普华商务法律事务所合伙律师梁鸿烈 吹哨者机制 补足程序面不足
普华商务法律事务所合伙律师梁鸿烈指出,整体来看,诈欺风险管理架构有五大关键基石,依照国际最佳实务,可分为治理架构、诈欺风险评估、持续监控调查、教育训练与沟通和吹哨者/举报机制。
梁鸿烈强调,针对银行从业人员行为风险控管,除五大基石之外,重要的是要建立符合银行特性的贪腐与诈欺风险评估方法论,量身设计全机构风险评估方法论的关键执行流程。
另一方面,也要强化全机构层面的诈欺风险管控机制,如建立有效的吹哨者/举报机制,因为依据美国舞弊查核师协会(ACFE)2020年全球舞弊调查报告,将近一半内部诈欺事件的被揭露是来自于吹哨者检举。
再来是要做到数位鉴识,他强调,执行数位鉴识时应注意,包含应避免违法搜证,如以侵犯隐私权的方式搜证,以确保其证据能力在刑事诉讼程序中不被挑战。另外,则是应将案件调查结果回馈至相关内部控制流程中,以利改善既有机制,并有助于辨识相关行为风险。
梁鸿烈强调,银行从业人员行为风险控管上,最重要的是要从金融机构风险管理架构与实务出发,建立以风险为基础的行为风险管理架构,包含体检(风险评估)、改善与优化、持续维运,如法遵测试。
他举例,首先要对洗钱风险充分理解,其中,洗钱风险、诈欺风险不同,洗钱风险通常来自外部的,诈欺风险是内部的同事、尤别是业务绩效好的同事,因此相关控管措施与业务发展间具有潜在利益冲突,因此可能会有紧张关系,所以银行要找到什么是高风险,不要一竿子打翻一条船。
另外,是不是有什么办法,可以用自动化方式,把内部做不好的事情予以监控,但什么是合理、什么是不合理,这分类相当困难,因此要留意是否有足够资料分析,并要额外留意有效性。