系統內部控制設計 系統內部控制設計

第四章 第四章

系統內部控制設計 系統內部控制設計

4 1 整合資訊系統之特性與風險 4.1 整合資訊系統之特性與風險 4.2 會計財務資訊系統應用控制 4.3 組織控制

4 4 系統開發維修控制 4.4 系統開發維修控制 4.5 硬體及系統軟體控制 4.5 硬體及系統軟體控制

圖4 1 整合資訊系統風險 圖4.1 整合資訊系統風險

ƒ企業及產業風險 科技風險

ERP系統 ƒ持續性稽核方法論

ƒ企業管理法則

內部控制及外部控制 控制環境

應用系統安全

ƒ科技風險

ƒ法令遵循風險

介面系統 ERP安全及控制

ƒ應用系統安全

ƒ系統測試

ƒ應用系統改變之

ƒ系統設定選項控制管理 資訊科技架構

企業流程 企業流程 ƒ系統設定選項

ƒ全球化的風險

ƒ企業流程控制

ƒ電子商務 營運應變計劃

企業流程 企業流程

舊系統/外掛系統

ƒ營運應變計劃 ƒ外掛系統之安全

ƒ介面/轉換

ƒ資訊整合

ƒ一般存取

ƒ科技整合

ƒ安全指導原則 技術架構

ƒ安全指導原則

ƒ災害復原計劃

圖4 2 整合性資訊系統之內外部控制環境 圖4.2 整合性資訊系統之內外部控制環境

上游 下游

客 戶 ERP系統

供 應 商 EDI E-Commerce

客 戶 EDI E-Commerce

介面資料 介面

資料 資訊基礎環境

介面系統

內部控制 內部控制

外部控制 資訊基礎環境

外部控制 介面系統

未有介面聯結之供

企業流程

未有介面聯結之客

控制 介面系統 介面資料

聯結之供應商 聯結之客

戶

圖4 3 資訊系統控制目標 圖4.3 資訊系統控制目標

6.整體安全(存取控制)

4.開發程式 程式 5.修改程式

原始 處理

4.開發程式 5.修改程式

原始 處理

資料 輸出

2 處理正確 完整 1 輸入正確、合法

資料檔

2.處理正確、完整 1.輸入正確、合法

3.檔案正確、完整、安全

一般控制有很多種控制，較重要者包括 一般控制有很多種控制，較重要者包括

1.組織控制(organizational control)

2.系統開及修改控制(systems development and maintenance control)

and maintenance control)

3.整體安全或存取控制(access control) 4.硬體及系統軟體控制(hardware and

f )

systems software control)

確保資料正確、合法之控制 確保資料正確 合法之控制

1 合理性檢查 1.合理性檢查 2.相依性檢查相依性檢查 3.存在性檢查 4.格式檢查

5.計算正確性檢查 6.範圍檢查

7 檢查碼核驗 7.檢查碼核驗

圖4 4 應用系統一般處理流程 圖4.4 應用系統一般處理流程

輸入 處理 輸出

輸入正確、合法 處理更新正確、完整 檔案保存正確、完整、

資料控制 輸入正確 合法

安全

讀入 資料

處理 更新資料

輸出 處理

資料源 資訊使用者

資料維護

圖4 5 核驗程式（合理性、相依性及存在性檢查）釋例

圖4.5 核驗程式（合理性、相依性及存在性檢查）釋例

儲存資料 比對資料 未通過

核驗之原因 輸入資料

021183(MMDDYY)

系統日期＝021283 今日或以前收到

1.收到日期 合理性檢查

(比對資料) 核驗之原因

輸入資料

以前成本＝$1.25／

單位 新存貨成本超過以前

價格10%以上 3.存貨成本

$10.25／單位

最大小時數＝55 超過正常最大值

2.工作小時72

超過儲存應有期間 四 檢查日期

00120(YYDDD) 81067(YYDDD)

有效儲存期間 1.貨品收到日期

相依性檢查

單位 價格10%以上

$10.25／單位

有效部門號碼：

224部門是無效的 1.部門號碼

存在性檢查

83159>81067+120 超過儲存應有期間(四

個月) 2.檢查日期

83159(YYDDD)

