什麼是 BACEN 法規?
巴西中央銀行 (Banco Central do Brasil, BACEN) 發布了一套全面的監理架構, 規範在巴西營運的金融機構。就培訓與合規目的而言, 三大監理支柱最為相關: 反洗錢與反資恐 (PLD/FT), 網路安全與資訊安全, 以及投資適合性要求。
這些法規適用於所有經 BACEN 授權的機構: 商業銀行, 投資銀行, 持有支付機構執照 (IP) 的金融科技公司, 信用合作社, 證券經紀商 (CTVM 與 DTVM), 以及支付發起方。隨著巴西金融科技生態系快速成長, BACEN 監督的範圍持續擴大。
近年來 BACEN 的執法力度顯著加強。對未遵循規範的行政處分可包括每項違規對每位個人最高處以 250,000 巴西雷亞爾的罰款, 暫時或永久禁止進入金融業, 以及撤銷營運執照。中央銀行同時進行排定的檢查與突擊稽核, 而培訓書面紀錄是標準的審查項目。
通函 3.978
PLD/FT
反洗錢與反資恐。要求 KYC 程序, 可疑交易申報, 以及強制性的員工培訓計畫。
決議 85
網路安全
網路安全政策與事件應變要求。規定對所有可存取金融系統與客戶資料的員工進行資安意識培訓。
CVM 539
適合性
投資適合性要求。確保財務顧問推薦與客戶風險屬性, 投資目標及財務能力相符的產品。
培訓要求
每項 BACEN 法規都包含金融機構必須履行並記錄的具體培訓規定。
通函 3.978, PLD/FT 培訓
通函 3.978 第 6 條要求金融機構實施持續性的反洗錢與反資恐培訓計畫。培訓必須針對每位員工的職務, 並涵蓋: 可疑交易的辨識, KYC (認識你的客戶) 程序, 向 COAF (金融活動管制委員會, Conselho de Controle de Atividades Financeiras) 的申報義務, 以及書面紀錄要求。
培訓頻率必須至少為每年一次, 並在有重大法規變更, 新產品推出或發現缺失時須增加額外場次。新進員工必須在到職 30 天內接受 PLD/FT 培訓。
BACEN 檢查人員會驗證的項目: 每位員工顯示涵蓋內容, 日期與評估結果的培訓紀錄。檢查人員會將培訓日期與可疑交易報告 (STR) 交叉比對, 以查證標記交易的員工確實接受過足夠的培訓。
決議 85, 網路安全培訓
決議 85 (整合並取代決議 4.658) 要求金融機構維持一套網路安全政策, 其中包含員工意識與培訓計畫。所有可存取機構系統的員工, 承包商與第三方服務供應商都必須接受網路安全培訓。
培訓必須涵蓋: 網路釣魚與社交工程攻擊的辨識, 憑證與身分驗證的安全處理, 事件通報程序, 資料分類與處理, 以及技術資源的可接受使用方式。機構也必須定期進行事件應變演習。
BACEN 檢查人員會驗證的項目: 網路安全培訓為持續性 (而非一次性), 涵蓋所有適用範圍人員, 並更新以反映當前威脅的證據。事件應變演習的書面紀錄也會被審查。
CVM 539, 適合性培訓
CVM 第 539 號規範 (針對銀行附屬經紀商與 BACEN 監督一併執行) 要求金融機構查證投資建議的適合性。推薦或銷售投資產品的員工必須接受培訓, 以評估客戶風險屬性, 為投資人屬性匹配適合的產品, 並記錄適合性分析流程。
培訓必須處理: 風險屬性分類 (保守型, 穩健型, 積極型), 產品風險分級, 利益衝突管理, 以及拒絕明顯違反客戶所申報投資屬性之交易的義務。
CVM/BACEN 檢查人員會驗證的項目: 顧問能展現對適合性要求的理解, 培訓紀錄為最新, 以及客戶投資組合中沒有產品建議不相符的模式。
