內(nèi)部控制

InternalControlling

為何需要控制？

確保目標(biāo)之達(dá)成降低意外之風(fēng)險(xiǎn)提升對(duì)丑聞之察覺(jué)股東著重公司治理管理當(dāng)局之法律責(zé)任高度的管理與員工舞弊事件企業(yè)之威脅與控制『威脅』指不利之潛在事情或情況，若實(shí)際發(fā)生時(shí)，

將對(duì)企業(yè)造成傷害及損失『控制』指對(duì)于對(duì)象、有機(jī)體或系統(tǒng)之活動(dòng)加以限制

或引導(dǎo)之過(guò)程『風(fēng)險(xiǎn)』指威脅實(shí)際發(fā)生之可能性，可以0~1之機(jī)率值

來(lái)表示『暴險(xiǎn)度』指威脅實(shí)際發(fā)生時(shí)，所造成之企業(yè)損失企業(yè)在規(guī)劃與設(shè)計(jì)相關(guān)控制前，應(yīng)先了解其所面臨之威脅，才能制定出一套有效之控制制度信息系統(tǒng)面臨之威脅(一)企業(yè)在規(guī)劃與設(shè)計(jì)信息系統(tǒng)相關(guān)控制前，應(yīng)先了解其所面臨之威脅，才能制定出一套有效之控制制度信息系統(tǒng)面臨之主要威脅為：天然及政治災(zāi)害軟件錯(cuò)誤與設(shè)備失靈無(wú)心之錯(cuò)誤有意之舞弊或犯罪信息系統(tǒng)面臨之威脅(二)根據(jù)調(diào)查與統(tǒng)計(jì)，信息系統(tǒng)最大之風(fēng)險(xiǎn)與損失來(lái)自于員工無(wú)心之錯(cuò)誤(約占65%)

，其次為天然災(zāi)害之威脅，再其次為舞弊與犯罪信息系統(tǒng)面臨之潛在威脅，近年有增無(wú)減，主要原因之ㄧ為主從式局域網(wǎng)絡(luò)(企業(yè)內(nèi)網(wǎng)絡(luò))與廣域網(wǎng)(企業(yè)間網(wǎng)絡(luò))之普及化，因而很多企業(yè)更重視信息系統(tǒng)之安全控管一般之企業(yè)曝險(xiǎn)錯(cuò)誤之簿記錯(cuò)誤之會(huì)計(jì)處理企業(yè)停業(yè)錯(cuò)誤之管理決策舞弊與侵占、盜用法令之處罰超額成本資源之損失與破壞不利之競(jìng)爭(zhēng)力舞弊與控制『舞弊』：蓄意之行為，或不忠實(shí)之意圖去獲取不合理或違法之利益管理當(dāng)局有責(zé)任去預(yù)防與揭露舞弊行為『控制系統(tǒng)』：協(xié)助管理當(dāng)局達(dá)成上述任務(wù)控制下之人性面與反作用主管承受預(yù)算之壓力控制造成短視過(guò)分強(qiáng)調(diào)短期因素過(guò)分注重容易衡量之因素有些控制造成權(quán)術(shù)運(yùn)用控制可能引起內(nèi)部沖突內(nèi)部控制的定義(一)根據(jù)我國(guó)審計(jì)準(zhǔn)則公報(bào)#5，內(nèi)部控制系指受查者之組織規(guī)劃及其所采用之各種協(xié)調(diào)方法與措施，以保護(hù)資產(chǎn)安全、提高會(huì)計(jì)信息之可靠性及完整性、增進(jìn)經(jīng)營(yíng)效率、并促使遵行管理政策，所實(shí)行的任何行動(dòng)內(nèi)部控制的定義(二)根據(jù)COSO(CommitteeofSponsoringOrganizationsofTreadwayCommission)研究報(bào)告，內(nèi)部控制系指公司董事會(huì)、管理當(dāng)局、及其部屬為了合理保證下列控制目標(biāo)之達(dá)成，而實(shí)行的程序：（1）營(yíng)運(yùn)的效果與效率（2）財(cái)務(wù)報(bào)導(dǎo)的可靠性（3）相關(guān)法令與規(guī)章的遵循內(nèi)部控制的定義(三)基本觀念：內(nèi)部控制是一種過(guò)程內(nèi)部控制的有效運(yùn)作，受到人的影響，包括董事會(huì)、管理階層及其他人員內(nèi)部控制設(shè)計(jì)之目的在于達(dá)成組織之目標(biāo)內(nèi)部控制只能合理保證目標(biāo)之達(dá)成內(nèi)部控制的基本觀念(四)企業(yè)實(shí)施內(nèi)部控制之前，應(yīng)先建立適當(dāng)?shù)膬?nèi)部控制架構(gòu)。內(nèi)部控制架構(gòu)系指組織建立的政策與程序，以合理保證組織特定目標(biāo)的達(dá)成。在設(shè)計(jì)內(nèi)部控制時(shí)，必須考慮相關(guān)控制程序的成本與效益。若要求絕對(duì)保證組織目標(biāo)的達(dá)成

，則會(huì)使內(nèi)部控制成本過(guò)高，超過(guò)其所能產(chǎn)生的效益（也就是邊際成本大于邊際效益）。因此，內(nèi)部控制的設(shè)計(jì)通常以「合理保證」為目標(biāo)。內(nèi)部控制的基本觀念(五)企業(yè)在設(shè)計(jì)內(nèi)部控制程序之前，應(yīng)先確認(rèn)其相關(guān)的控制目標(biāo)，而控制目標(biāo)又與營(yíng)運(yùn)目標(biāo)及其所面臨的潛在威脅有關(guān)。內(nèi)部控制制度的設(shè)計(jì)應(yīng)與組織的目標(biāo)相結(jié)合，并合理保證將企業(yè)所面臨的威脅與風(fēng)險(xiǎn)降到可以接受的水平。內(nèi)部控制之重要性降低錯(cuò)誤及舞弊之可能性減少違法事件之發(fā)生減低企業(yè)失敗之機(jī)率提高企業(yè)之競(jìng)爭(zhēng)力

監(jiān)視組織控制系統(tǒng)之運(yùn)作內(nèi)稽主要功能計(jì)算機(jī)化信息系統(tǒng)內(nèi)部控制的

基本觀念(一)計(jì)算機(jī)化數(shù)據(jù)處理之主要特點(diǎn)：

利用計(jì)算機(jī)產(chǎn)生多樣化信息計(jì)算機(jī)化信息系統(tǒng)與人工信息系統(tǒng)之差別：

(1)交易(稽核)軌跡僅短暫保存或以計(jì)算機(jī)可以讀取之形式

保存

(2)事務(wù)處理過(guò)程由計(jì)算機(jī)程序控制，具有一致性，可避免

人為錯(cuò)誤(但程序錯(cuò)誤將產(chǎn)生事務(wù)處理錯(cuò)誤)(3)原人工分工改為計(jì)算機(jī)集中處理，故原分工達(dá)成之控制

目標(biāo)須以其他控制措施取代計(jì)算機(jī)化信息系統(tǒng)內(nèi)部控制的基本觀念(二)

(4)數(shù)據(jù)處理過(guò)程中人工的介入大幅減少，計(jì)算機(jī)發(fā)生錯(cuò)誤及利用計(jì)算機(jī)進(jìn)行的舞弊被發(fā)現(xiàn)的可能性降低。另外，應(yīng)用程序于設(shè)計(jì)及修正過(guò)程所產(chǎn)生的錯(cuò)誤，也可能長(zhǎng)久存在而未被發(fā)覺(jué)(5)計(jì)算機(jī)系統(tǒng)提供許多數(shù)據(jù)分析工具，可協(xié)助管理者覆核及監(jiān)督系統(tǒng)運(yùn)作，進(jìn)而加強(qiáng)內(nèi)部控制(6)有些交易可能由計(jì)算機(jī)自動(dòng)啟始或執(zhí)行，這些交易的授權(quán)可能因而缺乏書面的證據(jù)或在管理者接受系統(tǒng)設(shè)計(jì)時(shí)就已確認(rèn)(7)計(jì)算機(jī)處理可能產(chǎn)生一些人工處理所需要的報(bào)表和其他輸出，因此，其他控制的效果有賴于計(jì)算機(jī)處理控制的完整性與正確性。例如：計(jì)算機(jī)產(chǎn)生的例外報(bào)告是否正確，將影響人工復(fù)核例外情況的有效性

