為落實銀行秘密法和洗錢防制法及經濟制裁及貿易禁運法 (「法令」),今年6月30日,美國紐約州金融服務署 (「金融服務署」) 發布防制恐怖主義交易監控及篩選機制法規 (「法規」),要求受其監理的金融機構 (「金融機構」),應以風險為基礎,在可行的範圍內,建置經合理設計的交易監控機制及黑名單篩選機制 (「監控及篩選機制」)。該法規將於明年1月1日生效。此外,自民國107年4月15日起,董事會或高階經理人每年應出具決議或法令遵循之查核報告,聲明其為遵守該等法規已審閱相關文件、報告、證書及人員的意見書。
該法規對交易監控機制的最低要求為: (1)可建置在該機構原風險評估的基礎上;(2)可將因法令及其他應注意事項或內部專案或計畫所需有關訊息的變動,作為審閱及定期更新的風險基礎;(3)就法令上規範該機構業務、商品、服務及客戶或合作夥伴的風險,可作妥適地比對;(4)可將依法令所定價值及金額的門檻所設計的偵測情境,偵測潛在洗錢或其他可疑或非法活動;(5)得為全程、事前和事後的運作測試,包括關聯性、控管性、資料比對、交易編碼、偵測情境之邏輯性、模組有效性、資料輸入和監控結果產出;(6) 得製作出清楚表達現行偵測情境及所依據的假設、參數和門檻的文件;(7) 當機制產出警訊時,備有如何進行調查的準則、決定何項警訊須進行通報或採取其他行為的程序、負責單位及應負責做出決定的人員,及如何紀錄調查和決策過程;及 (8) 可做持續性的分析,以評估偵測情境、所依據的辦法、門檻數值、參數和假設等之間的持續關聯性。
對黑名單篩選機制的最低要求為: (1) 可建置在該機構原風險評估的基礎上;(2) 可就該機構特別風險、交易,及商品組合,依個案以技術、程序或工具比對姓名及帳戶;(3) 得為全程、事前和事後的運作測試,包括關聯性、資料比對、評估禁運名單和設定的門檻是否與該機構的風險相稱、比對技術或工具之邏輯性、模組有效性、資料輸入和篩選結果產出;(4) 可做持續性的分析,以評估該比對姓名和帳號的技術或工具之邏輯性和效果,及評估禁運名單和設定的門檻,以瞭解是否和該機構的風險可持續性相稱;及 (5) 得製作出清楚表達此機制有關工具、程序或技術制定目的及設計原理的文件。
監控及篩選機制均應具備: (1)得辨識所有相關資料的來源;(2) 得驗證資料的真實性、正確性及品質,以確保透過機制之資料是正確且完整;(3) 如使用自動系統設備時,具有可確保資料是完整及正確地從其來源處篩檢及載入的流程;(4) 具有制度及管理的監控功能,包括管理機制變動時的程序與政策,以確保該變動是明確定義的、管理的、控制的、揭露的及可稽核的; (5) 若有委託第三人為採購、裝設、執行或測試機制時,有選派該第三人的標準流程; (6) 有提撥資金用於設計、執行及維護符合法規要求的機制; (7) 備有合格的人員或外部顧問以負責設計、計畫、執行、運作、測試、驗證及持續分析,包括自動系統設備,及對當警訊產出和可能須通報時,能為事件管理、審查和決策; 及(8)定期提供有關的訓練。