【正文】 15)付款給虛設(shè)供 應(yīng)商及票據(jù)被 竄改 ?資產(chǎn)損失 ?現(xiàn)金減少 ?信用不佳 ?所有購(gòu)貨以支票給付 、支票編號(hào)、存取控制 ?設(shè)零用金制度 ?獨(dú)立之銀行調(diào)節(jié)表 ?定期盤(pán)點(diǎn)資產(chǎn) 16)電子轉(zhuǎn)帳現(xiàn)金 遭竊 ?資金被盜 ?機(jī)密外洩 ?嚴(yán)格之登錄控制 (經(jīng)常變更使用者帳號(hào) 與密碼 ) ?加強(qiáng)內(nèi)控 ?資料傳輸加密 採(cǎi)購(gòu)循環(huán)之威脅 amp。暴險(xiǎn)與控制程序(三 ) 威脅 暴險(xiǎn) 控制程序 5)資料毀損 ?支出增加與內(nèi) 控不健全 ?喪失對(duì)客戶(hù)之 信譽(yù)與未來(lái)之 銷(xiāo)售額 ?產(chǎn)生法律責(zé)任 ?資料備份 ?災(zāi)害復(fù)原計(jì)畫(huà) ?存取控制 薪工循環(huán)之威脅 amp。暴險(xiǎn)與控制程序(四 ) 威脅 暴險(xiǎn) 控制程序 7)薪工資料毀損 或洩密 ?員工之個(gè)人資 料與隱私被公 開(kāi) ?員工流失 ?影響員工士氣 ?增加公司之訴 訟支出 ?接取控制 ?資料備份 ?資料加密 固定資產(chǎn)循環(huán)之威脅 amp。該報(bào)告已成為最權(quán)威的內(nèi)部控制文獻(xiàn)，已被實(shí)務(wù)界廣為採(cǎi)用。 COSO內(nèi)部控制模式及其組成要素(三 ) ? COSO控制模式是以 控制環(huán)境 為基礎(chǔ)。上述的控制過(guò)程必頇加以 監(jiān)督 ，並做必要的修正，以維持內(nèi)部控制制度的有效性。資訊系統(tǒng)詳細(xì)紀(jì)錄交易處裡的過(guò)程，這些資料成為交易的稽核軌跡 (audit trail)。 2020/07/19, 證交所處違約金額 $30萬(wàn)。 ?企業(yè)在設(shè)計(jì)控制程序時(shí)，必頇加入適當(dāng)?shù)?偵測(cè)性控制 ，以便在問(wèn)題發(fā)生時(shí)，能夠迅速的察覺(jué) ，並立即通知相關(guān)的人員採(cǎi)取補(bǔ)救或改正的行動(dòng)。因此，在合乎成本效益的前提下，企業(yè)應(yīng) 優(yōu)先採(cǎi)行預(yù)防性控制 。 ?應(yīng)用控制 的目的則為在交易處理過(guò)程中 ， 預(yù)防 、 偵測(cè)及改正相關(guān)的錯(cuò)誤與舞弊 。 一般控制 資訊系統(tǒng)職能內(nèi)部分工 (一 ) ?電腦作業(yè)環(huán)境下 ，多項(xiàng)工作可能由電腦一併完成，使得傳統(tǒng)人工作業(yè)環(huán)境下的分工方式較不可行?？梢佬蚍譃槿齻€(gè)層次： (1)辨識(shí)使用者身份 (2)身份驗(yàn)證 (3)確認(rèn)權(quán)限 ?一般常用之使用者權(quán)限設(shè)定方式為建立存取控制表，以規(guī)範(fàn)不同使用者對(duì)於各項(xiàng)資料與程式檔案之權(quán)限等級(jí) (ex：讀取、顯示、寫(xiě)入、更新、增加、刪除 ) 一般控制 資料儲(chǔ)存控制 組織應(yīng)將資料視為重要資源，並妥善保護(hù) 及控制，以免遭到未經(jīng)授權(quán)之揭露、使用 或破壞 一般控制 資料傳輸控制 ?組織利用網(wǎng)路傳送資料時(shí)，為降低傳輸失之風(fēng)險(xiǎn)，相關(guān)人員應(yīng) 監(jiān)控通信網(wǎng)路 ，發(fā)現(xiàn)弱點(diǎn)頇立即加以補(bǔ)強(qiáng) ?一般常用來(lái)降低資料傳輸錯(cuò)誤之方法或程序包含： (1)資料加密 (2)驗(yàn)證程序 (3)位元檢查 (4)訊息確認(rèn)技術(shù) 一般控制 建立文件標(biāo)準(zhǔn) (一 ) ? 為讓相關(guān)人員易於 瞭解 、 使用 及 維護(hù) 資 訊系統(tǒng)，企業(yè)在開(kāi)發(fā)系統(tǒng)之過(guò)程中，應(yīng) 建立相關(guān)文件 ? 進(jìn)行系統(tǒng)書(shū)面化工作時(shí)，各項(xiàng)文件之編 寫(xiě)與修改應(yīng) 一致性 ，並存放於安全地方 ，以便文件之使用 一般控制 建立文件標(biāo)準(zhǔn) (二 ) ? 