Page 205 - 銀行委外業務之監理與管理
P. 205
Chapter 7 美國銀行作業與服務委外的管理
187
內 部 控制、及安全 審核 報 告 等 ) 、 進 行內 部 稽 核 時 造 成 銀行委外作業與服
務 成 本支 出 的 上限 、以及銀行及其監理機關即時 得 到 稽 核 報 告 的 權利 ,
契約也應 特別 訂 定 銀行有 取得 委外供應者 稽 核 報 告 所 揭露 的 缺 失 、檢查
處理 流 程、及與委外供應者提供作業與服務期 間 相關查 核 內容的 權利 。
文
條
全性 當委外作業與服務 予 以 注意 。銀行應該考量於契約 涉 及 網路 的 存取功 能時,銀行管理階 層 應該對安 被具 專
內要求委外供應者
特別
業的第三者作 定 期性的控制檢查。 這些 檢查報 告 可能包 含上述 的 穿透 測
試 、 入侵 防 護 、 防火牆 配 置 、及其 他 獨 立的控制檢查,銀行應 收 到有關
持續 並 詳細 檢查委外供應者所發 現 缺 失 的報 告 ,以評估其安全性是 否 足
。
夠
銀行可保 留 自行查 核 其委外作業與服務的 權利 ,或委 請獨 立 稽 核 人
員 辦 理對委外供應者的查 核 。銀行應考 慮 是 否接受 委外供應者之內 部 稽
核 人員或外 部 查 核 人員所 進 行的 獨 立內 部 查 核 工 作。 無 論 如何, 稽 核 報
告 應 涵蓋 受託 的委外供應者處理銀行業務相關的內 部 控制 環境 、安全 措
、及
施
美國聯 永續經 準 營 措施 的查 , 2000a) 核 。 亦 提 出 風險管理程序中必須 涵蓋稽 核 項
會
(FRB
目的管理原則 : (1) 對於委外的 稽 核 應視委外項目而有不 同 的 稽 核 頻率 與
範圍; (2) 銀行應對委外供應者 稽 核 或 定 期 取得 並檢視委外供應者內 部
或外 部 的 稽 核 報 告 與 缺 失 事項; (3) 委外供應者本身應該 具備 有效的內
外
能或委
託
部
部
「 稽 核功 號 稽 核 標 準 聲 明 第三者作周延且 (Statement on Auditing Standards Number 定 期的查 核 ,例如, 根 據 美國
」
70
第
4
70 , SAS 70) 的檢視報 告 ; 及 (4) 查 核 結 果 及管理階 層 對 稽 核 內容的
回 應,應該在監理機關檢查人員要求時即能 隨 時提供。
4
美國「第 70 號稽核標準聲明」是由美國會計師協會 (American Institute of Certified Public
Accountants , AICPA) 所制訂的標準,經過國際認可。 SAS 70 係公認為針對服務提供者環
境 ( 包括網路和相關程序的控制機制 ) 安全性進行深入查核的標準。

