内部控制-为何需要控制--确保目标之达成

内部控制-为何需要控制--确保目标之达成 内部控制 Internal Controlling 为何需要控制, 确保目标之达成 降低意外之风险 提升对丑闻之察觉 股东著重公司治理 管理当局之法律责任 高度的管理与员工舞弊事件 企业之威胁与控制 『威胁』指不利之潜在事情或情况，若实际发生时， 将对企业造成伤害及 损失 『控制』指对於物件、有机体或系统之活动加以限制 或引导之过程 『风险』指威胁实际发生之可能性，可以0~1之机率值 来表示 『暴险度』指威胁实际发生时，所造成之企业损失 企业在规划与 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 相关控制前，应先了解其所面临之威 胁，才能制定出一套有效之控制 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 资讯系统面临之威胁(一) 企业在规划与设计资讯系统相关控制 前，应先了解其所面临之威胁，才能 制定出一套有效之控制制度 资讯系统面临之主要威胁为: 天然及政治灾害 软体错误与设备失灵 无心之错误 有意之舞弊或犯罪 资讯系统面临之威胁(二) 根据调查与统计，资讯系统最大之风险与损失来自於员工无心之错误(约占 65%) ，其次为天然灾害之威胁，再其次为舞弊与犯罪 资讯系统面临之潜在威胁，近年有增无减，主要原因之ㄧ为主从式区域网路 (企业内网路)与广域网路(企业间网路)之普及化，因而很多企业更重视资讯系统 之安全控管 一般之企业曝险 错误之簿记 错误之会计处理 企业停业 错误之管理决策 舞弊与侵占、盗用 法令之处罚 超额成本 资源之损失与破坏 不利之竞争力 舞弊与控制 『舞弊』:蓄意之行为，或不忠实之意 图去获取不合理或违法之利益 管理当局有责任去预防与揭露舞弊行为 『控制系统』:协助管理当局达成上述 任务 控制下之人性面与反作用 主管承受预算之压力 控制造成短视 过分强调短期因素 过分注重容易衡量之因素 有些控制造成权术运用 控制可能引起内部冲突 内部控制的定义(一) 根据我国审计准则公报#5，内部控制系指受查者之组织规划及其所采用之各 种协调方法与措施，以保护资产安全、提高会计资讯之可靠性及完整性、增进经 营效率、并促使遵行管理政策，所采行的任何行动 内部控制的定义(二) 根据COSO (Committee of Sponsoring Organizations of Treadway Commission)研究报告，内部控制系指公司董事会、管理当局、及其部属为了合理保证下列控制目标之达成，而采行的程序: (1)营运的效果与效率 (2)财务报导的可靠性 (3)相关法令与规章的遵循 内部控制的定义(三) 基本观念: 内部控制是一种过程 内部控制的有效运作，受到人的影响，包括董事会、管理阶层及其他人员 内部控制设计之目的在於达成组织之目标 内部控制只能合理保证目标之达成 内部控制的基本观念(四) 企业实施内部控制之前，应先建立适当的内部控制架构。内部控制架构系指组织建立的政策与程序，以合理保证组织特定目标的达成。 在设计内部控制时，必须考量相关控制程序的成本与效益。若要求绝对保证组织目标的达成 ，则会使内部控制成本过高，超过其所能产生的效益(也就是边际成本大於边际效益)。因此，内部控制的设计通常以「合理保证」为目标。 内部控制的基本观念(五) 企业在设计内部控制程序之前，应先确认其相关的控制目标，而控制目标又与营运目标及其所面临的潜在威胁有关。 内部控制制度的设计应与组织的目标相结合，并合理保证将企业所面临的威 胁与风险降到可以接受的水准。 内部控制之重要性 降低错误及舞弊之可能性 减少违法事件之发生 减低企业失败之机率 提高企业之竞争力 监视组织控制系统之运作 内稽主要功能 电脑化资讯系统内部控制的 基本观念(一) 电脑化资料处理之主要特点: 利用电脑产生多样化资讯 电脑化资讯系统与人工资讯系统之差别: (1)交易(稽核)轨迹仅短暂保存或以电脑可以读取之形式 保存 (2)交易处理过程由电脑程式控制，具有一致性，可避免 人为错误(但程式错误将产生交易处理错误) (3)原人工分工改为电脑集中处理，故原分工达成之控制 目标须以其他控制措施取代 电脑化资讯系统内部控制的 基本观念(二) (4)资料处理过程中人工的介入大幅减少，电脑发生错 误及利用电脑进行的舞弊被发现的可能性降低。另 外，应用程式於设计及修正过程所产生的错误，也 可能长久存在而未被发觉 (5)电脑系统提供许多资料 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 工具，可协助管理者覆 核及监督系统运作，进而加强内部控制 (6)有些交易可能由电脑自动启始或执行，这些交易的 授权可能因而缺乏书面的证据或在管理者接受系统 设计时就已确认 (7)电脑处理可能产生一些人工处理所需要的报表和其 他输出，因此，其他控制的效果有赖於电脑处理控 制的完整性与正确性。