https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

以信用卡個資洩漏事件來看:誰來稽核「稽核」?

2009 / 11 / 17
吳家名
以信用卡個資洩漏事件來看:誰來稽核「稽核」?

「稽核」這個角色存在於每個專業領域中,諸如:內部控制的財務會計稽核、電腦稽核,以及品質稽核、資安稽核等等,而設置稽核的主要目的與用意是為了降低因為「蓄意」或「疏忽」所造成的影響,藉由稽核的手法與技巧,確保風險能及早發現並被妥善的預防。但人們對於稽核也有著兩極的看法,部分的人認為有了稽核確實可以降低風險,並可以獲得高度的保障,但也有部分的人認為,稽核可能淪為形式,無法達到預期的效果,但稽核機制到底重不重要呢?其實水能載舟亦能覆舟,稽核固然可以合理降低不必要的風險,並有嚇阻以及偵測的功能存在,但稽核並非最高監督單位,如果沒有妥善的設計、規劃與設置有效的稽核,或對稽核機制未有適當的持續監督與改善機制,那稽核很可能真的淪為形式,甚至更可能是禍水的源頭。

稽核可否置身度外?

就以持續不斷的信用卡個資洩漏事件來說,一般刷卡銀行都還會有另外第三方驗證或稽核公司,進行相關安全技術以及相關身分資料等的確認,然而過去發生信用卡資料外洩事件時,大多數的人會將矛頭指向信用卡公司,鮮少人會注意到執行驗證或稽核的公司。但前不久美國新聞才指出,某信用卡的第三方稽核公司因個資外洩被提告(請見P.89「新聞回顧」),而這似乎也顯示「稽核」漸漸地不再只是進行例行性抽查、提供稽核報告,便可置身事外了。

稽核通常是必須對出具的稽核報告書負起責任,但礙於許多的檢查可能受限於資源與時間的關係,因此部分會採取「抽查」的方式來進行,且如果存在有蓄意掩飾或瞞騙來進行舞弊的情形,稽核也可能不容易察覺,因此最終的稽核報告也僅能以「合理保證」作為查核的結論。但如果受查的對象或作業產生了弊端,稽核可否能為自己辯解呢?而諸如此類的情況下,如果將責任歸咎給稽核,似乎也非常地不合理。

但顯而易見的問題,其實稽核是不應該忽略或遺漏的,如上述的信用卡個資洩漏訴訟案,其實稽核之所以被告並非無道理,其中一個問題點就表示其儲存的信用卡資料並未適當的被加密保存,且時間長達五年之譜,而這段期間負責稽核與驗證的公司竟完全沒發現,就一般常理判斷,信用卡資料應屬於高度機密的,竟連基本的加密儲存控制都不存在,如此顯而易見的問題,稽核卻無法發現,這已顯示稽核嚴重失職了。

所以,以信用卡資料外洩事件為例,到底稽核該不該負起責任?是否可置身度外?其實無論外洩的原因為何,稽核在當中仍應扮演好驗證、確認的角色,並負起「把關」的責任,但稽核也並非萬能,雖然無法「絕對保證」經過查核或驗證後就可以完全零風險,但是經過稽核過後,仍可列出剩餘風險,並再討論是否須再進行更進一步的了解與控制,或可選擇降低、忽略或是轉嫁等方式來掌握這些風險,如此才能將稽核的責任範圍確定,並確保未被稽核掌握的部份,也具有適當的因應對策,但稽核功能與效果是否能有效彰顯,許多環節仍是需要確實的掌握才行,以下針對幾個重點來進行討論:


重點1:稽核是禍水的源頭?


稽核的專業能力並非只僅於查核手法上的技巧,稽核也必須具備強大的洞察與分析能力,對於欲查核的對象或領域,能快速的掌握關鍵風險,並進行有效的驗證與確認,其所提出的查核結果才具信賴。

以「信用卡交易」這個行為為例,很顯而易見的,關鍵標的是不外乎是:信用卡與持卡人資料、交易資料兩大項,而必須掌握的目標包含有:機密性、正確及完整性、可靠性、效率、可用性等等,如果您已經可以從上述這些資訊,找出查核方向,那您就已經掌握到查核的「廣度」了。我們就隨機挑選其中一個標的,再選擇一項目標來進行查核,例如:「信用卡與持卡人資料」的「機密性」控制是否允當?從這個組合來看,如果您能再進一步了解要從資料從被建立、儲存、使用、變更、刪除等每一個環節來進行了解與驗證,那您便已經掌握到「深度」了,例如:「儲存信用卡與持卡人資料的機密性」這點來看,最基本的控制是不是可以設立加密機制來保護儲存資料,以確保其機密性?

