【正文】 ?資料控制職能： 資料控制人員收到待處理資料時，應(yīng)確認其經(jīng)過授權(quán)，再加以登錄。組織必頇就電腦職能（部門）進行適當分工，以降低電腦集中多項功能所帶來的威脅 ?一般而言 ，在組織規(guī)模容許及合乎成本效益的情況下，資訊系統(tǒng)的下列相關(guān)職能應(yīng)有適當?shù)姆止ぃ合到y(tǒng)分析、程式設(shè)計、電腦操作、資料控制、系統(tǒng)函式庫 （ library） 以及使用者。不過 ，預(yù)防性控制很難達到絕對的控制，所以有效的 偵測性控制可發(fā)揮補償 的作用 ，避免問題久未發(fā)現(xiàn)，而造成更大的傷害。 富邦證之危機管理 向證交所申報錯帳 發(fā)出聲名稿，承認錯誤 調(diào)現(xiàn)金 命自營部買入經(jīng)紀部要賣的股票 檢討下單流程、電腦程式、風險管理及 查核程序 懲處交易員 修改電腦程式 富邦證之內(nèi)部控制 ?控制環(huán)境 董事長兼總經(jīng)理 (葉公亮 )與國際部顧問(周資青 )權(quán)責分配失衡 ?風險評估 透過加強員工風險意識、資訊控制、交易分層授權(quán)以降低錯帳金額 富邦證之內(nèi)部控制 ?控制活動 系統(tǒng)設(shè)計者設(shè)計不良 、 系統(tǒng)使用者未能與系統(tǒng)設(shè)計者充分溝通，使系統(tǒng)設(shè)計者不瞭解控制是必要的、系統(tǒng)測詴與教育訓(xùn)練不足 ?資訊與溝通 以開放的態(tài)度對外溝通達到效果 ?監(jiān)督 事後由董事長領(lǐng)軍，成立風險改進委員會，重新檢視風險控管機制並提出改進方式，同時嚴格規(guī)範各單位自行查核人員及內(nèi)部稽核人員之查核方式 建立資訊系統(tǒng)內(nèi)部控制之重要性 (一 ) ★ 經(jīng)營環(huán)境複雜化 ★ 資訊需求多樣化 資訊系統(tǒng)複雜化與風險性 良好之內(nèi)部控制 降低風險之影響或損失 確保組織正常運作 建立資訊系統(tǒng)內(nèi)部控制之重要性 (二 ) ★ 資訊系統(tǒng)稽核與控制基金會 (Information Systems Audit and Control Foundation, 簡稱 ISACF)發(fā)佈「 資訊及相關(guān)技術(shù)控制目的 (Control objectives for information and related technology,簡稱 COBIT)」，可以作為企業(yè)建立資訊系統(tǒng)與資訊科技安全控制政策與程序之架構(gòu) COBIT基本觀念架構(gòu) (一 ) ? 用途： 在於提供與資訊科技應(yīng)用、控制與稽核有關(guān)之指引 ? COBIT由 COBIT指導(dǎo)委員會 與 ISACF共同發(fā)佈 ? 使命： 研究、發(fā)展、發(fā)佈與推廣一供套權(quán)威、最新、國際公認之資訊科技控管目的，供企業(yè)經(jīng)理人與稽核人員日常使用 ? 基本理念： 企業(yè)頇透過管理 IT流程，將 IT資源整合運用，進而滿足組織之業(yè)務(wù)需求 COBIT基本觀念架構(gòu) (二 ) ? COBIT兼顧 品質(zhì) (quality)、監(jiān)管 (fiduciary)、安全 (security)三方面之需求，彙整成七項資訊標準： 效果、效率、保密、真實、可用性、遵循性、可靠性 ? 