https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

建立內部調查機制 事先防堵弊案重於事後檢討

2011 / 12 / 29
陳曙東
建立內部調查機制  事先防堵弊案重於事後檢討

企業在績效與營利導向的趨勢中,往往無法落實管控制度,導致弊案層出不窮,惟有有建立內部調查機制,配合內稽內控制度,才能事先防堵弊案,維護企業商譽。 

綜觀近來媒體報導之企業弊案,經過事後查證,內部人員的輕忽或蓄意違反,往往是事件的關鍵因素。企業在績效與營利導向的趨勢中,內部是否具備足夠能量事先防範弊案發生,甚至隨著案件爆發,即時提供企業主足夠資訊做危機處理、儘快止血,我想大部分企業在這方面的能力並不足夠,主因在於目前內部調查工作並不受到重視,而專業的調查人員需長時間培養而不易取得,筆者想藉由過往工作經驗與目前金融實務工作,以金融業為探討案例,讓大家重新認識企業內部調查工作之重要。

金融業內部犯罪趨勢分析

金融業在安全防護這個領域,經過長時間的經驗累積與科技不斷改進,已獲得顯著提昇,尤其在外商銀行群中,相關規範已趨近成熟,甚至成立專職單位來建構制度與控管,在硬體安全防護上可以說達到一個相對極限的狀態,至於軟體上的安全控管制度,也不斷演進與加強,例如:關鍵環節的分權管控層層管制,到定期定時的內稽內控。看似無懈可擊的軟硬體制度,為何仍止不住金融違規或內部弊案的發生呢?答案相當簡單,就是人員對於管控制度的服從性與貫徹的程度。

內部員工 面對績效與紀律的拔河

待過銀行的同業一定知道,在銀行中能幫公司賺錢的業務單位,與只會花錢的後勤單位,是不可能放在同一個天秤上被看待,而在有所爭執與意見衝突時,最終被決策採納的一方也不言可喻。在這種過度績效導向的情況下,導致金融業普遍存在著一些安全問題:

一、客戶資料的外洩
雖然外有個人資料保護法的要求,內有員工行為守則的規範,但是業務人員因低底薪高獎金的工作特性,造成流動性高,為求自保與拉抬銷售成績,能隨時接觸資料庫內顧客個人資料的業務員,往往會私藏名單隨著其跳槽而輪轉,又或者與待過的前同業相互交換資料(行話稱為”洗名單”),對於這些員工的行徑,其單位主管因績效壓力也睜一隻眼閉一隻眼,即便內稽內控人員介入干涉,但因為舉證困難,業務部門主管還是以績效為由掩飾遮蓋,卻讓有心的詐騙集團乘虛而入,直至受害客戶報警求償,銀行高層才驚覺徹查,然傷害已經造成。

二、未經授權的資金處理
為了方便客戶,打著服務貴賓的口號,部分理財專員會替自己的客戶刻製便章,或持有客戶先行簽好名字的空白單據,以便直接幫忙因事不克親自辦理的客戶處理帳戶資金,主管因績效考量,也不立即制止,間接造成了業務員可能會未經授權處理客戶資金的潛在風險。

三、人頭帳戶的氾濫
銀行業務中最重要也關鍵的一環,就是「開戶」,必須要本人親自來行辦理、拍照永久存檔、且須要雙身分證件的審核,種種繁複驗證程序,就是要確保每一個帳戶的真實性,避免淪為詐騙或洗錢集團的犯罪工具,吾人必須明白,一旦開戶審核成功,爾後的業務人員或臨櫃人員,就只能相信所有開戶文件資料,沒有特殊正當理由,是無權暫停或終止該帳戶之功能。無奈在績效數字追求上,許多理專或營業員無視此風險的存在,甚至主動邀約有心人士前來開戶,刻意放寬或漠視開戶的必要程序,最終間接的成為詐騙與洗錢的幫兇而不自知。

離職員工 詐騙集團主要滲透目標

在詐騙猖獗的現今社會,銀行內的業績競爭與業務人員流動性高…等產業特性,導致銀行的離職員工,成為詐騙集團鎖定且直接滲透的標的。在銀行安全同業中就流傳著幾個典型案例。其共通點都在於銀行前員工因對於銀行內部作業相當熟悉,結合自身之房地產買賣、基金理財、保險等專業知識,成功詐騙多位客戶投資基金,直到受害客戶發現報警,整件事才爆發,而在犯案過程中,嚴謹的內稽內控制度不但未發生作用,事後調查時亦因為業務單位的自我保護而對於調查執行產生相當程度的阻礙。

歸結此類案件,有幾個需要注意的地方:
1. 前員工利用與舊同事間的情誼與信任,加上熟悉各個管控環節,以人情請託、假傳聖旨等方式,利用每一個微小層級的人情放水,積沙成塔逐步完成客戶資料更改程序;
2. 利用銀行業務員貪功求績效心態,加上前員工熟悉各項業務之便,省略許多開戶必要之審核對保程序;
3. 以高利借貸投資等手法,誘使操守把持不住之特定內部行員,在關鍵環節全力護航;
4. 利用銀行為降低人事成本,大量啟用派遣員工之機,配合熟識行員之推薦下,安插詐騙集團成員擔任低階之客戶資料輸入或整理工作,從而大量提供可供詐騙之客戶資料。這些原本應嚴格把關的客戶資料,為了配合業務擴展與作業方便,IT部門多已完成便利性的整合連結,卻沒有足夠相對應的管制機制,導致詐騙集團有機可乘。

