證券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達(dá) 蕭富元 81 證券業(yè)網(wǎng)路下單稽核環(huán)境之研究 黃明達(dá) 淡江大學(xué) 資訊管理研究所 富元 淡江大學(xué) 資訊管理研究所要 隨著網(wǎng)路下單券商的蓬勃發(fā)展，網(wǎng)路下單在股票交易方式中逐漸扮演重要的角色，其安全性也就逐漸受到大眾的重視。本研究以電腦稽核的觀點(diǎn)出發(fā)，來(lái)探討目前國(guó)內(nèi)網(wǎng)路下單券商的安全管理現(xiàn)況，并嘗試建立一套下單安全自我評(píng)估模式。 本研究采用問(wèn)卷調(diào)查和現(xiàn)場(chǎng)訪談的方式，以線上安全面、備份管理面、操作交易面三 個(gè)構(gòu)面來(lái)調(diào)查目前國(guó)內(nèi) 26家網(wǎng)路下單券商的稽核環(huán)境現(xiàn)況。深入了解網(wǎng)路下單券商在線上下單交易安全上所遭遇的問(wèn)題與困難，并對(duì)網(wǎng)路下單券商在線上下單交易的安全性以百分比法分成 A、 B、 C 三等級(jí)，利用卡方檢定來(lái)分析出不同等級(jí)之間的差異，并依此作為不同等級(jí)所面臨的風(fēng)險(xiǎn)。最后訂定出網(wǎng)路下單稽核檢查表并提供自我評(píng)分方法，讓券商可以自我評(píng)量找出所屬的等級(jí)，以及所對(duì)應(yīng)的風(fēng)險(xiǎn)，作為未來(lái)改進(jìn)的參考和政府、網(wǎng)路下單系統(tǒng)廠商 在推行網(wǎng)路下單安全及制定相關(guān)政策時(shí)之依據(jù)。 關(guān)鍵字：證券業(yè)、網(wǎng)路下單券商、電腦稽核、交易安全 on of in is of is to of on to up a 6 It us a to of we we an to be by 訊管理展望 第卷 第期 民國(guó)八十八年七月 82 壹、緒論 自從 1995年美國(guó)第一家網(wǎng)路下單券商 E*辦以來(lái)，其無(wú)疆界、無(wú)時(shí)差及低成本的優(yōu)點(diǎn)，迅速獲得社會(huì)大眾的青睞，交易量每年以倍數(shù)成長(zhǎng)，已使網(wǎng)路下單漸漸成為未來(lái)趨勢(shì) 【 16】 。而國(guó)內(nèi)也在民國(guó) 86年 7月準(zhǔn)許券商開辦網(wǎng)路下單業(yè)務(wù)，至 87年底為止，根據(jù)證交所統(tǒng)計(jì)，單月成交總金額占市場(chǎng)成交量的比例從原本的 86/7)87/12)，其間開戶人數(shù)亦由 1,022人，至今累積成長(zhǎng)至 71,533人 【 2】 。隨著證券網(wǎng)路下單的蓬勃發(fā)展 【 11】 ，建立一個(gè)網(wǎng)路下單的安全評(píng)估模式，讓交易雙 方有所參考依循，也就成為一個(gè)刻不容緩的議題，并引發(fā)了本研究動(dòng)機(jī)： 安全是網(wǎng)路交易的前提，目前各家網(wǎng)路下單券商所強(qiáng)調(diào)的安全傳輸協(xié)定 (安全認(rèn)證磁片是否就足以代表其安全性 【 11】 ，而消費(fèi)者如何從中選擇比較？ 目前各家網(wǎng)路下單券商的安全管理現(xiàn)況為何，同業(yè)之間有何差異存在？如果網(wǎng)路下單券商想知道自己安全管理的優(yōu)劣，有何自我評(píng)量的工具？ 有關(guān)網(wǎng)路交易安全的研究多偏重于理論面或技術(shù)面上的探討，缺乏實(shí)務(wù)管理面上的考量 【 7】【 8】【 12】【 26】 。 因此，本研究嘗試采用電腦 稽核的觀點(diǎn)，從不同角度來(lái)審視網(wǎng)路下單的安全性。本研究目的如下： 藉由問(wèn)卷調(diào)查的方式，來(lái)審視目前各家網(wǎng)路下單券商的稽核環(huán)境現(xiàn)況，并找出目前網(wǎng)路下單券商所面臨的問(wèn)題。 將調(diào)查結(jié)果加以統(tǒng)計(jì)分析，比較歸納出不同的等級(jí)，作為網(wǎng)路下單券商以后改進(jìn)的目標(biāo)和消費(fèi)者選擇的參考，并可依此來(lái)建立出一套網(wǎng)路下單安全的自我評(píng)估模式。 本研究針對(duì)國(guó)內(nèi)目前已經(jīng)開辦網(wǎng)路下單業(yè)務(wù)的券商進(jìn)行安全現(xiàn)況調(diào)查，另外包含一些已經(jīng)在準(zhǔn)備測(cè)試中但尚未開辦的網(wǎng)路下單券商 【 2】 。本研究以網(wǎng)路下單的稽核環(huán)境為主，界定于在全球資訊網(wǎng) (易環(huán)境下與網(wǎng)路交易安全有直接相關(guān)的線上安全面、備份管理面、交易操作面的安全稽核現(xiàn)況調(diào)查，對(duì)其他如人事管理、委外管理等不納入其中 【 1】 。 本研究的研究步驟依序如下：確定研究動(dòng)機(jī)及目的、搜集相關(guān)文獻(xiàn)、確立研究架構(gòu)、設(shè)計(jì)問(wèn)卷初稿、專家預(yù)試、問(wèn)卷填答。為求得調(diào)查資料的真實(shí)性，更深入的了解問(wèn)題，本研究問(wèn)卷一律采現(xiàn)場(chǎng)訪談方式來(lái)完成。在經(jīng)過(guò) 26家網(wǎng)路下單券商的訪談之后，再利用 套裝程式進(jìn)行資料分析、解釋資料分析結(jié)果，最后做成結(jié)論與建議。 