【臺灣資安大會直擊】金融犯罪持續演進，應對行為風險成臺灣銀行業者的當務之急

【臺灣資安大會直擊】光是今年上半年，就有六起銀行理專盜用客戶資金的案件，每一位理專盜用客戶資金多將近億元，金管會對於發生相關事件的銀行也重金裁罰；去年也有發生八起理專盜領客戶資金的案件。

臺灣舞弊防治與鑑識協會理事曾韵表示，其實，從2015年～2020年上半年，光是金融理專挪用資安案件就有24起，對金融單位裁罰的罰金超過一億元，每年都有類似案件，除了銀行理專之外，其他像是保險業務員向客戶推銷投資型保單，宣稱一定會賺錢，但最後並無法達到預期獲利目標等，也是有類似的風險狀況。

這種理專盜用客戶資金的案件就是一種金融犯罪，在有利可圖的前提下，金融犯罪已經是全球趨勢；同樣的，對企業而言，只要是可以預防金融犯罪和網路安全的項目，都是好的投資標的。

傳統的金融犯罪包括：洗錢（Money Laundering ）、制裁（Sanction ）、資恐（Terrorist Financing ）、貪腐（Bribery and Corruption）等；後來，慢慢擴增金融犯罪的定義，逐步加入了針對市場濫用（Market Abuse）、不當行為及內線交易（Misconduct and Insider Dealing）的舞弊偵查。

隨著科技應用越來越成熟，後來也再擴增傳統金融犯罪的範圍，將身分盜用（Identify Theft ）、電子犯罪（Electronic Crime ）、資訊安全（Information Security ）和資料安全（Data Security）等，納入廣義的金融犯罪定義中。

曾韵表示，這種因為個人或團體行為，對客戶帶不公平的結果，破壞市場誠信並損害公司聲譽和競爭地位的風險，一般稱之為行為風險（Conduct Risk ）；像是英國金融行為監管局（FCA）的工作便是以行為風險的概念為基礎，並將行為風險定義為公司行為可能帶給消費者不良後果的風險，所以企業必須遵守FCA規定的行為風險遵循，就是要做到「公平對待客戶（TCF）的原則和預期結果」。

行為風險其實就是金融犯罪的一種，曾韵表示，關於行為風險的偵測和預防，則是近年來，臺灣金融業在風險應對的當務之急。

過去十年，銀行風險從財務面轉向非財務面

從金融海嘯過後，銀行的風險管理持續轉型中， 正如EY（安永顧問公司）和IIF（國際金融協會）進行的10年全球銀行風險管理調查所顯示的，自上次金融危機以來，全球銀行風險管理持續轉型中。

從這幾年銀行風險管理的變化來看，前面幾年專注財務風險，曾韵指出，2008年金融海嘯剛過，2010年開始談新的風險管理架構，這時候偏重市場風險、流動性風險，強調要有壓力測試，要確定金融單位撐的過考驗。

到了2012年則開始談風險胃納，開始評估風險可以接受的程度，畢竟，之前銀行業的習慣是，只要有風險就要有對應策略，這時候對風險的觀念開始改變，銀行應該要針對重大的、必要的風險去處理，而不是大大小小的風險都要處理，這是一個很大的風險觀念轉變的關鍵時刻。

到了2014年，銀行風險開始關注到行為和文化的層面，非財務面向的風險開始變得更重要；到了2015年，金融業三道防線的框架變成主流，尤其強調第一線業務人員的當責，此時，行為風險更成為所有非財務面向風險中的顯學。

2016～2019年，開始引進數位科技力量，探討風險管理也要轉型，運用科技力量做一些事情，像是網路安全在2017年就變成是最主要的銀行風險，迄今未變；2018年則開始強調，銀行透過數位轉型，加速銀行擴大規模時帶來的風險；到了2019年，為了因應下一個十年的銀行業發展，更要主動落實十大銀行業的風險管理。

操作性風險是銀行最難管理的風險，行為風險正是其一

曾韵表示，這整個十年銀行業的風險管理歷程中，前半段大部分著重在傳統銀行業在乎的財務性風險指標，例如：資本、流動性，交易對手風險、壓力測試和模型風險管理等；治理方面則有了早期改進，像是增加董事會的參與，並增強風險長（CRO）的角色和地位，有的銀行甚至有風險管理的團隊。