計(jì)算機(jī)化信息系統(tǒng)內(nèi)部控制的

基本觀念(三)為了確保計(jì)算機(jī)化信息系統(tǒng)具備良好的控制環(huán)境，組織應(yīng)該：

確實(shí)控管信息系統(tǒng)開發(fā)項(xiàng)目

適當(dāng)分配計(jì)算機(jī)資源的所有權(quán)

落實(shí)計(jì)算機(jī)軟件、硬件及數(shù)據(jù)庫(kù)的保管與維護(hù)訂定與實(shí)施有效的計(jì)算機(jī)安全與災(zāi)害復(fù)原計(jì)劃內(nèi)部控制之目的根據(jù)美國(guó)及我國(guó)內(nèi)部稽核協(xié)會(huì)之內(nèi)部稽核執(zhí)業(yè)準(zhǔn)則公報(bào)第一號(hào)，內(nèi)部控制之目的包括：信息的可靠性與完整性政策、計(jì)劃、程序與法令之遵循資產(chǎn)之保障資源運(yùn)用之經(jīng)濟(jì)有效組織目的與營(yíng)運(yùn)或項(xiàng)目計(jì)劃目標(biāo)之達(dá)成具體之內(nèi)部控制目的以交易循環(huán)為例：交易業(yè)經(jīng)適當(dāng)授權(quán)已經(jīng)發(fā)生之交易業(yè)已記錄帳上所記錄之交易真實(shí)有效交易之科目分類適當(dāng)交易之評(píng)價(jià)適當(dāng)交易在適當(dāng)時(shí)點(diǎn)記錄交易之過(guò)賬、分類、匯總、調(diào)節(jié)、及報(bào)告之過(guò)程適當(dāng)內(nèi)部控制VS.八大交易循環(huán)銷貨及收款循環(huán)采購(gòu)及付款循環(huán)生產(chǎn)及存貨循環(huán)人事薪資循環(huán)融資循環(huán)投資循環(huán)固定資產(chǎn)管理循環(huán)研究發(fā)展循環(huán)銷售循環(huán)之威脅&暴險(xiǎn)與控制程序(一)威脅暴險(xiǎn)控制程序1)銷售給信用不

良之客戶收不到貨款壞帳增加由授信部門核準(zhǔn)

賒銷正確記錄客戶帳

款余額2)出貨錯(cuò)誤(含送

錯(cuò)商品、數(shù)量或

地點(diǎn))客戶抱怨不滿意銷貨服務(wù)增加商品輸送成

本調(diào)節(jié)銷貨單與出貨單應(yīng)用條形碼掃瞄器數(shù)據(jù)輸入之應(yīng)用控制銷售循環(huán)之威脅&暴險(xiǎn)與控制程序(二)威脅暴險(xiǎn)控制程序3)在途存貨失竊

存貨資產(chǎn)損失存貨高估限制實(shí)體接取內(nèi)部移轉(zhuǎn)文件化定期盤點(diǎn)存貨并調(diào)節(jié)

帳載記錄與實(shí)體庫(kù)存

之差異4)出貨時(shí)未開列

賬單應(yīng)收帳款低估收不到貨款資金周轉(zhuǎn)不靈送貨及賬單一起處理

，送貨單預(yù)先編號(hào)出貨時(shí)與對(duì)方收貨單

位確認(rèn)，到貨須回電

或回執(zhí)漏記時(shí)立即補(bǔ)寄賬單銷售循環(huán)之威脅&暴險(xiǎn)與控制程序(三)威脅暴險(xiǎn)控制程序5)開單錯(cuò)誤記錄不正確短、漏開發(fā)票，

被罰款增加訂單處理成

本揀貨單與銷貨單(金額,

數(shù)量)互相驗(yàn)證銷貨價(jià)格可先在計(jì)算機(jī)

輸入，避免人工輸入

錯(cuò)誤6)現(xiàn)金失竊資產(chǎn)損失資金周轉(zhuǎn)不靈責(zé)任分工，財(cái)務(wù)主管

不定期抽點(diǎn)工作輪調(diào)使用保險(xiǎn)設(shè)備定期調(diào)節(jié)銀行對(duì)賬單銷售循環(huán)之威脅&暴險(xiǎn)與控制程序(四)威脅暴險(xiǎn)控制程序7)更新應(yīng)收帳款

時(shí)，過(guò)賬錯(cuò)誤公司報(bào)表記錄錯(cuò)

誤影響短期償債能

力按時(shí)將總賬與明細(xì)賬

調(diào)節(jié)每月寄對(duì)賬單給客戶

，作雙向確認(rèn)8)數(shù)據(jù)毀損客戶資料外泄復(fù)原成本增加定期建立備份數(shù)據(jù)，

采異地備援訪問(wèn)控制(對(duì)用戶設(shè)

密碼與權(quán)限)建立災(zāi)難防護(hù)系統(tǒng)銷售循環(huán)之威脅&暴險(xiǎn)與控制程序(五)威脅暴險(xiǎn)控制程序9)績(jī)效不佳營(yíng)運(yùn)狀況出問(wèn)

題部門間缺乏溝

通、士氣低落流動(dòng)性較差，

出現(xiàn)現(xiàn)金短缺

，導(dǎo)致周轉(zhuǎn)不

靈定期與不定期編制

分析報(bào)告發(fā)放客戶意見回復(fù)

函，了解客戶滿意

度采購(gòu)循環(huán)之威脅&暴險(xiǎn)與控制程序(一)威脅暴險(xiǎn)控制程序1)缺貨生產(chǎn)延滯喪失

銷售機(jī)會(huì)生產(chǎn)設(shè)備閑置訂購(gòu)成本增加存貨控制系統(tǒng)采永續(xù)盤存制建立供貨商供貨與績(jī)

效報(bào)告分析重估安全存量2)采購(gòu)不需要之

貨品或采購(gòu)過(guò)

多存貨成本增加積壓現(xiàn)金，無(wú)

法有效利用存貨凈變現(xiàn)價(jià)

值降低評(píng)估實(shí)際存貨核準(zhǔn)購(gòu)買需求且設(shè)置

預(yù)先編號(hào)請(qǐng)購(gòu)單分析購(gòu)貨內(nèi)容及銷貨

成本組合采購(gòu)循環(huán)之威脅&暴險(xiǎn)與控制程序(二)威脅暴險(xiǎn)控制程序3)以過(guò)高價(jià)格購(gòu)

進(jìn)貨品成本過(guò)高預(yù)算控制訂立咨詢機(jī)制及進(jìn)貨

合約利用商品期貨避險(xiǎn)4)進(jìn)貨品質(zhì)不良造成生產(chǎn)延誤成本超支或滯

銷較難生產(chǎn)高附

加價(jià)值之產(chǎn)品檢視購(gòu)貨單據(jù)對(duì)廠商作績(jī)效分析加強(qiáng)對(duì)貨品之檢驗(yàn)采購(gòu)循環(huán)之威脅&暴險(xiǎn)與控制程序(三)威脅暴險(xiǎn)控制程序5)向不合格供應(yīng)

商訂購(gòu)質(zhì)量與價(jià)格之

不確定性退貨與售后服

務(wù)之不確定性無(wú)法建立長(zhǎng)久

合作關(guān)系訂購(gòu)單先經(jīng)批準(zhǔn)限制供貨商名單須有

經(jīng)正式授權(quán)，若有變

動(dòng)須經(jīng)批準(zhǔn)加強(qiáng)采購(gòu)部門內(nèi)控6)收取回扣可能買到次級(jí)