如果透過上述的簡單引導,您可以快速的掌握到查核的廣度與深度,那相信您已經具備擔任稽核人員的基本能力了,甚至比個案中的稽核更勝一籌,因為被提告的稽核,竟連續五年都沒有發現儲存的信用卡資料,並未被適當的加密。

但假設個案中的稽核具備完整的專業能力,但卻沒揭露「信用卡資料未加密儲存」的問題,這也隱含著稽核可能存在著道德操守上的問題。事實上,稽核人員的角色雖然類似執法人員,具備超然獨立且高道德的身分,但亦可能因為受到利益誘惑,喪失應有的道德操守,成為最危險的犯罪者。

畢竟,稽核人員可以接觸到的資訊,遠比任何作業單位的人甚至管理階層都要多出許多,且查核工作執行愈嚴謹、接觸愈深的稽核人員,其所能接觸的資訊以及控制就愈多,而這也是內部稽核往往比外部稽核更具危險的原因。如果稽核人員蓄意洩漏信用卡個資,或包庇、隱瞞,並與他人共謀進行洩漏甚至販賣個人資料,絕對是難以防堵且不易被發現的,而如果連這道「最後的防線」都瓦解,甚至淪為舞弊的禍端,相信其所造成影響是難以估算的。

重點2:稽核與被稽核的制衡

其實稽核的工作仍是需要被監督的,但也不可能為了監督稽核,而無止境的設置稽核的稽核,且許多人根本並不清楚設置稽核的目的為何,設置稽核並非為了取信使用者,而是為了降低錯誤或是舞弊的風險,如同信用卡交易的稽核,無非是為了降低信用卡資訊外洩、資料遭竄改、交易資料不正確或是資料遺失損毀等等的風險,而基於這些目標,藉由稽核來確認控制是否允當或足夠,當然,信用卡公司對於這些目標是必須有共識的,並非全權交由稽核決定,甚至不在乎稽核作業的驗證與監督是否有被徹底的執行。

如何建立有效的勾稽制度並確保稽核的有效性是非常重要的課題,包含稽核、受查單位以及管理階層,都是建立良好的制衡與監督的重要基石,三者缺一不可。受查單位在稽核過程中並非僅扮演「配合」的角色,更必須負起監督稽核作業的責任,稽核人員若有查核不週詳,或甚至有不法的行為,受查人員仍應提出質疑並回報相關情形予管理當局,否則當有不法情事發生時,受查單位其實往往也難辭其咎。

制衡與合作僅一線之隔,如果僅僅有相互制衡的機制,仍可能無法避免共謀、串謀等等的舞弊,因此管理階層亦應負起監督的責任,避免利益共同體的成立,確保稽核目標的達成,而非僅僅確保稽核作業完成。

重點3:稽核的獨立性

雖然必須在稽核過程中建立起良好的制衡機制,但稽核的獨立性仍是必須堅守的,如果管理階層過度的介入,都將可能造成稽核獨立性地位受到影響,這也是稽核的結果不受到干擾或甚至扭曲所必要的控制,不過現實環境中,稽核人員也是人,畢竟受到雇主或是客戶的要求來進行稽核作業,買賣或

僱用上存在的金錢往來是無可避免的,而這些利害關係往往也可能是影響稽核最終判斷的重要干擾因素。

如同信用卡公司會聘請第三方公司來進行信用卡交易的驗證與稽核,而信用卡公司會支付第三方驗證公司所謂顧問的費用,第三方公司收受的費用高低,都將可能影響查核的結果,假設信用卡公司所支付的費用是較低的,相對的在查核與驗證的廣度、深度都將可能不足,畢竟第三方驗證公司仍是營利單位,支付給稽核人員的薪資費用以及管銷成本都必須考慮在成本內。反之如果信用卡公司支付高過市場價格的費用給第三方驗證公司,難道就可以確保稽核的有效性嗎?事實上,這或許隱含著更大且更複雜的問題在其中,如果確實有圖利第三驗證公司的行為,那查核的可靠度也將會有必然的影響。

重點4:制衡外的制衡

如果有了覆核、監督的機制,是否算是具有完整的管理與控制?其實在整個活動中,並非只有這些角色在運作,其中仍存在著許多如使用者等利害關係人,若只單靠稽核或監督的機制,並不一定能掌握大多數的風險,而最佳的方式則是提供一個暢通且安全的回報管道,開放給所有相關利害關係人,簡單來說也就是任何人,且接受所有不法或是錯誤的回饋,這也是內部控制中常提到的「吹哨者」機制,藉由這個機制讓弊端可以無所遁形。當然,回饋管道以及對於吹哨者的保護是否完備,也會直接影響到這個機制的成效,許多公司也提供了各式的管道讓任何人來回報,例如:聘請第三公正單位的律師事務所協助接收這些回報、提供網路留言,或提供專線電話供相關利害關係人來使用,並且強調對於回報人在法律以及工作上等等的保護,這些都是增加使用意願,並使該機制發揮最大功效的重要課題。

避免讓稽核淪為橡皮圖章

稽核作業成效不佳或流於形式,這些其實都只是「結果」,並不是真正的「問題」,根本的問題應該是去思考:稽核作業的獨立性是否有問題?稽核人員操守是否有問題?稽核的能力、品質、效果等,是否不足?或未被適當的評核?是否因為這些控制不足或不當,因而讓稽核無法有效發揮效果?雖然在利益以及利害關係的維持與把關上確實是不容易的,但唯有從根本的問題著手設計適當的控制,落實制衡機制,確保執行、覆核以及監督各司其所,避免逾越的情形,同時加強稽核人員操守的審核與持續評估,並配合有效的「吹哨者」機制,才能確實降低稽核在獨立性、專業、執行品質以及操守上所產生的風險,避免讓稽核淪為「橡皮圖章」。