雖然國(guó)內(nèi)網(wǎng)路下單券商發(fā)展相當(dāng)蓬勃，然而因網(wǎng)路下單業(yè)務(wù)開 放至今也不過(guò)一年多的時(shí)間，所以網(wǎng)路下單券商家數(shù)有限。本研究在排除種種困難后，尋得九成以上網(wǎng)路下單券商的協(xié)助，但總家數(shù)仍未達(dá)到統(tǒng)計(jì)學(xué)上的大數(shù) (N30)，使得本研究無(wú)法進(jìn)行較周詳?shù)臋z定，以提升本研究的信度與效度。 貳、文獻(xiàn)探討 目前由于國(guó)內(nèi)網(wǎng)路下單券商剛剛開辦不久，所以相關(guān)研究甚為缺乏，而國(guó)外有關(guān)網(wǎng)路下單券商的文獻(xiàn)大多偏向經(jīng)營(yíng)策略的研究，例如 季定期對(duì)網(wǎng)路下單券商評(píng)分排名 【 13】 ，作為消費(fèi)者選擇網(wǎng)路下單券商的參考，以及 網(wǎng)路下單券商調(diào)查報(bào)告 【 18】 等，然而國(guó)內(nèi) 網(wǎng)路證券交易制度與交易習(xí)慣均和國(guó)外有所不同，且因發(fā)展起步較晚的關(guān)系，使得安全機(jī)制標(biāo)準(zhǔn)不一，所以在稽核實(shí)務(wù)方面需要另外自行發(fā)展。 證券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達(dá) 蕭富元 83 而網(wǎng)路交易安全方面的研究，大多數(shù)是安全技術(shù)的探討 【 5】【 6】【 14】【 17】【 25】 ，缺乏針對(duì)網(wǎng)路交易安全管理的調(diào)查。 在電腦稽核方面，國(guó)外已有 相關(guān)的自我檢查表和評(píng)量方法 【 22】【 23】 ，但其資料過(guò)于老舊，早已不符合現(xiàn)代所需。而由美國(guó)資訊管理訓(xùn)練學(xué)會(huì) (發(fā)表的電腦稽核和安全檢查表 【 24】 及資訊系統(tǒng)稽核控制協(xié)會(huì) (電腦稽核項(xiàng)目手冊(cè) 【 20】 則缺乏專門針對(duì)網(wǎng)路下單券商的稽核項(xiàng)目且無(wú)法自行評(píng)估優(yōu)劣。 綜合以上所言，本研究除了參考前述文獻(xiàn)外，另外依照國(guó)內(nèi)現(xiàn)行股票交易制度而設(shè)計(jì)出網(wǎng)路下單券商的自我檢查表，并提供自我評(píng)量的模式。表 1為證券業(yè)網(wǎng)路下單安全所整理出的相關(guān)文獻(xiàn)。 表 1 網(wǎng)路下單券商下單安全相關(guān)文獻(xiàn) 研究主題 作者或單位 時(shí)間 內(nèi)容概述 電子商務(wù)安全 1985 針對(duì)電腦系統(tǒng)安全提出評(píng)估標(biāo)準(zhǔn)，包括密碼管理準(zhǔn)則 (身分驗(yàn)證和授權(quán)指引 (電腦稽核指引 ( 等 【 25】 網(wǎng)際網(wǎng)路上安全的電子付款環(huán)境之探討 丘信榮，交通大學(xué)資訊管理研究所 1996 對(duì) P 協(xié)定上的通訊安全協(xié)定 分析比較與安全性探討，分析網(wǎng)際網(wǎng)路電子付款系統(tǒng)，并規(guī)劃一個(gè)網(wǎng)際網(wǎng)路電子付款系統(tǒng)的雛形架構(gòu) 【 5】 . 1996 討論網(wǎng)際網(wǎng)路在商業(yè)上應(yīng)用的安全，包括建構(gòu)一個(gè)安全的網(wǎng)路系統(tǒng)、確保通道安全、安全通訊協(xié)定、安全管理政策、保護(hù)使用者與網(wǎng)路商店等 【 14】 A 997 提供網(wǎng)路商店在風(fēng)險(xiǎn)評(píng)估時(shí)應(yīng)注意事項(xiàng)、訂定安全存取控制政策、維持網(wǎng)路安全和安全管理上應(yīng)有的認(rèn)知 【 27】 臺(tái)灣電子商務(wù)發(fā)展之研究 管理研究 (一 ) 陳嘉玫，中山大學(xué)資訊管理系 1998 針對(duì)電子商務(wù)在安全系統(tǒng)之操作與管理制度上，提出解決方案，并設(shè)計(jì)一個(gè)系統(tǒng)安全原型 (電子書店 )進(jìn)行測(cè)試評(píng)估 【 6】 997 998 利用問(wèn)卷調(diào)查英國(guó)前 1000大公司在電子商務(wù)方面所遇到的安全問(wèn)題，討論公司安全政策、控管方法、所面臨的風(fēng)險(xiǎn)和對(duì)策，最后提出改進(jìn)建議 【 17】 電腦稽核 . 972 針對(duì)資訊管理系統(tǒng)作全面性的稽核與評(píng)估，提供人事、實(shí)體安全、程式文件、操作、資料備份、系統(tǒng)發(fā)展、保險(xiǎn)、安全規(guī)劃管理等八大構(gòu)面的自我檢查表和評(píng)估方法 【 22】 & . 