内部控制管理要素bnjq

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,按一下以編輯母片標題樣式,按一下以編輯母片,第二層,第三層,第四層,第五層,*,*,1,Ch.8,內部控制,內部控制要素,系統控制,一般控制,應用控制,電腦犯罪,2,實務焦點資訊安全,美國銀行業潛在網路安全問題,台灣案例,網路銀行客戶密碼遭盜用,銀行及客戶因應之道,駭客入侵券商網路下單系統,以破解軟體木馬程式，入侵兩家券商系統，盜,用二千餘,位客戶的密碼，下單買賣股票,違反,證券交易,法、偽造有價證券、毀損、詐欺、,偽造文書,等罪,證期,會及業者,因應之道,第八章內部控制,3,第一節何謂內部控制,內部控制的意義和必要性,內部控制的限制,內部控制的成本效益分析,第八章內部控制,4,內部控制的意義和必要性,內部控制的意義,內部控制是受到公司董事會、管理當局及其他人事影響，為了達到有關,企業目標,，提供,合理保證,而設計的過程。,企業目標,1.,營運之效果及效率,2.,財務報導之可靠性,3.,相關法令之遵循,第八章內部控制,來源：公開發行公司建立內部控制制度處理準則, #3,5,內部控制的限制,成本效益的考慮,組織暴露於各種風險中,控制制度中關於人的因素,內部控制程序可能無法涵蓋所有交易,經營環境的日趨複雜,第八章內部控制,6,成本效益分析,每個組織的內部控制系統都各有其,獨特,之處。,並沒有所謂的,標準控制程序,可供業界參考、採用。,而所謂的最佳內部控制系統也就是實施貫徹,成本效益分析,概念,(Cost-Benefit Concept),。,第八章內部控制,7,一個成本效益分析的例子,Solution 1.,僱用,6,名保全人員巡視賣場。該項控制程序預估將會使公司每年增加費用,$300,000,；失竊的損失降為,0,。,Solution 2.,僱用,1,名保全人員巡視賣場，並在角落裝設鏡子及監視器。該項控制程序預估將會使公司每年增加,$80,000,費用；失竊的損失降為,$100,000,。,第八章內部控制,8,會計資訊系統之內部控制概念圖,(,圖,8-1,),第八章內部控制,9,第二節內部控制結構,內部控制的組成要素,企業風險管理,交易循環的控制目標,企業專題,8-1,內部控制的缺失與改進,第八章內部控制,10,內部控制的組成要素,(,圖,8-2),1.,控制環境,2.,風險評估,3.,資訊與溝通,4.,控制活動,5.,監督,第八章內部控制,11,1.,控制環境,正直與道德觀念,勝任的承諾,董事會及審計委員會,管理哲學與經營型態,組織結構,圖,8-3,各類組織系統簡圖,權利與義務的分派,人力資源政策與規範,第八章內部控制,12,2.,風險評估,確認風險並予控制,內、外部事件與,環境變遷之特殊考慮,第八章內部控制,13,3.,控制作業,資訊處理控制,適當授權,文件與記錄,獨立複核,職能分工,接取控制,績效複核,第八章內部控制,14,4.,資訊與溝通,完整的交易軌跡,會計政策和程序手冊,會計科目表,複式分錄,第八章內部控制,15,5.,監督,透過：,進行中的作業,定期評估,包括：,內部來源,外部來源,第八章內部控制,16,企業風險管理,內部環境,目標設定,事件辨識,風險評估,風險回應,控制活動,資訊和溝通,監督,第八章內部控制,17,交易循環的控制目標,一般化控制目標：,所有交易業經適當授權,所有記錄的交易都是有效的,(,實際發生的,),所有有效、經授權的交易，已被完整、正確記錄,遵守相關法令規範,保護資產,(,現金、存貨及資料,),安全,達到營運之效果及效率。,第八章內部控制,18,交易循環的控制目標,(,續,),文件與記錄,(,文件化,),所扮演角色,電子化文件之採用,文件的預先、連續性編號,文件與記錄上的簽章,適當的文件與記錄確保組織承諾的達成,第八章內部控制,19,企業專題,8-1,內部控制的缺失與改進檔案,職能分工,授權程序,接取控制,人事政策及慣例,(,持續考核,),適當單據,/,文件憑證,獨立內部驗證、存貨盤點,第八章內部控制,20,第三節系統控制的內容,1.,依目標來區分,預防性控制,偵測性控制,改正性控制,2.,依範圍來區分,一般控制,應用控制,第八章內部控制,21,一般控制,組織及作業控制,系統開發及文件控制,硬體和系統軟體控制,接取控制,資料及程序性控制,第八章內部控制,22,應用控制,輸入控制,處理控制,輸出控制,第八章內部控制,23,第四節資訊系統安全管理,資訊系統的風險,企業專題,8-2,檔案備份,電腦犯罪的原因與對策,安全控管制度的建立,企業專題,8-3,電子商務交易安全,第八章內部控制,24,資訊系統的風險,威脅資訊系統安全的來源：,天然災害,機件故障,人為過失,人為的故意破壞, ,第八章內部控制,25,企業專題,8-2,檔案備份,備份解決方案,即時性 三線備援,線上即時備份,(On-line Backup),近線備份,(Near-line Backup),離線備份,(Off-line Backup),便利性,可攜式,固定式,第八章內部控制,26,電腦犯罪的原因與對策,電腦犯罪的型態,藉由電腦病毒以癱瘓系統,電腦駭客經由網路的入侵,監守自盜,目的,金錢利得,商業競爭,成就動機,第八章內部控制,27,管理部門往往存在的問題,不恰當的工作分配,對機件防護不當,雖有制度化管理系統，卻未切實執行,忽視電腦處理資料可信度的查核,在知識與態度上的缺失,第八章內部控制,28,表,8-2,防範電腦犯罪的控制事項,第八章內部控制,29,安全控管制度的建立,安全控管的層級,1.,法律及社會道德,2.,行政管理之控管,3.,實體硬體網路安全之控管,4.,資料庫軟體安全之控管,圖,8-8,安全的四層控管,第八章內部控制,30,1.,起始階段,2.,制定系統安全政策,3.,風險分析,4.,建立系統安全措施,5.,持續的監督和複核,圖,8-9,資訊系統安全控管制度的實施步驟,圖,8-10,損失與安全控管成本關係圖,圖,8-11,3C,原則,第八章內部控制,實施安全控管制度的步驟,