系統內部控制設計.pptVIP

第四章 系統內部控制設計 本章大綱 第一節 整合資訊系統之特性與風險 第二節 會計財務資訊系統應用控制 第三節 組織控制 第四節 系統開發維修控制 第五節 硬體及系統軟體控制 學習目標 整合資訊系統之特性與風險 會計財務資訊系統應用控制之設計 整合性資訊系統應用控制重點 會計資訊系統一般控制包括組織控制、系統開發修改控制，與硬體系統軟體控制 圖4.1 整合資訊系統風險 圖4.2 整合性資訊系統之內外部控制環境 圖4.3 資訊系統控制目標 一般控制的重要類型 組織控制(Organizational Control) 系統開發及修改控制(Systems Development and Maintenance Control) 整體安全或存取控制(Access Control) 硬體及系統軟體控制(Hardware and Systems Software Control) 確保資料正確、合法之控制 合理性檢查 相依性檢查 存在性檢查 格式檢查 計算正確性檢查 範圍檢查 檢查碼核驗 圖4.4 應用系統一般處理 流程 圖4.7 在整合資訊系統環境下建置適當之內部控制制度 圖4.8 導入ERP系統應行考量之系統安全及控管項目 組織控制 資訊部門與使用者部門的職能分工 資訊部門內部職能分工 組織控制責任歸屬 資訊人事管理 標準資訊作業程序 資訊部門與使用者部門的職能分工 不相容作業應予分工 核准功能 執行功能 資料保管維護功能 資訊部門內部職能分工 責任的劃分 組織大小對分工的影響 基本職能分工 以知識為基礎的分工 系統開發維修控制 使用單位與稽核人員參與系統需求分析 系統設計或軟體修改規格設計之核收 程式製作符合標準 系統須經完整測試 系統最後核收 系統轉換控制 上線後評估 系統修改控制 系統文書控制 系統測試 個別程式測試 關聯程式測試 系統測試 先導測試(Pilot Test) 平行測試(Parallel Test) 系統修改控制 程式異動之請求 程式異動之執行 程式異動之完成 硬體及系統軟體控制 硬體控制 作業控制 系統軟體控制 硬體控制 同位核對位元(Parity Check Bit) 錯誤更正碼(Error Correction Code) 重複處理 回返核對(Echo Check) 檢查設備 有效性檢核(Validity Check) 作業控制 電子媒體控制 設備故障的記錄和報告 環境控制 電源保護 正式的災害復原程序 作業及應用程式的錯誤檢核 預防性及更正性維護 系統軟體控制 系統軟體控制措施 安裝系統軟體版本及異動之控制 * 智勝文化事業有限公司製作 會計財務資訊系統 吳琮璠 著 * 智勝文化事業有限公司製作 會計財務資訊系統 吳琮璠 著 應用系統安全 系統測試 應用系統改變之 控制管理 系統設定選項 全球化的風險 企業流程控制 電子商務 營運應變計劃 外掛系統之安全 介面/轉換 資訊整合 企業及產業風險 科技風險 法令遵循風險 一般存取 科技整合 安全指導原則 災害復原計劃 ERP 系統 介面系統 資訊科技架構 企業流程 持續性稽核方法論 企業管理法則 內部控制及外部控制 企業流程 ERP安全及控制 技術架構 舊系統 / 外掛系統 控制環境 未有介面聯結之供應商 下游 上游 供 應 商 EDI E-Commerce 客 戶 EDI E-Commerce 介面 資料 介面 資料 企業流程 內部控制 內部控制 外部 控制 未有介面聯結之客戶 資訊基礎環境 ERP 系統 外部 控制 介面系統 介面系統 介面資料 6.整體安全（存取控制） 處理 程式 原始 資料 輸出 資料檔 4.開發程式 5.修改程式 2.處理正確、完整 1.輸入正確、合法 3.檔案正確、完整、安全 輸入正確、合法 處理更新正確、完整 檔案保存正確、完整、安全 讀入 資料 輸出 處理 資料源 資料控制 資料維護 處理 更新資料 資訊使用者 輸入 處理 輸出 企業風險 (Business Risk) 控制目標(Control Objective) 政策∕程序 ERP應用系統 權限設定與 適切分工 ERP 系統設定 人工輔助 控管 客製 程式開發 呈報 政策與程序 使用者訓練 1.備份、復原及系統復原計劃 2.系統操作程序 3.網路及系統資料安全 4.實體安全 5.整合性資訊系統安全設定 6.與其他系統之介面 7.系統測試及轉換計劃 資料庫整合之管理 Presentation Server Application Server Database Server ? ?? ? ?? 作業系