内部控制的概念与作用课件.ppt

1、為何需要控制？為何需要控制？確保目標之達成確保目標之達成降低意外之風險降低意外之風險提昇對醜聞之察覺提昇對醜聞之察覺股東著重公司治理股東著重公司治理管理當局之法律責任管理當局之法律責任高度的管理與員工舞弊事件高度的管理與員工舞弊事件企業之威脅與控制企業之威脅與控制+威脅威脅指不利之潛在事情或情況，若實際發生時，指不利之潛在事情或情況，若實際發生時，將對企業造成傷害及損失將對企業造成傷害及損失+控制控制指對於物件、有機體或系統之活動加以限制指對於物件、有機體或系統之活動加以限制 或引導之過程或引導之過程+風險風險指威脅實際發生之可能性，可以指威脅實際發生之可能性，可以0101之機率值之機率值 來

2、表示來表示+暴險度暴險度指威脅實際發生時，所造成之企業損失指威脅實際發生時，所造成之企業損失企業在規劃與設計相關控制前，應先了解其所面臨之威企業在規劃與設計相關控制前，應先了解其所面臨之威脅，才能制定出一套有效之控制制度脅，才能制定出一套有效之控制制度資訊系統面臨之威脅資訊系統面臨之威脅(一一)+企業在規劃與設計資訊系統相關控制企業在規劃與設計資訊系統相關控制 前，應先了解其所面臨之前，應先了解其所面臨之威脅威脅，才能，才能 制定出一套制定出一套有效之控制制度有效之控制制度+資訊系統面臨之主要威脅為資訊系統面臨之主要威脅為：天然及政治災害天然及政治災害軟體錯誤與設備失靈軟體錯誤與設備失靈無心之

3、錯誤無心之錯誤有意之舞弊或犯罪有意之舞弊或犯罪資訊系統面臨之威脅資訊系統面臨之威脅(二二)+根據調查與統計，資訊系統最大之風險與損失來自根據調查與統計，資訊系統最大之風險與損失來自於於員工無心之錯誤員工無心之錯誤(約佔約佔65%)，其次為，其次為天然災害之天然災害之威脅威脅，再其次為，再其次為舞弊與犯罪舞弊與犯罪+資訊系統面臨之潛在威脅，近年有增無減，主要原資訊系統面臨之潛在威脅，近年有增無減，主要原因之為因之為主從式區域網路主從式區域網路(企業內網路企業內網路)與與廣域網路廣域網路(企業間網路企業間網路)之普及化，因而很多企業更重視資訊之普及化，因而很多企業更重視資訊系統之安全控管系統之安全

4、控管一般之企業曝險一般之企業曝險*錯誤之簿記錯誤之簿記*錯誤之會計處理錯誤之會計處理*企業停業企業停業*錯誤之管理決策錯誤之管理決策*舞弊與侵占、盜用舞弊與侵占、盜用*法令之處罰法令之處罰*超額成本超額成本*資源之損失與破壞資源之損失與破壞*不利之競爭力不利之競爭力舞弊與控制舞弊與控制N舞弊舞弊：蓄意之行為，或不忠實之意蓄意之行為，或不忠實之意 圖去獲取不合理或違法之利益圖去獲取不合理或違法之利益N管理當局有責任去預防與揭露舞弊行為管理當局有責任去預防與揭露舞弊行為N控制系統控制系統：協助管理當局達成上述協助管理當局達成上述 任務任務控制下之人性面與反作用控制下之人性面與反作用主管承受預算之壓

5、力主管承受預算之壓力控制造成短視控制造成短視過分強調短期因素過分強調短期因素過分注重容易衡量之因素過分注重容易衡量之因素有些控制造成權術運用有些控制造成權術運用控制可能引起內部衝突控制可能引起內部衝突內部控制的定義內部控制的定義(一一)u根據我國審計準則公報根據我國審計準則公報#5#5，內部控制係指受，內部控制係指受查者之組織規劃及其所採用之各種協調方法查者之組織規劃及其所採用之各種協調方法與措施，以與措施，以保護資產安全保護資產安全、提高會計資訊之提高會計資訊之可靠性及完整性可靠性及完整性、增進經營效率增進經營效率、並、並促使遵促使遵行管理政策行管理政策，所採行的任何行動所採行的任何行動內部

6、控制的定義內部控制的定義(二二)u根據根據COSO(C o m m i t t e e o f S p o n s o r i n g Organizations of Treadway Commission)研究報告，研究報告，內部控制係指公司董事會、管理當局、及其內部控制係指公司董事會、管理當局、及其部屬為了合理保證下列控制目標之達成，而部屬為了合理保證下列控制目標之達成，而採行的程序：採行的程序：（1）營運的效果與效率）營運的效果與效率（2）財務報導的可靠性）財務報導的可靠性（3）相關法令與規章的遵循）相關法令與規章的遵循內部控制的定義內部控制的定義(三三)u基本觀念基本觀念：內部控制是

