風險管理及內部控制

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

84

風險為本開展有效之內部控制？首先要從風險評估開始。

第一項 風險評估

FATF 40項標準建議第1項「風險評估及應用風險基礎方法」(Assessing risks and applying a risk-based approach) 開宗明義指出，各國應採行風險基礎方法確保 防制或降低洗錢及資恐之作為與辨識出之風險相稱，該方法為防制洗錢及打擊資 恐機制之資源有效分配與FATF建議相關作為實施之基礎。各國並應要求金融機 構及特定非金融事業體與專業人員應辨識、評估風險，並採取有效行動，以降低 所面對之洗錢及資恐風險¹⁵⁰。

依FATF評鑑方法論技術遵循評鑑建議第1項1.10段，銀行進行風險評估應：

（1）製作風險評估記錄；（2）在確定整體風險程度及適當降低風險措施之前，

考慮所有相關風險因素（涵蓋客戶、國家或地區；及產品、服務、交易或支付管 道）；（3）評估應保持更新；（4）建立向主管機關提供風險評估結果之適當機制。

151參照本國「銀行業防制洗錢及打擊資恐內部控制要點」第7點第1款及第2款亦 定有明文。是以，銀行在進行洗錢及資恐綜合風險評估時，應考慮所有相關固有 及剩餘風險因素，以確定其風險狀況並採行適當降低風險措施。實務上銀行應建 立IRA(Institutional Risk Assessment，機構風險評估)模型並確認已將監管要求納 入，避免評估面向發生不足，而影響最適作為之安排。依據中華民國銀行公會「銀 行評估洗錢及資恐風險及訂定相關防制計畫指引」第3條列舉之風險評估因素、

FATF 40項標準建議第1項、第10項及第15項及建議第10項之註釋(第15段)¹⁵²，簡 要彙整相關內涵如下：

項目 因素 判斷說明

地域風險 1.司法管轄區域風險 辨識客戶國籍/居住地、營業處所所 屬司法管轄權。

150 FATF，The FATF Recommendations，同前註 56，頁 9。

151 FATF，Methodology，同前註 30，頁 24。

152 FATF，The FATF Recommendations，同前註 56，頁 62-63。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

85

2.國家或區域聲譽風險 辨識與客戶具關聯性國家或地區 之洗錢/資恐風險程度。

3.業務活動地區風險 辨識主要業務地區是否禁止商業 或交易往來。

客戶風險 1.客戶地域風險 依據銀行自行定義之洗錢及資恐

風險程度地域名單，決定客戶國籍 與居住國家之風險評分。

2.客戶職業與行業洗錢風險 依據銀行自行定義之各職業與行 業的洗錢風險，決定客戶職業與行 業之風險評分。

3.客戶開戶與建立業務關係 管道

依據客戶是否以委託他人方式或 以非面對面方式建立業務往來關 係，例如以郵件申請信用卡或線上 數位存款開戶，決定風險評分。

4.客戶開戶與建立業務關係 金額

客戶是否以大額款項建立業務關 係。

5.申請往來之產品或服務 客戶申請往來產品或服務類型、數 量、金額等之適當性。

6.其他高洗錢及資恐風險之 表徵

(1)客戶留存地址與往來銀行之距 離關係。

(2)客戶為具隱名股東之公司或可 發行無記名股票之公司。

(3)法人客戶之股權複雜度。

(4)客戶身分為重要政治性職務人 士。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

86

產品風險 1.與現金之關聯程度 產品或服務是否涉及現金收付。

2.交易型態 (1)產品或服務提供管道，例如是否 為面對面交易。

(2)產品或服務是否屬於新型態商 務支付工具等。

(3)產品或服務是否可委由第三人 辦理或交由第三人使用。

(4)產品或服務是否屬於跨境業務。

(5)產品或服務是否具複雜性。

(6)是否為匿名交易。

3.是否為高金額之金錢或價 值移轉業務

產品或服務是否可使大額款項快 速移轉。

其他風險 1.分(子)公司風險評估結果 銀行分(子)公司(特別是海外)是否 涉有洗錢及資恐之潛在風險。

2.監理處分缺失 銀行採行防制洗錢及打擊資恐措

施是否存在缺漏或不足。

前開各風險項目係屬單一基礎風險評估，進行IRA需仰賴基礎風險評估得出 之總合結果¹⁵³，惟風險因素並非不可調整或組合，動態管理風險因子即是為了因 應不同風險因子發生變化，銀行亦應考慮與前開風險項目相關之風險變項(Risk variables)，此些變項單獨或交叉組合時可能會增加或減少潛在風險¹⁵⁴，銀行亦可 採行分配權重方式進行綜合評估，部分風險在解讀上，除了空間、實體交易及具 體資料外，尚需考量時間因素，加入時間軸之維度可避免判斷上之誤差。銀行整 體風險評估結果即為風險管理地圖，銀行進行IRA需有相關單位參與，協助檢視

153 梁鴻烈、王盈瑾，論全行洗錢暨資恐風險評估(Institutional Risk Assessment, IRA)下的基礎風 險分類方法-從美國「銀行秘密法」(Bank Secrecy Act, BSA)的金融檢查權談起，存款保險資 訊季刊，第29 卷第 3 期，2016 年 9 月，頁 28-29。

154 FATF，The FATF Recommendations，同前註 56，頁 64。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

87

評估結果之合理性及確認導入資料之正確性，俾正確辨識風險，使銀行可針對高 風險領域提出因應作法，有效投注資源以利控制機構承受之風險。

另為管控未知及不確定之風險，銀行應於新產品或新服務提供前，對該產品 或服務固有風險進行評估，並建立相應之風險管理措施以降低所辨識風險¹⁵⁵。針 對銀行IRA應訂定更新風險評估機制，確保風險資料之更新¹⁵⁶。

