Download
1 / 41
480 likes | 924 Views
電腦審計概念. 勤業會計師事務所 余裕民 CISA,BS7799 Lead Auditor e - mail: davidyu@tw.deloitte.com 民國九十二年一月八日. 企業風險顧問組 (ERS) 的簡介. 科技風險顧問服務( TRC) : Technology Risk Consulting 企業流程風險顧問服務( BPRC) : Business Process Risk Consulting 財務與金融商品風險顧問服務( FCRC): Financial And Commodity Risk Consulting. 技術與營運策略諮詢服務
E N D
電腦審計概念 勤業會計師事務所 余裕民 CISA,BS7799 Lead Auditor e-mail:davidyu@tw.deloitte.com 民國九十二年一月八日
企業風險顧問組(ERS)的簡介 • 科技風險顧問服務(TRC) : Technology Risk Consulting • 企業流程風險顧問服務(BPRC) : Business Process Risk Consulting • 財務與金融商品風險顧問服務(FCRC): Financial And Commodity Risk Consulting
技術與營運策略諮詢服務 應用系統風險管理服務 資訊基礎架構資源管理服務 企業資訊安全管理體系建置服務 電子商務風險管理服務 科技風險顧問服務(TRC)
資訊處理及科技風險 真確性風險 存取風險 可用性風險 基礎架構風險 攸關性風險 資訊處理及科技風險 環 境 風 險 流 程 風 險 決 策 資 訊 風 險
真確性風險 • 真確性風險係指由於資料於輸入、處理、輸出、及儲存的過程中由於缺乏良好的控管所造成的資料不完整、不正確、及未經授權取存而導致資料的不可信賴,其來源又可分為下列項目 : • 使用者界面 • 處理程序 • 錯誤的處理程序 • 界面
存取風險 • 存取風險包括資訊、資料及程式存取被不適當核准或拒絕。資訊存取的風險是全面性的,亦即包括因任何目的而取得的資訊(如:讀取、複製)。資訊及資料存取風險之成因可能如下: • 員工未接受適當訓練、或未具備適當資格 • 溝通不良和監督不當 • 不良的管理流程 • 系統設計不良
可用性風險 • 可用性風險即當需要資訊時,無法及時取得的風險,包括 • 通訊中斷所產生的損失(例如:纜線切斷、電話系統斷線、衛星斷訊) • 處理資訊的基本能力之喪失(例如:火災、水災、斷電) • 操作上的困難(例如:磁碟機故障、操作人員失誤) • 惡意破壞、怠工、車禍
基礎架構風險 • 該風險係因組織未能建構有效率的資訊科技基礎架構(如硬體、網路、軟體、人員及流程)在有效率、顧及成本效益、及控制良好的模式下,支援組織現有或未來的需求 • 此風險通常發生於下列主要的資訊科技處理程序: • 組織規劃 • 應用系統的定義與配置 • 電腦及網路操作 • 資料及資料庫管理
攸關性風險 • 攸關性風險係指該資訊與蒐集、維護與傳達資訊之目的無關,該風險係與應用系統所產生或彙總資訊之有用性與時效性有關 。此風險之發生主要係因未充分了解資訊需求及缺乏對時效性的注意。 • 攸關性風險成因如下: • 未充分了解組織的資訊需求(通常係發生於系統設計階段) • 於初步資訊系統設計完成後,對於組織資訊需求之發展性質,未能認知及預作準備 • 未能認知資訊的“時間價值”
影響企業內的受保護的資訊資源 營運流程與服務 員工 實體設備 文件資訊 資訊硬體設備 資訊軟體
資訊安全管理系統之範圍 安全組織 永續營運管理 資訊財產 分類與控管 法令規章 之遵循 安全政策 系統發展 與維護 人員安全 高度互動與溝通 系統取存控制 實體與 環境安全 電腦與網路
管理推廣 稽核與監控 策略與政策 資訊 技術解決方案與架構 資訊處理及科技風險 作業流程 應用系統 真確性風險 存取風險 可用性風險 基礎架構風險 攸關性風險 資料管理 作業平台 網路 實體控管 資訊安全評估範圍 • 安全管理設計包含各技術層面對資訊之保護及存取管控以降低資訊處理及科技之風險 • 資訊安全政策之建立 • 使用者管理 • 實體安全管理 • 邏輯安全控制
