電子支付機構應建立內部稽核制度、自行查核制度、法令遵循制度以及風 險管理機制，以維持有效適當之內部控制制度運作。

電子支付機構之內部控制制度應包含下列組成要素：

一、控制環境：係電子支付機構設計及執行內部控制制度之基礎。控制環 境包括電子支付機構之誠信與道德價值、董事會及監察人或審計委員 會治理監督責任、組織結構、權責分派、人力資源政策、績效衡量及 獎懲等。董事會與經理人應建立內部行為準則，包括訂定董事行為準 則、員工行為準則等事項。

二、風險評估：風險評估之先決條件為確立各項目標，並與電子支付機構 不同層級單位相連結，同時需考慮電子支付機構目標之適合性。管理 階層應考量電子支付機構外部環境與商業模式改變之影響，以及可能 發生之舞弊情事。其評估結果，可協助電子支付機構及時設計、修正 及執行必要之控制作業。

三、控制作業：係指電子支付機構依據風險評估結果，採用適當政策與程 序之行動，將風險控制在可承受範圍之內。控制作業之執行應包括電 子支付機構所有層級、業務流程內之各個階段、所有科技環境等範圍 、對子公司之監督與管理、適當之職務分工，且管理階層及員工不應 擔任責任相衝突之工作。

四、資訊與溝通：係指電子支付機構蒐集、產生及使用來自內部與外部之 攸關、具品質之資訊，以支持內部控制其他組成要素之持續運作，並 確保資訊在電子支付機構內部與外部之間皆能進行有效溝通。內部控 制制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適 時取得資訊之機制，並保有完整之財務、營運及遵循資訊。有效之內 部控制制度應建立有效之溝通管道。

五、監督作業：係指電子支付機構進行持續性評估、個別評估或兩者併行 ，以確定內部控制制度之各組成要素是否已經存在及持續運作。持續 性評估係指不同層級營運過程中之例行評估；個別評估係由內部稽核 人員、監察人或審計委員會、董事會等其他人員進行評估。對於所發 現之內部控制制度缺失，應向適當層級之管理階層、董事會及監察人 或審計委員會溝通，並及時改善。

內部控制制度應涵蓋所有營運活動，並應訂定下列適當之政策及作業程序 ，且應適時檢討修訂：

一、組織規程或管理章則，應包括訂定明確之組織系統、單位職掌、業務 範圍及明確之授權與分層負責辦法。

二、相關業務規範及處理手冊，包括：

（一）使用者資料保密之管理。

（二）適用國際會計準則之管理、會計暨財務報表編製流程、總務、資訊 、人事之管理。

（三）對外資訊揭露作業之管理。

（四）金融檢查報告之管理。

（五）金融消費者保護之管理。

（六）委外作業之管理。

（七）使用者身分確認之管理。

（八）代理收付實質交易款項、收受儲值款項、電子支付帳戶間款項移轉 業務之管理。

（九）資訊系統及安全控管作業之管理。

（十）資訊單位及資訊系統使用單位權責劃分之管理。

（十一）其他業務之規範及作業程序。

電子支付機構設置審計委員會者，其內部控制制度，應包括審計委員會議 事運作之管理。

第一項各種作業及管理章則之訂定、修正或廢止，必要時應有法令遵循、 內部稽核及風險管理單位等相關單位之參與。