國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
93
適當回饋及改正方向,銀行內部稽核發展對相應措施之驗證及查核方法論亦 具相當重要性,實際上機制驗證並不容易,並可能涉及特殊專業方法,例如 電腦程式(code)檢驗等。近期,針對法令遵循風險之自行評估及監控機制,
倘係業務規模大、複雜度或風險程度高者,銀行可考量引進外部稽核或獨立 驗證專家,以協助評估防制洗錢及打擊資恐政策和程序之有效性167,於此情 況下,應確保其查核或驗證範圍足以發現並降低銀行之風險,銀行亦應確保 參與之外部第三人具有必要之專業知識和經驗。另就委任專家驗證之目的及 程序,應由銀行管理單位加以管控,避免衍生不必要之困擾。
雖然各防線功能已得清晰界定,惟應注意的是,各銀行於建立三道防線架構 時,應依各銀行業務活動性質、規模大小、作業複雜程度及執行風險狀況進行調 整,蓋因各銀行對於內部單位賦予之職能或有不同,無法一概而論各業務(管理) 單位所處防線,例如:(1)電子商務單位在研發或行銷商品時,係屬第一道防線;
但在監控銀行電子商務交易有無涉及洗錢或資恐風險時,則為第二道防線。(2)產 品企劃單位在設計商品時係為第一道防線;但在管理銀行商品風險及訂定作業規 範以降低洗錢或資恐風險時,則屬第二道防線之範圍168。建置架構需能確保三道 防線之有效性,且各道防線依其功能在執行風險控管時,並應互相協調彼此分享 發現及資訊,以協助所有功能均得有效完成各道防線之角色。
銀行應持續推動內部控制制度三道防線文化,由第一道防線(自行查核機制)、
第二道防線(法令遵循與風險管理機制)與第三道防線(內部稽核機制),共同確保 防制洗錢及打擊資恐之內部控制制度有效執行。
第二節 確認客戶身分及客戶盡職調查
巴塞爾銀行監理委員會2001 年 10 月發布之「銀行客戶盡職調查」(Customer
167 BCBS,同前註 13,頁 6。
168 中華民國銀行商業同業公會全國聯合會「銀行內部控制三道防線實務守則」全文說明第 3 條 及第4 條說明欄,同前註 166。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
94
Due Diligence For Banks)169文件,就「認識客戶」(KYC)標準及其執行之關鍵要素 提供更精確的指引。但過去較為人熟悉之 KYC 一詞,現已由客戶盡職調查,即 CDD 替代,銀行先前辦理 KYC 作業,時有誤解成不外乎是徵提客戶身分或登記 文件並進行真偽辨識即屬之,惟實際上認識客戶應有更具體且深入之作為,稱之 為「盡職調查」(Due Diligence),客戶盡職調查範圍亦可能大於客戶本身,例如 其委託代辦人、交易往來對象或法人最終實質受益人等。依前開巴塞爾銀行監理 委員會「銀行客戶盡職調查」文件,可歸納出客戶盡職調查(CDD)四個關鍵因素,
包括:
1.客戶接受政策(Customer Acceptance Policy);
2.客戶身分識別(Customer Identification);
3.對帳戶和交易持續監控(On-going Monitoring of Accounts and Transactions);
4.風險管理(Risk Management)。
前開文件經於 2014 年納為「健全有關防制洗錢及打擊資恐之風險管理」之 一部分,並酌予修訂相關內容,現則改列為「客戶接受政策」(Customer acceptance policy)、「客戶和受益人身分識別、驗證及風險分析」(Customer and beneficial owner identification, verification and risk profiling)及「持續監控」(On-going Monitoring) 等節170,其中有關持續監控作業因包括客戶帳戶及交易往來部分,將併至下一節
「交易監控及資料留存」論述。
第一項 客戶接受政策
銀行為營利事業,並需尋求股東之最大利益,惟銀行為金融體系重要一環,
負有協助維持良好金融秩序之社會責任,而金融服務對於民眾之必需,也造成遭 惡意濫用之機會。對於接受廣大客戶金融交易往來之銀行,主要營運模式為收受
169 本文件已於 2014 年 1 月 15 日併入巴塞爾銀行監理委員會「健全有關防制洗錢及打擊資恐之 風 險 管理 」 文 件(Sound management of risks related to money laundering and financing of terrorism)。
170 BCBS,同前註 13,頁 7-10。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
95
存款、貸予信用、外匯交易及提供理財商品等,如何在客戶申請建立業務關係及 往來期間,確保伴隨客戶從事洗錢及資恐之風險已採行控制方案,銀行必需發展 明確之客戶接受政策,以時間軸來看,應分別涵蓋下列重要事項:
(1)開戶作業流程:客戶與銀行建立業務關係,應提供之相關身分或登記證明文件,
另就銀行辦理開戶相關作業流程亦應明訂,例如留存證明文件影本、身分及登 記資料驗證及照會、開戶目的及資金來源訪談、客戶基本訊息登錄作業、客戶 資料歸檔規則等,以利第一線人員共同遵循,使作業趨於一致,俾銀行取得正 確之資料源,運用於防制洗錢及打擊資恐風險辨識及機構風險評估(IRA)。
(2)客戶身分識別:對於自然人及非自然人客戶之身分識別作業程序,以及檢核制 裁名單、是否為重要政治性職務人士(PEPs)或其家庭成員、有密切關係之人、
有無負面新聞(Negative News)、客戶實質受益人及發行股票情形等確認事項。