資訊處理控制 • 著重於財務報告審計 • 目的在於降低資訊作業之風險有效管理殘餘風險 • 資訊技術基礎架構控制(一般控制) • 對電子計算機資料處理整體環境皆有影響之控制,其作用為在為工作之執行提供標準與指引。 • 應用系統真確性(應用控制) • 與個別應用系統之處理、與運作有關,目的在為資料之記錄、處理及報告之適當性提供合理的保證。
General Controls • Organization and Operations • Systems Development and Documentation controls • Hardware and system software controls • Access controls • Data and procedural controls
Application Controls • Input controls • Processing controls • Output controls
Organization and Operations IT 功能職責劃分 • 職能分工 • 年度計劃高層核准
Systems Development controls • 用於新增及修改系統 • 各部門代表參與系統設計 • 覆核及核准書面規格 • 共同測試驗收 • 系統確認核准過方可置於正式運作區 • 程式增修前要通過核准
系統開發及程式修改之控制 • 委外管理或自行開發 • 系統發展生命週期 • 系統開發及程式修改作業之程序及管理 可行性研究 系統分析 系統開發 系統導入 系統設計
Systems Documentation controls • 用於覆核系統、訓練使用者、維護系統及瞭解系統 • 系統程式描述及流程圖 • 電腦操作之操作指令 • 使用者及作業員的控制程序 • 輸出入之描述及樣本
Hardware and system software controls • 用於偵測設備之錯誤發生 • 其控制之分類: • Dual read • Parity check • Echo Check • Read after write
Access controls • 防止IT設備、資料檔及電腦程式未經授權存取 • 包括實體、軟體及程序安全防護
Data and procedural controls • 提供一個控制日常電腦操作、降低處理錯誤發生可能性、並確保系統持續運作的架構。 • 接受及審查即將處理的資料 • 處理所有輸入資料 • 追蹤調查處理錯誤 • 驗證輸出資料及適當的分送 • 檔案程式及文件之異地儲存 • 實體保護以防環境危害 • 正式記錄之保存及資料之恢復計劃 • 異地備援設備的安排
Input controls • 確保收到資料經適當授權並轉換成電腦可用的形式 • 授權與核准 • 輸入資料的轉換 • 驗證控制 • 電腦編審 • 資料遺失檢測 • 有效字元檢測 • 限制或合理性檢測 • 有效符號檢測 • 有效代碼檢測 • 檢查碼檢測 • 錯誤更正
Processing controls • 提供資料適當處理保證避免疏漏或重複 • 總數控制 • 檔案辨識標籤 • 限制性及合理檢測 • 前後報告比較 • 順序檢測 • 處理追蹤性資料
Output controls • 確保電腦處理結果是正確完整的 • 總數一致性 • 原始文件比較 • 視覺審查
Flowcharts • 使用標準化符號、連繫雙方之流程線及描述參與整個會計系統處理資訊歩驟之註解的一種概要圖示 • 從交易的起始至彙總於總帳系統的交易流程 • 包含於流程圖中的主要功能 • 文件化的審計軌跡 • 會計系統所產生的主要報告 • 儲存資訊的程式及檔案
Decision tables • 將電腦程式之邏輯文件化的一種矩陣 • 有系統地分析程式邏輯並容易設計控制之測試 • 三個主要組成元素: • (會計交易)狀況 • (電腦程式採取的)處理 • 決策規則(決定符合狀況所應對應之處理)
