381期・Cover Story風險篇

盲點多如牛毛  小心誤踩經營地雷

監管風險面面觀  合規好難？

◎撰文╱賴品語　圖片提供／Shutterstock、美聯社

金融法遵爭議曾鬧得沸沸揚揚，兆豐銀行紐約分行（Mega International Commercial Bank）內部疏於監管洗錢防制法令，潛在可疑交易通報不合規，以至於遭美國紐約州金融服務署（DFS）以「法令遵循程序過於鬆懈」為由，裁罰1.8億美元罰款。

兆豐一案說明企業因未留意法遵而衍生慘痛的「合規風險」。國際數據資訊機構IDC歸納，企業疏忽法遵風險，大致是以下情境：

情境1》企業無法掌握法令法規更新時程。

情境2》企業未能正確解讀法令法規內容。

情境3》法令法規要求，未能內化至營運流程。

情境4》員工不清楚法令法規要求及其影響。

情境5》企業缺乏即時偵測與防阻違法風險機制。

情境6》跨業或跨國經營，未能及時注意適用法規差異。

裁罰個案顯然誤觸諸多法遵情境地雷。之後，兆豐銀行理所當然努力挽救商譽信用，重建有效監管法遵架構，深度稽核管理盲點，嚴格杜絕監管紕漏。

鬆散監管缺失  法遵漏洞百出

也可見得，只要一次輕忽誤入監管灰色地帶，引爆法遵地雷，將前功盡棄，衝擊公司治理成效，後續往往耗費更多心力彌補監管缺口。

關於監管法規疏失，美國顧問公司Starling Trust Sciences有更精闢見解，在剖析企業法遵風險，主要探討組織結構鬆散、培訓不足導致的合規漏洞。對此，專業經理人稱為「偏差成習慣的常態」（Normalization of Deviance）。

跨國風險管理諮詢機構勤業眾信經手許多合規諮詢個案，發覺近年來頻繁更新監管法規，尤其金融稅負、環保、衛生安全及勞工權益，是對應外在社會環境重大變化，在在敦促各行各業重新評估商業合規風險。

深入風險情境  企業法遵遊戲規則

尤其現下貿易鏈重整之際，法遵課題推陳出新，牽動監管風向球，正是重新解構公司治理方針，梳理內部流程，適時導入未知風險情境，再解讀供應鏈法規，以尋求韌性因應合規方案的時機點。

其中最重大改變，莫過於氣候變遷造成產業的經濟衝擊。世界各國紛紛允諾在2050年達成淨零碳排放（Net Zero）目標，這也成為供應鏈當務之急。企業面對碳邊境調整稅（CBAM）、碳足跡盤查、碳交易，需融入ESG永續治理評估，才有逆轉風險的機會。

最顯而易見，國際大廠綠色供應鏈受碳盤查監管，蘋果供應鏈率先允諾將全面使用可再生電力，透過訂單約束台灣供應廠商台積電、和碩、日月光、緯創、可成、仁寶投入再生能源，形成供應鏈共識。

蘋果推動供應商使用綠色能源生產，包括代工iPhone的富士康和生產蘋果所有行動裝置A系列晶片的台積電。

同時，具體法遵也在施加壓力。環保署著手研擬碳定價機制，並強化監管碳排放量，而金管會則推動綠色金融行動方案3.0，鼓勵企業擬訂轉型計畫並期望金融業納入投融資決策。當「紅蘿蔔與木棍」軟硬兼施，法遵監管成效逐步擴及上下游供應鏈。

然而，與其被動承受監管風險宰制，中小企業應主動協商法遵配套，包括鋼纜、模型、自行車、CNC工具機、金屬加工、光學鏡頭等業者，挺身而出協調廠商碳交易費率，要求遵照國際碳定價走勢。

監管風險個案  樣態與時俱進

而碳監管並非只是單一監管風險個案，對應全球大環境瞬息萬變，新興科技及政經貿易、金融賦稅正以新面貌改變，引來的風險與日遞增，致使個案法遵界定更加複雜。

個案1》全球稅改  透明財報合規避險

全球大稅改逆襲，「全球利潤分配稅制」和「全球最低稅負制」大舉擾動境外企業監管。開曼群島國際稅收合作部門（DITC）加速抽查純控股公司的財報，追究實際的應負稅額。

英屬維京群島稅務機關ITA更大刀闊斧抽查包括集團總部、銷售與服務中心、融資與租賃、基金管理、銀行、保險、航運、控股公司及無形資產，追查實質經濟營運活躍度。

金融監管機構嚴格審核交易流程，須有實質帳務流動，當作抵稅合法成立的依據。有鑑於此，台商境外公司逐漸落實委託會計師查核報表，盡可能完成財報資訊透明化，降低稅負影響及潛在追討稅務風險。

個案2》境外掛牌   組織雙重監管安全鎖

另從開放外國企業掛牌以來，登記在英屬開曼群島（KY）公司大舉來台上市、公開募資，卻接連引爆掏空。資本額新台幣4.55億元的五金百貨貿易商「凱羿-KY」曾因為未確實評鑑供應廠商、未審核採購對象資料、付款欠缺內外部憑證，以及合約書面程序等等多項程序監管內控缺失，遭證交所打入全額交割股。就連紅極一時的生技股后「康友-KY」也違反法遵，觸動監管法規警鈴。

