國內(nèi)電腦稽核環(huán)境現(xiàn)況研究 黃明達(dá) 淡江大學(xué)資訊管理系副教授 令娟 淡江大學(xué)資訊管理系研究生 082850 要 由于近年來政府推動(dòng)商業(yè)自動(dòng)化政策，鼓勵(lì)企業(yè)電腦化及大力推展電子化政府，我國工商企業(yè)使用電腦有隨企業(yè)規(guī)模擴(kuò)大而增加的趨勢(shì)，企業(yè)電腦化雖提供快速、有效率及一致性的效益，但其隱含錯(cuò)誤或舞弊的風(fēng)險(xiǎn)亦比人工作業(yè)處理更加復(fù)雜，為確?？刂葡到y(tǒng)的正常運(yùn)作，企業(yè)亦需建立健全的稽核制度。本研究有鑒于電腦稽核日益重要，但甚少有關(guān)電腦稽核人員應(yīng)如何進(jìn)行稽核工作的相關(guān)研究，因此本研究以現(xiàn)有的文獻(xiàn)為基礎(chǔ)，嘗試發(fā)展出一份適用于國內(nèi)一般組織的電腦稽核檢查表，一方面提供稽核人員在執(zhí)行實(shí)地稽核查訪時(shí)的參考，稍減稽核人員不知從何開始與不知應(yīng)查核那些項(xiàng)目的困擾；另一方面亦提供給組織內(nèi)的資訊部門用以自行檢查與評(píng)估其現(xiàn)有安全控管措施的執(zhí)行狀況。此外，并根據(jù)調(diào)查資料之統(tǒng)計(jì)結(jié)果將電腦稽核執(zhí)行程度分為三等級(jí)，同時(shí)分析各等級(jí)可能會(huì)有的風(fēng)險(xiǎn)與改善現(xiàn)況的建議。 關(guān)鍵字：電腦稽核、電腦輔助稽核技術(shù)、檢查表、風(fēng)險(xiǎn)分析 s of of on it or a in us it is be It is to an to of in to DP In a to in be by It of 、 前言 一、 例如 (一 ) 例如 電腦稽核 (搜集與評(píng)估證據(jù) (以確認(rèn)電腦系統(tǒng)是否足以保護(hù)企業(yè)資產(chǎn)、維護(hù)資料的完整性、有效的達(dá)到公司目標(biāo)，以及有效率的使用公司資源的82850 過程 21。 由于近年來政府推動(dòng)商業(yè)自動(dòng)化政策，鼓勵(lì)企業(yè)電腦化及大力推展電子化政府， 87年 6 月底我國工商企業(yè)使用電腦普及率達(dá) 2。企業(yè)電腦化雖提供快速、有效率及一致性的效益，但其隱含錯(cuò)誤或舞弊的風(fēng)險(xiǎn)亦比人工作業(yè)處理更加復(fù)雜，為確?？刂葡到y(tǒng)的正常運(yùn)作，企業(yè)亦需建立健全的稽核制度 18?；谙铝?因素而引發(fā)本研究動(dòng)機(jī)： 有鑒于電腦稽核日益重要，但目前國內(nèi)有關(guān)電腦稽核的相關(guān)研究很少，而且大多為探討電腦輔助稽核技術(shù)的使用情況 3, 15, 18, 20，甚少有關(guān)電腦稽核人員應(yīng)如何進(jìn)行稽核工作的相關(guān)研究。 在多篇文獻(xiàn)中均提及國內(nèi)十分缺乏電腦稽核專才與電腦稽核專業(yè)訓(xùn)練 4, 5, 8, 13, 14, 17，同時(shí)研究顯示，我國內(nèi)部稽核人員之電腦稽核能力均顯著低于理想化標(biāo)準(zhǔn) 17?；巳藛T往往因?qū)τ陔娔X系統(tǒng)及資訊作業(yè)特性不了解，以及缺少一套較嚴(yán)謹(jǐn)?shù)牟楹顺绦蚣胺绞?，以致?duì)電腦稽核不知從何開始進(jìn)行查核較 妥切 11。 至 87 年 6 月底我國工商企業(yè)平均每千名員工擁有 309 臺(tái)個(gè)人電腦，使用電腦普及率有隨企業(yè)規(guī)模擴(kuò)大而增加的趨勢(shì) 2。因此，經(jīng)訪談了解許多企業(yè)希望能在資訊系統(tǒng)安全方面能做自我評(píng)估，以了解企業(yè)本身安全控管措施的執(zhí)行程度。 本研究希望能達(dá)成下列三項(xiàng)目的： 希望發(fā)展出一份適用于一般組織的電腦稽核檢查表，以提供稽核人員在執(zhí)行實(shí)地稽核查訪時(shí)的參考，稍減稽核人員不知從何開始與不知應(yīng)查核那些項(xiàng)目的困擾。 希望能提供電腦稽核檢查表給組織內(nèi)的資訊部門，用以自行檢查與評(píng)估其現(xiàn)有安全控管措施的執(zhí)行狀況，將來各組織以此 檢查表做自我評(píng)估時(shí)，可了解本身的執(zhí)行程度與需要加強(qiáng)之處。 希望能藉此研究將國內(nèi)一般組織目前的執(zhí)行程度加以分類，訂出等級(jí)的參考標(biāo)準(zhǔn)，讓各組織在做自我評(píng)估時(shí)，亦能將本身的執(zhí)行程度與其他組織做一比較。 本研究范圍系針對(duì)公司 (單位 )內(nèi)部資訊部門與電腦機(jī)房的安全控管現(xiàn)況做調(diào)查，特別是針對(duì)機(jī)房環(huán)境、電腦安全、區(qū)域網(wǎng)路、資料庫管理系統(tǒng)與系統(tǒng)發(fā)展等五部分，所以資訊外包、線上處理或網(wǎng)際網(wǎng)路 等部分并未列入本次研究中。 