消費金融與其他業務-2

資訊業務

一、電腦化對控制環境之影響

(一)稽核軌跡的改變
傳統憑目力覆核所抽查之書面文件或憑證，以獲取供其表示審核意見所需之佐證，在電腦化及網路化後，行員利用終端機，客戶透過網路使得資料之處理轉為無紙化，部分原始憑證被省略，以致形成積核軌跡不清之現象。
(二)職務分工受挑戰
電子資料處理多集中在同一部門，內部控制所需的責任分工、相互制衡受到挑戰。
(三)授權方式改變
新式電子資料處理系統可經由主管卡或輸入授權密碼取得授權，和傳統書面審核之授權方式迥然不同。

二、電腦化對銀行恐造成之風險

實體安全    
電腦中心機房、硬體設備、線路等可能遭受人為破壞或天然災害。
傳輸設備    
傳輸之穩定與否，將影響資料之可靠性，一旦斷線將影響銀行正常運作及聲譽。
系統軟體及硬體設備    
應定期維護或例行檢查，方可確保運作正常。
應用程式    
開發必須符合需求，且須正確無誤。
資料庫系統    
系統設計之良好與否，關係到資料之正確性及完整性。

三、網路銀行安全機制

(一)安全機制應具備之防護措施
1.無論是上述何種機制，其安全設計均應具備訊息隱密性、完整性、來源辨識性、不可重複性、無法否認傳送訊息及無法否認接收訊息等六大防護措施。
2.若為「約定轉帳」因屬低風險交易，得排除「無法否認傳送訊息」及「無法否認接收訊息」之安全設計。
3.電子轉帳及交易指示類之安全機制，若不具備「無法否認傳遞訊息」、「無法否認接收訊息」之功能，則其使用之對稱性加解密系統之金鑰長度不得小於「128位元」，且必須改採使用者代號、密碼，以強化安全防護。
(二)電子金融交易之風險
高風險交易    
該訊息執行結果，對客戶權益有重大影響之各類電子轉帳及交易指示，如非同戶名且非約定轉入帳戶之各類電子轉帳及交易指示。
低風險交易    
該訊息執行結果之風險性低，如同戶名或約定轉入帳戶，或非約定轉入帳戶小金額之轉帳(每戶每筆不超過五萬元，每天累計不超過十萬元，每月累計不超過二十萬元為限)之各類電子轉帳及交易指示。
二、專人陪同維護機器
廠商前來營業單位維護機器，應由專人陪同並登記備查。
三、主管與櫃員權限代號分別持有
一人不得同時持有主管權限及櫃員權限之端末機使用者代號。
四、禁止多人共用同一使用者代號
不宜二人或多人共用同一使用者代號，以防權責不明。
五、使用者代號控管
端末機使用者代號之新增、變更、刪除應登記控管。
六、變更密碼
端末機使用者密碼應定期變更。
七、關閉工作站或簽退
操作人員暫時離機或有他人需要使用同一端末機時，應先由原操作人員關閉工作站或簽退(SIGN OFF、LOG OFF)。
八、排程處理
例行作業應依預定排程處理，非例行作業之處理應先經核可或授權。
九、資料診斷人員之特殊權限
對於儲存體或記憶體之傾錄或傾印(STORAGE OR MEMORY DUMP)應只限於需以該項資料作診斷之人員。
十、機密性資料之隱密
機密性資料(ex.亂碼基碼有關資料)輸入電腦過程必須隱密。
十一、符合牽制原則
資料輸入人員或核對人員，或輸入憑證保管人員之指派，必須符合牽制原則。
十二、網路銀行業務之申請或報備
開辦網路銀行相關業務必須向主管機關申請核准或報備後辦理。
十三、風險限額
網路銀行之轉帳或匯款類交易，應訂定風險限額。
十四、針對網路銀行業務之開發維護、運作及管理，必須：
(一)明訂內控規章。
(二)有關開發、維護、運作等作業流程必須符合內部控制原則。
(三)系統維護及資料管理必須依內部規章辦理。
十五、網路銀行系統訊息傳輸之安全設計，必須：
(一)對電子轉帳及交易性指示等之金融交易訊息或電子文件傳輸，必須有來源辨識及隱密性、完整性、不重複、無法否認傳送訊息及無法否認接收訊息等之設計。
