第三章 我國金融業防制洗錢及打擊資恐機制分析
第二節 我國金融業防制洗錢及打擊資恐之內部控制制度
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第二節 我國金融業防制洗錢及打擊資恐之內部控制制度
關於我國金融業防制洗錢及打擊資恐內部控制之法源,於 2018 年 11 月7 日以前,係依據「金融控股公司及銀行業內部控制及稽核制度實施辦 法(下稱「金控及銀行業內控辦法」)」、「保險業內部控制及稽核制度實施 辦法(下稱「保險業內控辦法」)」及「證券暨期貨市場各服務事業建立內 部控制制度處理準則(下稱「證券業內控準則」)」等規定,金控、銀行業、
保險業及證券業應建立內部控制制度,制度內容應涵蓋「防制洗錢及打擊 資恐機制及相關法令之遵循管理,包括辨識、衡量、監控洗錢及資恐風險 之管理機制」80。
2018 年 11 月 7 日後,新修訂之洗錢防制法直接明定銀行業、保險業 及證券期貨業等常見金融業應建置洗錢防制之內部控制制度,並授權金管 會訂定相關子法81;同年 11 月 9 日行政命令出爐,包含:「銀行業及其他 經金融監督管理委員會指定之金融機構防制洗錢及打擊資恐內部控制與 稽核制度實施辦法(下稱「銀行業防制洗錢及打擊資恐內控辦法」)」、「保 險公司與辦理簡易人壽保險業務之郵政機構及其他經金融監督管理委員 會指定之金融機構防制洗錢及打擊資恐內部控制與稽核制度實施辦法(下
80 金控及銀行業內控辦法第 8 條第 1 項第 11 款、保險業內控辦法第 5 條第 1 項第 13 款、及證 券業內控準則第 8 條第 5 項。
81 洗錢防制法第 6 條規定:「金融機構應依洗錢與資恐風險及業務規模,建立洗錢防制內部控
制與稽核制度;其內容應包括下列事項:一、防制洗錢及打擊資恐之作業及控制程序。二、定 期舉辦或參加防制洗錢之在職訓練。三、指派專責人員負責協調監督第一款事項之執行。四、
備置並定期更新防制洗錢及打擊資恐風險評估報告。五、稽核程序。六、其他經中央目的事業 主管機關指定之事項(第一項)。前項制度之執行,中央目的事業主管機關應定期查核,並得 委託其他機關(構)、法人或團體辦理(第二項)。第一項制度之實施內容、作業程序、執行 措施,前項查核之方式、受委託之資格條件及其他應遵行事項之辦法,由中央目的事業主管機 關會商法務部及相關機關定之;於訂定前應徵詢相關公會之意見(第三項)。」
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
稱「保險業防制洗錢及打擊資恐內控辦法」)」及「證券期貨業及其他經金 融監督管理委員會指定之金融機構防制洗錢及打擊資恐內部控制與稽核 制度實施辦法(下稱「證券業防制洗錢及打擊資恐內控辦法」)」,該等辦法 各自明文銀行業、保險業和證券業防制洗錢及打擊資恐內控制度應包含:
「一、就洗錢及資恐風險進行辨識、評估、管理之相關政策及程序;二、
依據洗錢及資恐風險、業務規模,訂定防制洗錢及打擊資恐計畫;三、監 督控管防制洗錢及打擊資恐法令遵循與防制洗錢及打擊資恐計畫執行之 標準作業程序」82。
綜上,新行政命令明文規定金融業防制洗錢及打擊資恐內控制度應包 含:「洗錢及資恐風險管理政策」、「防制洗錢及打擊資恐計畫」及「監督控 管防制洗錢及打擊資恐法令遵循與防制洗錢及打擊資恐計畫執行之標準 作業程序」;亦即,金融業首先應透過風險管理辨識洗錢及資恐風險,始能 建置相應的管理政策及防制計畫,同時必須設置監督控管程序以確保防制 機制及計畫之執行成效,三個制度的相互配合才能創造健全防制洗錢及打 擊資恐內控制度。鑒於該等制度之重要性,下文將進一步分述各制度的重 要內容及執行方法,以完全理解金融業防制洗錢及打擊資恐內控制度的施 行方式。
第一項 洗錢及資恐風險管理政策
按銀行業防制洗錢及打擊資恐內控辦法第6 條第 2 項、保險業防制洗 錢及打擊資恐內控辦法第5 條第 2 項,及證券業防制洗錢及打擊資恐內控 辦法第4 條第 2 項規定,銀行業、保險業及證券業的洗錢及資恐風險之辨 識、評估、管理政策及程序,應至少涵蓋客戶、地域、產品及服務、交易
82 銀行業防制洗錢及打擊資恐內控辦法第 6 條第 1 項、保險業防制洗錢及打擊資恐內控辦法第
5 條第 1 項、證券業防制洗錢及打擊資恐內控辦法第 4 條第 1 項。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
或支付管道等面向,且應辦理事項包含:「製作風險評估報告」、「考量所有 風險因素,以決定整體風險等級,及降低風險之適當措施」、「訂定更新風 險評估報告之機制,以確保風險資料之更新」,及「於完成或更新風險評估 報告時,將風險評估報告送金管會備查」。
