採訪、撰文:張嘉伶
【台灣銀行家】銀行公會為延續法遵研討會成效,續辦「海外分區經理人、法遵人員暨內稽內控人員研討會」,這次邀請金管會、紐約梅隆銀行與美國PwC共襄盛舉,就金融監理、法令遵循、氣候風險管理及網路資安等重點議題,分享專業見解。
近年來我國銀行業積極進行海外布局,而在積極拓展業務之同時,亦應發揮法令遵循功能、落實相關制度,以有效防止違失事件發生。如果發生時,未切實遵守法令或不合規而衍生任何爭議,不僅重創個別銀行在當地市場的經營,更可能影響台灣金融產業在國際的聲譽,所以這是國銀海外據點法令遵循都必須謹慎因應的重要課題。
在這樣的背景下,銀行公會特委託台灣金融研訓院,從2017年就開始辦理「海外分區經理人、法遵人員暨內稽內控人員研討會」,重點在提升國銀對於各地金融法規之認識與遵循。今年考量美國紐約為全球金融重鎮及美國主管機關的動向,銀行公會舉辦線上法遵會議,期許在積極布局海外據點的同時,也建立完善的法令遵循、內控內稽制度,以提升台灣銀行業之國際聲譽。
呂桔誠:掌握當地法規 了解監理趨勢
研討會由銀行公會呂桔誠理事長開場,他表示,國銀業者過去20年來積極在海外布局,隨著銀行業在全球各地開疆闢土,銀行業者必須要肩負責任,確保穩健營運、恪守金融紀律外,同時也必須協助提升地主國的金融穩定度。不過現在銀行業者仍然面臨許多不同的挑戰:一方面,銀行業者面臨利率風險或信用風險等傳統風險態樣;另一方面,銀行業者也面臨新興風險態樣,例如洗錢、資恐、網路安全以及氣候風險。一旦法遵出現任何缺失,就可能嚴重影響銀行的業務,同時也可能會讓台灣銀行業在全球的整體聲譽蒙塵。因此,必須要深度掌握銀行所在地主國當地的法規,了解各地的治理理念以及最新的監理趨勢。
法遵的概念不斷與時俱進,現在隨著金融監理環境趨嚴,金融機構就應該更加嚴肅思考相關議題,比如:如何在挑戰中辨識契機,又如何能擬定相關策略,因應不斷變動的環境。
概念演進 擴大為「全面遵循」
呂桔誠表示,「法遵」(Compliance)這個概念,其實不斷演進,原本強調的是「法規的遵循」(Legal Compliance),現在已經擴大為「全面遵循」(Total Compliance),成為風險管理的一環。銀行業者因此必須強化自身在法遵領域的量能。於此,有3個面向需所有國銀業者應特別注重:
第一,善用資訊科技的力量。銀行應提升自身量能,才能及時因應全新、充滿挑戰的環境,此目標可以透過許多新興科技達成。當前資訊科技整合快速,可幫助建構全銀行的法遵風險評估,以及監控機制,同時精進風險辨識的能力。
第二,持續優化「三道防線」概念,亦即推動「三道防線」模式。在此強調,如要成功推動三道防線模式,背後關鍵在於組織內部有效協調、協作及溝通。
第三,樹立法遵文化。所謂樹立法遵文化,絕非紙上談兵,而必須既深且廣地推行,在企業中由上而下將文化貫徹到整個企業治理體系當中。藉由推出與時俱進的訓練計畫,並在績效考核程序中,考量法遵相關面向,企業中樹立行為準則,讓所有人了解法遵的重要性,成為每一位員工DNA不可或缺的部分。
金管會著重集中式監理 推動四大目標
金管會著重集中式監理,並計畫推動以下目標:首先,提升金融韌性。維持金融穩定,是金管會的首要責任。為確保金融體系持續穩健運作,金管會因此密切監督銀行在全球的整體財務狀況以及風險承擔能力。此外,也關注銀行的內控職能以及業務持續營運計畫。
其二,建構永續金融,並關注ESG議題。銀行公會已採納了「赤道原則」(Equator Principles),以協助銀行評估環境及社會因素,評估對象並非僅限專案財務,也包含相關公司財務。金管會也會責成銀行,率先揭露氣候相關財務風險,例如明年就要上路的氣候相關財務揭露小組(TCFD)。此外,同樣自2023年起,上市公司也必須強制揭露碳排放,以追求2050年淨零排放路徑。金管會也樂見銀行支持客戶、幫助客戶走上淨零排放旅程,作法包括轉型金融、綠色金融,也包含提供創新的永續相關產品。金管會將持續推動公私部門合作,並跟國際夥伴合作,收集氣候相關資料,協助銀行業進行以科學為基礎的風險管理。
