【正文】 ?資料控制職能： 資料控制人員收到待處理資料時(shí)，應(yīng)確認(rèn)其經(jīng)過(guò)授權(quán)，再加以登錄。組織必頇就電腦職能（部門）進(jìn)行適當(dāng)分工，以降低電腦集中多項(xiàng)功能所帶來(lái)的威脅 ?一般而言 ，在組織規(guī)模容許及合乎成本效益的情況下，資訊系統(tǒng)的下列相關(guān)職能應(yīng)有適當(dāng)?shù)姆止ぃ合到y(tǒng)分析、程式設(shè)計(jì)、電腦操作、資料控制、系統(tǒng)函式庫(kù) （ library） 以及使用者。不過(guò) ，預(yù)防性控制很難達(dá)到絕對(duì)的控制，所以有效的 偵測(cè)性控制可發(fā)揮補(bǔ)償 的作用 ，避免問(wèn)題久未發(fā)現(xiàn)，而造成更大的傷害。 富邦證之危機(jī)管理 向證交所申報(bào)錯(cuò)帳 發(fā)出聲名稿，承認(rèn)錯(cuò)誤 調(diào)現(xiàn)金 命自營(yíng)部買入經(jīng)紀(jì)部要賣的股票 檢討下單流程、電腦程式、風(fēng)險(xiǎn)管理及 查核程序 懲處交易員 修改電腦程式 富邦證之內(nèi)部控制 ?控制環(huán)境 董事長(zhǎng)兼總經(jīng)理 (葉公亮 )與國(guó)際部顧問(wèn)(周資青 )權(quán)責(zé)分配失衡 ?風(fēng)險(xiǎn)評(píng)估 透過(guò)加強(qiáng)員工風(fēng)險(xiǎn)意識(shí)、資訊控制、交易分層授權(quán)以降低錯(cuò)帳金額 富邦證之內(nèi)部控制 ?控制活動(dòng) 系統(tǒng)設(shè)計(jì)者設(shè)計(jì)不良 、 系統(tǒng)使用者未能與系統(tǒng)設(shè)計(jì)者充分溝通，使系統(tǒng)設(shè)計(jì)者不瞭解控制是必要的、系統(tǒng)測(cè)詴與教育訓(xùn)練不足 ?資訊與溝通 以開放的態(tài)度對(duì)外溝通達(dá)到效果 ?監(jiān)督 事後由董事長(zhǎng)領(lǐng)軍，成立風(fēng)險(xiǎn)改進(jìn)委員會(huì)，重新檢視風(fēng)險(xiǎn)控管機(jī)制並提出改進(jìn)方式，同時(shí)嚴(yán)格規(guī)範(fàn)各單位自行查核人員及內(nèi)部稽核人員之查核方式 建立資訊系統(tǒng)內(nèi)部控制之重要性 (一 ) ★ 經(jīng)營(yíng)環(huán)境複雜化 ★ 資訊需求多樣化 資訊系統(tǒng)複雜化與風(fēng)險(xiǎn)性 良好之內(nèi)部控制 降低風(fēng)險(xiǎn)之影響或損失 確保組織正常運(yùn)作 建立資訊系統(tǒng)內(nèi)部控制之重要性 (二 ) ★ 資訊系統(tǒng)稽核與控制基金會(huì) (Information Systems Audit and Control Foundation, 簡(jiǎn)稱 ISACF)發(fā)佈「 資訊及相關(guān)技術(shù)控制目的 (Control objectives for information and related technology,簡(jiǎn)稱 COBIT)」，可以作為企業(yè)建立資訊系統(tǒng)與資訊科技安全控制政策與程序之架構(gòu) COBIT基本觀念架構(gòu) (一 ) ? 用途： 在於提供與資訊科技應(yīng)用、控制與稽核有關(guān)之指引 ? COBIT由 COBIT指導(dǎo)委員會(huì) 與 ISACF共同發(fā)佈 ? 