987 提出組織架構(gòu)、實(shí)體安全、意外處理、資料備份、資料安全、系統(tǒng)操作、資訊部門管理、保險(xiǎn) 、系統(tǒng)發(fā)展、電腦犯罪、線上傳輸?shù)?2構(gòu)面的電腦稽核方式和自我檢查表 【 23】 992 提出線上安全、商務(wù)費(fèi)用、資料庫(kù)、資料中心、系統(tǒng)發(fā)展、網(wǎng)路安全稽核、 次稽核 50步的自我檢查表 【 24】 996 線上系統(tǒng)可藉由網(wǎng)際網(wǎng)路技術(shù)的協(xié)助來(lái)達(dá)到持續(xù)性的控制和監(jiān)視，并討論電子交易安全 所需公開金鑰和秘密金鑰加密等密碼學(xué)和應(yīng)用 【 21】 996 建立一個(gè)獨(dú)立的資訊系統(tǒng)專門負(fù)責(zé)管理整合員的工作，以達(dá)到同步稽核 (目標(biāo) 【 19】 電子商務(wù)環(huán)境中會(huì)計(jì)及審計(jì)作業(yè)之流程模式 余千智 ;周濟(jì)群，政治大學(xué) 1997 提出電子商務(wù)環(huán)境中執(zhí)行審計(jì)作業(yè)的流程模式，含期間性審計(jì)與連續(xù)性審計(jì)等兩個(gè)模式 【 4】 998 針對(duì)電腦安全準(zhǔn)則、組織架構(gòu)、資料處理、系統(tǒng)安全和系統(tǒng)發(fā)展提出詳細(xì)的電腦稽核要項(xiàng) 【 20】 網(wǎng)路下單券商 998 利用親自上線、問(wèn)卷、電話訪談的方式來(lái)調(diào)查網(wǎng)路下單券商的使用者介面、客戶信賴度、站上資源、相關(guān)服務(wù)、所需費(fèi)用并加以排名【 13】 998 由 3000名讀者票選出 網(wǎng)路下單券商最重要的五個(gè)影響因素，分別是客戶信賴度、手續(xù)費(fèi)、成交價(jià)格、使用者介面、提供服務(wù)，并依此對(duì)每一家券商加以評(píng)分排名 【 18】 參、研究設(shè)計(jì) 本研究所采用的研究方法是意見(jiàn)研究 (之調(diào)查法 ( 15】 。研究架構(gòu)主要是參考 992)所發(fā)展的電腦稽核和安全檢查表 【 24】 中的線上安全檢資訊管理展望 第卷 第期 民國(guó)八十八年七月 84 查清單，并透過(guò)資料中心安全、網(wǎng)路安全、 最后再配合國(guó)內(nèi)現(xiàn)行股票交易制度發(fā)展出交易操作面而產(chǎn)生三 個(gè)會(huì)直接影響網(wǎng)路下單安全的構(gòu)面，如圖一。 本研究問(wèn)卷填答方式采用復(fù)選題的形式，并以名目尺度 (填答方式來(lái)進(jìn)行，使填答者直接對(duì)適當(dāng)?shù)拇鸢腹催x即可，縮短答題思考的時(shí)間，以減少填答者的負(fù)擔(dān)并增加答案之可靠性。 研究對(duì)象則是已有開辦網(wǎng)路下單業(yè)務(wù)的券商，由于目前網(wǎng)路下單券商如雨后春筍般的發(fā)展，為求時(shí)間一致性，所以本研究以證交所公布的 87年 10月份的網(wǎng)路下單券商為主 【 2】 ，另外包含了一些已經(jīng)在規(guī)劃測(cè)試中但仍尚未開辦網(wǎng)路下單的券商。受訪者以負(fù)責(zé)網(wǎng)路下單的業(yè)務(wù)部門主管或資訊部 門主管為主，其中也包含了負(fù)責(zé)維護(hù)網(wǎng)路下單系統(tǒng)的資訊工程師。為求得調(diào)查資料的真實(shí)性，更深入的了解問(wèn)題，故一律采用現(xiàn)場(chǎng)訪談的方式來(lái)進(jìn)行。調(diào)查時(shí)間從 87年 11月 13日開始至 12月 17日止，總共訪談 26家，達(dá)當(dāng)時(shí)總樣本數(shù)的九成。 肆、資料分析 一、 基本資料分析 從表 2可以看出目前網(wǎng)路下單所遭遇到的最大問(wèn)題是線路中斷和系統(tǒng)當(dāng)機(jī)，兩者總和占了出現(xiàn)過(guò)問(wèn)題的 82%，經(jīng)訪談結(jié)果發(fā)現(xiàn)，整體的網(wǎng)路還境還不夠成熟穩(wěn)定，網(wǎng)際網(wǎng)路服務(wù)供應(yīng)商 (網(wǎng)路品質(zhì)還有待改善，而網(wǎng)路下單交易系 統(tǒng)的開發(fā)時(shí)間有限，又缺乏與原有交易系統(tǒng)的整合，以致于系統(tǒng)當(dāng)機(jī)事件頻傳。而其他問(wèn)題未發(fā)生的原因可能是網(wǎng)路下單剛開辦不久，目前仍在摸索和適應(yīng)階段，市場(chǎng)規(guī)模不大，所以仍沒(méi)有嚴(yán)重問(wèn)題產(chǎn)生。 表 2 網(wǎng)路下單出現(xiàn)過(guò)最嚴(yán)重問(wèn)題 嚴(yán)重問(wèn)題 樣本數(shù) 百分比 排名 無(wú) 11 網(wǎng)路中斷 6 系統(tǒng)當(dāng)機(jī) 4 其他 2 人員舞弊 0 0 5 網(wǎng)站被入侵 0 0 5 從表 3可以看出券商認(rèn)為網(wǎng)路下單的主要風(fēng)險(xiǎn)分別為線路中斷和客戶惡意違約，共占 訪談結(jié)果發(fā)現(xiàn)線路 中斷可能使得客戶無(wú)法以即時(shí)價(jià)格成交或重復(fù)下單等種種問(wèn)題而造成交易上的糾紛。其次是法律規(guī)范不周和帳戶被盜用，共占 可見(jiàn)法律保護(hù)條文尚未建立前，網(wǎng)路下單的風(fēng)險(xiǎn)始終居高不下 【 10】 ，而網(wǎng)站安全等技術(shù)問(wèn)題大多可以自行克服所以風(fēng)險(xiǎn)較低。另外對(duì)于職員操守不佳所引起的相關(guān)犯罪反而較不擔(dān)心，訪談結(jié)果發(fā)現(xiàn)這是因?yàn)榫W(wǎng)路下單所需人力較少，彼此可以就近互相監(jiān)視的緣故。 網(wǎng)路下單安全 線上安全面 1. 一般性 2. 身分驗(yàn)證 3. 系統(tǒng)安全 4. 技術(shù)面 備份面 1. 備份規(guī)劃 2. 