管理作業(yè)與電腦化-課件

企業(yè)運作之流程管理--管理作業(yè)與電腦化之電子資料處理內(nèi)部控制制度與電腦審計實務(wù)說明公開發(fā)行公司建立內(nèi)部控制制度處理準則─資訊處理循環(huán)資通安全檢查的控制資通安全檢查的控制重點公開資訊申報相關(guān)作業(yè)電腦審計指引大綱公開發(fā)行公司建立內(nèi)部控制制度處理準則─資訊處理循環(huán)公開發(fā)行公司建立內(nèi)部控制制度處理準則─資訊處理循環(huán)公開發(fā)行公司使用電腦化資訊系統(tǒng)處理者，其內(nèi)部控制制度除資訊部門與使用者部門應(yīng)明確劃分權(quán)責(zé)外，至少應(yīng)包括下列控制作業(yè)：一、資訊處理部門之功能及職責(zé)劃分二、系統(tǒng)開發(fā)及程式修改之控制三、編製系統(tǒng)文書之控制四、程式及資料之存取控制五、資料輸出入之控制六、資料處理之控制公開發(fā)行公司建立內(nèi)部控制制度處理準則─資訊處理循環(huán)（續(xù)）公開發(fā)行公司使用電腦化資訊系統(tǒng)處理者，其內(nèi)部控制制度除資訊部門與使用者部門應(yīng)明確劃分權(quán)責(zé)外，至少應(yīng)包括下列控制作業(yè)：七、檔案及設(shè)備之安全控制八、硬體及系統(tǒng)軟體之購置、使用及維護之控制九、系統(tǒng)復(fù)原計畫制度及測試程序之控制十、資通安全檢查之控制。十一、向證期會指定網(wǎng)站進行公開資訊申報相關(guān)作業(yè)之控制

法令的架構(gòu)十、公開發(fā)行公司使用電腦化資訊系統(tǒng)處理者，其內(nèi)部控制制度，除資訊部門與使用者部門應(yīng)明確劃分權(quán)責(zé)外，至少應(yīng)包括下列控制作業(yè)：一)資訊處理部門之功能及權(quán)責(zé)劃分。二)系統(tǒng)開發(fā)及程式修改之控制。三)編製系統(tǒng)文書之控制。四)程式及資料之存取控制。五)資料輸出入之控制。六)資料處理之控制。七)檔案及設(shè)備之安全控制。八)硬體及系統(tǒng)軟體之購置、使用及維護之控制。九)系統(tǒng)復(fù)原計畫制度及測試程序之控制。十）資通安全的檢查十一）向本會指定網(wǎng)站進行公開資訊申報相關(guān)作業(yè)之控制應(yīng)用控制一般控制一般控制控制定義InputProcessingOutputChangeControlsAccessControlsDisasterRecoveryGeneralControlsApplicationControls一般控制對電子計算機資料處理整體環(huán)境皆有影響之控制，其作用為在為工作之執(zhí)行提供標準與指引。應(yīng)用控制與個別應(yīng)用系統(tǒng)之處理、與運作有關(guān)，目的在為資料之記錄、處理及報告之適當(dāng)性提供合理的保證。資訊部門與使用者部門之職責(zé)劃分使用者部門參與資訊部門年度計畫之訂定以符合公司營運。使用者部門參與資訊系統(tǒng)之開發(fā)計畫。資訊部門人員除因作業(yè)需求由主管核準外不負責(zé)資料處理。資料修改申請的程序。資訊處理部門之功能及職責(zé)劃分統(tǒng)籌規(guī)劃公司資訊資源之分配，訂定年度計畫。資訊部門人員之分工應(yīng)適當(dāng)劃分。系統(tǒng)管理VS程式設(shè)計。系統(tǒng)開發(fā)及程式修改之控制