使命： 研究、發(fā)展、發(fā)佈與推廣一供套權(quán)威、最新、國(guó)際公認(rèn)之資訊科技控管目的，供企業(yè)經(jīng)理人與稽核人員日常使用 ? 基本理念： 企業(yè)頇透過(guò)管理 IT流程，將 IT資源整合運(yùn)用，進(jìn)而滿足組織之業(yè)務(wù)需求 COBIT基本觀念架構(gòu) (二 ) ? COBIT兼顧 品質(zhì) (quality)、監(jiān)管 (fiduciary)、安全 (security)三方面之需求，彙整成七項(xiàng)資訊標(biāo)準(zhǔn)： 效果、效率、保密、真實(shí)、可用性、遵循性、可靠性 ? 為確保資訊符合上述標(biāo)準(zhǔn)，組織必頇適當(dāng)?shù)乜刂萍氨O(jiān)督 IT資源之使用 ? COBIT將 IT資源之管理分為 範(fàn)疇 (domains)、流程 (processes)、活動(dòng) (activities)三個(gè)層次 內(nèi)部控制的分類 ?依照內(nèi)部控制程序採(cǎi)行的 時(shí)間點(diǎn) ，可以區(qū)分為 預(yù)防性控制、偵測(cè)性控制以及改正性控制 (補(bǔ)充：指示性控制、補(bǔ)償性控制 ) ?就 電腦化 資訊系統(tǒng)的觀點(diǎn)而言，其內(nèi)部控制可以區(qū)分為 一般控制與應(yīng)用控制 ?若按照 資料處理步驟 的區(qū)分 ,內(nèi)部控制可以區(qū)分為 輸入控制、處理控制以及輸出控制 預(yù)防性、偵測(cè)性與改正性控制 (一 ) ?依照內(nèi)部控制程序採(cǎi)行的時(shí)間點(diǎn)，可以區(qū)分為預(yù)防性控制、偵測(cè)性控制以及改正性控制 。換句話說(shuō)，這五項(xiàng)組成要素之間密切相關(guān)，而形成一個(gè)完整的內(nèi)部控制模式。 COSO內(nèi)部控制模式及其組成要素(二 ) ?COSO研究報(bào)告將內(nèi)部控制定義為 ?公司 董事會(huì)、管理當(dāng)局、及其部屬 為了 合理保證 下列控制目標(biāo)之達(dá)成，而採(cǎi)行的程序： 營(yíng)運(yùn)的效果與效率、財(cái)務(wù)報(bào)導(dǎo)的可靠性、以及相關(guān)法令與規(guī)章的遵循 。若要求絕對(duì)保證組織目標(biāo)的達(dá)成 ，則會(huì)使內(nèi)部控制成本過(guò)高，超過(guò)其所能產(chǎn)生的效益（也就是邊際成本大於邊際效益）。因此，內(nèi)部控制的設(shè)計(jì)通常以「 合理保證 」為目標(biāo)?！?。 COSO內(nèi)部控制模式及其組成要素(四 ) ?控制環(huán)境 (Control environment) ?風(fēng)險(xiǎn)評(píng)估 (Risk assessment) ?控制作業(yè) (Control activities) ?資訊與溝通 (Information and munication) ?監(jiān)督 (Monitoring) 控制環(huán)境 ?控制環(huán)境包括七項(xiàng)組成因素 ? 管理階層的操守與價(jià)值觀 ? 管理哲學(xué)與經(jīng)營(yíng)風(fēng)格 ? 組織架構(gòu) ? 外部監(jiān)察人的參與 ? 分派權(quán)力與責(zé)任的方法 ? 人力資源政策與實(shí)務(wù) ? 