系統內部控制設計 系統內部控制設計

21  Download (0)

Full text

(1)

第四章 第四章

系統內部控制設計 系統內部控制設計

4 1 整合資訊系統之特性與風險 4.1 整合資訊系統之特性與風險 4.2 會計財務資訊系統應用控制 4.3 組織控制

4 4 系統開發維修控制 4.4 系統開發維修控制 4.5 硬體及系統軟體控制 4.5 硬體及系統軟體控制

(2)

圖4 1 整合資訊系統風險 圖4.1 整合資訊系統風險

ƒ企業及產業風險 科技風險

ERP系統 ƒ持續性稽核方法論

ƒ企業管理法則

內部控制及外部控制 控制環境

應用系統安全

ƒ科技風險

ƒ法令遵循風險

介面系統 ERP安全及控制

ƒ應用系統安全

ƒ系統測試

ƒ應用系統改變之

ƒ系統設定選項控制管理 資訊科技架構

企業流程 企業流程 ƒ系統設定選項

ƒ全球化的風險

ƒ企業流程控制

ƒ電子商務 營運應變計劃

企業流程 企業流程

舊系統/外掛系統

ƒ營運應變計劃 ƒ外掛系統之安全

ƒ介面/轉換

ƒ資訊整合

ƒ一般存取

ƒ科技整合

ƒ安全指導原則 技術架構

ƒ安全指導原則

ƒ災害復原計劃

(3)

圖4 2 整合性資訊系統之內外部控制環境 圖4.2 整合性資訊系統之內外部控制環境

上游 下游

客 戶 ERP系統

供 應 商 EDI E-Commerce

客 戶 EDI E-Commerce

介面資料 介面

資料 資訊基礎環境

介面系統

內部控制 內部控制

外部控制 資訊基礎環境

外部控制 介面系統

未有介面聯結之供

企業流程

未有介面聯結之客

控制 介面系統 介面資料

聯結之供應商 聯結之客

(4)

圖4 3 資訊系統控制目標 圖4.3 資訊系統控制目標

6.整體安全(存取控制)

4.開發程式 程式 5.修改程式

原始 處理

4.開發程式 5.修改程式

原始 處理

資料 輸出

2 處理正確 完整 1 輸入正確、合法

資料檔

2.處理正確、完整 1.輸入正確、合法

3.檔案正確、完整、安全

(5)

一般控制有很多種控制,較重要者包括 一般控制有很多種控制,較重要者包括

1.組織控制(organizational control)

2.系統開及修改控制(systems development and maintenance control)

and maintenance control)

3.整體安全或存取控制(access control) 4.硬體及系統軟體控制(hardware and

f )

systems software control)

(6)

確保資料正確、合法之控制 確保資料正確 合法之控制

1 合理性檢查 1.合理性檢查 2.相依性檢查相依性檢查 3.存在性檢查 4.格式檢查

5.計算正確性檢查 6.範圍檢查

7 檢查碼核驗 7.檢查碼核驗

(7)

圖4 4 應用系統一般處理流程 圖4.4 應用系統一般處理流程

輸入 處理 輸出

輸入正確、合法 處理更新正確、完整 檔案保存正確、完整、

資料控制 輸入正確 合法

安全

讀入 資料

處理 更新資料

輸出 處理

資料源 資訊使用者

資料維護

(8)

圖4 5 核驗程式(合理性、相依性及存在性檢查)釋例

圖4.5 核驗程式(合理性、相依性及存在性檢查)釋例

儲存資料 比對資料 未通過

核驗之原因 輸入資料

021183(MMDDYY)

系統日期=021283 今日或以前收到

1.收到日期 合理性檢查

(比對資料) 核驗之原因

輸入資料

以前成本=$1.25/

單位 新存貨成本超過以前

價格10%以上 3.存貨成本

$10.25/單位

最大小時數=55 超過正常最大值

2.工作小時72

超過儲存應有期間 四 檢查日期

00120(YYDDD) 81067(YYDDD)

有效儲存期間 1.貨品收到日期

相依性檢查

單位 價格10%以上

$10.25/單位

有效部門號碼:

224部門是無效的 1.部門號碼

存在性檢查

83159>81067+120 超過儲存應有期間(四

個月) 2.檢查日期

83159(YYDDD)

先決要件:1 儲存資料必須正確

598、624 598、624

169、214 169、224

先決要件 1.儲存資料必須正確

2.程式邏輯必須正確且偵測有錯必須提出錯誤

(9)

