企业使用Internet对内部控制之影响：一个风险分析方法.pdf

企業使用Internet對內部控制之 影響：一個風險分析方法 報告人 張裕幸 作者：張景翔‧陳嘉玫 電腦稽核, Vol 5, 1999, pp.21-37 What-公司內稽內控  內稽 – 內部會計稽核，保護資產安全， 提高會計資訊可靠性及完整性。  內控 – 內部管理控制，增進公司經營績 效，促使管理政策達到目標。  內部控制過程的目的在於合理保證達成下 列三個使命，分別為營運活動的有效性和 效率性、財務報導的可靠性及導行相關法 令規章。  內控是企業為了合理保證達成持定的目標 所建立的政策和程序，這系列的政策和程 序附著於企業組織結構中，與企業的營運 控制密不可分。 Impact-網路技術應用  企業希望透過網路的利用，以 促進績效、降低成本、依循既 有標準、加快決策速度，並提 供新的行銷、分配、銷售管 道，創造新的產品，改善對客 戶服務等。  Internet的應用對企業而言， 已不僅僅是提供通訊管道，更 對企業的行銷、生產、財務、 人事、資訊流通等方面產生全 面性的影響。 Risk – 網路門戶開放  IBM於1996年進行調查顯示，有七成的管理人員認為 安全性及資料完整性(Integrity)是使用Internet時 所必須加以考量的，而有近三成的管理人員認為 Internet的使用將會使員工無法有效利用時間，並可 能使生產力降低。  Computer Security Institute (CSI)於1997年電腦 犯罪及安全調查報告中指出，有近半數的管理人員認 為電腦連接上Internet將會成為時常遭受攻擊的一 點。  同份報告顯示有半數以上企業沒有警告訊息(warning alarm)，有六成企業未成立電腦緊急應變小組。  企業內部的員工會使用Internet存取到企業內部及外 部的資料，或利用上班時間上網而降低工作效率。  企業使用Internet若無適當控制將會形成影響企業營 運的負向因子，企業會因使用Internet而遭受損失。 Inter-Control -內部控制  內部控制的對象都是企業內部 的活動，不能超過企業個體， 因此才稱為「內部控制」。內 部控制的目的與Internet的使 用上具有相輔相成的效果，具 備健全的內部控制制度對於 Internet的有效使用是十分重 要的。  企業僅能透過內部控制制度訂 定與實施，對企業的使用者進 行限制或要求，並制定相關政 策及程序以防範外部入侵，確 保企業使用Internet提昇營運 績效。 Research Purpose–研究目的  本文嘗試以風險分析之方法，透過系統 化方式分析使用Internet的風險，並進 一步整理使用Internet應建立之內部控 制制度，並和以往的內部控制進行比 較，以分析企業使用Internet時對內部 控制制度所造成的影響。  Contribution-研究貢獻 研究結果能提供管理人員在使用Internet時 設計內部控制制度的參考。 風險分析  資產確認分析  威脅確認分析  弱點確認分析 資產確認分析  在此所謂資產係指組織中任何與Internet使用有關之有 價物品。在此資產可分為固有價值(Intrinsic value)及 後天取得價值(Acquired value)兩種。  資產固有價值—指該資產實體的重置成本或淨變現價 值。  後天取得價值—該資產的完整性(Integrity)、可獲得性 (Availability)、穩密性(Confidentiality)及使用性 (Usage)。  完整性價值是指該資產的真實性(authenticity)、精確 性(accurateness)及完整性(completeness)對企業有價 值，企業必須確保。  可獲得性價值係指該資產能持續地提供服務對