外部影響 控制環(huán)境 ▲ 常見機(jī)制 落實(shí)管理當(dāng)局之責(zé)任 啟動(dòng)董事會(huì)與審計(jì)委員會(huì)之監(jiān)督功能 明確詳細(xì)的員工守則 適當(dāng)?shù)膯T工任免政策 實(shí)行獨(dú)立於一般管理階層之外的 道德諮詢系統(tǒng) (制訂檢舉制度 ) 一套完整的舞弊調(diào)查及矯正措施 風(fēng)險(xiǎn)評(píng)估 ? 風(fēng)險(xiǎn)評(píng)估包括辨認(rèn)、分析及管理企業(yè)有關(guān)的風(fēng)險(xiǎn) ? 風(fēng)險(xiǎn) (risk)係指威脅實(shí)際發(fā)生的可能性，可以 0到 1的機(jī)率值表示 ? 若威脅實(shí)際發(fā)生，企業(yè)因而可能產(chǎn)生的損失稱為暴險(xiǎn)度 (exposure) ? 若我們將風(fēng)險(xiǎn) (機(jī)率值 )乘以暴險(xiǎn)度 (金額 )， 就能計(jì)算出某項(xiàng)威脅帶來(lái)的預(yù)期損失 。 預(yù)防性控制 可以用來(lái)防止問(wèn)題的發(fā)生，是一種 事前 的觀念。至於 改正性控制則應(yīng)強(qiáng)調(diào)對(duì)癥下藥 ，並避免類似問(wèn)題重複發(fā)生。 一般控制 資訊系統(tǒng)職能內(nèi)部分工 (二 ) ?適用於大型主機(jī)電腦環(huán)境之集中式資訊系統(tǒng)組織架構(gòu)，不同職能之分工大致如下： ? 系統(tǒng)分析師 /設(shè)計(jì)師 ? 程式設(shè)計(jì)師 ? 資料庫(kù)管理 ? 通信 /網(wǎng)路控制 ? 電腦操作員 ? 系統(tǒng)函式庫(kù) / 資料管理員 ? 資料控制小組 ? 資料準(zhǔn)備 /輸入 ? 終端使用者 一般控制 專案發(fā)展控制 ?組織開發(fā)資訊系統(tǒng)時(shí)，必頇投入大量人力、時(shí)間與財(cái)務(wù)資源 ?若缺乏適當(dāng)之規(guī)劃與管控，常造成專案進(jìn)度落後、成本超支、系統(tǒng)品質(zhì)低落 ?一般而言，系統(tǒng)開發(fā)專案之規(guī)劃與管控包含： ? 訂定長(zhǎng)期資訊系統(tǒng)主計(jì)畫 ? 訂定個(gè)別專案開發(fā)計(jì)畫，界定專案之重要時(shí)程 ? 成立專案小組，明確分派責(zé)任 ? 定期評(píng)估專案推動(dòng)之績(jī)效 ? 進(jìn)行專案完成後實(shí)施情形之覆核 一般控制 實(shí)體存取控制 ?存取控制 (access controls)：合理保證只有經(jīng)過(guò)授權(quán) (核準(zhǔn) )者才能使用系統(tǒng)；其用途也應(yīng)經(jīng)過(guò)授權(quán) ?存取控制可分為： (1)實(shí)體 (physical)存取控制 (2)邏輯 (logical)存取控制 ?實(shí)體存取控制： 維護(hù)電腦設(shè)備之安全，以確保只有經(jīng)過(guò)授權(quán)者才能使用設(shè)備 。 ? 資料處理各階段產(chǎn)生之控制總數(shù)，應(yīng)由資料控制人員進(jìn)行調(diào)節(jié)；若發(fā)生錯(cuò)誤，應(yīng)通知相關(guān)人員更正 應(yīng)用控制 輸入控制：輸入驗(yàn)證程序 (一 ) ? 可寫入電腦程式，由系統(tǒng)自動(dòng)檢查輸入資料之有效性與正確性。 ? 