【毕业学位论文】（Word原稿）国内电脑稽核环境现况研究-信息管理学

国内电脑稽核环境现况研究 黄明达 淡江大学资讯管理系副教授 令娟 淡江大学资讯管理系研究生 082850 要 由于近年来政府推动商业自动化政策，鼓励企业电脑化及大力推展电子化政府，我国工商企业使用电脑有随企业规模扩大而增加的趋势，企业电脑化虽提供快速、有效率及一致性的效益，但其隐含错误或舞弊的风险亦比人工作业处理更加复杂，为确保控制系统的正常运作，企业亦需建立健全的稽核制度。本研究有鉴于电脑稽核日益重要，但甚少有关电脑稽核人员应如何进行稽核工作的相关研究，因此本研究以现有的文献为基础，尝试发展出一份适用于国内一般组织的电脑稽核检查表，一方面提供稽核人员在执行实地稽核查访时的参考，稍减稽核人员不知从何开始与不知应查核那些项目的困扰；另一方面亦提供给组织内的资讯部门用以自行检查与评估其现有安全控管措施的执行状况。此外，并根据调查资料之统计结果将电脑稽核执行程度分为三等级，同时分析各等级可能会有的风险与改善现况的建议。 关键字：电脑稽核、电脑辅助稽核技术、检查表、风险分析 s of of on it or a in us it is be It is to an to of in to DP In a to in be by It of 、 前言 一、 例如 (一 ) 例如 电脑稽核 (搜集与评估证据 (以确认电脑系统是否足以保护企业资产、维护资料的完整性、有效的达到公司目标，以及有效率的使用公司资源的82850 过程 21。 由于近年来政府推动商业自动化政策，鼓励企业电脑化及大力推展电子化政府， 87年 6 月底我国工商企业使用电脑普及率达 2。企业电脑化虽提供快速、有效率及一致性的效益，但其隐含错误或舞弊的风险亦比人工作业处理更加复杂，为确保控制系统的正常运作，企业亦需建立健全的稽核制度 18。基于下列 因素而引发本研究动机： 有鉴于电脑稽核日益重要，但目前国内有关电脑稽核的相关研究很少，而且大多为探讨电脑辅助稽核技术的使用情况 3, 15, 18, 20，甚少有关电脑稽核人员应如何进行稽核工作的相关研究。 在多篇文献中均提及国内十分缺乏电脑稽核专才与电脑稽核专业训练 4, 5, 8, 13, 14, 17，同时研究显示，我国内部稽核人员之电脑稽核能力均显著低于理想化标准 17。稽核人员往往因对于电脑系统及资讯作业特性不了解，以及缺少一套较严谨的查核程序及方式，以致对电脑稽核不知从何开始进行查核较 妥切 11。 至 87 年 6 月底我国工商企业平均每千名员工拥有 309 台个人电脑，使用电脑普及率有随企业规模扩大而增加的趋势 2。因此，经访谈了解许多企业希望能在资讯系统安全方面能做自我评估，以了解企业本身安全控管措施的执行程度。 本研究希望能达成下列三项目的： 希望发展出一份适用于一般组织的电脑稽核检查表，以提供稽核人员在执行实地稽核查访时的参考，稍减稽核人员不知从何开始与不知应查核那些项目的困扰。 希望能提供电脑稽核检查表给组织内的资讯部门，用以自行检查与评估其现有安全控管措施的执行状况，将来各组织以此 检查表做自我评估时，可了解本身的执行程度与需要加强之处。 希望能藉此研究将国内一般组织目前的执行程度加以分类，订出等级的参考标准，让各组织在做自我评估时，亦能将本身的执行程度与其他组织做一比较。 本研究范围系针对公司 (单位 )内部资讯部门与电脑机房的安全控管现况做调查，特别是针对机房环境、电脑安全、区域网路、资料库管理系统与系统发展等五部分，所以资讯外包、线上处理或网际网路 等部分并未列入本次研究中。 在本研究范围内，为顾及研究项目的完整性，以致问卷内容在尽量精简之后仍颇多，如此将会大大影响受调查者的填答意愿 ，碍于现况的考量，为提高问卷回收率，因此并未以较具代表性的 1000 大企业为研究对象，而是以会员主要为资讯主管或电脑稽核人员（以上二者为本研究问卷的填答对象）的电脑稽核协会、资讯经理人协会、以及资讯应用发展协会等会员为主要寄发问卷的对象，如此样本虽稍有偏颇，但也已具有相当的代表性，所以本研究对象包括了政府机构、公营事业单位及一般民营企业。 