1
內部控制
內部控制要素
系統控制
一般控制
應用控制
電腦犯罪
2
實務焦點-資訊安全
美國銀行業潛在網路安全問題
台灣案例
1. 網路銀行-客戶密碼遭盜用
銀行及客戶因應之道
2. 駭客入侵券商網路下單系統
以破解軟體木馬程式,入侵兩家券商系統,
盜用二千餘位客戶的密碼,下單買賣股票
違反證券交易法、偽造有價證券、毀損、
詐欺、偽造文書等罪
證期會及業者因應之道
第八章 內 部 控 制
3
第一節 何謂內部控制
內部控制的意義和必要性
內部控制的限制
內部控制的成本效益分析
第八章 內 部 控 制
4
內部控制的意義和必要性
內部控制的意義
內部控制是受到公司董事會、管理當局
及其他人事影響,為了達到有關企業目
標,提供合理保證而設計的過程。
企業目標
1.營運之效果及效率
2.財務報導之可靠性
3.相關法令之遵循
第八章 內 部 控 制
[來源:公開發行公司建立內部控制制度處理準則, #3 ]
5
內部控制的限制
成本效益的考慮
組織暴露於各種風險中
控制制度中關於「人」的因素
內部控制程序可能無法涵蓋所有交易
經營環境的日趨複雜
第八章 內 部 控 制
6
成本效益分析
每個組織的內部控制系統都各有
其獨特之處。
並沒有所謂的標準控制程序可供
業界參考、採用。
而所謂的最佳內部控制系統也就
是實施貫徹成本效益分析概念
(Cost-Benefit Concept)。
第八章 內 部 控 制
7
《一個成本效益分析的例子》
Solution 1. 僱用6名保全人員巡視賣場。
該項控制程序預估將會使公司每年增加
費用$300,000;失竊的損失降為0。
Solution 2. 僱用1名保全人員巡視賣場,
並在角落裝設鏡子及監視器。該項控制
程序預估將會使公司每年增加$80,000
費用;失竊的損失降為$100,000 。
第八章 內 部 控 制
8
會計資訊系統之
內部控制概念圖(圖8-1)
第八章 內 部 控 制
9
第二節 內部控制結構
內部控制的組成要素
企業風險管理
交易循環的控制目標
*企業專題8-1 內部控制的缺失與改進
第八章 內 部 控 制
10
內部控制的組成要素 (圖8-2)
1.控制環境
2.風險評估
3.資訊與溝通
4.控制活動
5.監督
第八章 內 部 控 制
11
1.控制環境
正直與道德觀念
勝任的承諾
董事會及審計委員會
管理哲學與經營型態
組織結構 圖8-3 各類組織系統簡圖
權利與義務的分派
人力資源政策與規範
第八章 內 部 控 制
12
2.風險評估
確認風險並予控制
內、外部事件與
環境變遷之特殊考慮
第八章 內 部 控 制
13
3.控制作業
資訊處理控制
適當授權
文件與記錄
獨立複核
職能分工
接取控制
績效複核
第八章 內 部 控 制
14
4.資訊與溝通
完整的交易軌跡
會計政策和程序手冊
會計科目表
複式分錄
第八章 內 部 控 制
15
5.監督
透過:
進行中的作業
定期評估
包括:
內部來源
外部來源
第八章 內 部 控 制
16
企業風險管理
1. 內部環境
2. 目標設定
3. 事件辨識
4. 風險評估
5. 風險回應
6. 控制活動
7. 資訊和溝通
8. 監督
第八章 內 部 控 制
17
交易循環的控制目標
一般化控制目標:
1. 所有交易業經適當授權
2. 所有記錄的交易都是有效的(實際發生的)
3. 所有有效、經授權的交易,已被完整、正
確記錄
4. 遵守相關法令規範
5. 保護資產(現金、存貨及資料)安全
6. 達到營運之效果及效率。
第八章 內 部 控 制
18
交易循環的控制目標(續)
文件與記錄(文件化)所扮演角色
電子化文件之採用
文件的預先、連續性編號
文件與記錄上的簽章
適當的文件與記錄-確保組織承諾的
達成
第八章 內 部 控 制
19
*企業專題8-1
內部控制的缺失與改進檔案
職能分工
授權程序
接取控制
人事政策及慣例(持續考核)
適當單據/文件憑證
獨立內部驗證、存貨盤點
第八章 內 部 控 制
20
第三節 系統控制的內容
1.依目標來區分
預防性控制
偵測性控制
改正性控制
2.依範圍來區分
一般控制
應用控制
第八章 內 部 控 制
21
一般控制
1. 組織及作業控制
2. 系統開發及文件控制
3. 硬體和系統軟體控制
4. 接取控制
5. 資料及程序性控制
第八章 內 部 控 制
22
應用控制
1. 輸入控制
2. 處理控制
3. 輸出控制
第八章 內 部 控 制
23
第四節 資訊系統安全管理
資訊系統的風險
*企業專題8-2 檔案備份
電腦犯罪的原因與對策
安全控管制度的建立
*企業專題8-3 電子商務交易安全
第八章 內 部 控 制
24
資訊系統的風險
威脅資訊系統安全的來源:
天然災害
機件故障
人為過失
人為的故意破壞
R = L × P
第八章 內 部 控 制
25
*企業專題8-2 檔案備份
備份解決方案
即時性- 「三線備援」
線上即時備份(On-line Backup)
近線備份(Near-line Backup)
離線備份(Off-line Backup)
便利性-
可攜式
固定式
第八章 內 部 控 制
26
電腦犯罪的原因與對策
電腦犯罪的型態
藉由電腦病毒以癱瘓系統
「電腦駭客」經由網路的入侵
監守自盜
目的
金錢利得
商業競爭
成就動機
第八章 內 部 控 制
27
管理部門往往存在的問題
1. 不恰當的工作分配
2. 對機件防護不當
3. 雖有制度化管理系統,卻未切實執行
4. 忽視電腦處理資料可信度的查核
5. 在知識與態度上的缺失
第八章 內 部 控 制
28
表8-2 防範電腦犯罪的控制事項
第八章 內 部 控 制
29
安全控管制度的建立
安全控管的層級
1.法律及社會道德
2.行政管理之控管
3.實體/硬體/網路安全之控管
4.資料庫/軟體安全之控管
圖8-8 安全的四層控管
第八章 內 部 控 制
30
1.起始階段
2.制定系統安全政策
3.風險分析
4.建立系統安全措施
5.持續的監督和複核
圖8-9 資訊系統安全控管制度的實施步驟
圖8-10 損失與安全控管成本關係圖
圖8-11 3C原則
第八章 內 部 控 制
實施安全控管制度的步驟