第三,鼓勵創新並提升網路安全。隨著數位化大幅改變銀行業務模式,網路安全方面的威脅也成為必須關注的議題,因此必須有穩健的治安措施,保護電腦系統及資料,防治相關風險、避免詐欺情事以及服務受到干擾,這點十分重要。
金管會2019年時推出網路安全行動計畫,要求銀行必須要有董事會層級的網路安全治理政策,藉此監控、辨識及避免風險。如此方能進一步提升網路安全防護。金管會也建立了金融網路安全資訊分享與分析中心,幫助銀行業、保險業、證券業匯聚資訊及能力,形成共同防禦系統,彼此分享資訊、進行抵禦攻擊演練,並促進國際合作,強化金融業的網路安全韌性。
第四,推動普惠金融,並打造公平公正對待客戶的文化。普惠金融是銀行宗旨的中心思想之一。金管會向來積極推動普惠金融,並呼籲銀行公正公平對待客戶,尤其要關懷弱勢,也要提升意識、推動理財教育方案。另外,「KYC──認識您的客戶」、「認識您的產品」也非常重要,應著重避免不當銷售,並保障客戶利益。
強化韌性 任命資安長、成立專責單位
而金管會銀行局副局長童政彰則提到,過去幾年有許多網路攻擊,對金融業造成很大挑戰。國際駭客的攻擊事件也層出不窮,所以,金融機構必須要提升意識並增進自己的量能,以進行良好的資安治理;網路犯罪之外,金融犯罪現在也越來越多使用科技,畢竟關鍵資產市場活絡、跨境交易十分複雜,更有許多新型的資恐跟洗錢態樣,都是犯罪溫床。因此,銀行必須要建立非常有效的機制,才能夠辨識可疑的活動、減緩風險,進而符合地主國與本國的監理規定。
關於強化資安韌性的主題,金管會已經要求銀行任命資安長,也要有專責的資安單位。希望銀行能建立資安文化且提升能力,以因應資安事件。除此之外,銀行也須要有資安策略,及充分的資源來因應。為了確保銀行能充分回應風險,並維持資安的韌性,金管會也針對營運風險提升資本要求,這也是根據巴塞爾規定所做的決定。另外,為求改善金融市場資安、達到早期預警及緊急因應,金管會已成立F-ISAC,也就是金融資安資訊分享與分析中心。F-ISAC收集、分析資訊並發布報告,探討如何建立早期預警機制與提供建議。
而金管會也針對監理銀行業在洗錢防制與打擊資恐領域有重大政策,2021年發布的最新國家風險評估報告已經辨識出一些洗錢防制的風險及弱點產業,其中境外金融中心(OBU)、中央銀行指定辦理外匯業務的銀行(DBU)和虛擬資產服務提供商(VASP)已被辨識為具高弱點的行業。有鑑於此,銀行海外分行必須監控相關的衍生風險,金管會也頒布適用於VASP的相關法律。洗錢防制與打擊資恐的新法都適用於VASP,VASP必須提出反洗錢法遵聲明。銀行如果有VASP的客戶,則要特別注意是否符合防制洗錢金融行動工作組織(FATF)標準。
紐約梅隆銀行:採RBA評估客戶關係 進行有效CDD
而紐約梅隆銀行客戶長,財政服務與全球客戶管理暨機構KYC顧問負責人Sameer Pandit則主講「通匯銀行──客戶與強化盡職調查」,他提到美國有金融犯罪執法局(FinCEN),FinCEN是一個主管機關,代表美國財政部制定並執行政策,主要是在金融犯罪法遵這個領域,也和聯邦的監理機關與銀行機構有非常緊密的合作。日前FinCEN推出2頁聯合聲明,講到如何採用以風險為本的方法(RBA)評估客戶關係,也提到了客戶盡職調查(CDD)。這份聲明反映了銀行業持續關注的主題──有時候可能大家會以為CDD可以一套方法走天下,尤其在面對外國通匯銀行、慈善機構、非政府組織(NGO)等時也是如此。