例如:电脑产生的例外报告 是否正确，将影响人工覆核例外情况的有效性 电脑化资讯系统内部控制的 基本观念(三) 为了确保电脑化资讯系统具备良好的控制环境，组织应该: 确实控管资讯系统开发专案 适当分配电脑资源的所有权 落实电脑软体、硬体及资料库的保管与维护 订定与实施有效的电脑安全与灾害复原 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 内部控制之目的 根据美国及我国内部稽核协会之内部稽核执业准则公报第一号，内部控制之 目的包括: 资讯的可靠性与完整性 政策、计画、程序与法令之遵循 资产之保障 资源运用之经济有效 组织目的与营运或专案计画目标之达成 具体之内部控制目的 以交易循环为例: 交易业经适当授权 已经发生之交易业已记录 帐上所记录之交易真实有效 交易之科目分类适当 交易之评价适当 交易在适当时点记录 交易之过帐、分类、汇总、调节、及报告之过程适当 内部控制VS3>.八大交易循环 销货及收款循环 采购及付款循环 生产及存货循环 人事薪资循环 融资循环 投资循环 固定资产管理循环 研究发展循环 销售循环之威胁&暴险与控制程序(一) 调节销货单与出货单 应用条码扫瞄器 资料输入之应用控制 客户抱怨 不满意销货服务 增加商品输送成 本 2)出货错误(含送 错商品、数量或 地点) 由授信部门核准 赊销 正确记录客户帐 款余额 收不到货款 坏帐增加 1)销售给信用不 良之客户 控制程序 暴险 威胁 销售循环之威胁&暴险与控制程序(二) 送货及帐单一起处理 ，送货单预先编号 出货时与对方收货单 位确认，到货须回电 或回执 漏记时立即补寄帐单 应收帐款低估 收不到货款 资金周转不灵 4)出货时未开列 帐单 限制实体接取 内部移转文件化 定期盘点存货并调节 帐载记录与实体库存 之差异 存货资产损失 存货高估 3)在途存货失窃 控制程序 暴险 威胁 销售循环之威胁&暴险与控制程序(三) 责任分工，财务主管 不定期抽点 工作轮调 使用保险设备 定期调节银行对帐单 资产损失 资金周转不灵 6)现金失窃 拣货单与销货单(金额, 数量)互相验证 销货价格可先在电脑 输入，避免人工输入 错误 记录不正确 短、漏开发票， 被罚款 增加订单处理成 本 5)开单错误 控制程序 暴险 威胁 销售循环之威胁&暴险与控制程序(四) 定期建立备份资料， 采异地备援 存取控制(对使用者设 密码与权限) 建立灾难防护系统 客户资料外泄 复原成本增加 8)资料毁损 按时将总帐与明细帐 调节 每月寄对帐单给客户 ，作双向确认 公司报表记录错 误 影响短期偿债能 力 7)更新应收帐款 时，过帐错误 控制程序 暴险 威胁 销售循环之威胁&暴险与控制程序(五) 定期与不定期编制 分析报告 发放客户意见回覆 函，了解客户满意 度 营运状况出问 题 部门间缺乏沟 通、士气低落 流动性较差， 出现现金短缺 ，导致周转不 灵 9>9)绩效不佳 控制程序 暴险 威胁 采购循环之威胁&暴险与控制程序(一) 评估实际存货 核准购买需求且设置 预先编号请购单 分析购货内容及销货 成本组合 存货成本增加 积压现金，无 法有效利用 存货净变现价 值降低 2)采购不需要之 货品或采购过 多 存货控制系统 采永续盘存制 建立供应商供货与绩 效报告分析 重估安全存量 生产延滞丧失 销售机会 生产设备闲置 订购成本增加 1)缺货 控制程序 暴险 威胁 采购循环之威胁&暴险与控制程序(二) 检视购货单据 对厂商作绩效分析 加强对货品之检验 造成生产延误 成本超支或滞 销 较难生产高附 加价值之产品 4)进货品质不良 预算控制 订立谘询机制及进货 合约 利用商品期货避险 成本过高 3)以过高价格购 进货品 控制程序 暴险 威胁 采购循环之威胁&暴险与控制程序(三) 订购人员轮调、定期 休假 请购、订购、出纳人 员充分分工 明文禁止收取回扣 可能买到次级 品 高价买入商品 影响公司权益 6)收取回扣 订购单先经批准 限制供应商名单须有 经正式授权，若有变 动须经批准 加强采购部门内控 品质与价格之 不确定性 退货与售后服 务之不确定性 无法建立长久 合作关系 5)向不合格供应 商订购 控制程序 暴险 威胁 采购循环之威胁&暴险与控制程序(四) 订购单副本(订购量栏 空白)交给验收部门 加强对货品验收之控 制 仓储部门之再覆核与 盘点 存货记录不正 确 所收货品与订 购量不符 缺货成本或持 有成本增加 8)清点进货时发 生错误 验收部门在接收产品 时，要亲自点算检查 数量 订购部门以订单副本 知会验收部门 增加存货成本 7)收到未订购之 货品 控制程序 暴险 威胁 采购循环之威胁&暴险与控制程序(五) 付款时，要与订购单 及 验收单 装修施工验收单精装修竣工验收与移交工程竣工验收单工程验收单光伏发电项目验收 做确认 EDI处理 记录不正确 付款金额不正 确 帐务处理成本 增加 10)进货发票错误 