【正文】 15)付款給虛設(shè)供 應(yīng)商及票據(jù)被 竄改 ?資產(chǎn)損失 ?現(xiàn)金減少 ?信用不佳 ?所有購貨以支票給付 、支票編號(hào)、存取控制 ?設(shè)零用金制度 ?獨(dú)立之銀行調(diào)節(jié)表 ?定期盤點(diǎn)資產(chǎn) 16)電子轉(zhuǎn)帳現(xiàn)金 遭竊 ?資金被盜 ?機(jī)密外洩 ?嚴(yán)格之登錄控制 (經(jīng)常變更使用者帳號(hào) 與密碼 ) ?加強(qiáng)內(nèi)控 ?資料傳輸加密 採購循環(huán)之威脅 amp。暴險(xiǎn)與控制程序(三 ) 威脅 暴險(xiǎn) 控制程序 5)資料毀損 ?支出增加與內(nèi) 控不健全 ?喪失對客戶之 信譽(yù)與未來之 銷售額 ?產(chǎn)生法律責(zé)任 ?資料備份 ?災(zāi)害復(fù)原計(jì)畫 ?存取控制 薪工循環(huán)之威脅 amp。暴險(xiǎn)與控制程序(四 ) 威脅 暴險(xiǎn) 控制程序 7)薪工資料毀損 或洩密 ?員工之個(gè)人資 料與隱私被公 開 ?員工流失 ?影響員工士氣 ?增加公司之訴 訟支出 ?接取控制 ?資料備份 ?資料加密 固定資產(chǎn)循環(huán)之威脅 amp。該報(bào)告已成為最權(quán)威的內(nèi)部控制文獻(xiàn)，已被實(shí)務(wù)界廣為採用。 COSO內(nèi)部控制模式及其組成要素(三 ) ? COSO控制模式是以 控制環(huán)境 為基礎(chǔ)。上述的控制過程必頇加以 監(jiān)督 ，並做必要的修正，以維持內(nèi)部控制制度的有效性。資訊系統(tǒng)詳細(xì)紀(jì)錄交易處裡的過程，這些資料成為交易的稽核軌跡 (audit trail)。 2020/07/19, 證交所處違約金額 $30萬。 ?企業(yè)在設(shè)計(jì)控制程序時(shí)，必頇加入適當(dāng)?shù)?偵測性控制 ，以便在問題發(fā)生時(shí)，能夠迅速的察覺 ，並立即通知相關(guān)的人員採取補(bǔ)救或改正的行動(dòng)。因此，在合乎成本效益的前提下，企業(yè)應(yīng) 優(yōu)先採行預(yù)防性控制 。 ?應(yīng)用控制 的目的則為在交易處理過程中 ， 預(yù)防 、 偵測及改正相關(guān)的錯(cuò)誤與舞弊 。 一般控制 資訊系統(tǒng)職能內(nèi)部分工 (一 ) ?電腦作業(yè)環(huán)境下 ，多項(xiàng)工作可能由電腦一併完成，使得傳統(tǒng)人工作業(yè)環(huán)境下的分工方式較不可行?？梢佬蚍譃槿齻€(gè)層次： (1)辨識(shí)使用者身份 (2)身份驗(yàn)證 (3)確認(rèn)權(quán)限 ?一般常用之使用者權(quán)限設(shè)定方式為建立存取控制表，以規(guī)範(fàn)不同使用者對於各項(xiàng)資料與程式檔案之權(quán)限等級(jí) (ex：讀取、顯示、寫入、更新、增加、刪除 ) 一般控制 資料儲(chǔ)存控制 組織應(yīng)將資料視為重要資源，並妥善保護(hù) 及控制，以免遭到未經(jīng)授權(quán)之揭露、使用 或破壞 一般控制 資料傳輸控制 ?組織利用網(wǎng)路傳送資料時(shí)，為降低傳輸失之風(fēng)險(xiǎn)，相關(guān)人員應(yīng) 監(jiān)控通信網(wǎng)路 ，發(fā)現(xiàn)弱點(diǎn)頇立即加以補(bǔ)強(qiáng) ?一般常用來降低資料傳輸錯(cuò)誤之方法或程序包含： (1)資料加密 (2)驗(yàn)證程序 (3)位元檢查 (4)訊息確認(rèn)技術(shù) 一般控制 建立文件標(biāo)準(zhǔn) (一 ) ? 為讓相關(guān)人員易於 瞭解 、 使用 及 維護(hù) 資 訊系統(tǒng)，企業(yè)在開發(fā)系統(tǒng)之過程中，應(yīng) 建立相關(guān)文件 ? 進(jìn)行系統(tǒng)書面化工作時(shí)，各項(xiàng)文件之編 寫與修改應(yīng) 一致性 ，並存放於安全地方 ，以便文件之使用 一般控制 建立文件標(biāo)準(zhǔn) (二 ) ? 