第六章 系統內部控制設計
本章大綱 第一節 整合資訊系統之特性與風險 第二節 會計財務資訊系統應用控制 第三節 組織控制 第四節 系統開發維修控制 第五節 硬體及系統軟體控制
學習目標 整合資訊系統之特性與風險 會計財務資訊系統應用控制之設計 整合性資訊系統應用控制重點 會計資訊系統一般控制包括組織控制、系統開發修改控制,與硬體系統軟體控制
圖6.1 整合資訊系統風險 內部控制及外部控制 控制環境 ERP 系統 持續性稽核方法論 企業管理法則 企業及產業風險 科技風險 圖6.1 整合資訊系統風險 應用系統安全 系統測試 應用系統改變之 控制管理 系統設定選項 全球化的風險 企業流程控制 電子商務 營運應變計劃 外掛系統之安全 介面/轉換 資訊整合 企業及產業風險 科技風險 法令遵循風險 一般存取 科技整合 安全指導原則 災害復原計劃 ERP 系統 介面系統 資訊科技架構 企業流程 持續性稽核方法論 企業管理法則 內部控制及外部控制 ERP安全及控制 技術架構 舊系統 / 外掛系統 控制環境
圖6.2 整合性資訊系統之內外部控制環境 未有介面聯結之供應商 下游 上游 供 應 商 EDI E-Commerce 客 戶 EDI 介面 圖6.2 整合性資訊系統之內外部控制環境 未有介面聯結之供應商 下游 上游 供 應 商 EDI E-Commerce 客 戶 EDI 介面 資料 企業流程 內部控制 外部 控制 未有介面聯結之客戶 資訊基礎環境 ERP 系統 介面系統 介面資料
圖6.3 資訊系統控制目標 6.整體安全(存取控制) 處理 程式 原始 資料 輸出 資料檔 4.開發程式 5.修改程式 2.處理正確、完整 圖6.3 資訊系統控制目標 6.整體安全(存取控制) 處理 程式 原始 資料 輸出 資料檔 4.開發程式 5.修改程式 2.處理正確、完整 1.輸入正確、合法 3.檔案正確、完整、安全
一般控制的重要類型 組織控制(Organizational Control) 系統開發及修改控制(Systems Development and Maintenance Control) 整體安全或存取控制(Access Control) 硬體及系統軟體控制(Hardware and Systems Software Control)
確保資料正確、合法之控制 合理性檢查 相依性檢查 存在性檢查 格式檢查 計算正確性檢查 範圍檢查 檢查碼核驗
圖6.4 應用系統一般處理 流程 輸入 輸入正確、合法 處理更新正確、完整 檔案保存正確、完整、 安全 讀入 資料 輸出 處理 資料源 圖6.4 應用系統一般處理 流程 輸入正確、合法 處理更新正確、完整 檔案保存正確、完整、 安全 讀入 資料 輸出 處理 資料源 資料控制 資料維護 更新資料 資訊使用者 輸入
圖6.7 在整合資訊系統環境下建置適當之內部控制制度 圖6.7 在整合資訊系統環境下建置適當之內部控制制度 企業風險 (Business Risk) 控制目標(Control Objective) 政策∕程序 ERP應用系統 權限設定與 適切分工 ERP 系統設定 人工輔助 控管 客製 程式開發 呈報 政策與程序 使用者訓練
圖6.8 導入ERP系統應行考量之系統安全及控管項目 1.備份、復原及系統 復原計劃 2.系統操作程序 3.網路及系統資料安 全 4.實體安全 5.整合性資訊系統安 全設定 6.與其他系統之介面 7.系統測試及轉換計 劃 資料庫整合之管理 Presentation Server Application Server Database Server 作業系統安全 企業流程控制 系統修改控制
組織控制 資訊部門與使用者部門的職能分工 資訊部門內部職能分工 組織控制責任歸屬 資訊人事管理 標準資訊作業程序
資訊部門與使用者部門的 職能分工 不相容作業應予分工 核准功能 執行功能 資料保管維護功能
資訊部門內部職能分工 責任的劃分 組織大小對分工的影響 基本職能分工 以知識為基礎的分工
系統開發維修控制 使用單位與稽核人員參與系統需求分析 系統設計或軟體修改規格設計之核收 程式製作符合標準 系統須經完整測試 系統最後核收 系統轉換控制 上線後評估 系統修改控制 系統文書控制
系統測試 個別程式測試 關聯程式測試 系統測試 先導測試(Pilot Test) 平行測試(Parallel Test)
系統修改控制 程式異動之請求 程式異動之執行 程式異動之完成
硬體及系統軟體控制 硬體控制 作業控制 系統軟體控制
硬體控制 同位核對位元(Parity Check Bit) 錯誤更正碼(Error Correction Code) 重複處理 回返核對(Echo Check) 檢查設備 有效性檢核(Validity Check)
作業控制 電子媒體控制 設備故障的記錄和報告 環境控制 電源保護 正式的災害復原程序 作業及應用程式的錯誤檢核 預防性及更正性維護
系統軟體控制 系統軟體控制措施 安裝系統軟體版本及異動之控制