先決要件：1 儲存資料必須正確

598、624 598、624

169、214 169、224

先決要件 1.儲存資料必須正確

2.程式邏輯必須正確且偵測有錯必須提出錯誤

圖4 6 核驗程式 （格式檢查，計算正確檢查，範圍 檢查 檢查碼 ）釋例

圖4.6 核驗程式 _{檢查，檢查碼 ）釋例}

中間空白 122 476

參考號碼 格式檢查

未符合原因 輸入資料

計算正確檢

必須輸入(不能空白) 名稱

非數值 00013A4

金額

中間空白 122 476

參考號碼 格式檢查

100.00 稅

計算不正確 2000.00

貨物 發票

計算正確檢 查

檢查碼(以11為基數) 0461766

員工號碼 檢查碼

13月(超出範圍) 131381

日期 範圍檢查

2010.00 總計

1×3＝3 7×2＝14 6×1＝6

0×6＝0 4×5＝20 6×4＝24

加總得67被11除餘數為1而非6 0×6 0

圖4 7 在整合資訊系統環境下建置適當之 圖4.7 在整合資訊系統環境下建置適當之

內部控制制度

企業風險 (Business Risk)

控制目標(Control Objective)

Objective) 政策/程序

ERP應用系統 權限設定與

適切分工

ERP 系統設定

人工輔助 控管

客製 程式開發 適切分工

呈報 政策與程序 使用者訓練

呈報 政策與程序 使用者訓練

圖4 8 導入ERP系統應行考量之系統安全 圖4.8 導入ERP系統應行考量之系統安全

及控管項目

1 備份 復原及系

資料庫整合之管理

1.備份、復原及系 統復原計劃 2.系統操作程序 3.網路及系統資料

安

Database server 安全

4.實體安全

5.整合性資訊系統 安全設定

Application server

安全 定

6.與其他系統之介 面

7.系統測試及轉換 計劃

Presentation

server 

計劃

作業系統安全 企業流程控制 系統修改控制

組織控制 組織控制

一、資訊部門與使用者部門的職能分工 二、資訊部門內部職能分工

三、組織控制責任歸屬 四、資訊人事管理

五 標準資訊作業程序 五、標準資訊作業程序

資訊部門與使用者部門的職能分工 資訊部門與使用者部門的職能分工

不相容作業應予分工 (1)核准功能

(2)執行功能 (2)執行功能

(3)資料保管維護功能 (3)資料保管維護功能

資訊部門內部職能分工 資訊部門內部職能分工

(一)責任的劃分

(二)組織大小對分工的影響 (三)基本職能分工

(三)基本職能分工

(四)以知識為基礎的分工 (四)以知識為基礎的分工

系統開發維修控制 系統開發維修控制

一 使用單位與稽核人員參與系統需求分析 一、使用單位與稽核人員參與系統需求分析 二、系統設計或軟體修改規格設計之核收 三、程式製作符合標準

四、系統須經完整測試 四、系統須經完整測試 五、系統最後核收

六、系統轉換控制 七、上線後評估 七 上線後評估 八、系統修改控制 九 系統文書控制 九、系統文書控制

系統測試包括以下五類 系統測試包括以下五類

個別程式測試 關聯程式測試 系統測試

系統測試

先導測試(pilot test)

平行測試(parallel test)

系統修改控制 系統修改控制

(一)程式異動之請求 (一)程式異動之請求 (二)程式異動之執行 (三)程式異動之完成

硬體及系統軟體控制 硬體及系統軟體控制

一、硬體控制 二、作業控制

三、系統軟體控制

硬體控制 硬體控制

一 同位核對位元

(一)同位核對位元(Parity Check Bit) (二)錯誤更正碼(error correction code) (二)錯誤更正碼(error correction code) (三)重複處理

(三)重複處理

(四)回返核對(Echo Check) (五)檢查設備

(六)有效性檢核(validity check)

作業控制 作業控制

一 電子媒體控制 (一)電子媒體控制

(二)設備故障的記錄和報告 (二)設備故障的記錄和報告 (三)環境控制

(三)環境控制 (四)電源保護

(五)正式的災害復原程序

(六)作業及應用程式的錯誤檢核 (七)預防性及更正性維護

系統軟體控制 系統軟體控制

一 系統軟體控制措施 (一)系統軟體控制措施

(二)安裝系統軟體版本及異動之控制 (二)安裝系統軟體版本及異動之控制