關注開放銀行、資安與ESG議題

金融檢查與稽核研修班開跑

110.12台灣銀行家第144期記錄、整理:陳雅莉

開放銀行改變金融服務業生態與樣貌,卻也帶來資安風險與威脅,因此,金融機構內稽內控更顯重要。唯有確實保護消費者權益,預防金融犯罪,並成為企業內ESG大使,推動永續金融發展,強化金融韌性,才能協同客戶共同邁向永續未來。

行公會委託台灣金融研訓院執行之「金融檢查與稽核研修班」,由中華民國銀行公會理事長呂桔誠、金管會副主委蕭翠玲開場致詞,並探討開放銀行、資安風險、數位科技、氣候變遷,以及環境、社會和企業治理(ESG)等議題。

蕭翠玲期許研修班學員肩負起金融機構內稽內控第三道防線之職責,保護消費者權益,預防金融犯罪,並成為企業內落實ESG之重要推手,推動永續金融發展,強化金融韌性,協同客戶共同邁向永續未來。

開放銀行下資安風險新樣態

開放銀行改變金融服務業生態與樣貌,卻也帶來資安風險與威脅。勤業眾信聯合會計師事務所資深執行副總經理林彥良表示,開放銀行是不可逆的趨勢,金融業者越能掌握風險並提早因應,越有機會開創出新的金融服務商業模式。

在開放銀行環境下,傳統銀行必須打破以往封閉的營運模式,向第三方服務提供商(TSP)開放資料。透過與TSP業者的合作,銀行也可以延伸金融服務觸角,提供更貼近用戶需求的服務。

林彥良說,今年7月,全聯、全家加入電子支付戰場,讓金融業者繃緊神經、嚴陣以待。開放銀行的終極目標是建立互利共榮的金融生態圈,而開放應用程式介面(API)是建立金融生態圈的第一步。

在開放銀行發展中,API扮演介接資料與服務的關鍵角色。由於消費者對金融機構與TSP業者能否妥善且安全地保存、處理其個資尚有疑慮,因此,金融機構應依據共享數據的資料敏感程度,選擇合適的API與合作方式。

API為數位轉型帶來助益,也增加風險。「API原本僅供內部使用,轉為對外開放後,容易遭受攻擊,關鍵在於API原生架構不足以因應新型態的金融環境。」林彥良分析指出。

根據SALT資安公司統計,2021年上半年API攻擊事件快速增加,每月API呼叫率增加141%,惡意流量也同步提高348%。顯見,API攻擊將成為駭客集團最主要的攻擊手法。

2019年,OWASP提出API面臨的10大安全風險,包括不安全的物件授權、無效身分認證、資料不當暴露、缺乏資源與速率限制、無效功能權限控管、批量配置不當、不安全的組態設定、注入攻擊、版本控管不當、紀錄與監控不足等。

林彥良說,目前許多企業對於內部使用哪些API掌握度不足,建議應先做內外部API盤點,包括牽涉業務活動、類型、對象、架構等API;統一API設計開發規範,避免各自為政,以確保使用有效的API安全策略來保護API。

針對開放銀行對應的個資保護議題,因開放銀行的應用涉及消費者個人資料的蒐集、處理與利用,所以金融機構與TSP業者應留意《個人資料保護法》的遵循。未來,該法持續修正勢必將因應新興數位科技環境做出調適。

銀行將客戶資料、金融數據共享的主導權還給消費者的同時,對於共享資料的安全性,在記錄隱藏敏感數據時,應使用資料遮蔽、去識別化的策略,或使用傳輸層安全標準如TLS加密,保護資訊通訊安全。林彥良認為,應將多層次防禦之精神用於API之保護,在網路層加強對於連線行為之監控、在資料存取時進行身分授權之驗證,並將API中敏感資料使用加密、去識別化等機制保護,以讓資料發揮最大效益,更有效保護共享資料。

因應氣候變遷衍生金融風險

新冠肺炎疫情對全球經濟、供應鏈、能源、氣候變遷帶來重大衝擊。新加坡大華銀行永續長Eric Lim表示,疫情期間,ESG成為全球顯學,「疫情改變大家的看法,原來人類是很脆弱。這種脆弱感滲透到世界各國,我們必須退一步思考:現行商業模式、供應鏈是否具有足夠韌性與永續性?」

Eric Lim認為,全球金融市場將面臨數位化、永續發展等兩大趨勢。他相信,再生能源將是未來永續發展的重點,而東南亞地區較有機會發展的是太陽能。目前,新加坡正積極推動太陽能相關廠商和永續金融融資。

不過,根據Eric Lim觀察,對資源受限的中小企業來說,求生存是第一要務。因此,ESG、永續金融並非是中小企業營運發展的優先重點,而且中小企業比大企業更需要ESG相關協助。針對中小企業的需求,大華銀行提供融資解決方案、合作的供應商名單,可協助中小企業客戶進行永續轉型,創造商業與環境價值。