定期盘点存货 加强保全、投保产物 险 做好内部控制、职能 分工 存货财产损失 记录错误 无法如期出货 9)存货失窃 控制程序 暴险 威胁 采购循环之威胁&暴险与控制程序(六) 编制付款期限分析表 付款方式采净额法 作现金流量预算 造成多付款， 销货成本增加 丧失高报酬率 之利息 12)未及时取得进 货折扣 核对发票及验收单内 之数量 确定货物收到再付款 现金损失 11)对未收到之货 品支付货款 控制程序 暴险 威胁 采购循环之威胁&暴险与控制程序(七) 适当之分录资料与程 序控制 定期调节总帐与应付 帐款明细帐 财务报表不正 确 存货成本计算 错误 错误之决策 14)采购及付款记 录与过帐发生 错误 做好审核与审查之工 作 定期核对发票金额和 订单与验收单，并做 付款注记 造成现金损失 错误之帐载高 估采购成本 13)重复付款 控制程序 暴险 威胁 采购循环之威胁&暴险与控制程序(八) 严格之登录控制 (经常变更使用者帐号 与密码) 加强内控 资料传输加密 资金被盗 机密外泄 16)电子转帐现金 遭窃 所有购货以支票给付 、支票编号、存取控制 设零用金制度 独立之银行调节表 定期盘点资产 资产损失 现金减少 信用不佳 15)付款给虚设供 应商及票据被 窜改 控制程序 暴险 威胁 采购循环之威胁&暴险与控制程序(九) 企业活动事先规划 对绩效做事后检讨报 导 建立奖酬制度 无效率与无效 能 管理与生产成 本过高 信誉不好 18)绩效不佳 资料备份与保密措施 灾难回复过程 时常更新档案 由线上资料库协助保 管 影响决策 损失机密资讯 资料之不可靠 性 17)资料毁损 控制程序 暴险 威胁 生产循环之威胁&暴险与控制程序(一) 投保产物险 职能分工 存货定期盘点并与记 录相调节 设立监视系统 资产损失 高估存货记录 未及出货 高估净利 2)存货失窃或毁 损 正确之销售预测 正确之存货记录 生产之授权 编制预算 生产过剩和过 多存货 生产不足、原 料短缺、丧失 交易机会 1)生产未经授权 控制程序 暴险 威胁 生产循环之威胁&暴险与控制程序(二) 资料处理自动化 接取控制 定期实施实地盘点并 与相关记录调节 影响定价与销 售利润 4)记录及过帐错 误 编制及覆核绩效报告 衡量生产效能 衡量品质控制之成本 例外报告 产生不良品 成本错估、影 响定价及利润 增加存货损失 之风险 3)无效率及品质 控制问题 控制程序 暴险 威胁 生产循环之威胁&暴险与控制程序(三) 资料备份 灾害复原计画 存取控制 支出增加与内 控不健全 丧失对客户之 信誉与未来之 销售额 产生法律责任 5)资料毁损 控制程序 暴险 威胁 薪工循环之威胁&暴险与控制程序(一) 订定明确之书面雇用 契约 确定劳资之权利义务 设立法律谘询服务 罚金或诉讼 影响公司声誉 2)触犯劳工相关 法案 严格把关人事 适当之新进人员训练 试用期间之考评观察 注重员工先前之工作 经验 杜绝高阶主管聘私人 生产效率低并 影响士气 资产被窃 机密外泄而影 响公司竞争力 增加舞弊机会 1)雇用不合格或 品德不佳之员 工 控制程序 暴险 威胁 薪工循环之威胁&暴险与控制程序(二) 批次控制及其他应用 控制 调节计工单、计时卡 不定期抽查 不符收入配合 原则 费用之内部报 导不正确 给薪不正确 4)错误之薪工处 理 自动化资料收集 职能分工 比较预算之薪资费用 与实际发放额 档案须经特定人处理 与验证 费用增加 不正确之报告 资产损失 增加不必要之 人工成本 3)错误之工时资 料 控制程序 暴险 威胁 薪工循环之威胁&暴险与控制程序(三) 银行转帐 控管公司之空白支票 出纳付款前要先得到 主管授权且要确认金 额无误及员工是否尚 在 职 现金损失 薪资及处理费 用增加 6)薪资支票失窃 或舞弊 定期审核 薪资者与发薪者进行 双重确认 薪资费用每月结帐 资料混乱或遭 窜改 5)薪工主档遭未 经授权之更动 控制程序 暴险 威胁 薪工循环之威胁&暴险与控制程序(四) 接取控制 资料备份 资料加密 员工之个人资 料与隐私被公 开 员工流失 影响员工士气 增加公司之诉 讼支出 7)薪工资料毁损 或泄密 控制程序 暴险 威胁 固定资产循环之威胁&暴险与控制程序(一) 保险 定期盘点数量 职能分工 设立监视系统 资产损失 高估净利 2)固定资产失窃 或毁损 采购之授权 资本支出之授权及覆 核 编制预算 过度投资在固 定资产 陈废之资产过 多 1)交易未经授权 或核准 控制程序 暴险 威胁 固定资产循环之威胁&暴险与控制程序(二) 资料处理自动化 存取控制 资料备份 建立灾害复原计画 扭曲绩效分析 扭曲未来投资 之期望 4)记录及过帐错 误 资料处理自动化 资料变更需经授权 定期核对 财务报表不正 确 增加固定资产 损失之风险 3)无效率及品质 控制问题 控制程序 暴险 威胁 固定资产循环之威胁&暴险与控制程序(三) 定期编制财务报表 差异分析 抽检工作 支出增加与内 控不健全 丧失对客户之 信誉与未来之 销售额 产生法律责任 5)资料毁损 控制程序 暴险 威胁 COSO内部控制模式及其组成要素(一) COSO於1992年发布一份研究报告，明确定义内部控制，并提供内部控制评 估方面的指引。