因內控不當而引發內/外部交易詐欺事件層出不窮,金融業對於建立信任總是說的漂亮,透過IT解決方案與管理制度面雙管齊下,杜絕內控問題再來談建立信任。
「某銀行未確實執行內部控制制度,經核處罰鍰新臺幣X萬元」這類的新聞稿常出現在金管會銀行局網站。然而這樣的新聞卻沒能吸引一般大眾或主流媒體關注,是因為出現太過頻繁?或是造成損失不大,銀行私下與受害客戶和解了事,只要賠償金、金管會的罰金都在可接受範圍內,內部控制問題就從來不是銀行的首要任務!?
IT解決方案彌補人為漏失
今年初法國興業銀行才爆發交易員逾越權限,以詐騙手法掩蓋賠錢的股價指數期貨交易,造成該行49億歐元的巨額損失。而6月緊接著是摩根史坦利的交易員虛報交易部位,同樣使該公司認列1.2億美元的損失。更早之前的還有1996年當時英國霸菱銀行還因此宣布倒閉。
相信這些出事的金融機構都有既定一套內稽內控制度,為何還讓內部人員有機可乘。以摩根史坦利這起事件來說,由於該名交易員先前曾擔任過帳戶管理人員,熟悉背後IT系統以及該流程所有控制機制,於是便利用Trading系統與Account系統之間的勾稽漏洞,透過一連串虛構的交易行為來掩蓋其犯案軌跡。優利(Unisys)亞太區全球金融服務部風險管理負責人Ian Selbie指出,銀行資訊系統繁雜,包括Call Center、ATM系統、網路銀行系統、櫃員系統等,有心人士會利用跨系統、跨通路的平台來尋找犯案機會。例如先更改帳單寄送地址之後,打電話到Call Center申請卡片遺失補發,這就是典型可疑的詐欺行為。
由於在多數銀行這些系統都是彼此獨立運作,分開存放資料,要在單獨2個系統間一對一地找出異常交易行為不難,寫支應用程式做關聯即可,但在實務面有各種不同的交易模式,例如前述摩根史坦利也是橫跨不同系統的異常交易事件,就不容易被察覺。Selbie表示,透過偵測系統的輔助,可以將銀行所有應用系統多對多地納入統一平台來監看,透過解決方案由眾多案例累積而成的風險資料庫或行為模式範本,來針對異常交易行為發出警訊,不需單靠人為來判斷,可減少人為思考可能造成的遺漏。
目前銀行都有2~3層的覆核機制,99%屬於正常交易,要在龐大交易量當中找出異常非常耗費時間。優利金融事業群資訊服務產品行銷協理李人傑指出,現今金融業整併之後市場競爭更加激烈。曾發生過類似詐欺事件的銀行會較積極,而未曾出過事或體質不好的銀行就不把這一塊看成重點。且此類解決方案通常要跟經營高層談,由上而下才有用。畢竟,IT部門包括CIO甚少關注此一問題。
組織流程面搭配進行,建立差異化
資深資安顧問謝持恆指出目前許多金融機構會面臨此類內控問題,主要是所提供的金融商品多、系統繁雜,許多存在跨部門作業流程中的風險問題,卻沒有一個整合的單位來做歸納控管。因此除了資訊系統協助之外,也需要從組織面著手改善。例如,要降低信用卡異常交易詐欺事件,從一開始核對身份就需注意,是否有大批申請者是同一帳單寄送地址。
此外,銀行稽核人員是否對業務流程面夠了解,包括熟悉各種新的衍生性金融商品等,能否確實稽核出問題是值得關注之處。此外,部份銀行由於主管常論調,對業務熟悉程度反而不如第一線人員,因此對於異常交易事件的敏感度不強,也是問題之一。
「這是作業風險的問題,」土地銀行資訊室主任羅永棟說。銀行透過7大風險資料庫定義不同的風險權數再來判定是否提列為異常交易事件。羅永棟指出要防範內部人員所造成的詐欺事件,最重要的是讓使用者權限與系統接觸度成反比。「權力越大、能進入越多系統的人,什麼事都不能做。能在系統內做許多事的,只能進入很少系統。」他說。