資誠永續發展服務公司澳洲分公司永續性風險與報告合夥人John Tomac表示,因應氣候變遷所衍生的金融風險,金融服務業的最大挑戰,在於了解全球環境保護法規變革。由於全球環境保護法規複雜度高,除了歐盟發布的永續分類標準、永續財務資訊揭露外,各國又有個別的永續分類法,再加上跨國金融機構的據點分布於世界各地,因此可謂挑戰重重。

John Tomac舉例說,澳洲的煤炭以出口為導向,有一派主張金融機構不應支援高汙染性產業,提出需要調整出口融資。但如此一來,可能對澳洲經濟產生一定程度的影響。此外,信評機構對企業ESG的評等是否值得信任,銀行如何評估交易信用評等,以及如何協助客戶永續轉型,在提供或停止高汙染性產業的融資之間如何取得平衡點,都是銀行目前面臨的挑戰。

AI應用於預測性查核實務

隨著數位科技進步,金融業者大量使用大數據分析於預測性查核實務,並借助人工智慧(AI)、機器學習優化風險基礎稽核工作,以及應用於監控與稽核行為的風險。

新加坡MyFinB集團創辦人暨執行長M. Nazri Muhd指出,內部稽核員和外部檢查員對於「醜聞、不一致性、風險」(Scandal, Inconsistency, Rick, SIR)保持高度警覺。一般認為資料是王道,但有高達80%是質化、非結構性資料,既細碎又散落各處;僅有20%為量化、結構性資料。而稽核員與檢查員面對的是非結構性資料,所以應善用數位科技工具,協助蒐集、分類並分析資料。

以導入AI來說,金融業者除了考量過去和當前資料外,還要展望未來,具有前瞻性思維,才能預先做好風險控管的準備。不過,M. Nazri Muhd說明,AI為人工智慧,BI則是商業智能,大多數人混合一談。AI功能猶如大腦神經元,採非線性思考,希望模仿人類的思維,例如稽核員、執行長、律師等人的認知模式和複雜決策的流程。

他認為,善用AI有許多好處,包括可預測一家公司是否要倒閉、協助銀行進行洗錢防制、輔助以風險為本的稽核、幫助稽核員解讀資料等。在解讀資料上,AI分為5個層級,包括描述、診斷、預測、規範、自動監控,整個過程是動態,而非靜態,與一般表格填寫不同。因為AI具有認知能力,可運用數據來提供洞見,協助稽核員解釋、分析並預測風險,進而解決SIR問題。

M. Nazri Muhd說,金融業者每天可能要面臨3千至5千個可疑交易報告,傳統作法上,只有10名或20名內稽人員可處理這些報告,光是從了解背景、解釋並分析原因,再到評估影響、提出建議,遠超過人力所能負擔。但若導入AI,在短短幾天或幾週內即可處理完所有資料,並能解釋、分析、預測及提出建議。

若有客戶申請信用卡,AI可提供行為風險審查、評估及分析。針對企業客戶,AI可提供衡量指標,如經濟穩定度、波動性、是否受景氣循環影響等。若一家企業經濟風險偏高,負債比偏高,營收欠佳,代表營運環境充滿風險,可能面臨倒閉。AI不只可預測企業外部風險,還能分析企業內稽內控、財務體質是否健全,甚至關係人交易是否會影響公司經營,或拖累公司營運表現等。透過AI分析的結果,稽核員應向上呈報董事會,協助董事會和決策高層了解及防範風險。

DBS採敏捷式稽核作法

星展銀行(DBS)總稽核陳冠宇認同,資料是關鍵點,若未蒐集到足夠資料,將無法精準分析風險,「完整、充足且高品質的資料,才能有效進行稽核,進而擴大稽核深度與廣度。而敏捷式稽核的作法,可有效增進查核透明度,顯著提升整體稽核效率。」

星展銀行區域審計總監嚴利漢表示,三道防線的模型已存在20多年,但這種模型僵化,各自為政,影響稽核效能。在現有稽核作法無法解決未來挑戰下,DBS過去幾年來積極推動敏捷式稽核作法。嚴利漢形容,企業組織猶如F1賽車,車手是第一道防線,第二道提供即時支援,第三道是後援夥伴。星展銀行強調協作,尤其是三道防線彼此合作,包括情資交流、資料與工具分享,跨越部門藩籬。他提醒敏捷式作法應摒除警察心態,改變思維及工作流程,並輔以數據分析工具(Data Analytics Tools)及數位工具(Digital Tools),於不影響稽核獨立性之原則下,與其他單位相互合作,將資源聚焦於事前預防,而非事後因應,以克服傳統稽核的侷限,提早辨識風險。

延伸閱讀

APABI組織將於5月訪台
107.4台灣銀行家第100期
解讀社會住宅
107.4台灣銀行家第100期
「青年創業論壇」聚焦青創未來
107.5台灣銀行家第101期
台灣正式邁入高齡社會
107.5台灣銀行家第101期
恭喜!
獲得積分+
本期精選文章免費閱讀