【正文】 mains)、流程 (processes)、活動(dòng) (activities)三個(gè)層次 內(nèi)部控制的分類 ?依照內(nèi)部控制程序採(cǎi)行的 時(shí)間點(diǎn) ，可以區(qū)分為 預(yù)防性控制、偵測(cè)性控制以及改正性控制 (補(bǔ)充：指示性控制、補(bǔ)償性控制 ) ?就 電腦化 資訊系統(tǒng)的觀點(diǎn)而言，其內(nèi)部控制可以區(qū)分為 一般控制與應(yīng)用控制 ?若按照 資料處理步驟 的區(qū)分 ,內(nèi)部控制可以區(qū)分為 輸入控制、處理控制以及輸出控制 預(yù)防性、偵測(cè)性與改正性控制 (一 ) ?依照內(nèi)部控制程序採(cǎi)行的時(shí)間點(diǎn)，可以區(qū)分為預(yù)防性控制、偵測(cè)性控制以及改正性控制 。不過，基於 成本效益的考量 以及 實(shí)務(wù)上的限制 ，預(yù)防性控制很難完全防止所有的問題。偵測(cè)性控制是一種 事中 的觀念。改正性控制包括三個(gè)程序： ?(1)找出造成問題的原因 (可能由偵測(cè)性控制 提供相關(guān)訊息 ) ?(2)改正已發(fā)生的錯(cuò)誤或障礙 ?(3)修改現(xiàn)有的控制制度或程序，以消除或降 低未來(lái)發(fā)生類似問題的可能性 預(yù)防性、偵測(cè)性與改正性控制 (三 ) ?一般而言，錯(cuò)誤與問題若能於事前予以預(yù)防，較能保障組織的順利運(yùn)作與目標(biāo)的達(dá)成。不過 ，預(yù)防性控制很難達(dá)到絕對(duì)的控制，所以有效的 偵測(cè)性控制可發(fā)揮補(bǔ)償 的作用 ，避免問題久未發(fā)現(xiàn)，而造成更大的傷害。 一般控制與應(yīng)用控制 ?就電腦化資訊系統(tǒng)的觀點(diǎn)而言 ， 其內(nèi)部控制可以區(qū)分為 一般控制 與 應(yīng)用控制 ?一般控制 在於確保組織具有穩(wěn)定及管理優(yōu)良的控制環(huán)境 ， 以提升應(yīng)用控制的效果 。 輸入控制、處理控制 及 輸出控制 ?若按照資料處理步驟的區(qū)分 ,內(nèi)部控制可以區(qū)分為 輸入控制、處理控制 以及 輸出控制 ?輸入控制 在於確保只有正確、有效以及經(jīng)過核準(zhǔn)的資料 ， 才能進(jìn)入系統(tǒng)作進(jìn)一步的處理 ?處理控制 目的在於確保所有的交易都經(jīng)過正確、完整的處理，相關(guān)的紀(jì)錄與檔案也予以適當(dāng)?shù)母? ?輸出控制 則用以確保系統(tǒng)的輸出具有適當(dāng)?shù)目毓?，以避免資料的不當(dāng)使用或外洩 電腦化資訊之一般控制 (一 ) ?企業(yè)設(shè)置一般控制的目的： 確保電腦化資訊系統(tǒng)作業(yè) 環(huán)境的穩(wěn)定 與 良好的管理 ?一般控制與所有的電腦作業(yè)有關(guān)，常見的一般控制措施包括： ?(1)訂定資訊安全政策與計(jì)劃 ?(2)資訊系統(tǒng)職能內(nèi)部分工 ?(3)專案發(fā)展控制 ?(4)實(shí)體存取控制 ?(5)邏輯存取控制 ?(6)資料儲(chǔ)存控制 電腦化資訊之一般控制 (二 ) ?(7)資料傳輸控制 ?(8)建立文件標(biāo)準(zhǔn) ?(9)降低系統(tǒng)當(dāng)機(jī)時(shí)間 ?(10)訂定災(zāi)害復(fù)原計(jì)劃 ? (11)保護(hù)個(gè)人電腦與主從式網(wǎng)路 ?(12)網(wǎng)際網(wǎng)路控制 一般控制 訂定資訊安全政策與計(jì)畫 資訊系統(tǒng)電腦化的組織應(yīng)發(fā)展出一套 完整的資訊 安全計(jì)畫 ， 並持續(xù)的加以更新 。 安全主管可根據(jù)一計(jì)畫 評(píng)估資訊系統(tǒng)面臨的 威脅 、 風(fēng)險(xiǎn) 及 暴險(xiǎn)度 ， 並據(jù) 以選擇最具成本效益的安全控管措施 。組織必頇就電腦職能（部門）進(jìn)行適當(dāng)分工，以降低電腦集中多項(xiàng)功能所帶來(lái)的威脅 ?