內部控制的概念與作用課件

1、為何需要控制？ 確保目標之達成降低意外之風險提昇對醜聞之察覺股東著重公司治理管理當局之法律責任高度的管理與員工舞弊事件企業(yè)之威脅與控制威脅指不利之潛在事情或情況，若實際發(fā)生時， 將對企業(yè)造成傷害及損失控制指對於物件、有機體或系統(tǒng)之活動加以限制 或引導之過程風險指威脅實際發(fā)生之可能性，可以01之機率值 來表示暴險度指威脅實際發(fā)生時，所造成之企業(yè)損失企業(yè)在規(guī)劃與設計相關控制前，應先了解其所面臨之威脅，才能制定出一套有效之控制制度資訊系統(tǒng)面臨之威脅(一)企業(yè)在規(guī)劃與設計資訊系統(tǒng)相關控制 前，應先了解其所面臨之威脅，才能 制定出一套有效之控制制度資訊系統(tǒng)面臨之主要威脅為：天然及政治災害軟體錯誤與設備失

2、靈無心之錯誤有意之舞弊或犯罪資訊系統(tǒng)面臨之威脅(二)根據(jù)調查與統(tǒng)計，資訊系統(tǒng)最大之風險與損失來自於員工無心之錯誤(約佔65%) ，其次為天然災害之威脅，再其次為舞弊與犯罪資訊系統(tǒng)面臨之潛在威脅，近年有增無減，主要原因之為主從式區(qū)域網路(企業(yè)內網路)與廣域網路(企業(yè)間網路)之普及化，因而很多企業(yè)更重視資訊系統(tǒng)之安全控管一般之企業(yè)曝險錯誤之簿記錯誤之會計處理企業(yè)停業(yè)錯誤之管理決策舞弊與侵占、盜用法令之處罰超額成本資源之損失與破壞不利之競爭力舞弊與控制舞弊：蓄意之行為，或不忠實之意 圖去獲取不合理或違法之利益管理當局有責任去預防與揭露舞弊行為控制系統(tǒng)：協(xié)助管理當局達成上述 任務控制下之人性面與反作用

3、主管承受預算之壓力控制造成短視過分強調短期因素過分注重容易衡量之因素有些控制造成權術運用控制可能引起內部衝突內部控制的定義(一)根據(jù)我國審計準則公報#5，內部控制係指受查者之組織規(guī)劃及其所採用之各種協(xié)調方法與措施，以保護資產安全、提高會計資訊之可靠性及完整性、增進經營效率、並促使遵行管理政策，所採行的任何行動內部控制的定義(二)根據(jù)COSO (Committee of Sponsoring Organizations of Treadway Commission)研究報告，內部控制係指公司董事會、管理當局、及其部屬為了合理保證下列控制目標之達成，而採行的程序：（1）營運的效果與效率（2）財務報

4、導的可靠性（3）相關法令與規(guī)章的遵循內部控制的定義(三)基本觀念：內部控制是一種過程內部控制的有效運作，受到人的影響，包括董事會、管理階層及其他人員內部控制設計之目的在於達成組織之目標內部控制只能合理保證目標之達成內部控制的基本觀念(四)企業(yè)實施內部控制之前，應先建立適當?shù)膬炔靠刂萍軜?。內部控制架構係指組織建立的政策與程序，以合理保證組織特定目標的達成。在設計內部控制時，必須考量相關控制程序的成本與效益。若要求絕對保證組織目標的達成，則會使內部控制成本過高，超過其所能產生的效益（也就是邊際成本大於邊際效益）。因此，內部控制的設計通常以合理保證為目標。內部控制的基本觀念(五)企業(yè)在設計內部控制程

5、序之前，應先確認其相關的控制目標，而控制目標又與營運目標及其所面臨的潛在威脅有關。內部控制制度的設計應與組織的目標相結合，並合理保證將企業(yè)所面臨的威脅與風險降到可以接受的水準。內部控制之重要性降低錯誤及舞弊之可能性減少違法事件之發(fā)生減低企業(yè)失敗之機率提高企業(yè)之競爭力 監(jiān)視組織控制系統(tǒng)之運作內稽主要功能電腦化資訊系統(tǒng)內部控制的基本觀念(一)電腦化資料處理之主要特點： 利用電腦產生多樣化資訊電腦化資訊系統(tǒng)與人工資訊系統(tǒng)之差別：(1)交易(稽核)軌跡僅短暫保存或以電腦可以讀取之形式 保存(2)交易處理過程由電腦程式控制，具有一致性，可避免 人為錯誤(但程式錯誤將產生交易處理錯誤) (3)原人工分工改

