專營電子支付機構內部控制及稽核制度實施辦法第 五 節 風險管理機制

1. 專營電子支付機構應訂定適當之風險管理政策及程序，建立獨立有效風險管理機制，以評估及監督整體風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序遵循情形。
2. 前項風險管理政策及程序應經董事會通過並適時檢討修訂。

1. 專營電子支付機構應設置風險控管單位，並定期向董事會提出風險控管報告，若發現重大暴險，危及財務或業務狀況或法令遵循者，應立即採取適當措施並向董事會報告。
2. 前項風險控管單位之設置，得指定一管理單位替代。

專營電子支付機構之風險控管機制應包括下列事項： 一、建立防範詐欺控管機制，以維護交易安全並控管詐欺風險。 二、建立作業程序之檢查及控管機制，並建立資訊安全防護機制及緊急應變計畫。 三、建立使用者及特約機構管理機制。 四、建立業務或財務顯著惡化之退場機制。 五、建立支付款項管理機制。 六、建立使用者及特約機構身分確認機制。 七、建立使用者及特約機構資料保護機制。 八、建立委外業務管理機制。 九、建立金融消費者保護機制。

1. 專營電子支付機構前一年度經會計師查核簽證之資產總額達新臺幣十億元或使用者人數達二百萬人以上者，應設置資訊安全專責單位及主管，不得兼辦資訊或其他與職務有利益衝突之業務，並配置適當人力資源及設備。
2. 前項資訊安全專責單位如隸屬於資訊組織架構，應與資訊單位分別設置，以符合獨立運作之管理機制。
3. 電子支付機構未符合第一項規定者，應於修正條文施行之日起六個月內調整符合規定。