在本研究范圍內(nèi)，為顧及研究項(xiàng)目的完整性，以致問卷內(nèi)容在盡量精簡之后仍頗多，如此將會(huì)大大影響受調(diào)查者的填答意愿 ，礙于現(xiàn)況的考量，為提高問卷回收率，因此并未以較具代表性的 1000 大企業(yè)為研究對(duì)象，而是以會(huì)員主要為資訊主管或電腦稽核人員（以上二者為本研究問卷的填答對(duì)象）的電腦稽核協(xié)會(huì)、資訊經(jīng)理人協(xié)會(huì)、以及資訊應(yīng)用發(fā)展協(xié)會(huì)等會(huì)員為主要寄發(fā)問卷的對(duì)象，如此樣本雖稍有偏頗，但也已具有相當(dāng)?shù)拇硇?，所以本研究?duì)象包括了政府機(jī)構(gòu)、公營事業(yè)單位及一般民營企業(yè)。 貳、 文獻(xiàn)探討 目前有關(guān)電腦稽核方面的研究并不多，相關(guān)文獻(xiàn)已整理于表一。在電腦輔助稽核技術(shù)方面的研究 3, 12, 15, 20，大多為探討如何利用電腦輔助稽核技術(shù)協(xié) 助稽核工作，以及此技術(shù)的使用情況。 在內(nèi)部稽核的相關(guān)研究中，與電腦稽核相關(guān)的主題，有探討內(nèi)部稽核人員是否適任電腦稽核工作 17，或探討內(nèi)部稽核人員從事電腦稽核工作之情況 18。 有關(guān)電腦稽核檢查表的相關(guān)文獻(xiàn)中，國內(nèi)電腦作業(yè)稽核準(zhǔn)則 10一書是為協(xié)助各金融機(jī)構(gòu)之稽核單位人員進(jìn)行電腦稽核工作而編寫的手冊(cè)，但其內(nèi)容系完全針對(duì)金 表一 電腦稽核相關(guān)研究 篇 名 作者年份 出版單位或期刊 內(nèi) 容 簡 述 電 腦 稽 核 檢 查 表 . 1972 織的電腦設(shè)備與資訊系統(tǒng)的安全稽核與評(píng)估，是可以快速、有效率又經(jīng)濟(jì)的方式執(zhí)行的，本書就提供了一份實(shí)際可行的、低成本的稽核檢查表，共分人事、實(shí)體、資料文件與程式、操作、備份、系統(tǒng)發(fā)展、保險(xiǎn)、安全程式等八部分。 25 9921997 一系列的稽核檢查表 ， 包括 ： 電腦中心稽核檢查表、微電腦稽核與安全檢查表、區(qū)域網(wǎng)路稽核與安全檢查表、資料庫管理系統(tǒng)檢查表與系統(tǒng)發(fā)展專案稽核檢查表。 28a . 1997 年來，大部分的問卷所犯的共同錯(cuò)誤就是問題的型式僅需以簡單的答即可。一份好的稽 核檢查表，應(yīng)是除了 答案外，尚可從中得到一些有意義的資訊，文中并舉例說明如何將傳統(tǒng) 態(tài)的問卷改成敘述式的問題。 33 電腦作業(yè)稽核準(zhǔn)則 財(cái)政部金融資訊規(guī)劃設(shè)計(jì)小組 1989 金融人員研究訓(xùn)練中心叢書 為協(xié)助各金融機(jī)構(gòu)之稽核單位人員進(jìn)行電腦稽核，本手冊(cè)以問卷形式提示內(nèi)部控制之需求，以協(xié)助稽核人員在進(jìn)行查核時(shí)，可認(rèn)定及評(píng)估資訊系統(tǒng)之管制措施，作為其進(jìn)一步調(diào)查、分析并作成報(bào)告之依據(jù)；也提示稽核人員由稽核計(jì)畫之制定至稽核報(bào)告作成的某些要點(diǎn)，以及電腦稽核建制之指引參考。 10 電 腦 稽 核 與 電 腦 安 全 1996 篇概要說明電腦稽核人員應(yīng)該參與系統(tǒng)發(fā)展專案的目的，以及參與過程中應(yīng)如何參與、如何執(zhí)行工作、如何提出一份適切的意見報(bào)告予管理者，最后匯整出專案的每一階段應(yīng)執(zhí)行的稽核工作重點(diǎn)。 21 A 997 荷蘭，除了外部稽核公司之外，銀行業(yè)是 核人員的最大顧主。本篇論文系描述 1994 年所做的一份有關(guān)荷蘭銀行業(yè) 核部門的人數(shù)(工作 (調(diào)查結(jié)果，該調(diào)查之目的是希望能指出 核部門人數(shù) (工作 (標(biāo)準(zhǔn)規(guī)范 27 . . 1997 料處理操作面的稽核是用以評(píng)估資料處理作業(yè)的執(zhí)行是否有效率的方法。本篇主要在介紹資料處理系統(tǒng)操作稽核的特性，以及稽核階段中初步的準(zhǔn)備、初步的調(diào)查、以及細(xì)部的稽核與檢查等三階段。 26 T 1998 前在組織中有設(shè)立 全部門者還很少，因此有關(guān)如何稽核 全部門的資訊或經(jīng)驗(yàn)也非常少。本研究中介紹了目前 全部門的職責(zé)與角色，以及稽核人員應(yīng)該要了解的三項(xiàng)較重要的 全作業(yè)： ”、 ”風(fēng)險(xiǎn)的評(píng)估、分析與管理 ”和 ”訓(xùn)練、教育與自覺 ”，也探討 ”以成本效益的觀點(diǎn)來檢視與稽核 全部門 ”。 24 1998 容包括電腦稽核師證照考試需知，以及資訊系統(tǒng)的稽核標(biāo)準(zhǔn)、安全和控制實(shí)務(wù)、組織與管理、完整機(jī)密與可用性、發(fā)展取得與維謢等部分。 23 行業(yè)電腦內(nèi)部控制系統(tǒng)和電腦稽核之研究 歐陽雯 1985 淡江大學(xué)資訊工程研究所碩士論文 根據(jù)臺(tái)灣當(dāng)時(shí)銀行的作業(yè)環(huán)境及作業(yè)型態(tài)，嘗試以系統(tǒng)的觀點(diǎn)，整合管理科學(xué)和電腦技術(shù)，提出一套適用于臺(tái)灣地區(qū)銀行業(yè)之電腦內(nèi)部控制架構(gòu)與電腦稽核方法，作為銀行決策管理者及內(nèi)部稽核人員在執(zhí)行其控制功能時(shí)的指南。 