7、一種內部控制是一種過程過程內部控制的有效運作內部控制的有效運作，受到人的影響受到人的影響，包括董事，包括董事會、管理階層及其他人員會、管理階層及其他人員內部控制設計之目的在於內部控制設計之目的在於達成組織之目標達成組織之目標內部控制只能內部控制只能合理保證合理保證目標之達成目標之達成內部控制的基本觀念內部控制的基本觀念(四四)p企業實施內部控制之前，應先建立適當的企業實施內部控制之前，應先建立適當的內部控制內部控制架構架構。內部控制架構係指組織建立的政策與程序，。內部控制架構係指組織建立的政策與程序，以以合理保證合理保證組織特定組織特定目標的達成目標的達成。p在設計內部控制時，必須考量相關控制

8、程序的在設計內部控制時，必須考量相關控制程序的成本成本與效益與效益。若要求絕對保證組織目標的達成。若要求絕對保證組織目標的達成，則會使內部控制成本過高，超過其所能產生的效，則會使內部控制成本過高，超過其所能產生的效益（也就是邊際成本大於邊際效益）。因此，內部益（也就是邊際成本大於邊際效益）。因此，內部控制的設計通常以控制的設計通常以合理保證合理保證為目標。為目標。內部控制的基本觀念內部控制的基本觀念(五五)p企業在設計內部控制程序之前，應先確認其企業在設計內部控制程序之前，應先確認其相關的控制目標，而相關的控制目標，而控制目標控制目標又與又與營運目標營運目標及其所面臨的及其所面臨的潛在威脅潛在

9、威脅有關。有關。p內部控制制度的設計應與組織的內部控制制度的設計應與組織的目標相結合目標相結合，並合理保證將企業所面臨的並合理保證將企業所面臨的威脅與風險威脅與風險降到降到可以接受的水準。可以接受的水準。內部控制之重要性內部控制之重要性降低錯誤及舞弊之可能性降低錯誤及舞弊之可能性減少違法事件之發生減少違法事件之發生減低企業失敗之機率減低企業失敗之機率提高企業之競爭力提高企業之競爭力 監視組織控制系統之運作監視組織控制系統之運作內稽主要功能電腦化資訊系統內部控制的電腦化資訊系統內部控制的基本觀念基本觀念(一一)u電腦化資料處理之主要特點：電腦化資料處理之主要特點：利用電腦產生多樣化資訊利用電腦產

10、生多樣化資訊u電腦化資訊系統電腦化資訊系統與與人工資訊系統人工資訊系統之差別：之差別：(1)交易交易(稽核稽核)軌跡僅軌跡僅短暫保存短暫保存或以電腦可以或以電腦可以讀取之形式讀取之形式 保存保存(2)交易處理過程由電腦程式控制，具有交易處理過程由電腦程式控制，具有一致性一致性，可避免，可避免 人為錯誤人為錯誤(但程式錯誤將產生交易處理錯誤但程式錯誤將產生交易處理錯誤)(3)原人工分工改為原人工分工改為電腦集中處理電腦集中處理，故原分工達成之控制，故原分工達成之控制 目標須以其他目標須以其他控制措施控制措施取代取代電腦化資訊系統內部控制的基本電腦化資訊系統內部控制的基本觀念觀念(二二)(4)資料

11、處理過程中人工的介入大幅減少，電腦發生錯資料處理過程中人工的介入大幅減少，電腦發生錯 誤及利用電腦進行的誤及利用電腦進行的舞弊被發現的可能性降低舞弊被發現的可能性降低。另另 外，外，應用程式應用程式於設計及修正過程所產生的於設計及修正過程所產生的錯誤錯誤，也也 可能長久存在而未被發覺可能長久存在而未被發覺 (5)電腦系統提供許多電腦系統提供許多資料分析工具資料分析工具，可協助管理者，可協助管理者覆覆 核及監督系統運作，進而加強內部控制核及監督系統運作，進而加強內部控制 (6)有些交易可能由有些交易可能由電腦自動啟始或執行電腦自動啟始或執行，這些交易，這些交易的的 授權可能因而缺乏書面的證據或在

12、管理者接受系授權可能因而缺乏書面的證據或在管理者接受系統統 設計時就已確認設計時就已確認 (7)電腦處理可能產生一些人工處理所需要的報表和電腦處理可能產生一些人工處理所需要的報表和其其 他輸出，因此，他輸出，因此，其他控制的效果有賴於電腦處理其他控制的效果有賴於電腦處理控控 制的完整性與正確性制的完整性與正確性。例如：電腦產生的例外報。例如：電腦產生的例外報告告 是否正確，將影響人工覆核例外情況的有效性是否正確，將影響人工覆核例外情況的有效性 電腦化資訊系統內部控制的電腦化資訊系統內部控制的基本觀念基本觀念(三三)u為了確保電腦化資訊系統具備良好的控制環境為了確保電腦化資訊系統具備良好的控制環

