近日因銀行海外分行涉及違反反洗錢法遭重罰，金控及銀行分別緊急召開董事會，據媒體報導董事們砲聲隆隆，董事會在最後一刻才知道涉違法，質疑經營團隊是「刻意隱匿、欺瞞董事會」？且僅1、20分鐘內要為鉅額罰金背書，此案凸顯董事會的運作與公司治理、法令遵循、風險管理與內部控制是否確實等諸多議題。

　我國董事會職權廣泛，除公司法及公司章程應由股東會決議之事項外，均由董事會決議之。一般而言，董事會的主要職責包括監督經營績效、防制利益衝突及確保公司遵循各種法令等。以公司治理最佳實務台積電為例，董事會的首要責任是監督，透過各式組織與管道督導公司守法、財務透明、即時揭露重要資訊、沒有內部貪汙等；其次是指導經營團隊；第三則是評量經營團隊之績效及任免經理人。

　被重批漠視法律、內控如「空殼」，實為非常嚴重的指控。內部控制是由經理人設置董事會通過，為達成營運的效果和效率、法令遵循及報導的可靠性、及時性…等三大目標所採取的一切措施。面對科技日新月異，經濟情勢瞬息萬變的時代，董事會如何扮演好督導之責？如何督導內部控制落實執行？唯有針對風險評估，找出高風險所在，確實檢討相關之流程、人員及系統等面向，才能對症下藥。設置審計委員會的公司，則功能性委員會要基於專業分工協助董事會，做好監督工作。

　董事會必須透過和總經理及其團隊充分溝通，瞭解企業所面對的風險有哪些？督導經營團隊如何辨識、報告及管理風險？董事會和經營團隊的溝通必須坦率且持續的對話，針對策略、財務、營運、監督、合規、法律、科技及聲譽等。董事會要隨時監督經營團隊如何處理各項風險議題？首先，是否採取適當的機制以平衡風險與機會？當評估各項機會時不可太過積極而忽略風險，也避免因太過保守而錯失機會。尤其面對金融科技創新需迎頭趕上的金融業，千萬別因網路攻擊事件而停下創新腳步。當然若是在法遵成本太高的地方營業是否值得，應審慎評估。其次，董事會應確保企業擁有風險智能文化，逐步地將此文化融入營運及業務單位中，不能只顧獲利和績效，將風險視而不見或掉以輕心。最後，經營團隊應能將關鍵風險指標定期呈報董事會，並在組織內適當管理各項風險。

　風險管理係指為有效管理可能發生事件並降低其不利影響，所執行的步驟和過程。隨著企業經營全球化，組織架構更趨複雜，部門分工精細，公司成員可能僅止於關注自身的業務或績效目標，未能全面化考量公司營運目標或由風險面向來判斷事物，培養員工的風險管理意識及建立有效的風險管理機制，將可協助評估並監控那些可能存在卻看不到的企業風險。董事會應監督經營團隊認真檢討公司的前三大或者五大風險為何？如何有效管理可能發生事件並降低其不利影響？尤其近年來層出不窮的採購舞弊、營業祕密外洩、駭客入侵及資安、法規遵循等議題，更應組成專案小組（必要時聘請外部專業顧問）優先加以檢視，並建構防範機制，強化內部控制制度，及落實法遵、風控和內部稽核。

　出問題時常常容易歸咎於法遵、風控、內稽、分行督導等，然而內部控制和風險管理的第一道防線是營運單位，首先營運單位要隨時做好日常的控制及風險管理活動，法遵、風控及稽核則是第二、三道防線。而董事會除被動審查內控外，如何主動積極監督及強化內部控制有待積極努力，建議考慮至少每季董事會時由經營團隊、法遵、風控、內稽等報告關鍵風險相關議題。（本文係個人看法，未必代表公司及協會立場）