民法有一條帝王條款,就是民法第148條第2項規定「行使權利,履行義務,應依誠實及信用方法」,誠實信用原則,因而成為調和民事債權債務履行爭議的最高原則。銀行與客戶間的業務關係,更應以誠實信用原則,作為經營的基礎,基於業務信賴關係,銀行應負有建立合宜的內部監督準則及架構制衡組織的義務,統稱建立內部控制制度義務。對其職員的作業流程,廣泛控制監督,防範職員可能之違法行為,並確保每一個職員提供服務的專業性及一致性,此建立內部控制制度的義務,銀行法89年11月修正時,才增列於第45條之1第1項。
銀行經營的另一項基本義務,就是法律遵循義務,也就是守法性。當銀行有違反法令規定的行為「結果」時,而其「原因」,必定在作業過程上,有可推定內控做得不好,或內稽未及時發現的事實所造成,也就是說違反法規與內控缺失間,原則存在有因果關係。
銀行法對於違規營業行為的處罰,可分一、列舉處罰,即針對違反某一特定條文的處罰,例如第129條、第130條及第131條,而違反第129條列舉的違規行為,處200萬至5000萬,相較於違反第130條(處100萬至2000萬)及第131條(處50萬至1000萬)各條所列舉的違規行為態樣的處罰為重。二、概括處罰,即指第132條規定「違反本法或本法授權所定命令中有關強制或禁止規定或應為一定行為而不為者,除本法另有處以罰鍰規定而應從其規定外,處50萬至1000萬」。
統計金管會95年至107年間的裁罰案件199件,以違反內控內稽規定,依銀行法第129條第7款處罰案件,約占85%,其中屬於行員作業舞弊態樣,例如冒領存款或挪用客戶款項、冒名或偽造文件或高估擔保辦理貸款、盜取保管箱財物(第45條之2第1項授權);其他例如提列備抵不足及漏報逾放(第45條之1第2項授權)、委外催收(第45條之1第3項授權)、ATM跨行提領功能中斷或遭異常提領(第45條之2第1項授權)或客戶資料外洩(第48條2項),甚至從對海外子公司的監督管理及到收存大量美金偽鈔、遺失空白存單、讓應銷毀的票據或報銷的電腦設備未做好管控而流入市場等。
本國銀行未依銀行法第45條之1規定建立內部制度或未確實執行者,列入處罰,是在89年11月銀行法增訂第45條之1,為訂定此違規的罰責,爰配合修正第129條增列第7款。後於97年12月將原規定未建立或未確實執行「內部制度」,擴大範圍修正為「內部控制與稽核制度、內部處理制度與程序、內部作業制度與程序」。因金管會對於下列所述違反內控內稽的運用,而成為銀行法上的帝王條款
- 修正後的內部控制事項,舉凡與銀行有關任何營運行為,不論對內管理或對外業務的所有維運活動皆屬之,包括業務、採購及消費者保護等,尤其是未來資訊作業安全的維護,更是挑戰。如有營業缺失而情節重大者,或行員舞弊或鉅額損失或成為社會關注議題等,多可能會以違反內控內稽而遭受處罰。
- 金管會發布的管理性的行政規章或職權函令,因非法律規定,也非法律授權規定,如違反上述管理性的規章函令,考量可能無法據可處罰,通常會在函令內後段附加「應納入銀行內部控制及內部稽核制度規定,並辦理相關教育訓練,以落實執行」,未來如有違反此函令內容,就會以內控內稽未落實加以處罰。
- 營業違規行為的處罰,依第132條違反本法或本法授權所定命令中有關強制或禁止規定或應為一定行為而不為者,如本法已就該違規行為另定有處罰規定者(列舉式處罰),應先從其規定,未規定始依第132條處罰(概括式處罰)。例如客戶資料外洩,違反第48條第2項,因該條項未列入第129條至第131條內處罰,僅得依第132條處罰。但如情節重大或該機構的守法性紀錄,常有違規情形,如用罰度輕的第132條處罰,不足達懲罰效果,常改以處罰較重的違反內控內稽規定處罰。
銀行違規行為的處罰,應以違反某特定條文的「果」作依據,而不以內部控制未做好的「因」處罰為原則。如要以「因」為處罰事實,至少應以內部控制未做好,已達可視為「果」的程度,這就牽涉到「未建立或未確實執行」的認定,未建立是否與未完備相同,未確實執行是否要達到作業控制程序,通案失效或個案失效,或許可透過訴願、行政訴訟來具體形成其條件。當內控內稽成為銀行法上的帝王條款時,銀行法上的罰則,其實只要訂一條違反內控內稽的處罰規定就足夠了。