(二)查詢或通知類訊息之交易，不得違反有關資訊保密等之規定。
(三)私密金鑰之長度設計必須符合規定。
(四)私密金鑰、憑證資料或亂碼基碼之產生、儲存設計應符合內控機制。
(五)對於訊息及電子簽章應保存完整之記錄。
十六、主機操作及作業處理
(一)電腦作業系統運作紀錄(SYSTEM LOG)或控制台操作紀錄(CONSOLE LOG)等有關工作處理之紀錄，應保存適當期間並指定專人負責查核，且對例外情況必須加以追蹤處理。
(二)控制台及週邊設備(ex.印表機)僅限輪值操作員操作。
(三)例行工作應依預定排程處理，非例行工作之處理應經核准。
(四)操作異常狀況應予紀錄。
(五)發生嚴重問題時，應依規定之程序，立即通知主管。
(六)每班作業應至少有二名操作員輪班。
十七、主管授權工具
主管卡、主管鑰匙或密碼應由主管親自持用。
十八、特殊交易查證
對特殊交易內容事先應予審核查證，且事後加以追蹤查證。
十九、密碼變更
金融機構對於電腦公司安裝電腦系統時，其系統工程師使用之預設密碼，應於驗收後上線前立即刪除或變更，並定期變更密碼，以維護電腦網路安全。
二十、為符合分工牽制作業原則
(一)連線管理人員不得兼任應用系統程式之維護工作。
(二)系統分析及程式撰寫人員不得兼任資料輸入之管制工作。
(三)機房操作人員不得兼任系統分析及程式撰寫工作。
(四)經電腦檢核為異常或錯誤之輸入資料，應指定操作員以外人員負責查明處理。
(五)儲存機密資料或程式之磁帶、磁片等媒體之保管，應由有權人員二人會同封簽後密存。
(六)密碼單之印製及金融卡之製作，應指定不同人員將卡片及密碼單分開製作、分開寄送。
二十一、亂碼化介面程式
(一)「亂碼化介面程式碼」不可存放於主機系統程式館內。
(二)亂碼化介面程式維護、修改應依「亂碼化作業安全規章」所訂程序及規定辦理。
(三)有關亂碼化作業之紀錄資料，包括作業紀錄、基碼變更紀錄、程式報表紀錄，均應由安全控管人員定期查閱。
二十二、金融機構媒體管理應注意事項
(一)儲存機密資料或程式之磁帶應由二人會同封簽後密存。
(二)應注意媒體品質維護，必要時予以清潔、維護或重錄。
(三)媒體廢棄前應先消磁以防資料外洩。
(四)媒體編號必須可由外標籤查知媒體內容及用途。
二十三、防火牆、路由器之設定
(一)設定內容應留存書面文件備查，設定內容變更應經申請評估後，始准由專人予以變更。
(二)對非法入侵防火牆事件，應即時處理，並留存紀錄。
(三)應依不同功能，不用地域或不同使用者設定不同網域，以利控管。
(四)變更防火牆應經測試並經主管審核。
(五)防火牆外部網路位址與內部網路位址對應資料之建置、變更應有專人控管。

衍生性金融商品

一、衍生性金融商品之風險
衍生性金融商品存在高度複雜性且不易衡量，故其潛在風險遠大於傳統金融商品，其主要風險包括：
信用風險
(違約風險）    
交易一方無法履行交易契約義務，而導致另一方發生損失之風險，通常以「重置成本」來預測，並以收受抵押品或保證金來降低風險。
市場風險
(價格風險)    
標的資產之市場價格發生變動，造成衍生性金融商品市價變動之風險。
流動性風險    
金融資產之變現能力或無法以合理價格軋平部位所產生之風險。店頭市場一般多係配合買賣雙方需要而設計之非規格化產品，其交易較不活絡，相對流動性較低，故其流動性風險較大。
國家風險    
交易對手國之政治或經濟發生變化所產生之風險。此類風險可依據世界知名之信用評等機構對交易對手國國家之評等結果，訂定額度控管。
作業風險    
因內部制度設計不當、人謀不臧或控管不周導致損失之風險。此類風險往往可藉由有效的內部控制予以降低。
法律風險    
因契約、法令不完整，導致無法有效約束交易對手旅行合約或契約被判無效，而造成損失之風險。

