第四章 第四章
系統內部控制設計 系統內部控制設計
4 1 整合資訊系統之特性與風險 4.1 整合資訊系統之特性與風險 4.2 會計財務資訊系統應用控制 4.3 組織控制
4 4 系統開發維修控制 4.4 系統開發維修控制 4.5 硬體及系統軟體控制 4.5 硬體及系統軟體控制
圖4 1 整合資訊系統風險 圖4.1 整合資訊系統風險
企業及產業風險 科技風險
ERP系統 持續性稽核方法論
企業管理法則
內部控制及外部控制 控制環境
應用系統安全
科技風險
法令遵循風險
介面系統 ERP安全及控制
應用系統安全
系統測試
應用系統改變之
系統設定選項控制管理 資訊科技架構
企業流程 企業流程 系統設定選項
全球化的風險
企業流程控制
電子商務 營運應變計劃
企業流程 企業流程
舊系統/外掛系統
營運應變計劃 外掛系統之安全
介面/轉換
資訊整合
一般存取
科技整合
安全指導原則 技術架構
安全指導原則
災害復原計劃
圖4 2 整合性資訊系統之內外部控制環境 圖4.2 整合性資訊系統之內外部控制環境
上游 下游
客 戶 ERP系統
供 應 商 EDI E-Commerce
客 戶 EDI E-Commerce
介面資料 介面
資料 資訊基礎環境
介面系統
內部控制 內部控制
外部控制 資訊基礎環境
外部控制 介面系統
未有介面聯結之供
企業流程
未有介面聯結之客
控制 介面系統 介面資料
聯結之供應商 聯結之客
戶
圖4 3 資訊系統控制目標 圖4.3 資訊系統控制目標
6.整體安全(存取控制)
4.開發程式 程式 5.修改程式
原始 處理
4.開發程式 5.修改程式
原始 處理
資料 輸出
2 處理正確 完整 1 輸入正確、合法
資料檔
2.處理正確、完整 1.輸入正確、合法
3.檔案正確、完整、安全
一般控制有很多種控制,較重要者包括 一般控制有很多種控制,較重要者包括
1.組織控制(organizational control)
2.系統開及修改控制(systems development and maintenance control)
and maintenance control)
3.整體安全或存取控制(access control) 4.硬體及系統軟體控制(hardware and
f )
systems software control)
確保資料正確、合法之控制 確保資料正確 合法之控制
1 合理性檢查 1.合理性檢查 2.相依性檢查相依性檢查 3.存在性檢查 4.格式檢查
5.計算正確性檢查 6.範圍檢查
7 檢查碼核驗 7.檢查碼核驗
圖4 4 應用系統一般處理流程 圖4.4 應用系統一般處理流程
輸入 處理 輸出
輸入正確、合法 處理更新正確、完整 檔案保存正確、完整、
資料控制 輸入正確 合法
安全
讀入 資料
處理 更新資料
輸出 處理
資料源 資訊使用者
資料維護
圖4 5 核驗程式(合理性、相依性及存在性檢查)釋例
圖4.5 核驗程式(合理性、相依性及存在性檢查)釋例
儲存資料 比對資料 未通過
核驗之原因 輸入資料
021183(MMDDYY)
系統日期=021283 今日或以前收到
1.收到日期 合理性檢查
(比對資料) 核驗之原因
輸入資料
以前成本=$1.25/
單位 新存貨成本超過以前
價格10%以上 3.存貨成本
$10.25/單位
最大小時數=55 超過正常最大值
2.工作小時72
超過儲存應有期間 四 檢查日期
00120(YYDDD) 81067(YYDDD)
有效儲存期間 1.貨品收到日期
相依性檢查
單位 價格10%以上
$10.25/單位
有效部門號碼:
224部門是無效的 1.部門號碼
存在性檢查
83159>81067+120 超過儲存應有期間(四
個月) 2.檢查日期
83159(YYDDD)
先決要件:1 儲存資料必須正確
598、624 598、624
169、214 169、224
先決要件 1.儲存資料必須正確
2.程式邏輯必須正確且偵測有錯必須提出錯誤
圖4 6 核驗程式 (格式檢查,計算正確檢查,範圍 檢查 檢查碼 )釋例