品高價(jià)買入商品影響公司權(quán)益訂購(gòu)人員輪調(diào)、定期

休假請(qǐng)購(gòu)、訂購(gòu)、出納人

員充分分工明文禁止收取回扣采購(gòu)循環(huán)之威脅&暴險(xiǎn)與控制程序(四)威脅暴險(xiǎn)控制程序7)收到未訂購(gòu)之

貨品增加存貨成本驗(yàn)收部門在接收產(chǎn)品

時(shí)，要親自點(diǎn)算檢查

數(shù)量訂購(gòu)部門以訂單副本

知會(huì)驗(yàn)收部門8)清點(diǎn)進(jìn)貨時(shí)發(fā)

生錯(cuò)誤存貨記錄不正

確所收貨品與訂

購(gòu)量不符缺貨成本或持

有成本增加訂購(gòu)單副本(訂購(gòu)量欄

空白)交給驗(yàn)收部門加強(qiáng)對(duì)貨品驗(yàn)收之控

制倉(cāng)儲(chǔ)部門之再?gòu)?fù)核與

盤點(diǎn)采購(gòu)循環(huán)之威脅&暴險(xiǎn)與控制程序(五)威脅暴險(xiǎn)控制程序9)存貨失竊存貨財(cái)產(chǎn)損失記錄錯(cuò)誤無(wú)法如期出貨定期盤點(diǎn)存貨加強(qiáng)保全、投保產(chǎn)物

險(xiǎn)做好內(nèi)部控制、職能

分工10)進(jìn)貨發(fā)票錯(cuò)誤記錄不正確付款金額不正

確帳務(wù)處理成本

增加付款時(shí)，要與訂購(gòu)單

及驗(yàn)收單做確認(rèn)EDI處理采購(gòu)循環(huán)之威脅&暴險(xiǎn)與控制程序(六)威脅暴險(xiǎn)控制程序11)對(duì)未收到之貨

品支付貨款現(xiàn)金損失核對(duì)發(fā)票及驗(yàn)收單內(nèi)

之?dāng)?shù)量確定貨物收到再付款12)未及時(shí)取得進(jìn)

貨折扣造成多付款，

銷貨成本增加喪失高報(bào)酬率

之利息編制付款期限分析表付款方式采凈額法作現(xiàn)金流量預(yù)算采購(gòu)循環(huán)之威脅&暴險(xiǎn)與控制程序(七)威脅暴險(xiǎn)控制程序13)重復(fù)付款造成現(xiàn)金損失錯(cuò)誤之帳載高

估采購(gòu)成本做好審核與審查之工

作定期核對(duì)發(fā)票金額和

訂單與驗(yàn)收單，并做

付款注記14)采購(gòu)及付款記

錄與過(guò)賬發(fā)生

錯(cuò)誤財(cái)務(wù)報(bào)表不正

確存貨成本計(jì)算

錯(cuò)誤錯(cuò)誤之決策適當(dāng)之分錄數(shù)據(jù)與程

序控制定期調(diào)節(jié)總賬與應(yīng)付

帳款明細(xì)賬采購(gòu)循環(huán)之威脅&暴險(xiǎn)與控制程序(八)威脅暴險(xiǎn)控制程序15)付款給虛設(shè)供

應(yīng)商及票據(jù)被

竄改資產(chǎn)損失現(xiàn)金減少信用不佳所有購(gòu)貨以支票給付

、支票編號(hào)、訪問(wèn)控制設(shè)零用金制度獨(dú)立之銀行調(diào)節(jié)表定期盤點(diǎn)資產(chǎn)16)電子轉(zhuǎn)賬現(xiàn)金

遭竊資金被盜機(jī)密外泄嚴(yán)格之登錄控制

(經(jīng)常變更用戶賬號(hào)

與密碼)加強(qiáng)內(nèi)控?cái)?shù)據(jù)傳輸加密采購(gòu)循環(huán)之威脅&暴險(xiǎn)與控制程序(九)威脅暴險(xiǎn)控制程序17)數(shù)據(jù)毀損影響決策損失機(jī)密信息數(shù)據(jù)之不可靠

性數(shù)據(jù)備份與保密措施災(zāi)難回復(fù)過(guò)程時(shí)常更新檔案由在線數(shù)據(jù)庫(kù)協(xié)助保

管18)績(jī)效不佳無(wú)效率與無(wú)效

能管理與生產(chǎn)成

本過(guò)高信譽(yù)不好企業(yè)活動(dòng)事先規(guī)劃對(duì)績(jī)效做事后檢討報(bào)

導(dǎo)建立獎(jiǎng)酬制度生產(chǎn)循環(huán)之威脅&暴險(xiǎn)與控制程序(一)威脅暴險(xiǎn)控制程序1)生產(chǎn)未經(jīng)授權(quán)生產(chǎn)過(guò)剩和過(guò)

多存貨生產(chǎn)不足、原

料短缺、喪失

交易機(jī)會(huì)正確之銷售預(yù)測(cè)正確之存貨記錄生產(chǎn)之授權(quán)編制預(yù)算2)存貨失竊或毀

損資產(chǎn)損失高估存貨記錄未及出貨高估凈利投保產(chǎn)物險(xiǎn)職能分工存貨定期盤點(diǎn)并與記

錄相調(diào)節(jié)設(shè)立監(jiān)視系統(tǒng)生產(chǎn)循環(huán)之威脅&暴險(xiǎn)與控制程序(二)威脅暴險(xiǎn)控制程序3)無(wú)效率及質(zhì)量

控制問(wèn)題產(chǎn)生不良品成本錯(cuò)估、影

響定價(jià)及利潤(rùn)增加存貨損失

之風(fēng)險(xiǎn)編制及復(fù)核績(jī)效報(bào)告衡量生產(chǎn)效能衡量質(zhì)量控制之成本例外報(bào)告4)記錄及過(guò)賬錯(cuò)

誤影響定價(jià)與銷

售利潤(rùn)數(shù)據(jù)處理自動(dòng)化接取控制定期實(shí)施實(shí)地盤點(diǎn)并

與相關(guān)記錄調(diào)節(jié)生產(chǎn)循環(huán)之威脅&暴險(xiǎn)與控制程序(三)威脅暴險(xiǎn)控制程序5)數(shù)據(jù)毀損支出增加與內(nèi)

控不健全喪失對(duì)客戶之

信譽(yù)與未來(lái)之

銷售額產(chǎn)生法律責(zé)任數(shù)據(jù)備份災(zāi)害復(fù)原計(jì)劃訪問(wèn)控制薪工循環(huán)之威脅&暴險(xiǎn)與控制程序(一)威脅暴險(xiǎn)控制程序1)雇用不合格或

品德不佳之員

工生產(chǎn)效率低并

影響士氣資產(chǎn)被竊機(jī)密外泄而影

響公司競(jìng)爭(zhēng)力增加舞弊機(jī)會(huì)嚴(yán)格把關(guān)人事適當(dāng)之新進(jìn)人員訓(xùn)練試用期間之考評(píng)觀察注重員工先前之工作

經(jīng)驗(yàn)杜絕高階主管聘私人2)觸犯勞工相關(guān)

法案罰金或訴訟影響公司聲譽(yù)訂定明確之書面雇用

契約確定勞資之權(quán)利義務(wù)設(shè)立法律咨詢服務(wù)薪工循環(huán)之威脅&暴險(xiǎn)與控制程序(二)威脅暴險(xiǎn)控制程序3)錯(cuò)誤之工時(shí)資

料費(fèi)用增加不正確之報(bào)告資產(chǎn)損失增加不必要之

人工成本自動(dòng)化資料收集職能分工比較預(yù)算之薪資費(fèi)用

與實(shí)際發(fā)放額檔案須經(jīng)特定人處理

與驗(yàn)證4)錯(cuò)誤之薪工處

理不符收入配合

原則費(fèi)用之內(nèi)部報(bào)

導(dǎo)不正確給薪不正確批次控制及其他應(yīng)用

控制調(diào)節(jié)計(jì)工單、計(jì)時(shí)卡不定期抽查薪工循環(huán)之威脅&暴險(xiǎn)與控制程序(三)威脅暴險(xiǎn)控制程序5)薪工主檔遭未