该报告已成为最权威的内部控制文献，已被实务界广为采用。 COSO内部控制模式及其组成要素(二) COSO研究报告将内部控制定义为 公司董事会、管理当局、及其部属为了合理保证下列控制目标之达成，而采 行的程序:营运的效果与效率、财务报导的可靠性、以及相关法令与规章的遵 循。」。 此项定义强调: 内部控制是一项过程 内部控制受人的影响 内部控制对管理当局及董事会而言，仅能提供合理保证，而非绝对保证。 COSO内部控制模式及其组成要素(三) COSO控制模式是以控制环境为基础。根据组织的控制环境及营运目标，管理当局必须辨认、分析及管理相关的风险，也就是进行风险评估与管理。紧接著，企业应建立与执行适当的控制政策与程序，以有效的执行与风险相关的控制作业。至於组织的资讯与沟通系统的作用，则在於让组织的成员可以捕捉及分享与执行、管理及控制其活动有关的资讯。上述的控制过程必须加以监督，并做必要的修正，以维持内部控制制度的有效性。换句话说，这五项组成要素之间密切相关，而形成一个完整的内部控制模式。 COSO内部控制模式及其组成要素(四) 控制环境(Control environment) 风险评估(Risk assessment) 控制作业(Control activities) 资讯与沟通(Information and communication) 监督(Monitoring) 控制环境 控制环境包括七项组成因素 管理阶层的操守与价值观 管理哲学与经营风格 组织架构 外部监察人的参与 分派权力与责任的方法 人力资源政策与实务 外部影响 控制环境 ?常见机制 落实管理当局之责任 启动董事会与审计委员会之监督功能 明确详细的员工守则 适当的员工任免政策 实行独立於一般管理阶层之外的 道德谘询系统(制订检举制度) 一套完整的舞弊调查及矫正措施 风险评估 风险评估包括辨认、分析及管理企业有关的风险 风险(risk)系指威胁实际发生的可能性，可以0到1的机率值表示 若威胁实际发生，企业因而可能产生的损失称为暴险度(exposure) 若我们将风险(机率值)乘以暴险度(金额)，就能计算出某项威胁带来的预期 损失。内部控制的主要作用即在於降低或消除各项威胁的预期损失 风险评估 风险评估与建立企业内部相关内部控制的步骤: 辨认威胁 估计风险 估计可能损失(暴险度) 找出相关的控制程序 估计控制程序的成本与效益 选定控制程序 风险评估 ?常见机制 建立舞弊风险评估程序 评估舞弊之可能性及重大性 辨识舞弊发生之组织层级 遏阻管理阶层之逾越 控制作业 一般而言，组织的控制程序可区分为五类: 交易与作业的适当授权 职能分工 设计与使用适当文件与纪录 (ex: 凭证、签章、预先编号) 资产与纪录的保护(接近控制) 独立的覆核 资讯与沟通 资讯与沟通系指组织成员能够取得其职务上所需的各种资讯，且资讯能够在 组织中传播与沟通。资讯系统详细纪录交易处里的过程，这些资料成为交易的稽 核轨迹(audit trail)。组织成员可以利用稽核轨迹追查交易如何起始、经过何 种处理、以及如何报导，有助於确认内部控制程序落实的程度与执行的成效。 资讯与沟通 ?常见机制 教育训练 知识管理 资讯系统及技术 监督 监督系指对於内部控制的实施进行评估与控管的过程 ?常见机制 管理当局的督导 采用责任会计制度 进行内部稽核 内部稽核之於舞弊 建立健全 内控环境 执行舞弊 风险评估 设计与执行舞弊防制之控制活动 充分的沟通资讯 持续管理监控 管理当局之责任 董事会/审计委员会 指挥 内部稽核 (1)了解管理当局的 舞弊防范措施 (2)评估管理当局对 於舞弊风险之评估 (3)对於舞弊防范措 施之有效性进行 查核 (4)接受董事会/审计 委员会之指挥, 针对高舞弊风险 作业进行调查 评估与调查 落实内控的关键要素 建立能减少舞弊或犯罪之标准及程序 指定某一特定高级管理阶层人员负责监督内部控制之执行 防止不当授权 将标准及程序有效传达全体员工 实施对遵循之衡量，诸如监控、稽核及报告制度 辅以奖惩措施之强化标准及程序之执行 当制度被侦出有重大违失时，给予适当回应 从富邦错帐事件看内部控制 ?事由~ 2005/06/27, 富邦证仁爱分公司一交易员按错指令(输入错误的数量), 造成$77亿元错帐事件。 ?后续发展~ 2005/06/30, 金管会依证交法处富邦警告一次, 将影响其未来三个月新办业务或新设据点;并要求须在一个月内报告其内部控制改善计画及执行情况。 2005/07/19, 证交所处违约金额$30万。 