第四章 法令遵循與內部稽核、內部控制三道防線之分工
第二節 內部稽核及三道防線實務運作
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
為重要因素,且業務單位對於業務雖然孰悉,遵守法令之拿捏仍稍顯不足,是以這是目 前金融機構如何執行適當且合理之法遵教育訓練,是法遵制度落實之重要指標。
第六項 法遵查核及風險監控
法遵查核與自行查核、內部稽核不同,法遵查核主要針對業務法令遵守情形進行檢 視,凡需法遵檢視事項,皆屬法遵查核範圍。包括業務程序之審查,定期更新法令異動,
修正應遵循內規,廣告審查,對外客戶契約定期檢視,這項查核對於國內銀行法遵單位 較為陌生,故遵循情形較落入形式,無法有效檢視執行情形,未來建議可仰賴外部顧問 導入國外做法,以調整法遵查核之深度。
風險監控係為最新修正內容,國內銀行皆無經驗,是必須仰賴外國顧問導入國外做 法, 並以系統進行監控,是必須將業務所遵循法規植入系統並評定參數風險值,加入 裁罰案例之分析,始可預測業務執行前,違反法律之風險,進而評估業務執行程序,調 整至合法為止。
第七項 廣宣審查
對外廣宣文件之審核,係法遵主管執掌,此一議題爭議,主要在於到何層級審查,
是法遵最大主管審查或法遵組織一定層級?國內銀行業務,若惟信託商品,主管機關認 為應為總機構法遵主管或信託業務法遵主管進行審查,飛前兩者主管不得審查之,其他 業務未規定。
第二節 內部稽核及三道防線實務運作
內部稽核角色與法令遵循制度有所不同,在美國法中強調,內部稽核不可取代法令 遵循制度。以下介紹內部稽核任務:
第一項 內部稽核
一、內部稽核制度之目的,在於協助董(理)事會及管理階層查核及評估內部控制制度 是否有效運作,並適時提供改進建議,以合理確保內部控制制度得以持續有效實施及作
‧
國立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
為檢討修正內部控制制度之依據(內部控制實施辦法第 9 條)。金融控股公司及銀行業應 設立隸屬董(理)事會之內部稽核單位,以獨立超然之精神,執行稽核業務,並應至少 每半年向董(理)事會及監察人(監事、監事會)或審計委員會報告稽核業務(第 10 條)。
二、金融控股公司及銀行業應建立總稽核制,綜理稽核業務。總稽核應具備領導及有效 督導稽核工作之能力,其資格應符合各業別負責人應具備資格條件規定,職位應等同於 副總經理,且不得兼任與稽核工作有相互衝突或牽制之職務。
三、金融控股公司總稽核得視業務需要,調動各子公司之內部稽核人員辦理金融控股公 司及其子公司之內部稽核工作,並對確保金融控股公司及其子公司維持適當有效之內部 稽核制度負最終之責任。
四、總稽核有下列情形之一者,主管機關得視情節之輕重,予以糾正、命其限期改善或 命令金融控股公司或銀行業解除其總稽核職務(第 11 條):
(一)有事實證明曾有從事不當授信案件或涉及嚴重違反授信原則或與客戶不當資金往 來之行為。(二)濫用職權,有事實證明從事不正當之活動,或意圖為自己或第三人不法 之利益,或圖謀損害所屬金融控股公司(含子公司)或銀行業之利益,而為違背其職務 之行為,致生損害於所屬金融控股公司及其子公司或銀行業或第三人。(三)未經同意,
對執行職務無關之人員洩漏、交付或公開金融檢查報告全部或其中任一部分內容。(四) 所屬金融控股公司(含子公司)或銀行業內部管理不善,發生重大舞弊案件,未通報主 管機關。(五)所屬金融控股公司(含子公司)或銀行業財務與業務之嚴重缺失,未於內 部稽核報告揭露。(六)理內部稽核工作,出具不實內部稽核報告。(七)因所屬金融控股 公司(含子公司)或銀行業配置之內部稽核人員顯有不足或不適任,未能發現財務及業 務有嚴重缺失。(八)未配合主管機關指示事項辦理查核工作或提供相關資料。(九)其他 有損害所屬金融控股公司(含子公司)或銀行業信譽或利益之行為者。
五、金融控股公司及銀行業應依據投資規模、業務情況(分支機構之多寡及其業務量)、
管理需要及其他相關法令規章之規定,配置適任及適當人數之專任內部稽核人員,以超 然獨立、客觀公正之立場,執行其職務,職務代理,應由內部稽核部門人員互為代理。
六、金融控股公司及銀行業內部稽核人員應具備下列條件:(一)具有二年以上之金融檢 查經驗;或大專院校畢業、高等考試或相當於高等考試、國際內部稽核師之考試及格並 具有二年以上之金融業務經驗;或具有五年以上之金融業務經驗。曾任會計師事務所查 帳員、電腦公司程式設計師或系統分析師等專業人員二年以上,經施以三個月以上之金
‧
