法令遵循制度之定義與目的

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

第二章 法令遵循之定義、理論與法律架構

第一節 法令遵循制度之定義與目的

第一項 法令遵循之定義

"Compliance" 一詞，為依照法令、行業標準或要求；符合規格、政策、標準及法 律；合作或服從等之意³。在金融業，"Compliance"一般譯為"合規"或"法令遵循"，指企 業或組織應採取措施以確保其行為(包括員工的行為)能遵循相關法律、法規。

就文義解釋而言，如上所述，法令遵循係指「依照法令」，然非僅指羅列一切相 關法令及判例的一套報告，尚須符合公司之經營理念和內部作業流程，作為組織用以 預防、偵測違法行為及促進企業倫理之正式性策略，對公司內部控管流程之改進與權 責歸屬之合理化具有正面意義⁴。

在巴賽爾銀行監理委員會的「銀行法令遵循功能」諮詢性文件⁵中針對法令遵循 功能(compliance function)有明確的定義：『係指一個可以辨識、評估、提出建議、監 控及報告銀行法令遵循風險的獨立功能。所謂法令遵循風險，即是當銀行未能遵守相 關法令、規章、行為準則及道德標準時，將導致銀行蒙受被訴追或被主管機關裁罰的 風險，或遭受財產上、名譽上損失之風險。』

第二項 法令遵循制度於公司治理理論之定位與目的

公司建立公司治理的原則包括：(一)遵守相關法令；(二)保障股東權益；(三)強化

3參閱 http://dictionary.reference.com/browse/compliance (2014/4/7，最後瀏覽日)。 

4石佩鑫，論美國與我國公司之法令遵循機制，中原大學財經法律學系碩士學位論文，頁 13 (2010)。 

5See Basel Committee on Banking Supervision,Consultative Document‐ The compliance function in banks 3, 

(issued for comment by 31 Jan 2004, Oct 2003), available at http://www.bis.org/publ/bcbs103.pdf (last  visited on Apr. 2, 2014)(原文為：A bank’s compliance function can be defined as follows:   

“An independent function that identifies, assesses, advises on, monitors and reports on the bank’s  compliance risk, that is, the risk of legal or regulatory sanctions, financial loss, or loss to reputation a bank  may suffer as a result of its failure to comply with all applicable laws, regulations, codes of conduct and  standards of good practice (together “laws, rules and standards”)". 

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

董事會結構與功能；(四)發揮監督、查核功能(包括公司內稽內控制度)；(五)提升資訊 揭露之透明度；(六)尊重利害關係人之權益。因此，法令遵循是公司治理應具體落實 的首要原則。⁶

一般而言，公司治理的機制可分為內部機制與外部機制。所謂內部機制，是指能 降低代理成本的公司內部構成員與成分，企業風險管理與內部控制制度、法令遵循制 度均屬企業內部自律機制；而外部機制則指市場上能降低代理成本的因素，包括司法 監督、行政監督及市場監督等機制均為外部的他律機制⁷。

依據美國COSO委員會⁸(Committee of Sponsoring Organizations of the Treadway Commission) 於1992年發表的「內部控制--整合架構」(Internal Control: An Integrated Framework) 報告，及1994年提出之補充報告(Addendum to "Reporting to External Parties")，

「內控制度」廣義定義為「企業為達成(1) 營運之有效性及效率、(2) 財務報導之可 靠性、(3) 符合應適用法規等目標，而由董事會、管理階層及其他人員啟動規畫以供 合理確保之流程」⁹。

1995年美國會計師協會亦將上述COSO委員會所訂目標納入審計準則公報第78號 規範，並自1997年1月1日起所有財務報表均適用之，顯示法令遵循逐漸受到重視。

我國現行金融控股公司及銀行業內部控制及稽核制度實施辦法第4條規定：

「內部控制之基本目的在於促進金融控股公司及銀行業健全經營，並應由其董事 會、管理階層及所有從業人員共同遵行，以合理確保達成下列目標：

6劉連煜，現代公司法，頁 15，增訂 6 版，2010 年 9 月。 

7易明秋，公司治理法制論，頁 6，2007 年。吳琮璠，審計學‐‐實務應用與法律觀點，頁 220，2009 年。

蔡昌憲，從經濟觀點論企業風險管理與董事監督義務，中研院法學期刊，第 12 期，頁 84‐86，2013 年 3 月。 

8COSO 委員會係於 1985 年由美國詐欺性財務通報全國委員會(National Commission on Fraudulent  Financial Reporting,  亦稱 Treadway Commission)贊助成立的，專為研究內部控制之定義與判斷標準。 

9See COSO, Internal Control‐ Integrated Framework (1992), available at 

http://www.coso.org/documents/Internal%20Control‐Integrated%20Framework.pdf, (last visited on Apr 2,  2014)原文為：Internal control is broadly defined as a process, effected by an entity's board of directors,  management and other personnel, designed to provide reasonable assurance regarding the achievement of  objectives in the following categories:   