FinCEN聲明則提醒銀行,有責任採取以風險為本的方法,藉此評估與客戶之間的關係,進行有效的CDD。這當然不是新的發展,特別是在通匯銀行這個領域,在談金融犯罪的傳統風險因子時,也會去檢視特定地區的客戶、產品、交易等風險,比如說某些地區的客戶被認為風險比較高。另外,當然還要檢視是否有經濟制裁、法遵方面風險,所以這些都是有效KYC、CDD、強化盡職調查(EDD)的一部分。以風險為本的方法也應考慮特定、特殊產品的盡職調查,此外,針對某一些客戶,則需要使用強化盡職調查。比如說VASP就是近期必須檢視的特定客戶類型。不管是以任何方式、型態、形式提供虛擬資產或數位資產的服務,這類的中介商都有其獨特的風險。必須針對這種客戶進行EDD,確保自己理解當中的金融犯罪法遵風險,並能證明可以減緩風險。在通匯銀行領域中,這些議題特別重要,因為現在全世界有很多機構,包括金融機構,可能都是跨境在做交易。在這樣的情況之下,美國通匯銀行必須了解,通匯客戶是不是可以管理風險,當然自身也必須了解、管理跨國支付方面的風險。
洗錢防制法上路 公私部門攜手打擊金融犯罪
而今年6月30日FinCEN發布了跨政府部會洗錢資恐防制優先要務文件(AML╱CFT Priorities)。這份文件是根據美國2020年正式入法、新生效的《洗錢防制法》(AMLA 2020)所發布,該法是《國防授權法案》(NDAA)的一部分。在AML╱CFT Priorities中,可以看出目前美國當局想證明的是,希望強化洗防相關的法規以及執法作為,以此作為關鍵要務,提升民事、刑事執法作為。同時,裡面有很多作法可讓金融業者了解整個美國或是國際所面臨到的更大問題,比如網路安全、犯罪還有貪腐。
可看到貪腐、網路安全、網路犯罪、虛擬貨幣、詐欺再度成為顯學,及國內外資恐活動也一直存在,跨國的犯罪組織活動令人關注。甚至販毒組織的活動,以及背後可能涉及或潛在販毒用藥的有關活動都是相互牽連。人口販運與走私也是很敏感又很重要的議題,當然裡面有非常陰暗的人性面。最後一個面向就是與資助武擴(PF)有關的任何制裁。這次跟FinCEN一貫的作法一樣,發布優先文件之前,也先諮詢了利害關係人,包括其他聯邦機構等,幫助擬定出對美國而言重要的優先項目──很明顯可以發現,特別聚焦在美國金融系統與國安所面臨的威脅。這份清單跟美國國安與利益息息相關,正是擬定、發布這份文件背後的重要用意。
項目裡有一些常態威脅,如:貪腐、詐欺。還有一些則是新興威脅,例如前面講到的勒索軟體、網路犯罪,手法都在持續演進。值得注意的是文件發布時,FinCEN代理局長便說:「優先要務可說是FinCEN重要的里程碑。大眾一直想要強化整個國家洗錢防制與打擊資恐的相關效能與效益,也希望能夠更進一步促成公私部門的合作(PPP)」。由此推測,未來相關的新法規隨著2020年《洗錢防制法》上路之後,應該會進一步促成公私部門合作,打擊金融犯罪。
美國PwC:網路攻擊層出不窮 聚焦主管機關因應之道
美國PwC網路安全風險與法規董事總經理Robert Donovan則是主講了「全球金融機構近來面臨網路攻擊的影響與網路安全風險管理的最佳作法」,主要是近期的網路安全攻擊,聚焦於紐約州主管機關的因應之道。
今年年初,美國證交委員會發布了一項文件,要求上市公司運用8K表格揭露網路安全事件,也要求上市公司的董事會負起更多責任,監督公司的網路安全。今年3月,也通過一項新法並生效,這項法律要求關鍵基礎建設提供者注重網路安全事件。此法是推力,也是拉力,將使上市公司或私人公司的管理階層更進一步關注網路安全的議題。
