洞察解析
2020年趨勢解析《風險諮詢服務篇》新興科技應用的四大關鍵風險管理
勤業眾信風險諮詢服務 / 吳佳翰營運長
回首2019,全球經濟正在進入一個「同步成長減緩」的狀態,起因於全球經濟處在極端不確定下,國內外經濟情勢發展紛亂不斷,國際上美中貿易戰僵持未解,英國脫歐、各國民眾衝突紛起;國內企業主飽受貿易戰帶來的不確定性,政局紛擾不斷、企業投資卻步,整體經濟環境隨之下行。
然而,與此同時,科技及金融產業與其相關之發展與應用卻依舊蓬勃興旺,包含人工智慧(Artificial Intelligence, A.I.)、區塊鏈(Blockchain)、雲端運算(Cloud Computing)、大數據(Big Data)與物聯網(IoT)等新興科技領域依舊引領風騷;5G時代正式來臨,整合水平生態圈並重塑企業商業模式;以及金融創新腳步依舊快速向前邁進,如何積極打擊金融犯罪也是一不可忽視之重要課題。
勤業眾信風險諮詢服務部門提供企業主如何具備前瞻、辨識風險與機會之建議,以擘劃相對應之風險回應計畫及未來發展藍圖之能力,同時也協助企業在動態風險環境中屹立不搖、迎向永續。
企業永續之基石 - 數位韌性(Cyber Resilience)
數位科技發展趨勢
近年來數位科技迅速發展,人工智慧(Artificial Intelligence, A.I.)、區塊鏈(Blockchain)、雲端運算(Cloud Computing)、大數據(Big Data)與物聯網(IoT)等新興科技領域從學術研究落實到日常生活應用,企業在利用新興科技創造市場與價值時,須投注更多心力管理多元的資訊科技環境。縱觀國際上各國政府亦對駭客或網路攻擊行為採取積極防禦措施,適用各產業的資訊安全與隱私保護相關法令法規陸續公告,企業在放眼海外打亞洲盃或世界盃的同時,法規遵循與降低資安攻擊事件所造成的損失,已經變成進入國際市場之基本門檻。
國際資訊安全治理趨勢
瑞士世界經濟論壇(World Economic Forum, WEF)之全球風險報告(The Global Risks Report)已連續三年將「網路攻擊」、「資料竊盜」及「關鍵資訊基礎設施崩壞」列為國家重大風險,各國政府與民間企業在這數年間亦受工業控制環境 (Operational Technology, OT)安全威脅事件侵擾,造成財物與聲譽上之巨額損失。時至今日,資安攻防已是不對稱戰力之競爭,單一企業越來越難以對抗有組織且專業分工的駭客集團。面對難以預測的資安威脅,如何強化數位韌性(Cyber Resilience)將成為企業發展的重要關鍵。
企業可參考國際最佳實務,用真實可控之攻擊,來驗證企業整體防禦機制,如透過紅藍隊(Red Team & Blue Team)對抗演練方式,找出企業潛在的威脅,同時搭配威脅情資導向方式(Threat Intelligence-led),模擬常使用的戰術、技術和流程(TTP),從外部資訊蒐集、社交工程、內部資訊環境漏洞等各種環節結合,涵蓋實體、人員、網路及供應鏈之面向,無所不用其極方法找出企業資訊環境及新興技術使用之未知風險。
資安強化管理實務
隨著企業邊界的模糊化,因應資訊技術、系統和服務模式的變革,除須留意法規及監管措施的最新動態,從風險角度出發識別企業營運所面臨之新的機遇和威脅,建構以風險為導向之管理思維;從治理、管理與技術多層次實體強化控管,將潛在風險與衝擊傳達給董事會及管理階層,以便將風險緩解方案納入公司策略,健全新型態服務的發展生態和消費者權益的保障之平衡前進。
企業透過全面性風險評估,以風險導向建立組織整體安全策略、治理架構與解決方案,規劃組織合宜之安全解決方案,包含資訊基礎設施安全、身分識別管理安全、資料保護安全、資訊系統開發安全等為主要重點,有效結合「人」與「事件」進行全面性監控與因應,以保護企業組織整體安全。組織應同時評估資安應變、預警及持續的緊急應變能量,從組織、程序及技術面,全面性提升應變能量及縮短反應時間;由被動防禦轉變成主動安全防禦模式之轉變,可讓企業對網路安全威脅之對抗能力,實現「主動發現及協同防禦機制」,達到強化數位韌性(Cyber Resilience)之目標。
企業面對數位科技轉型的下一步