到了這十年的後半段，曾韵指出，銀行業的風險管理雖然從傳統的金融風險轉向非金融風險，但是，金融風險並沒有從銀行業的風險項目中消失，相關的監管改革計劃仍在持續中。不過，可以確定的是，風險管理的精力逐漸轉移到多年來，被歸類為操作風險的大範圍風險，包括：資安風險、個資問題、行為風險、詐欺、法規遵循等，到後來，包括網路安全和其他IT風險等，都算是操作性風險的範疇，這也是銀行業最難管理的風險之一。

曾韵也引用EY所做的一份銀行風險長關注的十大風險報告，可以分成財務面風險和非財務面風險，財務面風險包括：監管資本管理（Regulatory Capital Management）、信用（Credit）、流動性（Liquidity）、市場風險（Market Risk）、模型（Model）、監管實施（Regulatory  Implementation）、壓力測試（Stress  Testing）等風險。

另外，非財務面風險則包括：商業模式（Business  Model）、合規（Compliance）、行為（Conduct）、文化（Culture）、網路安全（Cybersecurity）、資料安全（Data Security）、企業風險管理（Enterprise Risk Management）、營運（Operational）、營運韌性（Operational Resilience）、商譽（Reputation）、風險胃納（Risk appetite）、風險控管（Risk Control）、風險技術架構（Risk Technology Architecture）以及數位轉型策略（Transition to Digital Strategies）等風險。

從2012年～2015年，財務面風險在十大風險過半，但到2016年開始，非財務面風險類型大幅被關注，網路安全風險排名快速上升到第二名，並且在2017年～2019年成為十大風險排名第一名；行為風險在2016年首度上榜後，之後每一年都持續上榜；其他特殊風險，例如隱私保護、營運持續以及一些風險管理和數位轉型議題，也陸續進入榜單。從這樣的排名也可以發現，操作性風險越來越多，面向也越來越多元。

金管會透過理專十誡，改善臺灣金融業盜領客戶資金的行為風險

臺灣近幾年來，金融業爆發各種盜用客戶資金的行為，不僅是一種金融犯罪，也是一種行為風險，對客戶帶來重大影響，也對銀行本身帶來不少衝擊。

金管會也在2019年6月14日備查銀行公會，訂定簡稱理專十誡的「銀行防範理財專員挪用客戶款項相關內控作業原則」，讓各銀行參考此原則，在6個月內進行內部檢視並完善相關規範，同時辦理內控三道防線查核（業務單位自行查核的第一道防線；法遵、風管等單位查核的第二道防線；內部稽核單位獨立查核的第三道防線），以降低再犯的可能性。

曾韵表示，要改善盜領客戶資金這類的行為風險，首先要做到案例分享，這和資安情資分享目的類似，可以學習經驗，即便犯案手法不完全相同，透過知道他人狀況、互相了解。以前講反洗錢會談到「認識你的客人」（KYC），但在盜領客戶資金的行為風險這件事情上，反而著重「要知道你的員工狀況」（Know Your Employee，KYE），包括員工個人是否誠信以及有沒有財務突發狀況等。

她也說，其他像是比較規範性的作為則包括：員工秉持誠信原則招攬服務；公司要有相對應的監控行為；對理專要有防弊措施；要有輪休以及輪調機制等，這些都是一些基本要求。

更進一步，在相關管理規範中，曾韵表示，也必須要做到「事前宣導、事中控管、事後查核」，主管可以不定期抽查理專人員的抽屜，建立風險的監控樣態名單，目的就是讓主管可以跟客戶確認，相關的買賣交易是否是經由客戶授權而非理專個人行為。

其他的，除了可以系統化方式產生報表，監控可能的問題，還可以進行帳戶監控、舉報機制：讓大家覺得有問題可以舉報，同時強化相關對帳機制，避免客戶太相信理專導致問題產生；銀行也要主動跟客戶進行相關交易的再確認，內部也要強化查核機制，透過系統化自動偵測可能風險，像是進行自動化通路交易異常檢核，例如不同客戶間，是否有以同一手機或IP位址執行交易的情形 。

要發現行為風險，必須透過分析許多非結構性資料才行

理專盜領客戶資金只是行為風險的一種，曾韵認為，更大範圍的行為風險偵測、管理和預防，企業則應該要從整體流程上做全面的了解與管理。一般而言，行為風險分成五個階段，從一剛開始的定義（Identify）、接取（ Access）、調查（Investigate）、糾正（Address）和改善（Improve）。

她說，企業可以定義分析，有哪些來源可以發現行為風險？當發現異常時，應該怎麼評估以及升級到調查？最後應該怎麼檢討並改善風險？在行為風險五個階段流程，企業相對應的權責規畫、通報機制和組織的風險辨識等，都是面對行為風險時，應該具備的監督和稽核能力。