一般常用之資訊系統(tǒng)文件為： (1)系統(tǒng)文件 (system documentation) (2)程式文件 (program documentation) (3)操作文件 (operating documentation) (4)電腦操作手冊 (puter run manual) (5)程序文件 (procedural documentation) (6)使用者文件 (user documentation) 一般控制 降低系統(tǒng)當(dāng)機(jī)時(shí)間 ? 電腦軟體或硬體之失靈會(huì)造成資訊系統(tǒng)無法正常運(yùn)作，而導(dǎo)致 重大營運(yùn)或財(cái)務(wù)損失 ? 一般常用來降低當(dāng)機(jī)時(shí)間之方法為： (1)落實(shí) 預(yù)防性維護(hù) 工作 (2)建立 不斷電系統(tǒng) (3)配置 額外之系統(tǒng)組件 ，以提昇系統(tǒng)之 容錯(cuò)能力 一般控制 訂定災(zāi)害復(fù)原計(jì)畫 (一 ) ? 每個(gè)組織都應(yīng)訂定一套災(zāi)害復(fù)原計(jì)畫，以確保發(fā)生重大災(zāi)害時(shí)，能迅速、順利地恢復(fù)資訊系統(tǒng)之作業(yè)能力 ? 一般而言，其目的： (1)降低資料毀損及業(yè)務(wù)中斷之可能損失 (2)建立暫時(shí)性之資料處理措施 (3)盡快恢復(fù)正常作業(yè) (4)實(shí)施緊急作業(yè)訓(xùn)練，讓員工熟悉應(yīng)變程序 一般控制 訂定災(zāi)害復(fù)原計(jì)畫 (二 ) ? 復(fù)原計(jì)畫應(yīng)包含下列要素： ?明訂復(fù)原程序之優(yōu)先順序 ?明訂規(guī)範(fàn)資料及程式檔案之備份作業(yè) ?明確分派災(zāi)害復(fù)原責(zé)任，實(shí)施復(fù)原編組及應(yīng)負(fù)責(zé)之復(fù)原作業(yè) ?妥善保管復(fù)原計(jì)畫之書面文件 ?安排備援之電腦與通訊設(shè)備，確保能在最短時(shí)間內(nèi)啟用 ?進(jìn)行應(yīng)變規(guī)劃與風(fēng)險(xiǎn)分析 一般控制 訂定災(zāi)害復(fù)原計(jì)畫 (三 ) ? 應(yīng)變規(guī)劃 ? 辨認(rèn)不同資料處理中斷時(shí)，對組織之可能影響 ? 風(fēng)險(xiǎn)分析 ? 找出關(guān)鍵性應(yīng)用系統(tǒng)並排優(yōu)先順序，評估保險(xiǎn)額度，及辨認(rèn)相關(guān)風(fēng)險(xiǎn)與可能影響 一般控制 保護(hù)個(gè)人電腦與主從式網(wǎng)路 (一 ) ? 訓(xùn)練個(gè)人電腦使用者瞭解相關(guān)之控制觀念 ? 個(gè)人電腦設(shè)備上鎖及黏貼財(cái)產(chǎn)標(biāo)籤 ? 訂定個(gè)人電腦使用政策與程序，規(guī)範(fàn)資料儲(chǔ)存、軟體安裝與使用、設(shè)備保管責(zé)任 ? 長時(shí)間未使用之個(gè)人電腦自動(dòng)關(guān)機(jī) ? 電腦硬碟定期備份 一般控制 保護(hù)個(gè)人電腦與主從式網(wǎng)路 (二 ) ? 設(shè)定多重使用者密碼，限制個(gè)人電腦之使用，並進(jìn)行權(quán)限設(shè)定，以便職能分工 ? 採用檔案清除工具程式，徹底清除使用不使用之磁片內(nèi)容 ? 網(wǎng)路作業(yè)頇保留操作日誌 (operation log)，以作為稽核軌跡 ? 安裝防毒程式，偵測及過濾電腦病毒，並教導(dǎo)使用者如何防範(fàn)病毒之感染 一般控制 網(wǎng)際網(wǎng)路控制 ? 應(yīng)建立網(wǎng)路安全政策 (work security policy)，以保護(hù)網(wǎng)際網(wǎng)路相關(guān)作業(yè)安全 ，確保資料可用性、隱密性與真實(shí)性 ? 網(wǎng)路安全之主要控制方法包含： (1)資料傳送之相關(guān)控制措施 (2)使用者帳戶之管理 (3)防火牆之架設(shè) 電腦化資訊系統(tǒng)之應(yīng)用控制 ? 