隨著人工智慧(AI)及物聯網(IoT)技術的快速發展,全球物聯網應用商業模式不斷創新,所衍生的商機無窮。根據國際研究調查機構IDC預測,2019年全球圍繞物聯網衍生的商機近一兆美元,此趨勢讓企業面臨數位化浪潮衝擊的時代正式來臨,隨之而來的新興科技正推動全產業的數位化轉型腳步,其中扮演關鍵角色的是AI結合IoT所形成的「AIoT」新趨勢。而根據2019年第一季全球行動數據流量較去年同期大幅成長82%,預計2024年時,5G網路會承載全球35%的數據流量。但連網只是手段,目的是連網之後獲得的數據以及這些數據要怎麼用才是關鍵;5G技術可以促成許多事情,同時也是起點,還需結合合作夥伴等形成生態體系,智慧城市、工業物聯網、擴增實境等各種應用才能成為現實。如應用人工智慧在內的新興科技提升消費者體驗及滿意度。企業應思考藉由新興科技以及數位轉型策略讓企業永續發展,但同時科技本身並非萬能。隨著科技改變了工作的本質,產業更須重視如何將人才與包含5G、IOT、AI等新興科技整合,方可完成企業的內外部數位化轉型。
5G來臨,整合水平生態圈並重塑企業商業模式
5G時代來臨,除了帶來更廣的鋪蓋式網路並包含了更快的網速以及穩定性外,5G的本質其實是因應物聯網(IoT)設備數量以及數據量的暴增而開發出來的新時代產物,因此目前市面所看到大部分的行業。從健康照護(含醫療)到金融服務再到零售業等都會受到5G技術的衝擊。企業應跳脫過往單純持續精進自身技術 / 服務 / 產品質量為核心的商業思維,並思考如何與異業進行水平整合創建產業生態圈。方可激發出創新的應用場景以及商業模式,進而提升企業的創新力與適應力
如同藉由5G傳輸架構並將流程機器人(RPA)與認知科技進行整合,並可以將流程機器人從輔助財會,擴大至協助提升製造業生產的靈活度、品管及製造環節等面向,並藉由集中管理IoT的機制來降低整體維護成本。使製造業與科技業整合並藉由物連網及新興科技來完成「智慧工廠」的願景。
除了製造業之外,也會有更多產業的智慧應用開始落地發酵,廣告業者因為5G可提供消費者「沉浸式體驗」,同時轉變了廣告與行銷產業跟消費者的對話方式,將內容和受眾更緊密地結合起來。智慧醫療亦因為大量數據以及5G技術開始實現遠距醫療、智慧醫院以及超級救護車等願景,進而提供更好且更精準的醫療服務,同時也提高了醫院對病患及其家屬的附加價值。
數位轉型浪潮,組織應發展新世代的數位管理能力
而面對數位化轉型更為重要的便是,企業內部人才也需具備新世代的數位管理能力,並考量包含敏捷開發、數位能力提升、新服務創新能力以及與科技人才對話的能力等,方可於企業內部妥善完成數位化轉型的腳步,另外導入流程機器人(RPA)來解決內部重複性較高的作業流程,方能讓企業內部人才執行更有價值及意義的工作項目,在提高產值的同時亦讓人才提升工作成就感,達成企業與員工雙贏的狀態。
智慧城市持續發展,數據與市民為核心
在5G的時代到來也為智慧城市注入一波新的動能,在智慧城市的架構下,最大的價值便是透過數據來提供人類前所未有的願景及應用,故數據與市民應該才是智慧城市中的核心,根據聯合國經濟社會事務部2018世界都市化研究報告,在2050年全球都市化程度達到68%的同時,都市環境因為人口集中將面臨居住、衛生醫療、能源、交通、教育、安全等問題,各界規劃都市發展計畫應首重永續概念,強化城市與居民之於經濟、社會與環境變化下之韌性。在急遽變遷的時空背景下,產官學研各界試圖運用科技提出解決之道,是智慧城市概念的本質。而正如勤業眾信,智慧城市發展應回歸以人為中心,同時考量生活品質、經濟競爭力以及其方案之永續性。唯有以人為本進行規劃,科技服務才是真正符合人性需求之設計,並且因為基於人之需求進行規劃,而能夠永續營運。
數位化浪潮的時代,科技進步的速度一日千里,每日不乏創新技術在世界各地的實驗室裡被發明。然而從科技本質到商業模式長久營運,兩者之間還有很長一段距離,而建立商業模式更是永續營運的關鍵。企業應該妥善思考,其智慧應用中有價值的服務為何?收費機制與項目為何?如何持續獲得數據提供服務?應用服務如何能負擔營運成本?這些面向都需納入商業模式考量,才有可能讓其服務永續營運,進而擁抱數位時代的來臨。
數位時代下的金融犯罪趨勢
2019年是金融科技百花齊放的一年,從純網銀核准申設、證券型代幣(STO)交易規範出爐、雲端服務委外申設條件放寬、開放銀行與API正積極邁入第二階段、再加上即將上路的5G以及衍生出來的智慧金融場域,令許多金融消費者期待,也讓各金融服務業者無不摩拳擦掌,準備迎接下一波的商機與挑戰。