(3)客戶風險分析:透過取得之客戶資料,依據風險因子權重對客戶進行風險分級 及制定相應管控措施。例如對高風險客戶及符合制裁名單客戶之處理。
(4)客戶持續盡職調查:針對風險分級之客戶群,採取不同強度及頻率之後續盡職 調查及交易監控程序。
第二項 客戶身分識別
依據FATF 40項標準建議第10項「客戶審查及紀錄保存」中,有關客戶審查 方式規定銀行應:(1)使用可靠、獨立之原始憑證、資料或資訊以辨別客戶及驗證 客戶身分。(2)識別實質受益人及採取合理措施確認實質受益人身分,藉此知悉實 質受益人。對於法人及其他法律安排應瞭解客戶之所有權及控制權結構。(3)瞭解 並在適當情形下取得有關業務往來關係之目的及業務性質之資訊。(4)對客戶業 務往來關係進行持續性審查及對其所從事之全部過程進行詳細審視,以確保所進 行之交易符合該機構對客戶、業務往來及風險之認知,必要時包括其資金來源。
基於FATF上開對客戶審查之要求,茲就銀行實務應執行作業說明如下:
一、確認客戶身分
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
96
銀行對於客戶不論係固定或臨時性客戶、自然人、法人、非法人團體或 其他法律安排等均應進行客戶身分確認,本國「金融機構防制洗錢辦法」
第3條第4款亦定有明文。參照巴塞爾銀行監理委員會「健全有關防制洗 錢及打擊資恐之風險管理」文件附錄4「開戶一般指引」171,銀行對於自 然人及法人開戶應蒐集客戶資訊如下表所示:
1.自然人172
身分識別資訊
基本資訊173 附加資訊(以風險為本考量)
(1)法定名稱 其他使用名稱或舊名
(2)完整地址 公司地址、郵件信箱、電子郵件帳
號、室內電話或行動電話號碼 (3)國籍、官方核發身分文件及號
碼、其他具識別性證件
居留身分
(4)生日 性別174
風險分析資訊
主要資訊 附加資訊(以風險為本考量)
(1)職業或職稱 任職公司或僱主姓名
(2)收入 客戶財富來源
(3)預計往來金額、帳戶數、往來 業務、目的及交易頻率
帳戶資金來源
(4)客戶所需金融商品或服務 帳戶資金去向
171 原為巴塞爾銀行監理委員會「一般開戶及客戶識別指引」(General Guide to Account Opening and Customer Identification),經於2016 年修訂後納入「健全有關防制洗錢及打擊資恐之風險 管理文件」。「開戶一般指引」(General guide to account opening) 並於 2017 年 6 月 7 日為最 新之修訂。
172 BCBS,同前註 13,頁 30-31。
173 所列基本資訊不包括銀行為業務往來需要所徵提者,例如簽名或印鑑式樣、存取款密碼等。
以下同。
174 自然人之居留身分與性別資料之蒐集,應遵循各國所頒定之個人資料保護規範辦理。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
97
2.法人175
身分識別資訊
基本資訊 附加資訊(以風險為本考量)
(1)名稱、法律形式、公司登記及 證明文件
(2)法人主要營業活動及設立地 址
(3)註冊登記號碼 法人機構識別編號(LEI)
(4)郵寄及註冊地址 聯絡電話及傳真號碼
(5)被授權運用帳戶之自然人身 分證明或高階管理人員
擔任高階管理職位者身分
(6)實質受益人身分
(7)法人之法律權源(如公司章 程)
風險分析資訊
基本資訊 附加資訊(以風險為本考量)
(1)法人性質及營業活動目的 財務狀況 (2)預計往來金額、帳戶數、往來
業務、目的及交易頻率
帳戶資金出入來源及目的地
3.其他法律安排
身分識別資訊
基本資訊 附加資訊(以風險為本考量)
(1)名稱及存續證明 聯絡電話及傳真號碼
(2)地址及設立國家
175 BCBS,同前註 13,頁 34-35。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
98
(3)性質、設立目的及參加對象 (例如是否具自由決定權或遺 囑等)
法人機構識別編號(LEI)
(4)委託人名稱、受託人、管理人、
受益人或類受益人及其他最 終控制自然人(包括間接控制 權/所有權)
擔任高級管理職位者名稱或受託 人、受益人之地址
風險分析資訊
基本資訊 附加資訊(以風險為本考量)
(1)主體性質及活動目的 資金來源 (2)預計往來金額、帳戶數、往來
業務、目的及交易頻率
帳戶資金出入來源及目的地
另鑑於本國詐騙集團盛行,其手段常係取得他人帳戶(即「人頭帳 戶」)作為移轉詐騙或其他犯罪所得之用,財政部於90年即函知「金融 機構於辦理客戶開戶時應注意防範歹徒以人頭或持偽變造身分證開立 存款帳戶情事。」復於93年重申「為防範人頭帳戶及保障金融機構本身 聲譽,金融機構應確實落實執行認識自己客戶原則,包括訂定一套認識 客戶及審慎評估客戶之內部規範,如對於新開戶者,訂有標準流程來確 認客戶身分並瞭解客戶;對於舊客戶,應明定相關措施,以持續注意其 交易行為是否與其身分、收入或營業性質相一致。」176嗣經中華民國銀 行公會於95年6月30日(行政院金融監督管理委員會金管銀(一)字第 09585013680號函准予備查)制定「金融機構開戶作業審核程序暨異常帳 戶風險控管之作業範本」(最新修訂日期105年2月19日)及96年1月11日 (行政院金融監督管理委員會銀行局銀局(一)字第 09500553460號函
176 參財政部民國 90 年 2 月 8 日台財融 (一) 字第 90900581 號函、民國 90 年 4 月 3 日台財融
(一)字第90733071 號函及民國 93 年 3 月 5 日台財融(一)字第 0938010347 號函。