貳、 文献探讨 目前有关电脑稽核方面的研究并不多，相关文献已整理于表一。在电脑辅助稽核技术方面的研究 3, 12, 15, 20，大多为探讨如何利用电脑辅助稽核技术协 助稽核工作，以及此技术的使用情况。 在内部稽核的相关研究中，与电脑稽核相关的主题，有探讨内部稽核人员是否适任电脑稽核工作 17，或探讨内部稽核人员从事电脑稽核工作之情况 18。 有关电脑稽核检查表的相关文献中，国内电脑作业稽核准则 10一书是为协助各金融机构之稽核单位人员进行电脑稽核工作而编写的手册，但其内容系完全针对金 表一 电脑稽核相关研究 篇 名 作者年份 出版单位或期刊 内 容 简 述 电 脑 稽 核 检 查 表 . 1972 织的电脑设备与资讯系统的安全稽核与评估，是可以快速、有效率又经济的方式执行的，本书就提供了一份实际可行的、低成本的稽核检查表，共分人事、实体、资料文件与程式、操作、备份、系统发展、保险、安全程式等八部分。 25 9921997 一系列的稽核检查表 ， 包括 ： 电脑中心稽核检查表、微电脑稽核与安全检查表、区域网路稽核与安全检查表、资料库管理系统检查表与系统发展专案稽核检查表。 28a . 1997 年来，大部分的问卷所犯的共同错误就是问题的型式仅需以简单的答即可。一份好的稽 核检查表，应是除了 答案外，尚可从中得到一些有意义的资讯，文中并举例说明如何将传统 态的问卷改成叙述式的问题。 33 电脑作业稽核准则 财政部金融资讯规划设计小组 1989 金融人员研究训练中心丛书 为协助各金融机构之稽核单位人员进行电脑稽核，本手册以问卷形式提示内部控制之需求，以协助稽核人员在进行查核时，可认定及评估资讯系统之管制措施，作为其进一步调查、分析并作成报告之依据；也提示稽核人员由稽核计画之制定至稽核报告作成的某些要点，以及电脑稽核建制之指引参考。 10 电 脑 稽 核 与 电 脑 安 全 1996 篇概要说明电脑稽核人员应该参与系统发展专案的目的，以及参与过程中应如何参与、如何执行工作、如何提出一份适切的意见报告予管理者，最后汇整出专案的每一阶段应执行的稽核工作重点。 21 A 997 荷兰，除了外部稽核公司之外，银行业是 核人员的最大顾主。本篇论文系描述 1994 年所做的一份有关荷兰银行业 核部门的人数(工作 (调查结果，该调查之目的是希望能指出 核部门人数 (工作 (标准规范 27 . . 1997 料处理操作面的稽核是用以评估资料处理作业的执行是否有效率的方法。本篇主要在介绍资料处理系统操作稽核的特性，以及稽核阶段中初步的准备、初步的调查、以及细部的稽核与检查等三阶段。 26 T 1998 前在组织中有设立 全部门者还很少，因此有关如何稽核 全部门的资讯或经验也非常少。本研究中介绍了目前 全部门的职责与角色，以及稽核人员应该要了解的三项较重要的 全作业： ”、 ”风险的评估、分析与管理 ”和 ”训练、教育与自觉 ”，也探讨 ”以成本效益的观点来检视与稽核 全部门 ”。 24 1998 容包括电脑稽核师证照考试需知，以及资讯系统的稽核标准、安全和控制实务、组织与管理、完整机密与可用性、发展取得与维謢等部分。 23 行业电脑内部控制系统和电脑稽核之研究 欧阳雯 1985 淡江大学资讯工程研究所硕士论文 根据台湾当时银行的作业环境及作业型态，尝试以系统的观点，整合管理科学和电脑技术，提出一套适用于台湾地区银行业之电脑内部控制架构与电脑稽核方法，作为银行决策管理者及内部稽核人员在执行其控制功能时的指南。 19 以电脑化稽核作业增强资讯系统整体安全之研究 林国桢 1987 清华大学计算机管理决策研究所硕士论 文 根据国内目前资料系统作业环境及作业型态，尝试以系统之观点，整合计算机、管理、快速之技术，提出一套适用于国内金融业界资讯系统内部控制架构及电脑稽核方法，作为企业决策管理者及内部稽核人员在执行其控制功能时之指南。 