上述規定是依據 FATF 評鑑方法論第 1.10 點83而訂定,係再次強調金 融機構防制洗錢及打擊資恐機制應落實FATF 40 項建議第 1 項建議所要求 的「風險基礎方法(Risk-Based Approach)84」;亦即,金融機構應優先確 認、評估及瞭解其暴露之洗錢及資恐風險,並採取適當防制洗錢措施,以 有效降低此類風險;依該方法,金融機構對於較高風險情形應採取加強措 施,對於較低風險情形,則可採取相對簡化措施,以有效分配資源,並以 最適當且有效之方法,降低經其確認之洗錢及資恐風險85。申言之,風險基 礎方法的精髓,在於評估管控單位在辨識、評估並掌握風險後,特別針對 所辨識的風險種類及評估所得的風險等級,建置因應措施與機制,以確保
83 Supra note 17, at 24, “1.10. Financial institutions and DNFBPs should be required to take appropriate steps to identify, assess, and understand their ML/TF risks (for customers, countries or geographic areas; and products, services, transactions or delivery channels)8. This includes being required to:
(a) document their risk assessments;(b) consider all the relevant risk factors before determining what is the level of overall risk and the appropriate level and type of mitigation to be applied;(c) keep these assessments up to date; and (d) have appropriate mechanisms to provide risk assessment information to competent authorities and SRBs.” (last visited 2019/10/16).
84 Supra note 14, at 9, “Countries should identify, assess, and understand the money laundering and terrorist financing risks for the country, and should take action, including designating an authority or mechanism to coordinate actions to assess risks, and apply resources, aimed at ensuring the risks are mitigated effectively. Based on that assessment, countries should apply a risk-based approach (RBA) to ensure that measures to prevent or mitigate money laundering and terrorist financing are commensurate with the risks identified. This approach should be an essential foundation to efficient allocation of resources across the anti-money laundering and countering the financing of terrorism (AML/CFT) regime and the implementation of riskbased measures throughout the FATF Recommendations. Where countries identify higher risks, they should ensure that their AML/CFT regime adequately addresses such risks. Where countries identify lower risks, they may decide to allow simplified measures for some of the FATF Recommendations under certain conditions.” (last visited 2019/10/16).
