證券公會半年刊 第 9 期 證券商客戶身分驗證實務與制度精進芻議                                 47









               乎全部的證券商線上服務，意即只要取得電子                            (International Organization for Standardization)
               交易密碼幾乎就可以該投資人的身分進行所有                            發布之 ISO 31000 推動風險管理作業指引，企

               的證券線上業務，故部分證券商開放讓投資人                            業推動風險管理的全流程應包括：
               得以「OTP+ 電子郵件信箱 E-mail」與「生日
               +OTP+ 手持身分證拍照」就能補發電子交易                           1.  建立背景 (Establish Context)

               密碼，是否與其業務風險程度相適配，值得進                               包含確定風險管理範圍與準則、識別內外
               一步深入探討。                                            部市場、法律、技術、文化等影響因素、
                   其次，以變更個人資料為例，目前證券商                             明確組織的目標、策略與運作環境。

               實務採行以帳號密碼登入搭配電子交易憑證的
               身分驗證機制，讓投資人變更戶籍地址、通訊                             2.  風險識別 (Risk Identification)

               地址、行動電話號碼、交割銀行帳號、電子郵                               依據訪談、流程分析、歷史案例、情境模
               件信箱 E-mail 等個人資訊，惟這在邏輯上是否                          擬等實務經驗，列出所有可能影響管理目
               預表修改行動電話號碼與電子郵件信箱 E-mail                           標的潛在風險來源。同時，依據市場風險、

               這兩項個人資料，與修改在法律層面上屬於投                               信用風險、作業風險、法律合規與聲譽風
               資人本人所有的銀行帳戶或主要寄送相關郵件                               險等面向，對風險本身進行分類。

               之用所需之戶籍地址、通訊地址，對證券商
               業務風險的影響程度是相同的？如前所述，                              3.  風險分析 (Risk Analysis)
               行動電話號碼與電子郵件信箱 E-mail 這兩項                           通常採取風險矩陣、敏感度分析、蒙地卡

               個人資料，主要係證券商用來傳送 OTP 一次                             羅模擬、壓力測試等方法，進行風險等級
               性動態密碼給投資人，考量若有了 OTP 就能                             之質化分類 ( 例如：高、中、低 ) 或量化分
               補發電子交易密碼，同時有了電子交易密碼幾                               類 ( 例如：損失金額、在險價值 (Value at

               乎就可以該投資人的身分進行所有的證券線上                               Risk, VaR)) 等相關分析。
               業務，所以變更行動電話號碼與電子郵件信箱
               E-mail 這兩項個人資料基本上對證券商整體業                         4.  風險評估與排序 (Risk Evaluation)

               務風險影響甚大，故對變更行動電話號碼與電                               包含針對風險分析結果與可接受的風險水
               子郵件信箱 E-mail 這兩項個人資料對應之身                           準 (Risk Appetite) 進行比較並明確二者之

               分驗證機制強度，理應比照開戶與交易列為最                               間的落差程度，再據此對應管理目標對各
               高等級，方能取得線上身分驗證機制與其業務                               項風險因素排定優先順序，以利決策哪些
               風險程度適配制度設計之一致性。                                    風險因素必須優先處理。



               參、 結語與建議                                         5.  風險應對 (Risk Treatment / Response)

                                                                  風 險 應 對 方 式 包 括：「 避 免 (Avoid)」，
               一、 參考國際通行之風險管理流程設計                                 即停止或改變活動以消除風險；「降低
                                                                  (Mitigate / Reduce)」，即採取措施減少發

                   如【圖 1】所示，依據國際標準化組織                             生風險事件發生機率或後續影響；「轉移