國立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
融業務及管理訓練,視同符合規定,惟其員額不得逾稽核人員總員額之三分之一。(二) 最近三年內應無記過以上之不良紀錄,但其因他人違規或違法所致之連帶處分,已功過 相抵者,不在此限。(三)內部稽核人員充任領隊時,應有三年以上之稽核或金融檢查經 驗,或一年以上之稽核經驗及五年以上之金融業務經驗。金融控股公司及銀行業應隨時 檢查內部稽核人員有無違反前二項之規定,如有違反規定者,應於發現之日起二個月內 改善,若逾期未予改善,應立即調整其職務。
七、內部稽核單位應辦理下列事項:(一)規劃內部稽核之組織、編制與職掌,並編撰內 部稽核工作手冊及工作底稿,其內容至少應包括對內部控制制度各項規定與業務流程進 行評估,以判斷現行規定、程序是否已具有適當之內部控制,管理單位與營業單位是否 切實執行內部控制及執行內部控制之效益是否合理等,並隨時提出改進意見。
(二)督導業務管理單位訂定自行查核內容與程序,及各單位自行查核之執行情形。
(三)擬訂年度稽核計畫,並依子公司或各單位業務風險特性及其內部稽核執行情形,訂 定對子公司或各單位之查核計畫。
八、金融控股公司及銀行業應督促各單位(金融控股公司含子公司)辦理自行查核,並 由內部稽核單位覆核各單位(金融控股公司含子公司)之內部控制制度自行查核報告,
併同內部稽核單位所發現之內部控制缺失及異常事項改善情形,以作為董(理)事會、
總經理、總稽核及法令遵循主管評估整體內部控制制度有效性及出具內部控制制度聲明 書之依據。
九、金融控股公司及銀行業之子公司,應向母公司呈報董(理)事會議紀錄、會計師查 核報告、金融檢查機關檢查報告或其他有關資料,已設置內部稽核單位之子公司,並應 將稽核計畫、內部稽核報告所提重大缺失事項及改善辦理情形併同陳報,由母公司予以 審核,並督導子公司改善辦理。
法令遵循制度依據 2017 年新制,於今年要進行法令遵循風險辨識,法令遵循風險 辨識指標及基礎應否以稽核報告為範本進行評估?稽核報告內容為三道防線事後審查,
如何能成為法令遵循風險預估?倘若可以進行大數據分析評估歷史資料以推測預防違規 風險,似乎可以進一步研究,惟若僅以此為指標,未以現行業務法令建制法規資料庫以 及事先評估業務遵循法令風險值,會有倒果為因之情形。
‧
國立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第二項 三道防線實務運作
國際內部稽核協會與 COSO 委員會於 2015 年 7 月發布「運用 COSO 於三道防線」研 究報告指出,企業應該藉由建立內部控制之三道防線,重新檢視如何強化風險管理與內 部控制減少弊端發生。防弊於未然,董事會落實監督經營管理團隊責無旁貸。常見的缺 失是部分新上市櫃公司的內部控制制度為了上市櫃配合法令要求建置,董事會及高階主 管在控制環境及風險評估部分嚴重不足。加上主要由財會或者稽核主管參考其他公司的 制度撰寫完成,實際負責營運的各部門未深入覆核檢討制度是否和現行作業流程及控制 重點相同等等95。
公司董事會及最高領導者應該展現誠信經營及落實公司治理的決心,帶領內部控制 的三道防線:
第一道防線:營運管理(直線單位的管理控制、內部控制衡量指標)
營運管理單位對於可能影響目標達成的重大風險,需要明確加以辨識、分析、定義,從 而透過各種管控來弭平風險。高階主管對於第一道防線的所有活動要負起流程所有者 (Process Owner)的全部責任,確實從最可能發生風險所在及維護核心競爭能力的角度 去設計控制作業,例如食品餐飲之溯源管理、製造業的營業祕密管理、供應商管理、環 安及工安管理等等。企業需要從各項營運流程中找出可能的舞弊風險,並評估其控制是 否有效,再從人員、流程與科技三個面向建立控管機制。
第二道防線:內部監督與督導功能(幕僚單位的管控)
第二道防線主要包括幕僚單位的風險管理、財務控制、資訊安全、實體安全控管、品質 管理、檢驗、法遵等等。其主要功能在負責內部控制和風險管理的持續監督。
常見的缺失為公司重視業務、生產、研發,致使幕僚單位在組織之地位及被重視程度不 足,加上幕僚單位對各直線單位之業務不夠熟悉,致未能充分發揮持續監督功能,如何 改變?從防範舞弊角度,應建立暢通、安全且獨立的舉報機制,提供內外部舞弊案件的
常見的缺失為公司重視業務、生產、研發,致使幕僚單位在組織之地位及被重視程度不 足,加上幕僚單位對各直線單位之業務不夠熟悉,致未能充分發揮持續監督功能,如何 改變?從防範舞弊角度,應建立暢通、安全且獨立的舉報機制,提供內外部舞弊案件的