經(jīng)授權(quán)之更動(dòng)數(shù)據(jù)混亂或遭

竄改定期審核薪資者與發(fā)薪者進(jìn)行

雙重確認(rèn)薪資費(fèi)用每月結(jié)賬6)薪資支票失竊

或舞弊現(xiàn)金損失薪資及處理費(fèi)

用增加銀行轉(zhuǎn)賬控管公司之空白支票出納付款前要先得到

主管授權(quán)且要確認(rèn)金

額無(wú)誤及員工是否尚

在職薪工循環(huán)之威脅&暴險(xiǎn)與控制程序(四)威脅暴險(xiǎn)控制程序7)薪工數(shù)據(jù)毀損

或泄密員工之個(gè)人資

料與隱私被公

開員工流失影響員工士氣增加公司之訴

訟支出接取控制數(shù)據(jù)備份數(shù)據(jù)加密固定資產(chǎn)循環(huán)之威脅&暴險(xiǎn)與控制程序(一)威脅暴險(xiǎn)控制程序1)交易未經(jīng)授權(quán)

或核準(zhǔn)過(guò)度投資在固

定資產(chǎn)陳廢之資產(chǎn)過(guò)

多采購(gòu)之授權(quán)資本支出之授權(quán)及覆

核編制預(yù)算2)固定資產(chǎn)失竊

或毀損資產(chǎn)損失高估凈利保險(xiǎn)定期盤點(diǎn)數(shù)量職能分工設(shè)立監(jiān)視系統(tǒng)固定資產(chǎn)循環(huán)之威脅&暴險(xiǎn)與控制程序(二)威脅暴險(xiǎn)控制程序3)無(wú)效率及質(zhì)量

控制問(wèn)題財(cái)務(wù)報(bào)表不正

確增加固定資產(chǎn)

損失之風(fēng)險(xiǎn)數(shù)據(jù)處理自動(dòng)化數(shù)據(jù)變更需經(jīng)授權(quán)定期核對(duì)4)記錄及過(guò)賬錯(cuò)

誤扭曲績(jī)效分析扭曲未來(lái)投資

之期望數(shù)據(jù)處理自動(dòng)化訪問(wèn)控制數(shù)據(jù)備份建立災(zāi)害復(fù)原計(jì)劃固定資產(chǎn)循環(huán)之威脅&暴險(xiǎn)與控制程序(三)威脅暴險(xiǎn)控制程序5)數(shù)據(jù)毀損支出增加與內(nèi)

控不健全喪失對(duì)客戶之

信譽(yù)與未來(lái)之

銷售額產(chǎn)生法律責(zé)任定期編制財(cái)務(wù)報(bào)表差異分析抽檢工作COSO內(nèi)部控制模式及其組成要素(一)COSO于1992年發(fā)布一份研究報(bào)告，明確定義內(nèi)部控制，并提供內(nèi)部控制評(píng)估方面的指引。該報(bào)告已成為最權(quán)威的內(nèi)部控制文獻(xiàn)，已被實(shí)務(wù)界廣為采用。COSO內(nèi)部控制模式及其組成要素(二)COSO研究報(bào)告將內(nèi)部控制定義為公司董事會(huì)、管理當(dāng)局、及其部屬為了合理保證下列控制目標(biāo)之達(dá)成，而實(shí)行的程序：營(yíng)運(yùn)的效果與效率、財(cái)務(wù)報(bào)導(dǎo)的可靠性、以及相關(guān)法令與規(guī)章的遵循?！埂４隧?xiàng)定義強(qiáng)調(diào)：內(nèi)部控制是一項(xiàng)過(guò)程內(nèi)部控制受人的影響內(nèi)部控制對(duì)管理當(dāng)局及董事會(huì)而言，僅能提供合理保證，而非絕對(duì)保證。COSO內(nèi)部控制模式及其組成要素(三)COSO控制模式是以控制環(huán)境為基礎(chǔ)。根據(jù)組織的控制環(huán)境及營(yíng)運(yùn)目標(biāo)，管理當(dāng)局必須辨認(rèn)、分析及管理相關(guān)的風(fēng)險(xiǎn)，也就是進(jìn)行風(fēng)險(xiǎn)評(píng)估與管理。緊接著，企業(yè)應(yīng)建立與執(zhí)行適當(dāng)?shù)目刂普吲c程序，以有效的執(zhí)行與風(fēng)險(xiǎn)相關(guān)的控制作業(yè)。至于組織的信息與溝通系統(tǒng)的作用，則在于讓組織的成員可以捕捉及分享與執(zhí)行、管理及控制其活動(dòng)有關(guān)的信息。上述的控制過(guò)程必須加以監(jiān)督，并做必要的修正，以維持內(nèi)部控制制度的有效性。換句話說(shuō)，這五項(xiàng)組成要素之間密切相關(guān)，而形成一個(gè)完整的內(nèi)部控制模式。COSO內(nèi)部控制模式及其組成要素(四)控制環(huán)境(Controlenvironment)風(fēng)險(xiǎn)評(píng)估(Riskassessment)控制作業(yè)(Controlactivities)信息與溝通(Informationandcommunication)監(jiān)督(Monitoring)控制環(huán)境控制環(huán)境包括七項(xiàng)組成因素管理階層的操守與價(jià)值觀管理哲學(xué)與經(jīng)營(yíng)風(fēng)格組織架構(gòu)外部監(jiān)察人的參與分派權(quán)力與責(zé)任的方法人力資源政策與實(shí)務(wù)外部影響控制環(huán)境▲常見機(jī)制

落實(shí)管理當(dāng)局之責(zé)任啟動(dòng)董事會(huì)與審計(jì)委員會(huì)之監(jiān)督功能明確詳細(xì)的員工守則適當(dāng)?shù)膯T工任免政策實(shí)行獨(dú)立于一般管理階層之外的

道德咨詢系統(tǒng)(制訂檢舉制度)一套完整的舞弊調(diào)查及矯正措施風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估包括辨認(rèn)、分析及管理企業(yè)有關(guān)的風(fēng)險(xiǎn)風(fēng)險(xiǎn)(risk)系指威脅實(shí)際發(fā)生的可能性，可以0到1的機(jī)率值表示若威脅實(shí)際發(fā)生，企業(yè)因而可能產(chǎn)生的損失稱為暴險(xiǎn)度(exposure)若我們將風(fēng)險(xiǎn)(機(jī)率值)乘以暴險(xiǎn)度(金額)，就能計(jì)算出某項(xiàng)威脅帶來(lái)的預(yù)期損失。內(nèi)部控制的主要作用即在于降低或消除各項(xiàng)威脅的預(yù)期損失風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估與建立企業(yè)內(nèi)部相關(guān)內(nèi)部控制的步驟：辨認(rèn)威脅估計(jì)風(fēng)險(xiǎn)估計(jì)可能損失(暴險(xiǎn)度)找出相關(guān)的控制程序估計(jì)控制程序的成本與效益選定控制程序風(fēng)險(xiǎn)評(píng)估▲常見機(jī)制

建立舞弊風(fēng)險(xiǎn)評(píng)估程序評(píng)估舞弊之可能性及重大性辨識(shí)舞弊發(fā)生之組織層級(jí)遏阻管理階層之逾越控制作業(yè)一般而言，組織的控制程序可區(qū)分為五類：交易與作業(yè)的適當(dāng)授權(quán)職能分工設(shè)計(jì)與使用適當(dāng)文件與紀(jì)錄

(ex:憑證、簽章、預(yù)先編號(hào))資產(chǎn)與紀(jì)錄的保護(hù)(接近控制)獨(dú)立的復(fù)核信息與溝通信息與溝通系指組織成員能夠取得其職務(wù)上所需的各種信息，且信息能夠在組織中傳播與溝通。信息系統(tǒng)詳細(xì)紀(jì)錄交易處里的過(guò)程，這些數(shù)據(jù)成為交易的稽核軌跡(audittrail)。組織成員可以利用稽核軌跡追查交易如何起始、經(jīng)過(guò)何種處理、以及如何報(bào)導(dǎo)，有助于確認(rèn)內(nèi)部控制程序落實(shí)的程度與執(zhí)行的成效。信息與溝通▲常見機(jī)制

