Page 205 - 銀行委外業務之監理與管理
P. 205

Chapter 7   美國銀行作業與服務委外的管理
                                                                                                       187





                       內  部  控制、及安全       審核   報  告  等  )  、  進  行內  部  稽  核  時  造  成  銀行委外作業與服

                       務  成  本支  出  的  上限  、以及銀行及其監理機關即時                  得  到  稽  核  報  告  的  權利  ,
                       契約也應     特別   訂  定  銀行有    取得  委外供應者        稽  核  報  告  所  揭露  的  缺  失  、檢查
                       處理  流  程、及與委外供應者提供作業與服務期                        間  相關查    核  內容的   權利   。



                                                                     文
                                                                   條
                       全性  當委外作業與服務  予  以  注意  。銀行應該考量於契約  涉  及  網路  的  存取功  能時,銀行管理階  層  應該對安 被具  專
                                                                        內要求委外供應者
                           特別
                       業的第三者作        定  期性的控制檢查。           這些   檢查報     告  可能包   含上述     的  穿透  測
                       試  、  入侵  防  護  、  防火牆  配  置  、及其   他  獨  立的控制檢查,銀行應              收  到有關
                       持續  並  詳細   檢查委外供應者所發             現  缺  失  的報  告  ,以評估其安全性是            否  足

                         。
                       夠
                           銀行可保      留  自行查    核  其委外作業與服務的             權利  ,或委     請獨   立  稽  核  人
                       員  辦  理對委外供應者的查            核  。銀行應考      慮  是  否接受   委外供應者之內           部  稽
                       核  人員或外     部  查  核  人員所   進  行的  獨  立內  部  查  核  工  作。  無  論  如何,  稽  核  報

                       告  應  涵蓋  受託  的委外供應者處理銀行業務相關的內                       部  控制   環境   、安全    措

                         、及
                       施
                           美國聯 永續經  準  營  措施  的查 ,  2000a)  核  。     亦  提  出  風險管理程序中必須  涵蓋稽  核  項
                                     會
                                         (FRB
                       目的管理原則        : (1)   對於委外的     稽  核  應視委外項目而有不            同  的  稽  核  頻率  與
                       範圍;    (2)   銀行應對委外供應者            稽  核  或  定  期  取得  並檢視委外供應者內           部
                       或外   部  的  稽  核  報  告  與  缺  失  事項;  (3)   委外供應者本身應該         具備   有效的內

                                           外
                                 能或委
                                        託
                       部
                                             部
                       「  稽  核功  號  稽  核  標  準  聲  明 第三者作周延且 (Statement on Auditing Standards Number   定  期的查  核  ,例如,  根  據  美國
                                                 」
                             70
                         第
                                                     4
                       70  ,  SAS 70)   的檢視報    告  ;     及   (4)   查  核  結  果  及管理階  層  對  稽  核  內容的
                       回  應,應該在監理機關檢查人員要求時即能                         隨  時提供。




                       4
                          美國「第  70  號稽核標準聲明」是由美國會計師協會            (American Institute of Certified Public
                        Accountants  ,  AICPA)   所制訂的標準,經過國際認可。      SAS 70   係公認為針對服務提供者環
                        境   (  包括網路和相關程序的控制機制        )   安全性進行深入查核的標準。
   200   201   202   203   204   205   206   207   208   209   210