企業使用Internet對內部控制之影響.pptVIP

企業使用Internet對內部控制之影響：一個風險分析方法 報告人 張裕幸 作者：張景翔?陳嘉玫 電腦稽核, Vol 5, 1999, pp.21-37 What-公司內稽內控 內稽 – 內部會計稽核，保護資產安全，提高會計資訊可靠性及完整性。 內控 – 內部管理控制，增進公司經營績效，促使管理政策達到目標。 內部控制過程的目的在於合理保證達成下列三個使命，分別為營運活動的有效性和效率性、財務報導的可靠性及導行相關法令規章。 內控是企業為了合理保證達成持定的目標所建立的政策和程序，這系列的政策和程序附著於企業組織結構中，與企業的營運控制密不可分。 Impact-網路技術應用 企業希望透過網路的利用，以促進績效、降低成本、依循既有標準、加快決策速度，並提供新的行銷、分配、銷售管道，創造新的產品，改善對客戶服務等。 Internet的應用對企業而言，已不僅僅是提供通訊管道，更對企業的行銷、生產、財務、人事、資訊流通等方面產生全面性的影響。 Risk – 網路門戶開放 IBM於1996年進行調查顯示，有七成的管理人員認為安全性及資料完整性(Integrity)是使用Internet時所必須加以考量的，而有近三成的管理人員認為Internet的使用將會使員工無法有效利用時間，並可能使生產力降低。 Computer Security Institute (CSI)於1997年電腦犯罪及安全調查報告中指出，有近半數的管理人員認為電腦連接上Internet將會成為時常遭受攻擊的一點。 同份報告顯示有半數以上企業沒有警告訊息(warning alarm)，有六成企業未成立電腦緊急應變小組。 企業內部的員工會使用Internet存取到企業內部及外部的資料，或利用上班時間上網而降低工作效率。 企業使用Internet若無適當控制將會形成影響企業營運的負向因子，企業會因使用Internet而遭受損失。 Inter-Control -內部控制 內部控制的對象都是企業內部的活動，不能超過企業個體，因此才稱為「內部控制」。內部控制的目的與Internet的使用上具有相輔相成的效果，具備健全的內部控制制度對於Internet的有效使用是十分重要的。 企業僅能透過內部控制制度訂定與實施，對企業的使用者進行限制或要求，並制定相關政策及程序以防範外部入侵，確保企業使用Internet提昇營運績效。 Research Purpose–研究目的 本文嘗試以風險分析之方法，透過系統化方式分析使用Internet的風險，並進一步整理使用Internet應建立之內部控制制度，並和以往的內部控制進行比較，以分析企業使用Internet時對內部控制制度所造成的影響。 Contribution-研究貢獻 研究結果能提供管理人員在使用Internet時設計內部控制制度的參考。 風險分析 資產確認分析 威脅確認分析 弱點確認分析 資產確認分析 在此所謂資產係指組織中任何與Internet使用有關之有價物品。在此資產可分為固有價值(Intrinsic value)及後天取得價值(Acquired value)兩種。 資產固有價值—指該資產實體的重置成本或淨變現價值。 後天取得價值—該資產的完整性(Integrity)、可獲得性(Availability)、穩密性(Confidentiality)及使用性(Usage)。 完整性價值是指該資產的真實性(authenticity)、精確性(accurateness)及完整性(completeness)對企業有價值，企業必須確保。 可獲得性價值係指該資產能持續地提供服務對企業有其重要性，應加以保護。 隱密性價值指該資產具有其不可公開的性質。 使用性價值是指該資產的適當使用對企業有價值，企業應確保其被適當使用。 How-如何確認資產 為了確認企業使用Internet相關資產，本研究根據Bernstein等人[25]所提出之最安全防火牆架構(如圖一)，結合Fites等人[35]所整理的資產，做為本研究網路開放使用的風險分析對象(如表一)。 [25] Bernstein, T. and Bhimani, A.B. and Schultz, E. and Siegel, C.A., Internet Security of Business, John Wiley Sons, Inc., 1996. [35] Fites, P. and Kratz, M.P.J., Information Systems Security: a practitioner’s reference, International Thomson Computer Press, 1996. 防火牆架構 資產確認分析 上述資產除了通訊(硬體)、資料、人員、軟體等四