https://twcert2024.informationsecurity.com.tw/
https://www.informationsecurity.com.tw/seminar/2024_HighTech/

觀點

二起舞弊事件的通病:授權不當、內控疏失

2011 / 09 / 19
張維君
二起舞弊事件的通病:授權不當、內控疏失



最近兩起舞弊案件再次突顯了同樣一件事──權限控管與覆核機制的重要。

 

首先是上週三位於英國倫敦的瑞士銀行(UBS)傳出一名交易員在過去三年裡,暗中進行未經授權的交易,涉嫌偽造交易所買賣基金(ETF)交易記錄,預計導致UBS 20億美元的損失,外電報導此損失應與近期瑞士法郎的大幅波動有關。在UBS風險管理部門發現此問題後,該名交易員隔天隨即被捕,上週五也立即開庭審理此案。關於此一事件的細節仍在調查中,尤其在金融風暴後許多金融機構已加強風險控制,何以仍然未能及時發現問題。

 

另一事件則是台灣運動彩券傳出主管監守自盜,利用職權內神通外鬼,作弊下注,詐取約新台幣230萬元。儘管運彩公司對外表示後續將加強員工教育訓練與雙重驗證等改善措施,但此一內部控管問題仍然打擊民眾信心。此外,兩起事件不同的是,UBS在發現問題後立即報案並展開調查。而運彩則是極力掩蓋消息,直到事發一個月後被人投書媒體,檢警主動調查才出面回應。

 

其實金融業這類內部控管疏失問題由來已久,瑞銀這次20億美元的損失還比不上2008年法國興業銀行49億歐元慘烈。金融業應該用更高的風險管理機制來避免問題一再發生,對此金融業法規暨企業保安部副總裁徐子文曾提出建議,包括建立交易監察機制、機動改變篩選規則、嚴格執行工作輪替及合規休假等。而一般中小企業儘管人力有限也應該職能分工,資安顧問吳家名曾建議執行與覆核必須由不同人負責,避免過度授權而產生舞弊風險。