SystemDevelopLifeCycle(SDLC)系統(tǒng)規(guī)劃系統(tǒng)發(fā)展系統(tǒng)測試上線階段系統(tǒng)規(guī)劃階段1.管理當(dāng)局、資訊單位及相關(guān)使用者部門確認其發(fā)展需求.2.由資訊單位、使用者單位共同成立系統(tǒng)發(fā)展專案小組.3.確認發(fā)展所需之軟硬體架構(gòu)(作業(yè)平臺、資料庫、開發(fā)語言)4.確認進行自行開發(fā)、外購套裝軟體、客制化開發(fā).5.預(yù)算估列與費用評估系統(tǒng)發(fā)展階段1.使用者部門與資訊單位確認作業(yè)流程與系統(tǒng)需求2.進行系統(tǒng)分析.(如ER-Model)3.制定系統(tǒng)發(fā)展文件(DD、DFD)4.確認使用者所需之功能及螢?zāi)划嬅?Prototyping)5.確認程式開發(fā)及撰寫(Coding).

系統(tǒng)測試階段1.設(shè)置獨立測試環(huán)境.2.制定測試之方法及資料量3.由使用者及資訊單位共同測試,以確認功能、畫面、資料之處理合宜4.進行一定期間之平行測試.上線階段1.經(jīng)過使用者部門及資訊單位共同同意可以上線.2.舊系統(tǒng)已停止使用.編製系統(tǒng)文書之控制應(yīng)制定系統(tǒng)開發(fā)、程式撰寫之標準文件，如專案管制文件、系統(tǒng)規(guī)格書等足供後任資訊人員使用開發(fā)。重要系統(tǒng)文件（如原始程式碼、資料規(guī)格書）應(yīng)妥善保管以防止非經(jīng)授權(quán)人員存取。相關(guān)系統(tǒng)文書之借閱應(yīng)制定控管程序（如申請、歸還、逾期）並經(jīng)主管同意。應(yīng)定期配合程式修改更新系統(tǒng)文書。資訊單位應(yīng)制定或提供系統(tǒng)操作說明文件供使用者部門使用。程式及資料之存取控制程式設(shè)計師對於正式上線區(qū)無存取權(quán)限。帳號申請（新增、刪除）流程。密碼控管政策（密碼長度、強迫更改週期、錯誤鎖?。＝o予使用者存取系統(tǒng)各功能之權(quán)限，應(yīng)基於行使職權(quán)之所需。定期覆核久未登入之帳號與權(quán)限之設(shè)定。設(shè)置電腦工作日誌。針對重要資料存取設(shè)置SystemLog。依公司之營運政策，訂定資訊安全政策。遠端存取之控制。檔案及設(shè)備之安全控制（續(xù)）主機（實體）之安全存取控制機房及門禁管制之設(shè)置獨立上鎖之機櫃主機之安全防護措施滅火設(shè)備、不斷電系統(tǒng)、獨立空調(diào)、防毒軟體檔案及設(shè)備之安全控制（續(xù)）檔案之安全存取控制主機之邏輯存取安全（原始碼、執(zhí)行碼、資料）備份媒體（磁帶、光碟、硬碟等）應(yīng)設(shè)置實體保護。應(yīng)設(shè)置存取借調(diào)之管理機制。應(yīng)予以定期盤點。硬體及系統(tǒng)軟體之購置、使用及維護之控制軟硬體採購之程序。軟硬體維護之程序（合約）。系統(tǒng)重要之設(shè)定應(yīng)適當(dāng)存檔與保管。系統(tǒng)復(fù)原計畫制度及測試程序之控制針對系統(tǒng)資料及相關(guān)文件應(yīng)訂定其備份辦法備份資料應(yīng)予以異地存放應(yīng)訂定資訊系統(tǒng)之災(zāi)害因應(yīng)及運作復(fù)原計劃系統(tǒng)復(fù)原小組成員及聯(lián)絡(luò)方式緊急聯(lián)絡(luò)廠商資料系統(tǒng)架構(gòu)文件主機之系統(tǒng)復(fù)原步驟及程序程式及資料回存程序資料回存之驗證程序災(zāi)害因應(yīng)及運作復(fù)原計劃應(yīng)定期測試其有效性資通安全檢查的控制國際資通安全標準所涵蓋之範圍實體與環(huán)境安全通訊與作業(yè)管理取存管制系統(tǒng)開發(fā)與維護業(yè)務(wù)永續(xù)管理安全組織資產(chǎn)分類與管制人事安全法規(guī)之遵循安全政策行政院所屬各機關(guān)資訊安全作業(yè)要點壹、資訊安全政策制定及評估

