【正文】 ?資料控制職能： 資料控制人員收到待處理資料時(shí)，應(yīng)確認(rèn)其經(jīng)過(guò)授權(quán)，再加以登錄。組織必頇就電腦職能（部門(mén)）進(jìn)行適當(dāng)分工，以降低電腦集中多項(xiàng)功能所帶來(lái)的威脅 ?一般而言 ，在組織規(guī)模容許及合乎成本效益的情況下，資訊系統(tǒng)的下列相關(guān)職能應(yīng)有適當(dāng)?shù)姆止ぃ合到y(tǒng)分析、程式設(shè)計(jì)、電腦操作、資料控制、系統(tǒng)函式庫(kù) （ library） 以及使用者。不過(guò) ，預(yù)防性控制很難達(dá)到絕對(duì)的控制，所以有效的 偵測(cè)性控制可發(fā)揮補(bǔ)償 的作用 ，避免問(wèn)題久未發(fā)現(xiàn)，而造成更大的傷害。 富邦證之危機(jī)管理 向證交所申報(bào)錯(cuò)帳 發(fā)出聲名稿，承認(rèn)錯(cuò)誤 調(diào)現(xiàn)金 命自營(yíng)部買(mǎi)入經(jīng)紀(jì)部要賣(mài)的股票 檢討下單流程、電腦程式、風(fēng)險(xiǎn)管理及 查核程序 懲處交易員 修改電腦程式 富邦證之內(nèi)部控制 ?控制環(huán)境 董事長(zhǎng)兼總經(jīng)理 (葉公亮 )與國(guó)際部顧問(wèn)(周資青 )權(quán)責(zé)分配失衡 ?風(fēng)險(xiǎn)評(píng)估 透過(guò)加強(qiáng)員工風(fēng)險(xiǎn)意識(shí)、資訊控制、交易分層授權(quán)以降低錯(cuò)帳金額 富邦證之內(nèi)部控制 ?控制活動(dòng) 系統(tǒng)設(shè)計(jì)者設(shè)計(jì)不良 、 系統(tǒng)使用者未能與系統(tǒng)設(shè)計(jì)者充分溝通，使系統(tǒng)設(shè)計(jì)者不瞭解控制是必要的、系統(tǒng)測(cè)詴與教育訓(xùn)練不足 ?資訊與溝通 以開(kāi)放的態(tài)度對(duì)外溝通達(dá)到效果 ?監(jiān)督 事後由董事長(zhǎng)領(lǐng)軍，成立風(fēng)險(xiǎn)改進(jìn)委員會(huì)，重新檢視風(fēng)險(xiǎn)控管機(jī)制並提出改進(jìn)方式，同時(shí)嚴(yán)格規(guī)範(fàn)各單位自行查核人員及內(nèi)部稽核人員之查核方式 建立資訊系統(tǒng)內(nèi)部控制之重要性 (一 ) ★ 經(jīng)營(yíng)環(huán)境複雜化 ★ 資訊需求多樣化 資訊系統(tǒng)複雜化與風(fēng)險(xiǎn)性 良好之內(nèi)部控制 降低風(fēng)險(xiǎn)之影響或損失 確保組織正常運(yùn)作 建立資訊系統(tǒng)內(nèi)部控制之重要性 (二 ) ★ 資訊系統(tǒng)稽核與控制基金會(huì) (Information Systems Audit and Control Foundation, 簡(jiǎn)稱(chēng) ISACF)發(fā)佈「 資訊及相關(guān)技術(shù)控制目的 (Control objectives for information and related technology,簡(jiǎn)稱(chēng) COBIT)」，可以作為企業(yè)建立資訊系統(tǒng)與資訊科技安全控制政策與程序之架構(gòu) COBIT基本觀念架構(gòu) (一 ) ? 