二、銀行辦理衍生性金融商品採負面表列管理原則，下列衍生性金融商品應經核准後始得辦理：(一)涉及與適用臺灣地區與大陸地區人民關係條例及依該條例所定之相關法令有關之商品。
(二)涉及從事衍生自國內股價暨期貨交易所有關之現貨商品及指數等契約，並洽會金管會、證期局之商品。
(三)涉及須經中央銀行許可之外匯商品。
銀行取得辦理衍生性金融商品業務之核准後，除負面表列商品外，得開辦各種衍生性商品及其商品組合不必再申請，但應於開辦後十五日內，檢送商品特性說明書、法規遵循說明及風險預告書送金管會備查。

三、辦理衍生性金融商品業務之銀行，有下情事之一，所辦理之衍生性金融商品，以避險目的為限：

最近一季逾期放款比率高於3%。
本國銀行自有資本與風險性資產比率低於銀行法規定標準者。
備抵呆帳提列不足者。

四、股權結構型商品交易限制

銀行不得與本行或連結股票發行公司之董事、監察人、經理人貨持有其股份百分之十以上之股東、前述身分者之配偶、未成年子女及利用他人名義持有者，或本行持有股份總額百分之十以上之轉投資公司，從事台股股權結構型商品交易。

五、對交易對手信用額度之控管，應由非交易部門負責，並定期適時檢討該額度是否恰當。超逾風險限額時，得採取之措施包括：

經有權人員核可。
結清部位。
簽報提高風險限額。
六、暴險額偏高之適當措施
對信用暴險額已達信用額度之預警比例時(ex.額度利用率達70%)，應採取適當措施，如解約、採取對沖交易、徵提具流動性之擔保品及取得第三人保證等。
七、編號控管
交易員完成交易，應立即將交易時間、編號填入成交單，成交單應依編號順序管控。
八、交易人員兼任之禁止
交易人員不得兼任交割、確認或會計工作。
九、市價評估原則
銀行辦理衍生性金融商品業務，其為交易部位者，應以「即時」或「每日」市價評估為原則，並每日評估一次，其為銀行本身業務需要辦理之避險性交易者，至少每月評估一次。
十、公告與申報
上市、上櫃公司應「按月」將本公司及其子公司從事衍生性商品交易之相關內容，併同每月營運情形辦理公告及向金管會申報。
十一、公司最高層核定作業準則
辦理新種衍生性金融商品應報經銀行董(理)事會核定其作業準則。
十二、外幣保證金禁止承作外幣選擇權交易
銀行(含OBU分行)不得以外匯保證金方式承作外幣選擇權。
十三、展期價格
新台幣對外幣換匯交易辦理展期時應依當時市場匯率重訂展期價格，即不得依原價格展期。
十四、NDF承作對象
辦理新台幣與外幣間無本金遠期外匯業務(NDF)之承作對象，限於國內指定銀行、在台外商銀行之國外聯行、本國銀行之海外分行或子行。
十五、現金差交割
辦理新台幣與外幣間無本金交割遠期外匯交易，應採現金差交割，且不得辦理展期或提前解約。
十六、風險管理獨立
應設獨立之風險控管單位，並由非交易人員擔任風險辨識、衡量、監控、報告等工作。
十七、銀行向一般客戶提供衍生性金融商品交易服務時
(一)推廣文宣資料應清楚、公平及不誤導客戶。
(二)對商品之可能報酬與風險之揭露，應以衡平且顯著方式表達。
(三)風險預告書應充分揭露各種風險，並將最大風險或損失以粗黑字體標示。
(四)不得藉主管機關對衍生性金融商品業務之核准、核備或備查使客戶認為政府已對該商品提供保證。
(五)應制定瞭解客戶(Know Your Customer, KYC)制度，並確實瞭解客戶之財務狀況、投資經驗、投資需求及承擔潛在虧損之能力等特性。
(六)銀行與客戶解除契約，如有約定違約金時，應本於公平合理原則約定，不得收取過高之違約金。
(七)銀行辦理衍生性金融商品除應於交易契約與網站中載明交易糾紛之申訴管道外，於實際發生交易糾紛情事時，應即依照客戶申訴處理程序辦理。