内部控制为何需要控制确保目标之达成(ppt116).ppt

富邦證之內部控制 控制環境董事長兼總經理(葉公亮)與國際部顧問(周資青)權責分配失衡 風險評估透過加強員工風險意識、資訊控制、交易分層授權以降低錯帳金額 富邦證之內部控制 控制活動系統設計者設計不良、系統使用者未能與系統設計者充分溝通，使系統設計者不瞭解控制是必要的、系統測試與教育訓練不足 資訊與溝通以開放的態度對外溝通達到效果 監督事後由董事長領軍，成立風險改進委員會，重新檢視風險控管機制並提出改進方式，同時嚴格規範各單位自行查核人員及內部稽核人員之查核方式 建立資訊系統內部控制之重要性(一) 經營環境複雜化 資訊需求多樣化 　　　　資訊系統複雜化與風險性 　　　　　良好之內部控制 　 降低風險之影響或損失 確保組織正常運作 建立資訊系統內部控制之重要性(二) 資訊系統稽核與控制基金會(Information Systems Audit and Control Foundation, 簡稱ISACF)發佈「資訊及相關技術控制目的(Control objectives for information and related technology,簡稱COBIT)」，可以作為企業建立資訊系統與資訊科技安全控制政策與程序之架構 COBIT基本觀念架構(一) 用途：在於提供與資訊科技應用、控制與稽核有關之指引 COBIT由COBIT指導委員會與ISACF共同發佈 使命：研究、發展、發佈與推廣一供套權威、最新、國際公認之資訊科技控管目的，供企業經理人與稽核人員日常使用 基本理念：企業須透過管理IT流程，將IT資源整合運用，進而滿足組織之業務需求 COBIT基本觀念架構(二) COBIT兼顧品質(quality)、監管(fiduciary)、安全(security)三方面之需求，彙整成七項資訊標準：效果、效率、保密、真實、可用性、遵循性、可靠性 為確保資訊符合上述標準，組織必須適當地控制及監督IT資源之使用 COBIT將IT資源之管理分為範疇(domains)、流程(processes)、活動(activities)三個層次 內部控制的分類 依照內部控制程序採行的時間點，可以區分為預防性控制、偵測性控制以及改正性控制 (補充：指示性控制、補償性控制) 就電腦化資訊系統的觀點而言，其內部控制可以區分為一般控制與應用控制 若按照資料處理步驟的區分,內部控制可以區分為輸入控制、處理控制以及輸出控制 預防性、偵測性與改正性控制(一) 依照內部控制程序採行的時間點，可以區分為預防性控制、偵測性控制以及改正性控制。預防性控制可以用來防止問題的發生，是一種事前的觀念。不過，基於成本效益的考量以及實務上的限制，預防性控制很難完全防止所有的問題。 企業在設計控制程序時，必須加入適當的偵測性控制，以便在問題發生時，能夠迅速的察覺，並立即通知相關的人員採取補救或改正的行動。偵測性控制是一種事中的觀念。 預防性、偵測性與改正性控制(二) 改正性控制的作用在於補救或改正被偵測到的問題，以確保組織順利的運作，達成既定的目標。改正性控制包括三個程序： (1)找出造成問題的原因(可能由偵測性控制 提供相關訊息) (2)改正已發生的錯誤或障礙 (3)修改現有的控制制度或程序，以消除或降 低未來發生類似問題的可能性 預防性、偵測性與改正性控制(三) 一般而言，錯誤與問題若能於事前予以預防，較能保障組織的順利運作與目標的達成。因此，在合乎成本效益的前提下，企業應優先採行預防性控制。不過，預防性控制很難達到絕對的控制，所以有效的偵測性控制可發揮補償的作用，避免問題久未發現，而造成更大的傷害。至於改正性控制則應強調對症下藥，並避免類似問題重複發生。 一般控制與應用控制 就電腦化資訊系統的觀點而言，其內部控制可以區分為一般控制與應用控制 一般控制在於確保組織具有穩定及管理優良的控制環境，以提升應用控制的效果。 應用控制的目的則為在交易處理過程中，預防、偵測及改正相關的錯誤與舞弊。 輸入控制、處理控制及輸出控制 若按照資料處理步驟的區分,內部控制可以區分為輸入控制、處理控制以及輸出控制 輸入控制在於確保只有正確、有效以及經過核准的資料，才能進入系統作進一步的處理 處理控制目的在於確保所有的交易都經過正確、完整的處理，相關的紀錄與檔案也予以適當的更新 輸出控制則用以確保系統的輸出具有適當的控管，以避免資料的不當使用或外洩 電腦化資訊之一般控制(一) 企業設置一般控制的目的：確保電腦化資訊系統作業環境的穩定與良好的管理 一般控制與所有的電腦作業有關，常見的一般控制措施包括： (1)訂定資訊安全政策與計劃 (2)資訊系統職能內部分工 (3)專案發展控制 (4)實體存