6、為電腦集中處理，故原分工達成之控制 目標須以其他控制措施取代電腦化資訊系統(tǒng)內部控制的基本觀念(二) (4)資料處理過程中人工的介入大幅減少，電腦發(fā)生錯 誤及利用電腦進行的舞弊被發(fā)現(xiàn)的可能性降低。另 外，應用程式於設計及修正過程所產生的錯誤，也 可能長久存在而未被發(fā)覺 (5)電腦系統(tǒng)提供許多資料分析工具，可協(xié)助管理者覆 核及監(jiān)督系統(tǒng)運作，進而加強內部控制 (6)有些交易可能由電腦自動啟始或執(zhí)行，這些交易的 授權可能因而缺乏書面的證據(jù)或在管理者接受系統(tǒng) 設計時就已確認 (7)電腦處理可能產生一些人工處理所需要的報表和其 他輸出，因此，其他控制的效果有賴於電腦處理控 制的完整性與正確性。例如：電腦產

7、生的例外報告 是否正確，將影響人工覆核例外情況的有效性 電腦化資訊系統(tǒng)內部控制的基本觀念(三)為了確保電腦化資訊系統(tǒng)具備良好的控制環(huán)境，組織應該： 確實控管資訊系統(tǒng)開發(fā)專案 適當分配電腦資源的所有權 落實電腦軟體、硬體及資料庫的保管與維護 訂定與實施有效的電腦安全與災害復原計劃內部控制之目的根據(jù)美國及我國內部稽核協(xié)會之內部稽核執(zhí)業(yè)準則公報第一號，內部控制之目的包括：資訊的可靠性與完整性政策、計畫、程序與法令之遵循資產之保障資源運用之經濟有效組織目的與營運或專案計畫目標之達成具體之內部控制目的以交易循環(huán)為例：交易業(yè)經適當授權已經發(fā)生之交易業(yè)已記錄帳上所記錄之交易真實有效交易之科目分類適當交易之評

8、價適當交易在適當時點記錄交易之過帳、分類、彙總、調節(jié)、及報告之過程適當內部控制VS.八大交易循環(huán)銷貨及收款循環(huán)採購及付款循環(huán)生產及存貨循環(huán)人事薪資循環(huán)融資循環(huán)投資循環(huán)固定資產管理循環(huán)研究發(fā)展循環(huán)銷售循環(huán)之威脅&暴險與控制程序(一)銷售循環(huán)之威脅&暴險與控制程序(二)銷售循環(huán)之威脅&暴險與控制程序(三)銷售循環(huán)之威脅&暴險與控制程序(四)銷售循環(huán)之威脅&暴險與控制程序(五)採購循環(huán)之威脅&暴險與控制程序(一)採購循環(huán)之威脅&暴險與控制程序(二)採購循環(huán)之威脅&暴險與控制程序(三)採購循環(huán)之威脅&暴險與控制程序(四)採購循環(huán)之威脅&暴險與控制程序(五)採購循環(huán)之威脅&暴險與控制程序(六)採購循環(huán)之

9、威脅&暴險與控制程序(七)採購循環(huán)之威脅&暴險與控制程序(八)採購循環(huán)之威脅&暴險與控制程序(九)生產循環(huán)之威脅&暴險與控制程序(一)生產循環(huán)之威脅&暴險與控制程序(二)生產循環(huán)之威脅&暴險與控制程序(三)薪工循環(huán)之威脅&暴險與控制程序(一)薪工循環(huán)之威脅&暴險與控制程序(二)薪工循環(huán)之威脅&暴險與控制程序(三)薪工循環(huán)之威脅&暴險與控制程序(四)固定資產循環(huán)之威脅&暴險與控制程序(一)固定資產循環(huán)之威脅&暴險與控制程序(二)固定資產循環(huán)之威脅&暴險與控制程序(三)COSO內部控制模式及其組成要素(一)COSO於1992年發(fā)布一份研究報告，明確定義內部控制，並提供內部控制評估方面的指引。該報告

10、已成為最權威的內部控制文獻，已被實務界廣為採用。COSO內部控制模式及其組成要素(二)COSO研究報告將內部控制定義為公司董事會、管理當局、及其部屬為了合理保證下列控制目標之達成，而採行的程序：營運的效果與效率、財務報導的可靠性、以及相關法令與規(guī)章的遵循。此項定義強調：內部控制是一項過程內部控制受人的影響內部控制對管理當局及董事會而言，僅能提供合理保證，而非絕對保證。COSO內部控制模式及其組成要素(三)COSO控制模式是以控制環(huán)境為基礎。根據(jù)組織的控制環(huán)境及營運目標，管理當局必須辨認、分析及管理相關的風險，也就是進行風險評估與管理。緊接著，企業(yè)應建立與執(zhí)行適當?shù)目刂普吲c程序，以有效的執(zhí)行與

11、風險相關的控制作業(yè)。至於組織的資訊與溝通系統(tǒng)的作用，則在於讓組織的成員可以捕捉及分享與執(zhí)行、管理及控制其活動有關的資訊。上述的控制過程必須加以監(jiān)督，並做必要的修正，以維持內部控制制度的有效性。換句話說，這五項組成要素之間密切相關，而形成一個完整的內部控制模式。COSO內部控制模式及其組成要素(四)控制環(huán)境(Control environment)風險評估(Risk assessment)控制作業(yè)(Control activities)資訊與溝通(Information and communication)監(jiān)督(Monitoring)控制環(huán)境控制環(huán)境包括七項組成因素管理階層的操守與價值觀管理哲學

12、與經營風格組織架構外部監(jiān)察人的參與分派權力與責任的方法人力資源政策與實務外部影響控制環(huán)境常見機制 落實管理當局之責任 啟動董事會與審計委員會之監(jiān)督功能 明確詳細的員工守則 適當?shù)膯T工任免政策 實行獨立於一般管理階層之外的 道德諮詢系統(tǒng)(制訂檢舉制度) 一套完整的舞弊調查及矯正措施風險評估風險評估包括辨認、分析及管理企業(yè)有關的風險風險(risk)係指威脅實際發(fā)生的可能性，可以0到1的機率值表示若威脅實際發(fā)生，企業(yè)因而可能產生的損失稱為暴險度(exposure)若我們將風險(機率值)乘以暴險度(金額)，就能計算出某項威脅帶來的預期損失。內部控制的主要作用即在於降低或消除各項威脅的預期損失風險評估風

13、險評估與建立企業(yè)內部相關內部控制的步驟：辨認威脅估計風險估計可能損失(暴險度)找出相關的控制程序估計控制程序的成本與效益選定控制程序風險評估常見機制 建立舞弊風險評估程序 評估舞弊之可能性及重大性 辨識舞弊發(fā)生之組織層級 遏阻管理階層之逾越 控制作業(yè)一般而言，組織的控制程序可區(qū)分為五類：交易與作業(yè)的適當授權職能分工設計與使用適當文件與紀錄 (ex: 憑證、簽章、預先編號)資產與紀錄的保護(接近控制)獨立的覆核資訊與溝通資訊與溝通係指組織成員能夠取得其職務上所需的各種資訊，且資訊能夠在組織中傳播與溝通。資訊系統(tǒng)詳細紀錄交易處裡的過程，這些資料成為交易的稽核軌跡(audit trail)。組織成員

14、可以利用稽核軌跡追查交易如何起始、經過何種處理、以及如何報導，有助於確認內部控制程序落實的程度與執(zhí)行的成效。資訊與溝通常見機制 教育訓練 知識管理 資訊系統(tǒng)及技術監(jiān)督監(jiān)督係指對於內部控制的實施進行評估與控管的過程常見機制 管理當局的督導 採用責任會計制度 進行內部稽核內部稽核之於舞弊建立健全內控環(huán)境執(zhí)行舞弊風險評估設計與執(zhí)行舞弊防制之控制活動充分的溝通資訊持續(xù)管理監(jiān)控管理當局之責任董事會/審計委員會指揮內部稽核(1)瞭解管理當局的舞弊防範措施(2)評估管理當局對 於舞弊風險之評估(3)對於舞弊防範措 施之有效性進行查核(4)接受董事會/審計 委員會之指揮, 針對高舞弊風險作業(yè)進行調查評估與調查