一般而言 ，在組織規(guī)模容許及合乎成本效益的情況下，資訊系統(tǒng)的下列相關(guān)職能應(yīng)有適當(dāng)?shù)姆止ぃ合到y(tǒng)分析、程式設(shè)計(jì)、電腦操作、資料控制、系統(tǒng)函式庫(kù) （ library） 以及使用者?？梢佬蚍譃槿齻€(gè)層次： (1)外圍控制 (2)建築物控制 (3)電腦設(shè)備控制 一般控制 邏輯存取控制 ?邏輯存取控制： 確保使用者只能使用其被授權(quán)範(fàn)圍內(nèi)之資料與程式 。 ? 若前後階段產(chǎn)生之批次總數(shù)不符，表示有誤，應(yīng)找出原因並更正 常用之批次總數(shù)： ?財(cái)務(wù)總計(jì) ?雜項(xiàng)總計(jì) ?記錄總計(jì) ?行數(shù)總計(jì) ?交叉餘額加總測(cè)詴 應(yīng)用控制 輸入控制：原始資料控制 (三 ) ?原始憑證檢視與註記： 輸入資料前，先檢視原始憑證是否合理與完整，是否經(jīng)過適當(dāng)授權(quán)。 ?檢查驗(yàn)證碼： 為避免經(jīng)過核定之代碼輸入錯(cuò)誤 (ex: 員工編號(hào)、客戶編號(hào) )輸入錯(cuò)誤，可於代碼中加入檢查號(hào)碼。 ?資料控制職能： 資料控制人員收到待處理資料時(shí)，應(yīng)確認(rèn)其經(jīng)過授權(quán)，再加以登錄。此程式稱為 編校程式 (edit programs)，其 執(zhí)行之檢查稱為 資料編校檢查 (edit checks) ? 在批次處理之環(huán)境下，交易檔中之資料 整批 進(jìn)行編校檢查；線上處理系統(tǒng)則 逐筆 編校檢查，直到資料完全正確 ? 編校檢查發(fā)現(xiàn)之錯(cuò)誤應(yīng)存入 錯(cuò)誤日誌 (error log)，印出錯(cuò)誤報(bào)表，由輸入人員或使用者據(jù)以更正後，併入下一批處理。當(dāng)線上輸入之資料檔案毀損或系統(tǒng)當(dāng)機(jī)時(shí)，可利用交易日誌重建資料檔或核對(duì)交易資料內(nèi)容，以快速恢復(fù)運(yùn)作 ?錯(cuò)誤訊息 (error message)： 系統(tǒng)應(yīng)明確指出輸入錯(cuò)誤之項(xiàng)目，並指示應(yīng)如何改正 應(yīng)用控制 處理控制 (一 ) ? 目的：合理保證依照特定應(yīng)用系統(tǒng)之要 求進(jìn)行相關(guān)處理，以確保資料處理及相 關(guān)檔案更新之正確性與完整性 ? 常見之處理控制措施為： ? 資料更新檢查： 檢查資料是否久未更新，以便判斷資料處理是否有誤，或?qū)叶挥弥砀駝h除 ? 相關(guān)資料核對(duì)： 進(jìn)行資料更新前，先比對(duì)相關(guān)資料項(xiàng)目，確認(rèn)無(wú)誤後，再進(jìn)行處理 (ex: 應(yīng)付帳款請(qǐng)款前，應(yīng)先核對(duì)供應(yīng)商發(fā)票、採(cǎi)購(gòu)單、驗(yàn)收?qǐng)?bào)告單上之貨品數(shù)量與金額 ) 應(yīng)用控制 處理控制 (二 ) ? 常見之處理控制措施為： ? 與外部資料進(jìn)行調(diào)節(jié)： 定期比對(duì)資料庫(kù)之資料總數(shù)是否與存放於系統(tǒng)外之資料總數(shù)相符，以避免主檔存放著造假或應(yīng)刪除之記錄資料 ? 明細(xì)帳戶餘額調(diào)節(jié)至統(tǒng)制帳戶： ex: 應(yīng)收帳款明細(xì)帳各客戶餘額加總應(yīng)等於總分類帳應(yīng)收帳款餘額，以確定資料無(wú)誤 ? 檔案轉(zhuǎn)換控制： 舊檔案轉(zhuǎn)換成新檔案架構(gòu)時(shí)，應(yīng)採(cǎi)取適當(dāng)之檔案轉(zhuǎn)換控制措施；若發(fā)生差異，應(yīng)立即找出原因加以更正 應(yīng)用控制 處理控制 (三 ) ? 常見之處理控制措施為： ? 例外報(bào)導(dǎo)： 資料處理過程中發(fā)生之異?，F(xiàn)象，應(yīng)加以記錄並做必要處理 (ex: 存貨科目資料出現(xiàn)貸方餘額 ) ? 