【正文】 ?若缺乏適當(dāng)之規(guī)劃與管控，常造成專案進(jìn)度落後、成本超支、系統(tǒng)品質(zhì)低落 ?一般而言，系統(tǒng)開發(fā)專案之規(guī)劃與管控包含： ? 訂定長期資訊系統(tǒng)主計畫 ? 訂定個別專案開發(fā)計畫，界定專案之重要時程 ? 成立專案小組，明確分派責(zé)任 ? 定期評估專案推動之績效 ? 進(jìn)行專案完成後實(shí)施情形之覆核 一般控制 實(shí)體存取控制 ?存取控制 (access controls)：合理保證只有經(jīng)過授權(quán) (核準(zhǔn) )者才能使用系統(tǒng)；其用途也應(yīng)經(jīng)過授權(quán) ?存取控制可分為： (1)實(shí)體 (physical)存取控制 (2)邏輯 (logical)存取控制 ?實(shí)體存取控制： 維護(hù)電腦設(shè)備之安全，以確保只有經(jīng)過授權(quán)者才能使用設(shè)備 。 一般控制 資訊系統(tǒng)職能內(nèi)部分工 (一 ) ?電腦作業(yè)環(huán)境下 ，多項(xiàng)工作可能由電腦一併完成，使得傳統(tǒng)人工作業(yè)環(huán)境下的分工方式較不可行。 這份計畫應(yīng)由 資 訊 安全主管負(fù)責(zé) 訂定 、 監(jiān)督以及推動 ， 其內(nèi)容包 含界定各類資訊 由誰使用 、 如何使用 、 需用時間 以及 存放 於那一個系統(tǒng) 。 ?應(yīng)用控制 的目的則為在交易處理過程中 ， 預(yù)防 、 偵測及改正相關(guān)的錯誤與舞弊 。至於 改正性控制則應(yīng)強(qiáng)調(diào)對癥下藥 ，並避免類似問題重複發(fā)生。因此，在合乎成本效益的前提下，企業(yè)應(yīng) 優(yōu)先採行預(yù)防性控制 。 預(yù)防性、偵測性與改正性控制 (二 ) ?改正性控制 的作用在於補(bǔ)救或改正被偵測到的問題，以確保組織順利的運(yùn)作，達(dá)成既定的目標(biāo)。 ?企業(yè)在設(shè)計控制程序時，必頇加入適當(dāng)?shù)?偵測性控制 ，以便在問題發(fā)生時，能夠迅速的察覺 ，並立即通知相關(guān)的人員採取補(bǔ)救或改正的行動。 預(yù)防性控制 可以用來防止問題的發(fā)生，是一種 事前 的觀念。 2020/07/19, 證交所處違約金額 $30萬。 資訊與溝通 ▲ 常見機(jī)制 教育訓(xùn)練 知識管理 資訊系統(tǒng)及技術(shù) 監(jiān)督 ?監(jiān)督係指對於內(nèi)部控制的實(shí)施進(jìn)行 評估與控管 的過程 ▲ 常見機(jī)制 管理當(dāng)局的督導(dǎo) 採用責(zé)任會計制度 進(jìn)行內(nèi)部稽核 內(nèi)部稽核之於舞弊 建立健全 內(nèi)控環(huán)境 執(zhí)行舞弊 風(fēng)險評估 設(shè)計與執(zhí)行舞弊防制之控制活動 充分的溝通資訊 持續(xù)管理監(jiān)控 管理當(dāng)局之責(zé)任 董事會 /審計委員會 指揮 內(nèi)部稽核 (1)瞭解管理當(dāng)局的 舞弊防範(fàn)措施 (2)評估管理當(dāng)局對 於舞弊風(fēng)險之評估 (3)對於舞弊防範(fàn)措 施之有效性進(jìn)行 查核 (4)接受董事會 /審計 委員會之指揮 , 針對高舞弊風(fēng)險 作業(yè)進(jìn)行調(diào)查 評估與調(diào)查 落實(shí)內(nèi)控的關(guān)鍵要素 ? 建立能減少舞弊或犯罪之標(biāo)準(zhǔn)及程序 ? 指定某一特定高級管理階層人員負(fù)責(zé)監(jiān)督內(nèi)部控制之執(zhí)行 ? 防止不當(dāng)授權(quán) ? 將標(biāo)準(zhǔn)及程序有效傳達(dá)全體員工 ? 