e化風險管理大不易

記者/陳體勳

e化風行,隨時隨地可見「e」化字眼,「不知e化為何者?」將被喻為「很遜」或「落伍了」,而電子商務(eCommerce)更為企業所追尋之目標,多數企業主心裡徬徨又擔心,未即時趕上潮流而影響公司競爭力,另一方面更擔心應如何投資才能自電子商務中獲利。公司管理階層同理亦面臨因作業模式巨幅改變而無法適應或獲知應如何掌控全程的困境。

現今的企業期望自電子商務中能夠達到包括降低營運成本、縮短接單或配送等時間、減少重複輸入資料及發生錯誤機會、企業資源最佳化之運用、增加營運收入、拓展行銷市場等好處。但電子商務之資訊環境通常較一般資訊化環境更為複雜,因此雖然可為企業產生不少商機,但同時其亦對企業環境衍生風險威脅,為了更有效管理及降低風險,企業管理者應明瞭有何風險威脅其生存。

風險種類

一 資料傳輸威脅

電子商務交易資料(例如:客戶資料或訂單資訊)均屬機密資訊,一旦被擷取恐影響企業運作。

二 授權認證威脅

一般交易中,非常容易辨識買賣雙方,但電子商務交易,僅能依據識別碼辨識身分。當賣方無法證實採購需求是來自何一買方時,該系統資料之整合性將發生嚴重問題。

三 可使用性之威脅

電子商務交易極高度需要網路環境能每天24小時隨時運作而不會任意中斷,故企業應有足夠能力維持此部份運作。及時性處理與回應更為電子商務迫切需要之重點,例如:網路下單、付款等均屬於應及時處理之交易類型,否則客戶恐抱怨一堆恐影響企業聲譽。

四 付款威脅

近年來以假造之識別碼、使用無效之銀行帳號或無效之信用卡號進行消費而讓公司產生財產損失的例子層出不窮。因此電子金融轉帳應確保企業避免因網路消費客戶之個人因素或誤用。

五 法令及負債威脅

電子商務與書面文件式之商務模式最大之差異為記載之媒體方式不同,書面文件係採實體記錄不易改變,而電子記錄方式則否。另一法令考量點為:競爭者可能於租稅天堂提供商品,以便提身競爭優勢,而影響公司之營運績效及生存空間。

如何管理降低風險

面臨上述風險,身為企業管理應如何規劃適當之管理程序或方法以降低風險發生機率,乃為另一主要議題。實際的做法像是,傳輸時之資訊格式應經過加密處理。例如:發送電子郵件時。另,如何確保執行加密之公鑰係由適當人員執行乃為另一個重點。還有電子商務主機應放置於企業網路之外,並透過防火牆加以阻隔及過濾檢查使用者。同時更重要乃為需指派專人監督電子商務主機、防火牆及企業內部主機之存取活動,一旦偵測發現異常存取情況,應立即進一步追蹤調查。

而當客戶欲透過電子商務進行訂單作業時,最佳方式為透過第三者之認證機構發送數位簽章或認證憑證再進行交易,且數位簽章亦採取加密方式處理。發放數位簽章或認證憑證程序亦須注意,避免因其他因素讓入侵者易猜測或破解。最後應特別注意評估不同付款模式交易,於確認付款已兌現前不交付任何商業資訊予客戶。若付款機制不允許線上核對或金融機構不願承受不付款之風險或機制時,則應暫緩實行線上付款作業,待規劃明確方法可降低此風險時,才實施此部份作業。另外當電子商務傳遞資訊予一個需支付附加加值稅國家之客戶時,該附加加值稅是否應外加於銷售金額乃為一個需注意之問題。而網際網路係一個無國界之商務交易環境,故此類稅務之問題各國目前亦正進行檢討中。此亦為企業所需特別注意之細節。

且電子資訊傳輸發生盜用著作權之風險亦較書面文件方式高。故企業應特別規劃其他額外之控管程序確保公司是否侵犯著作權。

對企業高階主管而言,不論企業因電子商務可能衍生之風險為何?企業主管於導入電子商務時,應於規劃階段進行各公司之風險評估,針對公司風險較高部份優先擬定資訊安全策略,並於日後實際上線後,加強每日之安全監督稽核管理工作,確保規劃控制管理程序落實執行,才能真正降低公司風險。否則空有一份完整書面規劃或安全軟、硬體架構仍無法確保公司每日處於安全無憂之資訊環境之下。

分享此新聞: