專營電子支付機構內部控制及稽核制度實施辦法
民國 112 年 8 月 14 日
手機睡眠
語音選擇
第 一 章 總則
第 1 條
本辦法依電子支付機構管理條例(以下簡稱本條例)第三十三條規定訂定之。
第 2 條
本辦法所稱專業訓練機構,指依金融控股公司及銀行業訓練機構審核原則所認定之訓練機構。
第 3 條
專營電子支付機構應建立內部控制制度,並確保該制度得以持續有效執行,以健全專營電子支付機構經營。
專營電子支付機構應規劃整體經營策略、風險管理政策及指導準則,並擬定經營計畫、風險管理程序及執行準則。
第 4 條
內部控制之基本目的在於促進專營電子支付機構健全經營,並應由其董事會、管理階層及所有從業人員共同遵行,以合理確保達成下列目標:
一、營運之效果及效率。
二、報導具可靠性、及時性、透明性及符合相關規範。
三、相關法令規章之遵循。
前項第一款所稱營運之效果及效率目標,包括獲利、績效及保障資產安全等目標。
第一項第二款所稱之報導包括專營電子支付機構內部與外部財務報導及非財務報導。其中外部財務報導之目標包括確保對外之財務報表係依照一般公認會計原則編製,交易經適當核准等目標。
第 5 條
專營電子支付機構之內部控制制度,應經董事會通過,如有董事表示反對意見或保留意見者,應將其意見及理由於董事會議紀錄載明,連同經董事會通過之內部控制制度送監察人或審計委員會;修正時,亦同。
第 6 條
專營電子支付機構董事會應認知營運所面臨之風險,監督其營運結果,並對於確保建立及維持適當有效之內部控制制度負有最終之責任。
第 二 章 內部控制制度之設計及執行
第 7 條
專營電子支付機構應建立內部稽核制度、自行查核制度、法令遵循制度以及風險管理機制,以維持有效適當之內部控制制度運作。
第 8 條
專營電子支付機構之內部控制制度應包含下列組成要素:
一、控制環境:係專營電子支付機構設計及執行內部控制制度之基礎。控制環境包括專營電子支付機構之誠信與道德價值、董事會及監察人或審計委員會治理監督責任、組織結構、權責分派、人力資源政策、績效衡量及獎懲等。董事會與經理人應建立內部行為準則,包括訂定董事行為準則、員工行為準則等事項。
二、風險評估:風險評估之先決條件為確立各項目標,並與專營電子支付機構不同層級單位相連結,同時需考慮專營電子支付機構目標之適合性。管理階層應考量專營電子支付機構外部環境與商業模式改變之影響,以及可能發生之舞弊情事。其評估結果,可協助專營電子支付機構及時設計、修正及執行必要之控制作業。
三、控制作業:係指專營電子支付機構依據風險評估結果,採用適當政策與程序之行動,將風險控制在可承受範圍之內。控制作業之執行應包括專營電子支付機構所有層級、業務流程內之各個階段、所有科技環境等範圍、對子公司之監督與管理、適當之職務分工,且管理階層及員工不應擔任責任相衝突之工作。
四、資訊與溝通:係指專營電子支付機構蒐集、產生及使用來自內部與外部之攸關、具品質之資訊,以支持內部控制其他組成要素之持續運作,並確保資訊在專營電子支付機構內部與外部之間皆能進行有效溝通。內部控制制度須具備產生規劃、執行、監督等所需資訊及提供資訊需求者適時取得資訊之機制,並保有完整之財務、營運及遵循資訊。有效之內部控制制度應建立有效之溝通管道。
五、監督作業:係指專營電子支付機構進行持續性評估、個別評估或兩者併行,以確定內部控制制度之各組成要素是否已經存在及持續運作。持續性評估係指不同層級營運過程中之例行評估;個別評估係由內部稽核人員、監察人或審計委員會、董事會等其他人員進行評估。對於所發現之內部控制制度缺失,應向適當層級之管理階層、董事會及監察人或審計委員會溝通,並及時改善。
前項第一款之董事行為準則至少應包括董事發現專營電子支付機構有受重大損害之虞時,應儘速妥適處理,立即通知審計委員會或獨立董事或監察人並提報董事會,且應督導所屬專營電子支付機構通報主管機關。
第 9 條
內部控制制度應涵蓋所有營運活動,並應訂定下列適當之政策及作業程序,且應適時檢討修訂:
一、組織規程或管理章則,應包括訂定明確之組織系統、單位職掌、業務範圍及明確之授權與分層負責辦法。
二、相關業務規範及處理手冊,包括:
(一)使用者及特約機構資料保密之管理。
(二)適用國際會計準則之管理、會計暨財務報表編製流程、總務、資訊、人事之管理。
(三)對外資訊揭露作業之管理。
(四)金融檢查報告之管理。
(五)金融消費者保護之管理。
(六)委外作業之管理。
(七)使用者及特約機構身分確認之管理。
(八)代理收付實質交易款項、收受儲值款項、國內外小額匯兌業務之管理。
(九)資訊系統及安全控管作業之管理。
(十)資訊單位及資訊系統使用單位權責劃分之管理。
(十一)重大偶發事件之處理機制。
(十二)防制洗錢及打擊資恐機制及相關法令之遵循管理,包括辨識、衡量、監控洗錢及資恐風險之管理機制。
(十三)其他業務之規範及作業程序。
專營電子支付機構設置審計委員會者,其內部控制制度,應包括審計委員會議事運作之管理。
第一項各種作業及管理章則之訂定、修正或廢止,必要時應有法令遵循、內部稽核及風險管理單位等相關單位之參與。
第 三 章 內部控制制度之查核
第 一 節 內部稽核
第 10 條
內部稽核制度之目的,在於協助董事會及管理階層查核及評估內部控制制度是否有效運作,並適時提供改進建議,以合理確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據。
第 11 條
專營電子支付機構應設立隸屬董事會之內部稽核單位,以獨立超然之精神,執行稽核業務,並應至少每年向董事會及監察人或審計委員會報告稽核業務。
專營電子支付機構應視事業規模、業務情況及管理需要,設置適當職級之稽核主管,綜理稽核業務。稽核主管應具備領導及有效督導稽核工作之能力,且不得兼任與稽核工作有相互衝突或牽制之職務。
稽核主管之聘任、解聘或調職,應經董事會全體董事三分之二以上之同意後為之。
專營電子支付機構設置審計委員會者,前項稽核主管之聘任、解聘或調職,應先經審計委員會全體成員二分之一以上同意,未經審計委員會全體成員二分之一以上同意者,應於董事會議事錄載明審計委員會之決議,未設審計委員會而設有獨立董事者,如有反對意見或保留意見,亦應於董事會議事錄載明。
內部稽核單位之人事任用、免職、升遷、獎懲、輪調及考核等,應由稽核主管簽報,報經董事長核定後辦理。但涉及其他管理、業務單位人事者,應事先洽商人事單位轉報總經理同意後,再行簽報董事長核定。
第 12 條
稽核主管有下列情形之一者,主管機關得視情節之輕重,予以糾正、命其限期改善或命令專營電子支付機構解除其稽核主管職務:
一、濫用職權,有事實證明從事不正當之活動,或意圖為自己或第三人不法之利益,或圖謀損害所屬專營電子支付機構之利益,而為違背其職務之行為,致生損害於所屬專營電子支付機構及其子公司或第三人。
二、未經主管機關同意,對執行職務無關之人員洩漏、交付或公開檢查報告全部或其中任一部分內容。
三、因所屬專營電子支付機構內部管理不善,發生重大舞弊案件,未通報主管機關。
四、對所屬專營電子支付機構財務與業務之嚴重缺失,未於內部稽核報告揭露。
五、辦理內部稽核工作,出具不實內部稽核報告。
六、因所屬專營電子支付機構配置之內部稽核人員顯有不足或不適任,未能發現財務及業務有嚴重缺失。
七、未配合主管機關指示事項辦理查核工作或提供相關資料。
八、其他有損害所屬專營電子支付機構信譽或利益之行為者。
第 13 條
專營電子支付機構應依據使用者及特約機構人數、業務交易量、業務情況、管理需要及其他相關法令規章之規定,配置適任及適當人數之專任內部稽核人員,以超然獨立、客觀公正之立場,執行其職務;職務代理,應由內部稽核單位人員互為代理。
專營電子支付機構內部稽核人員應具備下列條件:
一、具有二年以上之金融檢查經驗;或大專院校畢業、高等考試或相當於高等考試、國際內部稽核師之考試及格並具有二年以上之金融業務經驗;或具有五年以上之金融業務經驗;符合前述資格之內部稽核人員,其員額不得少於一人。曾任稽核、會計師事務所查帳員、電腦公司程式設計師或系統分析師等專業人員二年以上,經施以三個月以上之專營電子支付機構業務及管理訓練,視同符合規定。
二、最近三年內應無記過以上之不良紀錄,但其因他人違規或違法所致之連帶處分,已功過相抵者,不在此限。
三、內部稽核人員充任領隊時,應有三年以上之稽核或金融檢查經驗;或一年以上之稽核經驗及五年以上之金融業務經驗;或一年以上之稽核經驗及曾任三年以上會計師事務所查帳員。
專營電子支付機構應隨時檢查內部稽核人員有無違反前二項之規定,如有違反規定者,應於發現之日起二個月內改善,若逾期未予改善,應立即調整其職務。
第 14 條
內部稽核人員執行業務應本誠實信用原則,並不得有下列情事:
一、明知所屬專營電子支付機構之營運活動、報導及相關法令規章遵循情況有直接損害利害關係人之情事,而予以隱飾或作不實、不當之揭露。
二、逾越稽核職權範圍以外之行為或有其他不正當情事,對於所取得之資訊,對外洩漏或為己圖利或侵害所屬專營電子支付機構之利益。
三、因職務上之廢弛,致有損及所屬專營電子支付機構或利害關係人之權益等情事。
四、對於以前曾服務之部門,於一年內進行稽核作業。
五、對於以前執行之業務或與自身有利害關係案件未予迴避,而辦理該等案件或業務之稽核工作。
六、收受所屬專營電子支付機構或從業人員或客戶之不當招待或餽贈或其他不正當利益。
七、未配合辦理主管機關指示查核事項或提供相關資料。
八、其他違反法令規章或經主管機關規定不得為之行為。
專營電子支付機構應隨時檢查內部稽核人員有無違反前項之規定,如有違反規定者,應於發現之日起一個月內調整其職務。
第 15 條
內部稽核單位應辦理下列事項:
一、規劃內部稽核之組織、編制與職掌,並編撰內部稽核工作手冊及工作底稿,其內容至少應包括對內部控制制度各項規定與業務流程進行評估,以判斷現行規定、程序是否已具有適當之內部控制,各單位是否切實執行內部控制及執行內部控制之效益是否合理等,並隨時提出改進意見。
二、督導各單位訂定自行查核內容與程序,及各單位自行查核之執行情形。
三、擬訂年度稽核計畫,並依各單位業務風險特性及其內部稽核執行情形,訂定對各單位之查核計畫。
專營電子支付機構應督促各單位辦理自行查核,並由內部稽核單位覆核各單位之內部控制自行查核報告,併同內部稽核單位所發現之內部控制缺失及異常事項改善情形,以作為董事會、總經理、稽核主管及法令遵循主管評估整體內部控制制度有效性及出具內部控制制度聲明書之依據。
第 16 條
內部稽核單位對業務、財務、資產保管及資訊單位每年至少應辦理一次一般查核及一次專案查核,對其他管理單位每年至少應辦理一次專案查核。
內部稽核單位應將法令遵循制度之執行情形,併入對業務及管理單位之一般查核或專案查核辦理。
第 17 條
內部稽核單位辦理一般查核,其內部稽核報告內容應依受檢單位之性質,分別揭露下列項目:
一、查核範圍、綜合評述、財務狀況、經營績效、資產品質、董事會及審計委員會議事運作之管理、法令遵循、內部控制、各項業務作業控制與內部管理、使用者及特約機構資料保密管理、資訊管理、員工保密教育、金融消費者權益保護措施及自行查核辦理情形,並加以評估。
二、對各單位發生重大違法、缺失或弊端之檢查意見及對失職人員之懲處建議。
三、金融檢查機關、會計師、內部稽核單位(含母公司內部稽核單位)、自行查核人員所提列檢查意見或查核缺失,及內部控制制度聲明書所列應加強辦理改善事項之未改善情形。
前項之內部稽核報告、工作底稿及相關資料應至少保存五年。
第 18 條
專營電子支付機構因內部管理不善、內部控制欠佳、內部稽核制度及法令遵循制度未落實、對金融檢查機關檢查意見覆查追蹤之缺失改善辦理情形或內部稽核單位(含母公司內部稽核單位)對查核結果有隱匿未予揭露,而肇致重大弊端時,相關人員應負失職責任。內部稽核人員發現重大弊端或疏失,並使所屬專營電子支付機構免於重大損失,應予獎勵。
專營電子支付機構各單位發生重大缺失或弊端時,內部稽核單位應有懲處建議權,並應於內部稽核報告中充分揭露對重大缺失應負責之失職人員。
第 19 條
專營電子支付機構應將內部稽核報告交付監察人或審計委員會查閱,除主管機關另有規定外,應於查核結束日起二個月內報主管機關,設有獨立董事者,應一併交付。
第 20 條
初任專營電子支付機構之內部稽核人員應自擔任稽核工作之日起半年內,參加主管機關指定之專業訓練機構所舉辦之稽核相關業務專業訓練課程十八小時以上。
內部稽核人員(含稽核主管)每年應參加主管機關指定之專業訓練機構所舉辦或所屬專營電子支付機構自行舉辦之專營電子支付機構業務相關專業訓練,其最低訓練時數,稽核主管應達十小時以上,其餘內部稽核人員應達十五小時以上。當年度取得國際內部稽核師證照者,得抵免當年度之訓練時數。
參加主管機關指定之專業訓練機構所舉辦之專營電子支付機構業務相關專業訓練時數不得低於前項應達訓練時數二分之一。
專營電子支付機構應每年訂定自行查核訓練計畫,依各單位之業務性質對於自行查核人員應持續施以適當查核訓練。
專營電子支付機構應確認內部稽核人員之資格條件符合本辦法規定,該等確認文件及紀錄應留存備查。
第 21 條
專營電子支付機構應將內部稽核人員之資料,於每年一月底前依主管機關規定格式以網際網路資訊系統申報主管機關備查。
專營電子支付機構依前項規定申報內部稽核人員之基本資料時,應檢查內部稽核人員是否符合第十三條第二項及前條規定,如有違反者,應於二個月內改善,若逾期未予改善,應立即調整其職務。
第 22 條
專營電子支付機構應於每會計年度終了前將次一年度稽核計畫及每會計年度終了後二個月內將上一年度之年度稽核計畫執行情形,依主管機關規定格式以網際網路資訊系統申報主管機關備查。
專營電子支付機構應於每會計年度終了前將次一年度稽核計畫以書面交付監察人或審計委員會核議,並作成紀錄,如未設審計委員會者,並應先送獨立董事表示意見。年度稽核計畫並應經董事會通過;修正時,亦同。
前項提交稽核計畫內容至少應包括:計畫編列說明、年度稽核重點項目、計畫受檢單位、查核性質(一般查核或專案查核)、查核頻次與主管機關規定是否相符等,如查核性質屬專案查核者,應註明專案查核範圍。
第 23 條
專營電子支付機構應於每會計年度終了後五個月內將上一年度內部控制制度缺失與異常事項及其改善情形,依主管機關規定格式以網際網路資訊系統申報主管機關備查。
第 二 節 自行查核及內部控制制度聲明書
第 24 條
專營電子支付機構應建立自行查核制度。各業務、財務、資產保管及資訊單位應每半年至少辦理一次一般自行查核及一次專案自行查核。
各單位辦理前項之自行查核,應由該單位主管指定非原經辦人員辦理並事先保密。
第一項自行查核報告應作成工作底稿,併同自行查核報告及相關資料至少留存五年備查。
第 25 條
內部稽核單位對金融檢查機關、會計師、內部稽核單位(含母公司內部稽核單位)與內部單位自行查核所提列檢查意見或查核缺失及內部控制制度聲明書所列應加強辦理改善事項,應持續追蹤覆查,並將其追蹤考核改善情形,以書面提報董事會及交付監察人或審計委員會,並列為對各單位獎懲及績效考核之重要項目。
本條文有附件 第 26 條
專營電子支付機構總經理應督導各單位審慎評估及檢討內部控制制度執行情形,由董事長、總經理、稽核主管及法令遵循主管聯名出具內部控制制度聲明書(附表),並提報董事會通過,於每會計年度終了後三個月內將內部控制制度聲明書內容揭露於專營電子支付機構網站,並於主管機關指定網站辦理申報。
第 三 節 會計師對專營電子支付機構之查核
第 27 條
專營電子支付機構年度財務報表由會計師辦理查核簽證時,應委託會計師辦理內部控制制度之查核,並對專營電子支付機構申報主管機關表報資料正確性、內部控制制度及法令遵循制度執行情形之妥適性表示意見。
主管機關得請專營電子支付機構委託會計師依主管機關規定辦理個人資料保護與防制洗錢及打擊資恐機制專案查核。
會計師之查核費用由專營電子支付機構及會計師自行議定,並由專營電子支付機構負擔會計師之查核費用。
第 28 條
主管機關於必要時,得邀集專營電子支付機構及其委託之會計師就前條委託辦理查核相關事宜進行討論,主管機關若發現專營電子支付機構委託之會計師有未足以勝任委託查核工作之情事者,得令專營電子支付機構更換委託查核會計師重新辦理查核工作。
第 29 條
會計師辦理第二十七條規定之查核時,若遇受查專營電子支付機構有下列情況應立即通報主管機關:
一、查核過程中,未提供會計師所需要之報表、憑證、帳冊及會議紀錄或對會計師之詢問事項拒絕提出說明,或受其他客觀環境限制,致使會計師無法繼續辦理查核工作。
二、在會計或其他紀錄有虛偽、造假或缺漏,情節重大者。
三、資產不足以抵償負債或財務狀況顯著惡化。
四、有證據顯示交易對淨資產有重大減損之虞。
受查專營電子支付機構有前項第二款至第四款情事者,會計師並應就查核結果先行向主管機關提出摘要報告。
第 30 條
專營電子支付機構委託會計師辦理第二十七條規定之查核,應於每年四月底前出具上一年度會計師查核報告報主管機關備查,其查核報告至少應說明查核之範圍、依據、查核程序及查核結果。
主管機關對於查核報告之內容提出詢問時,會計師應詳實提供相關資料及說明。
第 四 節 法令遵循制度
第 31 條
專營電子支付機構為符合法令之遵循,應指定一隸屬於總經理之管理單位,負責法令遵循制度之規劃、管理及執行,並指派高階主管一人擔任法令遵循主管,綜理法令遵循事務,至少每半年向董事會及監察人或審計委員會報告,如發現有重大違反法令時,應即時通報董事及監察人,並就法令遵循事項,提報董事會。
法令遵循主管及法令遵循單位所屬人員,每年應至少參加主管機關指定之專業訓練機構所舉辦或所屬專營電子支付機構自行舉辦十五小時之教育訓練,訓練內容應至少包含新修正法令。
專營電子支付機構應以網際網路資訊系統向主管機關申報法令遵循主管及法令遵循單位所屬人員之名單及受訓資料。
第 32 條
專營電子支付機構對法令規章遵循事宜,應建立諮詢溝通管道,以有效傳達法令規章,俾使職員對於法令規章之疑義得以迅速釐清,並落實法令遵循。
法令遵循單位對各單位就法令遵循重大缺失或弊端,應分析原因及提出改善建議,簽報總經理後,提報董事會。
第 33 條
法令遵循單位應辦理下列事項:
一、建立清楚適當之法令規章傳達、諮詢、協調及溝通系統。
二、確認各項作業及管理規章均配合相關法規適時更新,使各項營運活動符合法令規定。
三、於專營電子支付機構推出各項新商品、服務及向主管機關申請開辦新種業務前,法令遵循主管應出具符合法令及內部規範之意見並簽署負責。
四、訂定法令遵循之評估內容與程序,及督導各單位定期自行評估執行情形,並對各單位法令遵循自行評估作業成效加以考核,經簽報總經理後,作為單位考評之參考依據。
五、對各單位人員施以適當合宜之法令規章訓練。
內部稽核單位得自行訂定所屬單位法令遵循之評估內容與程序,及自行評估所屬單位法令遵循執行情形,不適用前項第四款規定。
法令遵循自行評估作業每半年至少須辦理一次,其辦理結果應送法令遵循單位備查。各單位辦理自行評估作業,應由該單位主管指定專人辦理。
前項自行評估工作底稿及資料應至少保存五年。
第 五 節 風險管理機制
第 34 條
專營電子支付機構應訂定適當之風險管理政策及程序,建立獨立有效風險管理機制,以評估及監督整體風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序遵循情形。
前項風險管理政策及程序應經董事會通過並適時檢討修訂。
第 35 條
專營電子支付機構應設置風險控管單位,並定期向董事會提出風險控管報告,若發現重大暴險,危及財務或業務狀況或法令遵循者,應立即採取適當措施並向董事會報告。
前項風險控管單位之設置,得指定一管理單位替代。
第 36 條
專營電子支付機構之風險控管機制應包括下列事項:
一、建立防範詐欺控管機制,以維護交易安全並控管詐欺風險。
二、建立作業程序之檢查及控管機制,並建立資訊安全防護機制及緊急應變計畫。
三、建立使用者及特約機構管理機制。
四、建立業務或財務顯著惡化之退場機制。
五、建立支付款項管理機制。
六、建立使用者及特約機構身分確認機制。
七、建立使用者及特約機構資料保護機制。
八、建立委外業務管理機制。
九、建立金融消費者保護機制。
第 四 章 附則
第 37 條
專營電子支付機構應確保金融檢查報告之機密性,其負責人或職員除依法令或經主管機關同意者外,不得閱覽或對執行職務無關之人員洩漏、交付或公開金融檢查報告全部或部分內容。
專營電子支付機構應依主管機關之規定,制定金融檢查報告之相關內部管理規範及作業程序,並提報董事會通過。
第 38 條
專營電子支付機構應於內部控制制度中訂定經理人及相關人員違反本辦法或其所定內部控制制度規定時之處罰。
第 39 條
內部稽核人員及法令遵循主管對內部控制重大缺失或違法違規情事所提改進建議不為管理階層採納,將肇致所屬專營電子支付機構重大損失者,應立即作成報告陳核,並通知獨立董事及監察人或審計委員會,同時通報主管機關。
第 40 條
專營電子支付機構於主管機關檢查結束或收到檢查報告後,內部稽核單位應依重大性原則,即時通報董事及監察人,並提報最近一次董事會報告。報告事項應包括檢查溝通會議內容、主要檢查缺失、主管機關要求採行之重大缺失改善方案或可能採行之處分措施。
第 41 條
專營電子支付機構之內部稽核人員不符第十三條第二項第一款規定者,應自本辦法施行之日起九個月內,調整至符合規定。
專營電子支付機構之內部稽核人員充任領隊不符第十三條第二項第三款規定者,應自本辦法施行之日起三個月內,調整至符合規定。
第 42 條
本辦法自中華民國一百十年七月一日施行。
本辦法修正條文,自發布日施行。