貳、資訊安全組織及權(quán)責(zé)

參、人員安全管理及教育訓(xùn)練

肆、電腦系統(tǒng)安全管理

伍、網(wǎng)路安全管理

陸、系統(tǒng)存取控制柒、系統(tǒng)發(fā)展及維護之安全管理

捌、資訊資產(chǎn)之安全管理

玖、實體及環(huán)境安全管理

拾、業(yè)務(wù)永續(xù)運作計畫之規(guī)劃及管理

原內(nèi)控條文與資安控制的差異一、資訊處理部門之功能及職責(zé)劃分壹、資訊安全政策制定及評估

貳、資訊安全組織及權(quán)責(zé)

參、人員安全管理及教育訓(xùn)練

肆、電腦系統(tǒng)安全管理

伍、網(wǎng)路安全管理

陸、系統(tǒng)存取控制柒、系統(tǒng)發(fā)展及維護之安全管理

捌、資訊資產(chǎn)之安全管理

玖、實體及環(huán)境安全管理

拾、業(yè)務(wù)永續(xù)運作計畫之規(guī)劃及管理二、系統(tǒng)開發(fā)及程式修改之控制三、編製系統(tǒng)文書之控制四、程式及資料之存取控制五、資料輸出入之控制六、資料處理之控制原內(nèi)控條文與資安控制的差異七、檔案及設(shè)備之安全控制壹、資訊安全政策制定及評估

貳、資訊安全組織及權(quán)責(zé)

參、人員安全管理及教育訓(xùn)練

肆、電腦系統(tǒng)安全管理

伍、網(wǎng)路安全管理

陸、系統(tǒng)存取控制柒、系統(tǒng)發(fā)展及維護之安全管理

捌、資訊資產(chǎn)之安全管理

玖、實體及環(huán)境安全管理

拾、業(yè)務(wù)永續(xù)運作計畫之規(guī)劃及管理八、硬體及系統(tǒng)軟體之購置、使用及維護之控制九、系統(tǒng)復(fù)原計畫制度及測試程序之控制應(yīng)考量列入資通安全檢查之項目壹、資訊安全政策制定及評估

貳、資訊安全組織及權(quán)責(zé)

參、人員安全管理及教育訓(xùn)練

肆、電腦系統(tǒng)安全管理伍、網(wǎng)路安全管理

陸、系統(tǒng)存取控制柒、系統(tǒng)發(fā)展及維護之安全管理

捌、資訊資產(chǎn)之安全管理

玖、實體及環(huán)境安全管理

拾、業(yè)務(wù)永續(xù)運作計畫之規(guī)劃及管理無底線部份為舊版內(nèi)控並未規(guī)範，應(yīng)予列入底線部分需視客戶原先之內(nèi)控是否涵蓋，未涵蓋部分應(yīng)視個別項目予以考量。資通安全檢查的控制重點資通安全檢查的控制重點

壹、資訊安全政策制定及評估規(guī)範資訊安全政策之制定定義資訊安全政策之評估程序資訊安全政策及規(guī)定之宣達

底線部分為一般公司制訂內(nèi)控較不會考慮列入的項目。資通安全檢查的控制重點

貳、資訊安全組織及權(quán)責(zé)制訂資訊安全組織界定資訊安全組織的權(quán)責(zé)委外與聘請外部專家

底線部分為一般公司制訂內(nèi)控較不會考慮列入的項目。資通安全檢查的控制重點

參、人員安全管理及教育訓(xùn)練人員進用之評估使用者資訊安全教育訓(xùn)練附註說明：一般公司的人事薪工循環(huán)可能會定義到上述事項的部分內(nèi)容修訂原先內(nèi)控以符合資安要求之控制重點

