第二章 內部控制與法令遵循
第二節 法令遵循
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
9
負行政責任、民事責任,嚴重者有到刑事責任,如何讓企業面臨的風險達到最低,
這同時也是強調法令遵循功能的目的。企業鋌而走險,高風險活動交易以追求高 報酬,就算營運結果再有效率有效果或相關財務報導的的表達再如何真實可靠,
有一天風險失控,導致企業無法穏建經營,一連串的骨牌效應產生,應非公司管 理階層、員工、股東及債權人所期待。反之,審慎分析法令風險控制點,訂定法 令遵循計劃,在可接受風險下去執行交易活動,不僅可以達成有效率及效果的營 運,亦可以使企業穏建經營。因此,我們或可這樣形容,在程序上,公司的內部 作業管理配合外在的法令規範,企業在程序上遵循政策,計劃,程序,法律和法 規下,去實現實質上有效率有果的營運後,產出可靠的財務報導,以供股東、債 權人、債務人及管理階層做參考,才是良好的內部控制,以成就標準的公司治理。
換言之,相關法令遵循是完善每個內部控制點的重要考量因子及評估內部控制的 有效性之重點。至於法令遵循如何完整發揮功能,以促成內部控制的有效性將繼 續於後段章節說明。為使內部控制達到效果,必須透過具獨立性人員以客觀角度 來檢視,對於制度進行修正,確保制度存在的有效性。此具獨立性人員即為內部 稽核人員,所設置對內部控制的監督制衡程序包含內部稽核、公司自行查核、專 案審查和法令遵循制度11。其中,專案審查係屬外部監控的範圍,委託符合資格 的會計師,依內部控制規定和一般公認審計準則辦理查核,使公司利害關係人了 解該公司的內部控制制度設計及執行是否有效12。而自行查核則係指公司為落實 自我監督和即時因應環境以調整內部控制的機制13,可以稱之為公司自律制度。
除此之外,防弊的最基本要求為法令遵循,若違背法令,則追求營運的效果及可 靠的財務報導即無任何實益。
綜上所述,相關法令之遵循係內部控制之重要元素之一,並透過內部稽核制 度相輔相成又相互監督制衡以達成良好公司治理的最終目標。
第二節 法令遵循
第一項 法令遵循定義
法令遵循(compliance),又譯做合規,係指企業或組織採取措施以確保其
11 參閱證券暨期貨市場各服務事業建立內部控制制度處理準則第三章內部控制制度之評估。
12 參閱證券暨期貨市場各服務事業建立內部控制制度處理準則第 25 條、第 26 條。
13 參閱證券暨期貨市場各服務事業建立內部控制制度處理準則第 21 條至第 24 條。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
10
行為能遵循相關法律、法規。如前所述,法令遵循係內部控制之重要元素之一。
就銀行業而言,其內部控制可分成三道防線:第一道防線係自行查核制度,指業 務單位在銀行規定之曝險額度內承擔風險、辨識並評估及控制業務單位所面臨之 風險;第二道防線指法令遵循制度及風險管理機制,包括風險管理、法令遵循、
人資財務及資訊等部門與業務單位的密切合作,確保風險己在控制中,並彙整資 料以呈現全行風險;第三道防線為內部稽核制度,擬定稽核計畫、執行稽核專案,
以評估前兩道程序設計的有效性14,並提出改善建議及追蹤缺失。有效的法令遵 循是公司治理中內部控制重要的一環。有效的法令遵循可控管銀行所面臨的法律 風險,避免主管機關的裁罰而生財務上損失,亦有助於提升銀行名譽與形象。
第二項 法令遵循作用
首先,法令遵循機制所規範的對象,包括但不限於公司業務單位之一般業 務,尚及於董事會,高階主管之內部公司決策,除本國法令應遵循外,銀行海外 分支機構更應遵循其地主國之法令;其次,法令遵循係公司內部控制的第二道防 線,內部稽核是第三道防線,對法令遵循的有效性進行查核,確保整個內部控制 制度的有效性;最後,因為銀行建立有效的法令遵循機制讓銀行內部從業人員能 了解並執行相關法規,事後透過內部稽核查核成果,兩者發揮功能,有效減少銀 行違規事件,並達成可靠的財務報導及有效率有效果的營運,以完成最適的公司 治理。