控制總數(shù)： 在批次處理過程中之特定時(shí)點(diǎn)，計(jì)算控制總數(shù) ，並與輸入階段之控制總數(shù)核對(duì)；在連線系統(tǒng)中， 某個(gè)檔案當(dāng)天變動(dòng)情形可與原始資料核對(duì) ? 同步更新控制： 用以處理兩個(gè)以上之程式 (或使用者 )於同一時(shí)間詴圖使用並更新同一檔案或資料項(xiàng)目之情形 (ex: 資料庫(kù)系統(tǒng)通常會(huì)將資料存取權(quán)限設(shè)定給具較優(yōu)先順位之程式，而將其他程式暫時(shí)鎖住暫停 ) 應(yīng)用控制 輸出控制 ? 目的：確認(rèn)輸出資訊、表單及文件之完整性與正確性，並送交授權(quán)人員使用與保管，以維持資訊之安全 ? 資料控制職能 應(yīng)先檢視所有輸出之 合理性及格式 是否恰當(dāng)，並調(diào)節(jié)相對(duì)應(yīng)之輸出與輸入 控制總數(shù) ，以確認(rèn)資料已經(jīng)過完整、正確之處理；再者，資料控制職能應(yīng)將輸出之報(bào)表分送給經(jīng)過授權(quán)之使用者，並登錄於 輸出 派送登記簿 ? 資料處理過程中產(chǎn)生之 錯(cuò)誤清單 ，應(yīng)由資料控制職能檢視及查詢後，再交給使用者更正，併入下一批處理 ? 使用者收到輸出之資料或表單時(shí)，應(yīng)確認(rèn)其是否完整與合理，並妥善地使用與保管 ；過期之機(jī)密性資料 (ex: 客戶名單、薪工登記表 )，應(yīng)予以銷毀，以免外洩而造成組織困擾與損失 內(nèi)部控制系統(tǒng)之建立 ? 管理階層體認(rèn)內(nèi)控制度之重要性 ? 配合業(yè)務(wù)、財(cái)務(wù)、管理之需要 ? 組織規(guī)劃應(yīng)合理、明確劃分權(quán)責(zé) ? 建立健全會(huì)計(jì)制度 ? 建立員工甄選、任用、升遷、培訓(xùn)等人事制度 ? 設(shè)置內(nèi)部稽核人員，協(xié)助管理階層調(diào)查、評(píng)估 內(nèi)控制度 內(nèi)部控制系統(tǒng)之了解 ?內(nèi)部控制問卷 ?流程圖 ?敘述性之備忘錄 內(nèi)部控制聲明書 ?對(duì)象：公開發(fā)行公司 ?程序： 每年自行檢查內(nèi)控制度設(shè)計(jì)及執(zhí)行之有 效性 ?時(shí)間：每會(huì)計(jì)年度終了後四個(gè)月內(nèi)於證期局網(wǎng) 站公告申報(bào)，並刊登於年報(bào)與公開說明 書 ?依據(jù) ：公開發(fā)行公司建立內(nèi)部控制制度處理準(zhǔn) 則 ( ) 會(huì)計(jì)師專案審查 ? 對(duì)象：公開發(fā)行公司 ? 目的：使利害關(guān)係人了解公司之內(nèi)控制度設(shè)計(jì) 及執(zhí)行是否有效 ? 審查範(fàn)圍：以受查公司與財(cái)務(wù)報(bào)導(dǎo)及保障資產(chǎn)安全有 關(guān)之內(nèi)控制度 ? 審查意見：無(wú)保留意見 (一 ) 、無(wú)保留意見 (二 )、否定 意見、保留意見、無(wú)法表示意見 ? 審查報(bào)告日期：外勤工作結(jié)束日 ? 依據(jù) ：公開發(fā)行公司建立內(nèi)部控制制度處理準(zhǔn)則 ( ) 自我控制評(píng)估 ?定義：各營(yíng)運(yùn)單位之管理階層負(fù)責(zé)內(nèi)控設(shè)計(jì)執(zhí)行及風(fēng)險(xiǎn)評(píng)估 ?方式： (1)研討會(huì) (由與會(huì)者坦誠(chéng)對(duì)控制與風(fēng)險(xiǎn)問題提出檢討 ) (2)問卷調(diào)查 ?效果 ： (1)稽核人員完成對(duì)控制之評(píng)估 (2)被稽核者了解控制目的 (3)管理階層主動(dòng)負(fù)責(zé)維護(hù)良好之控制環(huán)境 (4)流程改善問題被辨識(shí)並加以解決 ?流程： (a)取得管理階層承諾與支持 (b)適當(dāng)之規(guī)劃 (c)進(jìn)行研討會(huì) (d)報(bào)告研討會(huì)之結(jié)果 (e)提出行動(dòng)計(jì)畫 內(nèi)部控制之威脅與限制 ?成本效益之考量 ?先天性限制： (1)人性 (2)交易複雜性 (3)環(huán)境變遷性