軟 /硬體備份 交易操作面 圖一、研究架構(gòu)證券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達(dá) 蕭富元 85 從表 4中發(fā)現(xiàn)目前實(shí)行網(wǎng)路下單安全所遭遇的最大困難分別是人才不足和技術(shù)更新太快，可見(jiàn)網(wǎng)際網(wǎng)路近年快速興起，相關(guān)人才普遍不足。 表 3 網(wǎng)路下單最主要風(fēng)險(xiǎn) 主要風(fēng)險(xiǎn) 樣本數(shù) 百分比 排名 線路中斷 5 客戶惡意違約 5 帳戶被盜用 4 法律規(guī)范不周 4 網(wǎng)站安全性不足 3 認(rèn)證公信力不足 3 交易內(nèi)容被竊取或修改 1 職員操守不佳 1 表 4 實(shí)行網(wǎng)路下單安全所遭遇的最大困難 最大困難 樣本數(shù) 百分比 排名 人才不足 9 技術(shù)更新太快 7 高階主管支持度不夠 3 經(jīng)費(fèi)不充裕 2 其他 2 其他的發(fā)現(xiàn)如下： 規(guī)模較大的券商嘗試開辦網(wǎng)路下單業(yè)務(wù)的意愿較高：其中綜合券商有 證券經(jīng)紀(jì)商 2家，占了 網(wǎng)路下單所需人數(shù)較傳統(tǒng)下單來(lái)的精簡(jiǎn)：相較于傳統(tǒng)至少 40人以上的傳統(tǒng)券商，負(fù)責(zé)處理網(wǎng)路下單人數(shù)有 410人之間。 對(duì)網(wǎng)路下單業(yè)務(wù)逐漸重視：有 券商另外成立網(wǎng)路業(yè)務(wù)部門來(lái)專門負(fù)責(zé)，券商的網(wǎng)路下單業(yè)務(wù)仍歸屬于其他部門來(lái)管理，。 網(wǎng)路下單使用族群仍以上班族為大宗占 這主要是因?yàn)榫W(wǎng)路的方便性與隱密性，解決了上班 族空暇時(shí)間有限與不想被外界發(fā)現(xiàn)的困擾。其次是學(xué)生族，占 可見(jiàn)良好的電腦基礎(chǔ)與上網(wǎng)經(jīng)驗(yàn)也有助于采用網(wǎng)路下單。 網(wǎng)路下單仍屬初期發(fā)展階段，成交總額有限：目前券商每天網(wǎng)路下單的總成交金額以 1000萬(wàn)以下居多，有 11家占 每天利用網(wǎng)路下單的委托總張數(shù)有一半在500張以下，平均每筆交易的成交金額不超過(guò) 20萬(wàn)。 大部分券商對(duì)自己的下單系統(tǒng)安全滿意度不高：覺(jué)得滿意的只有 顯示下單安全仍有很大的改善空間。 使用不習(xí)慣是一般大眾不使用網(wǎng)路下單最主要原因占 其次是網(wǎng)路不 二、 證券業(yè)網(wǎng)路下單稽核環(huán)境現(xiàn)況 從表 5調(diào)查網(wǎng)路下單稽核環(huán)境現(xiàn)況中，發(fā)現(xiàn)網(wǎng)路下單系統(tǒng)大部分為委外開發(fā)或技術(shù)合作，占 訪談結(jié)果結(jié)果發(fā)現(xiàn)這主要是受限于技術(shù)人力方面的限制。其他發(fā)現(xiàn)如下： 電腦稽核制度的建立仍有待加強(qiáng)：只有 券商有設(shè)置專門的電腦稽核人員或制度。定期舉辦安全訓(xùn)練的觀念仍不普及，只有 與主計(jì)處調(diào)查一致 【 3】 。 缺乏第二驗(yàn)證碼：除了登入密碼以外，只有 用安全認(rèn)證磁片， 際下單時(shí)需要另外一組交易密碼，這可能與目前仍無(wú)公認(rèn)的認(rèn)證中心 (關(guān)。 密碼控管不嚴(yán)格：統(tǒng)計(jì)結(jié)果只有 求客戶定期更改密碼， 系統(tǒng)強(qiáng)迫更改密碼，大部份券商均交由客戶自行決定，沒(méi)有券商采用不同等級(jí)的密碼來(lái)區(qū)別其授信交易的等級(jí)，當(dāng)客戶帳號(hào)長(zhǎng)期不用時(shí)，密碼仍永久有效。訪談結(jié)果發(fā)現(xiàn)因?yàn)榫W(wǎng)路下單券商是營(yíng)利性質(zhì)，需要考慮客戶使用方便性，盡量減少客戶管理密碼所造成的困擾，但也因此提高密碼外泄機(jī)率。 密碼本身安全性有待加強(qiáng)：只有 防止新密碼與生日、身分證號(hào)碼、電話號(hào)碼、資訊管理展望 第卷 第期 民國(guó)八十八年七月 86 帳號(hào)等身分識(shí)別代號(hào)部分或完全相同， 用 破解密碼工具來(lái)測(cè)試密碼的安全性。 缺乏適當(dāng)安全技術(shù)：在單次密碼 (與認(rèn)證磁片的防拷備也因目前無(wú)適當(dāng)技術(shù)問(wèn)題而無(wú)法達(dá)成。 表 5 網(wǎng)路下單稽核環(huán)境現(xiàn)況線上安全面 一般性 樣本數(shù) 百分比 券商在網(wǎng)路下單的安全政策方面的規(guī)定： 明確的安全管理?xiàng)l文及罰責(zé) 13 50 有設(shè)置專門的電腦稽核人員或電腦稽核制度 8 客戶的帳號(hào)密碼與交易資料，有安全相關(guān)條例來(lái)加強(qiáng)規(guī)范管理 18 戶和公司兩者的權(quán)利與責(zé)任清楚訂定于契約中 22 責(zé)下單系統(tǒng)的相關(guān)人員皆有工作指導(dǎo)手冊(cè)，并隨時(shí)更新 10 上下單系統(tǒng)的操作有安全程序來(lái)規(guī)范 21 期為網(wǎng)路下單的員工舉辦安全訓(xùn)練 5 網(wǎng)路安全方面所做的定期或不定期檢查 檢查是否有交易資料未入帳戶，或交易訊息失真、重復(fù)、延遲等異常情況發(fā)生 21 查網(wǎng)路運(yùn)作及伺服器操作狀況，偵測(cè)線路 /數(shù)據(jù)機(jī)錯(cuò)誤 23 