實(shí)施對遵循之衡量，諸如監(jiān)控、稽核及報告制度 ? 輔以獎懲措施之強(qiáng)化標(biāo)準(zhǔn)及程序之執(zhí)行 ? 當(dāng)制度被偵出有重大違失時，給予適當(dāng)回應(yīng) 從富邦錯帳事件看內(nèi)部控制 ■ 事由 ~ 2020/06/27, 富邦證仁愛分公司一交易員按錯指令 (輸入錯誤的數(shù)量 ), 造成 $77億元錯帳事件 。資訊系統(tǒng)詳細(xì)紀(jì)錄交易處裡的過程，這些資料成為交易的稽核軌跡 (audit trail)。 COSO內(nèi)部控制模式及其組成要素(四 ) ?控制環(huán)境 (Control environment) ?風(fēng)險評估 (Risk assessment) ?控制作業(yè) (Control activities) ?資訊與溝通 (Information and munication) ?監(jiān)督 (Monitoring) 控制環(huán)境 ?控制環(huán)境包括七項(xiàng)組成因素 ? 管理階層的操守與價值觀 ? 管理哲學(xué)與經(jīng)營風(fēng)格 ? 組織架構(gòu) ? 外部監(jiān)察人的參與 ? 分派權(quán)力與責(zé)任的方法 ? 人力資源政策與實(shí)務(wù) ? 外部影響 控制環(huán)境 ▲ 常見機(jī)制 落實(shí)管理當(dāng)局之責(zé)任 啟動董事會與審計委員會之監(jiān)督功能 明確詳細(xì)的員工守則 適當(dāng)?shù)膯T工任免政策 實(shí)行獨(dú)立於一般管理階層之外的 道德諮詢系統(tǒng) (制訂檢舉制度 ) 一套完整的舞弊調(diào)查及矯正措施 風(fēng)險評估 ? 風(fēng)險評估包括辨認(rèn)、分析及管理企業(yè)有關(guān)的風(fēng)險 ? 風(fēng)險 (risk)係指威脅實(shí)際發(fā)生的可能性，可以 0到 1的機(jī)率值表示 ? 若威脅實(shí)際發(fā)生，企業(yè)因而可能產(chǎn)生的損失稱為暴險度 (exposure) ? 若我們將風(fēng)險 (機(jī)率值 )乘以暴險度 (金額 )， 就能計算出某項(xiàng)威脅帶來的預(yù)期損失 。上述的控制過程必頇加以 監(jiān)督 ，並做必要的修正，以維持內(nèi)部控制制度的有效性。緊接著，企業(yè)應(yīng)建立與執(zhí)行適當(dāng)?shù)目刂普吲c程序，以有效的執(zhí)行與風(fēng)險相關(guān)的 控制作業(yè) 。 COSO內(nèi)部控制模式及其組成要素(三 ) ? COSO控制模式是以 控制環(huán)境 為基礎(chǔ)?！?。該報告已成為最權(quán)威的內(nèi)部控制文獻(xiàn)，已被實(shí)務(wù)界廣為採用。暴險與控制程序 (二 ) 威脅 暴險 控制程序 3)無效率及品質(zhì) 控制問題 ?財務(wù)報表不正 確 ?增加固定資產(chǎn) 損失之風(fēng)險 ?資料處理自動化 ?資料變更需經(jīng)授權(quán) ?定期核對 4)記錄及過帳錯 誤 ?扭曲績效分析 ?扭曲未來投資 之期望 ?資料處理自動化 ?存取控制 ?資料備份 ?建立災(zāi)害復(fù)原計畫 固定資產(chǎn)循環(huán)之威脅 amp。暴險與控制程序(四 ) 威脅 暴險 控制程序 7)薪工資料毀損 或洩密 ?員工之個人資 料與隱私被公 開 ?員工流失 ?影響員工士氣 ?增加公司之訴 訟支出 ?接取控制 ?資料備份 ?資料加密 固定資產(chǎn)循環(huán)之威脅 amp。暴險與控制程序(二 ) 威脅 暴險 控制程序 3)錯誤之工時資 料 ?費(fèi)用增加 ?不正確之報告 ?資產(chǎn)損失 ?增加不必要之 人工成本 ?自動化資料收集 ?職能分工 ?