辨認風險 辨認控制 應用系統ERP安全控管架構 MANAGEMENT 降低客戶風險 了解資訊環境 管理當局 提昇營運效率 了解作業系統 建置管理機制 了解職能分工 Operation Activities 營運活動 People Procedure System 人員 作業程序 資訊系統 Job Assigned Business Flow Business Requirement 提出建議 權責 作業流程 作業需求 Responsibility Control Setup 系統權限 流程控制 參數設定 Human Control System Control 人工控制 系統控制 風險與控制核量 評估風險
電腦稽核之步驟 • 初步瞭解電腦處理環境及控制環境 • 評估風險及查核重點 • 一般控制查核 • 應用控制查核 • 證實性查核
評估風險及決定查核重點 • 年度查核之重要風險指標 • 資訊處理環境之複雜程度 • 重要組織變動 • 引進新的資訊技術與系統 • 發生重大異常事件 • 風險評估 • 風險發生之機率 • 風險之影響
風險主要組成因子 風險 = 資產價值 弱點 威脅
資產價值 (Asset values) • 組織必須確定所有資產的價值 • 判定有效安全策略的第一步就是決定每種資產的價值 • 確定資產價值是風險評等中重要的基礎
弱點 (Vulnerabilities) • 組織中的資訊安全缺點或漏洞 • 本身不會引起損害 • 若不能有效管控弱點,則威脅就會利用這些弱點而對安全造成損害 • 通常是因為疏失或本身限制所致,例: - 實體環境:未上鎖的門、電力供應不穩定等 - 技術因素:未安裝防火牆、未安裝防毒軟體等 - 安全意識:缺乏安全警覺性、安全訓練不足等
威脅 (Threats) • 意圖造成損害、煩惱、痛苦或不安的聲明 • 可能產生非預期的情況而對所有任何的資產造成損害 • 威脅往會利用資產的若干弱點來達成目的 • 威脅種類有蓄意、偶然、人為或天然等,例: - 天然災害:地震、火災、水災等 - 人為因素:操作不當、維護失誤、人力不足等 - 技術裝置:硬體故障、流量超載、網路故障等
風險評等方法 • 風險評等的步驟為: 找出組織所有重要的資產 確認各項資產可能的弱點與威脅 決定各項資產的風險等級 • 根據組織資訊安全政策及所需保證等級來確定必須執行管控的風險有哪些?
安全管理與風險關係 利用 威脅 弱點 可能有 減除 增加 增加 資產 風險 控制 減少 增加 指出 具有 實作 資產價值 安全需求 影響 對企業潛在的衝擊
公開發行公司建立內部控制制度處理準則(有關使用電腦化資訊處理作業除資訊部門與使用者部門權責之劃分)公開發行公司建立內部控制制度處理準則(有關使用電腦化資訊處理作業除資訊部門與使用者部門權責之劃分) • 一、資訊處理部門之功能及職責劃分。 • 二、系統開發及程式修改之控制。 • 三、編製系統文書之控制。 • 四、程式及資料之存取控制。 • 五、資料輸出入之控制。 (應用控制) • 六、資料處理之控制。 (應用控制) • 七、檔案及設備之安全控制。 • 八、硬體及系統軟體之購置、使用及維護之控制。 • 九、系統復原計畫制度及測試程序之控制。 • 十、資通安全檢查之控制。 • 十一、向本會指定網站進行公開資訊申報相關作業之控制。
系統復原計畫制度及測試程序之控制 • 系統復原管理辦法 • 災害狀況及影響範圍之評估 • 各狀況之解決方案及其復原程序 • 人工之替代程序 • 系統復原管理辦法測試
資通安全檢查之控制 • 資訊安全政策及資訊資產分類 • E-mail、網站的安全及防毒措施 • 資料或軟體資訊交換 • 網路傳輸資料的安全 • 資料的加密機制 • 保護資料在公共網路傳輸的完整性及機密性 • 防火牆之建置 • 資訊安全事件的正式通報程序及管道
向本會指定網站進行公開資訊申報相關作業之控制向本會指定網站進行公開資訊申報相關作業之控制 • 公司之帳號、密碼及電子憑證之保管 • 確保主管機關規定應公告申報各項資訊之正確性、完整性及有效性
