https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

從資訊治理的角度探討金管會銀行局重大裁罰案件之內部稽核缺失

2015 / 07 / 13
邱靜宜、林宜隆
從資訊治理的角度探討金管會銀行局重大裁罰案件之內部稽核缺失
    隨著資訊科技的發達,企業組織治理所依賴的資訊工具及軟體日新月益,雖然讓使用者可方便進行各項營運事項之作業,但隨之而來的是顛覆傳統的作業流程,或重新改造內部控制作業流程。在金融業複雜的營運環境與作業之下所受到的影響更大,有賴於組織內部定期進行自我檢視,才能確保營運作業的效能。近年來兩岸金融政策的開放與業務往來,前些時候更爆發大陸企業的倒帳事件,促使我國金融業資訊經營之治理環境更趨複雜。

    為積極維持我國金融業穩定及促進金融市場發展,除了開放各項業務的擴展之外,金融監督管理委員會對其監理也採取了實地深度檢查,自98年度起陸續實施本國銀行、外國銀行在台分行、信用合作社、保險業、證券商及證券投資信託公司等6業別的差異化檢查機制,設銀行局定期檢視金融業之營運作業事項,依風險高低排定不同檢查週期及檢查深度,以落實分級管理,並建構本國銀行檢查評等資料,並公告檢查結果,使金融業者得以作為改善營運作業之參考。

    由金管會銀行局公告資訊當中就可窺知金融銀行產業因經營上之缺失而產生的裁罰案件,屬重大裁罰部分,自民國101年10月至103年7月為止,共計有37個重大裁罰案件,其裁罰方式則是使裁罰對象付出了數以百萬的罰鍰或者停止該項業務的經營,所產生的營運缺失涉及不乏在公司與資訊治理環境下,未能由內部稽核自我檢視所引起的缺失,倘若未能掌握資訊治理的重點進行改善,不但極可能增加未來經營風險,更可能影響國家的金融與國民生活。因此本文擬探討從公司資訊治理的角度,以銀行局重大裁罰案件所違反營運事項為例,進行內部稽核時應檢視資訊治理重點,並提出稽核建議事項。

案件分析與改善建議
    金融業之營運作業項目依銀行法之規範共計有十二項。在銀行局重大裁罰案件中,以違反總務資訊及人事管理的營運作業最多,共計有16件,其缺失內容主要在資訊與人事管理的控管機制失效,導致資訊未經合法授權而外洩、未建立妥適存取及控管權限、客戶資訊不當使用或傳遞上傳與下載、採購項目未包括重大設備的風險控管,或盗用偽造客戶資訊進行違法行為,如此不良資訊管理則連帶影響第7項的「對外資訊揭露作業管理」缺失發生,由此類案件缺失可知,金融業仍以傳統資訊管理的方式進行各項營運事項之單點控制,仍未能整合營運事項之資訊控制作業,並協調資訊環境下各使用者,流程及技術,同時考量作業所產生之營運價值、評估可能的存在風險及相對應成本之基礎,建構金融業整體資訊治理的架構,提供可信任的資訊決策,作為內部稽核時關鍵性查核目標之設定參考。 

    資訊治理是公司治理重要的一部分,內容涵蓋公司政策擬定與組織架構的配置,以確保公司資訊技術與系統擬定的策略目標得以順利達成,提供可靠的資訊資源,並合理控管所衍生的資訊風險;以複雜金流為主要營運活動的金融業,在評估可接受的風險條件下,更需要能穩健提供可靠金融資訊的資訊控管流程與技術。
    在銀行局的裁罰案件中最高的裁罰金額為1000萬元的C銀行,所違反的事實除了未能對具有實質控制權的海外公司設置適當的資訊作業程序之外,對於兩方組織經營資訊的傳遞,使用未經控管之外部信箱進行重要資訊的聯繫,且香港分行在未經申報且授權同意下,將客戶帳號及戶名等資料提供給對方。

    次高裁罰金額為600萬元的T銀行及CH銀行,前者長期將核心業務之資訊系統委外處理,雖其為關係人,但對受託機構若終此服務之緊急狀況,竟未制定應變計畫,即未能進行該作業之風險評估與管理;CH銀行則海外子公司未建立完善之監督機制,未能提供可靠的資訊提供擬定決策的參考。綜觀以上缺失,竟未能由內部稽核人員實施查核時可先行發現,在內部提出改善措施,不但有違內部控制制度之落實,且違反資訊管理的基本重點,更遑論該金融機構之政策與組織具有資訊治理之精神。 

    資訊治理協會(IT governace Institute, ITGI)提出資訊治理的五大重點策略校準(Strategic Alignment)、價值傳遞(Value Delivery)、資源管理最佳化(Resource Optimization)、風險管理(Risk Management)及績效衡量(Performance Measurement),本文就以此為金融業資訊治理之架構基礎,分別針對上述裁罰案件違反的事實提出改善建議。

