華南銀行執行各款項代收付作業之資訊系統,於2023年6月1日變更為新建的「台外幣代收付系統」,後來同年6月6日凌晨1時39分執行財金公司代發統一發票獎金入帳作業時,因系統轉檔發生金額欄位移位,導致入帳金額多2個0,共計35,952筆異常入帳,共誤匯20.25億元(正確撥付金額應為2,025.89萬元)。
金管會表示,雖然該行於當日凌晨4時28分執行帳務更正作業,但因部分客戶帳戶已轉出資金或代扣繳公用事業費用,導致帳戶餘額不足無法更正,最終受影響客戶計142戶、未得及時收回金額918萬元。
金管會點名華南銀行的4點缺失:
- 資訊系統轉換作業未完善建立客戶權益保護措施:該行「台外幣代收付系統」係執行各項入扣帳款交易服務,其重要性應屬「金融機構資通安全防護基準」規定之第一類電腦系統範疇;惟查該行資訊系統轉換之緊急應變計畫及教育訓練並未規範納入客服部門,以致系統異常事件發生時,該行客服部門接獲客戶投訴未得即時回應,且於事發後逾13小時始發送簡訊通知客戶,亦不利客戶掌握自身權益受影響情形。
- 未確實執行資訊系統轉換作業2類規範:第1類、系統轉換前未落實測試作業:該行於案關系統轉換前之準備工作,發現誤用財金公司之其他來源檔格式後,並未依內規進行平行測試或整體性演練,即逕行上線;第2類、轉換後未監控系統上線情形:系統上線後首次執行統一發票獎金入帳批次作業,該行未依內規配置適當人員持續監控系統上線作業及確保資料正確,而係該行客服部門接獲客戶來電始發現異常並聯繫資訊單位人員到行處理。
- 未確實執行重大偶發事件通報程序:銀行發生重大偶發事件應立即通報,本案資訊系統異常事件發生時間為2023年6月6日凌晨1時間,共計35,952筆異常入帳;該行於案發次日依本會銀行局電話通知,始於6月7日晚間9時間通報重大偶發事件,未針對系統異常事件之影響程度落實執行重大偶發事件之通報程序。
- 查核報告未能完整提供事件過程:稽核單位作為內部控制制度的第三道防線,應詳實說明事件過程及檢討問題根因,才能發揮改善之功能;本案該行所報重大偶發事件查核報告,未完整提供事件過程相關重要資訊,影響該行查核報告之正確性及完整性,內部控制制度未有效運作。
