排除資安、信心風險 AI助攻純網銀系統優勢
半夜3點,用戶透過網路銀行轉出一筆錢到陌生帳戶,系統判斷此為異常行為,立刻暫停線上交易,緊接著用戶接到網銀客服人員詢問電話,經確認沒問題後系統才放行,這是日本的樂天純網銀針對詐欺風險設計的防禦機制,也因為這套機制讓樂天做到18年零詐騙的紀錄。
對建立在網路基礎之上的純網銀,做好風險治理才能在消費者心中建立信心。風險管理專家、勤業眾信聯合會計師事務所風險諮詢服務執行副總經理曾韵開宗明義說,「純網銀與一般傳統商業銀行的風險框架類似,差別在於比重不同。」
國際上除了香港、新加坡之外,對純網銀的申設規定都與一般銀行一樣,經營的業務內容也相同。也就是說,談到風險議題的部分,其實可把純網銀視為一般銀行,這兩者是大同小異,例如:都包含信用、流動性、資安與個資、營運中斷、委外及商譽等面向。就純網銀來說,與一般銀行最主要的差異,在於因為其重度仰賴網路的關係,而有它們必須格外偏重、強化的部分。不過,純網銀也因不設實體分行,而沒有對分行的內控風險。勤業眾信聯合會計師事務所風險諮詢服務協理紀宜均也補充說明,「純網銀沒有分行,不設ATM,幾乎不會碰到實體鈔票,就少了很多傳統實體銀行對分行的內控風險,例如:警衛、運鈔車、分行人員行為管理、下班後門禁、帳務清點等。」
當詐騙遇上整合性系統 純網銀反應更快
不可諱言,純網銀比起傳統銀行更需要關注資安、駭客風險,特別是在近年來,不論是從公部門到民間企業,遭受駭客攻擊已經成為十分普遍的現象。有6年以上資訊安全管理顧問經驗的曾韵指出,純網銀再加上開放銀行(Open Banking)後,系統新增許多對第三方的接口跟連結,只要任何一個接口出問題,駭客就能進到系統裡,「對於駭客,以前會講預防;但現在務實地說,不要去想『不會被攻擊』,而要想『回應速度』(Response),我們會建議企業先設想受到攻擊且被入侵成功的狀況,處理的重點其實是如何回應,快速地把影響降到最低。」
對於資安防護,純網銀在「系統架構」部分會有其後發優勢。曾韵解釋,相較傳統實體銀行系統為疊床架屋,「純網銀系統採用最新科技、系統、架構,減少很多傳統銀行系統無法整合的情況。」
舉例來說,一般傳統銀行可能為了因應個資法而採購一套系統,監控所有人員行為,為反制洗錢又加購一套系統,再加上業務單位原有的存款、徵信系統等,這些系統之間獨立不互通,報表也各自分開,曾韵分析,「大部分銀行討論風險管理第一步就是建一個數據平台,把各系統資料抓出來丟進去,這中間還需要處理資料轉換、格式問題,而純網銀只要規劃得好,就不會有這個問題。」
以令人聞之色變的網路詐騙為例,曾協助國內純網銀業者執照申設的紀宜均說,國外做法是透過24小時、全年無休即時監控機制,把詐騙率降到非常低。不少國外純網銀業者已經透過整合式、即時性系統監控,做到24小時可疑交易偵測,系統只要偵測交易行為有問題,就會立刻暫停交易,人工介入聯絡客戶,再判斷是否放行。相較之下,台灣金融機構大部分是事後動作,往往錢轉走了,隔天才打電話來確認,即便有問題也於事無補。
紀宜均指出,「傳統銀行在各個風險監控上是由不同部門負責,因此會出現不同系統、不同解決方案,缺少整合性系統,純網銀從零開始,比較沒有歷史包袱。」純網銀只要規劃整合好,就可以透過企業儀表板(Dashboard)即時查看所有風險監控指標,若一個地方有異狀,系統會即時通知、預警,不會像現在銀行大多是事後察覺,出問題後還需進到一套套系統撈資料查證。
缺乏實體據點 當心負面消息的後座力
不過,雖然純網銀具備整合性的系統優勢,但要建置完善的資訊系統,不論對傳統銀行或純網銀都是成本的巨大投入。過去一般銀行的做法是買設備、建機房、買軟體、建資料庫,從建置到維護的成本都相當高,而現在隨著雲端技術越來越成熟,銀行業其實已經開始思考是否適當採用雲技術,以減少成本的支出。