一、 C銀行與CH銀行內部稽核之違反事實為未能建構海外服務公司的控管機制,其資訊治理架構建議如下述:
(一) 策略校準:於組織架構中定義子公司與實質控制力之海外服務公司,依定義於系統中設定實質條件選項進行勾選,極小化組織架構與資訊系統架構之落差(結構校準),設定雙方交易資訊量化條件之限制門檻,以制定管理機制之策略,使資訊策略得以落實企業經營策略,並且確保資訊策略已完整建構於資訊系統架構上(資訊系統校準),定期進行雙方內部稽核之範圍與目的,提出稽核報告於最高管理當局,使稽核部門能獨立建置在組織架構發揮功能,使組織層級架構能擬定出有效經營策略(企業校準),藉由資訊系統之建置執行企業策略(跨構面校準)。因此若能將明確規範子公司及海外服務公司之資格條件,含質化及量化之篩選條件,有利於組織架構及資訊系統架構之建立及後續企業與資訊策略之擬定,由內部稽核定期檢視策略執行之成果。案件中即因海外公司雖無名義之持股,但有實質關係人之控管,確未能列入銀行組織管理架構中,而導致資訊未經授權且經由不當管道傳遞,也使管理當局未能運用可靠資訊擬定經營決策。

(二) 價值傳遞:具有實質控制的海外服務公司與子公司,可清楚呈現在組織架構中,有其分層負責之權責基礎,使組織業務權責能有效傳達與延伸,因此能透過完善的資訊系統架構執行企業經營策略,落實監督與管控機制的企業目標。銀行即可將其客戶帳號與資料經有效授權後,經由組織資訊系統進行資料之存取,也避免使用外部管道有資料遺漏之風險。

(三) 資源管理最佳化:根據組織架構建立資訊資源來源管道後,可由資訊系統進行最佳化的資源分配,並有效運用可靠之資訊以作為銀行管理者擬定海外經營策略之參考。上述案件中即可分析客戶層級及消費習性,篩選出不同的客戶別資料庫,由海外服務公司或子公司於合乎權責的單位進行相關業務之經營。

(四) 風險管理:策略校準之實施有助於縮小組織層級與策略實施的落差,即是風險管理的首要步驟,另外需則需對銀行營運作業事項建設在資訊系統架構與資訊資源需求性,進行共同性與相異性之風險辨識與評估風險,上述案件可對海外服務公司進行服務項目之相異性進行風險辨識,再對共同性的人事管理與福利補助事項之風險評估。

(五) 績效衡量:由定期之內部稽核之稽核報告中瞭解查核結果,包括應改善事項以及受查單位之回應,作為單位績效管理之依據。上述案件CH銀行的監督機制若能有效發揮內部稽核功能,定期取得稽核報告與受查單位之回應,就可判斷績效奬金與子公司績效指標之連結性。
綜述之,若C銀行及CH銀行能依上述資訊治理之建議事項,就不致於對海外服務公司及子公司之屬性認定不清,造成權責基礎不明,而未能將其納入內部控制的管理機制對象,導致內部稽核範圍與目的不明,造成銀行實質資產的損失。

二、 T銀行內部稽核缺失為主要核心業由委外之資訊系統進行處理,未能提出風險評估與管理機制,其資訊治理架構建議如下述:
(一) 策略校準:進行資訊系統校準,確認資訊策略中委外之資訊系統的可依賴性及可靠性,並以遠端存取之方式進行資訊資源之監督管控,檢測資料處理之及時性。檢視銀行內資訊系統運用軟體的相容性與銜接性。

(二) 價值傳遞:將委外資訊系統處理之資源資訊,定期備份並測試結果之穩定性,將結果進行分析與資料庫之資訊資源分類,依組織層級架構設定權責存取資訊資源。

(三) 資源管理最佳化:依分類資訊資源庫,評估資訊資源的可運用性,提供相關業務單位進行經營與管理,並且定期更新資訊資源庫,以不同方式保管與異地存放資料。

(四) 風險管理:針對不同分類之資訊資源庫進行風險辨識與等級之畫分,依風險等級的不同分別制定管理作業流程,包括資料遺失、毀損或轉換之因應計畫與啓動程序。

(五) 績效衡量:根據委外資訊系統處理業務資料之正確性、穩定性、及可靠性與及時性,建立可參考之量化資料,作為委外合約內容的費用與罰責之參考依據。

    由以上的案件分析及改善建議事項可知,內部稽核缺失不但可經由銀行實施資訊治理而避免,甚至可以透過內部稽核功能有效發揮資訊治理的效能,依循COBIT 5之目標架構,建立符合股東需求,將風險控管在可接受範圍,資源得以合理有效化分配,確保可實現之利益,保障資產安全,透過資訊科技的輔助,讓實施有效性之內部稽核,使金融業在資訊科技應用的環境下,維護金融業及金融消費者資訊安全,金融業的公司治理得以趨於完善,提升營運效能逹成組織目標,保障實質資產之安全。