13、境，組，組織應該：織應該：確實控管資訊系統確實控管資訊系統開發專案開發專案 適當分配電腦適當分配電腦資源的所有權資源的所有權 落實電腦軟體、硬體及資料庫的落實電腦軟體、硬體及資料庫的保管與維護保管與維護 訂定與實施有效的訂定與實施有效的電腦安全與災害復原計劃電腦安全與災害復原計劃內部控制之目的內部控制之目的根據美國及我國內部稽核協會之內部稽核執根據美國及我國內部稽核協會之內部稽核執業準則公報第一號，內部控制之目的包括：業準則公報第一號，內部控制之目的包括：F資訊的可靠性與完整性資訊的可靠性與完整性F政策、計畫、程序與法令之遵循政策、計畫、程序與法令之遵循F資產之保障資產之保障F資源運用之經濟有

14、效資源運用之經濟有效F組織目的與營運或專案計畫目標之達成組織目的與營運或專案計畫目標之達成具體之內部控制目的具體之內部控制目的以交易循環為例：以交易循環為例：B交易業經適當授權交易業經適當授權B已經發生之交易業已記錄已經發生之交易業已記錄B帳上所記錄之交易真實有效帳上所記錄之交易真實有效B交易之科目分類適當交易之科目分類適當B交易之評價適當交易之評價適當B交易在適當時點記錄交易在適當時點記錄B交易之過帳、分類、彙總、調節、及報告之過程適當交易之過帳、分類、彙總、調節、及報告之過程適當內部控制內部控制VS.八大交易循環八大交易循環Q銷貨及收款循環銷貨及收款循環Q採購及付款循環採購及付款循環Q生產

15、及存貨循環生產及存貨循環Q人事薪資循環人事薪資循環Q融資循環融資循環Q投資循環投資循環Q固定資產管理循環固定資產管理循環Q研究發展循環研究發展循環銷售循環之威脅銷售循環之威脅&暴險與控制程序暴險與控制程序(一一)銷售循環之威脅銷售循環之威脅&暴險與控制程序暴險與控制程序(二二)銷售循環之威脅銷售循環之威脅&暴險與控制程序暴險與控制程序(三三)銷售循環之威脅銷售循環之威脅&暴險與控制程序暴險與控制程序(四四)銷售循環之威脅銷售循環之威脅&暴險與控制程序暴險與控制程序(五五)採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(一一)採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序

16、(二二)採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(三三)採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(四四)採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(五五)採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(六六)採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(七七)採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(八八)採購循環之威脅採購循環之威脅&暴險與控制程序暴險與控制程序(九九)生產循環之威脅生產循環之威脅&暴險與控制程序暴險與控制程序(一一)生產循環之威脅生產循環之威脅&暴險與控制程序暴險與控制程序(二二

17、)生產循環之威脅生產循環之威脅&暴險與控制程序暴險與控制程序(三三)薪工循環之威脅薪工循環之威脅&暴險與控制程序暴險與控制程序(一一)薪工循環之威脅薪工循環之威脅&暴險與控制程序暴險與控制程序(二二)薪工循環之威脅薪工循環之威脅&暴險與控制程序暴險與控制程序(三三)薪工循環之威脅薪工循環之威脅&暴險與控制程序暴險與控制程序(四四)固定資產循環之威脅固定資產循環之威脅&暴險與控制程暴險與控制程序序(一一)固定資產循環之威脅固定資產循環之威脅&暴險與控制程暴險與控制程序序(二二)固定資產循環之威脅固定資產循環之威脅&暴險與控制程暴險與控制程序序(三三)COSO內部內部控制模式及其組成要素控制模式及

18、其組成要素(一一)COSO於於1992年發布一份研究報告，明確定年發布一份研究報告，明確定義內部控制，並提供內部控制評估方面的指義內部控制，並提供內部控制評估方面的指引。該報告已成為最權威的內部控制文獻，引。該報告已成為最權威的內部控制文獻，已被實務界廣為採用。已被實務界廣為採用。COSO內部控制模式及其組成要素內部控制模式及其組成要素(二二)COSO研究報告將內部控制定義為研究報告將內部控制定義為p公司公司董事會、管理當局、及其部屬董事會、管理當局、及其部屬為了為了合理保證合理保證下列控下列控制目標之達成，而採行的程序：制目標之達成，而採行的程序：營運的效果與效率、財營運的效果與效率、財務報

19、導的可靠性、以及相關法令與規章的遵循務報導的可靠性、以及相關法令與規章的遵循。p此項定義強調：此項定義強調：內部控制是一項過程內部控制是一項過程內部控制受人的影響內部控制受人的影響內部控制對管理當局及董事會而言，僅能提供合理保證，而非絕內部控制對管理當局及董事會而言，僅能提供合理保證，而非絕對保證。對保證。COSO內部控制模式及其組成要素內部控制模式及其組成要素(三三)COSO控制模式是以控制模式是以控制環境控制環境為基礎。根據組織的控制環境為基礎。根據組織的控制環境及營運目標，管理當局必須辨認、分析及管理相關的風險，及營運目標，管理當局必須辨認、分析及管理相關的風險，也就是進行也就是進行風險