曾韵表示，行為風險很多是非結構化的資料，例如理專，業務員、交易員等，很多是透過電話跟客戶溝通，企業要偵測可疑狀況時，要從哪些面向去定義行為風險呢？最重要的就是客戶的抱怨；第二則是員工本身的抱怨；第三是員工行為資料；第四是透過分析交易等資料去定義行為風險。

因為客戶的抱怨都是非結構化資料，要做分析會碰到困難，像是，企業收集這些非結構性資後，得先去判斷哪些來源可以發現行為風險？企業若要從整體結構要去規畫的話，流程要如何規畫呢？例如，誰去負責監控？誰去回報？回報對象是誰？不是所有的監控結果都是有問題，什麼情況下需要進一步調查呢？要該如何確認真的有問題？如何去做後續的分析和改善呢？

曾韵坦言，偵測和分析行為風險聽起來簡單，做起來其實很複雜，所以，大家都希望可以藉由科技，簡化並加速行為風險的偵測與分析，事實上，常見的風險監控方法，並不足以應對行為風險。

大多數監視客戶投訴的方法，無法識別出幾種常見的不當行為根源，像是企業透過和客戶聯繫了解潛在問題，當這些問題還沒有解決時，就會被歸類為客戶投訴；企業很難針對這些客戶抱怨做正確分類，而且這些客戶抱怨只有來自少數管道，一些常見的投訴來源，像是網路聊天室等，並不會被企業掌握到。

除了通訊監察方式外，曾韵表示，針對行為風險和交易的監控方式可以分成三種，第一種是仰賴客戶投訴或是內部舉報，這往往是事後才知道的落後指標；第二種則是透過活動驗證方式來確認事情是不是對的，像是抽查檢驗新開戶客戶簽名是否屬實、某些交易資料是否由第三方與客戶聯繫確認等，因為只能透過人工抽查，無法全面性發現問題所在。

第三種監控方式則是，基於規則進行的分析。她表示，因為是規則，所以就會有門檻問題，不同產品交易特性不一樣，如果員工知道公司會監控某些作為並產出異常報告，員工也會想辦法避開；其他如果想要基於規則性，監控財富顧問的交易警報或交易中的交易監控，往往會有很多誤報，員工也容易規避。

為什麼會有這些行為風險，她說，有很多也是來自於公司太在乎業績，導致理專會有不當行為，想要有效偵測行為風險就需要新方法，必須利用來自各種來源的數據，包括客戶回饋、銷售和產品數據以及績效管理數據等。

做好行為風險偵測的四種方式

要怎麼做好行為風險的偵測呢？曾韵表示，首先可以擴增資料來源，像是：客戶抱怨、客服電話、銷售資料、員工行為、績效資訊... 等，都是好的資料來源，其中，結構化資料像是銷售和帳戶使用情況，非結構化資料則像是客戶電話記錄、調查和投訴等。

可以擷取的資料包括交易和銷售績效數據；客戶模式，例如：用於財富管理的投資組合活動；客戶情報，例如，到客服中心的通話記錄、調查及投訴等，並整合各種資料來源， 提供了以個人和銷售團隊或分支機構（總行或分行）活動的視圖，還可以加上其他資料來源，像是企業的管理層次結構或辦公室位置等，就可以發現不一樣的行為風險。

她也以2012年英國倫敦銀行同業拆放利率的欺詐和串通醜聞為例，這件事情是先在交易員使用聊天室提到，並透過即時通訊和電子郵件傳遞相關訊息。如果企業可以先從公司通訊平臺中，檢索這類通信的關鍵信息並將其添加到發現行為風險的數據模型中，就可以及早發現相關的行為風險。

曾韵說：「以前做企業舞弊調查很大一塊資料來源是來自於電子郵件和通訊軟體，行為風險最難的地方也在此。」因為，分析文字容易，但要了解其意思，往往需要花力氣訓練。

第二種方式則是大海撈針型。曾韵指出，大家常用離群值檢測（Outlier Detection）做舞弊偵防，透過非監督式學習方式，將所有交易用視覺化方式呈現。多數的交易會分散在某個範圍，表示大部分正常，不論是稽核或是舞弊調查，要找出問題就是找異常的點，可以透過機器學習的方式找出異常點，檢測以前未知的模式異常，用這種方式也可以找出以前不知道的模式。

第三種則是利用自然語言處理來挖掘與客戶的互動。她表示， 資料來源有很多非結構化資訊，例如客服人員的電話，就可以利用語音轉成文字後，再用自然語言處理方式去分析內容；了解文字意涵後去知道聊天內容，再利用此來做訓練分析，就可以知道哪一些是有風險的，同時可以結合管理數據做分析。不過，目前這些非結構化資料雖然可以提供豐富的資訊，還沒有被普遍使用。

