法令遵循新趨勢－從法遵風險評估開始

今年以來，金融控股公司及銀行業內部控制及稽核制度實施辦法第34條之1、保險業內控內稽實施辦法第32條之1、證券商法令遵循之評估內容與程序標準規範第參點分別規定大型銀行、大型壽險及證券商應建立法遵風險管理架構、獨立法令遵循組織及權責，以及落實法令遵循效能報告及監督等機制，而所謂法遵風險管理必須先以法遵風險評估(Compliance Risk Assessment, CRA)做為第一步，這樣的發展趨勢，其實就是國際上法令遵循的新潮流，建立有效的法令遵循計畫，必須以法遵風險評估為基礎。

原本法令遵循計畫係源由於美國量刑委員會(U.S. Sentencing Commission)頒訂之「量刑準則」(sentencing guidelines)，原本量刑準則對有效的法令遵循計畫規定有七項要件，但並無所謂法遵風險評估之規範，但在2004年量刑準則修訂時，將有效的法令遵循計畫之定義包含了法遵風險評估，組織必須定期對犯罪行為評估其風險，採取適當措施去設計或修改控管機制，以抵減已被辨識之犯罪風險。組織亦應定期就法遵計畫之要素予以排序，目的在於防止或偵測在法遵風險評估中，被辨識最有可能的犯罪行為風險。論者認為如果沒有執行法遵風險評估，組織如何知道哪些政策、程序、訓練、稽核是必須的，足見法遵風險評估為有效法令遵循計畫的第一步。

接下來有疑問的是，法遵風險評估與內部稽核或個案調查的區別何在？儘管法遵風險評估也是對業務流程中涉及的議題與環境作一深度檢視，法遵風險評估更專注於對法遵風險類型的辨識與評估，評估其可能性與結果的重要性，並決定現行與欲達成控制程度，以及可接受風險的程度。法遵計畫的稽核或評量，則是檢視法遵流程與活動，評估整體的影響及法遵計畫的有效性(See José A. Tabuena, The Complete Compliance and Ethics Manual, 2nd Edition, Society of Corporate Compliance and Ethics)。

執行法遵風險評估的基本步驟，一般認為包括：(1)在相關法令法規適用下，準備相關風險及衝突的存貨；(2)比對風險、衝突至政策、程序、控制措施或尚未控制之情形；(3)就已被控制措施抵減之風險進行評分，給予評分優先順序；(4)發展風險抵減與測試計畫。以準備風險存貨為例，公司應辨識在公司業務活動中將會導致風險之議題，包括法規與法令議題、利益衝突、行為風險等，這是法遵風險評估中最重要的步驟，準備固有風險的存貨，必須全面分析公司所適用的法規與函釋(See Stephanie Nicolas and Paul V. May, Building an effective compliance risk assessment programme for a financial institution)。
    法令遵循風險評估目前已成為國內外監理機關所注重的議題，首當其衝者為大型銀行、大型壽險及綜合證券商，本文主要介紹法遵風險評估的基礎概念及美國量刑準則之規範，從而衍生出法遵風險評估基礎的方法論，亦即固有風險的辨識與評價、控制措施的評價、剩餘風險的評價與優先順序，以及應採取的行動改善方案。