电脑审计概念.pptVIP

c 2001 Andersen All rights reserved. c 2000 Andersen All rights reserved. 電腦審計概念 勤業會計師事務所 余裕民 CISA,BS7799 Lead Auditor e-mail:davidyu@ 民國九十二年一月八日 企業風險顧問組(ERS)的簡介 科技風險顧問服務(TRC) ： Technology Risk Consulting 企業流程風險顧問服務(BPRC) ： Business Process Risk Consulting 財務與金融商品風險顧問服務(FCRC)： Financial And Commodity Risk Consulting 科技風險顧問服務(TRC) 技術與營運策略諮詢服務 應用系統風險管理服務 資訊基礎架構資源管理服務 企業資訊安全管理體系建置服務 電子商務風險管理服務 資訊處理及科技風險 真確性風險 真確性風險係指由於資料於輸入、處理、輸出、及儲存的過程中由於缺乏良好的控管所造成的資料不完整、不正確、及未經授權取存而導致資料的不可信賴，其來源又可分為下列項目 ： 使用者界面 處理程序 錯誤的處理程序 界面 存取風險 存取風險包括資訊、資料及程式存取被不適當核准或拒絕。資訊存取的風險是全面性的，亦即包括因任何目的而取得的資訊（如：讀取、複製）。資訊及資料存取風險之成因可能如下： 員工未接受適當訓練、或未具備適當資格 溝通不良和監督不當 不良的管理流程 系統設計不良 可用性風險 可用性風險即當需要資訊時，無法及時取得的風險，包括 通訊中斷所產生的損失（例如：纜線切斷、電話系統斷線、衛星斷訊） 處理資訊的基本能力之喪失（例如：火災、水災、斷電） 操作上的困難（例如：磁碟機故障、操作人員失誤） 惡意破壞、怠工、車禍 基礎架構風險 該風險係因組織未能建構有效率的資訊科技基礎架構(如硬體、網路、軟體、人員及流程)在有效率、顧及成本效益、及控制良好的模式下，支援組織現有或未來的需求 此風險通常發生於下列主要的資訊科技處理程序： 組織規劃 應用系統的定義與配置 電腦及網路操作 資料及資料庫管理 攸關性風險 攸關性風險係指該資訊與蒐集、維護與傳達資訊之目的無關，該風險係與應用系統所產生或彙總資訊之有用性與時效性有關 。此風險之發生主要係因未充分了解資訊需求及缺乏對時效性的注意。 攸關性風險成因如下： 未充分了解組織的資訊需求(通常係發生於系統設計階段) 於初步資訊系統設計完成後，對於組織資訊需求之發展性質，未能認知及預作準備 未能認知資訊的“時間價值” 影響企業內的受保護的資訊資源 資訊安全管理系統之範圍 資訊安全評估範圍 安全管理設計包含各技術層面對資訊之保護及存取管控以降低資訊處理及科技之風險 資訊安全政策之建立 使用者管理 實體安全管理 邏輯安全控制 資訊處理控制 著重於財務報告審計 目的在於降低資訊作業之風險有效管理殘餘風險 資訊技術基礎架構控制（一般控制） 對電子計算機資料處理整體環境皆有影響之控制，其作用為在為工作之執行提供標準與指引。 應用系統真確性（應用控制） 與個別應用系統之處理、與運作有關，目的在為資料之記錄、處理及報告之適當性提供合理的保證。 General Controls Organization and Operations Systems Development and Documentation controls Hardware and system software controls Access controls Data and procedural controls Application Controls Input controls Processing controls Output controls Organization and Operations IT 功能職責劃分 Systems Development controls 用於新增及修改系統 各部門代表參與系統設計 覆核及核准書面規格 共同測試驗收 系統確認核准過方可置於正式運作區 程式增修前要通過核准 系統開發及程式修改之控制 委外管理或自行開發 系統發展生命週期 系統開發及程式修改作業之程序及管理 Systems Documentation controls 用於覆核系統、訓練使用者、維護系統及瞭解系統 系統程式描述及流程圖 電腦操作之操作指令 使用者及作業員的控制程序 輸出入之描述及樣本 Hardware and system software controls 用於偵測設備之錯誤發生 其控制之分類： Dual read Pari