会计资讯系统与内部控制-精品.pptVIP

(2AIS7)會計資訊系統與內部控制 會計資訊系統的特性與風險 內部控制之定義 COSO Report、COBIT、ISO17799 內部控制的分類 一般控制 應用控制 會計資訊系統的風險 資料正確完整的責任分散 內部控制五大要素之傳統控制活動部分可能被刪除 企業營運可能有發生中斷之風險 可能缺乏交易軌跡 處理程序一致 職能分工的方式與人工作業不同 發生錯誤及舞弊的可能性較高 交易由電腦自動產生或自動執行 人工控制仰賴電腦控制 可提升管理階層監督能力 整合型資訊系統之特性 傳統部門控制的方式已不適用 強調預防且及時偵測之輸入控制 資料存取控制最重要 權責劃分不再侷限於部門及地區 內部控制之定義 內部控制是組織之計劃及企業用以確保資產安全、資料正確及可靠、提昇作業效率及達成預期管理政策之方法。 COSO Report三大目標為： 提高財務報告的可靠性及正確性 遵行法律及規範 評估經營績效並增進營運效率及效果 COSO Report COSO Report中提出五個交互影響組織內部控制結構之基本要素為： 控制環境、控制活動、風險評估、資訊與溝通及監督。控制環境指營造組織的氣氛，以影響員工對控制的認知程度，是其他四大要素的基礎，並提供內部控制的規則及架構，其構成的因素包括管理當局與員工。 COBIT 資訊系統審計及控制基金會(Information Systems Audit and Control Foundation, ISACF)於1996年公佈資訊安全控管評估準則(Control Objectives for Information and related Technology, COBIT) 。COBIT的發展與納入企業內部控制制度，可彌補企業體原有內部控制在資訊控管方面的不足。 COBIT歸納世界36項相關的來源，形成一套專供企業經營者、使用者、IT專家、MIS稽核員與安控業者來強化和評估IT管理和控制的規範。 COBIT的重要控制構面 企業目標：資訊必須遵循特定的標準，亦即必須符合企業之資訊需求；該資訊的標準為效果、效率、機密性、整合性、可用性、符合法令要求及可靠性。 資訊技術資源：包括人、應用系統、技術、設備及資料。 資訊技術處理：規劃及組織、取得及安裝、執行及支援、監控。 ISO17799 ISO17799的前身是「BS7799」全名為「BS7799 Code of Practice for Information Security」，是由英國BSI（British Standards Institute）於1995年提出，1999年修訂，為目前國際最知名的安全規範，並被國際標準局(ISO)收納成為國際標準。 其全部內容除成為正式的國際標準外，也於近期成為經濟部標準檢驗局提出的國家標準CNS17799-1及CNS17799-2。 ISO17799 ISO17799可分成兩個部分，第一部份為「The code of practice for information security systems」，設立產業最佳的管理資訊安全準則；第二部分為「Specification for Information Security Management Systems - ISMS」，詳述資訊技術安全應用與稽核所應遵循的架構，包含了10個章節與10個控管重點，以10個控管重點來保證目標的達成。 內部控制之分類 預防性、偵測性及復原性控制 管理控制及會計控制 EDP環境下之內部控制 控制目標 一般控制 應用控制 資訊系統的控制目標 一般控制 組織控制：適切規劃資訊部門之組織和作業，將功能加以區分或劃分職責。 系統開發及維護控制：確保系統的開發、取得及變更，均經適當的授權、測試及認可的控制程序。 整體安全與存取控制：確保唯有經授權之使用者及程式，才能存取程式與資料檔案的控制程序。 硬體及系統軟體控制：確保電腦設備及系統處理資料之正確完整之控制程序。 組織控制 資訊部門與使用者部門的職能分工 交易的執行、記錄與資產的保管應予以分工。 資訊部門內的職能分工 責任的劃分、組織規模與分工、基本職能分工、以知識為基礎分工。 組織控制責任之歸屬 資訊人事管理 標準資訊作業程序：作業排程、電腦網路設備操作 電腦網路設備的效率、操作程序、控制台日誌、使用設備之紀錄、機房管理、檔案管理、監督、緊急事件處理及實體安全維護。 系統開發維護控制 使用部門及稽核人員參予系統需求分析 系統設計或軟體修改規格設計之驗收與核可 程式製作符合標準 系統需經完整測試 系統最後驗收 系統轉換控制 上線後評估 系統修改控制：程式異動之請求、程式異動之執行、程式異動之完成。 系統文件控制：系統文件、程式碼、操作手冊、使用者手冊。 硬體及系統軟體控制 硬體控制：