第四種就是從員工行為透明度找出行為風險所在。曾韵進一步指出， 通過捕獲有關員工行為的所有數據，並將數據與分支機構、主管和任期等上下文詳細信息結合起來，企業就可以構建員工績效的綜合圖景。

舉例而言，藉由分析通話內容和聊天內容，第一個視角可以從全球不同分支機構有什麼樣類型的風險；第二個視角可以從這個交易員來看，例如理專或交易員本身的風險指數有多高？是否要針對他特別留意？這些都可以透過資訊結合的方式，達到分析的目的。

她說，這個方式最重要的目的就是，希望可以在不當行為風險發生前，可以識別風險趨勢並制定具體的干預措施；也可以通過適當的行為，像是培訓或產品控制的方式，來挖掘和處理慢性行為模式；最後則是通過將標準化數據匯總到主管、分支機構或地區級別，藉此識別系統行為和普遍行為。

偵測行為風險的三大挑戰

雖然行為風險是臺灣金融業常見的風險之一，但要做好行為風險的偵測，還面臨三大挑戰。

第一個挑戰就是資料不足或孤立的狀況。曾韵表示，大家都覺得資料可以分析、建模型，事實上，大部分金融機構收集的數據並不夠完整，傳統的結構化資料一定都有，但大家以前根本不會想到要去監控同仁的聊天資料，當然就沒有收集到相關的資料，也就沒有資料可以分析，最後的結果就是無法全面性瞭解員工行為。

她也說，許多金融機構都說要做資料分析、大數據、數位轉型，許多金融機構內部都已經建立數據團隊，但團隊建立後就發現，除了沒有資料可以分析外，光是拿一份跨部門的資料就要三個月，先跟IT部門講要什麼資料，檢視是否有違反內部資安程序，再經過相關業務部門審核，歷時三個月後才拿到資料，後來發現拿到的資料不對，就得再另開需求拿資料。曾韵指出，許多金融部門的數據團隊經常抱怨，建立模型的時間頂多一週，但要資料卻可能要三個月，實在太沒有效率。此外，金融機構也普遍存在資料孤立的問題，資料之間無法做有效整合，或者是，以前其實沒有做這樣的資料收集，所以必須要先收集資料。

金融業要做行為分析之前，必須要有完整的資料來源，就得先做好資料收集的工作。曾韵認為，基本功比華而不實的口號更重要，很多金融機構老闆因為看到數位轉型、金融科技這些關鍵字很開心，有團隊後，就想著很快要有產出，但這些資料產出後的下一步是什麼？如果無法有效的商業化，這些資料分析就只會曇花一現、無法永續。

第二個挑戰就是缺乏專家。曾韵指出，很多金融機構已經有數據分析的專家，目前趨勢就是找業界有名的學者來擔任公司高階的技術長或數位長，若問其他業務單位的看法，可能因為這些數據專家對金融領域不夠熟悉，往往會認為這些學界找來的數據專家作法並不落地，想法太高空，無法切中產業需要的核心。

她認為，面對這種情況，金融機構必須在數據專家和領域專家中打造一個溝通橋樑，讓彼此知道對方正在做什麼事情，才能創造真正的產業應用；此外，許多銀行雖然有數據分析團隊，仍缺乏AI人才及領域專家，可以透過人才培育和人才交流的問題，弭平中間的隔閡。

第三個挑戰就是組織的抗拒。曾韵表示，早期在做個資保護或者是數位鑑識時，常有金融機構的長官質疑，企業為什麼要做這些事情？當企業做偵測、找到問題時，不就是企業自己找到問題後，主動送上門讓主管機關就發現的問題進行裁罰嗎？因此，許多金融機構對於一些風險偵測作法產生抗拒。此外，也有企業因為這些大量的風險管理投資，並無法對企業帶來明顯的商業利益，而不願意進行投資。

但她認為，這些風險管理需要許多自動化的流程和工具，可以降低並節省許多人力成本；加上，金融機構開始以風險管理的角度出發，收集許多包含客戶抱怨的多種資料來源，若可以分析這些資料，不僅有助於找到行為風險，也可以進一步了解客戶的喜好和看法，達到一魚多吃的加成效果。文⊙黃彥棻

不同單位對於金融犯罪各有不同定義，但可以確定的是，隨著科技演進，以前常見的IT和網路安全、身分竊盜等風險，也成為金融犯罪的範疇。

資料來源：曾韵整理，2020年8月