風險為本之概念涵蓋銀行所有防制洗錢及打擊資恐之機制，鑑於立法者不可 能在單一時點考量到所有風險，故而風險基礎法相較於法規基礎法(Rule-Based) 更能有效評估並降低洗錢及資恐風險¹⁵⁷。而各機構應對應自己所面臨之風險建立 專屬模型，充分考量各風險因子權數，始能得到相對正確之評估結果。

第二項 內控制度

依本國「金融控股公司及銀行業內部控制及稽核制度實施辦法」第5條之1規 定：「金融控股公司及銀行業董(理)事會應認知營運所面臨之風險，監督其營運結 果，並對於確保建立及維持適當有效之內部控制制度負有最終責任。」由於董事 會對於內部控制制度之有效性應負最終責任，故有關銀行洗錢及資恐風險評估資 訊應及時、完整、以適當方式通知董事會，使其對銀行洗錢及資恐風險明確瞭解，

並得據以作成決定。董事會亦應在考量銀行治理結構、確保銀行政策和程序有效 管理前提下，賦予經理部門明確責任。加之，董事會應核准或授權銀行風險政策、

及管理洗錢及資恐風險之相關規章，並監督執行情形¹⁵⁸。

參照本國「銀行業防制洗錢及打擊資恐內部控制要點」第7條第3款並明訂，

銀行之防制洗錢及打擊資恐計畫應包括下列政策、程序及控管機制：

1.確認客戶身分。

155 參「銀行業及電子支付機構電子票證發行機構防制洗錢及打擊資恐內部控制要點」第5 點。

156 參「銀行業及電子支付機構電子票證發行機構防制洗錢及打擊資恐內部控制要點」第 7 點第 2 款第 3 目。

157 慶啟人修訂，國際公認反洗錢師 CAMS 資格認證教程(第五版)，公認反洗錢師協會，2014 年8 月，頁 183。

158 BCBS，同前註 13，頁 4。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

88

2.客戶及交易有關對象之姓名及名稱檢核。

3.帳戶及交易之持續監控。

4.通匯往來銀行業務。

5.紀錄保存。

6.一定金額以上通貨交易申報。

7.疑似洗錢或資恐交易申報。

8.指定防制洗錢及打擊資恐專責主管負責遵循事宜。

9.員工遴選及任用程序。

10.持續性員工訓練計畫。

11.測試防制洗錢及打擊資恐系統有效性之獨立稽核功能。

12.其他依防制洗錢及打擊資恐相關法令及金管會規定之事項。

另依該要點第7點第4款並要求具國外分公司（或子公司）之銀行業應訂定集 團層次之防制洗錢與打擊資恐計畫，於集團內之分公司（或子公司）施行。前開 有關銀行防制洗錢及打擊資恐計劃內涵，亦於中華民國銀行公會「銀行防制洗錢 及打擊資恐注意事項範本」第2條第3項明定之，除第1目至第7目及第11目將續於 下文分述外，有關涉及治理監控要求部分，說明如次：

一、專責人員之指定

要成事必須先找對人，當責(accountability)比負責更重要。防制洗錢及打擊 資恐為全體同仁之共同義務，但各自擔負工作內容不同，銀行應有組織、有 層次進行權責劃分，並要求充分即時向上報告。雖然銀行防制洗錢及打擊資 恐最終責任在於董事會，董事會成員非執行層級，應透過完善制度，藉由相 關人員提出報告進行監督。

董事會應指定總機構防制洗錢及打擊資恐專責主管(即AML/CFT首席合規 官)，由專責主管負責持續監測銀行確實履行所有防制洗錢及打擊資恐之責 任並負有報告義務，一旦發現經理部門未符合規範或以不適當方式處理相關

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

89

議題，應即時報告高級管理層或董事會。銀行並應使各層級指派專責人員協 助執行銀行防制洗錢及打擊資恐之責任。任何商業利益考量均不得與防制洗 錢及打擊資恐專責主管或人員之職責衝突¹⁵⁹。專責主管或人員應共同建立各 層級溝通管道。各銀行對於權責劃分或許有不同規劃及作法，但上下階層在 執行上仍應體現出一致性，而非各自站在不同標準執行。為了鼓勵並宣示銀 行之要求，應將專責人員履行職責之情形連結績效，除將職責明確列入工作 範圍且賦予相應職權外，並應納為業績考核之中¹⁶⁰。

二、員工任用及教育訓練 (一)任用資格審查

員工亦可能為銀行帶來重大威脅，銀行應有適當人力資源政策及程序 用以篩選及審查潛在和現有員工¹⁶¹，認識員工與認識客戶同等重要，藉 由「瞭解你的員工」(Know Your Employee，KYE)制度，在合法範圍內 進行必要之背景調查（包括技能資格、學力認證、犯罪紀錄、工作資歷 等），參照本國「銀行業防制洗錢及打擊資恐內部控制要點」第10點第 1項，並要求應檢視員工其是否具備廉正品格。對於具敏感職位之員工，

應持續審查其資格¹⁶²，以確保道德和專業高標準，促使正確員工到位。

應持續審查其資格¹⁶²，以確保道德和專業高標準，促使正確員工到位。

在文檔中 銀行業防制洗錢及打擊資恐機制之實務探討 - 政大學術集成 (頁 92-102)