19 以電腦化稽核作業(yè)增強(qiáng)資訊系統(tǒng)整體安全之研究 林國楨 1987 清華大學(xué)計(jì)算機(jī)管理決策研究所碩士論 文 根據(jù)國內(nèi)目前資料系統(tǒng)作業(yè)環(huán)境及作業(yè)型態(tài)，嘗試以系統(tǒng)之觀點(diǎn)，整合計(jì)算機(jī)、管理、快速之技術(shù)，提出一套適用于國內(nèi)金融業(yè)界資訊系統(tǒng)內(nèi)部控制架構(gòu)及電腦稽核方法，作為企業(yè)決策管理者及內(nèi)部稽核人員在執(zhí)行其控制功能時(shí)之指南。 9 資訊系統(tǒng)稽核控制架構(gòu)建立的探討 趙時(shí)勤 1992 中興大學(xué)企管研究所碩士論文 建立一電腦化資訊系統(tǒng)之稽核控制架構(gòu)。由預(yù)防、偵測(cè)、更正三方面探討資訊系統(tǒng)在設(shè)計(jì)階段所應(yīng)具備之內(nèi)涵；在處理階段所應(yīng)具備之控制程序；以及資訊作業(yè)環(huán)境的管理控制和安全措施。資訊部門可循此架構(gòu)，作為提升資訊系統(tǒng)品質(zhì) ；訂定標(biāo)準(zhǔn)作業(yè)程序；改善作業(yè)環(huán)境之參考。 16 銀行業(yè)電腦安全控管政策之研究 林黛卿 1992 臺(tái)灣大學(xué)會(huì)計(jì)研究所碩士論文 本研究旨在調(diào)查目前銀行業(yè)者實(shí)施電腦安全控管的現(xiàn)況及針對(duì)銀行業(yè)的作業(yè)型態(tài)提出安全防范重點(diǎn)。此外亦調(diào)查銀行業(yè)目前在電腦化作業(yè)之下，電腦稽核的因應(yīng)之道及電腦輔助稽核技術(shù)使用情況及可能遭遇的問題。 7 電 腦 輔 助 稽 核 臺(tái)灣會(huì)計(jì)師界使用電腦輔助審計(jì)技術(shù)之研究 蘇?；?1991臺(tái)灣大學(xué)商學(xué)研究所碩士論文 探討我國目前會(huì)計(jì)師界如何因應(yīng)企業(yè)電腦化之趨勢(shì)，其使用電腦輔助審計(jì)技術(shù)之狀況 ，以及其使用與不使用之原因。 20 臺(tái)灣企業(yè)內(nèi)部稽核人員使用電腦輔助審計(jì)技術(shù)之研究 張俊文 1993 成功大學(xué)企管研究所碩士論文 從內(nèi)部審計(jì)的觀點(diǎn)，探討目前我國企業(yè)內(nèi)部稽核職能如何因應(yīng)企業(yè)電腦化趨勢(shì)，及使用電腦輔助審計(jì)技術(shù)之狀況。 15 利用資訊技術(shù)協(xié)助金融機(jī)構(gòu)之管理稽核 李美慧 1997成功大學(xué)會(huì)計(jì)研究所碩士論文 探討如何利用資訊技術(shù)模組化金融機(jī)構(gòu)之管理稽核程序，了解通用審計(jì)軟體其多項(xiàng)功能與優(yōu)點(diǎn)。 3 內(nèi)部稽核 我國國營事業(yè)與民營企業(yè)電腦內(nèi)部稽核之研究 劉盈欒 1994 政治大學(xué)會(huì)計(jì)研究 所碩士論文 先明了國營事業(yè)與民營企業(yè)資訊部門及內(nèi)部稽核制度，之后再介紹其使用電腦稽核之實(shí)施現(xiàn)況，并評(píng)估其相關(guān)問題。研究結(jié)論包括企業(yè)內(nèi)部實(shí)行電腦稽核情況并不普遍，稽核人員的學(xué)歷將影響其對(duì)稽核技術(shù)的熟悉度 等。 18 我國內(nèi)部稽核人員稽核電腦化系統(tǒng)之適任性及影響其適任性之因素 劉佳宜 1997 成功大學(xué)會(huì)計(jì)研究所碩士論文 探討資訊科技對(duì)內(nèi)部稽核人員電腦稽核能力之影響，以及影響內(nèi)部稽核人員運(yùn)用電腦稽核能力之相關(guān)因素。 17 融機(jī)構(gòu)的營業(yè)單位與資訊單位的電腦作業(yè)而設(shè)計(jì)，并不適用于其他行業(yè)，且距今已十余年 ，也已不符合現(xiàn)況。國外早于 1972 年就有 ” (簡稱 25一書是有關(guān)電腦稽核檢查表的設(shè)計(jì)，但因年代過于久遠(yuǎn)，當(dāng)時(shí)之電腦環(huán)境與現(xiàn)今已完全不同。美國資訊系統(tǒng)稽核與控制協(xié)會(huì) (稱 也有針對(duì)資訊系統(tǒng)稽核出版書籍 23，但內(nèi)容 主要為理論上的敘述，對(duì)于應(yīng)稽核的內(nèi)容僅條列式的列出一些重點(diǎn)。美國 練機(jī)構(gòu) (出版的“稽核與安全檢查表系列” 28因系針對(duì)美國國情而設(shè)計(jì)，并不適合直接套用于國內(nèi)。 綜合以上所言，國內(nèi)目前甚少有探討電腦稽核人員應(yīng)如何進(jìn)行稽核工作的相關(guān)研究，因此本研究希望在參考前述文獻(xiàn)后，能發(fā)展出一份適用于國內(nèi)一般組織的電腦稽核檢查表。 參、 研究設(shè)計(jì) 本研究系采用資料搜集方法中的調(diào)查研究法 (選用自填式問卷郵寄調(diào)查方式 1, 22。研究 的過程依序?yàn)椋何墨I(xiàn)探討、訂定研究主題、設(shè)計(jì)電腦稽核檢查表、訪談?wù)髟儗＜乙庖?、修訂電腦稽核檢查表、進(jìn)行問卷調(diào)查、統(tǒng)計(jì)與分析結(jié)果、以及研究結(jié)論與建議。 