9 资讯系统稽核控制架构建立的探讨 赵时勤 1992 中兴大学企管研究所硕士论文 建立一电脑化资讯系统之稽核控制架构。由预防、侦测、更正三方面探讨资讯系统在设计阶段所应具备之内涵；在处理阶段所应具备之控制程序；以及资讯作业环境的管理控制和安全措施。资讯部门可循此架构，作为提升资讯系统品质 ；订定标准作业程序；改善作业环境之参考。 16 银行业电脑安全控管政策之研究 林黛卿 1992 台湾大学会计研究所硕士论文 本研究旨在调查目前银行业者实施电脑安全控管的现况及针对银行业的作业型态提出安全防范重点。此外亦调查银行业目前在电脑化作业之下，电脑稽核的因应之道及电脑辅助稽核技术使用情况及可能遭遇的问题。 7 电 脑 辅 助 稽 核 台湾会计师界使用电脑辅助审计技术之研究 苏裕惠 1991台湾大学商学研究所硕士论文 探讨我国目前会计师界如何因应企业电脑化之趋势，其使用电脑辅助审计技术之状况 ，以及其使用与不使用之原因。 20 台湾企业内部稽核人员使用电脑辅助审计技术之研究 张俊文 1993 成功大学企管研究所硕士论文 从内部审计的观点，探讨目前我国企业内部稽核职能如何因应企业电脑化趋势，及使用电脑辅助审计技术之状况。 15 利用资讯技术协助金融机构之管理稽核 李美慧 1997成功大学会计研究所硕士论文 探讨如何利用资讯技术模组化金融机构之管理稽核程序，了解通用审计软体其多项功能与优点。 3 内部稽核 我国国营事业与民营企业电脑内部稽核之研究 刘盈栾 1994 政治大学会计研究 所硕士论文 先明了国营事业与民营企业资讯部门及内部稽核制度，之后再介绍其使用电脑稽核之实施现况，并评估其相关问题。研究结论包括企业内部实行电脑稽核情况并不普遍，稽核人员的学历将影响其对稽核技术的熟悉度 等。 18 我国内部稽核人员稽核电脑化系统之适任性及影响其适任性之因素 刘佳宜 1997 成功大学会计研究所硕士论文 探讨资讯科技对内部稽核人员电脑稽核能力之影响，以及影响内部稽核人员运用电脑稽核能力之相关因素。 17 融机构的营业单位与资讯单位的电脑作业而设计，并不适用于其他行业，且距今已十余年 ，也已不符合现况。国外早于 1972 年就有 ” (简称 25一书是有关电脑稽核检查表的设计，但因年代过于久远，当时之电脑环境与现今已完全不同。美国资讯系统稽核与控制协会 (称 也有针对资讯系统稽核出版书籍 23，但内容 主要为理论上的叙述，对于应稽核的内容仅条列式的列出一些重点。美国 练机构 (出版的“稽核与安全检查表系列” 28因系针对美国国情而设计，并不适合直接套用于国内。 综合以上所言，国内目前甚少有探讨电脑稽核人员应如何进行稽核工作的相关研究，因此本研究希望在参考前述文献后，能发展出一份适用于国内一般组织的电脑稽核检查表。 參、 研究设计 本研究系采用资料搜集方法中的调查研究法 (选用自填式问卷邮寄调查方式 1, 22。研究 的过程依序为：文献探讨、订定研究主题、设计电脑稽核检查表、访谈征询专家意见、修订电脑稽核检查表、进行问卷调查、统计与分析结果、以及研究结论与建议。 本研究之问卷架构系以美国 核与安全检查表系列” 28设计基础，内容则参考多篇国内外文献 10, 23, 25, 2833编写而成，与“稽核与安全检查表系列”相比较，在内容上具有下列不同的特点： 该问卷仅为 问题，所得资讯有限；本问卷则是每一题目都用数个项目来描述该题目所可能会有的各种答案，若无适当的选项， 亦可于其他一栏中说明，所以内容具有描述性。 该问卷题目叙述较粗略，若填答者仅部分有执行但部分未执行，则会造成填答上的困扰与偏差；本问卷的设计已尽可能将各种情况单独列出，较无此问题。 由于本问卷的问题都经过分门别类，每一题目的内容也已用数个项目加以详尽叙述，所以可以衡量出各题目或各类别的执行程度，而该问卷的设计并无法衡量各题目的执行程度。 