企業資訊風險管理.docVIP

企業資訊風險管理 陳嘉祥** 摘要 知識經濟時代的來臨築基於資訊科技的高度發展，但隨著資訊科技之發展也產生了相對應之風險，本文將以勤業(Andersen)著名的風險管理方法及資訊風險管理模式說明如何有效的管理企業資訊風險。 關鍵詞：風險管理、風險評估 壹、知識經濟與資訊科技發展 知識經濟的發展主要肇因於資訊產品及服務使用的增加，以及資訊工業提供這些產品及服務的能力。在知識經濟時代裡，企業藉由不斷地資訊化及知識的累積及管理來加強企業的競爭力。像近年來大力發展的企業資源規劃系統、資料倉儲系統、客戶關係管理系統、供應鏈管理系統、知識管理系統、電子商務網站、企業入口網站、線上學習等等，這些系統的建置或科技的引進的目的無一不是在加強企業的競爭力，但這些科技的引進也引起了企業流程及人員重大的改變。我們首先簡略的從人員、企業流程、以及技術的改變三個方向來看： 一、技術的改變 （一）開放性系統的普遍 （二）分散式處理的增加 （三）技術複雜性增加 （四）技術環境的不成熟 （五）網路應用的增加 （六）客戶連線的增加 （七）資料倉儲的使用 二、人員的改變 （一）使用者之電腦能力增加 （二）使用者人數增加 （三）使用者端運算 三、企業流程的改變 （一）電子商務的發展 （二）市場化的速度 （三）彈性的重要性 （四）整合性的系統 以對財會資訊的影響來說我們可以看到企業資源規劃系統的引進使得公司能夠更迅速的取得更多的財會資訊，但我們也相對的看到系統化程度增加後，相關內部控制點消失或電腦化、稽核軌跡的減少、會計人員對資料處理結果倚賴增加，但對資料處理的方式不瞭解等等。會計資訊是整個企業資訊處理之後端，當前端處理出現問題後往往是會計人員受到痛苦，因為當異常數字出現後，會計人員往往是被要求處理解決的人員，但卻因為高度電腦化後資料處理過程對會計人員卻像一個黑盒子一樣，往往要花上很大的心力來處理這樣的問題。 一個成功的系統建置我們可以看到流程處理的效率增加，但我們也常常看到因為系統建置之疏忽或失敗而引起之成本增加及後續管理問題。例如：許多ERP系統建置過程中一味的注重效率的改善，而忽略了內部控制制度的配合，使得有些公司反而在導入系統後產生新的內部控制缺失。電子商務的積極導入而缺乏相對應的安全管理機制亦使得企業因為資訊安全問題而引起的損失加大。 從以上的說明我們可以瞭解到企業如何因應高度電腦化所引起的各項新的問題將是一個重要的挑戰，在此我們需要以一個資訊風險的角度來看待這個問題。 貳、資訊科技風險 依據勤業（Andersen）與英國經濟學人合作開發之企業風險模型指出，與資訊處理之風險可分為「真確性風險」（Integrity Risk）、「存取風險」(Access Risk)、「可取得性風險」(Availability Risk)、「攸關性風險」(Relevance Risk)、「基礎架構風險」(Infrastructure Risk) 等五種風險，以下茲就這五種風險之定義簡單說明： 一、真確性風險 真確性風險係指由於資料於輸入、處理、輸出、及儲存的過程中由於缺乏良好的控管所造成的資料不完整、不正確、及未經授權取存而導致資料的不可信賴，其來源又可分為下列項目： （一）使用者界面－此類風險係指對於各員工基於工作需求 及良好的職能分工，被授權執行其企業/系統職能，是否能有適當控制。而另一風險則端賴其預防及偵測控制程序，能否確保只有完整及正確的資料能被輸入系統。 （二）處理程序－此風險主要在於是否有適當的預防性及偵 測性的平衡或調節控制程序，以確保資料處理程序之及時性及完整性。此風險亦同時包含用以彙總結果及決定企業決策之報告的正確性與完整性。 （三）錯誤的處理程序－此類風險主要在於是否有適當的程 序和方法，以確保資料輸入及處理之例外的錯誤能被正確、完整和及時的更正及處理。 （四）界面－此類風險一般係指是否有適當的預防及偵測控 制，以確保已處理及彙總資料，能被完整地轉入另一應用系統正確處理。 二、存取風險 存取風險包括資訊、資料及程式存取被不適當核准或拒絕。資訊存取的風險是全面性的，亦即包括因任何目的而取得的資訊（） 為因應企業風險管理，Andersen 發展出一套專屬之企業風險管理流程，請參見圖一。其將企業風險管理劃分為下列流程： 圖一：企業風險管理流程 (All rights reserved - Andersen) 建立風險管理目標及架構 建立並溝通管理階層所設定之各項風險管理目標，包括對風險的容忍程度，以及風險管理組織架構。 （二）評估風險 找出影響企業成功營運基礎之各項風險 瞭解風險是源自於外在經營環境或是存在於營運流程之中。 評估風險之重大性及發生之可能