觀點

網路銀行的風險管理(上)

2002 / 12 / 16
網路銀行的風險管理(上)

e化的風險類型
英國《經濟學人》雜誌發展出一系列企業營運風險管理架構(參見下圖),此項架構中關於資訊技術與資訊處理之風險包括下列幾項:




放大圖


真確風險(Integrity Risk)
此風險會發生在資訊處理的兩個範疇,分別是資訊基本架構的管理、及維持組織營運所必需的應用系統。其風險在於資料的處理(Manipulating)、擁有(Responsibilities)、展現(Disclosure)均違反了企業營運控制的實務,或資訊系統之輸出、入與處理的正確原則端控制流程,如:資料轉換介面出錯、資料內容遭破壞,網頁內容遭惡意竄改、網路資料劫奪(Session Hijacking)及資料結算之錯誤或根本的程式邏輯與經營流程不相符。
另一類型則如使用者權限的不相符,或是系統導入之變更,傳統之部門間職能分工轉變為應用系統角色及權限之扮演,例如員工兼具請購人員與採購人員之權限,可能導致不當授權將導致使用者存取未經授權之資料之風險,或造成機密資料外洩及未經授權之異動可能性。
其中與e化風險最高度相關者包括:

資訊基礎架構風險 (Infrastructure Risk)
此風險係因企業組織未能建構有效率的資訊科技基礎架構(如硬體、網路、軟體、人員及流程),在有效率、及控制良好的模式下,支援企業組織現有或未來的需求。這些風險在於界定、開發、維護及經營資訊處理環境(如電腦硬體、軟體系統、網路等)的一連串資訊科技處理程序及相關的營運應用系統(例如客戶服務、應收付帳款、生產排程、信用處理等等)有關,舉凡從作業系統平台,資料庫系統、網路系統、實體環境等等,特別是現今e化環境對網路的依賴性非常高,因此資訊基礎建設之完備,傳輸之保全是重要的風險控制點。

資訊可取得風險(Availability Risk)
當需要資訊執行營運決策或經營活動時,無法及時取得的風險,包括因資通訊中斷所產生的損失(例如:協定阻斷服務攻擊/Denial of Service、傳輸線路中斷、電話系統斷線、系統當機、衛星斷訊)、處理資訊的基本能力之喪失(例如:電腦系統效能極低,火、水災、斷電或缺乏適當專業人員操作系統)及操作上的困難(例如:控制權遭遠端控制程式劫奪、磁碟機故障、操作人員失誤)等。而企業營運的中斷也可以來自於天然災害、惡意破壞怠工、車禍等。資訊取得風險應著重以下三個不同的層面:
(1)藉由監督效能及在問題發生前採取預防措施,可避免此風險。
(2)由於系統臨時中斷的風險,可使用系統或資料回復技術使損失降至最低。
(3)因天然災害而造成長時間之中斷所產生的風險,可透過應變計劃(Disaster Recovery Plan 或 Incident Handling Process)使資訊系統減少損失。

存取風險(Access Risk)
資訊存取風險著重於不適當的存取資訊系統、資料和資訊之風險,它包括不適當的權責劃分、資料與資料庫整合之風險、以及與資訊機密性相關之風險。包括資訊、資料及程式存取被不適當核准或拒絕。不適當的人可能取得機密資訊,而適當的人卻被拒絕存取。資訊存取的風險是全面性的,亦即包括因任何目的而取得的資訊。

攸關風險(Relevance Risk)
攸關性風險係指該資訊與蒐集、維護與傳達資訊之目的無關,該風險係與資訊系統所產生或彙總資訊之有用性與時效性有關。依性質而言,資訊的攸關性風險直接與「決策資訊風險」有關,此風險係指無法將「正確」之資料或資訊,傳達給「正確」的經營、消費或管理決策者,在「正確」的時間內做出「正確」之決策。此風險之發生主要係因未充分了解資訊需求及缺乏對時效性的注意。進而損害到交易雙方的權益、企業競爭的優勢或是管理的效益與效率。


e化後所帶來的風險
由於資訊系統的導入,使得銀行營運都具體而微的濃縮至資訊系統內部,而企業營運的實際情形,均通過資料庫內數字的掌握來呈現,營運規則的更迭也反映在不同的應用系統程式的邏輯修改管理決策報表,因此原有的的風險控管目標雖然不變,但是控制實施方法與稽核的能力,則出現了相當仰賴資訊技術的變異,主要的改變如下:


1.新資訊科技所可能帶來資訊安全課題,如分散式處理環境下複雜的網路安全及安全管理之問題。

2.組織架構與職能分工轉變為應用系統角色及權限之扮演。

3.作業流程的調整與改變。

4.內部控制架構需轉化加入系統控制考量。

5.交易量增加及審計軌跡的消失,增加控制及稽核上須進行變革。




e化對銀行業的衝擊
銀行自網際網路興起之後,導入大量資訊與網路技術,對企業產生之衝擊主要乃在與企業營運之管理、工作方式與文化、產生變革與衝突。銀行的風險管理階層所面對的挑戰,在於過往透過人工化工作流程設計與授權,以及藉有各類的資料庫與資料處理來描摹企業的藍圖,以下達成經營決策。此等營運競爭的價值鍊,隨著網路化技術與資訊化工具的大量導入,遭遇到難以掌控的挑戰,甚或原有對控管的認知均不適用於e化後的環境。所以如何將原有企業經營的管理融入現代化科技工具之內,為目前使用各類e化銀行主要的挑戰。


尤其自亞太區金融風暴,國內一連串金融改革,甚且財政部長也宣示業務管理從寬,風險管理從嚴。更由於國際清算銀行(BIS)所制定的新巴塞爾資本協定(New Basel Accord)中,針對諸般信用風險(Market Risk),市場風險(Credit Risk)以及與資訊系統最相關的作業風險(Operational Risk),各項風險管理的良善,將直接衝擊到經濟資本的數字,與風險資本的計提,也具體影響了銀行的資本適足率。


因此風險管理對金融業已經不是一個 “nice to have” 的課題,而是一個直接影響到經營財務效能的課題。


電子化銀行的風險及管理架構
依照美國聯邦存保對網路銀行風險查核的說明,要受到資訊安全影響的電子化銀行交易有三類:
1.屬於一般的銀行公告資訊(level 1 風險系統)
2.與交易相關的資訊交換
3.金流的資訊交換

依照網路銀行的交易性質可以區分如右圖:




放大圖


國際清算銀行也因此針對電子化銀行的風險提出了管理性的架構(Risk Management Principles for Electronic Banking),包含:
1. 董事會與管理階層的策略
2. 資訊安全控管的要項
(a) Authorization
(b) Authentication
(c) Logical & Physical Security control
(d) Infrastructure Security
(e) Data Integrity & Trade Integrity
(f.) Internal & External Access Control
(g) 各階層的稽核軌跡 (Audit Trail)

3. 法令與商譽的風險管理
因此網路銀行的風險管理在金融風險管理的注意,就在於各種e化的風險類型。