本研究之問卷架構(gòu)系以美國 核與安全檢查表系列” 28設(shè)計(jì)基礎(chǔ)，內(nèi)容則參考多篇國內(nèi)外文獻(xiàn) 10, 23, 25, 2833編寫而成，與“稽核與安全檢查表系列”相比較，在內(nèi)容上具有下列不同的特點(diǎn)： 該問卷僅為 問題，所得資訊有限；本問卷則是每一題目都用數(shù)個(gè)項(xiàng)目來描述該題目所可能會(huì)有的各種答案，若無適當(dāng)?shù)倪x項(xiàng)， 亦可于其他一欄中說明，所以內(nèi)容具有描述性。 該問卷題目敘述較粗略，若填答者僅部分有執(zhí)行但部分未執(zhí)行，則會(huì)造成填答上的困擾與偏差；本問卷的設(shè)計(jì)已盡可能將各種情況單獨(dú)列出，較無此問題。 由于本問卷的問題都經(jīng)過分門別類，每一題目的內(nèi)容也已用數(shù)個(gè)項(xiàng)目加以詳盡敘述，所以可以衡量出各題目或各類別的執(zhí)行程度，而該問卷的設(shè)計(jì)并無法衡量各題目的執(zhí)行程度。 本問卷在寄發(fā)前已經(jīng)過多次的預(yù)試與修改，并請(qǐng)數(shù)位專家試填后提供意見，以增加內(nèi)容的效度。問卷的填答大多數(shù)為復(fù)選題，填答者在問卷上直接勾選適當(dāng)之答案即可，若無適當(dāng)之選項(xiàng)亦可于 其他一欄中說明，如此則可減少填答者的負(fù)擔(dān)，縮短其答題與思考的時(shí)間。測(cè)量尺度多采用名目尺度 (1。調(diào)查時(shí)間約自 87 年 12 月10 日至 88 年 1 月 10 日，共寄發(fā) 267 份問卷，回收 77 份，回收率為 肆、 資料分析 一、 基本資料分析 基本資料分析的部分主要的統(tǒng)計(jì)結(jié)果如下： 由表二與表三中可看出高階主管對(duì)資訊部門與電腦稽核工作的重視程度略有差異，可能是因?yàn)橘Y訊部門所帶給公司 (單位 )的好處或利益大多是明顯可見的，而電腦稽核工作的貢獻(xiàn)主要為防弊，無法直接創(chuàng)造利潤，因此高階主管較不易明顯 感受到其重要性。但表三中所顯示的高階主管對(duì)電腦稽核工作的重視程度，與表五中高階主管不支持此一因素僅占 結(jié)果是很一致的。 表二 高階主管對(duì)資訊部門的重視程度 項(xiàng) 目 樣本數(shù) 百分比 非常重視 31 視 34 通 11 重視 1 常不重視 0 0 表四 電腦災(zāi)害發(fā)生的原因 項(xiàng) 目 樣本數(shù) 百分比 機(jī)件故障 25 為疏失 10 然災(zāi)害 7 意破壞 1 表四中可看出電腦災(zāi)害發(fā)生 的原因主要為機(jī)件故障與人為疏失，但這二項(xiàng)原因是可以透過平日良好的控管措施加以預(yù)防而降低其發(fā)生機(jī)率的。另外，目前雖僅一家有遭蓄意破壞的經(jīng)驗(yàn)，但由于一般蓄意破壞是為了惡意性的報(bào)復(fù)，所以也往往會(huì)造成重大的損失，不可不加以重視。 表五中缺乏專業(yè)技術(shù)、資訊環(huán)境變動(dòng)太快、專業(yè)人才不足等三項(xiàng)為電腦稽核工作所遭遇的最大困難，這與許多專家學(xué)者所提及國內(nèi)十分缺乏電腦稽核專才與電腦稽核專業(yè)訓(xùn)練 4, 5, 8, 13, 14, 17此一論點(diǎn)不謀而合。 基本資料分析的其他統(tǒng)計(jì)結(jié)果簡述如下： 本次問卷調(diào)查回收的問卷中，以國人 投資公司占 61%為最多，其次依序是外商公司13%、公營事業(yè) 政府機(jī)構(gòu)與中外合資公司各占 行業(yè)別是以制造業(yè) (與金融、保險(xiǎn)及不動(dòng)產(chǎn)業(yè) (為主，其次是工商服務(wù)業(yè) (。平均每年?duì)I業(yè)額 (政府機(jī)構(gòu)除外 )則是以 31 億以上的占 最多，其次是 11占 1與 21各占 6占 及 1 億以下占 在 77 份問卷中有 公司 (單位 )已利用電腦處理資訊達(dá) 11 年以上，其次為 6其余也至少都有 1 年以上利用電腦處理資訊的經(jīng)驗(yàn)。 資訊部門之人數(shù)以 21 人以上者稍多占 1、 6、 11則各占約 20%。 公司 (單位 )中已設(shè)有電腦稽核此項(xiàng)職務(wù)者，負(fù)責(zé)該職務(wù)的人數(shù)有 1， 3， 6 人以上。設(shè)立時(shí)間是以 1為最多占 其次為 6的占 未滿一年與 11 年以上者各占 但目前仍有 公司 (單位 )是尚未有人員負(fù)責(zé)電腦稽核工作的。 由前幾項(xiàng)統(tǒng)計(jì)資 料得知，有 公司 (單位 )已利用電腦處理資訊達(dá) 6 年以上， 公司 (單位 ) 有負(fù)責(zé)電腦稽核工作的人員，再配合設(shè)立電腦稽核職務(wù)時(shí)間的比率資料來推論，近幾年已注意到電腦稽核重要性的公司，有逐漸增加的趨勢(shì)。 負(fù)責(zé)電腦稽核的人員在組織中以隸屬于稽核室 (、總經(jīng)理 (或相當(dāng) )之主管(、以及電腦部門 (25%)三者為最多，隸屬于會(huì)計(jì)或財(cái)務(wù)部門者則占 但隸屬于電腦部門的電腦稽核人員其獨(dú)立性會(huì)較有爭議。 