本问卷在寄发前已经过多次的预试与修改，并请数位专家试填后提供意见，以增加内容的效度。问卷的填答大多数为复选题，填答者在问卷上直接勾选适当之答案即可，若无适当之选项亦可于 其他一栏中说明，如此则可减少填答者的负担，缩短其答题与思考的时间。测量尺度多采用名目尺度 (1。调查时间约自 87 年 12 月10 日至 88 年 1 月 10 日，共寄发 267 份问卷，回收 77 份，回收率为 肆、 资料分析 一、 基本资料分析 基本资料分析的部分主要的统计结果如下： 由表二与表三中可看出高阶主管对资讯部门与电脑稽核工作的重视程度略有差异，可能是因为资讯部门所带给公司 (单位 )的好处或利益大多是明显可见的，而电脑稽核工作的贡献主要为防弊，无法直接创造利润，因此高阶主管较不易明显 感受到其重要性。但表三中所显示的高阶主管对电脑稽核工作的重视程度，与表五中高阶主管不支持此一因素仅占 结果是很一致的。 表二 高阶主管对资讯部门的重视程度 项 目 样本数 百分比 非常重视 31 视 34 通 11 重视 1 常不重视 0 0 表四 电脑灾害发生的原因 项 目 样本数 百分比 机件故障 25 为疏失 10 然灾害 7 意破坏 1 表四中可看出电脑灾害发生 的原因主要为机件故障与人为疏失，但这二项原因是可以透过平日良好的控管措施加以预防而降低其发生机率的。另外，目前虽仅一家有遭蓄意破坏的经验，但由于一般蓄意破坏是为了恶意性的报复，所以也往往会造成重大的损失，不可不加以重视。 表五中缺乏专业技术、资讯环境变动太快、专业人才不足等三项为电脑稽核工作所遭遇的最大困难，这与许多专家学者所提及国内十分缺乏电脑稽核专才与电脑稽核专业训练 4, 5, 8, 13, 14, 17此一论点不谋而合。 基本资料分析的其他统计结果简述如下： 本次问卷调查回收的问卷中，以国人 投资公司占 61%为最多，其次依序是外商公司13%、公营事业 政府机构与中外合资公司各占 行业别是以制造业 (与金融、保险及不动产业 (为主，其次是工商服务业 (。平均每年营业额 (政府机构除外 )则是以 31 亿以上的占 最多，其次是 11占 1与 21各占 6占 及 1 亿以下占 在 77 份问卷中有 公司 (单位 )已利用电脑处理资讯达 11 年以上，其次为 6其余也至少都有 1 年以上利用电脑处理资讯的经验。 资讯部门之人数以 21 人以上者稍多占 1、 6、 11则各占约 20%。 公司 (单位 )中已设有电脑稽核此项职务者，负责该职务的人数有 1， 3， 6 人以上。设立时间是以 1为最多占 其次为 6的占 未满一年与 11 年以上者各占 但目前仍有 公司 (单位 )是尚未有人员负责电脑稽核工作的。 由前几项统计资 料得知，有 公司 (单位 )已利用电脑处理资讯达 6 年以上， 公司 (单位 ) 有负责电脑稽核工作的人员，再配合设立电脑稽核职务时间的比率资料来推论，近几年已注意到电脑稽核重要性的公司，有逐渐增加的趋势。 负责电脑稽核的人员在组织中以隶属于稽核室 (、总经理 (或相当 )之主管(、以及电脑部门 (25%)三者为最多，隶属于会计或财务部门者则占 但隶属于电脑部门的电脑稽核人员其独立性会较有争议。 曾经发生造成损失的电脑灾害次数中以未曾发生者最多占 其次为 1表三 高阶主管对电脑稽核工作的重视程度 项 目 样本数 百分比 非常重视 15 视 27 通 24 重视 2 常不重视 1 清楚 7 五 电脑稽核工作所遭遇的最大困难 项 目 样本数 百分比 缺乏专业技术 31 讯环境变动太快 20 业人才不足 19 部员工不配合 8 费不足 6 阶主管不支持 5 清楚 2 的占 3占 6 次以上者最少占 在曾经发生电脑灾害的公司 (单位 )中，有 37%认为其影响程度严重或非常严重， 为还好， 为并不严重。 填答者的职位主要是资讯主管占 其他尚有一般资讯人员 (、一般稽核人员 (、 (电脑 )稽核主管 (以及高级专员 (。 