肆、電腦系統(tǒng)安全管理電腦系統(tǒng)作業(yè)程序及責(zé)任

電腦病毒及惡意軟體之防範

軟體複製的控制

個人資料之保護

日常作業(yè)之安全管理電腦媒體之安全管理

資料及軟體交換之安全管理

底線部分為一般公司制訂內(nèi)控較不會考慮列入的項目。修訂原先內(nèi)控以符合資安要求之控制重點

伍、網(wǎng)路安全管理網(wǎng)路安全規(guī)劃與管理

電子郵件之安全管理

全球資訊網(wǎng)之安全管理

網(wǎng)路安全的紀錄與覆核憑證機構(gòu)之安全管理(需視客戶是否有電子商務(wù)交易)

底線部分為一般公司制訂內(nèi)控較不會考慮列入的項目。修訂原先內(nèi)控以符合資安要求之控制重點

陸、系統(tǒng)存取控制資訊系統(tǒng)存取控制規(guī)定

(建立一致性的規(guī)範)使用者之存取管理

（使用者的帳號申請管理）使用者對於系統(tǒng)存取之責(zé)任（定義使用者的帳號及存取責(zé)任）網(wǎng)路存取之安全控制(對於使用網(wǎng)路及Modern的責(zé)任)電腦系統(tǒng)之存取控制

（終端機的限制）應(yīng)用系統(tǒng)之存取控制

(規(guī)範使用者使用應(yīng)用系統(tǒng)的方式及責(zé)任)系統(tǒng)存取及應(yīng)用之監(jiān)督

（稽核軌跡與覆核）機關(guān)外部人員存取資訊之安全管理

(規(guī)範外部人員的存取)系統(tǒng)稽核規(guī)劃(規(guī)範稽核工具的使用)修訂原先內(nèi)控以符合資安要求之控制重點

柒、系統(tǒng)發(fā)展及維護之安全管理系統(tǒng)安全需求規(guī)劃系統(tǒng)規(guī)劃之控制(容量控制)應(yīng)用系統(tǒng)之安全

(輸出入控制)應(yīng)用系統(tǒng)檔案之安全(原始碼的管理)

系統(tǒng)變更及維護環(huán)境之安全

底線部分為一般公司制訂內(nèi)控較不會考慮列入的項目。修訂原先內(nèi)控以符合資安要求之控制重點

捌、資訊資產(chǎn)之安全管理資訊資產(chǎn)目錄之建立及保護

資訊安全之等級分類

底線部分為一般公司制訂內(nèi)控較不會考慮列入的項目。修訂原先內(nèi)控以符合資安要求之控制重點

玖、實體及環(huán)境安全管理設(shè)備實體安全管理（水電保護/實體鎖等）周邊安全管理（機房管理/門禁等）

底線部分為一般公司制訂內(nèi)控較不會考慮列入的項目。修訂原先內(nèi)控以符合資安要求之控制重點

拾、業(yè)務(wù)永續(xù)運作計畫之規(guī)劃及管理業(yè)務(wù)永續(xù)運作計劃之規(guī)劃

業(yè)務(wù)永續(xù)運作計劃之測試業(yè)務(wù)永續(xù)運作計劃之更新資訊安全事件緊急處理機制

底線部分為一般公司制訂內(nèi)控較不會考慮列入的項目。公開資訊申報相關(guān)作業(yè)公開資訊申報相關(guān)作業(yè)之控制重點增列本項控制作業(yè)之重點在於企業(yè)如何控制公開資訊「上傳之正確性」，其應(yīng)注意之控制要點如下：一、「公開資訊觀測站」申報系統(tǒng)人員之權(quán)責(zé)劃分二、「公開資訊觀測站」私密金鑰檔案之控管方式三、公開資訊資料製作之正確性四、上傳「公開資訊觀測站」其資訊及附件之正確性

