金管會發布專營電子支付108 年度主要檢查缺失包含:

1.對疑似洗錢、資恐及其他可疑交易之檢核及查證作業有欠確實。

(1)僅對儲值限額、電子支付帳戶轉帳及提領進行監控，對帳戶常有頻繁不正常退款等異常交易活動之態樣則未納入監控範圍。

(2)雖以資訊系統輔助電子支付帳戶或交易之監控作業，惟對疑似洗錢、資恐及其他可疑交易態樣參數設定欠妥適，致未能有效發揮監控功能，且對由系統產出符合疑

似洗錢或資恐交易態樣之報表，未妥適審核。

2.行動裝置應用程式(APP)之維護管理作業有欠妥適，不利資訊安全。

(1)未於 APP 發布前檢視應用程式所需權限是否與提供服務相當，如：要求存取位置、電話、聯絡人、儲存空間及相機等權限，未檢視所需各項權限之必要性及合理性，並經法遵及風控部門同意。

(2)尚未對 APP 發布平台建立蒐尋檢視機制，不利預先辨識偽冒之 APP 及採行適當處理措施。

3.資訊安全管理 :辦理程式及資料庫資料變更作業，分工有欠牽制；或未留存完整紀錄，不利控管程式變更之正確性。

4.個人資料保護:對含有客戶個人資料檔案之個人電腦或筆記型電腦，未建立妥適控管機制，不利防範個資外洩風險。

(1)允許個人電腦可寫出資料至可攜式儲存媒體(如USB 隨身碟、隨身硬碟、光碟機等)，惟對寫出資料含有個資檔案者，未建立過濾機制，亦未留存軌跡紀錄及建立審核放行等控管機制。

(2)允許員工透過網際網路連線至內部讀取郵件(WebMail)，並將客戶資料下載儲存於員工之個人電腦或手機等設備裝置，惟尚未建立偵測管控機制。

5.業務操作管理:接受使用者申請註冊及開立電子支付帳戶，對使用者身分確認作業欠完善，不利防範偽冒開戶之風險。

(1)使用者身分資料確認機制欠完善，致有使用假名成功註冊及開立電子支付帳戶之情形。

(2)對不同使用者申請註冊，有身分證字號或行動電話號碼相同等異常情形，未進一步驗證合理性。

6.辦理未成年人註冊電子支付帳戶作業有欠妥適，不利保護未成年人使用者之權益。

(1)受理未滿 20 歲未成年人開立電子支付帳戶，對未提供法定代理人同意書者，有未拒絕開戶之情形。

(2)雖拒絕未滿 20 歲未成年人申請開立電子支付帳戶，並由系統檢核須年滿 20 歲始得開戶，惟程式檢核邏輯有誤，致有個人會員註冊時未滿 20 歲，而未拒絕其註冊申請之情形。

7.辦理風險管理作業有欠妥適，不利落實風險管控。

(1)未對電子支付業務建立風險管理政策及程序，不利作業遵循。

(2)雖有建立收款使用者風險評等機制，惟對新申請註冊之使用者，未依其風險等級核定交易額度；另對已開戶之使用者亦未定期辦理使用者風險評估。

更多資訊歡迎參閱金管會網站~

Fintech時代,稽核,法遵及風控人員需要善用AI人工智慧稽核工具,增強查核實力,才能發揮有效的內控三道防線防禦機制,歡迎一起共同學習與交流

推薦課程:

1.資安查核-權限管理電腦稽核實例上機演練

2.法遵科技--資料檔案安全管理稽核上機演練

3.法遵科技--資料庫安全管理稽核上機演練

4.法遵科技-- 洗錢防制異常樣態交易稽核上機演練
資料來源：
https://www.feb.gov.tw/ch/home.jsp?id=300&parentpath=0,5,297