普華商務法律事務所合夥律師梁鴻烈 吹哨者機制 補足程序面不足
普華商務法律事務所合夥律師梁鴻烈指出,整體來看,詐欺風險管理架構有五大關鍵基石,依照國際最佳實務,可分爲治理架構、詐欺風險評估、持續監控調查、教育訓練與溝通和吹哨者/舉報機制。
梁鴻烈強調,針對銀行從業人員行爲風險控管,除五大基石之外,重要的是要建立符合銀行特性的貪腐與詐欺風險評估方法論,量身設計全機構風險評估方法論的關鍵執行流程。
另一方面,也要強化全機構層面的詐欺風險管控機制,如建立有效的吹哨者/舉報機制,因爲依據美國舞弊查覈師協會(ACFE)2020年全球舞弊調查報告,將近一半內部詐欺事件的被揭露是來自於吹哨者檢舉。
再來是要做到數位鑑識,他強調,執行數位鑑識時應注意,包含應避免違法蒐證,如以侵犯隱私權的方式蒐證,以確保其證據能力在刑事訴訟程序中不被挑戰。另外,則是應將案件調查結果回饋至相關內部控制流程中,以利改善既有機制,並有助於辨識相關行爲風險。
梁鴻烈強調,銀行從業人員行爲風險控管上,最重要的是要從金融機構風險管理架構與實務出發,建立以風險爲基礎的行爲風險管理架構,包含體檢(風險評估)、改善與優化、持續維運,如法遵測試。
他舉例,首先要對洗錢風險充分理解,其中,洗錢風險、詐欺風險不同,洗錢風險通常來自外部的,詐欺風險是內部的同事、尤別是業務績效好的同事,因此相關控管措施與業務發展間具有潛在利益衝突,因此可能會有緊張關係,所以銀行要找到什麼是高風險,不要一竿子打翻一條船。
另外,是不是有什麼辦法,可以用自動化方式,把內部做不好的事情予以監控,但什麼是合理、什麼是不合理,這分類相當困難,因此要留意是否有足夠資料分析,並要額外留意有效性。