圖4 6 核驗程式 (格式檢查,計算正確檢查,範圍 檢查 檢查碼 )釋例

圖4.6 核驗程式 檢查,檢查碼 )釋例

中間空白 122 476

參考號碼 格式檢查

未符合原因 輸入資料

計算正確檢

必須輸入(不能空白) 名稱

非數值 00013A4

金額

中間空白 122 476

參考號碼 格式檢查

100.00

計算不正確 2000.00

貨物 發票

計算正確檢

檢查碼(以11為基數) 0461766

員工號碼 檢查碼

13月(超出範圍) 131381

日期 範圍檢查

2010.00 總計

1×3=3 7×2=14 6×1=6

0×6=0 4×5=20 6×4=24

加總得67被11除餘數為1而非6 0×6 0

(10)

圖4 7 在整合資訊系統環境下建置適當之 圖4.7 在整合資訊系統環境下建置適當之

內部控制制度

企業風險 (Business Risk)

控制目標(Control Objective)

Objective) 政策/程序

ERP應用系統 權限設定與

適切分工

ERP 系統設定

人工輔助 控管

客製 程式開發 適切分工

呈報 政策與程序 使用者訓練

呈報 政策與程序 使用者訓練

(11)

圖4 8 導入ERP系統應行考量之系統安全 圖4.8 導入ERP系統應行考量之系統安全

及控管項目

1 備份 復原及系

資料庫整合之管理

1.備份、復原及系 統復原計劃 2.系統操作程序 3.網路及系統資料

Database server 安全

4.實體安全

5.整合性資訊系統 安全設定

Application server

安全

6.與其他系統之介

7.系統測試及轉換 計劃

Presentation

server 







計劃

作業系統安全 企業流程控制 系統修改控制

(12)

組織控制 組織控制

一、資訊部門與使用者部門的職能分工 二、資訊部門內部職能分工

三、組織控制責任歸屬 四、資訊人事管理

五 標準資訊作業程序 五、標準資訊作業程序

(13)

資訊部門與使用者部門的職能分工 資訊部門與使用者部門的職能分工

不相容作業應予分工 (1)核准功能

(2)執行功能 (2)執行功能

(3)資料保管維護功能 (3)資料保管維護功能

(14)

資訊部門內部職能分工 資訊部門內部職能分工

(一)責任的劃分

(二)組織大小對分工的影響 (三)基本職能分工

(三)基本職能分工

(四)以知識為基礎的分工 (四)以知識為基礎的分工

(15)

系統開發維修控制 系統開發維修控制

一 使用單位與稽核人員參與系統需求分析 一、使用單位與稽核人員參與系統需求分析 二、系統設計或軟體修改規格設計之核收 三、程式製作符合標準

四、系統須經完整測試 四、系統須經完整測試 五、系統最後核收

六、系統轉換控制 七、上線後評估 七 上線後評估 八、系統修改控制 九 系統文書控制 九、系統文書控制

(16)

系統測試包括以下五類 系統測試包括以下五類

個別程式測試 關聯程式測試 系統測試

系統測試

先導測試(pilot test)

平行測試(parallel test)

(17)

系統修改控制 系統修改控制

(一)程式異動之請求 (一)程式異動之請求 (二)程式異動之執行 (三)程式異動之完成

(18)

硬體及系統軟體控制 硬體及系統軟體控制

一、硬體控制 二、作業控制

三、系統軟體控制

(19)

硬體控制 硬體控制

一 同位核對位元

(一)同位核對位元(Parity Check Bit) (二)錯誤更正碼(error correction code) (二)錯誤更正碼(error correction code) (三)重複處理

(三)重複處理

(四)回返核對(Echo Check) (五)檢查設備

(六)有效性檢核(validity check)

(20)

作業控制 作業控制

一 電子媒體控制 (一)電子媒體控制

(二)設備故障的記錄和報告 (二)設備故障的記錄和報告 (三)環境控制

(三)環境控制 (四)電源保護

(五)正式的災害復原程序

(六)作業及應用程式的錯誤檢核 (七)預防性及更正性維護

(21)

系統軟體控制 系統軟體控制

一 系統軟體控制措施 (一)系統軟體控制措施

(二)安裝系統軟體版本及異動之控制 (二)安裝系統軟體版本及異動之控制

Figure

Updating...

References

Related subjects :