議題觀點
迎接AI的iPhone時刻,金融業應積極建立雲端治理模式
勤業眾信風險諮詢服務 / 溫紹群執行副總經理
近年來,隨著國際間金融科技的蓬勃發展,加上疫情影響,民眾無接觸場景金融的需求增加,尤其是生成式AI的橫空出世,更加速台灣金融業數位轉型的旅程。在這個過程中,「金融上雲端」一直是許多金融業者觀望的轉型項目之一。這是因為有效的雲端運用可以幫助企業更快速地部署金融產品和服務,同時還能夠提供更好的客戶體驗。然而,雲端服務的使用固然有其好處,但也存在許多潛在風險,因此,政府需要透過相關法規與內控機制加以監管,以確保金融業者在雲端轉型中能夠遵守相應的規定並保護客戶資訊安全。
在確保雲端策略能夠提升企業創新價值並實現所帶來的效益,進而成為金融業策略武器,雲端治理是其中的關鍵性因素之一。透過良好的雲端治理,金融業者可以確保資料安全、法規遵循以及有效的風險管理,同時提高內部協作和溝通效率。
金管會鬆綁委外辦法規範,金融機構迎接新契機
金管會於今年3月7日宣布金融業委外辦法規範的鬆綁。這項宣布除了簡化委外申請程序及文件之外,其中最受關注的是對於金融業上雲的規定進行了大幅度的修正。根據新的規定,未來只有當涉及重大性消費金融業務資訊系統委託至境外處理時,才需要向主管機關申請核准。這一放寬使金融資料上雲更加方便,同時也加速了金融產業雲端轉型的新契機。
金融業多方利害關係人對於金融上雲的期待
隨著法規的鬆綁,雲端服務為金融業帶來創新變革,這也意味著金融機構將承擔更多的管理責任。在雲端規範放寬的情況下,組織需要建立更完善的治理機制。同時考量治理階層與各利害關係人之期望,並嚴守三道風險控制機制的防線,以共同擬定出合適的雲端發展策略。
- 董事會在金融上雲的關鍵角色
在金融機構上雲的過程中,董事會應扮演著策略指導與監督的角色。管理階層也應該與董事會密切合作,確保雲端轉型策略符合公司的整體策略方向,並能夠提供具體的商業價值。除了雙方共同評估雲端轉型所創造的價值是否與企業發展策略目標一致外,也需了解雲端服務的優點和風險,以有效監督組織導入新科技時可能面臨的潛在風險,並檢視因應的對策和執行成果。這包括資料安全、隱私保護、法規遵循等方面的考量
- 內部控制三道防線機制
在執行雲端轉型計劃時,由於金融產業資料的機敏性,必須強化對雲端服務的監控,同時建立起企業內控的三道防線。這三道防線包括各個營運單位、資訊安全、風險控管、法遵,以及內部稽核等多個單位。建立完善的企業雲端管理規範,有賴各個單位的協調合作,以達成雲端治理的三大重要面向:
- 法規遵循:金融機構必須遵守金融監管機構的法規和政策,制定相應的規範以確保法規遵循。與雲端服務提供商的合約,應明確定義雲服務提供商的責任和義務。在金融機構內部,應該制定完整且涵蓋所有營運單位的風險管理機制,以進行全面監控和管理。
- 監控機制:金融機構應主動建立監控機制,以充分了解雲端轉型可能面臨的潛在風險及因應對策。這些監控機制包括風險評估、漏洞管理、安全事件處理等。此外,金融機構還應該與主管機關建立密切的聯繫,及時報告有關雲端服務的異常相關情況。
- 安全性:金融機構需確保在使用雲端服務時提供安全的服務,防止因安全漏洞或未經授權的訪問導致客戶敏感資料的外洩。為此,金融機構需要加強對雲端資源的安全設計,包括加強存取控制和身份識別機制、建立資訊的安全監測和示警機制等。
- 資訊與財務單位在雲端轉型的布局
- 資訊單位打造企業的數位韌性:數位韌性在金融機構未來的營運模式中越來越重要,當意外事件或災害發生時,企業的營運不能中斷,且需要維持一定程度可用性的服務水準。為了實現這一目標,資訊單位應該思考如何利用雲端服務高彈性與高可靠性的特性,以協助企業建立資料備份和災害復原機制,確保系統的可用性。
- 財務單位充分了解雲端特性以做好成本管控:由於雲端服務具有彈性和可擴展性,使用者可以根據需求快速調整資源,但也意味著費用很容易變得難以控制。因此,企業應提前規劃雲端使用場景,並制定明確的財務方針,以提升企業對雲端財務的透明度,並落實雲端財務的管控。這包括確定成本預算、監控雲端資源的使用情況、評估成本效益,以及建立費用核算和報告機制等。
隨著時間的推移,金融業上雲依然面臨諸多的潛在風險,但雲端帶來的優勢卻是明顯的;因此,在金融業者考慮採用雲端服務時,除了思考上雲目的與預計的目標效益之外,建立完善的「雲端治理」成為實現雲端策略與價值的重要因素,同時也能降低使用雲端服務所面臨的潛在風險。雲端服務儼然成為金融科技發展的重要基礎,加上主管機關金管會的法規鬆綁的影響,金融機構在新舊架構之間如何實現業務價值,以達到雙贏的局面,將成為各金融機構所面臨的全新挑戰。