1. Effectiveness and efficiency of operations.   

2. Reliability of financial reporting.   

3. Compliance with applicable laws and regulations.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

一、營運之效果及效率。

二、財務報導之可靠性。

三、相關法令之遵循。

前項第一款所稱營運之效果及效率目標，包括獲利、績效及保障資產安全等目標。

第一項第二款所稱財務報導之可靠性目標，包括確保對外之財務報表係依照一般公認 會計原則編製，交易經適當核准等目標。」

由此可知，內部控制制度之控制內容，包括：一、「營運效果及效率」：此為內 控制度之終極目標，乃實踐企業使命、達成企業目標及企業永續經營之基礎，也是企 業內部與外部利害關係人所關切及追求的；二、「財務報導之可靠性」：亦即應有完 整的會計系統，包括財務及非財務資訊管理之控制作業，藉以解決資訊不對稱及代理 成本等問題；三、「相關法令之遵循」：係指企業用於教育員工何謂不法行為、監督 員工行為，並針對員工不法行為予以處罰之機制。¹⁰

其中，法令遵循制度係公司內部控制制度重要指標之一，為確保達成「財務報告 可靠性」、「營運之效率及效果」兩大目標之最關鍵部分¹¹。「事前」之法令遵循、

「事中」之風險(包括法令遵循風險)管理與「事後」之內部稽核皆屬內部控制制度之 一環；法令遵循係於事前認識各項法令及內規等，經由公司內部單位溝通，並衡量如 何落實法規，以便確保公司內部單位對法規充分了解；風險管理係事中控管機制，著 重於各項風險管理與績效管理；內部稽核則係事後控管機制，目的在協助董事會及經 營管理人員檢查及覆核內部控制制度之缺失，同時衡量營運效率與效果，並適時提出 改善建議，以確保內部控制制度持續有效實施及作為檢討修正制度之依據¹²。

此外，內控制度需要控管公司內部運作與外部法令之一致性，銀行須遵循之法令 並非一成不變，而是會隨著銀行所參與的市場、營業活動等外在環境因素之改變而呈 現動態調整的變化，此即成為企業所面臨的外在法令遵循風險。銀行需衡酌企業本身        

10陳文彬，企業內部控制評估，頁 13‐18，第 5 版，2009 年 9 月。 

11劉立恩、羅振國，落實企業自評與法令遵循有關之內部控制何能無窒無礙，會計研究月刊，第 166

期，頁 64，1999 年。 

12劉德明、張訓嘉、楊逸君，證券商如何建立有效的法令遵循制度，中華民國證券商業同業公會委託

研究計畫書，頁 13‐14，2008 年。 

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

的內部既有能耐(inherited competency)，適時調整內部控管制度或作業流程，以因應外 在法規環境的變化，控管法令遵循風險，符合法令規定。

由於法令屬企業外部之強制力，若企業違反法令規定，可能造成政府裁罰甚或處 以停業處分等嚴重影響營運的後果，故透過法令遵循制度，可作為企業內部之事前預 防機制，確保企業所有作業流程均符合適用法規之規範，以避免企業誤觸法網而致不 能達成營運目標，損害股東權益¹³。為使企業所有作業流程均符合法令規範，企業應 教育公司內部所有成員應有合規意識，雖然法令遵循部門負責監督法令遵循制度之運 作，但法令遵循實屬企業內部所有成員應共同負擔之責任。

至於銀行的法令遵循與風險管理、內部稽核等三者之關係，依據巴賽爾銀行監理 委員會的「銀行內部稽核功能」文件，認為銀行的內部控制制度有所謂「三道防線」

之說¹⁴。第一道防線是指各業務單位，在銀行授予的曝險額度範圍內承擔風險，負責 辨識、評估、控制該業務所面臨之風險；第二道防線則包括風險管理、法令遵循、法 務、人力資源、財務、營運管理、資訊等部門，必須與業務單位密切合作，確保業務 單位的風險已被適當的辨識並管理，以協助擬定經營策略，執行銀行的政策與程序，

彙整資訊以呈現整體銀行的風險輪廓；第三道防線為內部稽核，應獨立評估第一、二 道防線所設計的程序之有效性，並對銀行的制度與程序之有效性提供確保。

此三道防線的執行方式得以下表表示之¹⁵。 表一： 三道防線

防線 部門 執行方式

第1道 前台部門、任何面對客戶之營業行為 以交易為基礎，持續進行 第2道 風險管理、法令遵循、法務、人力資

源、財務、營運管理、資訊等部門

以風險為基礎，持續進行或定 期辦理

第3道 內部稽核 以風險為基礎，定期辦理

13陳文彬，前揭註 10，頁 18。 

14See Basel Committee on Banking Supervision, The Internal AuditFunction in Banks 12,June 2012, available  at http://www.bis.org/publ/bcbs223.pdf (last visited on Apr 11, 2014) 

15See id. at 13. 

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

由上述可知，法令遵循與風險管理均屬銀行內控制度的第二道防線，而內部稽核 則為第三道防線，得對法令遵循及風險管理之功能是否有效加以查核以確保內部控制 制度之有效性。

我國金管會銀行局於102年4月2日曾發函要求我國銀行¹⁶，應強化法令遵循及風險 管理等第二道防線的功能，並明白揭示銀行的內控制度中，以單位自行查核為第一道 防線，法令遵循與風險管理為第二道防線，內部稽核為第三道防線，為使內部控制制 度能有效及適當的運作，由第一道、第二道防線進行風險監控，第三道防線進行獨立 監督，三道防線各司其職。

第三項 小結

綜上所述，法令遵循制度屬銀行公司治理架構中內部自律機制之重要一環，為內 控制度三道防線中的第二道防線，其目的係為監督控管法令遵循風險，而法令遵循風 險係指企業因未能符合應適用之相關法令而衍生之風險，包括主管機關裁罰風險、財 務風險、訴訟風險、聲譽風險等。而對於金融機構而言，聲譽風險往往是最受關注的。