20、評估風險評估與管理。緊接著，企業應建立與執行適與管理。緊接著，企業應建立與執行適當的控制政策與程序，以有效的執行與風險相關的當的控制政策與程序，以有效的執行與風險相關的控制作業控制作業。至於組織的至於組織的資訊與溝通資訊與溝通系統的作用，則在於讓組織的成員可系統的作用，則在於讓組織的成員可以捕捉及分享與執行、管理及控制其活動有關的資訊。上述以捕捉及分享與執行、管理及控制其活動有關的資訊。上述的控制過程必須加以的控制過程必須加以監督監督，並做必要的修正，以維持內部控，並做必要的修正，以維持內部控制制度的有效性。換句話說，這五項組成要素之間密切相關，制制度的有效性。換句話說，這五項組成要素之間密切

21、相關，而形成一個完整的內部控制模式。而形成一個完整的內部控制模式。COSO內部控制模式及其組成要素內部控制模式及其組成要素(四四)控制環境控制環境(Control environment)風險評估風險評估(Risk assessment)控制作業控制作業(Control activities)資訊與溝通資訊與溝通(Information and communication)監督監督(Monitoring)控制環境控制環境u控制環境包括七項組成因素控制環境包括七項組成因素H管理階層的操守與價值觀管理階層的操守與價值觀H管理哲學與經營風格管理哲學與經營風格H組織架構組織架構H外部監察人的參與外部監

22、察人的參與H分派權力與責任的方法分派權力與責任的方法H人力資源政策與實務人力資源政策與實務H外部影響外部影響控制環境控制環境常見機制常見機制 落實管理當局之責任落實管理當局之責任 啟動董事會與審計委員會之監督功能啟動董事會與審計委員會之監督功能 明確詳細的員工守則明確詳細的員工守則 適當的員工任免政策適當的員工任免政策 實行獨立於一般管理階層之外的實行獨立於一般管理階層之外的 道德諮詢系統道德諮詢系統(制訂檢舉制度制訂檢舉制度)一套完整的舞弊調查及矯正措施一套完整的舞弊調查及矯正措施風險評估風險評估風險評估包括辨認、分析及管理企業有關的風險風險評估包括辨認、分析及管理企業有關的風險風險風險(r

23、isk)係指威脅實際發生的可能性，可以係指威脅實際發生的可能性，可以0到到1的機率值表示的機率值表示若威脅實際發生，企業因而可能產生的損失稱為暴若威脅實際發生，企業因而可能產生的損失稱為暴險度險度(exposure)若我們將風險若我們將風險(機率值機率值)乘以暴險度乘以暴險度(金額金額)，就能計算，就能計算出某項威脅帶來的預期損失。內部控制的主要作用出某項威脅帶來的預期損失。內部控制的主要作用即在於降低或消除各項威脅的預期損失即在於降低或消除各項威脅的預期損失風險評估風險評估風險評估與建立企業內部相關內部控制的步風險評估與建立企業內部相關內部控制的步驟：驟：辨認威脅辨認威脅估計風險估計風險估計

24、可能損失估計可能損失(暴險度暴險度)找出相關的控制程序找出相關的控制程序估計控制程序的成本與效益估計控制程序的成本與效益選定控制程序選定控制程序風險評估風險評估常見機制常見機制 建立舞弊風險評估程序建立舞弊風險評估程序 評估舞弊之可能性及重大性評估舞弊之可能性及重大性 辨識舞弊發生之組織層級辨識舞弊發生之組織層級 遏阻管理階層之逾越遏阻管理階層之逾越 控制作業控制作業一般而言，組織的控制程序可區分為五類一般而言，組織的控制程序可區分為五類：p交易與作業的適當授權交易與作業的適當授權p職能分工職能分工p設計與使用適當文件與紀錄設計與使用適當文件與紀錄 (ex:(ex:憑證、簽章、預先編號憑證、簽

25、章、預先編號)p資產與紀錄的保護資產與紀錄的保護(接近控制接近控制)p獨立的覆核獨立的覆核資訊與溝通資訊與溝通資訊與溝通係指組織成員能夠取得其職務上資訊與溝通係指組織成員能夠取得其職務上所需的所需的各種資訊各種資訊，且資訊能夠在組織中，且資訊能夠在組織中傳播傳播與溝通與溝通。資訊系統詳細紀錄交易處裡的過程，。資訊系統詳細紀錄交易處裡的過程，這些資料成為交易的稽核軌跡這些資料成為交易的稽核軌跡(audit trail)。組織成員可以利用稽核軌跡追查交易如何起組織成員可以利用稽核軌跡追查交易如何起始、經過何種處理、以及如何報導，有助於始、經過何種處理、以及如何報導，有助於確認內部控制程序落實的程度