查公司對(duì)外撥接線路或網(wǎng)路通道是否安全 13 50 檢查網(wǎng)路監(jiān)視器材是否有上鎖，監(jiān)視記錄是否有遭到竊改 10 有可疑的侵犯網(wǎng)路 安全事件最后會(huì)呈報(bào)給安全管理者 13 50 身分驗(yàn)證 樣本數(shù) 百分比 身份識(shí)別與驗(yàn)證方面 每一個(gè)客戶都有唯一一個(gè)帳號(hào)且需要密碼驗(yàn)證 26 100 在登錄不同系統(tǒng)譬如線上交易統(tǒng)和即時(shí)報(bào)價(jià)系統(tǒng)時(shí)，使用不同密碼 9 一次下單交易或查詢帳戶資料時(shí)都需要重新身分驗(yàn)證 15 客戶有授信大量金額交易的資格時(shí)加強(qiáng)驗(yàn)證的方式： 采用不同等級(jí)密碼 0 0 增加更改密碼頻率 1 客戶做較詳細(xì)的詢問(wèn)，確認(rèn)無(wú)誤后才能交易 10 登錄或驗(yàn)證密碼以外，還有那些第二驗(yàn) 證碼： 安全認(rèn)證磁片 (公開鑰匙系統(tǒng)的私鑰 ) 10 際下單時(shí)需要另外一組交易密碼 4 全認(rèn)證磁片保護(hù)控制 安全認(rèn)證磁片的制作和公司內(nèi)部傳送過(guò)程均有保密安全控制，避免被職員竊取或盜用 9 90 安全認(rèn)證磁片的交付方式須為現(xiàn)場(chǎng)簽收或郵寄回函卡簽章或掛號(hào)等證明客戶本人簽收 8 80 安全認(rèn)證磁片有防拷備措施 0 0 安全認(rèn)證磁片有一定的有效期限，到期須從新申請(qǐng)更換 5 50 在產(chǎn)生客戶密碼的過(guò)程中，所采取的保護(hù)控制 密碼是由客戶自訂產(chǎn)生或電腦隨機(jī)選取 23 客戶自訂密碼的填寫與輸入過(guò)程或隨機(jī)選取產(chǎn)生的密碼條，其印出與傳送程均有安全保密控制 15 確告知客戶，注意保管密碼避免外泄 19 戶在更改密碼時(shí)有下列檢查： 防止新舊密碼完全相同 11 止新密碼和生日、身分證號(hào)碼、電話號(hào)碼、帳號(hào)等完全或部分相同 1 查新密碼長(zhǎng)度是否足夠譬如至少四字以上 19 更改密碼方面，有下列控制： 定期或不定期提示更改密碼 2 系統(tǒng)強(qiáng)迫更改密碼 1 第一次使用時(shí)強(qiáng)迫更改密碼 17 次下單時(shí)密碼就變更一次 0 0 要求客戶更改密碼的頻率為：?jiǎn)芜x題 一個(gè)月 0 0 三個(gè)月 2 年 0 0 不要求 24 于密碼輸入的安全措施 連續(xù)輸入錯(cuò)誤密碼達(dá)多次以上時(shí)，密碼會(huì)自動(dòng)鎖住失效 21 入密碼時(shí)，密碼以 ” * ”號(hào)或其他替代字元顯示 22 公司內(nèi)部方面，對(duì)密碼的管理，有下列控制： 有書面的密碼發(fā)行及維護(hù)程序 10 客戶忘記密碼時(shí)，需要到現(xiàn)場(chǎng)簽章申請(qǐng)或經(jīng)過(guò)其他認(rèn)證手續(xù)后才可以發(fā)給新的密碼 24 客戶帳號(hào)長(zhǎng)期不用時(shí)譬如三個(gè)月，密碼會(huì)自動(dòng)鎖住失效，須重從新申請(qǐng) 0 0 當(dāng)線上下單相關(guān)人員職務(wù)變更或停職時(shí)，其所屬帳號(hào)密碼應(yīng)立刻刪除 14 上下單相關(guān)人員嚴(yán)禁使用同一個(gè)密碼 14 有安全管理者能夠存取密碼檔 15 碼檔有使用單向 (數(shù)加密 10 線上下單中，每次上線時(shí)的提示有 提醒上一次登入與登出時(shí)間 3 供不成功上線記錄檢視 3 上下單在網(wǎng)路訊息傳輸上，有下列控制： 在登錄時(shí)所輸入的帳號(hào)和密 碼均有加密處理 23 客戶交易資料的連接有加密以外，公司內(nèi)部網(wǎng)路的連結(jié)傳輸過(guò)程也均有加密 9 筆交易資料及訊息傳遞均有稽核軌跡 18 網(wǎng)路中斷時(shí)，有書面化的復(fù)原程序來(lái)重新建立連結(jié) 7 網(wǎng)路中斷重新連結(jié)時(shí)，客戶需重新登錄或身分驗(yàn)證 20 系統(tǒng)安全 樣本數(shù) 百分比 貴卷商的線上下單交易系統(tǒng)的開發(fā)方式為： 自行開發(fā) 4 外處理 21 上下單伺服器的實(shí)體安全控制有： 對(duì)電腦機(jī)房的進(jìn)出加以管制譬如識(shí)別證刷卡 22 腦機(jī)房有裝設(shè)錄影機(jī)錄影監(jiān)視 4 工作人員進(jìn)出電腦機(jī)房時(shí)，對(duì)磁片報(bào)表與其他有形資產(chǎn)的攜帶加以管制 5 服器鍵盤或主機(jī)有開關(guān)上鎖 6 服器鄰近區(qū)域，有裝置消防偵測(cè)及滅火設(shè)備 23 上下單伺服器的使用控制有： 對(duì)操作員與管理者的操作活動(dòng)加以記錄 18 定螢?zāi)槐Ｗo(hù)程式，并有密碼保護(hù) 16 離開電腦時(shí)，需將櫥柜上鎖并清除所有的工作資料，避免被別人看見(jiàn) 5 關(guān)線上下單交易系統(tǒng)文件列為機(jī)密文件來(lái)管理 10 統(tǒng)管理者禁止從遠(yuǎn)端登錄 16 上下單交易系統(tǒng)會(huì)自動(dòng)斷線的情況有： 當(dāng)客戶端電腦有相當(dāng)長(zhǎng)一段時(shí)間沒(méi)有任何操作時(shí) 12 客戶連續(xù)輸入錯(cuò)誤密碼達(dá)多次以上時(shí) 19 線上下單交易系統(tǒng)中的記錄檔 (： 硬體失敗的記錄檔 18 體錯(cuò)誤記錄檔和重新傳輸記錄檔 