第7條
電子支付機構之內部控制制度應包含下列組成要素:
一、控制環境:係電子支付機構設計及執行內部控制制度之基礎。控制環
境包括電子支付機構之誠信與道德價值、董事會及監察人或審計委員
會治理監督責任、組織結構、權責分派、人力資源政策、績效衡量及
獎懲等。董事會與經理人應建立內部行為準則,包括訂定董事行為準
則、員工行為準則等事項。
二、風險評估:風險評估之先決條件為確立各項目標,並與電子支付機構
不同層級單位相連結,同時需考慮電子支付機構目標之適合性。管理
階層應考量電子支付機構外部環境與商業模式改變之影響,以及可能
發生之舞弊情事。其評估結果,可協助電子支付機構及時設計、修正
及執行必要之控制作業。
三、控制作業:係指電子支付機構依據風險評估結果,採用適當政策與程
序之行動,將風險控制在可承受範圍之內。控制作業之執行應包括電
子支付機構所有層級、業務流程內之各個階段、所有科技環境等範圍
、對子公司之監督與管理、適當之職務分工,且管理階層及員工不應
擔任責任相衝突之工作。
四、資訊與溝通:係指電子支付機構蒐集、產生及使用來自內部與外部之
攸關、具品質之資訊,以支持內部控制其他組成要素之持續運作,並
確保資訊在電子支付機構內部與外部之間皆能進行有效溝通。內部控
制制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適
時取得資訊之機制,並保有完整之財務、營運及遵循資訊。有效之內
部控制制度應建立有效之溝通管道。
五、監督作業:係指電子支付機構進行持續性評估、個別評估或兩者併行
,以確定內部控制制度之各組成要素是否已經存在及持續運作。持續
性評估係指不同層級營運過程中之例行評估;個別評估係由內部稽核
人員、監察人或審計委員會、董事會等其他人員進行評估。對於所發
現之內部控制制度缺失,應向適當層級之管理階層、董事會及監察人
或審計委員會溝通,並及時改善。