例如勒索軟體(Ransomware)的議題。可以發現,近來勒索軟體的情勢有增無減,原因很多:第一,勒索軟體有利可圖。現在數位貨幣的使用率越來越高,例如比特幣等加密貨幣,或是一些加密的私有貨幣,如Monero或Dash這類虛擬貨幣流行之下,網路罪犯更容易利用虛擬貨幣獲得受攻擊企業的贖金。甚至還有「勒索病毒服務」(RaaS)出現。以前這些勒索病毒背後的有心人士,自己要懂很多事情,可是現在發起這個攻擊的人,本身並不一定要具備攻擊能力,只要付錢直接購買勒索病毒服務即可。而數位資產跟虛擬貨幣興起,也讓這類活動在暗網上日益猖獗,以上種種因素加總起來,再加上疫情之下仰賴遠端存取,而且近期東歐戰事、烏俄戰爭,也讓勒索病毒活動越來越頻繁。
聯邦金融機構檢查委員會(FFIEC)是正式的跨部會機關,有權規定統一的標準及報告格式,供聯邦金融機構檢查使用。當中也有州銀行監管機構、全國信用合作社管理局等機關代表。這個跨部會機關負責制定並更新《資訊科技手冊》,除供聯邦檢查員使用外,州政府的銀行檢查員也會參考這份手冊,在檢查州特許機構時使用。手冊也獲得貨幣傳輸監理單位協會參考,用於監管、檢查非存款型的金融機構。
FinCEN也發布了相關指引,也就是2021年11月的《勒索軟體及利用金融系統幫助支付贖金──相關建議》(Advisory on Ransomware and the Use of Financial System to Facilitate Ransom Payments),文件中列出12個紅旗警示,也提到了可疑活動的申報規定,FinCEN及執法機關認為涉及勒索軟體攻擊的可疑交易,也屬於需要立即注意的違法情事。
延續強制申報的主題,聯邦的銀行主管機關FRB、OCC、FDIC在2021年11月的時候已確立最終版網路安全事件通報規範,針對銀行業者及其服務供應商──請注意強調了服務供應商。這項最終版規範,要求銀行機構碰到「嚴重網路安全事件」時(條文中有相關定義),必須向主管機關通報,且必須在事件發生36小時內通報。依規定必須通報的事件,包括已經或可能嚴重影響銀行業務運作、提供銀行產品及服務能力,或者影響金融穩定。此外,銀行或銀行服務供應商都必須盡快告知受影響客戶,在確認發生應通報事件,且已經嚴重影響,或可能嚴重影響銀行客戶達4小時以上時,就應盡快告知。前面所說的最終規範,從今年5月1日起生效。
這裡有幾個重要主題:向主管機關通報,以及向大眾宣布相關消息。有幾個近期的聯邦申報要求,特別需要關注,因為這幾年來,紐約的州主管機關規定是用更整體的眼光看待金融機構,也包括保險公司,NAIC推出的網路安全法規就是這麼做,其他州也有類似規範,這也呼應網路安全事件時的監理趨勢以及顧客通報要求。
紐約DFS法規 一體適用於各類金融機構
紐約州金融服務署(DFS)最近非常積極,它是公認的網路安全領頭羊,特別重視網路安全法規。該主管機關會提供指引、建議、最佳實務或框架,但法規不同之處在於有強制力。發布法規的紐約DFS,負責管理很多的金融機構,不只是銀行,也包括非銀行的金融機構:貨幣傳輸、貨幣服務、保險公司。從政策角度來看,紐約人應該要對自己所有的金融工具有信心,無論是保險公司的終身壽險、銀行裡的存款、數位資產交易所裡的資產、貨幣傳輸業者的電子錢包,要確定是安全的。從公共政策的角度,無論使用哪種金融服務,民眾應該都可受到類似保護。為此,紐約DFS的法規,其實就是要一體適用於各類金融機構。
另外,DFS發布的指南也非常有用,因為裡面分享了所觀察到的業界作法。DFS其實收集了非常多網路安全事件相關資訊,而Fed、OCC、FDIC近期也開始仿效,分享類似資訊。這類資訊其實都非常有用,可以幫助大家了解如何防患未然、預防勝於治療,藉由執法行動幫助機構更穩健、更安全營運。美國金融服務署在網路安全治安方面持續不斷與時俱進,看來其他的主管機關預計也會開始受到這方面作為的影響,採取類似作法,來修改自身的監管計畫。
探索更多精彩內容,請持續關注《台灣銀行家》雜誌
https://taiwanbanker.tabf.org.tw/index
本文為作者評論意見並授權刊登,不代表TVBS立場。
◤Blueseeds永續生活◢