昨天我們談到風險管理 (Risk Management),其實,服務不中斷 (Business Continuity Planning) 是風險管理的一個子集。我們特別拉出來談的原因,是因為風險管理提供的是一個通用系統性方法 (General Systematic Approach);若果不單獨拿出來看,服務不中斷 (BCP) 將很難在執行面有真正果效,同時也缺乏即時處理的速度與交付客戶的能力。
先問大家一個問題:為什麼將「法遵人員」納入您的服務不中斷計畫,是如此地重要呢?因為,許多的國家、地方法律和規範,會要求服務不中斷的實施;「法遵人員」可以幫助您了解是否有遵守法規與契約條例,這對於組織與個人面臨緊急事件時之權益保障有直接關係。接下來,我們就仔細來了解最近很夯的「法遵長」這個名詞。
圖片來源:https://ithelp.ithome.com.tw/upload/images/20171218/20107753VF1zVdvFl0.jpg
日前某銀行之紐約分行,遭美國重罰 1.8億美元,原因之一是法務人員兼法遵人員。什麼是法遵?法遵跟法務有什麼差別?
職稱 | 法務 | 法遵
------------- | -------------
角色 |銀行內部的律師 | 督促銀行遵循銀行管理法令的人,例如,注意銀行準備金是否足夠、網路交易安全、基金交易風險。
工作內容 |銀行與客戶之間契約、合約的把關者 | 風險的第二道管控者,能夠理解風險藏在那裡,有整合跨部門防堵風險的能力。
「憑感覺試試看 (Fly by the seat of your pants)」是很危險的,所以我們會另外設置一個安規部門,讓他負責去看所有的安全規範 (Safety & Regulations)、可靠度規範 (Reliability)、進出口通關規定、合約文件記錄 (Records of Service Agreements and Contracts)、官方認證授權 (Agency Authorization)、保險資料 (Insurance Records) 等等。
講了這麼多,您的組織設立「法遵長」了嗎?
識別必要服務之相依關係 (Identify Essential Service Dependencies):
產出功能資源相依圖 (Function Resource Dependency),識別並記錄該服務相依之必要功能與資源。
準備服務不中斷所需之內外部資源與人員 (Prepare for Service Continuity):
產出風險管理工作表 (Risk Management Worksheet),進行風險評估與控制,分析對於這些資源之潛在威脅或危害。
驗證與確效您的服務不中斷計畫 (Verify and Validate the Service Continuity Plan):
產出故障症狀、原因與行動一覽表,常見的基本元素有
*授權人員之正式名單,相關聯絡方式與溝通管道
*支持必要功能之替代資源與位置
*恢復步驟 (Recovery Sequence)
*常見問答 (FAQ)
*客人意見與審查回饋、重大變更之版次記錄
很著迷這個題目,很敬佩他的熱情,作者是臺灣大學法律學院教授,任教臺大 30 年,研究領域為刑事法學、法社會學,致力推動刑事實體法與現代財經的結合。(巨作啊!不愧是 30 年的精華!)
《集團化公司治理與財經犯罪預防》