教育訓(xùn)練知識(shí)管理信息系統(tǒng)及技術(shù)監(jiān)督監(jiān)督系指對(duì)于內(nèi)部控制的實(shí)施進(jìn)行評(píng)估與控管的過(guò)程▲常見機(jī)制管理當(dāng)局的督導(dǎo)采用責(zé)任會(huì)計(jì)制度進(jìn)行內(nèi)部稽核內(nèi)部稽核之于舞弊建立健全

內(nèi)控環(huán)境執(zhí)行舞弊

風(fēng)險(xiǎn)評(píng)估設(shè)計(jì)與執(zhí)行舞弊防制之控制活動(dòng)充分的溝通信息持續(xù)管理監(jiān)控管理當(dāng)局之責(zé)任董事會(huì)/審計(jì)委員會(huì)指揮內(nèi)部稽核(1)了解管理當(dāng)局的

舞弊防范措施(2)評(píng)估管理當(dāng)局對(duì)

于舞弊風(fēng)險(xiǎn)之評(píng)估(3)對(duì)于舞弊防范措

施之有效性進(jìn)行

查核(4)接受董事會(huì)/審計(jì)

委員會(huì)之指揮,

針對(duì)高舞弊風(fēng)險(xiǎn)

作業(yè)進(jìn)行調(diào)查評(píng)估與調(diào)查落實(shí)內(nèi)控的關(guān)鍵要素建立能減少舞弊或犯罪之標(biāo)準(zhǔn)及程序指定某一特定高級(jí)管理階層人員負(fù)責(zé)監(jiān)督內(nèi)部控制之執(zhí)行防止不當(dāng)授權(quán)將標(biāo)準(zhǔn)及程序有效傳達(dá)全體員工實(shí)施對(duì)遵循之衡量，諸如監(jiān)控、稽核及報(bào)告制度輔以獎(jiǎng)懲措施之強(qiáng)化標(biāo)準(zhǔn)及程序之執(zhí)行當(dāng)制度被偵出有重大違失時(shí)，給予適當(dāng)回應(yīng)從富邦錯(cuò)帳事件看內(nèi)部控制■事由~

2005/06/27,富邦證仁愛分公司一交易員按錯(cuò)指令(輸入錯(cuò)誤的數(shù)量),造成$77億元錯(cuò)帳事件。■后續(xù)發(fā)展~

2005/06/30,金管會(huì)依證交法處富邦警告一次,將影響其未來(lái)三個(gè)月新辦業(yè)務(wù)或新設(shè)據(jù)點(diǎn)；并要求須在一個(gè)月內(nèi)報(bào)告其內(nèi)部控制改善計(jì)劃及執(zhí)行情況。

2005/07/19,證交所處違約金額$30萬(wàn)。富邦證之危機(jī)管理向證交所申報(bào)錯(cuò)帳發(fā)出聲名稿，承認(rèn)錯(cuò)誤調(diào)現(xiàn)金命自營(yíng)部買入經(jīng)紀(jì)部要賣的股票檢討下單流程、計(jì)算機(jī)程序、風(fēng)險(xiǎn)管理及

查核程序懲處交易員修改計(jì)算機(jī)程序富邦證之內(nèi)部控制控制環(huán)境

董事長(zhǎng)兼總經(jīng)理(葉公亮)與國(guó)際部顧問(wèn)(周資青)權(quán)責(zé)分配失衡風(fēng)險(xiǎn)評(píng)估

透過(guò)加強(qiáng)員工風(fēng)險(xiǎn)意識(shí)、信息控制、交易分層授權(quán)以降低錯(cuò)帳金額富邦證之內(nèi)部控制控制活動(dòng)

系統(tǒng)設(shè)計(jì)者設(shè)計(jì)不良、系統(tǒng)用戶未能與系統(tǒng)設(shè)計(jì)者充分溝通，使系統(tǒng)設(shè)計(jì)者不了解控制是必要的、系統(tǒng)測(cè)試與教育訓(xùn)練不足信息與溝通

以開放的態(tài)度對(duì)外溝通達(dá)到效果監(jiān)督

事后由董事長(zhǎng)領(lǐng)軍，成立風(fēng)險(xiǎn)改進(jìn)委員會(huì)，重新檢視風(fēng)險(xiǎn)控管機(jī)制并提出改進(jìn)方式，同時(shí)嚴(yán)格規(guī)范各單位自行查核人員及內(nèi)部稽核人員之查核方式建立信息系統(tǒng)內(nèi)部控制之重要性(一)經(jīng)營(yíng)環(huán)境復(fù)雜化信息需求多樣化

信息系統(tǒng)復(fù)雜化與風(fēng)險(xiǎn)性良好之內(nèi)部控制降低風(fēng)險(xiǎn)之影響或損失確保組織正常運(yùn)作建立信息系統(tǒng)內(nèi)部控制之重要性(二)信息系統(tǒng)稽核與控制基金會(huì)(InformationSystemsAuditandControlFoundation,簡(jiǎn)稱ISACF)發(fā)布「信息及相關(guān)技術(shù)控制目的(Controlobjectivesforinformationandrelatedtechnology,簡(jiǎn)稱COBIT)」，可以作為企業(yè)建立信息系統(tǒng)與信息科技安全控制政策與程序之架構(gòu)COBIT基本觀念架構(gòu)(一)用途：在于提供與信息科技應(yīng)用、控制與稽核有關(guān)之指引COBIT由COBIT指導(dǎo)委員會(huì)與ISACF共同發(fā)布使命：研究、發(fā)展、發(fā)布與推廣一供套權(quán)威、最新、國(guó)際公認(rèn)之信息科技控管目的，供企業(yè)經(jīng)理人與稽核人員日常使用基本理念：企業(yè)須透過(guò)管理IT流程，將IT資源整合運(yùn)用，進(jìn)而滿足組織之業(yè)務(wù)需求COBIT基本觀念架構(gòu)(二)COBIT兼顧品質(zhì)(quality)、監(jiān)管(fiduciary)、安全(security)三方面之需求，匯整成七項(xiàng)信息標(biāo)準(zhǔn)：效果、效率、保密、真實(shí)、可用性、遵循性、可靠性為確保信息符合上述標(biāo)準(zhǔn)，組織必須適當(dāng)?shù)乜刂萍氨O(jiān)督IT資源之使用COBIT將IT資源之管理分為范疇(domains)、流程(processes)、活動(dòng)(activities)三個(gè)層次內(nèi)部控制的分類依照內(nèi)部控制程序?qū)嵭械臅r(shí)間點(diǎn)，可以區(qū)分為預(yù)防性控制、偵測(cè)性控制以及改正性控制

(補(bǔ)充：指示性控制、補(bǔ)償性控制)就計(jì)算機(jī)化信息系統(tǒng)的觀點(diǎn)而言，其內(nèi)部控制可以區(qū)分為一般控制與應(yīng)用控制若按照數(shù)據(jù)處理步驟的區(qū)分,內(nèi)部控制可以區(qū)分為輸入控制、處理控制以及輸出控制預(yù)防性、偵測(cè)性與改正性控制(一)依照內(nèi)部控制程序?qū)嵭械臅r(shí)間點(diǎn)，可以區(qū)分為預(yù)防性控制、偵測(cè)性控制以及改正性控制。預(yù)防性控制可以用來(lái)防止問(wèn)題的發(fā)生，是一種事前的觀念。不過(guò)，基于成本效益的考慮以及實(shí)務(wù)上的限制，預(yù)防性控制很難完全防止所有的問(wèn)題。企業(yè)在設(shè)計(jì)控制程序時(shí)，必須加入適當(dāng)?shù)膫蓽y(cè)性控制，以便在問(wèn)題發(fā)生時(shí)，能夠迅速的察覺(jué)

，并立即通知相關(guān)的人員采取補(bǔ)救或改正的行動(dòng)。偵測(cè)性控制是一種事中的觀念。預(yù)防性、偵測(cè)性與改正性控制(二)改正性控制的作用在于補(bǔ)救或改正被偵測(cè)到的問(wèn)題，以確保組織順利的運(yùn)作，達(dá)成既定的目標(biāo)。改正性控制包括三個(gè)程序：(1)找出造成問(wèn)題的原因(可能由偵測(cè)性控制