Roleplays 如何協助
以真實監理情境訓練銀行團隊, 並產生 BACEN 期待的證據的模擬演練。
KYC/PLD 情境模擬
訓練員工在客戶開戶過程中辨識危險訊號: 不一致的文件, 拆分行為 (smurfing), 政治公眾人物 (PEP), 以及異常交易模式。AI 驅動的角色模擬試圖進行可疑活動的真實世界客戶, 測試員工是否依通函 3.978 遵循正確的 KYC 程序。
可疑交易辨識
模擬演練向員工呈現可能含有或不含可疑模式的逼真交易情境。員工必須辨識危險訊號, 決定是否升級, 並闡述其推理。多 AI 評估系統會就辨識的準確度, 分析的品質與正確的升級程序評分。
適合性匹配培訓
模擬客戶諮詢, 顧問必須評估風險屬性, 推薦適合的產品, 並妥善記錄適合性分析。AI 客戶呈現複雜的財務情況, 測試邊界案例 (例如保守型投資人要求高風險產品), 並評估顧問是否遵循 CVM 539 規範。
社交工程防禦
決議 85 要求網路安全意識培訓。Roleplays 模擬專屬於銀行環境的語音釣魚電話, 網路釣魚嘗試, 藉口攻擊與內部威脅情境。員工可練習辨識操弄手法, 遵循憑證安全規範, 並妥善升級可疑接觸。
稽核就緒的書面紀錄
每一次模擬演練都會產生完整的培訓紀錄: 員工 ID, 日期, 時間, 情境內容, 完整互動逐字稿, 評估準則與能力分數。可依法規 (PLD/FT, 網路安全, 適合性), 部門或個人匯出報告, 隨時為 BACEN 檢查做好準備。
持續培訓週期
可依法規與職務設定培訓頻率。PLD/FT 年度再培訓, 每季網路安全更新, 以及每當新產品推出時的適合性複訓, 全部自動追蹤。平台會標記逾期培訓並在期限到期前發送提醒。
常見問題
Roleplays 是否涵蓋全部三項 BACEN 培訓要求?
是的。Roleplays 為 PLD/FT 培訓 (通函 3.978), 網路安全意識 (決議 85) 與投資適合性 (CVM 539) 提供情境範本。每項法規都有自己的一套情境, 評估準則與報告格式。您可以從單一儀表板追蹤這三項要求的合規狀態。
PLD/FT 培訓情境有多逼真?
非常逼真。AI 角色模擬具有複雜財務背景, 不一致文件, 拆分行為與其他員工在日常營運中會遇到的危險訊號的客戶。情境由合規專家設計, 並包含一般培訓平台會遺漏的邊界案例, 例如 PEP 辨識挑戰, 空殼公司結構與跨境交易模式。
我們能否依職務 (櫃員, 顧問, 法遵主管) 區分培訓?
當然可以。Roleplays 支援以職務為基礎的培訓路徑。銀行櫃員會收到聚焦於現金交易危險訊號與基本 KYC 的情境, 而客戶關係經理則會收到涉及高淨值客戶的複雜適合性情境。法遵主管會收到涵蓋監理邊界案例與 STR 申報程序的進階情境。每個職務都有依其職責校準的獨立評估準則。
Roleplays 如何處理 30 天的新進員工培訓要求?
新進員工可立即被指派包含所有必要 PLD/FT, 網路安全與適合性情境的到職培訓路徑。平台會追蹤其到職日期與培訓完成進度, 確保他們在通函 3.978 規定的 30 天期限內完成所有必要模組。若到職培訓有錯過期限的風險, 主管會收到警示。
該平台是否適合持有支付機構 (IP) 執照的金融科技公司?
是的。持有 IP 執照的金融科技公司面臨與傳統銀行相同的 BACEN 培訓要求。Roleplays 特別適合金融科技公司, 因為它能即時擴展, 沒有教室後勤安排, 也沒有排程限制。當您的團隊快速成長時, 培訓也能跟上步調。平台還原生支援葡萄牙語, 這對巴西的監理合規至關重要。