22 戶登入及登出系統(tǒng)記錄檔 ( 23 上下單交易系統(tǒng)為確定輸入的交易資料有效，所作的檢查有： 字元檢查 可空白、只限數(shù)字輸入 ) 23 位檢查 入數(shù)值是否合理、是否有范圍或上限、下限的限制 ) 24 關(guān)線上下單交易系統(tǒng)安全的控制還有： 對(duì)重要檔案 (譬如客戶帳號(hào)、交易記錄 )加密并有檔案屬性保護(hù) 12 用加密保護(hù)時(shí)，對(duì)加密鑰匙有適當(dāng)管制軟體錯(cuò)誤記錄檔和重新傳輸記錄檔 7 最小權(quán)限原則 16 技術(shù)面 樣本數(shù) 百分比 線上下單所使用的加密方法有： 證券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達(dá) 蕭富元 87 包含 18 包含 7 開金鑰 ) 5 開金鑰 ) 1 開金鑰 ) 3 上下單所使用的公開金鑰的長(zhǎng)度為：?jiǎn)芜x題 5124 0245 上下單所使用的秘密金鑰的長(zhǎng)度為：?jiǎn)芜x題 表 5 網(wǎng)路下單稽核環(huán)境現(xiàn)況 (續(xù) ) 406 6 28 12 券 商所使用的認(rèn)證機(jī)制 (： (單選題 ) 自行設(shè)立認(rèn)證中心 9 90 委托第三者來(lái)對(duì)客戶認(rèn)證 1 10 貴券商防火墻 (擁有的功能有： 封包過(guò)濾 (25 用代理伺服器 (15 路代理伺服器 (7 證伺服器 (16 了防火墻外，還使用其他安全工具： 使用網(wǎng)路查核工具 ，如 3 用密碼查核工具，如 2 用網(wǎng)路偵測(cè)入侵工具 (5 設(shè)防毒程式 20 份管理面 備份規(guī)劃 樣本數(shù) 百分比 在線上下單交易系統(tǒng)中，負(fù)責(zé)資料備份的相關(guān)人員與職務(wù)有： 安全管理者負(fù)責(zé)資料備份與定期更新備份計(jì)劃 21 單系統(tǒng)操作員和系統(tǒng)程式設(shè)計(jì)師定期檢查備份設(shè)施的相容性與備份程式的更新 14 階主管定期檢視資料備份計(jì)劃 12 線上下 單交易系統(tǒng)中，資料備份 (劃有下列何種規(guī)定： 明確訂定交易相關(guān)資料的備份頻率 22 確訂定各項(xiàng)備份資料的保存期限 18 書面的資料備份程序 10 商負(fù)責(zé)提供訓(xùn)練支援 11 線上下單系統(tǒng)中，資料復(fù)原 (劃有下列何種規(guī)定： 明確訂定資料復(fù)原的優(yōu)先順序 18 確訂定資料復(fù)原時(shí)可接受的最長(zhǎng)等待時(shí)間 5 等待時(shí)間過(guò)久時(shí)有可替代的方案 10 書面的資料復(fù)原程序 11 原 程序手冊(cè)易于取得 7 商負(fù)責(zé)提供訓(xùn)練支援 13 50 軟 /硬體備份 樣本數(shù) 百分比 在線上下單交易系統(tǒng)中，有關(guān)硬體的備份設(shè)備有： 下單伺服器有裝設(shè)不斷電系統(tǒng) (25 腦機(jī)房有裝設(shè)另外一組備用電源以便在長(zhǎng)期停電時(shí)可繼續(xù)保持系統(tǒng)運(yùn)作 20 裝一些額外的電腦或網(wǎng)路設(shè)備以便在故障時(shí)可立即替代更換 15 備用網(wǎng)路以便在網(wǎng)路中斷時(shí)可替代使用 15 時(shí)報(bào)價(jià)系統(tǒng)采用雙主機(jī)以提供永不中斷處理 6 單伺服器采用雙主機(jī)以提供永不中 斷處理 8 線上下單交易系統(tǒng)中，對(duì)資料與軟體的備份包括： 客戶帳號(hào)資料與密碼檔 23 易資料檔 24 戶登入登出和交易資料等記錄檔 21 上下單交易系統(tǒng)軟體，并隨時(shí)更新 20 資料備份的測(cè)試控制有： 每年定期有資料備份演練 7 個(gè)月定期測(cè)試備用電源或不斷電系統(tǒng) 15 備份資料的存放控制有： 定期對(duì)備份資料做讀取測(cè)試 4 份磁帶或磁片有防寫保護(hù)措施 12 備份資料的存取資格加以限 制，只能由安全管理者等相關(guān)授權(quán)人員來(lái)負(fù)責(zé) 16 號(hào)密碼檔和交易資料檔等重要檔案的備份放在保管室或保險(xiǎn)箱中 16 易操作面 交易操作 樣本數(shù) 百分比 對(duì)于線上下單的初次使用者，提供的輔助資訊有： 操作手冊(cè) 22 上使用說(shuō)明 25 上下單開課教導(dǎo) 4 券商對(duì)網(wǎng)路交易帳戶的報(bào)名方式為：?jiǎn)芜x題 一律需要到現(xiàn)場(chǎng)報(bào)名 20 有傳統(tǒng)帳戶者，可以先在線上報(bào)名再委托通信開網(wǎng)路戶 6 上下單系統(tǒng)所提供的記錄查詢有： 委 托歷史記錄查詢 18 交歷史記錄查詢 25 券余額歷史記錄查詢 22 保庫(kù)存歷史記錄查詢 25 行帳戶股款歷史記錄查詢 10 帳單歷史記錄查詢 23 戶活動(dòng)登入登出、修改密碼等記錄查詢 6 上下單對(duì)顧客所提供的保障措施有： 客戶可自行將下單交易資料備份存檔，作為以后交易紛爭(zhēng)時(shí)的憑據(jù) 4 客戶下單完畢后，公司即時(shí)印出網(wǎng)路下單的書面委托書并交由營(yíng)業(yè)員簽章，作為以后交易紛爭(zhēng)時(shí)的憑據(jù) 20 供帳戶保險(xiǎn)例如帳戶被盜用的損失 1 供專門的網(wǎng)路營(yíng)業(yè)負(fù)責(zé)員接單 18 供電話備援交易系統(tǒng)，以便下單伺服器當(dāng)機(jī)時(shí)使用 