26、與執行的成效。確認內部控制程序落實的程度與執行的成效。資訊與溝通資訊與溝通常見機制常見機制 教育訓練教育訓練 知識管理知識管理 資訊系統及技術資訊系統及技術監督監督監督係指對於內部控制的實施進行監督係指對於內部控制的實施進行評估與控評估與控管管的過程的過程常見機制常見機制 管理當局的督導管理當局的督導 採用責任會計制度採用責任會計制度 進行內部稽核進行內部稽核內部稽核之於舞弊內部稽核之於舞弊建立健全建立健全內控環境內控環境充分的溝通資訊充分的溝通資訊管理當局之責任管理當局之責任董事會董事會/審計委員會審計委員會指揮指揮內部稽核內部稽核(1)瞭解管理當局的瞭解管理當局的舞弊防範措施舞弊防範措施(

27、2)評估管理當局對評估管理當局對 於舞弊風險之評估於舞弊風險之評估(3)對於舞弊防範措對於舞弊防範措 施之有效性進行施之有效性進行查核查核(4)接受董事會接受董事會/審計審計 委員會之指揮委員會之指揮,針對高舞弊風險針對高舞弊風險作業進行調查作業進行調查落實內控的關鍵要素落實內控的關鍵要素C建立能減少舞弊或犯罪之標準及程序建立能減少舞弊或犯罪之標準及程序C指定某一特定高級管理階層人員負責監督內部控制指定某一特定高級管理階層人員負責監督內部控制之執行之執行C防止不當授權防止不當授權C將標準及程序有效傳達全體員工將標準及程序有效傳達全體員工C實施對遵循之衡量，諸如監控、稽核及報告制度實施對遵循之衡

28、量，諸如監控、稽核及報告制度C輔以獎懲措施之強化標準及程序之執行輔以獎懲措施之強化標準及程序之執行C當制度被偵出有重大違失時，給予適當回應當制度被偵出有重大違失時，給予適當回應從富邦錯帳事件看內部控制從富邦錯帳事件看內部控制事由事由 2005/06/27,富邦證仁愛分公司一交易員按錯指令富邦證仁愛分公司一交易員按錯指令(輸入錯誤的數量輸入錯誤的數量),造成造成$77億元錯帳事件億元錯帳事件。後續發展後續發展2005/06/30,金管會依證交法處富邦警告一次金管會依證交法處富邦警告一次,將影將影響其未來三個月新辦業務或新設據點；並要求須在響其未來三個月新辦業務或新設據點；並要求須在一個月內報告其

29、內部控制改善計畫及執行情況一個月內報告其內部控制改善計畫及執行情況。2005/07/19,證交所處違約金額證交所處違約金額$30萬。萬。富邦證之危機管理富邦證之危機管理向證交所申報錯帳向證交所申報錯帳發出聲名稿，承認錯誤發出聲名稿，承認錯誤調現金調現金命自營部買入經紀部要賣的股票命自營部買入經紀部要賣的股票檢討下單流程、電腦程式、風險管理及檢討下單流程、電腦程式、風險管理及查核程序查核程序懲處交易員懲處交易員修改電腦程式修改電腦程式富邦證之內部控制富邦證之內部控制控制環境控制環境董事長兼總經理(葉公亮)與國際部顧問(周資青)權責分配失衡風險評估透過加強員工風險意識、資訊控制、交易分層授權以降低

30、錯帳金額富邦證之內部控制富邦證之內部控制控制活動控制活動系統設計者設計不良系統設計者設計不良、系統使用者未能與系統系統使用者未能與系統設計者充分溝通，使系統設計者不瞭解控制是設計者充分溝通，使系統設計者不瞭解控制是必要的、系統測試與教育訓練不足必要的、系統測試與教育訓練不足資訊與溝通資訊與溝通以開放的態度對外溝通達到效果以開放的態度對外溝通達到效果監督監督事後由董事長領軍，成立風險改進委員會，重事後由董事長領軍，成立風險改進委員會，重新檢視風險控管機制並提出改進方式，同時嚴新檢視風險控管機制並提出改進方式，同時嚴格規範各單位自行查核人員及內部稽核人員之格規範各單位自行查核人員及內部稽核人員之查

31、核方式查核方式建立資訊系統內部控制之重要性建立資訊系統內部控制之重要性(一一)經營環境複雜化經營環境複雜化資訊需求多樣化資訊需求多樣化資訊系統複雜化與風險性資訊系統複雜化與風險性良好之內部控制良好之內部控制 降低風險之影響或損失降低風險之影響或損失 確保組織正常運作確保組織正常運作建立資訊系統內部控制之重要性建立資訊系統內部控制之重要性(二二)資訊系統稽核與控制基金會資訊系統稽核與控制基金會(Information Systems Audit and Control Foundation,簡稱簡稱ISACF)發佈發佈資訊及相關技術控制目的資訊及相關技術控制目的(Control objectiv