雖然大部分案件都已進入司法程序,但是值得擔心與討論的就是,詐騙集團已從單純的外部行騙轉變成內部勾結,甚至是直接派員臥底工作,換言之,現行稽核內控制度已不足夠應付歹徒的主動布建作為,銀行若要落實安全工作,就得注意招募新進職員時的背景考察與平時工作的日常考察,甚至可以比照國外大型企業,引進內部重要職缺的儀器測謊程序,才能杜絕新一代的詐騙行為。

建立內部調查機制三大要點

隨著內外不安情勢的劇烈轉變,外部詐騙與內部違規的手法也推陳出新,企業該如何建立內部調查資源,達到事先防範弊案發生的目的?以下是三點是重要關鍵。

一、建立與管理內部情報網
許多人印象中的內部稽核或調查工作,總是要執行稽核或者當案件爆發後才需要展開,但是案件人員情資的掌握,如果到事情發生才開始進行,那調查時程往往會因找不到線頭而拉長調查時間,或僅流於作業程序的文字型態稽核,主要的關鍵就在於內部人員情資是否能事先建立,在關鍵的時刻適時發揮作用。

當此情報網完備穩固,則違規案件均能在未發生前遭掌握而化解於無形,至於佈建情報網的方式,不外乎遴選適當人員作為內部線民,以便即時提供有利情資,在此提供幾個遴選的參考標準:
1.具一定資歷,熟悉相關業務但位階不高者;
2.曾因其他同仁違規謀取利益因而相對利益受損者;
3.擔心同儕違規行為而受牽連者;
4.具正義感且不甘平靜生活者。

內部線民的建立需要長時間的培養與教育,絕非一蹴可及,從物色、考核、吸收、培養到產生績效,其最終目的應是建立一個「持恆且穩定供情」的消息來源,如何能達到持恆穩定且避免錯誤情報誤導判斷,靠的就是管理技巧,以下分享一些管理的概念:
1.單線領導,隔離複式部署,才能在保密情形下,交叉比對情資交互制衡,避免洩密與誤報;
2.勿過度利用同一個線民消息來源,有時甚至捨棄其作用以保全其在單位內的立足身分;
3.利用案件實施隨機在職教育,靠實作方式,漸進的訓練其情資傳遞與蒐情技巧;
4.適當的報酬與獎勵,但不一定侷限於金錢,也可善用業績未達標準的寬限期或業績標準之變更等方式來回報。

二、妥善運用外部資源
企業外部資源不外乎就是情治與檢警憲調的特殊關係,能在企業內擔任類似調查工作者,或多或少均具備相關人脈資源,如何掌握主動權取得足夠訊息,以以保障銀行企業的利益,除柔軟的身段外,還需要相當的智慧與平日的關係培養。

三、跨部門合作打擊犯罪
各企業內部安全、稽核與內務部門亦應該隨之調整任務架構,捐棄部門成見進行必要的合作。以外商銀行為例,稽核單位受國內金融法規的授權,為一獨立的銀行內部單位,直接向董事會負責並與金管會報告,但是大部分的稽核人員並不具備專業調查背景與知識,故僅限於法規與作業流程規定的審查,甚至流於文字字面的解釋與筆戰;至於專業調查單位受限於保護線民、與案件爆發時才會啟動偵查的被動侷限,一般不會定期前往分行或營業單位查察。

就銀行整體利益來看,如果調查單位的專業佈建能力,能夠事先提供稽核單位執行現場的可疑情資,稽核人員可以正大光明地針對可疑部份進行查驗核實,遇到需要專業審訊時,再尋求調查人員介入,一方面可以保密內部線民的身份,一方面使得現場稽核人員的審核目標變得明確,更重要的是,弊案與積弊是事先防範而不是事後調查檢討,對銀行形象取得相對穩定的保障。

結論

時代科技進步,經濟活動逐步取代政治軍事對於全人類的影響力,企業所面對內外犯罪與違規的挑戰壓力與日俱增,單靠硬體的安全設備、制度面的程序管制是無法有效且快速地面對各種違規與犯罪事件,尤其在業績掛帥與業務單位本位主義心態作祟下,更是大幅增加了安全風險,筆者藉由本篇文章試圖喚起企業對於專業調查工作的重視,與專業調查人員的培養,唯有健全與專業的內部調查人員與機制,配合既有的內稽內控制度,才能在面對不斷推陳出新的詐騙手法與金融犯罪上,為企業主取得危機管控與損傷止血的保障,更希望大家在績效的追尋上,仍不可忘卻金融業的基本精神,那就是顧客不變的信賴。

本文作者為花旗(台灣)銀行安全調查處安全經理。如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com。