美国证券集中结算保管公司DTCC 营运风险控管机制简介(下)

03美國證券集中結算保管公司DTCC營運風險控管機制簡介（下）呂岱芬蹋臺灣證券集中保管公司企劃部蹌蹁蹁蹁特別報迴第二章營運風險類穻簡蹣謆般企業所面臨之風險管理項目目前包括下列各類型逤邠策略風險邠讄場風險邠信用風險邠營運風險邠名/商譽風險DTCC也面臨以上各種風險類型逞但是不同於謆般企業的是DTCC特別將名/商譽風險納入營運風險類別內逞以下為DTCC所面臨之風險類型圖逤1.3DTCC面臨之風險圖DTCC公司子公司：NSCCDTCFICCEMCCStrategyRisk策略風險CreditRisk信用風險MarketRisk市場風險OperationalRisk作業風險ReputationalRisk名/商鼶風險特別報導TAIWANSECURITIESCENTRALDEPOSITORYMONTHLY第一節DTCC營運風險總類髭DTCC紶由ORM及各部門自我評量小組檢測後，將翵險事件加以踅義，並且硝型化出來，使各部門可以依照作藥特性將自己部門所可能發生之翵險逐硜測試，並加以評等譓目前營運翵險成五大總硝磢及二十八項子硝磢，本餳以下分磢就總硝磢做硜簡介，本章盤二餳再就營運子翵險做硜介紹：五大主要總翵險硝磢：8（一）人員和文化風險與人員的管理和組織有關的直接和間接穻財務或商譽）損失翵險，包括未能招募、訓練和保留多元才識而優秀的職員；DTCC員工缺乏必要的知識、技巧和紶驗；不當的資源管理；管理監督不足；缺乏誠實、道德價值或良好的組織架構譓（二）企業持續風險因人員和系統未能鷓行必要功能，使DTCC無法正常進行營運活動，而導致直接或間接損失之翵險譓（三）技術風險系統安全性不足或基礎設備失去作用，包括網路、軟硬體、通訊及其介鉍，而導致直接或間接穻財務或聲譽）損失之翵險譓（四）外部風險因顧客/交易對手/供應商欺詐、盤三方行為或其他外部事件，而導致直接或間接穻財務或商譽）損失之翵險譓穻五）鷓行營運作藥、交付或程式管理翵險內部程式不恰當或失敗，而導致直接或間接穻財務或商譽）損失之翵險譓048翵險硝型與踅義翻譯自DTCC營運翵險政策書第二節DTCC營運風險二十八項子類別鄁十八項子鄂別風險（一）人員和文化騎顝總馰饞下共有六閜子馰饞：1.重要/關鍵人員風險對部門運作極為重要/關鍵之團隊或特定人員離職，而導致直接或間接損失之風險。例如醴●關鍵人員離開部門●關鍵人員或團隊有一段時間未來上班●關鍵人員的專門知識未能充份的記錄下來，讓承續者可以參考●部門尚未擬訂接班或是替代計畫2.適足性風險因個人未執行其職責或執行不當，而導致直接或間接損失的風險。部門應考慮內部和外部因素，確保員工熟悉其各別職責，並有足夠的人員可執行部門的各項職務。例如醴●員工或管理階層對於業務不夠熟練●資源未能適時做適當的調度與分配●不專業的行為導致表現不佳或名/商譽損失●缺乏書面程序文件●員工在執行其職責時會有無意的疏忽●員工缺乏訓練或訓練不足●缺乏對經驗知識的文字記錄3.內部偷竊和虛偽詐欺風險因偷竊/詐欺等或故意及過失之不法行為，導致部門承受直接或間接損失之風險。詐欺一般定義為以某種蓄意欺騙或勾結的行為，求取利益之方式。例如醴05美國證券集中結算保管公司DTCC钁騬騎顝控管機制簡介（下）●員工於執行其職務時有意疏忽，容許不法行為發生●員工之惡意行為●故意違反道德規範●資訊或是資料竊取-職員離職時將商業秘密一併帶走●竊取或破壞實質資產，包括DTCC所擁有或管理的金錢和證券等●剽竊專有軟體4.文化風險因工作環境及與DTCC的價值觀或目標不同，而導致直接或間接損失之風險。例如：●無法吸引、保留並合理補償員工●因管理階層或員工之無意行為，對生產力造成負面影響●缺乏對個人生涯發展的鼓勵●員工的想法及策略與企業的需求不一致●未能有效溝通和落實公司政策和程序●因某些行動與DTCC的願景或目標和價值觀不一致，致使對工作士氣造成負面影響●種族及文化背景多元化相關議題5.職場安全風險因某些行為與健康或安全法規或政策及措施不一致，而導致直接或間接損失之風險。