落實誠信經營之挑戰
► 實施時程
鑒於業者需於2023年4月前提交公平待客原則評核表,且評估期間為2022年全年,故業者大約僅剩半年時間可補強內部相關機制,時程相當緊迫。
► 法令環境
「誠信經營」係出自臺灣證券交易所公布之「上市上櫃公司誠信經營守則」及「誠信經營作業程序及行為指南」。由於並非所有金融機構皆為上市櫃公司或其關係企業,有部分業者未曾實施誠信經營原則,且上開規定內容多屬原則性要求,若業者欲真正落實誠信經營,將需自行發想執行細節。
另一方面,「上市上櫃公司誠信經營守則」規定不誠信行為防範方案至少應涵蓋下列行為:
- 行賄及收賄
- 提供非法政治獻金
- 不當慈善捐贈或贊助
- 提供或接受不合理禮物、款待或其他不正當利益
- 侵害營業秘密、商標權、專利權、著作權及其他智慧財產權
- 從事不公平競爭之行為
- 產品及服務於研發、採購、製造、提供或銷售時直接或間接損害消費者或其他利害關係人之權益、健康或安全
除前五項尚可參酌ISO 37001反賄賂管理系統標準外,其餘項目已超出ISO 37001範圍。換言之,因不誠信行為風險之範圍遠超過賄賂風險,業者無法直接適用賄賂風險評估方法,而須另行設計不誠信行為風險評估方法。
► 知識面與操作面
由於業者未必了解如何評估不誠信行為風險,且內部已存在多種自評機制,故實務上常傾向將既有風險評估機制解釋為已涵蓋不誠信行為風險之評估。這些評估方法多以自評方式評估控制落實度,然而極少有評估單位願意誠實揭露自己未落實控制,故控制評估結果均為落實,此為人性問題。因此,當評估的風險為「不誠信行為風險」時,自評落實度之方法顯不適用。試想,若評估單位或人員發生不誠信行為,該單位或人員如何能將實情反映於控制落實度中?如現行評估方法具上述問題,直接套用該方法可能會導致不誠信行為風險遭低估,反不利建立完善的風險管理措施。
► 他評或查核可有效解決風險評估問題?
實務上亦常見透過他評或查核檢驗風險評估結果之正確性。惟他評或查核可解決評估不實問題的前提為權責人員具備對不誠信行為風險之知識、技能及經驗,若權責人員不具備相關知識、技能及經驗,他評或查核之成效恐有疑慮。
► 落實誠信經營之解決方案
基於前述分析,我們建議金融機構除內部辦理差異分析,了解待建置或強化之項目,並可先建置有效的不誠信行為風險評估方法。
► 有效的風險評估方法
為設計有效的不誠信行為風險評估方法,須先了解不誠信行為之涵蓋範圍,避免僅評估賄賂風險。因本國誠信經營相關規定並未深入闡述業者應如何評估不誠信行為風險,是故,我們建議業者可按本國規範所訂之不誠信行為範圍,參考國外相關規定、指引、文獻或案例(例如ISO 37001、Wolfsberg指引等),以生成不誠信行為風險評估框架。
另一方面,因控制是否落實無法透過自評判斷,風險評估方法應避免使評估單位自評控制落實情形,並將重點聚焦於評估機制面之設計是否完善。
再者,我們亦建議評估指標可混合質化與量化題目,混合式題目可避免全量化或全質化評估之盲點。若設計得當,風險評估結果將可反映不同時點之狀況,避免每次評估結果皆相同。