但對全部業務都透過網路運行的純網銀而言,雲技術是一把雙面刃,純網銀必須更慎重思考如何使用,也可能因此增加委外風險。曾韵仔細說明,這是由於金融機構生存的命脈就是用戶的信任,「以目前情況來看,民眾對純網銀與傳統銀行的信任度仍有差異,一般更傾向相信傳統銀行。」
像是台灣近年來陸續傳出銀行系統出狀況而影響營運,例如:客戶存款餘額歸零、系統當機而使APP與ATM中斷服務等。當這些影響用戶對銀行信心的事件,發生在純網銀身上,將會造成哪些影響?沒有實體營業據點的純網銀萬一碰上「營運中斷」,就很容易擴大事件的負面影響力,「純網銀因大量使用科技,資安範疇及影響性遠比傳統銀行大,一旦出問題,需面對更龐大的營運中斷風險。實體銀行萬一系統中斷,還可透過現場人員來處理,但沒有分行的純網銀就沒有這個解決方案。」
因此,當各種風險演化成負面新聞、危機事件時,純網銀的抵抗力就相對不如傳統銀行,更不用說當真假難辨的假新聞、耳語流傳時帶來的打擊,曾韵補充說明,「一旦有流言、小道消息,對純網銀的傷害就會更大。」所以如何維持商譽,降低假新聞造成的負面影響是純網銀必須面對的風險課題。
國際趨勢 整合監理科技銀行更能先知先覺
那麼,面對以上這些風險,國外已相對發展成熟的純網銀,又是如何因應解決的?曾韵歸納說,「從風險諮詢顧問角度,純網銀在管理風險基本上還是倚賴科技途徑。」目前各國在金融監理科技應用上,不外乎使用人工智慧(Artificial Intelligence, AI)、機器學習(Machine Learning)、區塊鏈(Blockchain)、大數據(Big Data)、生物辨識(Biometric)等技術進行風險資料整合與管理、建模與情境分析和預測、及時付款交易監測及攔截、身分確認、提供即時運算及交易後台作業報告等。
「輿情監控」也是國際間銀行進行風險管控的工具,藉由監測新聞、社交媒體內容,追蹤、了解客戶企業經營體質或是否涉入非法、洗錢事件。曾韵說,例如:前段時間台灣發生的銀行聯貸案,造成鉅額呆帳、被主管機關罰款,其實在事件爆發前,已有企業員工在網路上貼文提到公司裁員訊息,若能事先監控,就能確認這些出問題的公司是否為銀行客戶,及時採取因應措施。
對建立在網路基礎之上的純網銀,做好風險治理才能在消費者心中建立信心。風險管理專家、勤業眾信聯合會計師事務所風險諮詢服務執行副總經理曾韵開宗明義說,「純網銀與一般傳統商業銀行的風險框架類似,差別在於比重不同。」
國際上除了香港、新加坡之外,對純網銀的申設規定都與一般銀行一樣,經營的業務內容也相同。也就是說,談到風險議題的部分,其實可把純網銀視為一般銀行,這兩者是大同小異,例如:都包含信用、流動性、資安與個資、營運中斷、委外及商譽等面向。就純網銀來說,與一般銀行最主要的差異,在於因為其重度仰賴網路的關係,而有它們必須格外偏重、強化的部分。不過,純網銀也因不設實體分行,而沒有對分行的內控風險。勤業眾信聯合會計師事務所風險諮詢服務協理紀宜均也補充說明,「純網銀沒有分行,不設ATM,幾乎不會碰到實體鈔票,就少了很多傳統實體銀行對分行的內控風險,例如:警衛、運鈔車、分行人員行為管理、下班後門禁、帳務清點等。」
當詐騙遇上整合性系統 純網銀反應更快
不可諱言,純網銀比起傳統銀行更需要關注資安、駭客風險,特別是在近年來,不論是從公部門到民間企業,遭受駭客攻擊已經成為十分普遍的現象。有6年以上資訊安全管理顧問經驗的曾韵指出,純網銀再加上開放銀行(Open Banking)後,系統新增許多對第三方的接口跟連結,只要任何一個接口出問題,駭客就能進到系統裡,「對於駭客,以前會講預防;但現在務實地說,不要去想『不會被攻擊』,而要想『回應速度』(Response),我們會建議企業先設想受到攻擊且被入侵成功的狀況,處理的重點其實是如何回應,快速地把影響降到最低。」
對於資安防護,純網銀在「系統架構」部分會有其後發優勢。曾韵解釋,相較傳統實體銀行系統為疊床架屋,「純網銀系統採用最新科技、系統、架構,減少很多傳統銀行系統無法整合的情況。」
舉例來說,一般傳統銀行可能為了因應個資法而採購一套系統,監控所有人員行為,為反制洗錢又加購一套系統,再加上業務單位原有的存款、徵信系統等,這些系統之間獨立不互通,報表也各自分開,曾韵分析,「大部分銀行討論風險管理第一步就是建一個數據平台,把各系統資料抓出來丟進去,這中間還需要處理資料轉換、格式問題,而純網銀只要規劃得好,就不會有這個問題。」
以令人聞之色變的網路詐騙為例,曾協助國內純網銀業者執照申設的紀宜均說,國外做法是透過24小時、全年無休即時監控機制,把詐騙率降到非常低。不少國外純網銀業者已經透過整合式、即時性系統監控,做到24小時可疑交易偵測,系統只要偵測交易行為有問題,就會立刻暫停交易,人工介入聯絡客戶,再判斷是否放行。相較之下,台灣金融機構大部分是事後動作,往往錢轉走了,隔天才打電話來確認,即便有問題也於事無補。
紀宜均指出,「傳統銀行在各個風險監控上是由不同部門負責,因此會出現不同系統、不同解決方案,缺少整合性系統,純網銀從零開始,比較沒有歷史包袱。」純網銀只要規劃整合好,就可以透過企業儀表板(Dashboard)即時查看所有風險監控指標,若一個地方有異狀,系統會即時通知、預警,不會像現在銀行大多是事後察覺,出問題後還需進到一套套系統撈資料查證。
缺乏實體據點 當心負面消息的後座力
不過,雖然純網銀具備整合性的系統優勢,但要建置完善的資訊系統,不論對傳統銀行或純網銀都是成本的巨大投入。過去一般銀行的做法是買設備、建機房、買軟體、建資料庫,從建置到維護的成本都相當高,而現在隨著雲端技術越來越成熟,銀行業其實已經開始思考是否適當採用雲技術,以減少成本的支出。
但對全部業務都透過網路運行的純網銀而言,雲技術是一把雙面刃,純網銀必須更慎重思考如何使用,也可能因此增加委外風險。曾韵仔細說明,這是由於金融機構生存的命脈就是用戶的信任,「以目前情況來看,民眾對純網銀與傳統銀行的信任度仍有差異,一般更傾向相信傳統銀行。」
像是台灣近年來陸續傳出銀行系統出狀況而影響營運,例如:客戶存款餘額歸零、系統當機而使APP與ATM中斷服務等。當這些影響用戶對銀行信心的事件,發生在純網銀身上,將會造成哪些影響?沒有實體營業據點的純網銀萬一碰上「營運中斷」,就很容易擴大事件的負面影響力,「純網銀因大量使用科技,資安範疇及影響性遠比傳統銀行大,一旦出問題,需面對更龐大的營運中斷風險。實體銀行萬一系統中斷,還可透過現場人員來處理,但沒有分行的純網銀就沒有這個解決方案。」
因此,當各種風險演化成負面新聞、危機事件時,純網銀的抵抗力就相對不如傳統銀行,更不用說當真假難辨的假新聞、耳語流傳時帶來的打擊,曾韵補充說明,「一旦有流言、小道消息,對純網銀的傷害就會更大。」所以如何維持商譽,降低假新聞造成的負面影響是純網銀必須面對的風險課題。
國際趨勢 整合監理科技銀行更能先知先覺
那麼,面對以上這些風險,國外已相對發展成熟的純網銀,又是如何因應解決的?曾韵歸納說,「從風險諮詢顧問角度,純網銀在管理風險基本上還是倚賴科技途徑。」目前各國在金融監理科技應用上,不外乎使用人工智慧(Artificial Intelligence, AI)、機器學習(Machine Learning)、區塊鏈(Blockchain)、大數據(Big Data)、生物辨識(Biometric)等技術進行風險資料整合與管理、建模與情境分析和預測、及時付款交易監測及攔截、身分確認、提供即時運算及交易後台作業報告等。
「輿情監控」也是國際間銀行進行風險管控的工具,藉由監測新聞、社交媒體內容,追蹤、了解客戶企業經營體質或是否涉入非法、洗錢事件。曾韵說,例如:前段時間台灣發生的銀行聯貸案,造成鉅額呆帳、被主管機關罰款,其實在事件爆發前,已有企業員工在網路上貼文提到公司裁員訊息,若能事先監控,就能確認這些出問題的公司是否為銀行客戶,及時採取因應措施。