15、落實內控的關鍵要素建立能減少舞弊或犯罪之標準及程序指定某一特定高級管理階層人員負責監(jiān)督內部控制之執(zhí)行防止不當授權將標準及程序有效傳達全體員工實施對遵循之衡量，諸如監(jiān)控、稽核及報告制度輔以獎懲措施之強化標準及程序之執(zhí)行當制度被偵出有重大違失時，給予適當回應從富邦錯帳事件看內部控制事由 2005/06/27, 富邦證仁愛分公司一交易員按錯指令(輸入錯誤的數(shù)量), 造成$77億元錯帳事件。後續(xù)發(fā)展2005/06/30, 金管會依證交法處富邦警告一次, 將影響其未來三個月新辦業(yè)務或新設據(jù)點；並要求須在一個月內報告其內部控制改善計畫及執(zhí)行情況。2005/07/19, 證交所處違約金額$30萬。富邦證之危

16、機管理向證交所申報錯帳發(fā)出聲名稿，承認錯誤調現(xiàn)金命自營部買入經紀部要賣的股票檢討下單流程、電腦程式、風險管理及查核程序懲處交易員修改電腦程式富邦證之內部控制控制環(huán)境董事長兼總經理(葉公亮)與國際部顧問(周資青)權責分配失衡風險評估透過加強員工風險意識、資訊控制、交易分層授權以降低錯帳金額富邦證之內部控制控制活動系統(tǒng)設計者設計不良、系統(tǒng)使用者未能與系統(tǒng)設計者充分溝通，使系統(tǒng)設計者不瞭解控制是必要的、系統(tǒng)測試與教育訓練不足資訊與溝通以開放的態(tài)度對外溝通達到效果監(jiān)督事後由董事長領軍，成立風險改進委員會，重新檢視風險控管機制並提出改進方式，同時嚴格規(guī)範各單位自行查核人員及內部稽核人員之查核方式建立資訊

17、系統(tǒng)內部控制之重要性(一)經營環(huán)境複雜化資訊需求多樣化資訊系統(tǒng)複雜化與風險性良好之內部控制 降低風險之影響或損失 確保組織正常運作建立資訊系統(tǒng)內部控制之重要性(二)資訊系統(tǒng)稽核與控制基金會(Information Systems Audit and Control Foundation, 簡稱ISACF)發(fā)佈資訊及相關技術控制目的(Control objectives for information and related technology,簡稱COBIT)，可以作為企業(yè)建立資訊系統(tǒng)與資訊科技安全控制政策與程序之架構COBIT基本觀念架構(一)用途：在於提供與資訊科技應用、控制與稽核有關之

18、指引COBIT由COBIT指導委員會與ISACF共同發(fā)佈使命：研究、發(fā)展、發(fā)佈與推廣一供套權威、最新、國際公認之資訊科技控管目的，供企業(yè)經理人與稽核人員日常使用基本理念：企業(yè)須透過管理IT流程，將IT資源整合運用，進而滿足組織之業(yè)務需求COBIT基本觀念架構(二)COBIT兼顧品質(quality)、監(jiān)管(fiduciary)、安全(security)三方面之需求，彙整成七項資訊標準：效果、效率、保密、真實、可用性、遵循性、可靠性為確保資訊符合上述標準，組織必須適當?shù)乜刂萍氨O(jiān)督IT資源之使用COBIT將IT資源之管理分為範疇(domains)、流程(processes)、活動(activiti