當然,金融服務產業在進行數位轉型與結合新興科技之際,也需要同時思考眾多的風險議題,其中包含面對各式新型的金融犯罪活動,例如:利用資安漏洞進行金融詐欺、利用暗網進行洗錢與非法交易、結合權勢社交工程手法與生物特徵欺騙進行詐欺等;而面對金融犯罪供應鏈細部分工,業者必須基於客戶權益保護及自身穩健經營而建立整體的金融犯罪風險管理架構,從策略出發,包含人員管理、與監管機關互動、法令遵循、細部運作流程、科技應用等逐一設計配套機制。
過去兩年,在金融監理機關與金融服務產業等多方公私部門共同努力下,臺灣在亞太防制洗錢組織第三輪相互評鑑中拿下最佳的一般追蹤成績,也讓金融機構在洗錢防制與金融犯罪打擊層面奠定良好基礎,也因此以日益求精的角度,勤業眾信建議展望2020,金融犯罪管理重點可從以下三點出發:
強化組織權責分工與培養分析人才
由於金融科技設計與應用層面廣泛,因此建議金融組織可以建立更完整的金融科技與犯罪風險的管理組織模式,發展初期可結合既有之內部控制制度,以定期透過董事會所轄的風險管理組織,邀集風險管理、法令遵循、資訊安全相關單位共同加入,就整體金融科技與金融犯罪風險進行整體評估與討論;此外,建議可尋找跨業與多元背景人才,包含數據分析、法律、風險管理、資訊科技等,建立全面的金融犯罪風險檢視能力。
強化風險分析並建立主動預警
2019年日本7 pay行動支付在當地風光上架後,因嚴重的資安漏洞而狼狽終止服務,期間不過三個月;而這個事件也提醒金融業者進行金融科技創新時,對於金融犯罪風險的思考點必須提早到服務發展初期就必須強制進行,才能確保新興科技服務的穩健之路。此外,建議金融業者在新年度,也可以持續強化KYC與交易行為分析,輔以新興科技的力量,包含運用流程機器人(RPA)、機器學習、數據分析、區塊鏈等,提高金融犯罪風險的分析品質,進而提高主動預警能力。
生態圈內資訊分享與強化聯合防禦機制
面對新興金融犯罪趨勢,金融業者可在個資保護框架下,透過金融生態圈中相互合作(例如電信業者、保險業者、電子支付業者、零售產業等),強化風險資訊相互分享,以便降低資訊不對稱所帶來的金融犯罪風險,以求合作共榮。此外,配合新興科技引入,例如透過共同的應用程式介面(API),也可同時考量主管機關監理角度,主動提供即時性與完整的風險資訊供監理機關進行管理,讓公部門與私部門能夠共同合作打擊金融犯罪。
展望2020年,金融業者相較於過往的單打獨鬥,在現有新興技術更加成熟的運用情況下,除了期待能夠帶好更好的使用者體驗與金融創新模式之外,也能夠結合整個金融生態圈的力量,在面對金融犯罪外來的多重威脅,持續為金融消費者權益與穩定金融秩序而戰!
視覺化的風險感知
在整體風險因應的具體作為中,引進認知科技之風險分析及視覺化工具是藉由科技所驅動的創新方法。展望2020年,視覺化的風險感知平台將會是企業風險管理的進化趨勢;運用大數據分析提升企業風險管理與內部三道防線作業的連結及關聯,將有助於辨識事實,以提供對風險更清晰的理解及跨單位管理這些風險所需的知識。最終的目標為發展及導入風險管理面向的資料分析能力,此能力將可提供利害關係人更大程度的信心及分析洞察風險的能力。
從打造基礎風險數據分析平台到引進人工智慧風險預測的進程
資料分析驅動企業風險管理轉型與創新之進程是一個持續的轉化機制及一連串過程。從打造具擴充性的大數據風險分析平台為基礎,先針對企業內結構化資料納入風險分析監控範圍,針對各項營運活動進行即 / 及時性的持續管理;再逐步擴展至非結構化的資料,並加以深化分析標的及擴大監控範圍;繼而結合認知智能技術,自動化低價值的風險管理作業,並依據風險監測數值,觸發執行簡易因應措施,及第一線的風險判斷及派送通知;奠基於過去累積的風險管理經驗及知識,透過大量資料訓練發展風險監控及回應的機器學習模式,並反覆調校相關參數及訓練情境,以發展出適合組織的風險管理態樣;最後則是引進人工智慧針對內、外部潛在高風險情境及態樣發展出預測模型,協助企業針對可能之高風險事件發展趨勢及變化加以預應,並隨之動態計算風險值以提出因應方案建議。
風險智能儀表板是基礎風險數據分析平台的具體實現
「風險智能儀表板」係從風險控管角度出發,資訊蒐整及分析首重風險辨識及評估及意識,採用關鍵風險指標(Key Risk Indicator, KRI)作為監控標的,建置過程充分辨識風險因子,並明確定義可量化之風險標準,其風險值以具體且明確之數據分析結果為基礎運算而得,並結合智慧商情(Business Intelligence, BI)工具,將分析結果以視覺化的即時性互動平台呈現,使用者界面之友善程度提高、技術門檻降低、同時可增加與利害關係人溝通之效益。