二、 电脑稽核环境现况分析 本研究问卷的架构，除基本资料之外，共由五项构面去调查国内电脑稽核环境的现况，虽然每一稽核项目的调查结果都有助于我们了解国内的现况，但限于篇 幅，所以在此仅列出主要的发现， 详细的调查结果请至网站（网址 :查看完整之论文内容。 主要的发现有下列数点： 在机房实体安全的部分仍有需要加强之处：从现行的安全控制措施执行率低于 20%的项目中可发现，大部分的公司 (单位 )在机房门口未设置管制站或管制人员、对信件或包裹的传送未加以管理、对机房相邻的区域没有管控以及缺乏人员避难时的疏散计画，这些都是可以再改进的部分。 大部分的公司 (单位 )都并未执行强迫休假制度：未执行此一制度者占 推测是因为大部分目前尚未遭遇人为 的蓄意破坏 (表四 )，所以并不觉得此一制度的重要，但许多的人为弊案都不是在做案当时被发现的，而往往是在追查其他事件时才被揭发，因此隐含有“人为弊案不易被察觉”的风险。 对灾难意外事故复原计划未确实重视：由于大部分的公司 (单位 )都并未不定期开会检视复原计划中参与人员的职责，也没有将复原计划书送与每位应参与的人员或对其做测试，所以大多祇是限于书面形式。 部分硬体替代方案忽略地理位置的考量：虽然统计资料显示 公司 (单位 )有硬体替代方案，但其中却有 硬体替代方案是与目前的电脑机房位于同一栋建筑物 中，对这些公司 (单位 )而言，若该建筑物发生火灾、地震倒塌或断水断电等情况时，其替代方案是很有可能同时被波及的，因此并不是很适合做为替代方案。 大多数认为现行的硬体替代方案可以符合公司 (单位 )的需求：在三种硬体替代方案中，选择“由厂商负责提供”者占 最多，其次是“自行准备备用设备”占 可能是因为由厂商提供可免去另备空间、硬体维护等麻烦。仅 11%的填答者认为以硬体替代方案接续作业所需的前置时间并不符合公司 (单位 )的需求，其他都认为尚可或符合需求。 对拨接连线的安全控制措施应再加强：在区域网 路的管制措施方面，相较之下，以对拨接连线的安全控制措施做的较少，大多仅透过对电话号码的管制与授权使用做管制，却没有在使用者上线时再加以确认身份或加以控管。 不重视资料字典的建立与使用程序：仅约 公司 (单位 )对资料字典有保管与确定完整的程序，以及可由系统自动将资料项目的属性编制成文件。因此，资料字典的建立过程就可能会发生项目遗漏、不一致或重复等问题。此外，也仅有 资料字典的使用有说明文件。 缺乏在系统发展时即放入稽核常式的观念：而会在系统发展过 程中就决定要使用的稽核常式与使用方式者也仅 但俗话说：预防胜于治疗，未事先考虑稽核问题，将增加日后查核该系统的复杂度。 三、 电脑稽核等级 在调查了七十七家的电脑稽核环境现况后，为便于一般公司 (单位 )在执行自我评估时能有等级做参考与比较，于是将所有样本依据其填答结果之总得分率高低，以百分比法均分成 A、 B、 C 三等级，使每一等级之样本数各占约 1/3，结果如表六。得分率之计算方式请参看自我评估的部分。由于等级参考表系根据本次问卷调查的样本填答结果所订定，将来随着时间与样本的变更可能会有变动，但在现阶段仍 具有参考价值。 表六 电脑稽核等级参考表 等级 样本数 平均 (%) 最大值 (%) 最小值 (%) A 级 25 级 26 级 26 、 交叉分析 为能更深入了解稽核等级与相关因素之间的关联性，因此进行交叉分析 (卡方检定 )。基本资料与稽核等级交叉分析的结果，仅负责电脑稽核工作的人数一项有达显著水准 (p=如表七，也就是负责电脑稽核工作的人数与所获得的稽核等级是有相关性的。 表七 负责电脑稽核工作的人数与稽核等级交叉表 卡方值： 核 等 级 小计 p 值： A B C 0 人 样本数 7 6 14 27 百分比 样本数 7 18 8 33 百分比 样本数 7 2 1 10 百分比 人以上 样本数 1 0 1 2 百分比 计 样本数 22 26 24 72 百分比 *p = 了要了解稽核项目与等级的相关性，我们先检定问卷五个构面与等级之间的关联性，检定结果如表八，不同的等级在五项构面上的回答结果是有显著差异的。 