Get social with us

守護者聯盟 ─ 關於台灣市場落實內部控制三道防線的觀點 – Stamford Advisory
stamford, stamfordadvisory
11809
single,single-post,postid-11809,single-format-standard,mkd-core-1.0.3,ajax_fade,page_not_loaded,,mkd-theme-ver-1.4.1,smooth_scroll,side_menu_slide_from_right,wpb-js-composer js-comp-ver-4.7.4,vc_responsive
Implementation of three lines of defense in TW market
23 05. 2017
2

守護者聯盟 ─ 關於台灣市場落實內部控制三道防線的觀點

       近期銀行業間大家最關心的話題除了反洗錢及金融科技 (FinTech) 外,莫過於「金融控股公司及銀行業內部控制及稽核制度實施辦法」中第六條的增修條文,有關內部控制三道防線的實施議題。雖然三道防線 (three lines of defense) 的觀念可一路追溯至許久以前戰爭策略的元素,但一般認為直至近 3 年自從 COSO 與 IIA 發表金融機構風險管理框架相關指引後 [1]才開始大幅受到討論和重視。其基本的概念其實十分清楚易懂:
  • First Line of Defense: Functions that own and manage risk
  • Second Line of Defense: Functions that oversees risk
  • Third Line of Defense: Functions that provide independent assurance
[1] Leveraging COSO Across the Three Lines of Defense, Institute of Internal Auditors, July 2015

       在銀行的組織架構中,一般將前線的銷售人員 (及其所屬之業務單位) 作為第一道防線,風險管理和法遵部門則屬於第二道防線,內部稽核職能則屬於第三道防線。雖然大家對於以上的概念均能達成共識,但實務上要真正落實法規精神的要求,往往出現值得進一步探討的議題。經過我們對於幾家大型民營銀行的訪談和觀察,我們歸納出三個常見的實施議題。
1. 銀行目前所有 “內部控制” 相關的作法分類
       三道防線中除第三道防線 (稽核) 的角色與職責相對清楚外,由於銀行內部一直以來並不是以三道防線作為內部控制實務的語言溝通,因此要將目前所有相關作法作系統性的分類存在一定困難。舉例來說,在銀行法金授信業務中,客戶經理 (RM) 對於徵信報告中的輸入屬於第一道防線,審核員逐案檢視並進行授信決定則可能因為不同銀行的組織架構 (如:審核員屬於業務單位或中央風管) 而有所不同;授信後的組合管理 (如:例行的期中監控) 屬於第二道防線,但董事會層級的風險管理委員會則可能同樣屬於第一及第二道防線。另外,類似的內部控制作法可能在第二道及第三道防線中有重疊的現象。目前銀行內部採行的「自行查核表」就是一個好的例子 – 前線業管單位往往抱怨大同小異的表格因為不同單位 (如:風管、法遵、稽核) 的要求而必須重覆填很多次。
       若要有效的解決這個問題,我們必須先了解為什麼要將目前內部控制的相關作法分類?在多數我們接觸的銀行中,分類是為了要辨識目前的不足之處;也就是說,大家希望有一份具操作性的「內部控制框架清單」,可以有效地將不同法規、行業指引的隱晦條文轉化為可以自我檢測的 checklist,以供管理階層清楚地掌握目前內部控制作法盤點的狀況以及可能的 gap。在我們建議的框架中,試圖以五個 building block 展開:

一旦我們明確「內部控制框架清單」的第一層架構後,自然可以往第二、第三層級展開,進而完成整體架構。

很顯然地,以上的框架並不存在完美的「最佳實踐」可供參考,但無疑提供銀行內部及外部溝通的系統性框架。
2. 證明銀行 “內部控制三道防線” 的有效性
對於銀行的對內及對外溝通來說,最棘手的問題之一莫過於說明既有內部控制三道防線框架的有效性 (effectiveness)。我們認為,大致上銀行可以幾個方式試圖說明,第一個常見的作法是 benchmarking。舉例來說,當說明銀行董事會層級的委員會運作和組織符合同業實踐時,HSBC 的作法 (如下圖) 可供參考。

       另一種方式是以台灣市場 (不僅限於本行) 近期發生的風險事件作為案例,逐案說明在目前的內部控制框架中如何可以有效預防、偵測或減少損失。當然,作為案例的風險事件愈多樣化愈好,可能的例子包括:TRF、詐貸/超貸案、關係人交易、樂陞案、理專欺詐等等。在我們的實際專案經驗中,以 TRF 的案件為例,我們成功地藉此改善客戶的額度給予框架以及保證金管理的相關制度和流程。
       最後,銀行可以試著採用「鑑識稽核」 (forensic audit) 的方式增強框架有效性的說明。所謂的「鑑識稽核」簡單來說就是與傳統的稽核方式 (著重遵從既有程序) 對比,更進一步調查當出現缺失時,背後的原因是否為系統性疏失,甚至產生「風險盲點」(risk blind spot) 的可能,並加以改善。注意到雖然亞洲較先進的市場如新加坡已經普遍實施,然而往往也發生與既有風險管理職能重覆的疑慮。在這方面,部分客戶已經開始審慎地檢討;舉例來說,在財富管理業務中,稽核扮演傳統角色的同時,風險管理單位以「數據分析」的方式找出異常的交易模式並提醒前線主管 (如:分行經理) 確認理專與客戶間的報告是否如實。這樣的作法不僅解決了與稽核職能的重工問題,也在一定程度上具體說明內控框架的有效性。
3. 促使銀行的 “內部控制三道防線” 具體成功
       撇開遵法及對主管機關說明的疑慮,絕大多數銀行希望目前的內部控制框架能起實質的作用,以保護銀行避免非預期的大額損失 (財務或聲譽皆然)。然而,若檢視三道防線的基本設計,我們發現主要的障礙可能有三:第一,前線業務單位的動機不足。我們常說「考試領導教學」,試想若業務單位的 KPI 中清一色是業務導向的收入、業務量、利潤率等,如何要求同仁確實執行內部控制第一道防線的工作?當然,若內控相關的指標佔比過小,則實質效用也無法彰顯;我們經驗中較好的作法之一是將內控相關指標作為最終績效評核的門檻,也就是說,只要相關指標出現嚴重疏失,則 KPI 內的業務指標表現再好均無法取得良好考績或任何紅利。
       第二,內控制度中賦予第二道防線的權責不符。舉利來說,若銀行將非信用、非市場風險的所有風險管理工作納入「作業風險」的職責範圍,但全行除作業中心外的中央風管部門內的「作業風險」職能僅有三人,則即使原本設計的內控制度再完善,也很難避免不該發生的風險事件發生。另一個例子是前述的 「風險自評表」,若風險事件後,風險管理單位無權要求分行說明當初自評表填寫內容及依據 (通常稽核單位才有權限) 並作進一步調查時,風管單位可以執行的改善措施就十分有限。
       第三,整個銀行的「風險文化」塑造勢必與「內部控制三道防線」是否能成功有決定性的關聯。「風險文化」名詞其實並不虛無飄渺,我們可以用下例具體說明。

       在風險管理的領域中,「三道防線」並非新鮮的概念,然而實務上銀行仍然遭遇許多困難。我們在短短的章節中試圖提供銀行一些觀點,最終勢必仰賴各銀行針對不同的情形作全面的檢視。實施內部控制框架的路途也許漫長,但願本文提供一個起點,至少讓大家知道自己並不孤單!