曾經(jīng)發(fā)生造成損失的電腦災(zāi)害次數(shù)中以未曾發(fā)生者最多占 其次為 1表三 高階主管對(duì)電腦稽核工作的重視程度 項(xiàng) 目 樣本數(shù) 百分比 非常重視 15 視 27 通 24 重視 2 常不重視 1 清楚 7 五 電腦稽核工作所遭遇的最大困難 項(xiàng) 目 樣本數(shù) 百分比 缺乏專業(yè)技術(shù) 31 訊環(huán)境變動(dòng)太快 20 業(yè)人才不足 19 部員工不配合 8 費(fèi)不足 6 階主管不支持 5 清楚 2 的占 3占 6 次以上者最少占 在曾經(jīng)發(fā)生電腦災(zāi)害的公司 (單位 )中，有 37%認(rèn)為其影響程度嚴(yán)重或非常嚴(yán)重， 為還好， 為并不嚴(yán)重。 填答者的職位主要是資訊主管占 其他尚有一般資訊人員 (、一般稽核人員 (、 (電腦 )稽核主管 (以及高級(jí)專員 (。 二、 電腦稽核環(huán)境現(xiàn)況分析 本研究問卷的架構(gòu)，除基本資料之外，共由五項(xiàng)構(gòu)面去調(diào)查國內(nèi)電腦稽核環(huán)境的現(xiàn)況，雖然每一稽核項(xiàng)目的調(diào)查結(jié)果都有助于我們了解國內(nèi)的現(xiàn)況，但限于篇 幅，所以在此僅列出主要的發(fā)現(xiàn)， 詳細(xì)的調(diào)查結(jié)果請(qǐng)至網(wǎng)站（網(wǎng)址 :查看完整之論文內(nèi)容。 主要的發(fā)現(xiàn)有下列數(shù)點(diǎn)： 在機(jī)房實(shí)體安全的部分仍有需要加強(qiáng)之處：從現(xiàn)行的安全控制措施執(zhí)行率低于 20%的項(xiàng)目中可發(fā)現(xiàn)，大部分的公司 (單位 )在機(jī)房門口未設(shè)置管制站或管制人員、對(duì)信件或包裹的傳送未加以管理、對(duì)機(jī)房相鄰的區(qū)域沒有管控以及缺乏人員避難時(shí)的疏散計(jì)畫，這些都是可以再改進(jìn)的部分。 大部分的公司 (單位 )都并未執(zhí)行強(qiáng)迫休假制度：未執(zhí)行此一制度者占 推測(cè)是因?yàn)榇蟛糠帜壳吧形丛庥鋈藶?的蓄意破壞 (表四 )，所以并不覺得此一制度的重要，但許多的人為弊案都不是在做案當(dāng)時(shí)被發(fā)現(xiàn)的，而往往是在追查其他事件時(shí)才被揭發(fā)，因此隱含有“人為弊案不易被察覺”的風(fēng)險(xiǎn)。 對(duì)災(zāi)難意外事故復(fù)原計(jì)劃未確實(shí)重視：由于大部分的公司 (單位 )都并未不定期開會(huì)檢視復(fù)原計(jì)劃中參與人員的職責(zé)，也沒有將復(fù)原計(jì)劃書送與每位應(yīng)參與的人員或?qū)ζ渥鰷y(cè)試，所以大多祇是限于書面形式。 部分硬體替代方案忽略地理位置的考量：雖然統(tǒng)計(jì)資料顯示 公司 (單位 )有硬體替代方案，但其中卻有 硬體替代方案是與目前的電腦機(jī)房位于同一棟建筑物 中，對(duì)這些公司 (單位 )而言，若該建筑物發(fā)生火災(zāi)、地震倒塌或斷水?dāng)嚯姷惹闆r時(shí)，其替代方案是很有可能同時(shí)被波及的，因此并不是很適合做為替代方案。 大多數(shù)認(rèn)為現(xiàn)行的硬體替代方案可以符合公司 (單位 )的需求：在三種硬體替代方案中，選擇“由廠商負(fù)責(zé)提供”者占 最多，其次是“自行準(zhǔn)備備用設(shè)備”占 可能是因?yàn)橛蓮S商提供可免去另備空間、硬體維護(hù)等麻煩。僅 11%的填答者認(rèn)為以硬體替代方案接續(xù)作業(yè)所需的前置時(shí)間并不符合公司 (單位 )的需求，其他都認(rèn)為尚可或符合需求。 對(duì)撥接連線的安全控制措施應(yīng)再加強(qiáng)：在區(qū)域網(wǎng) 路的管制措施方面，相較之下，以對(duì)撥接連線的安全控制措施做的較少，大多僅透過對(duì)電話號(hào)碼的管制與授權(quán)使用做管制，卻沒有在使用者上線時(shí)再加以確認(rèn)身份或加以控管。 不重視資料字典的建立與使用程序：僅約 公司 (單位 )對(duì)資料字典有保管與確定完整的程序，以及可由系統(tǒng)自動(dòng)將資料項(xiàng)目的屬性編制成文件。因此，資料字典的建立過程就可能會(huì)發(fā)生項(xiàng)目遺漏、不一致或重復(fù)等問題。此外，也僅有 資料字典的使用有說明文件。 缺乏在系統(tǒng)發(fā)展時(shí)即放入稽核常式的觀念：而會(huì)在系統(tǒng)發(fā)展過 程中就決定要使用的稽核常式與使用方式者也僅 但俗話說：預(yù)防勝于治療，未事先考慮稽核問題，將增加日后查核該系統(tǒng)的復(fù)雜度。 三、 電腦稽核等級(jí) 在調(diào)查了七十七家的電腦稽核環(huán)境現(xiàn)況后，為便于一般公司 (單位 )在執(zhí)行自我評(píng)估時(shí)能有等級(jí)做參考與比較，于是將所有樣本依據(jù)其填答結(jié)果之總得分率高低，以百分比法均分成 A、 B、 C 三等級(jí)，使每一等級(jí)之樣本數(shù)各占約 1/3，結(jié)果如表六。得分率之計(jì)算方式請(qǐng)參看自我評(píng)估的部分。由于等級(jí)參考表系根據(jù)本次問卷調(diào)查的樣本填答結(jié)果所訂定，將來隨著時(shí)間與樣本的變更可能會(huì)有變動(dòng)，但在現(xiàn)階段仍 具有參考價(jià)值。 