用途： 在於提供與資訊科技應(yīng)用、控制與稽核有關(guān)之指引 ? COBIT由 COBIT指導(dǎo)委員會(huì) 與 ISACF共同發(fā)佈 ? 使命： 研究、發(fā)展、發(fā)佈與推廣一供套權(quán)威、最新、國(guó)際公認(rèn)之資訊科技控管目的，供企業(yè)經(jīng)理人與稽核人員日常使用 ? 基本理念： 企業(yè)頇透過(guò)管理 IT流程，將 IT資源整合運(yùn)用，進(jìn)而滿(mǎn)足組織之業(yè)務(wù)需求 COBIT基本觀念架構(gòu) (二 ) ? COBIT兼顧 品質(zhì) (quality)、監(jiān)管 (fiduciary)、安全 (security)三方面之需求，彙整成七項(xiàng)資訊標(biāo)準(zhǔn)： 效果、效率、保密、真實(shí)、可用性、遵循性、可靠性 ? 為確保資訊符合上述標(biāo)準(zhǔn)，組織必頇適當(dāng)?shù)乜刂萍氨O(jiān)督 IT資源之使用 ? COBIT將 IT資源之管理分為 範(fàn)疇 (domains)、流程 (processes)、活動(dòng) (activities)三個(gè)層次 內(nèi)部控制的分類(lèi) ?依照內(nèi)部控制程序採(cǎi)行的 時(shí)間點(diǎn) ，可以區(qū)分為 預(yù)防性控制、偵測(cè)性控制以及改正性控制 (補(bǔ)充：指示性控制、補(bǔ)償性控制 ) ?就 電腦化 資訊系統(tǒng)的觀點(diǎn)而言，其內(nèi)部控制可以區(qū)分為 一般控制與應(yīng)用控制 ?若按照 資料處理步驟 的區(qū)分 ,內(nèi)部控制可以區(qū)分為 輸入控制、處理控制以及輸出控制 預(yù)防性、偵測(cè)性與改正性控制 (一 ) ?依照內(nèi)部控制程序採(cǎi)行的時(shí)間點(diǎn)，可以區(qū)分為預(yù)防性控制、偵測(cè)性控制以及改正性控制 。換句話說(shuō)，這五項(xiàng)組成要素之間密切相關(guān)，而形成一個(gè)完整的內(nèi)部控制模式。 COSO內(nèi)部控制模式及其組成要素(二 ) ?COSO研究報(bào)告將內(nèi)部控制定義為 ?公司 董事會(huì)、管理當(dāng)局、及其部屬 為了 合理保證 下列控制目標(biāo)之達(dá)成，而採(cǎi)行的程序： 營(yíng)運(yùn)的效果與效率、財(cái)務(wù)報(bào)導(dǎo)的可靠性、以及相關(guān)法令與規(guī)章的遵循 。暴險(xiǎn)與控制程序(一 ) 威脅 暴險(xiǎn) 控制程序 1)雇用不合格或 品德不佳之員 工 ?生產(chǎn)效率低並 影響士氣 ?資產(chǎn)被竊 ?機(jī)密外洩而影 響公司競(jìng)爭(zhēng)力 ?增加舞弊機(jī)會(huì) ?嚴(yán)格把關(guān)人事 ?適當(dāng)之新進(jìn)人員訓(xùn)練 ?詴用期間之考評(píng)觀察 ?注重員工先前之工作 經(jīng)驗(yàn) ?杜絕高階主管聘私人 2)觸犯勞工相關(guān) 法案 ?罰金或訴訟 ?影響公司聲譽(yù) ?訂定明確之書(shū)面僱用 契約 ?確定勞資之權(quán)利義務(wù) ?設(shè)立法律諮詢(xún)服務(wù) 薪工循環(huán)之威脅 amp。暴險(xiǎn)與控制程序(五 ) 威脅 暴險(xiǎn) 控制程序 9)存貨失竊 ?存貨財(cái)產(chǎn)損失 ?