19、es)三個層次內部控制的分類依照內部控制程序採行的時間點，可以區(qū)分為預防性控制、偵測性控制以及改正性控制 (補充：指示性控制、補償性控制)就電腦化資訊系統(tǒng)的觀點而言，其內部控制可以區(qū)分為一般控制與應用控制若按照資料處理步驟的區(qū)分,內部控制可以區(qū)分為輸入控制、處理控制以及輸出控制預防性、偵測性與改正性控制(一)依照內部控制程序採行的時間點，可以區(qū)分為預防性控制、偵測性控制以及改正性控制。預防性控制可以用來防止問題的發(fā)生，是一種事前的觀念。不過，基於成本效益的考量以及實務上的限制，預防性控制很難完全防止所有的問題。企業(yè)在設計控制程序時，必須加入適當?shù)膫蓽y性控制，以便在問題發(fā)生時，能夠迅速的察覺，並

20、立即通知相關的人員採取補救或改正的行動。偵測性控制是一種事中的觀念。預防性、偵測性與改正性控制(二)改正性控制的作用在於補救或改正被偵測到的問題，以確保組織順利的運作，達成既定的目標。改正性控制包括三個程序：(1)找出造成問題的原因(可能由偵測性控制 提供相關訊息)(2)改正已發(fā)生的錯誤或障礙(3)修改現(xiàn)有的控制制度或程序，以消除或降 低未來發(fā)生類似問題的可能性預防性、偵測性與改正性控制(三)一般而言，錯誤與問題若能於事前予以預防，較能保障組織的順利運作與目標的達成。因此，在合乎成本效益的前提下，企業(yè)應優(yōu)先採行預防性控制。不過，預防性控制很難達到絕對的控制，所以有效的偵測性控制可發(fā)揮補償?shù)淖饔?/p>

21、，避免問題久未發(fā)現(xiàn)，而造成更大的傷害。至於改正性控制則應強調對癥下藥，並避免類似問題重複發(fā)生。一般控制與應用控制就電腦化資訊系統(tǒng)的觀點而言，其內部控制可以區(qū)分為一般控制與應用控制一般控制在於確保組織具有穩(wěn)定及管理優(yōu)良的控制環(huán)境，以提升應用控制的效果。應用控制的目的則為在交易處理過程中，預防、偵測及改正相關的錯誤與舞弊。輸入控制、處理控制及輸出控制若按照資料處理步驟的區(qū)分,內部控制可以區(qū)分為輸入控制、處理控制以及輸出控制輸入控制在於確保只有正確、有效以及經過核準的資料，才能進入系統(tǒng)作進一步的處理處理控制目的在於確保所有的交易都經過正確、完整的處理，相關的紀錄與檔案也予以適當?shù)母螺敵隹刂苿t用以確

22、保系統(tǒng)的輸出具有適當?shù)目毓?，以避免資料的不當使用或外洩電腦化資訊之一般控制(一)企業(yè)設置一般控制的目的：確保電腦化資訊系統(tǒng)作業(yè)環(huán)境的穩(wěn)定與良好的管理一般控制與所有的電腦作業(yè)有關，常見的一般控制措施包括：(1)訂定資訊安全政策與計劃(2)資訊系統(tǒng)職能內部分工(3)專案發(fā)展控制(4)實體存取控制(5)邏輯存取控制(6)資料儲存控制 電腦化資訊之一般控制(二)(7)資料傳輸控制(8)建立文件標準(9)降低系統(tǒng)當機時間(10)訂定災害復原計劃 (11)保護個人電腦與主從式網路(12)網際網路控制一般控制-訂定資訊安全政策與計畫資訊系統(tǒng)電腦化的組織應發(fā)展出一套完整的資訊安全計畫，並持續(xù)的加以更新。這份計

23、畫應由資訊安全主管負責訂定、監(jiān)督以及推動，其內容包含界定各類資訊由誰使用、如何使用、需用時間以及存放於那一個系統(tǒng)。安全主管可根據(jù)一計畫評估資訊系統(tǒng)面臨的威脅、風險及暴險度，並據(jù)以選擇最具成本效益的安全控管措施。 一般控制-資訊系統(tǒng)職能內部分工(一)電腦作業(yè)環(huán)境下，多項工作可能由電腦一併完成，使得傳統(tǒng)人工作業(yè)環(huán)境下的分工方式較不可行。組織必須就電腦職能（部門）進行適當分工，以降低電腦集中多項功能所帶來的威脅一般而言，在組織規(guī)模容許及合乎成本效益的情況下，資訊系統(tǒng)的下列相關職能應有適當?shù)姆止ぃ合到y(tǒng)分析、程式設計、電腦操作、資料控制、系統(tǒng)函式庫（library）以及使用者。一般控制-資訊系統(tǒng)職能內部