五、上傳資訊錯誤之更正程序控制重點說明一、「公開資訊觀測站」申報系統(tǒng)人員之權(quán)責(zé)劃分負責(zé)建立系統(tǒng)使用者的權(quán)責(zé)人員哪些人員負責(zé)執(zhí)行系統(tǒng)申報私密金鑰的保管、權(quán)限的建立、金鑰密碼的保管是否不為同一人。異常狀況的處理及聯(lián)絡(luò)人員控制重點說明二、「公開資訊觀測站」私密金鑰檔案之控管方式私密金鑰及備份磁片的存放及保管私密金鑰的備份及複製程序控制重點說明三、公開資訊資料製作之正確性公開資訊的製作程序依據(jù)主管機關(guān)的標準化格式非標準化格式公開前的覆核及核準程序控制重點說明四、上傳「公開資訊觀測站」其資訊及附件之正確性上傳作業(yè)的程序上傳後進行下載的再確認程序。電腦審計實務(wù)指引電腦審計實務(wù)指引審計實務(wù)指引第一號：資訊系統(tǒng)環(huán)境─單機作業(yè)之個人電腦審計實務(wù)指引第二號：風(fēng)險評估與內(nèi)部控制─電腦資訊系統(tǒng)之特性及考量審計實務(wù)指引第三號：資訊系統(tǒng)環(huán)境─線上作業(yè)電腦系統(tǒng)審計實務(wù)指引第一號資訊系統(tǒng)環(huán)境─單機作業(yè)之個人電腦第一號的目次前言單機作業(yè)之個人電腦一般控制對會計制度及內(nèi)部控制之影響查核程序之考量單機作業(yè)個人電腦之一般控制單機作業(yè)個人電腦環(huán)境與大型電腦環(huán)境比較應(yīng)用系統(tǒng)之控制(如系統(tǒng)文件)較不嚴謹操作之控制(如存取程序)較不嚴謹一般控制程度較低單機作業(yè)個人電腦之一般控制-政策與程序企業(yè)之組織結(jié)構(gòu)資料處理之職責(zé)劃分取得、建置與文件化之標準使用者訓(xùn)練安全、備份與與儲存之指引通行密碼之管理個人使用電腦之政策軟體取得與使用之標準資料保護之標準程式維護與技術(shù)支援職能分工病毒防護單機作業(yè)個人電腦之一般控制-實體保護電腦設(shè)備可移動式及不可移動式儲存媒體程式及資料安全單機作業(yè)個人電腦之一般控制-實體保護：電腦設(shè)備存放可上鎖之安全防護空間加裝移動警報系統(tǒng)加裝固定裝置制定攜出政策及程序重要檔案加密安裝電腦開關(guān)鎖建置環(huán)境控制預(yù)防天然災(zāi)害單機作業(yè)個人電腦之一般控制-實體保護：

可移動式及不可移動式儲存媒體易誤置、不當(dāng)使用、未經(jīng)授權(quán)而被更改或損毀保護可移動式儲存媒體如異地存放於防火櫃單機作業(yè)個人電腦之