32、es for information and related technology,簡稱簡稱COBIT)，可以作為企業建立資訊系統與資訊科技安全可以作為企業建立資訊系統與資訊科技安全控制政策與程序之架構控制政策與程序之架構COBIT基本觀念架構基本觀念架構(一一)用途：用途：在於提供與資訊科技應用、控制與稽核在於提供與資訊科技應用、控制與稽核有關之指引有關之指引COBIT由由COBIT指導委員會指導委員會與與ISACF共同發佈共同發佈使命：使命：研究、發展、發佈與推廣一供套權威、研究、發展、發佈與推廣一供套權威、最新、國際公認之資訊科技控管目的，供企業最新、國際公認之資訊科技控管目的，供企業經

33、理人與稽核人員日常使用經理人與稽核人員日常使用基本理念：基本理念：企業須透過管理企業須透過管理IT流程，將流程，將IT資源資源整合運用，進而滿足組織之業務需求整合運用，進而滿足組織之業務需求COBIT基本觀念架構基本觀念架構(二二)COBIT兼顧兼顧品質品質(quality)、監管、監管(fiduciary)、安全、安全(security)三方面之需求，彙整成七項資訊標準：三方面之需求，彙整成七項資訊標準：效效果、效率、保密、真實、可用性、遵循性、可靠性果、效率、保密、真實、可用性、遵循性、可靠性為確保資訊符合上述標準，組織必須適當地控制及為確保資訊符合上述標準，組織必須適當地控制及監督監督I

34、T資源之使用資源之使用COBIT將將IT資源之管理分為資源之管理分為範疇範疇(domains)、流程、流程(processes)、活動、活動(activities)三個層次三個層次內部控制的分類內部控制的分類依照內部控制程序採行的依照內部控制程序採行的時間點時間點，可以，可以區分為區分為預防性控制、偵測性控制以及改預防性控制、偵測性控制以及改正性控制正性控制(補充：指示性控制、補償性控制補充：指示性控制、補償性控制)就就電腦化電腦化資訊系統的觀點而言，其內部資訊系統的觀點而言，其內部控制可以區分為控制可以區分為一般控制與應用控制一般控制與應用控制若按照若按照資料處理步驟資料處理步驟的區分的區分

35、,內部控制可內部控制可以區分為以區分為輸入控制、處理控制以及輸出輸入控制、處理控制以及輸出控制控制預防性、偵測性與改正性控制預防性、偵測性與改正性控制(一一)u依照內部控制程序採行的時間點，可以區分為依照內部控制程序採行的時間點，可以區分為預防預防性控制、偵測性控制以及改正性控制性控制、偵測性控制以及改正性控制。預防性控制預防性控制可以用來防止問題的發生，是一種可以用來防止問題的發生，是一種事前事前的觀念。不的觀念。不過，基於過，基於成本效益的考量成本效益的考量以及以及實務上的限制實務上的限制，預防，預防性控制很難完全防止所有的問題。性控制很難完全防止所有的問題。u企業在設計控制程序時，必須加

36、入適當的企業在設計控制程序時，必須加入適當的偵測性控偵測性控制制，以便在問題發生時，能夠迅速的察覺，以便在問題發生時，能夠迅速的察覺，並立即通知相關的人員採取補救或改正的行動。，並立即通知相關的人員採取補救或改正的行動。偵測性控制是一種偵測性控制是一種事中事中的觀念。的觀念。預防性、偵測性與改正性控制預防性、偵測性與改正性控制(二二)u改正性控制改正性控制的作用在於補救或改正被偵測到的作用在於補救或改正被偵測到的問題，以確保組織順利的運作，達成既定的問題，以確保組織順利的運作，達成既定的目標。改正性控制包括三個程序：的目標。改正性控制包括三個程序：(1)找出造成問題的原因找出造成問題的原因(可

37、能由偵測性控制可能由偵測性控制 提供相關訊息提供相關訊息)(2)改正已發生的錯誤或障礙改正已發生的錯誤或障礙(3)修改現有的控制制度或程序，以消除或降修改現有的控制制度或程序，以消除或降 低未來發生類似問題的可能性低未來發生類似問題的可能性預防性、偵測性與改正性控制預防性、偵測性與改正性控制(三三)u一般而言，錯誤與問題若能於事前予以預防，一般而言，錯誤與問題若能於事前予以預防，較能保障組織的順利運作與目標的達成。因較能保障組織的順利運作與目標的達成。因此，在合乎成本效益的前提下，企業應此，在合乎成本效益的前提下，企業應優先優先採行預防性控制採行預防性控制。不過。不過，預防性控制很難達到絕對的