為確保資訊符合上述標準，組織必頇適當?shù)乜刂萍氨O(jiān)督 IT資源之使用 ? COBIT將 IT資源之管理分為 範疇 (domains)、流程 (processes)、活動 (activities)三個層次 內(nèi)部控制的分類 ?依照內(nèi)部控制程序採行的 時間點 ，可以區(qū)分為 預(yù)防性控制、偵測性控制以及改正性控制 (補充：指示性控制、補償性控制 ) ?就 電腦化 資訊系統(tǒng)的觀點而言，其內(nèi)部控制可以區(qū)分為 一般控制與應(yīng)用控制 ?若按照 資料處理步驟 的區(qū)分 ,內(nèi)部控制可以區(qū)分為 輸入控制、處理控制以及輸出控制 預(yù)防性、偵測性與改正性控制 (一 ) ?依照內(nèi)部控制程序採行的時間點，可以區(qū)分為預(yù)防性控制、偵測性控制以及改正性控制 。換句話說，這五項組成要素之間密切相關(guān)，而形成一個完整的內(nèi)部控制模式。 COSO內(nèi)部控制模式及其組成要素(二 ) ?COSO研究報告將內(nèi)部控制定義為 ?公司 董事會、管理當局、及其部屬 為了 合理保證 下列控制目標之達成，而採行的程序： 營運的效果與效率、財務(wù)報導(dǎo)的可靠性、以及相關(guān)法令與規(guī)章的遵循 。暴險與控制程序(一 ) 威脅 暴險 控制程序 1)雇用不合格或 品德不佳之員 工 ?生產(chǎn)效率低並 影響士氣 ?資產(chǎn)被竊 ?機密外洩而影 響公司競爭力 ?增加舞弊機會 ?嚴格把關(guān)人事 ?適當之新進人員訓(xùn)練 ?詴用期間之考評觀察 ?注重員工先前之工作 經(jīng)驗 ?杜絕高階主管聘私人 2)觸犯勞工相關(guān) 法案 ?罰金或訴訟 ?影響公司聲譽 ?訂定明確之書面僱用 契約 ?確定勞資之權(quán)利義務(wù) ?設(shè)立法律諮詢服務(wù) 薪工循環(huán)之威脅 amp。暴險與控制程序(五 ) 威脅 暴險 控制程序 9)存貨失竊 ?存貨財產(chǎn)損失 ?記錄錯誤 ?無法如期出貨 ?定期盤點存貨 ?加強保全、投保產(chǎn)物 險 ?做好內(nèi)部控制、職能 分工 10)進貨發(fā)票錯誤 ?記錄不正確 ?付款金額不正 確 ?帳務(wù)處理成本 增加 ?付款時，要與訂購單 及驗收單做確認 ?EDI處理 採購循環(huán)之威脅 amp。暴險與控制程序(二 ) 威脅 暴險 控制程序 3)在途存貨失竊 ?存貨資產(chǎn)損失 ?存貨高估 ?限制實體接取 ?內(nèi)部移轉(zhuǎn)文件化 ?定期盤點存貨並調(diào)節(jié) 帳載記錄與實體庫存 之差異 4)出貨時未開列 帳單 ?應(yīng)收帳款低估 ?收不到貨款 ?資金週轉(zhuǎn)不靈 ?送貨及帳單一起處理 ，送貨單預(yù)先編號 ?出貨時與對方收貨單 位確認，到貨頇回電 或回執(zhí) ?漏記時立即補寄帳單 銷售循環(huán)之威脅 amp。若要求絕對保證組織目標的達成 ，則會使內(nèi)部控制成本過高，超過其所能產(chǎn)生的效益（也就是邊際成本大於邊際效益）。因此，內(nèi)部控制的設(shè)計通常以「 合理保證 」為目標。暴險與控制程序(三 ) 威脅 暴險 控制程序 5)開單錯誤 ?記錄不正確 ?短、漏開發(fā)票， 被罰款 ?增加訂單處理成 本 ?揀貨單與銷貨單 (金額 , 數(shù)量 )互相驗證 ?銷貨價格可先在電腦 輸入，避免人工輸入 錯誤 6)現(xiàn)金失竊 ?資產(chǎn)損失 ?資金週轉(zhuǎn)不靈 ?責任分工，財務(wù)主管 不定期抽點 ?工作輪調(diào) ?使用保險設(shè)備 ?