90-Ch.8 内部控制.ppt

實務焦點－資訊安全 美國銀行業潛在網路安全問題 台灣案例 網路銀行－客戶密碼遭盜用 銀行及客戶因應之道 駭客入侵券商網路下單系統 以破解軟體木馬程式，入侵兩家券商系統，盜用二千餘位客戶的密碼，下單買賣股票 違反證券交易法、偽造有價證券、毀損、詐欺、偽造文書等罪 證期會及業者因應之道 第一節　何謂內部控制 內部控制的意義和必要性 內部控制的限制 內部控制的成本效益分析 內部控制的意義和必要性 內部控制的意義 內部控制是受到公司董事會、管理當局及其他人事影響，為了達到有關企業目標，提供合理保證而設計的過程。 企業目標 1.營運之效果及效率 2.財務報導之可靠性 3.相關法令之遵循 內部控制的限制 成本效益的考慮 組織暴露於各種風險中 控制制度中關於「人」的因素 內部控制程序可能無法涵蓋所有交易 經營環境的日趨複雜 成本效益分析 每個組織的內部控制系統都各有其獨特之處。 並沒有所謂的標準控制程序可供業界參考、採用。 而所謂的最佳內部控制系統也就是實施貫徹成本效益分析概念(Cost-Benefit Concept)。 《一個成本效益分析的例子》 Solution 1. 僱用6名保全人員巡視賣場。該項控制程序預估將會使公司每年增加費用$300,000；失竊的損失降為0。 Solution 2. 僱用1名保全人員巡視賣場，並在角落裝設鏡子及監視器。該項控制程序預估將會使公司每年增加$80,000費用；失竊的損失降為$100,000 。 會計資訊系統之內部控制概念圖(圖8-1) 第二節　內部控制結構 內部控制的組成要素 企業風險管理 交易循環的控制目標 ＊企業專題8-1　內部控制的缺失與改進 內部控制的組成要素 (圖8-2) 1.控制環境 2.風險評估 3.資訊與溝通 4.控制活動 5.監督 1.控制環境 正直與道德觀念 勝任的承諾 董事會及審計委員會 管理哲學與經營型態 組織結構　圖8-3　各類組織系統簡圖 權利與義務的分派 人力資源政策與規範 2.風險評估 確認風險並予控制 內、外部事件與 環境變遷之特殊考慮 3.控制作業 資訊處理控制 適當授權 文件與記錄 獨立複核 職能分工 接取控制 績效複核 4.資訊與溝通 完整的交易軌跡 會計政策和程序手冊 會計科目表 複式分錄 5.監督 透過： 進行中的作業 定期評估 包括： 內部來源 外部來源 企業風險管理 內部環境 目標設定 事件辨識 風險評估 風險回應 控制活動 資訊和溝通 監督 交易循環的控制目標 一般化控制目標： 所有交易業經適當授權 所有記錄的交易都是有效的(實際發生的) 所有有效、經授權的交易，已被完整、正確記錄 遵守相關法令規範 保護資產(現金、存貨及資料)安全 達到營運之效果及效率。 交易循環的控制目標(續) 文件與記錄(文件化)所扮演角色 電子化文件之採用 文件的預先、連續性編號 文件與記錄上的簽章 適當的文件與記錄－確保組織承諾的達成 ＊企業專題8-1內部控制的缺失與改進檔案 職能分工 授權程序 接取控制 人事政策及慣例(持續考核) 適當單據/文件憑證 獨立內部驗證、存貨盤點 第三節　系統控制的內容 1.依目標來區分 預防性控制 偵測性控制 改正性控制 2.依範圍來區分 一般控制 應用控制 一般控制 組織及作業控制 系統開發及文件控制 硬體和系統軟體控制 接取控制 資料及程序性控制 應用控制 輸入控制 處理控制 輸出控制 第四節　資訊系統安全管理 資訊系統的風險 ＊企業專題8-2　檔案備份 電腦犯罪的原因與對策 安全控管制度的建立 ＊企業專題8-3　電子商務交易安全 資訊系統的風險 威脅資訊系統安全的來源： ?天然災害 ?機件故障 ?人為過失 ?人為的故意破壞 ＊企業專題8-2　檔案備份 備份解決方案 即時性－ 「三線備援」 線上即時備份(On-line Backup) 近線備份(Near-line Backup) 離線備份(Off-line Backup) 便利性－ 可攜式 固定式 電腦犯罪的原因與對策 電腦犯罪的型態 ?藉由電腦病毒以癱瘓系統 ?「電腦駭客」經由網路的入侵 ?監守自盜 目的 金錢利得 商業競爭 成就動機 管理部門往往存在的問題 不恰當的工作分配 對機件防護不當 雖有制度化管理系統，卻未切實執行 忽視電腦處理資料可信度的查核 在知識與態度上的缺失 表8-2　防範電腦犯罪的控制事項 安全控管制度的建立 安全控管的層級 1.法律及社會道德 2.行政管理之控管 3.實體／硬體／網路安全之控管 4.資料庫／軟體安全之控管 實施安全控管制度的步驟 1.起始階段 2.制定系統安全政策 3.風險分析 4.建立系統安全措施 5.持續的監督和複核 ＊企業專題8-3　電子商務交易安全 「阻斷服務」 (Deny of Service, DoS) 網路銀行的安全體