一般常用之資訊系統(tǒng)文件為： (1)系統(tǒng)文件 (system documentation) (2)程式文件 (program documentation) (3)操作文件 (operating documentation) (4)電腦操作手冊(cè) (puter run manual) (5)程序文件 (procedural documentation) (6)使用者文件 (user documentation) 一般控制 降低系統(tǒng)當(dāng)機(jī)時(shí)間 ? 電腦軟體或硬體之失靈會(huì)造成資訊系統(tǒng)無(wú)法正常運(yùn)作，而導(dǎo)致 重大營(yíng)運(yùn)或財(cái)務(wù)損失 ? 一般常用來(lái)降低當(dāng)機(jī)時(shí)間之方法為： (1)落實(shí) 預(yù)防性維護(hù) 工作 (2)建立 不斷電系統(tǒng) (3)配置 額外之系統(tǒng)組件 ，以提昇系統(tǒng)之 容錯(cuò)能力 一般控制 訂定災(zāi)害復(fù)原計(jì)畫(huà) (一 ) ? 每個(gè)組織都應(yīng)訂定一套災(zāi)害復(fù)原計(jì)畫(huà)，以確保發(fā)生重大災(zāi)害時(shí)，能迅速、順利地恢復(fù)資訊系統(tǒng)之作業(yè)能力 ? 一般而言，其目的： (1)降低資料毀損及業(yè)務(wù)中斷之可能損失 (2)建立暫時(shí)性之資料處理措施 (3)盡快恢復(fù)正常作業(yè) (4)實(shí)施緊急作業(yè)訓(xùn)練，讓員工熟悉應(yīng)變程序 一般控制 訂定災(zāi)害復(fù)原計(jì)畫(huà) (二 ) ? 復(fù)原計(jì)畫(huà)應(yīng)包含下列要素： ?明訂復(fù)原程序之優(yōu)先順序 ?明訂規(guī)範(fàn)資料及程式檔案之備份作業(yè) ?明確分派災(zāi)害復(fù)原責(zé)任，實(shí)施復(fù)原編組及應(yīng)負(fù)責(zé)之復(fù)原作業(yè) ?妥善保管復(fù)原計(jì)畫(huà)之書(shū)面文件 ?安排備援之電腦與通訊設(shè)備，確保能在最短時(shí)間內(nèi)啟用 ?進(jìn)行應(yīng)變規(guī)劃與風(fēng)險(xiǎn)分析 一般控制 訂定災(zāi)害復(fù)原計(jì)畫(huà) (三 ) ? 應(yīng)變規(guī)劃 ? 辨認(rèn)不同資料處理中斷時(shí)，對(duì)組織之可能影響 ? 風(fēng)險(xiǎn)分析 ? 找出關(guān)鍵性應(yīng)用系統(tǒng)並排優(yōu)先順序，評(píng)估保險(xiǎn)額度，及辨認(rèn)相關(guān)風(fēng)險(xiǎn)與可能影響 一般控制 保護(hù)個(gè)人電腦與主從式網(wǎng)路 (一 ) ? 訓(xùn)練個(gè)人電腦使用者瞭解相關(guān)之控制觀念 ? 個(gè)人電腦設(shè)備上鎖及黏貼財(cái)產(chǎn)標(biāo)籤 ? 訂定個(gè)人電腦使用政策與程序，規(guī)範(fàn)資料儲(chǔ)存、軟體安裝與使用、設(shè)備保管責(zé)任 ? 長(zhǎng)時(shí)間未使用之個(gè)人電腦自動(dòng)關(guān)機(jī) ? 電腦硬碟定期備份 一般控制 保護(hù)個(gè)人電腦與主從式網(wǎng)路 (二 ) ? 設(shè)定多重使用者密碼，限制個(gè)人電腦之使用，並進(jìn)行權(quán)限設(shè)定，以便職能分工 ? 採(cǎi)用檔案清除工具程式，徹底清除使用不使用之磁片內(nèi)容 ? 網(wǎng)路作業(yè)頇保留操作日誌 (operation log)，以作為稽核軌跡 ? 安裝防毒程式，偵測(cè)及過(guò)濾電腦病毒，並教導(dǎo)使用者如何防範(fàn)病毒之感染 一般控制 網(wǎng)際網(wǎng)路控制 ? 應(yīng)建立網(wǎng)路安全政策 (work security policy)，以保護(hù)網(wǎng)際網(wǎng)路相關(guān)作業(yè)安全 ，確保資料可用性、隱密性與真實(shí)性 ? 網(wǎng)路安全之主要控制方法包含： (1)資料傳送之相關(guān)控制措施 (2)使用者帳戶(hù)之管理 (3)防火牆之架設(shè) 電腦化資訊系統(tǒng)之應(yīng)用控制 ? 