24、分工(二)適用於大型主機電腦環(huán)境之集中式資訊系統(tǒng)組織架構，不同職能之分工大致如下：系統(tǒng)分析師/設計師程式設計師資料庫管理通信/網路控制電腦操作員系統(tǒng)函式庫/ 資料管理員資料控制小組資料準備/輸入終端使用者一般控制-專案發(fā)展控制組織開發(fā)資訊系統(tǒng)時，必須投入大量人力、時間與財務資源若缺乏適當之規(guī)劃與管控，常造成專案進度落後、成本超支、系統(tǒng)品質低落一般而言，系統(tǒng)開發(fā)專案之規(guī)劃與管控包含：訂定長期資訊系統(tǒng)主計畫訂定個別專案開發(fā)計畫，界定專案之重要時程成立專案小組，明確分派責任定期評估專案推動之績效進行專案完成後實施情形之覆核一般控制-實體存取控制存取控制(access controls)：合理保證只有

25、經過授權(核準)者才能使用系統(tǒng)；其用途也應經過授權存取控制可分為：(1)實體(physical)存取控制(2)邏輯(logical)存取控制實體存取控制：維護電腦設備之安全，以確保只有經過授權者才能使用設備?？梢佬蚍譃槿齻€層次：(1)外圍控制(2)建築物控制(3)電腦設備控制一般控制-邏輯存取控制邏輯存取控制：確保使用者只能使用其被授權範圍內之資料與程式?？梢佬蚍譃槿齻€層次：(1)辨識使用者身份(2)身份驗證(3)確認權限一般常用之使用者權限設定方式為建立存取控制表，以規(guī)範不同使用者對於各項資料與程式檔案之權限等級(ex：讀取、顯示、寫入、更新、增加、刪除)一般控制-資料儲存控制組織應將資料視

26、為重要資源，並妥善保護及控制，以免遭到未經授權之揭露、使用或破壞一般控制-資料傳輸控制組織利用網路傳送資料時，為降低傳輸失之風險，相關人員應監(jiān)控通信網路，發(fā)現(xiàn)弱點須立即加以補強一般常用來降低資料傳輸錯誤之方法或程序包含：(1)資料加密(2)驗證程序(3)位元檢查(4)訊息確認技術一般控制-建立文件標準(一)為讓相關人員易於瞭解、使用及維護資 訊系統(tǒng)，企業(yè)在開發(fā)系統(tǒng)之過程中，應 建立相關文件進行系統(tǒng)書面化工作時，各項文件之編 寫與修改應一致性，並存放於安全地方，以便文件之使用一般控制-建立文件標準(二)一般常用之資訊系統(tǒng)文件為：(1)系統(tǒng)文件(system documentation)(2)程式

27、文件(program documentation)(3)操作文件(operating documentation)(4)電腦操作手冊(computer run manual)(5)程序文件(procedural documentation)(6)使用者文件(user documentation)一般控制-降低系統(tǒng)當機時間電腦軟體或硬體之失靈會造成資訊系統(tǒng)無法正常運作，而導致重大營運或財務損失一般常用來降低當機時間之方法為：(1)落實預防性維護工作(2)建立不斷電系統(tǒng)(3)配置額外之系統(tǒng)組件，以提昇系統(tǒng)之 容錯能力一般控制-訂定災害復原計畫(一)每個組織都應訂定一套災害復原計畫，以確保發(fā)生重大災

28、害時，能迅速、順利地恢復資訊系統(tǒng)之作業(yè)能力一般而言，其目的：(1)降低資料毀損及業(yè)務中斷之可能損失(2)建立暫時性之資料處理措施(3)盡快恢復正常作業(yè)(4)實施緊急作業(yè)訓練，讓員工熟悉應變程序一般控制-訂定災害復原計畫(二)復原計畫應包含下列要素：明訂復原程序之優(yōu)先順序明訂規(guī)範資料及程式檔案之備份作業(yè)明確分派災害復原責任，實施復原編組及應負責之復原作業(yè)妥善保管復原計畫之書面文件安排備援之電腦與通訊設備，確保能在最短時間內啟用進行應變規(guī)劃與風險分析一般控制-訂定災害復原計畫(三)應變規(guī)劃 辨認不同資料處理中斷時，對組織之可能影響風險分析 找出關鍵性應用系統(tǒng)並排優(yōu)先順序，評估保險額度，及辨認相關風

