第 7 條 |
專營電子支付機構應建立內部稽核制度、自行查核制度、法令遵循制度以
及風險管理機制,以維持有效適當之內部控制制度運作。
|
第 8 條 |
專營電子支付機構之內部控制制度應包含下列組成要素:
一、控制環境:係專營電子支付機構設計及執行內部控制制度之基礎。控
制環境包括專營電子支付機構之誠信與道德價值、董事會及監察人或
審計委員會治理監督責任、組織結構、權責分派、人力資源政策、績
效衡量及獎懲等。董事會與經理人應建立內部行為準則,包括訂定董
事行為準則、員工行為準則等事項。
二、風險評估:風險評估之先決條件為確立各項目標,並與專營電子支付
機構不同層級單位相連結,同時需考慮專營電子支付機構目標之適合
性。管理階層應考量專營電子支付機構外部環境與商業模式改變之影
響,以及可能發生之舞弊情事。其評估結果,可協助專營電子支付機
構及時設計、修正及執行必要之控制作業。
三、控制作業:係指專營電子支付機構依據風險評估結果,採用適當政策
與程序之行動,將風險控制在可承受範圍之內。控制作業之執行應包
括專營電子支付機構所有層級、業務流程內之各個階段、所有科技環
境等範圍、對子公司之監督與管理、適當之職務分工,且管理階層及
員工不應擔任責任相衝突之工作。
四、資訊與溝通:係指專營電子支付機構蒐集、產生及使用來自內部與外
部之攸關、具品質之資訊,以支持內部控制其他組成要素之持續運作
,並確保資訊在專營電子支付機構內部與外部之間皆能進行有效溝通
。內部控制制度須具備產生規劃、執行、監督等所需資訊及提供資訊
需求者適時取得資訊之機制,並保有完整之財務、營運及遵循資訊。
有效之內部控制制度應建立有效之溝通管道。
五、監督作業:係指專營電子支付機構進行持續性評估、個別評估或兩者
併行,以確定內部控制制度之各組成要素是否已經存在及持續運作。
持續性評估係指不同層級營運過程中之例行評估;個別評估係由內部
稽核人員、監察人或審計委員會、董事會等其他人員進行評估。對於
所發現之內部控制制度缺失,應向適當層級之管理階層、董事會及監
察人或審計委員會溝通,並及時改善。
前項第一款之董事行為準則至少應包括董事發現專營電子支付機構有受重
大損害之虞時,應儘速妥適處理,立即通知審計委員會或獨立董事或監察
人並提報董事會,且應督導所屬專營電子支付機構通報主管機關。
|
第 9 條 |
內部控制制度應涵蓋所有營運活動,並應訂定下列適當之政策及作業程序
,且應適時檢討修訂:
一、組織規程或管理章則,應包括訂定明確之組織系統、單位職掌、業務
範圍及明確之授權與分層負責辦法。
二、相關業務規範及處理手冊,包括:
(一)使用者及特約機構資料保密之管理。
(二)適用國際會計準則之管理、會計暨財務報表編製流程、總務、資訊
、人事之管理。
(三)對外資訊揭露作業之管理。
(四)金融檢查報告之管理。
(五)金融消費者保護之管理。
(六)委外作業之管理。
(七)使用者及特約機構身分確認之管理。
(八)代理收付實質交易款項、收受儲值款項、國內外小額匯兌業務之管
理。
(九)資訊系統及安全控管作業之管理。
(十)資訊單位及資訊系統使用單位權責劃分之管理。
(十一)重大偶發事件之處理機制。
(十二)防制洗錢及打擊資恐機制及相關法令之遵循管理,包括辨識、衡
量、監控洗錢及資恐風險之管理機制。
(十三)其他業務之規範及作業程序。
專營電子支付機構設置審計委員會者,其內部控制制度,應包括審計委員
會議事運作之管理。
第一項各種作業及管理章則之訂定、修正或廢止,必要時應有法令遵循、
內部稽核及風險管理單位等相關單位之參與。
|