半夜3點,用戶透過網路銀行轉出一筆錢到陌生帳戶,系統判斷此為異常行為,立刻暫停線上交易,緊接著用戶接到網銀客服人員詢問電話,經確認沒問題後系統才放行,這是日本的樂天純網銀針對詐欺風險設計的防禦機制,也因為這套機制讓樂天做到18年零詐騙的紀錄。 對建立在網路基礎之上的純網銀,做好風險治理才能在消費者心中建立信心。風險管理專家、勤業眾信聯合會計師事務所風險諮詢服務執行副總經理曾韵開宗明義說,「純網銀與一般傳統商業銀行的風險框架類似,差別在於比重不同。」
國際上除了香港、新加坡之外,對純網銀的申設規定都與一般銀行一樣,經營的業務內容也相同。也就是說,談到風險議題的部分,其實可把純網銀視為一般銀行,這兩者是大同小異,例如:都包含信用、流動性、資安與個資、營運中斷、委外及商譽等面向。就純網銀來說,與一般銀行最主要的差異,在於因為其重度仰賴網路的關係,而有它們必須格外偏重、強化的部分。不過,純網銀也因不設實體分行,而沒有對分行的內控風險。勤業眾信聯合會計師事務所風險諮詢服務協理紀宜均也補充說明,「純網銀沒有分行,不設ATM,幾乎不會碰到實體鈔票,就少了很多傳統實體銀行對分行的內控風險,例如:警衛、運鈔車、分行人員行為管理、下班後門禁、帳務清點等。」
當詐騙遇上整合性系統 純網銀反應更快
不可諱言,純網銀比起傳統銀行更需要關注資安、駭客風險,特別是在近年來,不論是從公部門到民間企業,遭受駭客攻擊已經成為十分普遍的現象。有6年以上資訊安全管理顧問經驗的曾韵指出,純網銀再加上開放銀行(Open Banking)後,系統新增許多對第三方的接口跟連結,只要任何一個接口出問題,駭客就能進到系統裡,「對於駭客,以前會講預防;但現在務實地說,不要去想『不會被攻擊』,而要想『回應速度』(Response),我們會建議企業先設想受到攻擊且被入侵成功的狀況,處理的重點其實是如何回應,快速地把影響降到最低。」
對於資安防護,純網銀在「系統架構」部分會有其後發優勢。曾韵解釋,相較傳統實體銀行系統為疊床架屋,「純網銀系統採用最新科技、系統、架構,減少很多傳統銀行系統無法整合的情況。」
舉例來說,一般傳統銀行可能為了因應個資法而採購一套系統,監控所有人員行為,為反制洗錢又加購一套系統,再加上業務單位原有的存款、徵信系統等,這些系統之間獨立不互通,報表也各自分開,曾韵分析,「大部分銀行討論風險管理第一步就是建一個數據平台,把各系統資料抓出來丟進去,這中間還需要處理資料轉換、格式問題,而純網銀只要規劃得好,就不會有這個問題。」
以令人聞之色變的網路詐騙為例,曾協助國內純網銀業者執照申設的紀宜均說,國外做法是透過24小時、全年無休即時監控機制,把詐騙率降到非常低。不少國外純網銀業者已經透過整合式、即時性系統監控,做到24小時可疑交易偵測,系統只要偵測交易行為有問題,就會立刻暫停交易,人工介入聯絡客戶,再判斷是否放行。相較之下,台灣金融機構大部分是事後動作,往往錢轉走了,隔天才打電話來確認,即便有問題也於事無補。
紀宜均指出,「傳統銀行在各個風險監控上是由不同部門負責,因此會出現不同系統、不同解決方案,缺少整合性系統,純網銀從零開始,比較沒有歷史包袱。」純網銀只要規劃整合好,就可以透過企業儀表板(Dashboard)即時查看所有風險監控指標,若一個地方有異狀,系統會即時通知、預警,不會像現在銀行大多是事後察覺,出問題後還需進到一套套系統撈資料查證。
缺乏實體據點 當心負面消息的後座力
不過,雖然純網銀具備整合性的系統優勢,但要建置完善的資訊系統,不論對傳統銀行或純網銀都是成本的巨大投入。過去一般銀行的做法是買設備、建機房、買軟體、建資料庫,從建置到維護的成本都相當高,而現在隨著雲端技術越來越成熟,銀行業其實已經開始思考是否適當採用雲技術,以減少成本的支出。
但對全部業務都透過網路運行的純網銀而言,雲技術是一把雙面刃,純網銀必須更慎重思考如何使用,也可能因此增加委外風險。曾韵仔細說明,這是由於金融機構生存的命脈就是用戶的信任,「以目前情況來看,民眾對純網銀與傳統銀行的信任度仍有差異,一般更傾向相信傳統銀行。」
像是台灣近年來陸續傳出銀行系統出狀況而影響營運,例如:客戶存款餘額歸零、系統當機而使APP與ATM中斷服務等。當這些影響用戶對銀行信心的事件,發生在純網銀身上,將會造成哪些影響?沒有實體營業據點的純網銀萬一碰上「營運中斷」,就很容易擴大事件的負面影響力,「純網銀因大量使用科技,資安範疇及影響性遠比傳統銀行大,一旦出問題,需面對更龐大的營運中斷風險。實體銀行萬一系統中斷,還可透過現場人員來處理,但沒有分行的純網銀就沒有這個解決方案。」
因此,當各種風險演化成負面新聞、危機事件時,純網銀的抵抗力就相對不如傳統銀行,更不用說當真假難辨的假新聞、耳語流傳時帶來的打擊,曾韵補充說明,「一旦有流言、小道消息,對純網銀的傷害就會更大。」所以如何維持商譽,降低假新聞造成的負面影響是純網銀必須面對的風險課題。
國際趨勢 整合監理科技銀行更能先知先覺
那麼,面對以上這些風險,國外已相對發展成熟的純網銀,又是如何因應解決的?曾韵歸納說,「從風險諮詢顧問角度,純網銀在管理風險基本上還是倚賴科技途徑。」目前各國在金融監理科技應用上,不外乎使用人工智慧(Artificial Intelligence, AI)、機器學習(Machine Learning)、區塊鏈(Blockchain)、大數據(Big Data)、生物辨識(Biometric)等技術進行風險資料整合與管理、建模與情境分析和預測、及時付款交易監測及攔截、身分確認、提供即時運算及交易後台作業報告等。
「輿情監控」也是國際間銀行進行風險管控的工具,藉由監測新聞、社交媒體內容,追蹤、了解客戶企業經營體質或是否涉入非法、洗錢事件。曾韵說,例如:前段時間台灣發生的銀行聯貸案,造成鉅額呆帳、被主管機關罰款,其實在事件爆發前,已有企業員工在網路上貼文提到公司裁員訊息,若能事先監控,就能確認這些出問題的公司是否為銀行客戶,及時採取因應措施。
若以勤業眾信的實際經驗來說,針對銀行業的「輿情監控」他們就因應金融市場需求,開發了一套風險偵測工具,能夠協助銀行蒐集公開訊息、社交媒體網站內容,並進行監測:是否有對企業、產品或服務的裁罰或負面評論?除此之外,透過財報也能監控銀行客戶供應商的財務狀況、重大災情新聞,並將這些監測訊息整合在一個儀表板上,幫助銀行快速做出回應。
新加坡 精確定義法報 顆粒細致度是關鍵
從起步到實際營運,純網銀想要順利開展業務,不只要靠銀行本身導入新科技的應用來輔助把關而已,主管機關的監理,也在金融大環境的風險管控層面扮演極為重要的角色。曾韵分析,目前各國都會透過必須申報的法定報表對銀行進行監理,「以歐盟為例,他們的主管機關會針對銀行提交的法報內容進一步分析,以及早對市場風險做出預警,避免之前發生過的金融風暴或系統性風險。像美國在2008年發生的次級房貸危機,就是一個慘痛經驗,主管機關如果能及早蒐集資料,從中發現很多金融機構操作房貸是有問題的,就能避免金融災情的發生。」
而在台灣,法報的做法是主管機關對銀行發出公文,銀行再回覆公文或利用系統介面手動輸入資料,曾韵也點出當中潛在的問題,「大家提報基礎不是完全相同的。以交易量為例,每個金融機構對交易量的定義不太一樣,比如是不是單指國內交易量、是否包含外匯,或需要扣掉哪些費用等等。」
「法報能否偵測出問題,差別在顆粒度,國外的趨勢是更精確定義法報內容,數據顆粒度做得更細,把以前加總的結論拆分提報,並以應用程式介面(Application Programming Interface, API)方式做到自動、即時取得。」曾韵說,新加坡去年就公告一份銀行報告標準,即要求銀行提供資料的顆粒度需更精細、標準化、自動化,預計在明年全面落實。
烏鴉變後盾 風管轉型 創新阻力變助力
風險管理既然對純網銀如此重要,但過往一般人對風險管理單位的印象,卻經常是為了組織安全運作而說「NO」的部門,而創新的本質是不斷打破界線,這是否將對純網銀的創新思維帶來限制呢?
曾韵認為風管角色只要轉型,阻力就能變助力。風管人員會成為組織中的「烏鴉」是因為他們的職能,通常業務單位希望風管單位直接確認這樣做可以或不可以,而風管單位擔心的是提供建議後衍生的問題,因此更趨於謹慎保守、不會主動提供解決方案,甚至讓大家覺得他們是阻礙創新的一群。在建立風險管理機制方面經驗豐富的曾韵建議,「企業應該在一開始發展新業務時,就納入資安、法遵部門人員。」她以勤業眾信為例,在風管團隊來了一位做過諮詢顧問的同事後,從最前端就開始納入風管概念,「大家無論談到新客戶或想推出新服務,都會找她討論,她會清楚說明公司規定是什麼、若不符規定可能還有什麼方法可解套。」當所有流程、業務內容在一開始設計規劃時,就能有資安、風管思維,就能為創新鬆綁,讓風管人員成為業務單位最堅實的後盾。
【本文出自《能力雜誌》2019年12月號;訂能力電子雜誌;非經同意不得轉載、刊登】
沒有留言:
張貼留言