20 銀行帳戶股款不足時(shí)，立刻以電話或 知補(bǔ)繳 16 融資融券的整戶擔(dān)保維持率不足時(shí)，立刻以電話或知回補(bǔ) 16 準(zhǔn)備委托下單時(shí)，對(duì)委托書的確認(rèn)動(dòng)作有： 買 /賣委托書以不同顏色紅 /藍(lán)來(lái)區(qū)別 21 完委托書后，送出前重新顯示確認(rèn)一次 23 出委托書后，下單伺服 器將所收到的委托書寄回給客戶再次確認(rèn)，確認(rèn)無(wú)誤才生效 8 下單伺服器收到委托書時(shí)，電腦所做的檢查有： 當(dāng)委托賣出非券賣時(shí)，檢查此筆委托的庫(kù)存股票是否有足夠 26 100 當(dāng)限價(jià)委托時(shí)，檢查買賣價(jià)格是否在漲跌停板的范圍之內(nèi) 26 100 當(dāng)買賣全額交割股或管理股時(shí)，檢查客戶當(dāng)時(shí)是否有足夠資金與股票 18 買賣警示股時(shí)，提出警告通知或禁止線上交易 24 線上成交金額超過(guò)當(dāng)天最高限額時(shí)，拒絕接受或檢查客戶是否有超額交易的授權(quán) 25 信用交易融資、 融券所做的檢查有： 檢查客戶是否有信用交易資格 25 查客戶的交易金額是否符合其信用等級(jí) 24 查公司股票是否已經(jīng)禁止或公告暫停信用交易 25 限資、限券時(shí)，檢查券商的資券配額是否足夠客戶所需 25 委托下單完畢時(shí)，提供的通知服務(wù)有： 委托成功或失敗訊息顯示 26 100 下單伺服器將確認(rèn)后的委托書內(nèi)容重新顯示一次 20 托書即時(shí)處理狀查詢 24 委托成交時(shí)，提供的通知服務(wù)有： 顯示單筆委托的即時(shí)成交狀況 23 交結(jié)果即時(shí)畫面顯示通知 11 交結(jié)果立刻以電子郵件 (知 13 50 成交結(jié)果當(dāng)天限時(shí)掛號(hào)通知 1 交回報(bào)查詢 26 100 每月對(duì)帳單郵遞通知 21 取消委托、委托改價(jià)或改量時(shí)，會(huì)： 對(duì)原委托書內(nèi)容重新顯示以提供比較修改 20 供緊急聯(lián)絡(luò)電話，以便網(wǎng)路中斷或延遲時(shí)使用 14 消、改量后的委托結(jié)果有畫面顯示通知 20 客戶發(fā)生違約交割時(shí)，貴券商會(huì)： 立刻通知客戶 23 刻鎖住客戶 帳號(hào)，停止任何使用 21 訊管理展望 第卷 第期 民國(guó)八十八年七月 88 線上交易每日買賣最高成交金額限制為：?jiǎn)芜x題 300萬(wàn)以下 4 00萬(wàn)以下 18 000萬(wàn)以下 0 0 無(wú) 4 券業(yè)網(wǎng)路下單稽核環(huán)境之研究黃明達(dá) 蕭富元 89 客戶無(wú)法自行檢查異常登入狀況：只有 于每次上線時(shí)提示上次登入或登出時(shí)間和提示不成功登入記錄。 資料復(fù)原時(shí)間缺乏上限：當(dāng)資料損毀需要備份復(fù)原時(shí)，只有 訂最長(zhǎng)的等待時(shí)間， 定期對(duì)備份資料作讀取測(cè)試。這對(duì)線上即時(shí)系統(tǒng)來(lái)說(shuō)可能造成缺乏時(shí)效及備份資料不正確等嚴(yán)重問(wèn)題。 對(duì)客戶交易保障有待加強(qiáng) ：只有 讓客戶自行將下單交易資料備份存檔，作為以后紛爭(zhēng)的憑據(jù)， 提供帳戶保險(xiǎn)，對(duì)帳戶被盜用等意外損失加以賠償， 將成交結(jié)果當(dāng)天限時(shí)掛號(hào)通知。 大部分券商都有每日買賣最高成交金額的上限：為了減低網(wǎng)路下單的風(fēng)險(xiǎn)，有 券商限制每日線上交易最高成交金額不得超過(guò) 500萬(wàn)元，只有 有限制，改以財(cái)務(wù)證明的三分之一為限。 在與安全稽核無(wú)直接相關(guān)的項(xiàng)目中，另外有其他發(fā)現(xiàn)： 系統(tǒng)廠商由英特連和精業(yè)寡占，各占了 9家和 7家，共占了 證券業(yè)網(wǎng)路下單所使用的通訊協(xié)定大多數(shù)為 全傳輸 協(xié)定。 子交易協(xié)定(因機(jī)制太過(guò)繁瑣，使用不方便而無(wú)人采用 【 9】 。 在使用功能方面，網(wǎng)路下單除了普通限價(jià)委托功能以外，有 供市價(jià)委托，可見(jiàn)證券網(wǎng)路下單仍以中長(zhǎng)期投資為主，不鼓勵(lì)作當(dāng)日沖銷短線進(jìn)出， 網(wǎng)路下單券商提供零股交易， 供承銷申購(gòu)， 供停損委托。 在站上資源提供方面，網(wǎng)路下單所提供的服務(wù)有自選股即時(shí)行情，股市即時(shí)分析及其他國(guó)內(nèi)外金融資訊，股價(jià)歷史查詢，以及 供投資組合模擬 試算。 表 6為券商在不同構(gòu)面的填答率，其中交易操作面因直接關(guān)系到下單交易的安全性，會(huì)立刻反映在交易結(jié)果上，因此填答率最高。而在電腦運(yùn)作的系統(tǒng)安全與軟 /體備份方面，則因券商在原本的后臺(tái)交易系統(tǒng)均有相關(guān)經(jīng)驗(yàn)，故引進(jìn)新的網(wǎng)路交易系統(tǒng)時(shí)并無(wú)太大問(wèn)題。至于安全技術(shù)面和身分驗(yàn)證則因?yàn)闀r(shí)間、人力不足與客戶方便性的考量，故平均填答率遠(yuǎn)低于其他構(gòu)面。 