨新頒佈之法令規定或裁罰制度時,面對新興之風險,僅交由單一或少數單位來決定因應方式,單位間彼此不溝通不討論,將導致被指定負責的單位在設定目標時,不自覺地限縮了視野,久而久之將演變成各自為政,惟第一線作業單位仍需同時滿足各權責單位之指令,導致資源重覆投入,卻不知既有作業程序實有整合之可能。
由美國COSO[1]委員會所提出之內部控制整體架構(COSO 2013)提出之觀點即為內部控制機制並非僅因應單一目標建立,須同時考量營運面、法令遵循面及報導面,運用控制環境、風險評估、控制作業、資訊與溝通及監督等五項組成要素,設計一套整合性內部控制機制,並將機制同時落實至公司之子公司、分支機構、事業單位與公司內部各部門。該內部控制整體架構現已被世界各國廣泛地實施與應用,可以幫助公司及時因應內外在環境之變遷,調整內部控制制度之設計及執行,以達到公司共同的目標。
承前所述,金融業者需遵循之法令多如牛毛,若是要進行整合,該從何著手呢?COSO 2013提供一個方向讓公司思考如何整合現有之管理機制。首先,金融業者應先清楚瞭解公司應達成之目標為何,舉例而言,若遵法是公司首要目標,則公司應辨識面臨之威脅或障礙有哪些,定義對應之風險及其高低程度,並考量公司風險胃納,才能針對風險設計對應之控制活動。提供以下步驟協助公司判斷及訂立目標:
一. 首先,盤點現有應遵循之法令規範,並進行風險評估,以作為公司分配管理資源之依據;針對屬於高風險之法規,應確認當風險事件發生時,現行採取之控制機制能否有效降低發生損失之可能性。法令之風險等級並非憑直覺判斷,而是需要經過一連串的分析過程,包括辨識關鍵風險事件、評估各風險事件發生的可能性,並進一步釐清可量化之關鍵因子,以衡量該法令對於公司帶來之衝擊程度等,皆是公司需要通盤考量之風險評估作業環節。關鍵因子之鑑別應全面考量內外部之因素,外部因素包含主管機關態度、重大新聞案件、新類型金融商品等;內部因素則可能是經手人員之專業度、受影響業務之業務量及歷史缺失紀錄等。以洗錢防制法為例,因兆豐銀行紐約分行違反洗錢防制法遭美國重罰、慶富案等裁罰事件,金管會將銀行之防制洗錢作業列入加強關注項目及檢查重點,若某銀行之業務除一般存匯外,尚有提供國際金融業務(Offshore Banking Unit, OBU)服務,則洗錢防制法經風險評估後,很有可能為該銀行之高風險法規,因此,應將建立及落實相關防制洗錢控制機制列為首要目標。
二. 其次,則是進行作業流程之盤點。因流程即是所有作業活動之集合,透過流程盤點也可瞭解參與執行之單位,及使用之工具表單等。
三. 再者,依據法令風險評估結果,辨識攸關之作業流程及風險,定義正確之控制目標,以設計應有之控制活動;然,公司涉及之流程細節內容包羅萬象,必須清晰地聚焦於與目標高度相關之作業流程。
四. 待評估應建立之控制活動後,將應有及現有控制活動進行分析比對,這樣一來就可以清楚地讓公司對應單位評估是否需調整公司之內部控制;與控制目標無關或是不合時宜之既有控制活動則應考慮更新,並思考是否存在整合既有控制活動之可能性。
五. 未來如有新頒布之法令,應先評估該法令內容與那些營運活動相關,並檢視現行控制活動是否仍可滿足欲達成之目標。如歐盟「個人資料保護通則」(The General Data Protection Regulation , GDPR),金融業者可以評估在既有之管理機制下,須新增之控制活動有哪些,以提早因應未來我國個人資料保護法之修訂,而非從頭開始再設計一套因應機制。
公司是以營利為目的,法令遵循之要求不應讓公司綁手綁腳,甚至矯枉過正,因此,公司於設計控制活動時,除考量是否有效降低法令遵循之風險外,應思考所投入之控制成本是否還能為公司帶來其他效益。舉例而言,銀行第一線營業單位於承接新用戶開戶業務時,需執行認識客戶流程(Know Your Customer, KYC),以符合防制洗錢規定金融機構需對客戶執行盡職調查之要求,然而,確認客戶資金來源、信用紀錄、職業…等作業活動,也係為了確認客戶身分之真實性及瞭解背後動機,以避免遇到金融詐騙導致營運上之困境,故若有效執行該控制活動,即可同時滿足營運面及法令遵循面目標。
觀察國際趨勢及主管機關之立場,金融法規修法面向愈趨嚴謹,金融業者面臨之法令遵循挑戰接踵而至,制定書面程序確實是短時間內員工可立即上手且確保公司之營運活動不會違反法令要求,但急就章之因應方式並非長遠解決之道,業者應建立整合且具彈性的管理機制,才能與時俱進,有效率地在競爭激烈之環境下合乎法規地永續營運。
[1] COSO主要由全國性組織機構所贊助,分別為美國會計協會(the American Accounting Association, AAA)、美國財務主管協會(Financial Executives International, FEI)、美國會計師公會(the American Institute of Certified Public Accountants, AICPA)、美國管理會計學會(the Institute of Management Accountants, IMA)與國際內部稽核協會(The Institute of Internal Auditors, IIA)。