記錄錯(cuò)誤 ?無(wú)法如期出貨 ?定期盤(pán)點(diǎn)存貨 ?加強(qiáng)保全、投保產(chǎn)物 險(xiǎn) ?做好內(nèi)部控制、職能 分工 10)進(jìn)貨發(fā)票錯(cuò)誤 ?記錄不正確 ?付款金額不正 確 ?帳務(wù)處理成本 增加 ?付款時(shí)，要與訂購(gòu)單 及驗(yàn)收單做確認(rèn) ?EDI處理 採(cǎi)購(gòu)循環(huán)之威脅 amp。暴險(xiǎn)與控制程序(二 ) 威脅 暴險(xiǎn) 控制程序 3)在途存貨失竊 ?存貨資產(chǎn)損失 ?存貨高估 ?限制實(shí)體接取 ?內(nèi)部移轉(zhuǎn)文件化 ?定期盤(pán)點(diǎn)存貨並調(diào)節(jié) 帳載記錄與實(shí)體庫(kù)存 之差異 4)出貨時(shí)未開(kāi)列 帳單 ?應(yīng)收帳款低估 ?收不到貨款 ?資金週轉(zhuǎn)不靈 ?送貨及帳單一起處理 ，送貨單預(yù)先編號(hào) ?出貨時(shí)與對(duì)方收貨單 位確認(rèn)，到貨頇回電 或回執(zhí) ?漏記時(shí)立即補(bǔ)寄帳單 銷(xiāo)售循環(huán)之威脅 amp。若要求絕對(duì)保證組織目標(biāo)的達(dá)成 ，則會(huì)使內(nèi)部控制成本過(guò)高，超過(guò)其所能產(chǎn)生的效益（也就是邊際成本大於邊際效益）。因此，內(nèi)部控制的設(shè)計(jì)通常以「 合理保證 」為目標(biāo)。暴險(xiǎn)與控制程序(三 ) 威脅 暴險(xiǎn) 控制程序 5)開(kāi)單錯(cuò)誤 ?記錄不正確 ?短、漏開(kāi)發(fā)票， 被罰款 ?增加訂單處理成 本 ?揀貨單與銷(xiāo)貨單 (金額 , 數(shù)量 )互相驗(yàn)證 ?銷(xiāo)貨價(jià)格可先在電腦 輸入，避免人工輸入 錯(cuò)誤 6)現(xiàn)金失竊 ?資產(chǎn)損失 ?資金週轉(zhuǎn)不靈 ?責(zé)任分工，財(cái)務(wù)主管 不定期抽點(diǎn) ?工作輪調(diào) ?使用保險(xiǎn)設(shè)備 ?定期調(diào)節(jié)銀行對(duì)帳單 銷(xiāo)售循環(huán)之威脅 amp。暴險(xiǎn)與控制程序(六 ) 威脅 暴險(xiǎn) 控制程序 11)對(duì)未收到之貨 品支付貨款 ?現(xiàn)金損失 ?核對(duì)發(fā)票及驗(yàn)收單內(nèi) 之?dāng)?shù)量 ?確定貨物收到再付款 12)未及時(shí)取得進(jìn) 貨折扣 ?造成多付款 ， 銷(xiāo)貨成本增加 ?喪失高報(bào)酬率 之利息 ?編製付款期限分析表 ?付款方式採(cǎi)淨(jìng)額法 ?作現(xiàn)金流量預(yù)算 採(cǎi)購(gòu)循環(huán)之威脅 amp。暴險(xiǎn)與控制程序(二 ) 威脅 暴險(xiǎn) 控制程序 3)錯(cuò)誤之工時(shí)資 料 ?費(fèi)用增加 ?不正確之報(bào)告 ?資產(chǎn)損失 ?增加不必要之 人工成本 ?自動(dòng)化資料收集 ?職能分工 ?比較預(yù)算之薪資費(fèi)用 與實(shí)際發(fā)放額 ?檔案頇經(jīng)特定人處理 與驗(yàn)證 4)錯(cuò)誤之薪工處 理 ?不符收入配合 原則 ?費(fèi)用之內(nèi)部報(bào) 導(dǎo)不正確 ?給薪不正確 ?批次控制及其他應(yīng)用 控制 ?