提供相關(guān)訊息)(2)改正已發(fā)生的錯(cuò)誤或障礙(3)修改現(xiàn)有的控制制度或程序，以消除或降

低未來(lái)發(fā)生類似問(wèn)題的可能性預(yù)防性、偵測(cè)性與改正性控制(三)一般而言，錯(cuò)誤與問(wèn)題若能于事前予以預(yù)防，較能保障組織的順利運(yùn)作與目標(biāo)的達(dá)成。因此，在合乎成本效益的前提下，企業(yè)應(yīng)優(yōu)先實(shí)行預(yù)防性控制。不過(guò)

，預(yù)防性控制很難達(dá)到絕對(duì)的控制，所以有效的偵測(cè)性控制可發(fā)揮補(bǔ)償?shù)淖饔?/p>

，避免問(wèn)題久未發(fā)現(xiàn)，而造成更大的傷害。至于改正性控制則應(yīng)強(qiáng)調(diào)對(duì)癥下藥

，并避免類似問(wèn)題重復(fù)發(fā)生。一般控制與應(yīng)用控制就計(jì)算機(jī)化信息系統(tǒng)的觀點(diǎn)而言，其內(nèi)部控制可以區(qū)分為一般控制與應(yīng)用控制一般控制在于確保組織具有穩(wěn)定及管理優(yōu)良的控制環(huán)境，以提升應(yīng)用控制的效果。應(yīng)用控制的目的則為在事務(wù)處理過(guò)程中，預(yù)防、偵測(cè)及改正相關(guān)的錯(cuò)誤與舞弊。輸入控制、處理控制及輸出控制若按照數(shù)據(jù)處理步驟的區(qū)分,內(nèi)部控制可以區(qū)分為輸入控制、處理控制以及輸出控制輸入控制在于確保只有正確、有效以及經(jīng)過(guò)核準(zhǔn)的數(shù)據(jù)，才能進(jìn)入系統(tǒng)作進(jìn)一步的處理處理控制目的在于確保所有的交易都經(jīng)過(guò)正確、完整的處理，相關(guān)的紀(jì)錄與檔案也予以適當(dāng)?shù)母螺敵隹刂苿t用以確保系統(tǒng)的輸出具有適當(dāng)?shù)目毓埽员苊鈹?shù)據(jù)的不當(dāng)使用或外泄計(jì)算機(jī)化信息之一般控制(一)企業(yè)設(shè)置一般控制的目的：

確保計(jì)算機(jī)化信息系統(tǒng)作業(yè)環(huán)境的穩(wěn)定與良好的管理一般控制與所有的計(jì)算機(jī)作業(yè)有關(guān)，常見的一般控制措施包括：(1)訂定信息安全政策與計(jì)劃(2)信息系統(tǒng)職能內(nèi)部分工(3)項(xiàng)目發(fā)展控制(4)實(shí)體訪問(wèn)控制(5)邏輯訪問(wèn)控制(6)數(shù)據(jù)儲(chǔ)存控制

計(jì)算機(jī)化信息之一般控制(二)(7)數(shù)據(jù)傳輸控制(8)建立文件標(biāo)準(zhǔn)(9)降低系統(tǒng)當(dāng)機(jī)時(shí)間(10)訂定災(zāi)害復(fù)原計(jì)劃

(11)保護(hù)個(gè)人計(jì)算機(jī)與主從式網(wǎng)絡(luò)(12)因特網(wǎng)控制一般控制-

訂定信息安全政策與計(jì)劃信息系統(tǒng)計(jì)算機(jī)化的組織應(yīng)發(fā)展出一套完整的信息安全計(jì)劃，并持續(xù)的加以更新。這份計(jì)劃應(yīng)由資訊安全主管負(fù)責(zé)訂定、監(jiān)督以及推動(dòng)，其內(nèi)容包含界定各類信息由誰(shuí)使用、如何使用、需用時(shí)間以及存放于那一個(gè)系統(tǒng)。安全主管可根據(jù)一計(jì)劃評(píng)估信息系統(tǒng)面臨的威脅、風(fēng)險(xiǎn)及暴險(xiǎn)度，并據(jù)以選擇最具成本效益的安全控管措施。

一般控制-

信息系統(tǒng)職能內(nèi)部分工(一)計(jì)算機(jī)作業(yè)環(huán)境下，多項(xiàng)工作可能由計(jì)算機(jī)一并完成，使得傳統(tǒng)人工操作環(huán)境下的分工方式較不可行。組織必須就計(jì)算機(jī)職能（部門）進(jìn)行適當(dāng)分工，以降低計(jì)算機(jī)集中多項(xiàng)功能所帶來(lái)的威脅一般而言，在組織規(guī)模容許及合乎成本效益的情況下，信息系統(tǒng)的下列相關(guān)職能應(yīng)有適當(dāng)?shù)姆止ぃ合到y(tǒng)分析、程序設(shè)計(jì)、計(jì)算機(jī)操作、數(shù)據(jù)控制、系統(tǒng)函式庫(kù)（library）以及使用者。一般控制-

信息系統(tǒng)職能內(nèi)部分工(二)適用于大型主計(jì)算機(jī)環(huán)境之集中式信息系統(tǒng)組織架構(gòu)，不同職能之分工大致如下：系統(tǒng)分析師/設(shè)計(jì)師程序設(shè)計(jì)師數(shù)據(jù)庫(kù)管理通信/網(wǎng)絡(luò)控制計(jì)算機(jī)操作員系統(tǒng)函式庫(kù)/數(shù)據(jù)管理員數(shù)據(jù)控制小組資料準(zhǔn)備/輸入終端使用者一般控制-

項(xiàng)目發(fā)展控制組織開發(fā)信息系統(tǒng)時(shí)，必須投入大量人力、時(shí)間與財(cái)務(wù)資源若缺乏適當(dāng)之規(guī)劃與管控，常造成項(xiàng)目進(jìn)度落后、成本超支、系統(tǒng)質(zhì)量低落一般而言，系統(tǒng)開發(fā)項(xiàng)目之規(guī)劃與管控包含：訂定長(zhǎng)期信息系統(tǒng)主計(jì)劃訂定個(gè)別項(xiàng)目開發(fā)計(jì)劃，界定項(xiàng)目之重要時(shí)程成立項(xiàng)目小組，明確分派責(zé)任定期評(píng)估項(xiàng)目推動(dòng)之績(jī)效進(jìn)行項(xiàng)目完成后實(shí)施情形之復(fù)核一般控制-

實(shí)體訪問(wèn)控制訪問(wèn)控制(accesscontrols)：合理保證只有經(jīng)過(guò)授權(quán)(核準(zhǔn))者才能使用系統(tǒng)；其用途也應(yīng)經(jīng)過(guò)授權(quán)訪問(wèn)控制可分為：

(1)實(shí)體(physical)訪問(wèn)控制

(2)邏輯(logical)訪問(wèn)控制實(shí)體訪問(wèn)控制：維護(hù)計(jì)算機(jī)設(shè)備之安全，以確保只有經(jīng)過(guò)授權(quán)者才能使用設(shè)備。可依序分為三個(gè)層次：

(1)外圍控制

(2)建筑物控制

(3)計(jì)算機(jī)設(shè)備控制一般控制-

邏輯訪問(wèn)控制邏輯訪問(wèn)控制：確保使用者只能使用其被授權(quán)范圍內(nèi)之?dāng)?shù)據(jù)與程序。可依序分為三個(gè)層次：

(1)辨識(shí)使用者身份

(2)身份驗(yàn)證

(3)確認(rèn)權(quán)限一般常用之用戶權(quán)力設(shè)定方式為建立訪問(wèn)控制表，以規(guī)范不同用戶對(duì)于各項(xiàng)數(shù)據(jù)與程序檔案之權(quán)限等級(jí)(ex：讀取、顯示、寫入、更新、增加、刪除)一般控制-