星展銀行(DBS)台灣區法規暨企業保安部(Compliance Services & Security)主管徐子文副總裁提出4點建議,第1、對於銀行交易監察機制,除系統設定自動條件篩選外 ,還要加上專人專責進行警示事件追蹤和隨機抽樣 ,深入調查警示訊號的內容。第2、機動改變篩選規則,對以往瀕臨警示界線的項目進行篩選,看看有沒有多重且集中發生的現象,驗證是否有人持續試圖走擦邊球。第3、嚴格執行工作輪替及合規休假 (Compliance Leave),找他人接替工作一段時間,也有助發現異常現象。第4、電腦帳戶控管必須嚴格實施,避免入侵事件發生。以上都可以作為加強監察的參考。
Unisys亞太區副總裁邱成官:積極有遠見的銀行做資安是為了建立客戶信任。 近期在次級房貸影響下,各國經濟成長目標紛紛下修,金融業遭遇直接衝擊,對於IT預算支配更趨於謹慎。Unisys亞太區副總裁暨全球金融服務部門董事總經理邱成官談到對於銀行資安推動的觀察。 問:當金融業受此波經濟衝擊時,對資安預算與作法會有哪些影響? 金融業普遍習慣採取最佳實務的作法,對資安也不例外。當各家銀行都緊縮資安預算時,積極有遠見的銀行做資安是為了建立客戶信任,而不是只為了單純符合法規。許多台灣的銀行會去比較同業的前台櫃員服務,還設定比較基準點,但他們卻不會去比較別人在後端資安上的作法。當每家銀行都說要建立信任,實際上表現出來有不同的信任度。有些是只表面上呈現出信任感,有些則實際傳達信任的承諾,例如資訊透明化,包括在客戶開戶或進行線上交易時清楚地告知銀行有哪些相關措施;然而許多銀行明知跟典範銀行之間的差距,但卻仍自我催眠自己是安全的。例如已有許多單位在運送備份磁帶時將磁帶遺失,這類導致客戶資料外洩事件層出不窮,為何還是許多銀行會發生,這是因為儘管有管理制度但未能確實執行內部程序所致。 問:風險管理良好的銀行相較於表現較差的銀行,其最大差異為何? 我認為,銀行的風險管理程度可分三種層級:Preemptive, Preventive, Reactive。Preemptive指能預先想到各種可能性並降低風險。Preventive能實施防護措施。Reactive則是當發生問題時才採取應變措施。風險管理做的好的銀行會去教育客戶。發生事情之後,好的銀行會報告上級、通知客戶採取應變措施、進行損害控制甚至對客戶說明如何預防改善,防止類似事件的發生;消極的銀行則是一味掩蓋事件、封鎖消息或否認。這關乎企業高層是否對安全有正確的心態,除了實體安全、資訊安全、資料隱私等方面,有些甚至在6標準差管理程序當中都融入了安全機制。說穿了,所有的關鍵都在於人,能否建立起安全文化,最重要的是能讓上下所有人員都體認到安全的意義。 問:就以亞太各國銀行來看,目前所面臨最嚴重的安全與風險管理問題為何? 安全不單單只是靠銀行的努力,而是整個生態體系中的一部分,需要靠政府、銀行、企業、社群等共同參與。例如,以亞太地區來說,當澳洲、新加坡的銀行都積極地控管交易詐騙、採取防制洗錢等措施時,犯罪集團便會找最弱的一環下手,也許想辦法將不法所得轉到其他安全控管沒那麼嚴的國家。所以這是政府、企業、金融、客戶之間必須共同關注的議題。 問:據調查,台灣金融業預估2009年將近3成會增加委外投資的預算。如何確保委外資安的控管? 答:委外之後不是就沒責任了。責任還是在銀行,因為客戶面對的是銀行而不是委外廠商。對於委外的控管有許多必須做,包含work、政策、人員、營運持續規劃等計畫都需一併考慮。銀行對委外的安全要求已有提升,例如過去寄送電子帳單(e-statement)常被用做網路釣魚攻擊,而現在則會把安全考慮進來,例如加入加密的功能。銀行委外的項目都是非核心業務,包括系統代管等,但也觀察到某些銀行業務以前不委外現在委外,或者選擇性委外(selective-source)的情形,銀行回歸到委外本質目的來思考,而去把影響到核心業務的委外作業拿回來做,不再是只考慮降低成本,這樣委外才能更有效益。
|