中時電子報       
文╱KPMG風險顧問暨鑑識會計服務執行副總朱成光
2018年10月30日 上午5:50

工商時報【文╱KPMG風險顧問暨鑑識會計服務執行副總朱成光】

企業想架構與發展新興科技，因為…

過去10年間，網路科技的快速發展，不僅驅動經濟環境變革，隨後引發的破壞式創新（Disruptive Innovation，亦稱破壞式科技Disruptive Technology）潮流，也讓人類發展出許多創新應用的經濟活動。時至今日，共享經濟早已非新鮮事，而金融科技的發展，也讓金融業與非金融業間的產業界線模糊化。

而行動裝置的滲透率日益攀升，更深入每個人的公、私領域，監測使用者一整天的行動數據，也因此，行動裝置的應用（Mobile Application）更引領大數據時代來臨。然而，隨著資訊科技的進步與蛻變，人類更仰賴自動化、人工智慧所帶來的好處外，資訊科技所衍生的風險議題，也更加受到外界重視。

KPMG風險顧問暨鑑識會計服務執行副總朱成光認為，「水能載舟、亦能覆舟」，新興科技風險（Emerging Technology Risk）已是個人生活與企業日常營運不可或缺的元素，其中又以舞弊與欺詐、洗錢與避稅，以及資訊安全等三類風險最切身相關，但卻常被忽略或視而不見。

朱成光以加密貨幣所帶來的產業變革及科技風險為例。2012年，比特幣透過網際網路自成一格，以區塊鏈網路型態悄悄襲擊各個產業。在區塊鏈創新應用中夾帶前所未見的新商業模式，也醞釀了加密貨幣及初次貨幣發行（Initial Coin Offering, ICO）的成長環境。當年初次上市（IPO）帶來了資本市場的巨大成長，ICO是否能掀起下世代產業領域的爆炸性發展，猶未可知。

加密貨幣的興起

朱成光說，加密貨幣除具有貨幣特性外，同時也具有虛擬商品的特性，是基於「信任」而得以在市場上流通。所謂信任，是因為加密貨幣建構在區塊鏈網路（加密網路）上，且使用了分散式帳本（Distributed Ledger）技術，使得加密貨幣具有無法偽冒特性，加上隱密無法追蹤的性質，使得潛在使用者信任感大增，進而提升其流通率。

他舉比特幣為例，2017年4月，日本政府以「立法規範取代遏阻」，率先全球簽署發佈「支付服務修正法案」，正式宣布比特幣支付合法化，比特幣在日本流通量大增，自此日本成為當前全球比特幣交易大國，但除了日本以外，世界各國仍認定比特幣非法定貨幣。

朱成光表示，加密貨幣因其虛擬特性，必須儲存於電子錢包，而電子錢包的所有權，關鍵在於錢包背後的金鑰（Private Key）。使用者倘若對於金鑰的保管與使用不甚熟悉，則容易因錢包金鑰遭到駭客竊取，或因不甚熟悉交易流程而被詐欺金鑰，導致電子錢包被侵入及竊取虛擬貨幣。這也使得加密貨幣遭到駭客竊取的風險增加，加上加密貨幣具匿名性且難以追蹤，一旦電子錢包遭竊，受害者的損失將難以追回。

朱成光說，除了加密貨幣外，新創者透過區塊鏈及分散式帳本技術，也陸續發展出通證（TOKEN）、證券型代幣（Security Token）與功能型代幣（Utility Token）的應用，例如智能合約（Smart contract ）與智能票證（Ticket），在無法偽造的資訊技術前提下，的確能夠吸引使用者的目光，成為創新應用之一。

然而，朱成光表示，此創新應用的背後風險，在於惡意發行者是否透過STO（Security Token Offering）創造出集資、吸金詐欺的劇本，風險不在於新興科技本身，而是在於惡意人士透過新興科技難以深入瞭解的此時，利用資訊不對稱的機會，讓一般消費者僅看到利益，而無法意識到潛在風險。

因此，朱成光已加密貨幣為例，從企業管理的角度，分析新興科技帶來的新興業務、營運流程變化及人員操作管理上的固有風險，並針對企業如何防範、管理風險提出建議。

一、舞弊與欺詐風險

朱成光表示，從投資的角度來看，通證或是代幣的基礎科技技術，雖然可以信賴，但對於通證或代幣的最終標的物，企業投資前須思考其「履約」的可能性，並評估科技是否有脆弱點，是否有遭到人為濫用或資訊不對稱，導致企業遭到外部詐欺的可能性。

尤其，加密貨幣等數位商品目前仍無法可管，市場價格波動激烈，其風險程度更遠遠高過於衍生性金融商品，企業於操作加密貨幣前，需進行完整的評估並獲得管理當局的授權。

二、洗錢與避稅風險

朱成光指出，加密貨幣本身不帶惡意，但是如果遭到濫用，則可能衍生作為洗錢工具與洗錢資恐相關風險，因此，防制洗錢金融行動工作組織（FATF）與歐盟在2018年頒佈的洗錢防制相關指引文件中，均提醒各國政府須對於加密貨幣交易所與加密貨幣強化管控建議。

朱成光進一步說，企業引進新興科技衍生出的新業務型態，例如數位商品交易所、P2P借貸平台、P2P換匯平台、智能合約等，過程需留意與評估新形態業務是否可能被利用作為洗錢管道或是避稅方法。此外，台灣2017年6月28日已公布新版洗錢防制法，對於新興科技與新業務型態，除了需評估既有法令的遵法性外，尚需額外評估洗錢防制法令遵循的議題，在新業務型態中增列認識你的客戶（Know Your Customer）程序、交易監控程序與異常交易通報程序。

三、資訊安全風險

朱成光指出，科技、流程與管理等三大企業經營要素，均存在資訊安全的風險議題，因此企業需從管理面、技術面與稽核面思考資訊安全風險。舉智能自動化為例，當企業透過智能自動化，化繁為簡優化企業營運流程的同時，需更積極設計與覆核在資訊系統存取權限與職能分工的內部控制。

他表示，企業透過資訊科技實現流程自動化的目標，然而某些流程的自動化設定，仍需透過人工在資訊系統中進行相關設置，倘若資訊系統存取控制未能適當管控可變更設定的權限，即有可能衍生未經授權存取或逾越內部控制的風險。

至於在行動裝置應用程式用於企業經營管理層面，朱成光說，企業發展自家專屬的APP程式時，因部分資訊可能涉及客戶個資或是公司機敏資訊，因此，APP本身傳輸資訊時，應採取通訊加密的機制以預防通訊傳輸時遭到資訊側錄的風險，且對於APP主控平台中的資訊保密與存取控制亦需額外注意相關內部控制設計。

他強調，科技平台難免都有未知之弱點或漏洞，透過資安工具定期進行弱點掃描、權限覆核及不定期修部系統平台漏洞，皆是企業引進新興科技時亦需加強留意的。

科技業別盲目追求阿~風險都很可怕的, 不要血本無歸阿~