數(shù)據(jù)儲(chǔ)存控制組織應(yīng)將數(shù)據(jù)視為重要資源，并妥善保護(hù)及控制，以免遭到未經(jīng)授權(quán)之揭露、使用或破壞一般控制-

數(shù)據(jù)傳輸控制組織利用網(wǎng)絡(luò)傳送數(shù)據(jù)時(shí)，為降低傳輸失之風(fēng)險(xiǎn)，相關(guān)人員應(yīng)監(jiān)控通信網(wǎng)路，發(fā)現(xiàn)弱點(diǎn)須立即加以補(bǔ)強(qiáng)一般常用來(lái)降低數(shù)據(jù)傳輸錯(cuò)誤之方法或程序包含：

(1)數(shù)據(jù)加密

(2)驗(yàn)證程序

(3)位檢查

(4)訊息確認(rèn)技術(shù)一般控制-

建立文件標(biāo)準(zhǔn)(一)為讓相關(guān)人員易于了解、使用及維護(hù)資訊系統(tǒng)，企業(yè)在開發(fā)系統(tǒng)之過(guò)程中，應(yīng)建立相關(guān)文件進(jìn)行系統(tǒng)書面化工作時(shí)，各項(xiàng)文件之編寫與修改應(yīng)一致性，并存放于安全地方

，以便文件之使用一般控制-

建立文件標(biāo)準(zhǔn)(二)一般常用之信息系統(tǒng)文件為：

(1)系統(tǒng)文件(systemdocumentation)

(2)程序文件(programdocumentation)

(3)操作文件(operatingdocumentation)

(4)計(jì)算機(jī)操作手冊(cè)(computerrunmanual)

(5)程序文件(proceduraldocumentation)

(6)使用者文件(userdocumentation)一般控制-

降低系統(tǒng)當(dāng)機(jī)時(shí)間計(jì)算機(jī)軟件或硬件之失靈會(huì)造成信息系統(tǒng)無(wú)法正常運(yùn)作，而導(dǎo)致重大營(yíng)運(yùn)或財(cái)務(wù)損失一般常用來(lái)降低當(dāng)機(jī)時(shí)間之方法為：

(1)落實(shí)預(yù)防性維護(hù)工作

(2)建立不斷電系統(tǒng)

(3)配置額外之系統(tǒng)組件，以提升系統(tǒng)之

容錯(cuò)能力一般控制-

訂定災(zāi)害復(fù)原計(jì)劃(一)每個(gè)組織都應(yīng)訂定一套災(zāi)害復(fù)原計(jì)劃，以確保發(fā)生重大災(zāi)害時(shí)，能迅速、順利地恢復(fù)信息系統(tǒng)之作業(yè)能力一般而言，其目的：

(1)降低數(shù)據(jù)毀損及業(yè)務(wù)中斷之可能損失

(2)建立暫時(shí)性之?dāng)?shù)據(jù)處理措施

(3)盡快恢復(fù)正常作業(yè)

(4)實(shí)施緊急作業(yè)訓(xùn)練，讓員工熟悉應(yīng)變程序一般控制-

訂定災(zāi)害復(fù)原計(jì)劃(二)復(fù)原計(jì)劃應(yīng)包含下列要素：明訂復(fù)原程序之優(yōu)先級(jí)明訂規(guī)范數(shù)據(jù)及程序檔案之備份作業(yè)明確分派災(zāi)害復(fù)原責(zé)任，實(shí)施復(fù)原編組及應(yīng)負(fù)責(zé)之復(fù)原作業(yè)妥善保管復(fù)原計(jì)劃之書面文件安排備援之計(jì)算機(jī)與通訊設(shè)備，確保能在最短時(shí)間內(nèi)啟用進(jìn)行應(yīng)變規(guī)劃與風(fēng)險(xiǎn)分析一般控制-

訂定災(zāi)害復(fù)原計(jì)劃(三)應(yīng)變規(guī)劃

辨認(rèn)不同數(shù)據(jù)處理中斷時(shí)，對(duì)組織之可能影響風(fēng)險(xiǎn)分析

找出關(guān)鍵性應(yīng)用系統(tǒng)并排優(yōu)先級(jí)，評(píng)估保險(xiǎn)額度，及辨認(rèn)相關(guān)風(fēng)險(xiǎn)與可能影響一般控制-

保護(hù)個(gè)人計(jì)算機(jī)與主從式網(wǎng)絡(luò)(一)訓(xùn)練個(gè)人計(jì)算機(jī)用戶了解相關(guān)之控制觀念個(gè)人計(jì)算機(jī)設(shè)備上鎖及黏貼財(cái)產(chǎn)標(biāo)簽訂定個(gè)人計(jì)算機(jī)使用政策與程序，規(guī)范數(shù)據(jù)儲(chǔ)存、軟件安裝與使用、設(shè)備保管責(zé)任長(zhǎng)時(shí)間未使用之個(gè)人計(jì)算機(jī)自動(dòng)關(guān)機(jī)計(jì)算機(jī)硬盤定期備份一般控制-

保護(hù)個(gè)人計(jì)算機(jī)與主從式網(wǎng)絡(luò)(二)設(shè)定多重用戶密碼，限制個(gè)人計(jì)算機(jī)之使用，并進(jìn)行權(quán)限設(shè)定，以便職能分工采用檔案清除工具程序，徹底清除使用不使用之磁盤內(nèi)容網(wǎng)絡(luò)作業(yè)須保留操作日志(operationlog)，以作為稽核軌跡安裝防病毒程序，偵測(cè)及過(guò)濾計(jì)算機(jī)病毒，并教導(dǎo)用戶如何防范病毒之感染一般控制-

因特網(wǎng)控制應(yīng)建立網(wǎng)絡(luò)安全政策(networksecuritypolicy)，以保護(hù)因特網(wǎng)相關(guān)作業(yè)安全

，確保數(shù)據(jù)可用性、隱密性與真實(shí)性網(wǎng)絡(luò)安全之主要控制方法包含：

(1)數(shù)據(jù)傳送之相關(guān)控制措施

(2)用戶帳戶之管理

(3)防火墻之架設(shè)計(jì)算機(jī)化信息系統(tǒng)之應(yīng)用控制目的：合理保證該應(yīng)用系統(tǒng)之之輸入、處理、輸出之正確性與完整性應(yīng)用系統(tǒng)薄弱，可能導(dǎo)致輸出信息錯(cuò)誤

，造成管理決策失當(dāng)，而影響企業(yè)營(yíng)運(yùn)一般而言，應(yīng)用控制可區(qū)分為：

(1)輸入控制(inputcontrols)

(2)處理控制(processingcontrols)

(3)輸出控制(outputcontrols)應(yīng)用控制-

輸入控制目的：合理保證輸入之?dāng)?shù)據(jù)經(jīng)過(guò)適當(dāng)之核準(zhǔn)、轉(zhuǎn)換成機(jī)器可讀之型態(tài)、及其內(nèi)容之正確性與完整性包含三種控制措施：原始數(shù)據(jù)控制輸入驗(yàn)證程序在線數(shù)據(jù)輸入控制應(yīng)用控制-

輸入控制：原始數(shù)據(jù)控制(一)目的：確保輸入數(shù)據(jù)之有效性、正確性、完整性控制方法種類：

(1)批次總數(shù)(2)原始憑證檢視與注記

(3)窗體連號(hào)檢查(4)重復(fù)鍵入

(5)檢查碼驗(yàn)證(6)回轉(zhuǎn)文件之運(yùn)用

(7)數(shù)據(jù)控制職能應(yīng)用控制-

輸入控制：原始數(shù)據(jù)控制(二)批次總數(shù)/控制總數(shù)：比對(duì)原始數(shù)據(jù)與后續(xù)處理數(shù)據(jù)間之一致性。若前后階段產(chǎn)生之批次總數(shù)不符，表示有誤，應(yīng)找出原因并更正

常用之批次總數(shù)：財(cái)務(wù)總計(jì)雜項(xiàng)總計(jì)記錄總計(jì)行數(shù)總計(jì)交叉余額加總測(cè)試應(yīng)用控制-