表六 電腦稽核等級(jí)參考表 等級(jí) 樣本數(shù) 平均 (%) 最大值 (%) 最小值 (%) A 級(jí) 25 級(jí) 26 級(jí) 26 、 交叉分析 為能更深入了解稽核等級(jí)與相關(guān)因素之間的關(guān)聯(lián)性，因此進(jìn)行交叉分析 (卡方檢定 )?；举Y料與稽核等級(jí)交叉分析的結(jié)果，僅負(fù)責(zé)電腦稽核工作的人數(shù)一項(xiàng)有達(dá)顯著水準(zhǔn) (p=如表七，也就是負(fù)責(zé)電腦稽核工作的人數(shù)與所獲得的稽核等級(jí)是有相關(guān)性的。 表七 負(fù)責(zé)電腦稽核工作的人數(shù)與稽核等級(jí)交叉表 卡方值： 核 等 級(jí) 小計(jì) p 值： A B C 0 人 樣本數(shù) 7 6 14 27 百分比 樣本數(shù) 7 18 8 33 百分比 樣本數(shù) 7 2 1 10 百分比 人以上 樣本數(shù) 1 0 1 2 百分比 計(jì) 樣本數(shù) 22 26 24 72 百分比 *p = 了要了解稽核項(xiàng)目與等級(jí)的相關(guān)性，我們先檢定問卷五個(gè)構(gòu)面與等級(jí)之間的關(guān)聯(lián)性，檢定結(jié)果如表八，不同的等級(jí)在五項(xiàng)構(gòu)面上的回答結(jié)果是有顯著差異的。 表八 五項(xiàng)構(gòu)面與稽核等級(jí)交叉表 構(gòu) 面 卡方值 p 值 機(jī)房環(huán)境的控制措施 電腦安全的控制措施 區(qū)域網(wǎng)路 (通訊 )的管制措施 資料庫管理系統(tǒng)的 管控 系統(tǒng)發(fā)展的管控 *p = 確定不同的等級(jí)在五項(xiàng)構(gòu)面上的回答結(jié)果是有顯著差異之后，為能更了解詳細(xì)的差異項(xiàng)目，于是將稽核等級(jí)分成 組，分別與五項(xiàng)構(gòu)面共 363 項(xiàng)之稽核項(xiàng) 表九 稽核項(xiàng)目與 級(jí)交叉表 稽 核 項(xiàng) 目 卡方值 p 值 機(jī)房環(huán)境的控制措施 經(jīng)常查看確認(rèn)走廊通道上無妨礙逃生的障礙物 梯間有防火門相隔 自動(dòng)滅火系統(tǒng)或可供消防隊(duì)使用的儲(chǔ)備水源 監(jiān)控系統(tǒng)或警報(bào)系統(tǒng)會(huì)進(jìn)行定期或不定期檢查或測(cè)試 緊急照明設(shè)備會(huì)進(jìn)行定期或不定期檢查或測(cè)試 急電話可直接撥外線，不需透過內(nèi)部交換機(jī) 有足夠可用的緊急照明設(shè)備 楚地標(biāo)示緊急出口的方向 求應(yīng)征者對(duì)其所填寫之資料出具證明文件 動(dòng)調(diào)查應(yīng)征者之信用狀況 認(rèn)已適當(dāng)?shù)奶幚黼x職人員的薪津資料 電腦操作的控制包括工作 (新執(zhí)行或啟動(dòng)程序 日會(huì)檢視例外報(bào)表 檢視與電腦操作相關(guān)的記錄或文件時(shí)，會(huì)確認(rèn)工作 (重新執(zhí)行 (啟動(dòng) )程序可以從中斷處開始繼續(xù)執(zhí)行 案儲(chǔ)存柜或保管室在不使用時(shí)一律上鎖 份的措施包括已建立各種不同的應(yīng)用軟體執(zhí)行時(shí)的優(yōu)先順序 電腦安全的控制措施 當(dāng)硬碟上的檔案有更改時(shí)，也會(huì)更新備份的資料 區(qū)域網(wǎng)路 (通訊 )的管制措施 區(qū)域網(wǎng)路的政策中有明訂使用者對(duì)于網(wǎng)路相關(guān)的軟硬體維護(hù)與安全應(yīng)負(fù)的義務(wù) 時(shí)更新現(xiàn)有區(qū)域網(wǎng)路相關(guān)軟體的清單 獲授權(quán)者可使用撥接連線 網(wǎng)路硬體發(fā)生故障時(shí)，可快速的取得零件更換 資料庫管理系統(tǒng)的管控 資料庫管理人員會(huì)參與規(guī)劃軟體支援或與資料庫管理系統(tǒng)有相關(guān)的短程與長程計(jì)劃 料庫管理人員的職責(zé)包括檢視、測(cè)試、評(píng)估和認(rèn)可系統(tǒng)與 程式，以及會(huì)涉及資料庫存取的程式更改 料庫管理人員的職責(zé)包括檢視資料庫管理系統(tǒng)，以確定可偵測(cè)到未經(jīng)授權(quán)的更改 料庫管理人員的職責(zé)包括對(duì)未經(jīng)授權(quán)的、無效的或有問題的事件主動(dòng)調(diào)查 格禁止資料庫管理人員在沒有使用單位的同意與控制下輸入應(yīng)用程式或是輸入使用者交易 料庫管理系統(tǒng)對(duì)資料庫所作的建立、更新、讀取、刪除等存取動(dòng)作都有記錄 料庫管理系統(tǒng)或其他軟體對(duì)系統(tǒng)軟體能提供適當(dāng) 地認(rèn)證 料庫管理系統(tǒng)或其他軟體對(duì)應(yīng)用程式能提供適當(dāng)?shù)卣J(rèn)證 料庫管理系統(tǒng)或其他軟體對(duì)交易能提供適當(dāng)?shù)卣J(rèn)證 使用者參與決定資料庫管理系統(tǒng)的功能與特性 有對(duì)運(yùn)作中的資料庫應(yīng)用軟體系統(tǒng)和程序的更改，必需提出書面申請(qǐng)并得到許可 系統(tǒng)發(fā)展的管控 有訂定階段性之系統(tǒng)驗(yàn)收標(biāo)準(zhǔn) 