定期調(diào)節(jié)銀行對帳單 銷售循環(huán)之威脅 amp。暴險與控制程序(六 ) 威脅 暴險 控制程序 11)對未收到之貨 品支付貨款 ?現(xiàn)金損失 ?核對發(fā)票及驗收單內(nèi) 之數(shù)量 ?確定貨物收到再付款 12)未及時取得進 貨折扣 ?造成多付款 ， 銷貨成本增加 ?喪失高報酬率 之利息 ?編製付款期限分析表 ?付款方式採淨額法 ?作現(xiàn)金流量預(yù)算 採購循環(huán)之威脅 amp。暴險與控制程序(二 ) 威脅 暴險 控制程序 3)錯誤之工時資 料 ?費用增加 ?不正確之報告 ?資產(chǎn)損失 ?增加不必要之 人工成本 ?自動化資料收集 ?職能分工 ?比較預(yù)算之薪資費用 與實際發(fā)放額 ?檔案頇經(jīng)特定人處理 與驗證 4)錯誤之薪工處 理 ?不符收入配合 原則 ?費用之內(nèi)部報 導(dǎo)不正確 ?給薪不正確 ?批次控制及其他應(yīng)用 控制 ?調(diào)節(jié)計工單、計時卡 ?不定期抽查 薪工循環(huán)之威脅 amp。」 。 COSO內(nèi)部控制模式及其組成要素(四 ) ?控制環(huán)境 (Control environment) ?風險評估 (Risk assessment) ?控制作業(yè) (Control activities) ?資訊與溝通 (Information and munication) ?監(jiān)督 (Monitoring) 控制環(huán)境 ?控制環(huán)境包括七項組成因素 ? 管理階層的操守與價值觀 ? 管理哲學(xué)與經(jīng)營風格 ? 組織架構(gòu) ? 外部監(jiān)察人的參與 ? 分派權(quán)力與責任的方法 ? 人力資源政策與實務(wù) ? 外部影響 控制環(huán)境 ▲ 常見機制 落實管理當局之責任 啟動董事會與審計委員會之監(jiān)督功能 明確詳細的員工守則 適當?shù)膯T工任免政策 實行獨立於一般管理階層之外的 道德諮詢系統(tǒng) (制訂檢舉制度 ) 一套完整的舞弊調(diào)查及矯正措施 風險評估 ? 風險評估包括辨認、分析及管理企業(yè)有關(guān)的風險 ? 風險 (risk)係指威脅實際發(fā)生的可能性，可以 0到 1的機率值表示 ? 若威脅實際發(fā)生，企業(yè)因而可能產(chǎn)生的損失稱為暴險度 (exposure) ? 若我們將風險 (機率值 )乘以暴險度 (金額 )， 就能計算出某項威脅帶來的預(yù)期損失 。 預(yù)防性控制 可以用來防止問題的發(fā)生，是一種 事前 的觀念。至於 改正性控制則應(yīng)強調(diào)對癥下藥 ，並避免類似問題重複發(fā)生。 一般控制 資訊系統(tǒng)職能內(nèi)部分工 (二 ) ?適用於大型主機電腦環(huán)境之集中式資訊系統(tǒng)組織架構(gòu)，不同職能之分工大致如下： ? 系統(tǒng)分析師 /設(shè)計師 ? 程式設(shè)計師 ? 資料庫管理 ? 通信 /網(wǎng)路控制 ? 電腦操作員 ? 系統(tǒng)函式庫 / 資料管理員 ? 資料控制小組 ? 資料準備 /輸入 ? 終端使用者 一般控制 專案發(fā)展控制 ?組織開發(fā)資訊系統(tǒng)時，必頇投入大量人力、時間與財務(wù)資源 ?若缺乏適當之規(guī)劃與管控，常造成專案進度落後、成本超支、系統(tǒng)品質(zhì)低落 ?一般而言，系統(tǒng)開發(fā)專案之規(guī)劃與管控包含： ? 訂定長期資訊系統(tǒng)主計畫 ?