輸入控制：原始數(shù)據(jù)控制(三)原始憑證檢視與注記：輸入數(shù)據(jù)前，先檢視原始憑證是否合理與完整，是否經(jīng)過(guò)適當(dāng)授權(quán)。若有任何疑問(wèn)須加以厘清并排除問(wèn)題后，再進(jìn)行數(shù)據(jù)輸入；完成輸入之憑證應(yīng)做適當(dāng)注記；避免重復(fù)輸入與處理窗體連號(hào)檢查：

對(duì)于預(yù)先連續(xù)編號(hào)之窗體(ex:銷貨發(fā)票、訂購(gòu)單)，由系統(tǒng)檢查其編號(hào)是否重復(fù)或跳號(hào)應(yīng)用控制-

輸入控制：原始數(shù)據(jù)控制(四)重復(fù)鍵入：

對(duì)于重要之?dāng)?shù)據(jù)要求兩位人員重復(fù)輸入，并做比較，以確認(rèn)輸入數(shù)據(jù)之正確性。檢查驗(yàn)證碼：

為避免經(jīng)過(guò)核定之代碼輸入錯(cuò)誤(ex:員工編號(hào)、客戶編號(hào))輸入錯(cuò)誤，可于代碼中加入檢查號(hào)碼。相關(guān)人員輸入特定代碼時(shí)，程序立即比對(duì)檢查碼是否相符；若有不符，表示輸入有誤，應(yīng)重新輸入應(yīng)用控制-

輸入控制：原始數(shù)據(jù)控制(五)回轉(zhuǎn)文件之運(yùn)用：

一種后來(lái)可作為交易輸入文件使用之計(jì)算機(jī)輸出文件，可利用機(jī)器直接讀取數(shù)據(jù)，有助提高輸入作業(yè)之效率與正確性。數(shù)據(jù)控制職能：

數(shù)據(jù)控制人員收到待處理數(shù)據(jù)時(shí)，應(yīng)確認(rèn)其經(jīng)過(guò)授權(quán)，再加以登錄。數(shù)據(jù)處理各階段產(chǎn)生之控制總數(shù)，應(yīng)由數(shù)據(jù)控制人員進(jìn)行調(diào)節(jié)；若發(fā)生錯(cuò)誤，應(yīng)通知相關(guān)人員更正應(yīng)用控制-

輸入控制：輸入驗(yàn)證程序(一)可寫入計(jì)算機(jī)程序，由系統(tǒng)自動(dòng)檢查輸入數(shù)據(jù)之有效性與正確性。此程序稱為編校程序(editprograms)，其執(zhí)行之檢查稱為資料編校檢查(editchecks)在批處理之環(huán)境下，交易文件中之?dāng)?shù)據(jù)整批進(jìn)行編校檢查；在線處理系統(tǒng)則逐筆編校檢查，直到數(shù)據(jù)完全正確編校檢查發(fā)現(xiàn)之錯(cuò)誤應(yīng)存入錯(cuò)誤日志(errorlog)，印出錯(cuò)誤報(bào)表，由輸入人員或使用者據(jù)以更正后，并入下一批處理。數(shù)據(jù)控制人員應(yīng)定期打印錯(cuò)誤列表或報(bào)表，標(biāo)明錯(cuò)誤性質(zhì)、發(fā)現(xiàn)日期及時(shí)間，作為改進(jìn)輸入作業(yè)之參考應(yīng)用控制-

輸入控制：輸入驗(yàn)證程序(二)常見之輸入驗(yàn)證程序?yàn)椋鹤侄螜z查(fieldcheck)：

檢查某個(gè)字段中之?dāng)?shù)據(jù)是否符合原先定義之型態(tài)(ex:數(shù)值、文字、日期)上下限與范圍檢查(limitandrangecheck)：

根據(jù)已知資料上之上下限，或范圍進(jìn)行檢查(ex:員工每月加班時(shí)數(shù)是否超過(guò)規(guī)定上限)順序檢查(sequencecheck)：

確認(rèn)記錄按照適當(dāng)之順序排序(通常用于批處理)符號(hào)檢查(signcheck)：

確認(rèn)特定字段之值具有正確之符號(hào)(ex:薪資記錄之工時(shí)欄應(yīng)為正值)應(yīng)用控制-

輸入控制：輸入驗(yàn)證程序(三)有效性檢查(validitycheck)：

將輸入之代號(hào)或交易代碼，與已經(jīng)過(guò)核定或正確代碼比較，以確定其有效性合理性測(cè)試(reasonablenesscheck)：

測(cè)試輸入數(shù)據(jù)項(xiàng)數(shù)值與相關(guān)主文件記錄之邏輯關(guān)系是否正確復(fù)資料檢查(redundantcheck)：

利用一筆交易兩個(gè)字段確認(rèn)數(shù)據(jù)之正確性應(yīng)用控制-

輸入控制：在線數(shù)據(jù)輸入控制(一)用戶利用終端機(jī)或個(gè)人計(jì)算機(jī)于在線輸入數(shù)據(jù)時(shí)，系統(tǒng)應(yīng)立即檢查交易資之正確性與完整性，并要求使用者馬上補(bǔ)正

，才能接受該筆事務(wù)數(shù)據(jù)應(yīng)用控制-

輸入控制：在線數(shù)據(jù)輸入控制(二)在線輸入數(shù)據(jù)除可沿用批次輸入之驗(yàn)證程序外，應(yīng)額外采下列控制方法或程序：身份驗(yàn)證：

查驗(yàn)用戶代號(hào)與密碼，以確認(rèn)經(jīng)過(guò)適當(dāng)之授權(quán)權(quán)限測(cè)試：

確認(rèn)用戶具有輸入或檢視特定數(shù)據(jù)之權(quán)限訊息提示：

給用戶明確之訊息提示，要求其依照一定之方式或順序輸入各項(xiàng)數(shù)據(jù)應(yīng)用控制-

輸入控制：在線數(shù)據(jù)輸入控制(三)預(yù)先格式化：

聯(lián)機(jī)系統(tǒng)為避免數(shù)據(jù)輸入錯(cuò)誤，可以透過(guò)程序設(shè)計(jì)，協(xié)助用戶輸入相關(guān)數(shù)據(jù)時(shí)，就如人工操作時(shí)事先印妥之原始表格一般完整性檢查(completenesscheck)：

確認(rèn)所有信息都已順利傳出，若有遺漏，系統(tǒng)會(huì)通知用戶封閉循環(huán)驗(yàn)證(closed-loopverification)：

利用額外傳送之相關(guān)字段數(shù)據(jù)復(fù)核輸入數(shù)據(jù)之正確性應(yīng)用控制-

輸入控制：在線數(shù)據(jù)輸入控制(四)事務(wù)數(shù)據(jù)自動(dòng)輸入：

ex:系統(tǒng)系統(tǒng)自動(dòng)產(chǎn)生交易日期、傳票代號(hào)、員工代號(hào)等數(shù)據(jù)，以節(jié)省時(shí)間與錯(cuò)誤交易日志(transactionlog)：

詳細(xì)記錄每筆在線輸入之事務(wù)數(shù)據(jù)(ex:輸入數(shù)據(jù)之日期、終端機(jī)代號(hào)、用戶代號(hào)、交易序號(hào)、數(shù)據(jù)內(nèi)容等)。當(dāng)在線輸入之?dāng)?shù)據(jù)文件毀損或系統(tǒng)當(dāng)機(jī)時(shí)，可利用交易日志重建數(shù)據(jù)文件或核對(duì)事務(wù)數(shù)據(jù)內(nèi)容，以快速恢復(fù)運(yùn)作錯(cuò)誤訊息(errormessage)：

系統(tǒng)應(yīng)明確指出輸入錯(cuò)誤之項(xiàng)目，并指示應(yīng)如何改正應(yīng)用控制-

處理控制(一)目的：合理保證依照特定應(yīng)用系統(tǒng)之要求進(jìn)行相關(guān)處理，以確保數(shù)據(jù)處理及相關(guān)檔案更新之正確性與完整性常見之處理控制措施為：數(shù)據(jù)更新檢