可行性分析階段會(huì)確認(rèn)可行性研究結(jié)果報(bào)告經(jīng)管理指導(dǎo)委員會(huì)、相關(guān)部門主管認(rèn)可 部設(shè)計(jì)與程式撰寫階段會(huì)檢視系統(tǒng)開發(fā)標(biāo)準(zhǔn)手冊(cè) 執(zhí)行階段會(huì)檢視系統(tǒng)的排程與執(zhí)行程序 統(tǒng)上線后檢視操作人員錯(cuò)誤登錄的記錄，以判定系統(tǒng)是否有潛在的問題 做交叉分析，找出每一組中二種等級(jí)在稽核項(xiàng)目執(zhí)行上有顯著差異的項(xiàng)目，因限于篇幅，無法將所有 p=項(xiàng)目一一列出，因此僅將 p 值 =項(xiàng)目列出， A 級(jí)與 B 級(jí)與 C 級(jí)主要的差異項(xiàng)目請(qǐng)參看表十。 A 級(jí)與 B 級(jí)主 要的差異項(xiàng)目可 作為 B 級(jí)擬改進(jìn)安全控管措施以提升等級(jí)時(shí)的重要參考，同樣地， B 級(jí)與 C 級(jí)主要的差異項(xiàng)目可作為 C 級(jí)擬改進(jìn)提升等級(jí)時(shí)的重要參考。 表十 稽核項(xiàng)目與 級(jí)交叉表 稽 核 項(xiàng) 目 卡方值 p 值 機(jī)房環(huán)境的控制措施 對(duì)較敏感的職位有執(zhí)行工作輪調(diào) 于下雨、臺(tái)風(fēng)、地震等天災(zāi)所可能引起的電腦損壞或資料通訊中斷已有預(yù)防措施 指派人員負(fù)責(zé)所有檔案的管理 訂定借還檔案的程序 訂定編制文件的標(biāo)準(zhǔn)與程序 先印出的電腦表格若具有機(jī)密性，會(huì)特別加以保管以防止未經(jīng)授權(quán)的取用 電腦安全的控制措施 在電腦的存取控制日志中，記錄的資料內(nèi)容包括使用那一臺(tái)電腦 份的檔案版本與使用中的檔案版本相同 電腦硬體故障且無法于可容許的時(shí)間內(nèi)修復(fù)時(shí)有硬體替代方案 替代方案來接替現(xiàn)有電腦作業(yè)所需的前置時(shí)間能符合公司 (單位 )的需求 資料庫管理系統(tǒng)的管控 嚴(yán)格禁止資料庫管理 人員在沒有使用單位的同意與控制下輸入應(yīng)用程式或是輸入使用者交易 料庫管理系統(tǒng)或其他軟體對(duì)檔案記錄資料能提供適當(dāng)?shù)卣J(rèn)證 系統(tǒng)發(fā)展的管控 系統(tǒng)發(fā)展專案的成員包括專案的系統(tǒng)發(fā)展小組 十一 各等級(jí)風(fēng)險(xiǎn)分析表 A 級(jí)可能的風(fēng)險(xiǎn)項(xiàng)目 員工容易利用非上班時(shí)間舞弊 當(dāng)原軟體廠商關(guān)閉時(shí)，舊系統(tǒng)將無人可維護(hù) 員工未來較有可能成為同業(yè)競(jìng)爭者 資料庫管理人員容易有機(jī)會(huì)舞弊 不易發(fā)現(xiàn)電腦的執(zhí)行效率降低 資料字典的內(nèi)容容易有遺漏、不完整 電腦設(shè)備遭人為惡意破壞時(shí)，公司需自行承擔(dān)損失 自行開發(fā)的系統(tǒng)缺乏安全控管的設(shè)計(jì) B 級(jí)可能的風(fēng)險(xiǎn)項(xiàng)目 發(fā)生意外事故時(shí)，無法迅速通報(bào)與發(fā)出警告 網(wǎng)路硬體故障時(shí)無法快速修復(fù)，使作業(yè)延遲 發(fā)生火災(zāi)時(shí)人員逃生不易，容易造成傷亡 使用者密碼易被盜用或破解 機(jī)密性資料容易經(jīng)由垃圾桶被有心人士外泄 系統(tǒng)有潛在的問題未被發(fā)現(xiàn) 利用備份措施接替現(xiàn)有作業(yè)時(shí)容易混亂 資料庫的程式或資料易被纂改 人員利用例外處理程序舞弊的機(jī)會(huì)較高 資料庫管理人員容易有舞弊機(jī)會(huì) 工作中斷后無法正確順利的重新啟動(dòng) 新舊資料庫系統(tǒng)無法轉(zhuǎn)換或 銜接 員工容易利用非上班時(shí)間舞弊 系統(tǒng)發(fā)展專案得不到高階管理者的支持 使用備份資料無法完整復(fù)原 系統(tǒng)手冊(cè)與使用者手冊(cè)不完整 發(fā)生網(wǎng)路相關(guān)問題時(shí)無法追究責(zé)任 在執(zhí)行與資料庫相關(guān)的計(jì)劃時(shí)，無法順利使用資料庫 C 級(jí)可能的風(fēng)險(xiǎn)項(xiàng)目 內(nèi)部人員舞弊不易被察覺 電腦硬體故障時(shí)作業(yè)完全停止 儲(chǔ)存檔案的媒體容易遺失或找不到要用的檔案 資料庫管理人員容易有舞弊機(jī)會(huì) 文件的編制格式不統(tǒng)一 錯(cuò)誤使用資料庫導(dǎo)致資料被破壞或誤改 發(fā)生地震或水災(zāi)易造成設(shè)備的損壞或作業(yè)中斷 新設(shè)計(jì)的程式無法取用資料庫的資料 機(jī)密性的表 格容易被盜用 對(duì)可疑的存取行為或有問題的交易處理無法追查來源 使用備份資料無法完整復(fù)原 五、 風(fēng)險(xiǎn)分析 根據(jù)前一節(jié)中不同等級(jí)之間的交叉分析結(jié)果 (表九、十 )，表中的稽核項(xiàng)目代表較低等級(jí)中較少人執(zhí)行的項(xiàng)目，同時(shí)再參考電腦化環(huán)境的風(fēng)險(xiǎn) 18以及資料安全威脅以及防范 6，本研究依此對(duì) B、 C 等級(jí)相對(duì)所可能會(huì)有的風(fēng)險(xiǎn)提出了建議。 