第三章 外國金融業法令遵循制度之簡介
第二節 香港銀行業之法令遵循制度
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
(四)關於法令遵循事務、交易和聲譽之風險以所有銀行於往後 12 個月,以降低、維持 或增加作評比排序。
十五、CRA(Credit Rating Agency)評等,以及初步的 CRA(Credit Rating Agency)
評等組成初步的綜合消費者評等。
十六、必要時就綜合評述內容與管理階層討論,並要求提出改正方法。
十七、於「法遵管理制度」是否重大到須於檢驗報告呈報董事會之程度擬訂檢驗報告,
確認所有結果在工作底稿中均已具體載明,並確認違反法令或缺失事項。
第二節 香港銀行業之法令遵循制度
香港的銀行業主管機關為香港金融管理局(Hong Kong Monetary Authority;簡稱
"HKMA"),其針對銀行業的法令遵循制度規範於 Supervisory Policy Manual IC-1
"General Risk Management Controls81"(即《監理政策手冊》IC-1「風險管理的一般措 施」)其中 6.3 Compliance function 一節中共七個重點內容。重點如下:
一、法令遵循職能在健全的風險管理框架方面發揮重要作用,但不應被視為經常和適當 內部稽核取代。法令遵循職能工作應由內部稽核職能定期審查。
二、法令遵循職能主要作用是協助金融業確保遵守適用於其銀行或其他受監理活動的法 定條款,監理要求和行為準則。這包括確保金融業具有適當的內部政策以實現法令遵循。
以避免疑義,實現法令遵循責任不僅僅取決於法令遵循職能,而是金融業的每個職能部 門和職員都有責任確保法令遵循符合法令。
三、法令遵循職能的主要職責包括82: (一)識別,評估和監控法令遵循之風險;
(二)向高級管理層提供有關金融業需要遵守的法律,規則和標準(以及任何變更)的建 議;
(三)制定金融業之法令遵循政策和指南,並確保它們保持有效;
(四)向員工提供與法令遵循相關的建議和培訓;
(五)定期向法令遵循事宜報告並向高級管理層提供建議;
81 https://www.hkma.gov.hk/media/eng/doc/key-functions/banking-stability/supervisory-policy-manual/IC-1.pdf
82 如果其他職能中的某些職責(例如法律,規則和標準的法律建議)由其他職能的工作人員執行,則應 明確每項職能的責任分配。
‧
國立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
(六)制定法令遵循計劃,規定其計劃的活動,包括審查政策和程序的範圍,以確保金融 業遵守適用之法律規定,監理要求和行為準則。
四、預計金融業將具有獨立的法令遵循職能,並指定一個人(通常稱為法令遵循主管)
負責公司範圍的法令遵循職能,或如果屬海外公司之金融業,則指負責其香港分公司的 法令遵循職能。法令遵循主管任命應由董事會(或其指定的委員會)批准。並應在 14 天 內及時通知金管局其法令遵循主管83的委任(及終止委任)。
五、在特殊情況下,例如,運營規模可能無法證明合規職能部門在內部執行所有必要任 務,其他安排(例如聘請外部律師根據需要提供法律建議或在職能之間適當分配職責)
是可以接受的。在任何情況下,如果法令遵循職能的某些任務外包,那麼金融業法令遵 循職能主管應該被充分的監督。
六、有效的法令遵循職能應:
(一)擁有足夠的資源,並配備足夠獨立於業務和運營單位的適當數量的合格員工。法令 遵循職能主管和法令遵循職能部門的工作人員不應被置於合規責任與其可能承擔的任何 其他責任之間可能存在利益衝突的位置84;
(二)在銀行內獲得適當的地位和權威。應向董事會指定委員會(如審計委員會)或高階 管理層報告,並有權在必要時直接向董事會報告事項; 和
(三)能夠在存在法令遵循職能風險的銀行內所有業務和運營單位中主動履行其職責,不 受限制地訪問使其能夠開展工作所需的任何記錄或文件。
七、為確保法令遵循風險的有效管理,金融業之法令遵循政策應記錄法令遵循職能的組 織,狀態和責任以及管理法令遵循風險的其他措施。理事會應批准該政策,並應通過定 期審查政策遵守的程度,監督高級管理層(在履約職能部門的協助下)執行政策。理事 會可指定一個適當的理事會級委員會,以審查和批准法令遵循政策,並定期審查政策的 實施方式。在這種情況下,指定的委員會(例如審計委員會)應具備履行授權所需的獨 立性。董事會應監督委員會的表現,以確保其指令得到適當遵守。
而就法令遵循部門與稽核部門間關係,亦明文規範於 Supervisory Policy Manual IC-2 85 "Internal Audit Function"中第五章「與法令遵循及外部稽核之關係」
83 無論被委任為法令遵循主管的人是否為香港“銀行業條例”第 2 條所界定的“經理人”,該通知規定 均適用。
84 例如,除其他事項外,法令遵循主管不應對銀行內任何業務部門負責。法令遵循主管和法令遵循人員 的薪酬不應受到法令遵循部門職能監督的業務和運營單位的影響或與其相關聯。
‧
國立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
(Relationship with risk management and compliance functions and external auditors) 的 5.1 Relationship with risk management and compliance functions and external auditors。