富邦证之危机管理 向证交所申报错帐 发出声名稿，承认错误 调现金 命自营部买入经纪部要卖的股票 检讨下单流程、电脑程式、风险管理及 查核程序 惩处交易员 修改电脑程式 富邦证之内部控制 控制环境 董事长兼总经理(叶公亮)与国际部顾问(周资青)权责分配失衡 风险评估 透过加强员工风险意识、资讯控制、交易分层授权以降低错帐金 额 富邦证之内部控制 控制活动 系统设计者设计不良、系统使用者未能与系统设计者充分沟通， 使系统设计者不了解控制是必要的、系统测试与教育训练不足 资讯与沟通 以开放的态度对外沟通达到效果 监督 事后由董事长领军，成立风险改进委员会，重新检视风险控管机制并 提出改进方式，同时严格规范各单位自行查核人员及内部稽核人员之查核方式 建立资讯系统内部控制之重要性(一) 经营环境复杂化 资讯需求多样化 资讯系统复杂化与风险性 良好之内部控制 降低风险之影响或损失 确保组织正常运作 建立资讯系统内部控制之重要性(二) 资讯系统稽核与控制基金会(Information Systems Audit and Control Foundation, 简称ISACF)发布「资讯及相关技术控制目的(Control objectives for information and related technology,简称COBIT)」，可以作为企业建立资讯系统与资讯科技安全控制政策与程序之架构 COBIT基本观念架构(一) 用途:在於提供与资讯科技应用、控制与稽核有关之指引 COBIT由COBIT指导委员会与ISACF共同发布 使命:研究、发展、发布与推广一供套权威、最新、国际公认之资讯科技控管目的，供企业经理人与稽核人员日常使用 基本理念:企业须透过管理IT流程，将IT资源整合运用，进而满足组织之业务需求 COBIT基本观念架构(二) COBIT兼顾品质(quality)、监管(fiduciary)、安全(security)三方面之需求，汇整成七项资讯标准:效果、效率、保密、真实、可用性、遵循性、可靠性 为确保资讯符合上述标准，组织必须适当地控制及监督IT资源之使用 COBIT将IT资源之管理分为范畴(domains)、流程(processes)、活动 (activities)三个层次 内部控制的分类 依照内部控制程序采行的时间点，可以区分为预防性控制、侦测性控制以及改正性控制 (补充:指示性控制、补偿性控制) 就电脑化资讯系统的观点而言，其内部控制可以区分为一般控制与应用控制 若按照资料处理步骤的区分,内部控制可以区分为输入控制、处理控制以及输出控制 预防性、侦测性与改正性控制(一) 依照内部控制程序采行的时间点，可以区分为预防性控制、侦测性控制以及改正性控制。预防性控制可以用来防止问题的发生，是一种事前的观念。不过，基於成本效益的考量以及实务上的限制，预防性控制很难完全防止所有的问题。 企业在设计控制程序时，必须加入适当的侦测性控制，以便在问题发生时，能够迅速的察觉 ，并立即通知相关的人员采取补救或改正的行动。侦测性控制是一种事中的观念。 预防性、侦测性与改正性控制(二) 改正性控制的作用在於补救或改正被侦测到的问题，以确保组织顺利的运作，达成既定的目标。改正性控制包括三个程序: (1)找出造成问题的原因(可能由侦测性控制 提供相关讯息) (2)改正已发生的错误或障碍 (3)修改现有的控制制度或程序，以消除或降 低未来发生类似问题的可能性 预防性、侦测性与改正性控制(三) 一般而言，错误与问题若能於事前予以预防，较能保障组织的顺利运作与目标的达成。因此，在合乎成本效益的前提下，企业应优先采行预防性控制。不过 ，预防性控制很难达到绝对的控制，所以有效的侦测性控制可发挥补偿的作用 ，避免问题久未发现，而造成更大的伤害。至於改正性控制则应强调对症下药 ，并避免类似问题重复发生。 一般控制与应用控制 就电脑化资讯系统的观点而言，其内部控制可以区分为一般控制与应用控制 一般控制在於确保组织具有稳定及管理优良的控制环境，以提升应用控制的效果。 应用控制的目的则为在交易处理过程中，预防、侦测及改正相关的错误与舞弊。 输入控制、处理控制及输出控制 若按照资料处理步骤的区分,内部控制可以区分为输入控制、处理控制以及输出控制 输入控制在於确保只有正确、有效以及经过核准的资料，才能进入系统作进一步的处理 处理控制目的在於确保所有的交易都经过正确、完整的处理，相关的纪录与档案也予以适当的更新 输出控制则用以确保系统的输出具有适当的控管，以避免资料的不当使用或外泄 电脑化资讯之一般控制(一) 企业设置一般控制的目的: 确保电脑化资讯系统作业环境的稳定与良好的 管理 一般控制与所有的电脑作业有关，常见的一般控制措施包括: (1)订定资讯安全政策与计划 (2)资讯系统职能内部分工 (3)专案发展控制 (4)实体存取控制 (5)逻辑存取控制 (6)资料储存控制 电脑化资讯之一般控制(二) (7)资料传输控制 (8)建立文件标准 (9)降低系统当机时间 (10)订定灾害复原计划 (11)保护个人电脑与主从式网路 (12)网际网路控制 一般控制- 订定资讯安全政策与计画 资讯系统电脑化的组织应发展出一套完整的资讯 安全计画，并持续的加以更新。