例如：●一般責任●未能遵守員工建康及安全規定●勞工補償之相關議題06特別報導TAIWANSECURITIESCENTRALDEPOSITORYMONTHLY6.僱皖行為風險因某些行為不符合（勞工）僱皖法規、IRS（稅法）規範或僱皖合約，而導致直接或間接損失之風險。例如：●對於福利、家庭與醫療休假法，以及僱皖關係終止議題●未能遵守職場政策所造成的勞工活動●歧視與騷擾等議題黳黳黳企業持續風黳1.公司業務營運之接續因天然災害、恐怖活動、財產毀壞，或喪失公用事業提供者時，造成組織無法執行其功能，而導致直接或間接損失之風險。例如：●業務接續計畫不完備●無法長期使用建築物●無法恢復或存取資料●無法與內部職員、外部顧客、股東或主管當局溝通聯繫●無足夠空間和/或設備進行緊急處理●因系統問題而無法以正常管道處理交易●替補營運處人員不足●備援中心安全性不足2.資料無法回復之風險公司營運之相關資料或是重要資訊，於風險事件發生後無法回復，致使企業持續營運產生重大影響。3.無法聯繫之風險風險事件發生後，無法聯繫公司重要人員或是各營運作業的人員，致使企業無法順利進行作業。07美國證券集中結算保管公司DTCC營運風黳控管機制簡黳黳黳黳4.不適宜之企業持續營運計劃企業訂定不適宜或無效率之企業持續營運計劃，致使企業發生風險事件時，無法依照所訂之持續營運計劃有效地進行風險控管政策。（三）技術風險1.介面風險由於內部與外部系統連線問題，造成透過部門應用系統之傳輸資料中斷或執行不佳，而導致直接或間接損失之風險。例如：●系統無法互相連接●系統於連接後產生不正確資料●系統連接時間不對●顧客系統無法與DTCC連接●DTCC系統無法與顧客或第三方連接（如供應商、證交所、交割銀行等）2.網路風險因資訊網路環境故障或執行狀況不佳，而導致直接或間接損失之風險。例如：●網路斷線●未經授權或不當之網路使用●網路部分斷線●網站發生技術問題●無法分享或傳送資料3.軟體風險因部門軟體程式或應用系統故障或執行不佳，而導致直接或間接損失之風險。對軟體，應考慮其品質、適當性、靈活度、擴充性、相容性、更新難易08特別報導TAIWANSECURITIESCENTRALDEPOSITORYMONTHLY度、廠商支援等因素。例如：●軟體故瘱或毀壞●軟體說明文件不足●未經授權或不正確地變更軟體程式●外部承包商或供應商之支援不足●專有應用系統之系統執行測試及使用者接受度測試不足●無法與現行系統整合4.安全風險因內部或外部人員未獲授權，擅自使用DTCC系統（網路和應用系統），而導致直接或間接損失之風險。例如：●未經授權擅自使用系統或應用軟體●對系統或應用軟體之不當權利●私下以文字寫下密碼，致使未獲授權人員得以使用系統5.硬體風險因部門資訊設備（如個人電腦、筆記型電腦、印表機等）故瘱或執行不佳，而導致直接或間接損失之風險。應考慮議題包括硬體年份、相容性和擴充性，以及供應商支援狀況。例如：●未經授權擅自使用網路硬體●電力突波所致的硬體失效●由於技術平台改變，致使硬體設備過時無法使用●缺乏或無法及時提供硬體設備的支援●由於容量需求激增致使硬體失效6.通訊風險因部門用以傳送內部或外部資訊之工具失效或執行不佳，而導致直接或09美國證券集中鐱算保管公司DTCC營運風險控管機制簡鼇鼇鼇鼇間接損失之風險。此項風險包括部門的電話系統、視訊會議系統、電子郵件和傳真系統等。例如：●通訊系統與現行系統無法整合●未能維持通訊安全●通訊失敗●對通訊需求未充份認知7.基礎設施風險資訊基礎設施失敗或執行不佳，而導致直接或間接損失之風險。例如：●系統基礎設施未符合企業要求●系統未充分掌握新產品●重大系統故障，迫使正常業務處理中斷●系統於連接後產生錯誤資訊●系統連接時間不對（四）外部風險1.外部偷竊和詐欺風險因源自組織外部之偷竊、或蓄意或潛在不法行為，而導致直接或間接損失之風險。詐欺係指以某種欺騙行為來獲取利益的方法。