中華民國公司經營發展協會

不只「法遵」,董事會應督導公司做好風險管理

陳清祥                
  勤業眾信風險管理諮詢公司董事長
  中華民國企業經理協進會副理事長
  中華公司治理協會常務理事
  中華民國公司經營發展協會常務理事

  日前因銀行海外分行涉及違反反洗錢法遭重罰,金控及銀行分別緊急召開董事會,
據媒體報導董事們砲聲隆隆,董事會在最後一刻才知道涉違法,質疑經營團隊是「刻意
隱匿、欺瞞董事會」?且僅一、二十分鐘內要為鉅額罰金背書,此案凸顯董事會的運作
與公司治理、法令遵循、風險管理與內部控制是否確實等諸多議題。

  我國董事會職權廣泛,除公司法及公司章程應由股東會決議之事項外,均由董事會
決議之。一般而言,董事會的主要職責包括監督經營績效、防制利益衝突及確保公司遵
循各種法令等。以公司治理最佳實務台積電為例,董事會的首要責任是監督,透過各式
組織與管道督導公司守法、財務透明、即時揭露重要資訊、沒有內部貪汙等;其次是指
導經營團隊;第三則是評量經營團隊之績效及任免經理人。

  被重批漠視法律、內控如「空殼」,實為非常嚴重的指控。內部控制是由經理人設
置董事會通過,為達成營運的效果和效率、法令遵循及報導的可靠性、及時性...等三
大目標所採取的一切措施。面對科技日新月異,經濟情勢瞬息萬變的時代,董事會如何
扮演好督導之責?如何督導內部控制落實執行?唯有針對風險評估,找出高風險所在,
確實檢討相關之流程、人員及系統等面向,才能對症下藥。設置審計委員會的公司,則
功能性委員會要基於專業分工協助董事會,做好監督工作。

  董事會必須透過和總經理及其團隊充分溝通,瞭解企業所面對的風險有哪些?督導
經營團隊如何辨識、報告及管理風險?董事會和經營團隊的溝通必須坦率且持續的對話
,針對策略、財務、營運、監督、合規、法律、科技及聲譽等。董事會要隨時監督經營
團隊如何處理各項風險議題?首先,是否採取適當的機制以平衡風險與機會?當評估各
項機會時不可太過積極而忽略風險,也避免因太過保守而錯失機會。尤其面對金融科技
創新需迎頭趕上的金融業,千萬別因網路攻擊事件而停下創新腳步。其他產業隨著物聯
網、雲端、行動通訊等新興科技的發展,如何創新轉型升級也是董事會應集思廣益探討
的議題。其次,董事會應確保企業擁有風險智能文化,逐步地將此文化融入營運及業務
單位中,不能只顧獲利和績效,將風險視而不見或掉以輕心。最後,經營團隊應能將關
鍵風險指標定期呈報董事會,並在組織內適當管理各項風險。

  風險管理係指為有效管理可能發生事件並降低其不利影響,所執行的步驟和過程。
一般組織為什麼經常容易忽略風險?因為風險多半是隱性的,不易清楚判別;而企業在
景氣佳時,總是追求成長與利潤,無暇注意風險;當景氣不佳時,處理日常事物都已分
身乏術,常不注意風險;多半企業則常對環境變化缺乏警覺,未預備及預測可能的意外
狀況,或未能適當估量事件或環境的快速變遷;更有企業因為過去成功帶來的過度自信
,因過度樂觀而未想像可能的失敗。隨著企業經營全球化,組織架構更趨複雜,部門分
工精細,公司成員可能僅止於關注自身的業務或績效目標,未能全面化考量公司營運目
標或由風險面向來判斷事物,培養員工的風險管理意識及建立有效的風險管理機制,將
可協助評估並監控那些可能存在卻看不到的企業風險。董事會應監督經營團隊認真檢討
公司的前三大或者五大風險為何?如何有效管理可能發生事件並降低其不利影響?尤其
近年來層出不窮的採購舞弊、營業祕密外洩、駭客入侵及資安、法規遵循等議題,更應
組成專案小組(必要時聘請外部專業顧問)優先加以檢視,並建構防範機制,強化內部
控制制度,及落實法遵、風控和內部稽核。

  出問題時常常容易歸咎於法遵、風控、內稽、分行督導等,然而內部控制和風險管
理的第一道防線是營運單位,首先營運單位要隨時做好日常的控制及風險管理活動,法
遵、風控及稽核則是第二、三道防線。營運單位應建立有關內控、風險管理、法遵等各
方面的健全制度,並訂定持續宣導及教育訓練計畫,且確實加以執行。另外,當組織全
球化、國際化後,往往總部在台灣,生產基地在台灣、大陸、東南亞,而銷售據點則在
歐美,或者金融業及服務業有許多子行或分行遍及全球。此時如何做好子孫公司或者子
行分行的監督管理日益重要,包括子公司經營管理、財務業務資訊及稽核管理等之監理
,母公司及總行都要建立完善的監管機制,以免因天高皇帝遠,鞭長莫及而成為控管死
角。實際參與經營的董事長及總經理應該帶頭重視風險管理,努力強化內部控制,而董
事會應督導經營團隊加以落實。而董事會除被動審查內控外,如何主動積極監督及強化
內部控制有待積極努力,建議考慮至少每季董事會時由經營團隊、法遵、風控、內稽等
報告關鍵風險相關議題,處理及因應計畫為何等,透過集思廣益及充分溝通,隨時掌控
風險議題並嚴加管控。

  以金融業為例,接連發生銀行ATM被駭事件、證券遭駭客勒索,金管會已下達相關
改善精進措施。勤業眾信風險管理諮詢公司在國內資訊安全顧問服務方面一直是領導品
牌,在銀行ATM被駭事件發生時,已在第一時間提供主管機關及銀行業界相關的建議,
並為主管機關採納為銀行業資安改善方案。除了資安管理服務外,我們也在金融業洗錢
防治管理服務、企業風險管理服務、舞弊偵查與預防、營業秘密保護、電子支付機構籌
設及管理服務等多方面,協助企業強化風險管理。另一方面也積極協助客戶開創新局,
包括金融業加速金融科技創新、零售服務業進入Retail 4.0及製造業邁向生產力4.0等
方面持續創新轉型升級,同時兼顧科技創新與風險控管。(本文係個人看法,未必代表
公司及協會立場)。