这份计画应由资 讯安全主管负责订定、监督以及推动，其内容包 含界定各类资讯由谁使用、如何使用、需用时间 以及存放於那一个系统。安全主管可根据一计画 评估资讯系统面临的威胁、风险及暴险度，并据 以选择最具成本效益的安全控管措施。 一般控制- 资讯系统职能内部分工(一) 电脑作业环境下，多项工作可能由电脑一并完成，使得传统人工作业环境下的分工方式较不可行。组织必须就电脑职能(部门)进行适当分工，以降低电脑集中多项功能所带来的威胁 一般而言，在组织规模容许及合乎成本效益的情况下，资讯系统的下列相关职能应有适当的分工:系统分析、程式设计、电脑操作、资料控制、系统函式库(library)以及使用者。 一般控制- 资讯系统职能内部分工(二) 适用於大型主机电脑环境之集中式资讯系统组织架构，不同职能之分工大致如下: 系统分析师/设计师 程式设计师 资料库管理 通信/网路控制 电脑操作员 系统函式库/ 资料管理员 资料控制小组 资料准备/输入 终端使用者 一般控制- 专案发展控制 组织开发资讯系统时，必须投入大量人力、时间与财务资源 若缺乏适当之规划与管控，常造成专案进度落后、成本超支、系统品质低落 一般而言，系统开发专案之规划与管控包含: 订定长期资讯系统主计画 订定个别专案开发计画，界定专案之重要时程 成立专案小组，明确分派责任 定期评估专案推动之绩效 进行专案完成后实施情形之覆核 一般控制- 实体存取控制 存取控制(access controls):合理保证只有经过授权(核准)者才能使用系 统;其用途也应经过授权 存取控制可分为: (1)实体(physical)存取控制 (2)逻辑(logical)存取控 制 实体存取控制:维护电脑设备之安全，以确保只有经过授权者才能使用设备。 可依序分为三个层次: (1)外围控制 (2)建筑物控制 (3)电脑设备控制 一般控制- 逻辑存取控制 逻辑存取控制:确保使用者只能使用其被授权范围内之资料与程式。可依序分为三个层次: (1)辨识使用者身份 (2)身份验证 (3)确认权限 一般常用之使用者权限设定方式为建立存取控制表，以规范不同使用者对於各项资料与程式档案之权限等级(ex:读取、显示、写入、更新、增加、删除) 一般控制- 资料储存控制 组织应将资料视为重要资源，并妥善保护 及控制，以免遭到未经授权之揭露、使用 或破坏 一般控制- 资料传输控制 组织利用网路传送资料时，为降低传输失之风险，相关人员应监控通信网路，发现弱点须立即加以补强 一般常用来降低资料传输错误之方法或程序包含: (1)资料加密 (2)验证程序 (3)位元检查 (4)讯息确认技术 一般控制- 建立文件标准(一) 为让相关人员易於了解、使用及维护资 讯系统，企业在开发系统之过程中，应 建立相关文件 进行系统书面化工作时，各项文件之编 写与修改应一致性，并存放於安全地方 ，以便文件之使用 一般控制- 建立文件标准(二) 一般常用之资讯系统文件为: (1)系统文件(system documentation) (2) 程式文件(program documentation) (3)操作文件(operating documentation) (4) 电脑操作手册(computer run manual) (5)程序文件(procedural documentation) (6)使用者文件(user documentation) 一般控制- 降低系统当机时间 电脑软体或硬体之失灵会造成资讯系统无法正常运作，而导致重大营运或财务损失 一般常用来降低当机时间之方法为: (1)落实预防性维护工作 (2)建立不断电系统 (3)配置额外之系统组件，以提升系统之 容错能力 一般控制- 订定灾害复原计画(一) 每个组织都应订定一套灾害复原计画，以确保发生重大灾害时，能迅速、顺利地恢复资讯系统之作业能力 一般而言，其目的: (1)降低资料毁损及业务中断之可能损失 (2)建立暂时性之资料处理措施 (3)尽快恢复正常作业 (4)实施紧急作业训练，让员工熟悉应变程序 一般控制- 订定灾害复原计画(二) 复原计画应包含下列要素: 明订复原程序之优先顺序 明订规范资料及程式档案之备份作业 明确分派灾害复原责任，实施复原编组及应负责之复原作业 妥善保管复原计画之书面文件 安排备援之电脑与通讯设备，确保能在最短时间内启用 进行应变规划与风险分析 一般控制- 订定灾害复原计画(三) 应变规划?? 辨认不同资料处理中断时，对组织之可能影响 风险分析?? 