第三項 法令遵循與法務及內部稽核之關係
法令遵循部門係著重於事務執行面,督導銀行業務流程符合法令及內部規 章;而法務部門係負責契約之審閱及針對全行整體法律與訴訟風險進行評估與建 議。因此,法遵單位與法務單位,性質或有部分重疊之處,其組織架構亦有別,
銀行必須設立法令遵循部門並指派法令遵循主管,事前對相關法令進行辨認、衡 量風險提供各單位建議,使全行業務流程能合規,避免違法,以減少法律風險的 潛在損失。
實務上,常有所見法令遵循單位合併由法務單位或風控單位執行,法務長兼 法遵主管,看似法遵與法務因角色上並無利害衝突關係,兼任並無不合規之情
14 Basel Committee on Banking Supervision, The internal audit function in banks (June 2012) https://www.bis.org/publ/bcbs223.pdf (last visit July 26, 2019).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
11
事,然性質上法遵需要較高的獨立性,除去成本的考量因素,專任方能使公司內 部控制更具有效性。若僅內部稽核也必須對法令有所了解,才能事後有效地進行 企業內部稽核,三者工作有所類似,但仍必須相輔相成始能使公司內部控制能有 效運作。
承前所述,內部控制可分成三道防線:第一道防線係自行查核制度,指業務 單位在銀行規定之曝險額度內承擔風險、辨識並評估及控制業務單位所面臨之風 險;第二道防線指法令遵循制度及風險管理機制,包括風險管理、法令遵循、人 資財務及資訊等部門與業務單位的密切合作,確保風險己在控制中,並彙整資料 以呈現全行風險;第三道防線為內部稽核制度,擬定稽核計畫、執行稽核專案,
以評估前兩道程序設計的有效性。銀行商業同業公會為有效協助銀行完善內部控 制推動內部控制強建企業體質,推動內部控制三道防線理念,並訂定「銀行內部 控制三道防線實務守則」。第一道防線負責持續管理營運活動所產生的風險,第 二道防線在訂定整體政策及建立管理制度,協助及監督第一道防線管理風險與自 我評估執行,第三道防線則負責查核與評估第一道及第二道防線所設計並執行之 內部控制與風險管理的有效性,並提供建議。最後各道防線知其角色定位,各司 其職,互相溝通協調又互相分享資訊以協助所有功能更有效完成職責。法令遵循 的角色,在法令定義上是置於第二道防線,類似管理單位的角色,但其實業務單 位亦有配置第一線的法令遵循人員,但並不會因為其配置在營運單位使得角色功 能與業務單位的職責有所重疊,應該說,雖在內部控制三道防線理論中,法令遵 循是在第二道防線,職責在於與各單位合作,以整合資料,呈現全行風險,而配 置在業務單位的法遵人員無疑是協助其完整全行風險面貌的「眼線」,由下而上 的第一步接近業務面的法令遵循風險,回報法令遵循總單位,再透過其整合分 析,以訂出全行風險計劃,以供各業務單位在全行可接受風險範圍內執行業務,
進一步達成有效率有效果的營運,並達成可靠財務報導的表達,才能達成有效的 內部控制。然台灣眾銀行規模不一,小型的金融機構,例如農漁會或信用合作社,
規模小及人力有限,就算在第一線配置法令遵循從業人員,因成本考量,亦常有 兼業務職的情形,降低法遵人員的獨立性,當然如果風險沒有因此失控,這些農 漁會或信用合作社依然是每天開門營業,一但風險失控,則恐會形成擠兌或倒閉 風波。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
12