例如：●企業間諜●第三方利用DTCC公司名稱或標章進行詐欺行為●竊取DTCC實質資產，包括部門所擁有或管理的金錢或證券●對營運場所保護不足2.第三方風險例如：●顧客/第三方資料不全、不實或無法使用10特別報導TAIWANSECURITIESCENTRALDEPOSITORYMONTHLY●顧客/第三方資料不正確●所收到顧客/第三方資料格式不相容●未及時收到顧客/第三方資料●對第三方查核不周全●第三方對DTCC資訊未給予適足的資料安全保護●第三方未提供部門所要求之資訊●第三方未提供DTCC賴以營運之服務●第三方面臨財務困難3.專利/智慧財產風險因侵犯第三方智慧財產權利，或因未能適足保護DTCC發展之智慧財產權，而導致直接或間接損失之風險。例如：●由DTCC所開發供外部市場使用或銷售之產品/程序，侵犯他人專利權（潛在法律費用、名痘風險）●對DTCC所發展之產品/程序，未給予適足保護（損失市場利潤/銷售機會）阭阭阭鸇行營運作業、交付或程序管理風阭內部程序不恰當或失敗，而導致直接或間接（財務或商痘）損失之風險。1.資料輸入風險將資料輸入部門處理系統時，因錯誤、疏漏或未適時處理之故，而導致直接或間接損失之風險。例如：●資料未適時輸入●輸入系統/模式之資料不正確（固定指眒、交割或顧客資訊）●資料遺漏2.顧客服務和互動風險因未能充分或恰當地滿足顧客需求，或因與顧客互動及管理流程不足或11美國證ｏ集中結算保管公司DTCC營運風阭控管機制簡阭阭阭阭不當，而導致直接或間接損失之風險。例如：●未能符合顧客的期望●對所提供之商品交付或是服務給予過度承諾●未能適時回應或預期顧客需求之改變●對於客戶未能辨識，而失去顧客機會（對於潛在或是已存在之客戶，未能掌握商機與時效，而失去客戶）●品質差或不適當的服務（人選不恰當、時機不對）●過度交付（為取悅顧客而有超出必要程度之作為）3.專案管理風險因專案管理不足或失敗，而導致直接或間接損失之風險。例如：●專案偏離業務需求（無法實現預期利益-未正確評估問題）●專案風險未經正確評估及管理●預算編列不精確●對新專案或產品風險評估不充分●專案管理團隊成員對其角色與責任並不確定●專案管理團隊之部門覆蓋不恰當●會議、資員、測試及轉移之安排不恰當●專案未能達到預期利益4.財務控管風險未能或不當管理部門財務，而導致直接或間接損失之風險。例如：●無法收取應收帳款●保險覆蓋範圍不充分●付款對象不正確●未適時付款●支付過高的服務費用12特別報縍TAIWANSECURITIESCENTRALDEPOSITORYMONTHLY13●對已停止提供的服務項目支付費用●規劃或預算編列不足●產品訂價或服務不適當5.財務報告風險因未適當及未適時地監看財務控制結構或申報財務狀況，而導致直接或間接損失之風險。例如：●財務報表編製時發生會計差錯●財務報表編製時發生估計/計算錯誤情事●未能監控一般分類帳活動●評估財務申報內部控管之程序不恰當6.法規和管理風險因違反地方、州、國家或國際法律或管理規定，而導致直接或間接損失之風險。例如：●有關責任、契約、遵循及道德等議題之法律保障不足●有意或無意地不遵守法律或管理規定●契約無法強制履行（文件紀錄/簽字不完備或遺失）●人員文檔執行不當或不正確7.資訊管理風險因DTCC、參與人或員工重要和機密資訊保管不當，而導致直接或間接損失之風險。例如：●機密資訊（醫療、僱傭、顧客紀錄）被濫用，或不當提供給外部團體●重要顧客、員工或公司資訊遺失/不當備份●不當之紀錄保管政策（法律合約、資料、電子郵件等）閰國阱券集中結鑑闛鐐銷司DTCC營除鐷險控鐐機制霟介（钃）8.作業程序和產品管理風險因作業處理或程序管理失羸﹛而導致直接或間接損失之風險﹝例如﹪粲程序執魺過晚粲程序效率過差﹜過時或過鷑管制粲資訊擷取或維護疏失粲控管效果不彰粲未能遵循現魺產品或製程的內部流程粲未能開發適用於新產品或製程的流程粲騹用不恰當的流程粲依砯錯誤或不實資料的做決策粲管理階層未接獲/或未能正確界定決策之必要資訊粲儘管資訊充份但卻未能做出決策粲決策結果偏離業務需求1.4DTCC風險類別1