一般控制-實體保護：程式及資料安全未經(jīng)授權(quán)而被更改或非法安裝軟體啟動作業(yè)系統(tǒng)安控功能使用通行密碼建置存取控管軟體使用及控管可移動式之儲存媒體使用隱藏式目錄及檔案使用加密技術(shù)運用設(shè)定檔及通行密碼控制使用者存取權(quán)限單機作業(yè)個人電腦之一般控制-持續(xù)運作備份異地存放於安全處所於合理時取得替代電腦設(shè)備單機作業(yè)個人電腦對會計制度及內(nèi)部控制之影響視用於會計處理之程度而定視處理財務(wù)交易之種類及重要性而定視應(yīng)用系統(tǒng)之程式及資料性質(zhì)而定單機作業(yè)個人電腦對會計制度及內(nèi)部控制之影響一般控制─職能分工缺乏職能劃分同時兼具二種獨立互斥職能易有錯誤未能偵知或易發(fā)生舞弊應(yīng)用控制有效的程式及資料存取控管、資料輸出入控管以及資料處理控管獨立職能劃分控管單機作業(yè)個人電腦查核程序之考量若內(nèi)部控制實務(wù)不可行時應(yīng)著重證實性測試內(nèi)部控制係屬有效與有缺失其二者執(zhí)行之查核程序可以不同審計實務(wù)指引第二號風(fēng)險評估與內(nèi)部控制─電腦資訊系統(tǒng)之特性及考量第二號的目次前言組織結(jié)構(gòu)處理之性質(zhì)設(shè)計及作業(yè)程序電腦資訊系統(tǒng)環(huán)境之內(nèi)部控制電腦資訊系統(tǒng)之一般控制電腦資訊系統(tǒng)之應(yīng)用控制電腦資訊系統(tǒng)一般控制之複核電腦資訊系統(tǒng)應(yīng)用控制之複核評估電腦資訊系統(tǒng)環(huán)境之組織結(jié)構(gòu)職能集中化易缺職能分工控制易缺適當(dāng)之存取等控制程式及資料集中化易有未經(jīng)授權(quán)存取及更改程式與資料之風(fēng)險電腦資訊系統(tǒng)環(huán)境處理之性質(zhì)缺乏輸入文件缺乏可見之交易軌跡缺乏可見之輸出易於存取資料及電腦程式未經(jīng)授權(quán)存取及更改程式與資料之風(fēng)險電腦資訊系統(tǒng)環(huán)境之設(shè)計及作業(yè)程序執(zhí)行之一致性未予正確設(shè)計及測試則錯誤持續(xù)下去程式化之控制程序複核自動產(chǎn)生之例外與錯誤報表及複核合理性限度檢查單筆交易影響眾多檔案輸入出貨單更新銷貨收入檔、應(yīng)收帳款檔、存貨檔一筆錯誤之輸入可能造成不同會計科目之錯誤系統(tǒng)自動產(chǎn)生交易儲存媒體容易受損電腦資訊系統(tǒng)環(huán)境之內(nèi)部控制分為一般控制及應(yīng)用控制相關(guān)控制均可包括人工及程式化之控制程序電腦資訊系統(tǒng)之一般控制組織及管理控制應(yīng)用系統(tǒng)開發(fā)與維護控制電腦操作控制系統(tǒng)軟體控制資料輸入及程式控制電腦資訊系統(tǒng)一般控制之組織及管理控制管理控制相關(guān)職能之政策及程序職能之適當(dāng)分工電腦資訊系統(tǒng)一般控制之

應(yīng)用系統(tǒng)開發(fā)與維護控制新系統(tǒng)之測試、轉(zhuǎn)換、導(dǎo)入及其相關(guān)文件之記錄應(yīng)用系統(tǒng)之變更系統(tǒng)文件之存取外購或委外開發(fā)之應(yīng)用系統(tǒng)電腦資訊系統(tǒng)一般控制之電腦操作控制系統(tǒng)僅在經(jīng)授權(quán)之目的下使用。僅經(jīng)授權(quán)之人員可操作電腦。僅可使用經(jīng)授權(quán)之程式。處理之錯誤可被偵測並更正。電腦資訊系統(tǒng)一般控制之系統(tǒng)軟體控制新系統(tǒng)軟體或修改系統(tǒng)軟體之授權(quán)、核準、測試、導(dǎo)入及其相關(guān)文件之記錄。僅經(jīng)授權(quán)之人員可存取系統(tǒng)軟體及相關(guān)文件之限制。電腦資訊系統(tǒng)一般控制之資料輸入及程式控制輸入系統(tǒng)之交易業(yè)經(jīng)適當(dāng)授權(quán)。僅經(jīng)授權(quán)之人員可存取資料及程式。電腦資訊系統(tǒng)一般控制之

