銀行業資訊安全損失估算方法

有關資訊安全事件，屬於作業風險，本節先說明巴塞爾資本協定對於作業風 險的定義，之後再探討我國金管會依據巴塞爾資本協定，規範銀行認列作業風險 損失的原則，作為本論文探討銀行個案時，計算財務損失的依據。

一、 巴塞爾資本協定與作業風險

1974 前聯邦德國赫爾斯塔銀行（Herstatt Bank）和美國的富蘭克林國民銀行

（Franklin National Bank）倒閉，兩家國際著名銀行倒閉後，銀行業了解國際性銀 行監管主體發生問題，衍生了兩個基本監管思維：

 任何銀行國外機構都不能逃避監管。

 母國和地主國應共同承擔相應職責。

1988 年 7 月國際清算銀行(Bank for International Settlement, BIS)的巴塞爾銀行 監理委員會（Basel Committee on Banking Supervision, BCBS），公佈以信用風險為 主的跨國規範，通過了《關於統一國際銀行的資本計算和資本標準的報告》（簡稱

《巴塞爾報告》，即 BASEL I）。1996 年巴塞爾銀行監理委員會針對巴塞爾資本協 定提出修正案，以期標準化國際上的風險控管制度，提升國際金融服務的風險控 管能力。該修正案將市場風險納入資本需求的計算；2001 年 1 月公佈了新巴塞爾 資本協定草案第二版即 BASEL II，修正之前的信用風險評估標準，且再加入了作 業風險的參數，將三種風險納入銀行資本計提考量，以期規範國際型銀行風險承 擔能力，另：

 2003 年 4 月公佈第三版草案。

 2004 年 6 月正式定稿公佈新巴賽爾資本協定，並希望在 2006 年年底以 前，大多數的國家都能採用此架構。

 而我國亦於 2007 年開始配合實施。

彙總前述巴賽爾資本協定的發展歷史，新巴賽爾資本協定主要變革在於基本 架構的演進。除了現行強調的「最低資本適足率要求」外，增加「監理機關的監 理審查」及「市場紀律」，形成三大支柱。同時在計提最低資本適足率要求時，除 考慮信用風險與市場風險外，亦增加作業風險的因素。

「作業風險」指的是來自於內部作業、人員及系統的不當或失誤，或因外部 事件所造成損失的風險。包含法律風險，但排除策略及信譽風險。作業風險並不

是近來才發生的，資訊系統(IT)、人為因素、詐欺等作業風險事件所引起的損害及 不確定性已存在很久，在作業風險這個名稱出現後，這些風險始被重新定位並成 為管理決策之重要輔助工具之一。Basel II 的作業風險規範詐欺、流程疏失、營運 中斷、人力資源管理、法律債務等風險進行綜合管理。作業風險所需資本計算方 式，有基本指標法(Basic Indicator Approach)、標準法(Standardized Approach)及進階 衡量法(Advanced Measurement Approaches；AMA)等三種，分述如下：

 基本指標法

以基本指標法計提作業風險所需資本，係依據金融機構前三年中為正值的營 業毛利乘上固定比率 15%，當做任一年的營業毛利為負值或零時，應不列入計算 平均值。其中，營業毛利(Gross Income)定義為：淨利息收益加上淨非利息收益，

不扣除各項提存、營業費用，支付給委外服務提供者的費用，不計算銀行簿上已 實現之有價證券買賣損益，及不計入特殊或異常項目及保險利得等[20]。

 標準法

本法將銀行的業務分為八項業務別：企業財務規劃(corporate finance)、財務交 易 與 銷 售 (trading & sales) 、 消 費 金 融 (retail banking) 、 商 業 金 融 (commercial banking)、收付清算(payment & settlement)、代理業務(agency services)、資產管理 (asset management)和消費經紀(retail brokerage)。計算各業務別所需資本的方法是 用銀行的營業毛利乘以各業務適用的係數(β)，再予以加總。

總資本需求額是每一年度各業務別法定資本的簡單加總後的三年平均值，在 任一年中，任一業務別若有負值的資本計提(由於營業毛利為負)，可抵銷掉其他業 務別中為正值的資本計提；任一年中所有業務別加總後之資本計提額為負值時，

則當年對分子的貢獻值為零。

 進階衡量法

進階衡量法是指在監理機關審核同意後允許符合品質及量化條件之銀行，依 據內部作業風險衡量系統計提作業風險所需資本。銀行於正式採用進階衡量法之 前一年，其適足資本必須分別以進階衡量法及原計算方式進行試算。

二、 我國對作業風險損失的認列規範

新巴塞爾資本協定（英文簡稱 Basel II）目的在標準化國際上的風險控管制度，

提升國際金融服務的風險控管能力。在此協定中因作業風險所產生的損失，則應 該由該期的實際收益依照比例直接計算，而不需考慮風險控制後的變化。我國金 管會銀行局，參酌新巴塞爾資本協定的規範，於民國 98 年 7 月 27 日銀局(法)字第 09800303590, 09800303591 號函，要求由銀行公會與聯徵中心共同研商於 98 年 12 月前辦理作業風險外部損失資料庫。另依銀行公會 98 年 8 月 10 日全風字第 0980002071A 號函請本國銀行與農業金庫配合於 98 年年底前進行作業風險資料報 送[15][23]。在此函文中規範：

 作業風險的定義 - 起因於銀行內部作業、人員及系統之不當或失誤，或 因外部事件造成銀行損失之風險，包括法律風險，但排除策略風險及信 譽風險。

 損失之認定 - 不以列入損益表為依據，應視是否實際產生支付金額或資 產減損為準。

 金額之估計 - 機會成本不納入考量，且不作風險相關金額分攤，以避免 人為判斷影響報送基礎，故金額估算以截至資料填報基準日，直接損失 的實際支付金額為準(不扣除回收金額)，故應報送總直接損失。

舉例來講：銀行的催收系統中斷一小時，導致催收一百萬的帳款無法進行；

或者 ATM 提款機因為網路中斷，顧客無法進行跨行提款交易等，此類營運中斷的 事件，屬於作業風險的規範範圍。實際損失之認定：

 不考慮風險控制後的變化: 催收系統一小時就恢復，仍可繼續完成中斷期 間未催收的作業，但實際損失認定過程，不考慮風險控制後之變化，仍 應認列損失一百萬。

 不考慮機會成本: ATM 提款機發生網路中斷，客戶可以選擇使用他行 ATM，也可能過一段時間等系統恢復正常後，再回來使用原來的 ATM，

手續費只是延後收入，並未損失。但這類的機會成本，不在認定損失的 考慮範圍，因此需認定該客戶在中斷期間為完成交易衍生的手續費收入 損失。

 不考慮策略風險與信譽風險: ATM 提款機發生網路中斷，對客戶產生不

便，對於銀行信譽產生負面影響，客戶可能會選擇轉移到其他銀行。此 類因信譽風險衍生的損失，不在認定損失的考慮範圍。