圖4.6 核驗程式 檢查,檢查碼 )釋例
中間空白 122 476
參考號碼 格式檢查
未符合原因 輸入資料
計算正確檢
必須輸入(不能空白) 名稱
非數值 00013A4
金額
中間空白 122 476
參考號碼 格式檢查
100.00 稅
計算不正確 2000.00
貨物 發票
計算正確檢 查
檢查碼(以11為基數) 0461766
員工號碼 檢查碼
13月(超出範圍) 131381
日期 範圍檢查
2010.00 總計
1×3=3 7×2=14 6×1=6
0×6=0 4×5=20 6×4=24
加總得67被11除餘數為1而非6 0×6 0
圖4 7 在整合資訊系統環境下建置適當之 圖4.7 在整合資訊系統環境下建置適當之
內部控制制度
企業風險 (Business Risk)
控制目標(Control Objective)
Objective) 政策/程序
ERP應用系統 權限設定與
適切分工
ERP 系統設定
人工輔助 控管
客製 程式開發 適切分工
呈報 政策與程序 使用者訓練
呈報 政策與程序 使用者訓練
圖4 8 導入ERP系統應行考量之系統安全 圖4.8 導入ERP系統應行考量之系統安全
及控管項目
1 備份 復原及系
資料庫整合之管理
1.備份、復原及系 統復原計劃 2.系統操作程序 3.網路及系統資料
安
Database server 安全
4.實體安全
5.整合性資訊系統 安全設定
Application server
安全 定
6.與其他系統之介 面
7.系統測試及轉換 計劃
Presentation
server
計劃
作業系統安全 企業流程控制 系統修改控制
組織控制 組織控制
一、資訊部門與使用者部門的職能分工 二、資訊部門內部職能分工
三、組織控制責任歸屬 四、資訊人事管理
五 標準資訊作業程序 五、標準資訊作業程序
資訊部門與使用者部門的職能分工 資訊部門與使用者部門的職能分工
不相容作業應予分工 (1)核准功能
(2)執行功能 (2)執行功能
(3)資料保管維護功能 (3)資料保管維護功能
資訊部門內部職能分工 資訊部門內部職能分工
(一)責任的劃分
(二)組織大小對分工的影響 (三)基本職能分工
(三)基本職能分工
(四)以知識為基礎的分工 (四)以知識為基礎的分工
系統開發維修控制 系統開發維修控制
一 使用單位與稽核人員參與系統需求分析 一、使用單位與稽核人員參與系統需求分析 二、系統設計或軟體修改規格設計之核收 三、程式製作符合標準
四、系統須經完整測試 四、系統須經完整測試 五、系統最後核收
六、系統轉換控制 七、上線後評估 七 上線後評估 八、系統修改控制 九 系統文書控制 九、系統文書控制
系統測試包括以下五類 系統測試包括以下五類
個別程式測試 關聯程式測試 系統測試
系統測試
先導測試(pilot test)
平行測試(parallel test)
系統修改控制 系統修改控制
(一)程式異動之請求 (一)程式異動之請求 (二)程式異動之執行 (三)程式異動之完成
硬體及系統軟體控制 硬體及系統軟體控制
一、硬體控制 二、作業控制
三、系統軟體控制
硬體控制 硬體控制
一 同位核對位元
(一)同位核對位元(Parity Check Bit) (二)錯誤更正碼(error correction code) (二)錯誤更正碼(error correction code) (三)重複處理
(三)重複處理
(四)回返核對(Echo Check) (五)檢查設備
(六)有效性檢核(validity check)
作業控制 作業控制
一 電子媒體控制 (一)電子媒體控制
(二)設備故障的記錄和報告 (二)設備故障的記錄和報告 (三)環境控制
(三)環境控制 (四)電源保護
(五)正式的災害復原程序
(六)作業及應用程式的錯誤檢核 (七)預防性及更正性維護
系統軟體控制 系統軟體控制
一 系統軟體控制措施 (一)系統軟體控制措施
(二)安裝系統軟體版本及異動之控制 (二)安裝系統軟體版本及異動之控制