相關(guān)人員輸入特定代碼時(shí)，程式立即比對(duì)檢查碼是否相符；若有不符，表示輸入有誤，應(yīng)重新輸入 應(yīng)用控制 輸入控制：原始資料控制 (五 ) ?迴轉(zhuǎn)文件之運(yùn)用： 一種後來(lái)可作為交易輸入文件使用之電腦輸出文件，可利用機(jī)器直接讀取資料，有助提高輸入作業(yè)之效率與正確性。 一般控制 資訊系統(tǒng)職能內(nèi)部分工 (一 ) ?電腦作業(yè)環(huán)境下 ，多項(xiàng)工作可能由電腦一併完成，使得傳統(tǒng)人工作業(yè)環(huán)境下的分工方式較不可行。因此，在合乎成本效益的前提下，企業(yè)應(yīng) 優(yōu)先採(cǎi)行預(yù)防性控制 。 2023/07/19, 證交所處違約金額 $30萬(wàn)。上述的控制過(guò)程必頇加以 監(jiān)督 ，並做必要的修正，以維持內(nèi)部控制制度的有效性。該報(bào)告已成為最權(quán)威的內(nèi)部控制文獻(xiàn)，已被實(shí)務(wù)界廣為採(cǎi)用。 ?在設(shè)計(jì)內(nèi)部控制時(shí)，必頇考量相關(guān)控制程序的成本與效益 。 內(nèi)部控制的基本觀念 (五 ) ?企業(yè)在設(shè)計(jì)內(nèi)部控制程序之前，應(yīng)先確認(rèn)其相關(guān)的控制目標(biāo)，而 控制目標(biāo) 又與營(yíng)運(yùn)目標(biāo) 及其所面臨的 潛在威脅 有關(guān)。 ?此項(xiàng)定義強(qiáng)調(diào)： ?內(nèi)部控制是一項(xiàng)過(guò)程 ?內(nèi)部控制受人的影響 ?內(nèi)部控制對(duì)管理當(dāng)局及董事會(huì)而言，僅能提供合理保證，而非絕對(duì)保證。 內(nèi)部控制的主要作用即在於降低或消除各項(xiàng)威脅的預(yù)期損失 風(fēng)險(xiǎn)評(píng)估 ?風(fēng)險(xiǎn)評(píng)估與建立企業(yè)內(nèi)部相關(guān)內(nèi)部控制的步驟： ?辨認(rèn)威脅 ?估計(jì)風(fēng)險(xiǎn) ?估計(jì)可能損失 (暴險(xiǎn)度 ) ?找出相關(guān)的控制程序 ?估計(jì)控制程序的成本與效益 ?選定控制程序 風(fēng)險(xiǎn)評(píng)估 ▲ 常見機(jī)制 建立舞弊風(fēng)險(xiǎn)評(píng)估程序 評(píng)估舞弊之可能性及重大性 辨識(shí)舞弊發(fā)生之組織層級(jí) 遏阻管理階層之逾越 控制作業(yè) ?一般而言，組織的控制程序可區(qū)分為五類 ： ? 交易與作業(yè)的適當(dāng)授權(quán) ? 職能分工 ? 設(shè)計(jì)與使用適當(dāng)文件與紀(jì)錄 (ex: 憑證、簽章、預(yù)先編號(hào) ) ? 資產(chǎn)與紀(jì)錄的保護(hù) (接近控制 ) ? 獨(dú)立的覆核 資訊與溝通 ?資訊與溝通係指組織成員能夠取得其職務(wù)上所需的 各種資訊 ，且資訊能夠在組織中 傳播與溝通 。不過(guò)，基於 成本效益的考量 以及 實(shí)務(wù)上的限制 ，預(yù)防性控制很難完全防止所有的問(wèn)題。 一般控制與應(yīng)用控制 ?就電腦化資訊系統(tǒng)的觀點(diǎn)而言 ， 其內(nèi)部控制可以區(qū)分為 一般控制 與 應(yīng)用控制 ?一般控制 在於確保組織具有穩(wěn)定及管理優(yōu)良的控制環(huán)境 ， 以提升應(yīng)用控制的效果 ?？梢佬蚍譃槿齻€(gè)