Page 220 - 銀行委外業務之監理與管理
P. 220

202






                           此外,美國聯         準  會   (FRB  ,  2001)   認為銀行應發       展  並  落實  資訊安全

                       計畫,在該計畫中有關監督委外供應者,應該做到                               :
                           1.   在  選擇  委外供應者時,執行適當的                審慎  查  核  程序。
                           2.   依  契約要求委外供應者           落實經    過適當    設  計的   方  法,以保     護消費    者

                       資訊安全。
                           3.   藉由     風險評估監督委外供應者,以確認其                   已盡   到應   盡  的  義  務,而

                       且銀行應檢視該風險評估的                 稽  核  報  告  、  測  試結  果  、或其  他同類    的評估    結
                       果  。



                       (三)美國聯邦金融機構檢查委員會


                           美國聯邦金融機構檢查委員會
                                                                                 部
                       資訊技術委外風險的有效性,銀行應評估委外供應者內              (FFIEC  ,  2004)   認為,為確保監督  控制及安全性
                       控制的適足性,並確             定  委外供應者本身           已  建立並    遵  守  妥  適的政策、程
                       序、及標     準  。此外,銀行在對委外供應者作評估時,應將委外供應者的

                       內  部  與外  部  稽  核  報  告  結  果  列  入  ,並且檢視下列事項,以確保委外供應者
                       有適足的內

                           1.   委外供應者之內  部  控制及安全性控制  部  稽  核  人員的能 :    力  、  訓練  、及  經驗  水  準  。
                           2.   委外供應者之外        部  查  核  人員的   訓練   與  背景  。
                           3.   委外供應者內       部  稽  核  人員的電    腦  稽  核  技  巧  。

                           美國聯邦金融機構檢查委員會                     (FFIEC  ,  2004)   也提供下列      定  期  進
                                                                                 6
                              過電
                                                                        核
                                                                      稽
                                                                           方
                                                                               :
                                                                             法
                                     」
                                   腦
                                       (around-the-computer)
                                                                   的
                                                                 式
                         「
                       行
                           繞
                           1.   銀行應在提      交  資料  予  委外供應者前發         展  資料控制,例如,           校  對  總
                                                                                            7
                       數   (proof totals)  、  批  次  總  數  、  憑  證  數  、  戶  數  、及  預  先  編號憑  證,     稽  核
                       人員應該     定  期  抽  樣  控制,以確保資料正確性。

                       6
                          繞過電腦式的稽核是將輸入資訊系統的資料和最後系統                   輸出結果,進行查核與比對,看是否
                        有異常現象,是不管電腦對資料的處理方式,                  或僅就電腦周圍的人、事、物、及制度作查
                        核。僅採用繞過電腦的稽核方式,是無法將稽核工作做好的。
                       7
                          校對總數乃銀行校對操作員         (proof operator)   把各分行每天送來的交易,將帳戶號碼、           户  名
                        等輸入校對機      (proof machine)   以核對資料正確與否的總筆數。
   215   216   217   218   219   220   221   222   223   224   225