系統(tǒng)持續(xù)運作之相關(guān)安全措施資料及電腦程式之異地備份。遭竊、遺失或損毀時之復(fù)原程序。災(zāi)難發(fā)生時之異地備援措施。電腦資訊系統(tǒng)之應(yīng)用控制合理確保所有交易之適當(dāng)授權(quán)、記錄及其處理之完整、正確與及時(應(yīng)由AUDIT負責(zé)ERM協(xié)助執(zhí)行)包括輸入控制、處理及電腦資料檔控制以及輸出控制(應(yīng)由AUDIT與ERM合作執(zhí)行)電腦資訊系統(tǒng)應(yīng)用控制之輸入控制交易於電腦處理前業(yè)經(jīng)適當(dāng)授權(quán)。 (應(yīng)由AUDIT與ERM合作執(zhí)行)已適當(dāng)轉(zhuǎn)換為機器可讀取之電腦。 (應(yīng)由ERM執(zhí)行)交易無遺漏、虛增、重複或不當(dāng)更改之情形。 (應(yīng)由AUDIT負責(zé)ERM協(xié)助執(zhí)行)錯誤交易業(yè)經(jīng)拒絕、更正，如有必要應(yīng)及時重新輸入。 (應(yīng)由AUDIT負責(zé)ERM協(xié)助執(zhí)行)電腦資訊系統(tǒng)應(yīng)用控制之處理及電腦資料檔控制交易(包括系統(tǒng)自動產(chǎn)生)於電腦處理前業(yè)經(jīng)適當(dāng)授權(quán)。 (應(yīng)由AUDIT與ERM合作執(zhí)行)交易無遺漏、虛增、重複或不當(dāng)更改之情形。 (應(yīng)由AUDIT負責(zé)ERM協(xié)助執(zhí)行)處理錯誤業(yè)經(jīng)辨識且及時更正。 (應(yīng)由AUDIT負責(zé)ERM協(xié)助執(zhí)行)電腦資訊系統(tǒng)應(yīng)用控制之輸出控制處理結(jié)果之正確性。 (應(yīng)由AUDIT負責(zé)ERM協(xié)助執(zhí)行)僅經(jīng)授權(quán)之人員可存取輸出結(jié)果。 (應(yīng)由AUDIT與ERM合作執(zhí)行)輸出結(jié)果及時提供予適當(dāng)之權(quán)責(zé)人員。 (應(yīng)由AUDIT與ERM合作執(zhí)行)電腦資訊系統(tǒng)一般控制之複核應(yīng)先考量其對重要應(yīng)用系統(tǒng)之影響複核應(yīng)用控制前如先複核一般控制之設(shè)計可能較有效率電腦資訊系統(tǒng)應(yīng)用控制之複核為確保系統(tǒng)輸出之完整、正確及適當(dāng)授權(quán)1.測試使用者採行之人工控制是否有效2.測試系統(tǒng)輸出控制是否有效3.測試程式化之控制程序是否有效1、2、3可單獨使用或混合使用電腦資訊系統(tǒng)環(huán)境之評估一般控制非屬有效，則應(yīng)用系統(tǒng)可能發(fā)生不實表達而未被偵知之風(fēng)險一般控制若有缺失而不擬執(zhí)行部份應(yīng)用控制之測試，則可考量使用者所採行之人工控制是否能達成應(yīng)用控制目的審計實務(wù)指引第三號資訊系統(tǒng)環(huán)境─線上作業(yè)電腦系統(tǒng)第三號的目次前言線上作業(yè)電腦系統(tǒng)線上作業(yè)電腦系統(tǒng)之種類線上作業(yè)電腦系統(tǒng)之特性線上作業(yè)電腦系統(tǒng)之內(nèi)部控制對會計制度及內(nèi)部控制之影響查核程序之考量線上作業(yè)電腦系統(tǒng)由終端機存取資料與程式之電腦系統(tǒng)可能由大型電腦、迷你型電腦或個人電腦連結(jié)成之網(wǎng)路所組成終端機依用途分成基本型終端機、智慧型終端機、個人電腦以及特殊用途之終端機可透過遠端設(shè)備、網(wǎng)際網(wǎng)路、電子商務(wù)軟體或電子資料交換系統(tǒng)存取企業(yè)之應(yīng)用系統(tǒng)線上作業(yè)電腦系統(tǒng)之種類線上即時處理收入現(xiàn)金隨即登錄線上批次處理總分類帳每月更新線上輸入暫時更新處理自動櫃員機提現(xiàn)金隨即更新暫存檔其後批次更新主檔線上查詢僅授權(quán)使用者可自終端機查詢線上下載或上傳線上作業(yè)電腦系統(tǒng)之特性資料隨即驗證檢查使用者有不同存取權(quán)限限制無需原始憑證即可輸入但須能由系統(tǒng)提供交易明細應(yīng)限制程式設(shè)計師存取權(quán)限應(yīng)有緊急狀況程式修改控制程序線上作業(yè)電腦系統(tǒng)之內(nèi)部控制建立適當(dāng)之一般控制及應(yīng)用控制應(yīng)先考量建立適當(dāng)資訊安全架構(gòu)存取控制尤其重要線上作業(yè)電腦系統(tǒng)內(nèi)部控