目的： 合理保證該應(yīng)用系統(tǒng)之之輸入、處理、輸出之正確性與完整性 ? 應(yīng)用系統(tǒng)薄弱，可能導(dǎo)致輸出資訊錯(cuò)誤 ，造成管理決策失當(dāng)，而影響企業(yè)營運(yùn) ? 一般而言，應(yīng)用控制可區(qū)分為： (1)輸入控制 (input controls) (2)處理控制 (processing controls) (3)輸出控制 (output controls) 應(yīng)用控制 輸入控制 ?目的： 合理保證輸入之資料經(jīng)過適當(dāng)之核準(zhǔn)、轉(zhuǎn)換成機(jī)器可讀之型態(tài)、及其內(nèi)容之正確性與完整性 ?包含三種控制措施： ?原始資料控制 ?輸入驗(yàn)證程序 ?線上資料輸入控制 應(yīng)用控制 輸入控制：原始資料控制 (一 ) ? 目的：確保輸入資料之有效性、正確性、完整性 ? 控制方法種類： (1)批次總數(shù) (2)原始憑證檢視與註記 (3)表單連號(hào)檢查 (4)重複鍵入 (5)檢查碼驗(yàn)證 (6)迴轉(zhuǎn)文件之運(yùn)用 (7)資料控制職能 應(yīng)用控制 輸入控制：原始資料控制 (二 ) ?批次總數(shù) /控制總數(shù)： 比對原始資料與後續(xù)處理資料間之一致性。 ? 相關(guān)人員輸入特定代碼時(shí)，程式立即比對檢查碼是否相符；若有不符，表示輸入有誤，應(yīng)重新輸入 應(yīng)用控制 輸入控制：原始資料控制 (五 ) ?迴轉(zhuǎn)文件之運(yùn)用： 一種後來可作為交易輸入文件使用之電腦輸出文件，可利用機(jī)器直接讀取資料，有助提高輸入作業(yè)之效率與正確性。 ? 資料控制人員應(yīng)定期列印 錯(cuò)誤清單或報(bào)表 ，標(biāo)明錯(cuò)誤性質(zhì)、發(fā)現(xiàn)日期及時(shí)間，作為改進(jìn)輸入作業(yè)之參考 應(yīng)用控制 輸入控制：輸入驗(yàn)證程序 (二 ) ?常見之輸入驗(yàn)證程序?yàn)椋? ?欄位檢查 (field check)： 檢查某個(gè)欄位中之資料是否符合原先定義之型態(tài)(ex: 數(shù)值、文字、日期 ) ?上下限與範(fàn)圍檢查 (limit and range check)： 根據(jù)已知資料上之上下限，或範(fàn)圍進(jìn)行檢查 (ex: 員工每月加班時(shí)數(shù)是否超過規(guī)定上限 ) ?順序檢查 (sequence check)： 確認(rèn)記錄按照適當(dāng)之順序排序 (通常用於批次處理 ) ?符號(hào)檢查 (sign check)： 確認(rèn)特定欄位之值具有正確之符號(hào) (ex: 薪資記錄之工時(shí)欄應(yīng)為正值 ) 應(yīng)用控制 輸入控制：輸入驗(yàn)證程序 (三 ) ?有效性檢查 (validity check)： 將輸入之代號(hào)或交易代碼，與已經(jīng)過核定或正確代碼比較，以確定其有效性 ?合理性測詴 (reasonableness check)： 測詴輸入資料項(xiàng)目數(shù)值與相關(guān)主檔記錄之邏輯關(guān)係是否正確 ?複資料檢查 (redundant check)： 利用一筆交易兩個(gè)欄位確認(rèn)資料之正確性 應(yīng)用控制 輸入控制：線上資料輸入控制 (一 ) ?使用者利用終端機(jī)或個(gè)人電腦於線上輸入資料時(shí)，系統(tǒng)應(yīng) 立即檢查 交易資之正確性與完整性，並要求使用者 馬上補(bǔ)正 ，才能接受該筆交易資料 應(yīng)用控制 輸入控制：線上資料輸入控制 (二 ) ? 線上輸入資料除可沿用批次輸入之驗(yàn)證程序外，應(yīng)額外採下列控制方法或程序： ?身份驗(yàn)證： 查驗(yàn)使用者代號(hào)與密碼，以確認(rèn)經(jīng)過適當(dāng)之授權(quán) ?權(quán)限測詴： 確認(rèn)使用者具有輸入或檢視特定資料之權(quán)限 ?訊息提示： 給使用者明確之訊息提示，要求其依照一定之方式或順序輸入各項(xiàng)資料 應(yīng)用控制 輸入控制：線上資料輸入