85 金融機構防制洗錢辦法第 2 條第 8 款。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
風險防制及風險抵減措施與所辨識及評估之風險態樣與程度相符,進而在 高風險情形適用高密度管控,反之亦然,來達到資源有效分配的目的86。 實際上,風險基礎方法的概念及應用是源於「風險管理學」。從風險管 理角度觀之,當企業進行風險管理時,通常有一套風險管理程序,以便公 司各單位分層負責,並且瞭解自己所擔任工作的意義與目標87。目前,風險 管理程序應區分為幾個步驟尚未有定論,惟依學者見解仍可大致區分為四 個步驟:
(一)風險確認:辨認企業所面臨之風險,包括各種內部與外部之各種曝 險因素(應用於防制洗錢及打擊資恐上便是辨認各種洗錢及資恐風 險);
(二)評估所確認之風險:針對已辨認之風險,用各種量化或質化方法予 以評估,以便對風險之影響力,有一理性客觀之衡量指標;
(三)執行風險控管方法:首先是針對已衡量之風險的影響力予以排序,
之後則是選擇並執行適當之控管方法;及
(四)監督與檢討所執行風險管理策略:監督與檢討本次所執行之風險管 理策略,以作為擬定下一個策略之參考。88
而依筆者自身工作經驗,現行洗錢及資恐風險管理實務執行方式,金 融業亦是採取此類似上述的管理程序,雖偶有程序用語及步驟區分多寡之 差異,仍不脫上述四大步驟的原則;關於實務上執行流程,請參考下圖 2
(以洗錢防制的風險基礎方法為例)所示:
86 梁鴻烈、王盈瑾,透過「全機構洗錢暨資恐風險評估」(Institutional Risk Assessment, IRA)實 踐以風險為基礎(Risk-Based Approach, 風險基礎方法)的反洗錢與反資恐策略及規劃—國際 標準與香港經驗,金總服務雙月刊,第 19 期,頁 50,2016 年 7 月。
87 陳彩稚,企業風險管理,頁 72,2012 年 2 月。
88 同前註,頁 72。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖 2:洗錢防制之風險基礎方法流程圖
(資料來源:筆者自繪)
鑒於風險基礎方法係以風險為基礎來設計相關防制計畫及因應措施,
其核心之處即在於「辨識及評估風險(即圖 2 中黑色底色之方框)」,蓋惟 有明確知悉洗錢及資恐風險後始能設計並執行相應防制措施。目前實務上 金 融 業 於 辨 識 及 評 估 洗 錢 及 資 恐 風 險 時 , 是 採 取 「 機 構 風 險 評 估
(Institutional Risk Assessment)」,來審視機構本身曝露於洗錢及資恐活動 之風險程度。機構風險評估的首要且最關鍵的步驟為透過審視各家機構獨
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
有情況後,建立客製之風險評估方法論89。一般而言,評估方法論的建立包 括「評估項目的設計」及「評估項目的權重分配」兩種層次:前者在「客 戶」、「地域」、「產品」及「通路」等個別四大類風險因子下,設計次風險 因子以允許各類風險能被更具體地評估;而在權重的分配上,考量重點在 於該因子及次因子對於風險值之影響程度90。
於評估項目的設計上,依銀行業防制洗錢及打擊資恐內控辦法第6 條 第2 項、保險業防制洗錢及打擊資恐內控辦法第 5 條第 2 項、及證券業防 制洗錢及打擊資恐內控辦法第4 條第 2 項規定,洗錢風險之辨識及評估應 至少涵蓋「客戶」、「地域」、「產品及服務」、「交易或支付管道」等面向(四 大類風險因子);另依「銀行評估洗錢及資恐風險及訂定相關防制計畫指 引」、「保險業評估洗錢及資恐風險及訂定相關防制計畫指引」及「證券商 評估洗錢及資恐風險及訂定相關防制計畫指引」,該等指引進一步明文銀
於評估項目的設計上,依銀行業防制洗錢及打擊資恐內控辦法第6 條 第2 項、保險業防制洗錢及打擊資恐內控辦法第 5 條第 2 項、及證券業防 制洗錢及打擊資恐內控辦法第4 條第 2 項規定,洗錢風險之辨識及評估應 至少涵蓋「客戶」、「地域」、「產品及服務」、「交易或支付管道」等面向(四 大類風險因子);另依「銀行評估洗錢及資恐風險及訂定相關防制計畫指 引」、「保險業評估洗錢及資恐風險及訂定相關防制計畫指引」及「證券商 評估洗錢及資恐風險及訂定相關防制計畫指引」,該等指引進一步明文銀