調(diào)節(jié)計(jì)工單、計(jì)時(shí)卡 ?不定期抽查 薪工循環(huán)之威脅 amp。」 。 COSO內(nèi)部控制模式及其組成要素(四 ) ?控制環(huán)境 (Control environment) ?風(fēng)險(xiǎn)評(píng)估 (Risk assessment) ?控制作業(yè) (Control activities) ?資訊與溝通 (Information and munication) ?監(jiān)督 (Monitoring) 控制環(huán)境 ?控制環(huán)境包括七項(xiàng)組成因素 ? 管理階層的操守與價(jià)值觀 ? 管理哲學(xué)與經(jīng)營(yíng)風(fēng)格 ? 組織架構(gòu) ? 外部監(jiān)察人的參與 ? 分派權(quán)力與責(zé)任的方法 ? 人力資源政策與實(shí)務(wù) ? 外部影響 控制環(huán)境 ▲ 常見(jiàn)機(jī)制 落實(shí)管理當(dāng)局之責(zé)任 啟動(dòng)董事會(huì)與審計(jì)委員會(huì)之監(jiān)督功能 明確詳細(xì)的員工守則 適當(dāng)?shù)膯T工任免政策 實(shí)行獨(dú)立於一般管理階層之外的 道德諮詢(xún)系統(tǒng) (制訂檢舉制度 ) 一套完整的舞弊調(diào)查及矯正措施 風(fēng)險(xiǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)估包括辨認(rèn)、分析及管理企業(yè)有關(guān)的風(fēng)險(xiǎn) ? 風(fēng)險(xiǎn) (risk)係指威脅實(shí)際發(fā)生的可能性，可以 0到 1的機(jī)率值表示 ? 若威脅實(shí)際發(fā)生，企業(yè)因而可能產(chǎn)生的損失稱(chēng)為暴險(xiǎn)度 (exposure) ? 若我們將風(fēng)險(xiǎn) (機(jī)率值 )乘以暴險(xiǎn)度 (金額 )， 就能計(jì)算出某項(xiàng)威脅帶來(lái)的預(yù)期損失 。 預(yù)防性控制 可以用來(lái)防止問(wèn)題的發(fā)生，是一種 事前 的觀念。至於 改正性控制則應(yīng)強(qiáng)調(diào)對(duì)癥下藥 ，並避免類(lèi)似問(wèn)題重複發(fā)生。 一般控制 資訊系統(tǒng)職能內(nèi)部分工 (二 ) ?適用於大型主機(jī)電腦環(huán)境之集中式資訊系統(tǒng)組織架構(gòu)，不同職能之分工大致如下： ? 系統(tǒng)分析師 /設(shè)計(jì)師 ? 程式設(shè)計(jì)師 ? 資料庫(kù)管理 ? 通信 /網(wǎng)路控制 ? 電腦操作員 ? 系統(tǒng)函式庫(kù) / 資料管理員 ? 資料控制小組 ? 資料準(zhǔn)備 /輸入 ? 終端使用者 一般控制 專(zhuān)案發(fā)展控制 ?組織開(kāi)發(fā)資訊系統(tǒng)時(shí)，必頇投入大量人力、時(shí)間與財(cái)務(wù)資源 ?若缺乏適當(dāng)之規(guī)劃與管控，常造成專(zhuān)案進(jìn)度落後、成本超支、系統(tǒng)品質(zhì)低落 ?一般而言，系統(tǒng)開(kāi)發(fā)專(zhuān)案之規(guī)劃與管控包含： ? 訂定長(zhǎng)期資訊系統(tǒng)主計(jì)畫(huà) ?