Page 220 - 銀行委外業務之監理與管理
P. 220
202
此外,美國聯 準 會 (FRB , 2001) 認為銀行應發 展 並 落實 資訊安全
計畫,在該計畫中有關監督委外供應者,應該做到 :
1. 在 選擇 委外供應者時,執行適當的 審慎 查 核 程序。
2. 依 契約要求委外供應者 落實經 過適當 設 計的 方 法,以保 護消費 者
資訊安全。
3. 藉由 風險評估監督委外供應者,以確認其 已盡 到應 盡 的 義 務,而
且銀行應檢視該風險評估的 稽 核 報 告 、 測 試結 果 、或其 他同類 的評估 結
果 。
(三)美國聯邦金融機構檢查委員會
美國聯邦金融機構檢查委員會
部
資訊技術委外風險的有效性,銀行應評估委外供應者內 (FFIEC , 2004) 認為,為確保監督 控制及安全性
控制的適足性,並確 定 委外供應者本身 已 建立並 遵 守 妥 適的政策、程
序、及標 準 。此外,銀行在對委外供應者作評估時,應將委外供應者的
內 部 與外 部 稽 核 報 告 結 果 列 入 ,並且檢視下列事項,以確保委外供應者
有適足的內
1. 委外供應者之內 部 控制及安全性控制 部 稽 核 人員的能 : 力 、 訓練 、及 經驗 水 準 。
2. 委外供應者之外 部 查 核 人員的 訓練 與 背景 。
3. 委外供應者內 部 稽 核 人員的電 腦 稽 核 技 巧 。
美國聯邦金融機構檢查委員會 (FFIEC , 2004) 也提供下列 定 期 進
6
過電
核
稽
方
:
法
」
腦
(around-the-computer)
的
式
「
行
繞
1. 銀行應在提 交 資料 予 委外供應者前發 展 資料控制,例如, 校 對 總
7
數 (proof totals) 、 批 次 總 數 、 憑 證 數 、 戶 數 、及 預 先 編號憑 證, 稽 核
人員應該 定 期 抽 樣 控制,以確保資料正確性。
6
繞過電腦式的稽核是將輸入資訊系統的資料和最後系統 輸出結果,進行查核與比對,看是否
有異常現象,是不管電腦對資料的處理方式, 或僅就電腦周圍的人、事、物、及制度作查
核。僅採用繞過電腦的稽核方式,是無法將稽核工作做好的。
7
校對總數乃銀行校對操作員 (proof operator) 把各分行每天送來的交易,將帳戶號碼、 户 名
等輸入校對機 (proof machine) 以核對資料正確與否的總筆數。