比較預(yù)算之薪資費(fèi)用 與實(shí)際發(fā)放額 ?檔案頇經(jīng)特定人處理 與驗(yàn)證 4)錯誤之薪工處 理 ?不符收入配合 原則 ?費(fèi)用之內(nèi)部報 導(dǎo)不正確 ?給薪不正確 ?批次控制及其他應(yīng)用 控制 ?調(diào)節(jié)計工單、計時卡 ?不定期抽查 薪工循環(huán)之威脅 amp。暴險與控制程序(三 ) 威脅 暴險 控制程序 5)資料毀損 ?支出增加與內(nèi) 控不健全 ?喪失對客戶之 信譽(yù)與未來之 銷售額 ?產(chǎn)生法律責(zé)任 ?資料備份 ?災(zāi)害復(fù)原計畫 ?存取控制 薪工循環(huán)之威脅 amp。暴險與控制程序(一 ) 威脅 暴險 控制程序 1)生產(chǎn)未經(jīng)授權(quán) ?生產(chǎn)過剩和過 多存貨 ?生產(chǎn)不足、原 料短缺、喪失 交易機(jī)會 ?正確之銷售預(yù)測 ?正確之存貨記錄 ?生產(chǎn)之授權(quán) ?編製預(yù)算 2)存貨失竊或毀 損 ?資產(chǎn)損失 ?高估存貨記錄 ?未及出貨 ?高估淨(jìng)利 ?投保產(chǎn)物險 ?職能分工 ?存貨定期盤點(diǎn)並與記 錄相調(diào)節(jié) ?設(shè)立監(jiān)視系統(tǒng) 生產(chǎn)循環(huán)之威脅 amp。暴險與控制程序(八 ) 威脅 暴險 控制程序 15)付款給虛設(shè)供 應(yīng)商及票據(jù)被 竄改 ?資產(chǎn)損失 ?現(xiàn)金減少 ?信用不佳 ?所有購貨以支票給付 、支票編號、存取控制 ?設(shè)零用金制度 ?獨(dú)立之銀行調(diào)節(jié)表 ?定期盤點(diǎn)資產(chǎn) 16)電子轉(zhuǎn)帳現(xiàn)金 遭竊 ?資金被盜 ?機(jī)密外洩 ?嚴(yán)格之登錄控制 (經(jīng)常變更使用者帳號 與密碼 ) ?加強(qiáng)內(nèi)控 ?資料傳輸加密 採購循環(huán)之威脅 amp。暴險與控制程序(六 ) 威脅 暴險 控制程序 11)對未收到之貨 品支付貨款 ?現(xiàn)金損失 ?核對發(fā)票及驗(yàn)收單內(nèi) 之?dāng)?shù)量 ?確定貨物收到再付款 12)未及時取得進(jìn) 貨折扣 ?造成多付款 ， 銷貨成本增加 ?喪失高報酬率 之利息 ?編製付款期限分析表 ?付款方式採淨(jìng)額法 ?作現(xiàn)金流量預(yù)算 採購循環(huán)之威脅 amp。暴險與控制程序(四 ) 威脅 暴險 控制程序 7)收到未訂購之 貨品 ?增加存貨成本 ?驗(yàn)收部門在接收產(chǎn)品 時，要親自點(diǎn)算檢查 數(shù)量 ?訂購部門以訂單副本 知會驗(yàn)收部門 8)清點(diǎn)進(jìn)貨時發(fā) 生錯誤 ?存貨記錄不正 確 ?所收貨品與訂 購量不符 ?缺貨成本或持 有成本增加 ?訂購單副本 (訂購量欄 空白 )交給驗(yàn)收部門 ?加強(qiáng)對貨品驗(yàn)收之控 制 ?倉儲部門之再覆核與 盤點(diǎn) 採購循環(huán)之威脅 amp。暴險與控制程序(二 ) 威脅 暴險 控制程序 3)以過高價格購 進(jìn)貨品 ?成本過高 ?預(yù)算控制 ?訂立諮詢機(jī)制及進(jìn)貨 合約 ?利用商品期貨避險 4)進(jìn)貨品質(zhì)不良 ?造成生產(chǎn)延誤 ?成本超支或滯 銷 ?較難生產(chǎn)高附 加價值之產(chǎn)品 ?檢視購貨單據(jù) ?對廠商作績效分析 ?加強(qiáng)對貨品之檢驗(yàn) 採購循環(huán)之威脅 amp。暴險與控制程序(五 ) 威脅 暴險 控制程序 9)績效不佳 ?營運(yùn)狀況出問 題 ?部門間缺乏溝 通、士氣低落 ?流動性較差 ， 出現(xiàn)現(xiàn)金短缺 ，導(dǎo)致週轉(zhuǎn)不 靈