找出关键性应用系统并排优先顺序，评估保险额度，及辨 认相关风险与可能影响 一般控制- 保护个人电脑与主从式网路(一) 训练个人电脑使用者了解相关之控制观念 个人电脑设备上锁及黏贴财产标签 订定个人电脑使用政策与程序，规范资料储存、软体安装与使用、设备保管 责任 长时间未使用之个人电脑自动关机 电脑硬碟定期备份 一般控制- 保护个人电脑与主从式网路(二) 设定多重使用者密码，限制个人电脑之使用，并进行权限设定，以便职能分工 采用档案清除工具程式，彻底清除使用不使用之磁片内容 网路作业须保留操作日志(operation log)，以作为稽核轨迹 安装防毒程式，侦测及过滤电脑病毒，并教导使用者如何防范病毒之感染 一般控制- 网际网路控制 应建立网路安全政策(network security policy)，以保护网际网路相关作业安全 ，确保资料可用性、隐密性与真实性 网路安全之主要控制方法包含: (1)资料传送之相关控制措施 (2)使用者帐户之管理 (3)防火墙之架设 电脑化资讯系统之应用控制 目的:合理保证该应用系统之之输入、处理、输出之正确性与完整性 应用系统薄弱，可能导致输出资讯错误 ，造成管理决策失当，而影响企业营运 一般而言，应用控制可区分为: (1)输入控制(input controls) (2)处理控制(processing controls) (3)输出控制(output controls) 应用控制- 输入控制 目的:合理保证输入之资料经过适当之核准、转换成机器可读之型态、及其内容之正确性与完整性 包含三种控制措施: 原始资料控制 输入验证程序 线上资料输入控制 应用控制- 输入控制:原始资料控制(一) 目的:确保输入资料之有效性、正确性、完整性 控制方法种类: (1)批次总数 (2)原始凭证检视与注记 (3)表 单连号检查 (4)重复键入 (5)检查码验证 (6)回转文件之运用 (7) 资料控制职能 应用控制- 输入控制:原始资料控制(二) 批次总数/控制总数:比对原始资料与后续处理资料间之一致性。 若前后阶段产生之批次总数不符，表示有误，应找出原因并更正 常用之批次总数: 财务总计 杂项总计 记录总计 行数总计 交叉余额加总测试 应用控制- 输入控制:原始资料控制(三) 原始凭证检视与注记: 输入资料前，先检视原始凭证是否合理与完整，是否经过适当授权。 若有任何疑问须加以厘清并排除问题后，再进行资料输入;完成输入之凭证应做适当注记;避免重复输入与处理 表单连号检查: 对於预先连续编号之表单(ex: 销货发票、订购单)，由系统检查其编号是否重复或跳号 应用控制- 输入控制:原始资料控制(四) 重复键入: 对於重要之资料要求两位人员重复输入，并做比较，以确认输入资料之正确性。 检查验证码: 为避免经过核定之代码输入错误(ex: 员工编号、客户编号)输入错误，可於代码中加入检查号码。 相关人员输入特定代码时，程式立即比对检查码是否相符;若有不符，表示输入有误，应重新输入 应用控制- 输入控制:原始资料控制(五) 回转文件之运用: 一种后来可作为交易输入文件使用之电脑输出文件，可利用机器直接读取资料，有助提高输入作业之效率与正确性。 资料控制职能: 资料控制人员收到待处理资料时，应确认其经过授权，再加以登录。 资料处理各阶段产生之控制总数，应由资料控制人员进行调节;若发生错误， 应通知相关人员更正 应用控制- 输入控制:输入验证程序(一) 可写入电脑程式，由系统自动检查输入资料之有效性与正确性。此程式称为编校程式(edit programs)，其 执行之检查称为资料编校检查(edit checks) 在批次处理之环境下，交易档中之资料整批进行编校检查;线上处理系统则逐笔编校检查，直到资料完全正确 编校检查发现之错误应存入错误日志(error log)，印出错误报表，由输入人员或使用者据以更正后，并入下一批处理。 资料控制人员应定期列印错误清单或报表，标明错误性质、发现日期及时间，作为改进输入作业之参考 应用控制- 输入控制:输入验证程序(二) 常见之输入验证程序为: 栏位检查(field check): 检查某个栏位中之资料是否符合原先定义之型态(ex: 数值、文字、日期) 上下限与范围检查(limit and range check): 根据已知资料上之上下限，或范围进行检查(ex: 员工每月加班时数是否超过规定上限) 顺序检查(sequence check): 确认记录按照适当之顺序排序(通常用於批次处理) 符号检查(sign check): 确认特定栏位之值具有正确之符号(ex: 薪资记录之工时栏应为正值) 应用控制- 输入控制:输入验证程序(三) 有效性检查(validity check): 将输入之代号或交易代码，与已经过核定或正确代码比较，以确定其有效性 合理性测试(reasonableness check): 测试输入资料项目数值与相关主档记录之逻辑关系是否正确 复资料检查(redundant check): 利用一笔交易两个栏位确认资料之正确性 应用控制- 输入控制:线上资料输入控制(一) 使用者利用终端机或个人电脑於线上输入资料时，系统应立即检查交易资之正确性与完整性，并要求使用者马上补正 ，才能接受该笔交易资料 应用控制- 输入控制:线上资料输入控制(二) 线上输入资料除可沿用批次输入之验证程序外，应额外采下列控制方法或程序: 身份验证: 查验使用者代号与密码，以确认经过适当之授权 权限测试: 