38、控制，所以有，預防性控制很難達到絕對的控制，所以有效的效的偵測性控制可發揮補償偵測性控制可發揮補償的作用的作用，避免問題久未發現，而造成更大的傷害。，避免問題久未發現，而造成更大的傷害。至於至於改正性控制則應強調對症下藥改正性控制則應強調對症下藥，並避免類似問題重複發生。，並避免類似問題重複發生。一般控制與應用控制一般控制與應用控制u就電腦化資訊系統的觀點而言，其內部控制就電腦化資訊系統的觀點而言，其內部控制可以區分為可以區分為一般控制一般控制與與應用控制應用控制l一般控制一般控制在於確保組織具有穩定及管理優良的控在於確保組織具有穩定及管理優良的控制環境，以提升應用控制的效果。制環境，以提升應

39、用控制的效果。l應用控制應用控制的目的則為在交易處理過程中，預防、的目的則為在交易處理過程中，預防、偵測及改正相關的錯誤與舞弊。偵測及改正相關的錯誤與舞弊。輸入控制、處理控制輸入控制、處理控制及輸出控制輸出控制u若按照資料處理步驟的區分若按照資料處理步驟的區分,內部控制可以區分為內部控制可以區分為輸輸入控制、處理控制入控制、處理控制以及以及輸出控制輸出控制輸入控制輸入控制在於確保只有正確、有效以及經過核准在於確保只有正確、有效以及經過核准的資料的資料，才能進入系統作進一步的處理才能進入系統作進一步的處理處理控制處理控制目的在於確保所有的交易都經過正確、目的在於確保所有的交易都經過正確、完整的處

40、理，相關的紀錄與檔案也予以適當的更完整的處理，相關的紀錄與檔案也予以適當的更新新輸出控制輸出控制則用以確保系統的輸出具有適當的控管，則用以確保系統的輸出具有適當的控管，以避免資料的不當使用或外洩以避免資料的不當使用或外洩電腦化資訊之一般控制電腦化資訊之一般控制(一一)u企業設置一般控制的目的：企業設置一般控制的目的：確保電腦化資訊系統作業確保電腦化資訊系統作業環境的穩定環境的穩定與與良好的良好的管理管理u一般控制與所有的電腦作業有關，常見的一般一般控制與所有的電腦作業有關，常見的一般控制措施包括：控制措施包括：(1)(1)訂定資訊安全政策與計劃訂定資訊安全政策與計劃(2)(2)資訊系統職能內部

41、分工資訊系統職能內部分工(3)(3)專案發展控制專案發展控制(4)(4)實體存取控制實體存取控制(5)(5)邏輯存取控制邏輯存取控制(6)(6)資料儲存控制資料儲存控制 電腦化資訊之一般控制電腦化資訊之一般控制(二二)(7)(7)資料傳輸控制資料傳輸控制(8)(8)建立文件標準建立文件標準(9)(9)降低系統當機時間降低系統當機時間(10)(10)訂定災害復原計劃訂定災害復原計劃(11)保護個人電腦與主從式網路保護個人電腦與主從式網路(12)(12)網際網路控制網際網路控制一般控制一般控制-訂定資訊安全政策與計畫訂定資訊安全政策與計畫資訊系統電腦化的組織應發展出一套資訊系統電腦化的組織應發展出

42、一套完整的資訊完整的資訊安全計畫安全計畫，並持續的加以更新。這份計畫應由，並持續的加以更新。這份計畫應由資資訊訊安全主管負責安全主管負責訂定、監督以及推動，其內容包訂定、監督以及推動，其內容包含界定各類資訊含界定各類資訊由誰使用由誰使用、如何使用如何使用、需用時間需用時間以及以及存放存放於那一個系統。安全主管可根據一計畫於那一個系統。安全主管可根據一計畫評估資訊系統面臨的評估資訊系統面臨的威脅威脅、風險風險及及暴險度暴險度，並據，並據以選擇最具成本效益的安全控管措施。以選擇最具成本效益的安全控管措施。一般控制一般控制-資訊系統職能內部分工資訊系統職能內部分工(一一)l電腦作業環境下電腦作業環境

43、下，多項工作可能由電腦一併完成，多項工作可能由電腦一併完成，使得傳統人工作業環境下的分工方式較不可行。組使得傳統人工作業環境下的分工方式較不可行。組織必須就電腦職能（部門）進行適當分工，以降低織必須就電腦職能（部門）進行適當分工，以降低電腦集中多項功能所帶來的威脅電腦集中多項功能所帶來的威脅l一般而言一般而言，在組織規模容許及合乎成本效益的情況，在組織規模容許及合乎成本效益的情況下，資訊系統的下列相關職能應有適當的分工：系下，資訊系統的下列相關職能應有適當的分工：系統分析、程式設計、電腦操作、資料控制、系統函統分析、程式設計、電腦操作、資料控制、系統函式庫式庫（library）以及使用者。以及

44、使用者。一般控制一般控制-資訊系統職能內部分工資訊系統職能內部分工(二二)l適用於大型主機電腦環境之集中式資訊系統組適用於大型主機電腦環境之集中式資訊系統組織架構，不同職能之分工大致如下：織架構，不同職能之分工大致如下：n系統分析師系統分析師/設計師設計師n程式設計師程式設計師n資料庫管理資料庫管理n通信通信/網路控制網路控制n電腦操作員電腦操作員n系統函式庫系統函式庫/資料管理員資料管理員n資料控制小組資料控制小組n資料準備資料準備/輸入輸入n終端使用者終端使用者一般控制一般控制-專案發展控制專案發展控制%組織開發資訊系統時，必須投入大量人力、時組織開發資訊系統時，必須投入大量人力、時間與財