首先,5.1 Risk management and compliance functions 闡述風險管理和法令遵循 職能:
5.5.1 在結構上,風險管理和法令遵循職能應與內部稽核功能分開,且須在獨立審核的前 提下進行。風險管理職能的主要職責包括確保所有相關風險得到適當識別,充分理解,
衡量,控制,評估和報告,而法令遵循部門負責識別,評估,監測和報告,並提供建議。
金融監理機構頒布的法律,規則,標準和準則的法令遵循風險,以及適用於金融服務業 的行業公會推行的行為準則以及適用於銀行從業人員的內部政策和行為準則。
5.5.2 獨立風險管理和法令遵循職能部門開展的工作為內部稽核功能提供了寶貴的資訊 來源,可用於識別金融機構內部控制系統的任何缺陷。
5.5.3 一些認可機構在業務或功能單位內建立了獨立的內部控制流程,以監控和評估特定 活動與內部控制和法令遵循標準的合法性。還有一些認可機構要求個別業務或功能單位 定期進行自我評估,以確保正確遵循操作和控制程序。這種機制的存在並不能減輕內部 稽核部門對檢查與具體活動相關的內部控制的責任,以確保它們能夠充分發揮作用。 但 是,如果有效地進行,這些機制可能提供有用的。內部稽核部門和法令遵循部門可以利 用資訊來源,用於持續監控相關活動的管理和控制程度。
法令遵循相關之董事會及高階管理層監督之規範:
一、董事會與高階管理層之監督(IC-1 "General Risk Management Controls", 3. Board and senior management oversight86)
1.董事會和高階管理層主要負責了解整體風險狀況,並確保金融機構運行的風險得到妥 善管理。尤其董事會和高階管理層必須清楚地了解金融機構所面臨的重大風險。董事會 與高階管理層對於妥善管理銀行風險應負主要責任。(3.3.1)
2.在履行此項責任時,董事會和高階管理層應該:
(一)擁有足夠的知識和專業知識,可以了解銀行所面臨的所有重大風險,包括與新產品 或複雜產品和高風險活動相關的風險,以及這些風險在壓力條件下的相互作用;
85 https://www.hkma.gov.hk/media/eng/doc/key-functions/banking-stability/supervisory-policy-manual/IC-2.pdf
86 https://www.hkma.gov.hk/media/eng/doc/key-functions/banking-stability/supervisory-policy-manual/IC-1.pdf
‧
國立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
直接參與製定並監督銀行風險偏好的遵守情況,該風險偏好應與其運營和戰略目標相 稱;
在整個銀行內創建一個強大的風險文化,並確保銀行的風險偏好在文化中得到很好的體 現;
A.建立一個良好的控制環境,充分的職責分工和明確的問責制和權力範圍的組織和管理 結構;
B.投入足夠的時間,精力和資源來監督和參與銀行的風險管理流程,並對風險控製做出 全面和持續的承諾;
C.定期評估銀行所面臨的風險,並持續了解銀行的業務和風險狀況以及可能引發新風險 的運營環境和金融市場的變化;
D.確保開發和維護必要的基礎設施,系統和控制,以支持有效的風險管理和治理;
E.建立有效的控制措施,以確保 AI 整體風險管理流程的完整性,並監控銀行遵守所有 適用法律,法規,監理標準,最佳實踐以及內部政策和指南的情況;
F.確保銀行的薪酬制度與有效的風險管理保持一致並促進有效風險管理,並且不會激勵 不謹慎或過度冒險(參見 CG-5“健全薪酬制度指南”);和
G.促進在組織內建立定期和透明的溝通機制。 董事會與高階管理層應建立有效控管機 制,以確保貫徹遵守銀行整體風險管理程序,並監督銀行對於所有適用法規、主管機關 監理標準、行業實務守則及銀行內部政策與原則等之遵循情形。(3.3.2)
二、風險管理政策、程序與限制(IC-1 "General Risk Management Controls", 4. General management policies, procedures and limits)
4.1.1 銀行應由董事會(或其指定的委員會,並具有必要的授權)批准明確風險管理政 策和關鍵風險管理程序。管理層可在適當級別批准詳細的操作程序。界定和記錄的政策 和程序,以便能夠以積極的方式管理整個公司的風險87,主要實施下列重點:
A.客觀一致的風險識別和測量方法;
B.全面和嚴格的風險評估和報告系統;
C.合理的估值和壓力測試實踐; 和
87 海外註冊認可機構可在很大程度上將其總辦事處設定的全公司政策及程序應用於其香港業務,前提是 這些文件是根據當地市場情況定制的。
‧
國立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
D.有效的風險監測措施和控制措施。
2.新產品和服務(4.3)
4.3.銀行應有一套有效的機制,以確保所有推出的產品和服務在發布前均須經過適當的 評估和批准程序。且應有內部批准和明確記錄的“新產品批准政策”,不僅涉及全新產
4.3.銀行應有一套有效的機制,以確保所有推出的產品和服務在發布前均須經過適當的 評估和批准程序。且應有內部批准和明確記錄的“新產品批准政策”,不僅涉及全新產