產業雲端發展態勢 ─ 金融業
金融能否上公有雲,已是當前各家金控鴨子划水的戲碼,眼看今年公有雲大戰,盡早確認金融上雲的障礙所在,將是主管機關與業者的重要課題。
採訪/施鑫澤‧文/林品賓
【2022.1.21 內容更新】
針對此金融上雲文章一文,引起兩位金融資安前輩的關注,甚感榮幸。面對其中所提出之質疑,也立即與顧問專家聯繫,以解疑問。附件之 pdf 檔案即是回應內容,敬請各家大德參考。
PS: 對於金融上雲(喔!這裡指的是公有雲),本刊是認為應該金融產業與主管機關多討論,盡快移開擋路的大石頭,提升競爭力,也讓金融服務可以更為便民。
請點此下載PDF檔案:金融業上雲委外實戰分享
金融業是高度監管的行業,對於金管會的命令均嚴格遵守。而這樣的情況也造成金融業對新創應用的接受度,相較於其他行業有落後的情況。當前各行各業都在積極進入雲端運算的情況下,金管會的態度就使得金融業開始有意願討論這樣的作法。
委外定義解釋仍有模糊空間
對此,勤業眾信風險諮詢服務執行副總經理劉曉軒就表示,相較於國內金融業上雲端運算的情況,國外的金融業腳步的確是比台灣要先進。不過,與台灣目前發展的方向相同的是,國外的金融業上雲端運算,各國的監管單位多是以委外相關辦法來規範,甚至部分國家在其中還設立了專篇來處理。因此,台灣目前要往這方面發展,事實上金管會也在2019年進行了做了相關委外法令的修正,當時包括銀行公會與業者也都有一同參與,並在其中給出了相關的意見。
而在法令修正之後,其對於改變現在的情況,劉曉軒就從兩個方面來解釋。首先,法規修訂之後對金融機構來說,仍有些相關解釋的模糊空間,而在這樣灰色地帶下,態度積極的業者就可以加緊腳步發展。不過,相對於比較保守的業者,因為模糊空間充滿了不確定性,因此就會持續保持觀望的態度。劉曉軒就舉例說明強調,在相關委外辦法中,其委外的範圍定義,還有使用雲端服務的範圍定義,是金融機構考慮使用雲端服務將面臨的第一個問題。
[ 2022年度CIO大調查報告下載 ]
劉曉軒進一步解釋道,而目前金融業者使用雲端服務應依據「金融機構作業委託他人處理內部作業制度及程序辦法」規範,根據重大性評估或作業委託至境外者,以判斷所使用的雲端服務是否需要向主管機關提出核准申請。因此,金融機構在判斷是否申請核准使用雲端服務,以作業是否委託至境外的條件爭議最少,而其他針對雲委外的範圍與重大性,對金融業者來說都有許多的討論及爭議。針對雲端服務委外的範圍討論,建議可以參考美國金融業委外風險管理及雲端運算委外適用法規,規範中有說明雲端服務委外的定義及範圍;而重大性部分在「金融機構作業委託他人處理內部作業制度及程序辦法」中有提出判斷的標準。而針對雲端服務委外的定義及重大性判斷,會直接影響金融機構是否需依規定向金管會申請「核准」,還是以「備查」的程序,程序上有不同合規上的要求,而這也正是金融機構業者希望能有清楚的解釋地方。
業者申請核准,也須注重日常監督作業
從前述說法顯示,金融業者在當前法令修正之後,仍對於上雲的規畫有所疑慮的原因,就在於模糊地帶的解釋問題。而金融機構申請核准使用雲端服務之後,後續的挑戰則是在於日常的監督作業。日常的監督作業在於確保後續管理能夠符合機構內部控制及風險管理相關規範。對此,劉曉軒就表示,通常委外服務會納入日常的稽核工作中,由於雲端服務委外的特性,金融機構可委由外部獨立第三方協助查核驗證。查核驗證的重點在於是否根據金融機構內部的查核重點及規範執行,正是如此,金融機構日常監督管理與雲端服務管理方式存在差異,這也是金融機構在納入日常管理及規劃查核工作所需考量及調整的地方。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
金融機構業者未來規畫將應用上雲,一旦出現了缺失,責任仍舊將在金融業者身上。所以,這方面業者也就必須在進行創新應用前,對相關稽核工作的重要性與嚴格性做詳細考量,而這也可能也是業者於使用雲端服務後,所須面臨日常監督作業中的考驗及挑戰。
對於公有雲方面的稽核作業,從國內面傳出訊息,美方三大公有雲Azure、GCP、AWS日前透過半官方組織拜會金管會,希望能以一年統一稽核約兩次的方式來進行,不要每家金融業者要求,公有雲業者的都要配合稽核,以國內金融業者眾多情形下,整年度都在做稽核的情況可能都會發生,便會浪費許多人力物力。
政府審查開放,業者申請說明清楚
所以,針對這些金管會的使用前規範,或者是獨立第三方的查核作業,困擾著金融業創新應用的意願,業者也提出希望能有相關統一版本的做法,以作為遵循的依據。不過,劉曉軒認為,目前金融業者在申請使用核准上,碰到很多不同的挑戰,確實阻礙金融創新的轉型。若要加速台灣金融數位轉型的發展,主管機關勢必需要考量更彈性的做法,如何能在金融穩定中鼓勵金融創新。但針對提出統一版本的做法,一方面實際上很難清楚訂定各項細節規範,另一方面一體適用的版本,或許對某些金融機構來說更是綁手綁腳。
最後,綜合以上的狀況,劉曉軒進一步指出,金融機構使用雲端服務其實是一種委外的行為,只是不同的應用及形式,對金融機構是否構成重大性?或是其風險暴險程度是否會有所不同?這應該是金融機構在使用雲端服務應該考慮的重點。依照重大性及風險暴險程度須設計不同的內部控制及風險管理方式,以確保日常營運的穩定。
而目前金融機構規劃使用雲端服務可能為單一應用或是整體應用,因此業者向主管機關的申請說明上,也必須多下點功夫。因為,在過去業者申請創新服務之際,主管機關都是逐案受理。如今相關的創新服務若要整體規劃上雲,則會因為內容龐雜,業者本身也必須在申請文件當中解釋清楚。
金檢態度仍是關鍵
一位國內金控的CIO表示,依照流程配合上雲難度雖大,但是,還在可以接受的範圍。然而,金檢方面從嚴看待的情況,動不動便要交報告,來不及便是罰款伺候,這樣的情況不改善,想要金融業真正上雲,仍將有一段不短的路要走。
眼見上雲攸關競爭力的消漲,主管機關金管會與金檢或許應該積極與業者溝通,如此,不管是傳統金融或者Fintech才有機會上雲發展,甚至把服務透過雲端出海,打造出金融服務國家隊的未來機會。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