放眼全台至少還有百餘家KY公司掛牌，有鑑於此，金管會加嚴監理手段，研擬要求台籍董事席須過半、獨立董事席次至少2席，且特定業務須經母公司董事會決議執行，公司財務、海內外營運布局也講求更細緻的揭露。

美國交易量最大的加密貨幣交易所之一Coinbase允許用戶在沒有足夠背景調查的情況下開立帳戶，違反了反洗錢法，可見得美國政府對加密貨幣市場、項目、投資方，採取更嚴格的監管和審查。

個案3》數位攻擊   加密監管防堵

交易環境複雜也凸顯於資安層面，一旦落入監管法規漏洞，風險猶如滾雪球。國際導航裝置大廠Garmin、電子廠廣達就曾遭勒索軟體攻擊，癱瘓產線系統，造成連日營運損失。

德國萊因（TÜV Rheinland）更進一步提示，法遵不只攸關成本，還影響企業申貸融資金額通過與否，牽動實際企業競爭力。

企業內部風險管理機制格外重要。因此，美國安全技術研究院（Institute for Security and Technology）試圖健全監管法規，包括將加密貨幣產業納入反洗錢（AML）與反恐募資（CFT）法規，嚴密監理法遵規避風險。

聯合國歐洲經濟委員會要求汽車銷往歐盟市場，皆須通過相關資安法遵，對智慧聯網車輛供應鏈擴大資訊安全範疇。

個案4》資安漏洞  標準法遵落地

資安監管還跨足電動車用領域，舉凡汽車電器、電子相關系統、機械零件，均講求更細緻的安全標準及法遵。國際標準組織（ISO）和國際汽車工程協會（SAE）著手擬定參考標準ISO 21434，並於2021年實際落地。

另外，聯合國歐洲經濟委員會（UNECE）更在世界車輛法規協調論壇（WP29）頒布「車輛網路安全」和「軟體更新」新法，要求汽車從軟體應用、雲端操作流程應更新，且只要整車、零組件銷往歐盟市場，皆須通過相關資安法遵，對智慧聯網車輛供應鏈擴大資訊安全範疇。

加密監管措施看似滴水不漏，卻百密一疏。一名德國19歲駭客David Colombo發現軟體安全漏洞，於是入侵特斯拉（Tesla）電動車網路儀表板，遠距操控各地25輛特斯拉開關車門、關閉車輛哨兵模式、鳴笛，甚至從數位車鑰匙軟體存取車主電子郵件個資，掌握特斯拉行蹤位置等。

事後駭客David Colombo回饋監管漏洞，特斯拉也重新編寫修復程式，解決資安缺口。

特斯拉一個應用程式介面（API）曾存在資安漏洞，透過德國一名駭客入侵並善意提醒後，已重新編寫修復程式。

法遵無遠弗屆   風險藏在細節裡

「鄧白氏」（The Dun & Bradstreet）直指法遵盲點普遍在於，公司政策空轉，疏忽更新、與時俱進，渾然不知內稽、內控SOP已跟不上愈來愈嚴謹的現行法規，還安心地恪守行之有年的法令，導致法遵漏洞擴大，與現實差距甚遠。

行政院洗錢防制處曾統計，台灣上市櫃公司近1,700家，懂得執行法遵風險的企業，僅有7％，且大部分風險觀念只停留在內部法遵人員，並未形成由上而下的法遵共識，等同隱形法遵守門只由少數人把關。

若反映在海外分公司據點，風險更大。畢竟全球法遵議題時刻翻新，且法規不一定一體適用，專業財會分析，全球貿易鏈綿長，企業夥伴往來的每一步，皆是法遵縮影，有必要深入了解避險。

由於法遵風險潛藏一連串「應注意而未注意」的疏失裡，如果不小心誤踩法規地雷，輕則損失利潤，重則衍生國際制裁罰款、損害賠償，更嚴重還可能遭凍結資產、中斷營業，招致商譽毀損。

對應現今貿易時空背景，法遵不只攸關大型跨國企業集團，中小企業更要有危機意識，謹慎掌握變化，唯有全面合規，才能安然度過擴大中的監管危機風暴。

風險平衡法遵成本  企業實務障礙

把關監管風險的確在無形之中墊高法遵成本，緊縮的人力須負荷法規盤點行政工作，至於內部監管措施評估，又更仰賴法務專業。

將法遵制度透明化是最理想的做法，但考量到實質法令遵循壓力，台商企業可採折衷作法，適度評估單純化境外公司行政作業，以避免財務資訊公開增加稅務風險，同時也能精簡投資架構，在有限的法遵成本中有效降低風險。

另外，也有許多企業委託外部第三方公正機構，協助緩解內部吃緊的財務會計或法務人力，又能仰仗其風險管理專業，密切掌握及精確解讀法規、建構妥善商業交易流程，大幅降低貿易監管法規的風險。

企業始終無法規避監管法規，唯有合規法遵才能預先避險，知法守法，無形中築起一道貿易安全守門。■