45、務資源間與財務資源%若缺乏適當之規劃與管控，常造成專案進度落若缺乏適當之規劃與管控，常造成專案進度落後、成本超支、系統品質低落後、成本超支、系統品質低落%一般而言，系統開發專案之規劃與管控包含：一般而言，系統開發專案之規劃與管控包含：訂定長期資訊系統主計畫訂定長期資訊系統主計畫訂定個別專案開發計畫，界定專案之重要時程訂定個別專案開發計畫，界定專案之重要時程成立專案小組，明確分派責任成立專案小組，明確分派責任定期評估專案推動之績效定期評估專案推動之績效進行專案完成後實施情形之覆核進行專案完成後實施情形之覆核一般控制一般控制-實體存取控制實體存取控制存取控制存取控制(access controls

46、)：合理保證只有經過授權：合理保證只有經過授權(核准核准)者才能使用系統；其用途也應經過授權者才能使用系統；其用途也應經過授權存取控制可分為：存取控制可分為：(1)實體實體(physical)存取控制存取控制(2)邏輯邏輯(logical)存取控制存取控制實體存取控制：實體存取控制：維護電腦設備之安全，以確保只有經過授權維護電腦設備之安全，以確保只有經過授權者才能使用設備者才能使用設備。可依序分為三個層次：。可依序分為三個層次：(1)外圍控制外圍控制(2)建築物控制建築物控制(3)電腦設備控制電腦設備控制一般控制一般控制-邏輯存取控制邏輯存取控制邏輯存取控制：邏輯存取控制：確保使用者只能使用其

47、被授權範圍內之資料確保使用者只能使用其被授權範圍內之資料與程式與程式。可依序分為三個層次：。可依序分為三個層次：(1)辨識使用者身份辨識使用者身份(2)身份驗證身份驗證(3)確認權限確認權限一般常用之使用者權限設定方式為建立存取控制表，以規範一般常用之使用者權限設定方式為建立存取控制表，以規範不同使用者對於各項資料與程式檔案之權限等級不同使用者對於各項資料與程式檔案之權限等級(ex：讀取、：讀取、顯示、寫入、更新、增加、刪除顯示、寫入、更新、增加、刪除)一般控制一般控制-資料儲存控制資料儲存控制組織應將資料視為重要資源，並妥善保護組織應將資料視為重要資源，並妥善保護及控制，以免遭到未經授權之揭

48、露、使用及控制，以免遭到未經授權之揭露、使用或破壞或破壞一般控制一般控制-資料傳輸控制資料傳輸控制:組織利用網路傳送資料時，為降低傳輸失之組織利用網路傳送資料時，為降低傳輸失之風險，相關人員應風險，相關人員應監控通信網路監控通信網路，發現弱點，發現弱點須立即加以補強須立即加以補強:一般常用來降低資料傳輸錯誤之方法或程序一般常用來降低資料傳輸錯誤之方法或程序包含：包含：(1)資料加密資料加密(2)驗證程序驗證程序(3)位元檢查位元檢查(4)訊息確認技術訊息確認技術一般控制一般控制-建立文件標準建立文件標準(一一)為讓相關人員易於為讓相關人員易於瞭解瞭解、使用使用及及維護維護資資 訊系統，企業在開

49、發系統之過程中，應訊系統，企業在開發系統之過程中，應 建立相關文件建立相關文件進行系統書面化工作時，各項文件之編進行系統書面化工作時，各項文件之編 寫與修改應寫與修改應一致性一致性，並存放於安全地方，並存放於安全地方，以便文件之使用，以便文件之使用一般控制一般控制-建立文件標準建立文件標準(二二)一般常用之資訊系統文件為：一般常用之資訊系統文件為：(1)系統文件系統文件(system documentation)(2)程式文件程式文件(program documentation)(3)操作文件操作文件(operating documentation)(4)電腦操作手冊電腦操作手冊(comput

50、er run manual)(5)程序文件程序文件(procedural documentation)(6)使用者文件使用者文件(user documentation)一般控制一般控制-降低系統當機時間降低系統當機時間電腦軟體或硬體之失靈會造成資訊系統無法電腦軟體或硬體之失靈會造成資訊系統無法正常運作，而導致正常運作，而導致重大營運或財務損失重大營運或財務損失一般常用來降低當機時間之方法為：一般常用來降低當機時間之方法為：(1)落實落實預防性維護預防性維護工作工作(2)建立建立不斷電系統不斷電系統(3)配置配置額外之系統組件額外之系統組件，以提昇系統之，以提昇系統之 容錯能力容錯能力一般控制一