近日因銀行海外分行涉及違反反洗錢法遭重罰,金控及銀行分別緊急召開董事會,據媒體報導董事們砲聲隆隆,董事會在最後一刻才知道涉違法,質疑經營團隊是「刻意隱匿、欺瞞董事會」?且僅1、20分鐘內要為鉅額罰金背書,此案凸顯董事會的運作與公司治理、法令遵循、風險管理與內部控制是否確實等諸多議題。
我國董事會職權廣泛,除公司法及公司章程應由股東會決議之事項外,均由董事會決議之。一般而言,董事會的主要職責包括監督經營績效、防制利益衝突及確保公司遵循各種法令等。以公司治理最佳實務台積電為例,董事會的首要責任是監督,透過各式組織與管道督導公司守法、財務透明、即時揭露重要資訊、沒有內部貪汙等;其次是指導經營團隊;第三則是評量經營團隊之績效及任免經理人。
被重批漠視法律、內控如「空殼」,實為非常嚴重的指控。內部控制是由經理人設置董事會通過,為達成營運的效果和效率、法令遵循及報導的可靠性、及時性…等三大目標所採取的一切措施。面對科技日新月異,經濟情勢瞬息萬變的時代,董事會如何扮演好督導之責?如何督導內部控制落實執行?唯有針對風險評估,找出高風險所在,確實檢討相關之流程、人員及系統等面向,才能對症下藥。設置審計委員會的公司,則功能性委員會要基於專業分工協助董事會,做好監督工作。
董事會必須透過和總經理及其團隊充分溝通,瞭解企業所面對的風險有哪些?督導經營團隊如何辨識、報告及管理風險?董事會和經營團隊的溝通必須坦率且持續的對話,針對策略、財務、營運、監督、合規、法律、科技及聲譽等。董事會要隨時監督經營團隊如何處理各項風險議題?首先,是否採取適當的機制以平衡風險與機會?當評估各項機會時不可太過積極而忽略風險,也避免因太過保守而錯失機會。尤其面對金融科技創新需迎頭趕上的金融業,千萬別因網路攻擊事件而停下創新腳步。當然若是在法遵成本太高的地方營業是否值得,應審慎評估。其次,董事會應確保企業擁有風險智能文化,逐步地將此文化融入營運及業務單位中,不能只顧獲利和績效,將風險視而不見或掉以輕心。最後,經營團隊應能將關鍵風險指標定期呈報董事會,並在組織內適當管理各項風險。
風險管理係指為有效管理可能發生事件並降低其不利影響,所執行的步驟和過程。隨著企業經營全球化,組織架構更趨複雜,部門分工精細,公司成員可能僅止於關注自身的業務或績效目標,未能全面化考量公司營運目標或由風險面向來判斷事物,培養員工的風險管理意識及建立有效的風險管理機制,將可協助評估並監控那些可能存在卻看不到的企業風險。董事會應監督經營團隊認真檢討公司的前三大或者五大風險為何?如何有效管理可能發生事件並降低其不利影響?尤其近年來層出不窮的採購舞弊、營業祕密外洩、駭客入侵及資安、法規遵循等議題,更應組成專案小組(必要時聘請外部專業顧問)優先加以檢視,並建構防範機制,強化內部控制制度,及落實法遵、風控和內部稽核。
出問題時常常容易歸咎於法遵、風控、內稽、分行督導等,然而內部控制和風險管理的第一道防線是營運單位,首先營運單位要隨時做好日常的控制及風險管理活動,法遵、風控及稽核則是第二、三道防線。而董事會除被動審查內控外,如何主動積極監督及強化內部控制有待積極努力,建議考慮至少每季董事會時由經營團隊、法遵、風控、內稽等報告關鍵風險相關議題。(本文係個人看法,未必代表公司及協會立場)