A 等級(jí)因?yàn)橐咽亲罡叩燃?jí)，無法以此方式做比較，所以選擇在此一等級(jí)中執(zhí)行率低于 20%的項(xiàng)目，做為其相對(duì)容易產(chǎn)生風(fēng)險(xiǎn)的項(xiàng)目。 A、 B、 C 不同等級(jí)的風(fēng)險(xiǎn)分析列于表十一。 伍、 自我評(píng)估步驟 本 研究結(jié)果之一 腦稽核檢查表已放置于網(wǎng)路上，有興趣者可自由下載使用。對(duì)有意做自我評(píng)估者，請(qǐng)參考下列自我評(píng)估步驟說明： 1. 上網(wǎng)至網(wǎng)址： 載電腦稽核檢查表 ; 2. 確實(shí)依據(jù)公司 (單位 )實(shí)際狀況填答：每一項(xiàng)目有執(zhí)行者勾選是，未執(zhí)行者勾選否。 3. 計(jì)算得分率：每一單項(xiàng)若勾選是則得 1 分、否則不計(jì)分，算出總得分后除以總答題數(shù) (總題數(shù)減跳答題數(shù) )即可算出得分率。 總題數(shù)： 363 可跳答題數(shù)共三題： 第壹部分、第二大題、第 1 小題題數(shù)為 5 第壹部分、第三大題、第 6 小題題數(shù)為 3 第參部分、第二大題、第 4 小題題數(shù)為 7 例外：第壹部分、第一大題的第 2 小題：訪客進(jìn)入電腦機(jī)房的規(guī)定，本題中謝絕訪客一項(xiàng)若勾選是，則另二項(xiàng)不可勾選，并且該題以得二分計(jì)算，因?yàn)榧热辉L客不可進(jìn)入，則不需有防范措施；若勾選否，則依一般計(jì)分方式 4. 依據(jù)表六自我評(píng)估等級(jí)，再參考與前一等級(jí)之差異表 (表九、十 )，了解主要差異項(xiàng)目。 5. 參看各等級(jí)之風(fēng)險(xiǎn)分析表 (表十一 )，了解現(xiàn)階段公司可能會(huì)有的風(fēng)險(xiǎn)，再?zèng)Q定是否采取改進(jìn)或防范措施。 陸、 結(jié)論與建議 一、 結(jié)論 本研究結(jié)果匯總?cè)缦拢?高階主管對(duì)資訊部門的重 視程度略高于對(duì)電腦稽核工作的重視程度。 電腦稽核工作目前所遭遇的最大困難依序?yàn)椋喝狈I(yè)技術(shù)、資訊環(huán)境變動(dòng)太快與專業(yè)人才不足，所以應(yīng)加強(qiáng)電腦稽核人才的培訓(xùn)與提升現(xiàn)有人員的專業(yè)訓(xùn)練。 電腦災(zāi)害發(fā)生的原因主要為機(jī)件故障與人為疏失。 負(fù)責(zé)電腦稽核工作的人數(shù)與所獲得的稽核等級(jí)是有相關(guān)性的，負(fù)責(zé)人數(shù)為 0 者，稽核等級(jí)為 C 級(jí)，而負(fù)責(zé)人數(shù)在 3 人以上者，則有 75%以上屬于 A 級(jí)。 本研究根據(jù)問卷的調(diào)查結(jié)果與填答者之建議，在修改問卷后已完成一份適用于一般公司 (單位 )的電腦稽核檢查表，且放置于網(wǎng)路上供有興趣者自行下載 使用，并已于前面說明自我評(píng)估的步驟。 為便于一般公司在執(zhí)行自我評(píng)估時(shí)能有等級(jí)做參考與比較，于是本研究也根據(jù)現(xiàn)有樣本資料之統(tǒng)計(jì)結(jié)果訂出電腦稽核等級(jí)參考表如表六。 級(jí)之間的差異表請(qǐng)參看表九、十，此表可提供 B 級(jí)或 C 級(jí)擬提升等級(jí)時(shí) 的重要參考。 風(fēng)險(xiǎn)分析表 (請(qǐng)參看表十一 )中已列出各等級(jí)所可能會(huì)有的風(fēng)險(xiǎn)，讓公司可了解在現(xiàn)階段可能會(huì)有的風(fēng)險(xiǎn)，再?zèng)Q定是否采取改進(jìn)或防范措施。 本研究問卷中每一稽核項(xiàng)目的調(diào)查結(jié)果，可讓我們了解國內(nèi)目前一般組織的執(zhí)行狀況，但限于篇符而無法完整列出，詳細(xì)的調(diào)查結(jié)果請(qǐng)至網(wǎng)站（ 查看。 二、 未來研究建議 本研究問卷中的每一問題與選項(xiàng)，其權(quán)重與執(zhí)行嚴(yán)謹(jǐn)與否的衡量，因?yàn)闆]有統(tǒng)一的界定標(biāo)準(zhǔn)，爭議較多，因此在本研究中不考慮此二項(xiàng)較復(fù)雜因素的影響程度，假設(shè)每項(xiàng)題目與選項(xiàng)的重要性相同。未來研究者可針對(duì)權(quán)重問題再加以深入研究。 由于等級(jí)參考表系根據(jù)本次問卷調(diào)查的樣本填答結(jié)果所訂定，因此僅能反應(yīng)目前的現(xiàn)況，將來隨著時(shí)間與樣本的變更，必須持續(xù)進(jìn)行后續(xù)調(diào)查工作，隨時(shí)修正等級(jí)參考表。 本研究中系主觀的將稽核等級(jí)分成三類，建議未來研究者可采用較有統(tǒng)計(jì)理論基礎(chǔ)的方式找出較佳的分 類組數(shù)。 本研究所發(fā)展的電腦稽核檢查表，其內(nèi)容與項(xiàng)目雖經(jīng)多次的修改與盡力的思考，力求完善，但畢竟個(gè)人能力有限，因此未來研究者可再予以修正，或是針對(duì)某一特定行業(yè)別或公司作調(diào)整，使其更適合于個(gè)別使用者。 未來