29、險與可能影響一般控制-保護個人電腦與主從式網路(一)訓練個人電腦使用者瞭解相關之控制觀念個人電腦設備上鎖及黏貼財產標籤訂定個人電腦使用政策與程序，規(guī)範資料儲存、軟體安裝與使用、設備保管責任長時間未使用之個人電腦自動關機電腦硬碟定期備份一般控制-保護個人電腦與主從式網路(二)設定多重使用者密碼，限制個人電腦之使用，並進行權限設定，以便職能分工採用檔案清除工具程式，徹底清除使用不使用之磁片內容網路作業(yè)須保留操作日誌(operation log)，以作為稽核軌跡安裝防毒程式，偵測及過濾電腦病毒，並教導使用者如何防範病毒之感染一般控制-網際網路控制應建立網路安全政策(network security

30、policy)，以保護網際網路相關作業(yè)安全，確保資料可用性、隱密性與真實性網路安全之主要控制方法包含：(1)資料傳送之相關控制措施(2)使用者帳戶之管理(3)防火牆之架設電腦化資訊系統(tǒng)之應用控制目的：合理保證該應用系統(tǒng)之之輸入、處理、輸出之正確性與完整性應用系統(tǒng)薄弱，可能導致輸出資訊錯誤，造成管理決策失當，而影響企業(yè)營運一般而言，應用控制可區(qū)分為：(1)輸入控制(input controls)(2)處理控制(processing controls)(3)輸出控制(output controls)應用控制-輸入控制目的：合理保證輸入之資料經過適當之核準、轉換成機器可讀之型態(tài)、及其內容之正確性與完

31、整性包含三種控制措施：原始資料控制輸入驗證程序線上資料輸入控制應用控制-輸入控制：原始資料控制(一)目的：確保輸入資料之有效性、正確性、完整性控制方法種類：(1)批次總數(shù) (2)原始憑證檢視與註記(3)表單連號檢查 (4)重複鍵入(5)檢查碼驗證 (6)迴轉文件之運用(7)資料控制職能應用控制-輸入控制：原始資料控制(二)批次總數(shù)/控制總數(shù)：比對原始資料與後續(xù)處理資料間之一致性。若前後階段產生之批次總數(shù)不符，表示有誤，應找出原因並更正 常用之批次總數(shù)：財務總計雜項總計記錄總計行數(shù)總計交叉餘額加總測試應用控制-輸入控制：原始資料控制(三)原始憑證檢視與註記： 輸入資料前，先檢視原始憑證是否合理與

32、完整，是否經過適當授權。若有任何疑問須加以釐清並排除問題後，再進行資料輸入；完成輸入之憑證應做適當註記；避免重複輸入與處理表單連號檢查： 對於預先連續(xù)編號之表單(ex: 銷貨發(fā)票、訂購單)，由系統(tǒng)檢查其編號是否重複或跳號應用控制-輸入控制：原始資料控制(四)重複鍵入： 對於重要之資料要求兩位人員重複輸入，並做比較，以確認輸入資料之正確性。檢查驗證碼：為避免經過核定之代碼輸入錯誤(ex: 員工編號、客戶編號)輸入錯誤，可於代碼中加入檢查號碼。相關人員輸入特定代碼時，程式立即比對檢查碼是否相符；若有不符，表示輸入有誤，應重新輸入應用控制-輸入控制：原始資料控制(五)迴轉文件之運用：一種後來可作為交

33、易輸入文件使用之電腦輸出文件，可利用機器直接讀取資料，有助提高輸入作業(yè)之效率與正確性。資料控制職能： 資料控制人員收到待處理資料時，應確認其經過授權，再加以登錄。資料處理各階段產生之控制總數(shù)，應由資料控制人員進行調節(jié)；若發(fā)生錯誤，應通知相關人員更正應用控制-輸入控制：輸入驗證程序(一)可寫入電腦程式，由系統(tǒng)自動檢查輸入資料之有效性與正確性。此程式稱為編校程式(edit programs)，其 執(zhí)行之檢查稱為資料編校檢查(edit checks)在批次處理之環(huán)境下，交易檔中之資料整批進行編校檢查；線上處理系統(tǒng)則逐筆編校檢查，直到資料完全正確編校檢查發(fā)現(xiàn)之錯誤應存入錯誤日誌(error log)，