目的： 合理保證該應(yīng)用系統(tǒng)之之輸入、處理、輸出之正確性與完整性 ? 應(yīng)用系統(tǒng)薄弱，可能導(dǎo)致輸出資訊錯(cuò)誤 ，造成管理決策失當(dāng)，而影響企業(yè)營(yíng)運(yùn) ? 一般而言，應(yīng)用控制可區(qū)分為： (1)輸入控制 (input controls) (2)處理控制 (processing controls) (3)輸出控制 (output controls) 應(yīng)用控制 輸入控制 ?目的： 合理保證輸入之資料經(jīng)過(guò)適當(dāng)之核準(zhǔn)、轉(zhuǎn)換成機(jī)器可讀之型態(tài)、及其內(nèi)容之正確性與完整性 ?包含三種控制措施： ?原始資料控制 ?輸入驗(yàn)證程序 ?線(xiàn)上資料輸入控制 應(yīng)用控制 輸入控制：原始資料控制 (一 ) ? 目的：確保輸入資料之有效性、正確性、完整性 ? 控制方法種類(lèi)： (1)批次總數(shù) (2)原始憑證檢視與註記 (3)表單連號(hào)檢查 (4)重複鍵入 (5)檢查碼驗(yàn)證 (6)迴轉(zhuǎn)文件之運(yùn)用 (7)資料控制職能 應(yīng)用控制 輸入控制：原始資料控制 (二 ) ?批次總數(shù) /控制總數(shù)： 比對(duì)原始資料與後續(xù)處理資料間之一致性。 ? 相關(guān)人員輸入特定代碼時(shí)，程式立即比對(duì)檢查碼是否相符；若有不符，表示輸入有誤，應(yīng)重新輸入 應(yīng)用控制 輸入控制：原始資料控制 (五 ) ?迴轉(zhuǎn)文件之運(yùn)用： 一種後來(lái)可作為交易輸入文件使用之電腦輸出文件，可利用機(jī)器直接讀取資料，有助提高輸入作業(yè)之效率與正確性。 ? 資料控制人員應(yīng)定期列印 錯(cuò)誤清單或報(bào)表 ，標(biāo)明錯(cuò)誤性質(zhì)、發(fā)現(xiàn)日期及時(shí)間，作為改進(jìn)輸入作業(yè)之參考 應(yīng)用控制 輸入控制：輸入驗(yàn)證程序 (二 ) ?常見(jiàn)之輸入驗(yàn)證程序?yàn)椋? ?欄位檢查 (field check)： 檢查某個(gè)欄位中之資料是否符合原先定義之型態(tài)(ex: 數(shù)值、文字、日期 ) ?上下限與範(fàn)圍檢查 (limit and range check)： 根據(jù)已知資料上之上下限，或範(fàn)圍進(jìn)行檢查 (ex: 員工每月加班時(shí)數(shù)是否超過(guò)規(guī)定上限 ) ?順序檢查 (sequence check)： 確認(rèn)記錄按照適當(dāng)之順序排序 (通常用於批次處理 ) ?符號(hào)檢查 (sign check)： 確認(rèn)特定欄位之值具有正確之符號(hào) (ex: 薪資記錄之工時(shí)欄應(yīng)為正值 ) 應(yīng)用控制 輸入控制：輸入驗(yàn)證程序 (三 ) ?有效性檢查 (validity check)： 將輸入之代號(hào)或交易代碼，與已經(jīng)過(guò)核定或正確代碼比較，以確定其有效性 ?合理性測(cè)詴 (reasonableness check)： 測(cè)詴輸入資料項(xiàng)目數(shù)值與相關(guān)主檔記錄之邏輯關(guān)係是否正確 ?複資料檢查 (redundant check)： 利用一筆交易兩個(gè)欄位確認(rèn)資料之正確性 應(yīng)用控制 輸入控制：線(xiàn)上資料輸入控制 (一 ) ?使用者利用終端機(jī)或個(gè)人電腦於線(xiàn)上輸入資料時(shí)，系統(tǒng)應(yīng) 立即檢查 交易資之正確性與完整性，並要求使用者 馬上補(bǔ)正 ，才能接受該筆交易資料 應(yīng)用控制 輸入控制：線(xiàn)上資料輸入控制 (二 ) ? 線(xiàn)上輸入資料除可沿用批次輸入之驗(yàn)證程序外，應(yīng)額外採(cǎi)下列控制方法或程序： ?身份驗(yàn)證： 查驗(yàn)使用者代號(hào)與密碼，以確認(rèn)經(jīng)過(guò)適當(dāng)之授權(quán) ?權(quán)限測(cè)詴： 確認(rèn)使用者具有輸入或檢視特定資料之權(quán)限 ?訊息提示： 給使用者明確之訊息提示，要求其依照一定之方式或順序輸入各項(xiàng)資料 應(yīng)用控制 輸入控制：線(xiàn)上資料輸入