表 6 網(wǎng)路下單稽核構(gòu)面的填答率 交叉項(xiàng)目 填答率 排名 交易操作面 1 備份管理面：軟 /硬體備份 2 線上安全面：系統(tǒng)安全 3 線上安全面：一般性 4 備份管理面：備份規(guī)劃 5 線上安全面：身分驗(yàn)證 6 線上安全面：技術(shù)面 7 三、 分類 本研究嘗試區(qū)分這 26家網(wǎng)路下單券商的優(yōu)劣，在樣本數(shù)的有限的情況下，為了有等級(jí)的差異，將所有券商的稽核結(jié)果分成三群，以百分均位法來(lái)取舍。于是針對(duì)每一項(xiàng)稽核項(xiàng)目計(jì)分，除了少數(shù)幾題單選題因有程度之別改以區(qū)間比較 (式來(lái)計(jì)算外，其余大多數(shù)稽核項(xiàng)目以均權(quán)的方式予以加總得到總分再加以排名，取前 1/3為序?yàn)?果如表 7。 表 7 證券業(yè)網(wǎng)路下單統(tǒng)計(jì)分類表 等級(jí) 家數(shù) 平均 最大值 最小值 9 級(jí) 9 級(jí) 8 、 交叉分析 資訊管理展望 第卷 第期 民國(guó)八十八年七月 90 為了更深入了解相關(guān)因素與稽核等級(jí)的關(guān)系，本研究進(jìn)行彼此的交叉分析。由于樣本數(shù)過(guò)少，且使用卡方檢定有次數(shù)上的限制，因此將相關(guān)的項(xiàng)目次數(shù)合并后才進(jìn)行檢定。由于篇幅有限，相關(guān)表格無(wú)法一一列出。 表 8為基本資料與稽核等級(jí)的交叉分析表，發(fā)現(xiàn)沒(méi)有任何項(xiàng)目達(dá)到顯著水準(zhǔn)， 也就是沒(méi)有因素和稽核等級(jí)有直接相關(guān)，這可能是因?yàn)殚_辦網(wǎng)路下單的時(shí)間有限，所以各家券商仍處于摸索嘗試狀態(tài)，故尚未產(chǎn)生直接影響稽核等級(jí)的因素。 為了解構(gòu)面間與稽核等級(jí)的關(guān)聯(lián)性，于是再將每個(gè)構(gòu)面所得的分?jǐn)?shù)加以排名分群，因?yàn)榭ǚ綑z定次數(shù)上的限制，因此只能分成兩群，取前 1/2為高分群，后 1/2為低分群，并與稽核等級(jí)做交叉分析如表 9。發(fā)現(xiàn)稽核等級(jí)較佳的券商，在身分驗(yàn)證、備份規(guī)劃、軟硬體備份表現(xiàn)較佳，而系統(tǒng)安全、技術(shù)面和交易操作面因目前券商所用的下單系統(tǒng)大部分為委外開發(fā)，在系統(tǒng)廠商有限的情況下，因而差異有限。 表 8 基本資料與稽核等級(jí)的交叉分析表 交叉項(xiàng)目 卡方值 線上下單人員編制 上下單人員數(shù)目 上下單每日總成交金額 發(fā)生嚴(yán)重問(wèn)題 要風(fēng)險(xiǎn) 意度 ： *表 =. 05， *表 =. 01 表 9 構(gòu)面與稽核等級(jí)的交叉分析表 交叉項(xiàng)目 卡方值 線上安全面：一般性 線上安全面：身分驗(yàn)證 線上安全面：系統(tǒng)安全 上安全面：技術(shù)面 份管理面：備份規(guī)劃 備份管理面：軟 /硬體備份 交易操作面 ： *表 =. 05， *表 =. 01 為了更進(jìn)一步了解全部 161項(xiàng)的稽核項(xiàng)目與稽核等級(jí)之間的關(guān)系，于是作彼此間獨(dú)立性檢定的交叉分析。經(jīng)過(guò)篩選后，其中關(guān)聯(lián)程度較高的有 20項(xiàng)如表 10，也就是 A、 B、示稽核等級(jí)較佳的券商達(dá)成明確 訂定安全管理?xiàng)l文及罰責(zé)等 20項(xiàng)稽核項(xiàng)目的比率愈高。 表 10 稽核項(xiàng)目與稽核等級(jí)的交叉分析表 交叉項(xiàng)目 卡方值 一般性 明確的安全管理?xiàng)l文及罰責(zé) 對(duì)客戶的帳號(hào)密碼與交易資料，有安全相關(guān)條例來(lái)加強(qiáng)規(guī)范管理 檢查網(wǎng)路運(yùn)作及伺服器操作狀況，偵測(cè)線路 /數(shù)據(jù)機(jī)錯(cuò)誤 檢查公司對(duì)外撥接線路或網(wǎng)路通道是否安全 身分驗(yàn)證 在登錄不同系統(tǒng)譬如線上交易統(tǒng)和即時(shí)報(bào)價(jià)系統(tǒng)時(shí)，使用不同密碼 明確告知客戶，注意保管密碼避免外泄 定期或不定期提示更改密碼 有書面的密碼發(fā)行及維護(hù)程序 當(dāng)線上下單相關(guān)人員職務(wù)變更或停職時(shí)，其所屬帳號(hào)密碼應(yīng)立刻刪除 線上下單相關(guān)人員嚴(yán)禁使用同一個(gè)密碼 系統(tǒng)安全 貴卷商的線上下單交易系統(tǒng)的開發(fā)方式為 當(dāng)離開電腦時(shí)，需將櫥柜上鎖并清除所有工作資料，避免被別人看見(jiàn) 有關(guān)線上下單交易的系統(tǒng)文件列為機(jī)密文件來(lái)管理 有硬體失敗的記錄檔 備份規(guī)劃 高階主管定期檢視資料備份計(jì)劃 有書面的資料備份程序 有書面的資料復(fù)原程序 軟/硬體備份 有備用網(wǎng)路以便在網(wǎng)路中斷時(shí)可替代使用 有備份客戶帳號(hào)資料與密碼檔 每年定期有資料備份演練 定期對(duì)備份資料做讀取測(cè)試 帳號(hào)密碼檔和交易資料檔等重要檔案的備份放在保管室或保險(xiǎn)箱中 注： *表 =. 05， *表 =. 01 五、等級(jí)差異表 為了更進(jìn)一步了解不同等級(jí)之間的差異，作為券商將來(lái)改善的參考，于是另外針對(duì)等級(jí) A、 B 與稽核項(xiàng)目作