34、印出錯誤報表，由輸入人員或使用者據(jù)以更正後，併入下一批處理。資料控制人員應定期列印錯誤清單或報表，標明錯誤性質、發(fā)現(xiàn)日期及時間，作為改進輸入作業(yè)之參考應用控制-輸入控制：輸入驗證程序(二)常見之輸入驗證程序為：欄位檢查(field check)：檢查某個欄位中之資料是否符合原先定義之型態(tài)(ex: 數(shù)值、文字、日期)上下限與範圍檢查(limit and range check)：根據(jù)已知資料上之上下限，或範圍進行檢查(ex: 員工每月加班時數(shù)是否超過規(guī)定上限)順序檢查(sequence check)：確認記錄按照適當之順序排序(通常用於批次處理)符號檢查(sign check)： 確認特定欄位之

35、值具有正確之符號(ex: 薪資記錄之工時欄應為正值)應用控制-輸入控制：輸入驗證程序(三)有效性檢查(validity check)：將輸入之代號或交易代碼，與已經過核定或正確代碼比較，以確定其有效性合理性測試(reasonableness check)：測試輸入資料項目數(shù)值與相關主檔記錄之邏輯關係是否正確複資料檢查(redundant check)： 利用一筆交易兩個欄位確認資料之正確性應用控制-輸入控制：線上資料輸入控制(一)使用者利用終端機或個人電腦於線上輸入資料時，系統(tǒng)應立即檢查交易資之正確性與完整性，並要求使用者馬上補正，才能接受該筆交易資料應用控制-輸入控制：線上資料輸入控制(二)

36、線上輸入資料除可沿用批次輸入之驗證程序外，應額外採下列控制方法或程序：身份驗證：查驗使用者代號與密碼，以確認經過適當之授權權限測試： 確認使用者具有輸入或檢視特定資料之權限訊息提示： 給使用者明確之訊息提示，要求其依照一定之方式或順序輸入各項資料應用控制-輸入控制：線上資料輸入控制(三)預先格式化： 連線系統(tǒng)為避免資料輸入錯誤，可以透過程式設計，協(xié)助使用者輸入相關資料時，就如人工作業(yè)時事先印妥之原始表格一般完整性檢查(completeness check)： 確認所有資訊都已順利傳出，若有遺漏，系統(tǒng)會通知使用者封閉迴圈驗證(closed-loop verification)：利用額外傳送之相關

37、欄位資料覆核輸入資料之正確性應用控制-輸入控制：線上資料輸入控制(四)交易資料自動輸入： ex:系統(tǒng)系統(tǒng)自動產生交易日期、傳票代號、員工代號等資料，以節(jié)省時間與錯誤交易日誌(transaction log)： 詳細記錄每筆線上輸入之交易資料(ex: 輸入資料之日期、終端機代號、使用者代號、交易序號、資料內容等)。當線上輸入之資料檔案毀損或系統(tǒng)當機時，可利用交易日誌重建資料檔或核對交易資料內容，以快速恢復運作錯誤訊息(error message)： 系統(tǒng)應明確指出輸入錯誤之項目，並指示應如何改正應用控制-處理控制(一)目的：合理保證依照特定應用系統(tǒng)之要 求進行相關處理，以確保資料處理及相 關檔案更新之正確性與完整性常見之處理控制措施為：資料更新檢查： 檢查資料是否久未更新，以便判斷資料處理是否有誤，或將懸而不用之表格刪除相關資料核對： 進行資料更新前，先比對相關資料項目，確認無誤後，再進行處理(ex: 應付帳款請款前，應先核對供應商發(fā)票、採購單、驗收報告單上之貨品數(shù)量與金額)應用控制-處理控制(二)常見之處理控制措施為：與外部資料進行調節(jié)： 定期比對資料庫之資料總數(shù)是否與存放於