确认使用者具有输入或检视特定资料之权限 讯息提示: 给使用者明确之讯息提示，要求其依照一定之方式或顺序输入各项资料 应用控制- 输入控制:线上资料输入控制(三) 预先格式化: 连线系统为避免资料输入错误，可以透过程式设计，协助使用者输入相关资料时，就如人工作业时事先印妥之原始表格一般 完整性检查(completeness check): 确认所有资讯都已顺利传出，若有遗漏，系统会通知使用者 封闭回圈验证(closed-loop verification): 利用额外传送之相关栏位资料覆核输入资料之正确性 应用控制- 输入控制:线上资料输入控制(四) 交易资料自动输入: ex:系统系统自动产生交易日期、传票代号、员工代号等资料，以节省时间与错误 交易日志(transaction log): 详细记录每笔线上输入之交易资料(ex: 输入资料之日期、终端机代号、使用者代号、交易序号、资料内容等)。当线上输入之资料档案毁损或系统当机时，可利用交易日志重建资料档或核对交易资料内容，以快速恢复运作 错误讯息(error message): 系统应明确指出输入错误之项目，并指示应如何改正 应用控制- 处理控制(一) 目的:合理保证依照特定应用系统之要 求进行相关处理，以确保资料处理及相 关档案更新之正确性与完整性 常见之处理控制措施为: 资料更新检查: 检查资料是否久未更新，以便判断资料处理是否有误，或将悬而不用之表格删除 相关资料核对: 进行资料更新前，先比对相关资料项目，确认无误后，再进行处理(ex: 应付帐款请款前，应先核对供应商发票、采购单、验收报告单上之货品数量与金额) 应用控制- 处理控制(二) 常见之处理控制措施为: 与外部资料进行调节: 定期比对资料库之资料总数是否与存放於系统外之资料总数相符，以避免主档存放著造假或应删除之记录资料 明细帐户余额调节至统制帐户: ex: 应收帐款明细帐各客户余额加总应等於总分类帐应收帐款余额，以确定资料无误 档案转换控制: 旧档案转换成新档案架构时，应采取适当之档案转换控制措施;若发生差异，应立即找出原因加以更正 应用控制- 处理控制(三) 常见之处理控制措施为: 例外报导: 资料处理过程中发生之异常现象，应加以记录并做必要处理(ex: 存货科目资料出现贷方余额) 控制总数: 在批次处理过程中之特定时点，计算控制总数 ，并与输入阶段之控制总数核对;在连线系统中， 某个档案当天变动情形可与原始 资料核对 同步更新控制: 用以处理两个以上之程式(或使用者)於同一时间试图使用并更新同一档案或资料项目之情形(ex: 资料库系统通常会将资料存取权限设定给具较优先顺位之程式，而将其他程式暂时锁住暂停) 应用控制- 输出控制 目的:确认输出资讯、表单及文件之完整性与正确性，并送交授权人员使用与保管，以维持资讯之安全 资料控制职能应先检视所有输出之合理性及格式是否恰当，并调节相对应之输出与输入控制总数，以确认资料已经过完整、正确之处理;再者，资料控制职能应将输出之报表分送给经过授权之使用者，并登录於输出派送登记簿 资料处理过程中产生之错误清单，应由资料控制职能检视及查询后，再交给使用者更正，并入下一批处理 使用者收到输出之资料或表单时，应确认其是否完整与合理，并妥善地使用与保管;过期之机密性资料(ex: 客户名单、薪工登记表)，应予以销毁，以免外泄而造成组织困扰与损失 内部控制系统之建立 管理阶层体认内控制度之重要性 配合业务、财务、管理之需要 组织规划应合理、明确划分权责 建立健全会计制度 建立员工甄选、任用、升迁、培训等人事制度 设置内部稽核人员，协助管理阶层调查、评估 内控制度 内部控制系统之了解 内部控制问卷 流程图 叙述性之备忘录 内部控制声明书 对象:公开发行公司 程序:每年自行检查内控制度设计及执行之有 效性 时间:每会计年度终了后四个月内於证期局网 站公告申报，并刊登於年报与公开说明 书 依据:公开发行公司建立内部控制制度处理准 则(92.12.18修正) 会计师专案审查 对象:公开发行公司 目的:使利害关系人了解公司之内控制度设计 及执行是否有效 审查范围:以受查公司与财务报导及保障资产安全有 关之内控制度 审查意见:无保留意见(一) 、无保留意见(二)、否定 意见、保留意见、无法表示意见 审查报告日期:外勤工作结束日 依据:公开发行公司建立内部控制制度处理准则 (92.12.18 修正) 自我控制评估 定义:各营运单位之管理阶层负责内控设计执行及风险评估 方式:(1)研讨会(由与会者坦诚对控制与风险问题提出检讨) (2)问卷调查 效果:(1)稽核人员完成对控制之评估 (2)被稽核者了解控制目的 (3)管理阶层主动负责维护良好之控制环境 (4)流程改善问题被辨识并加以解决 流程:(a)取得管理阶层承诺与支持 (b)适当之规划 (c)进行研讨会 (d)报告研讨会之结果 (e)提出行动计画 内部控制之威胁与限制 成本效益之考量 先天性限制: (1)人性 (2)交易复杂性 (3)环境变迁性