表八 五项构面与稽核等级交叉表 构 面 卡方值 p 值 机房环境的控制措施 电脑安全的控制措施 区域网路 (通讯 )的管制措施 资料库管理系统的 管控 系统发展的管控 *p = 确定不同的等级在五项构面上的回答结果是有显著差异之后，为能更了解详细的差异项目，于是将稽核等级分成 组，分别与五项构面共 363 项之稽核项 表九 稽核项目与 级交叉表 稽 核 项 目 卡方值 p 值 机房环境的控制措施 经常查看确认走廊通道上无妨碍逃生的障碍物 梯间有防火门相隔 自动灭火系统或可供消防队使用的储备水源 监控系统或警报系统会进行定期或不定期检查或测试 紧急照明设备会进行定期或不定期检查或测试 急电话可直接拨外线，不需透过内部交换机 有足够可用的紧急照明设备 楚地标示紧急出口的方向 求应征者对其所填写之资料出具证明文件 动调查应征者之信用状况 认已适当的处理离职人员的薪津资料 电脑操作的控制包括工作 (新执行或启动程序 日会检视例外报表 检视与电脑操作相关的记录或文件时，会确认工作 (重新执行 (启动 )程序可以从中断处开始继续执行 案储存柜或保管室在不使用时一律上锁 份的措施包括已建立各种不同的应用软体执行时的优先顺序 电脑安全的控制措施 当硬碟上的档案有更改时，也会更新备份的资料 区域网路 (通讯 )的管制措施 区域网路的政策中有明订使用者对于网路相关的软硬体维护与安全应负的义务 时更新现有区域网路相关软体的清单 获授权者可使用拨接连线 网路硬体发生故障时，可快速的取得零件更换 资料库管理系统的管控 资料库管理人员会参与规划软体支援或与资料库管理系统有相关的短程与长程计划 料库管理人员的职责包括检视、测试、评估和认可系统与 程式，以及会涉及资料库存取的程式更改 料库管理人员的职责包括检视资料库管理系统，以确定可侦测到未经授权的更改 料库管理人员的职责包括对未经授权的、无效的或有问题的事件主动调查 格禁止资料库管理人员在没有使用单位的同意与控制下输入应用程式或是输入使用者交易 料库管理系统对资料库所作的建立、更新、读取、删除等存取动作都有记录 料库管理系统或其他软体对系统软体能提供适当 地认证 料库管理系统或其他软体对应用程式能提供适当地认证 料库管理系统或其他软体对交易能提供适当地认证 使用者参与决定资料库管理系统的功能与特性 有对运作中的资料库应用软体系统和程序的更改，必需提出书面申请并得到许可 系统发展的管控 有订定阶段性之系统验收标准 可行性分析阶段会确认可行性研究结果报告经管理指导委员会、相关部门主管认可 部设计与程式撰写阶段会检视系统开发标准手册 执行阶段会检视系统的排程与执行程序 统上线后检视操作人员错误登录的记录，以判定系统是否有潜在的问题 做交叉分析，找出每一组中二种等级在稽核项目执行上有显著差异的项目，因限于篇幅，无法将所有 p=项目一一列出，因此仅将 p 值 =项目列出， A 级与 B 级与 C 级主要的差异项目请参看表十。 A 级与 B 级主 要的差异项目可 作为 B 级拟改进安全控管措施以提升等级时的重要参考，同样地， B 级与 C 级主要的差异项目可作为 C 级拟改进提升等级时的重要参考。 表十 稽核项目与 级交叉表 稽 核 项 目 卡方值 p 值 机房环境的控制措施 对较敏感的职位有执行工作轮调 于下雨、台风、地震等天灾所可能引起的电脑损坏或资料通讯中断已有预防措施 指派人员负责所有档案的管理 订定借还档案的程序 订定编制文件的标准与程序 先印出的电脑表格若具有机密性，会特别加以保管以防止未经授权的取用 电脑安全的控制措施 在电脑的存取控制日志中，记录的资料内容包括使用那一台电脑 份的档案版本与使用中的档案版本相同 电脑硬体故障且无法于可容许的时间内修复时有硬体替代方案 替代方案来接替现有电脑作业所需的前置时间能符合公司 (单位 )的需求 资料库管理系统的管控 严格禁止资料库管理 人员在没有使用单位的同意与控制下输入应用程式或是输入使用者交易 料库管理系统或其他软体对档案记录资料能提供适当地认证 系统发展的管控 系统发展专案的成员包括专案的系统发展小组 十一 各等级风险分析表 A 级可能的风险项目 员工容易利用非上班时间舞弊 当原软体厂商关闭时，旧系统将无人可维护 员工未来较有可能成为同业竞争者 资料库管理人员容易有机会舞弊 不易发现电脑的执行效率降低 资料字典的内容容易有遗漏、不完整 电脑设备遭人为恶意破坏时，公司需自行承担损失 自行开发的系统缺乏安全控管的设计 B 级可能的风险项目 发生意外事故时，无法迅速通报与发出警告 网路硬体故障时无法快速修复，使作业延迟 发生火灾时人员逃生不易，容易造成伤亡 使用者密码易被盗用或破解 机密性资料容易经由垃圾桶被有心人士外泄 系统有潜在的问题未被发现 利用备份措施接替现有作业时容易混乱 资料库的程式或资料易被纂改 人员利用例外处理程序舞弊的机会较高 资料库管理人员容易有舞弊机会 工作中断后无法正确顺利的重新启动 新旧资料库系统无法转换或 衔接 员工容易利用非上班时间舞弊 系统发展专案得不到高阶管理者的支持 使用备份资料无法完整复原 系统手册与使用者手册不完整 发生网路相关问题时无法追究责任 在执行与资料库相关的计划时，无法顺利使用资料库 C 级可能的风险项目 内部人员舞弊不易被察觉 电脑硬体故障时作业完全停止 储存档案的媒体容易遗失或找不到要用的档案 资料库管理人员容易有舞弊机会 文件的编制格式不统一 错误使用资料库导致资料被破坏或误改 发生地震或水灾易造成设备的损坏或作业中断 新设计的程式无法取用资料库的资料 机密性的表 格容易被盗用 对可疑的存取行为或有问题的交易处理无法追查来源 使用备份资料无法完整复原 五、 风险分析 根据前一节中不同等级之间的交叉分析结果 (表九、十 )，表中的稽核项目代表较低等级中较少人执行的项目，同时再参考电脑化环境的风险 18以及资料安全威胁以及防范 6，本研究依此对 B、 C 等级相对所可能会有的风险提出了建议。 A 等级因为已是最高等级，无法以此方式做比较，所以选择在此一等级中执行率低于 20%的项目，做为其相对容易产生风险的项目。 A、 B、 C 不同等级的风险分析列于表十一。 伍、 自我评估步骤 本 研究结果之一 脑稽核检查表已放置于网路上，有兴趣者可自由下载使用。对有意做自我评估者，请参考下列自我评估步骤说明： 1. 上网至网址： 载电脑稽核检查表 ; 2. 确实依据公司 (单位 )实际状况填答：每一项目有执行者勾选是，未执行者勾选否。 3. 计算得分率：每一单项若勾选是则得 1 分、否则不计分，算出总得分后除以总答题数 (总题数减跳答题数 )即可算出得分率。 总题数： 363 可跳答题数共三题： 第壹部分、第二大题、第 1 小题题数为 5 第壹部分、第三大题、第 6 小题题数为 3 第参部分、第二大题、第 4 小题题数为 7 例外：第壹部分、第一大题的第 2 小题：访客进入电脑机房的规定，本题中谢绝访客一项若勾选是，则另二项不可勾选，并且该题以得二分计算，因为既然访客不可进入，则不需有防范措施；若勾选否，则依一般计分方式 4. 依据表六自我评估等级，再参考与前一等级之差异表 (表九、十 )，了解主要差异项目。 5. 参看各等级之风险分析表 (表十一 )，了解现阶段公司可能会有的风险，再决定是否采取改进或防范措施。 陸、 结论与建议 一、 结论 本研究结果汇总如下： 高阶主管对资讯部门的重 视程度略高于对电脑稽核工作的重视程度。 电脑稽核工作目前所遭遇的最大困难依序为：缺乏专业技术、资讯环境变动太快与专业人才不足，所以应加强电脑稽核人才的培训与提升现有人员的专业训练。 电脑灾害发生的原因主要为机件故障与人为疏失。 负责电脑稽核工作的人数与所获得的稽核等级是有相关性的，负责人数为 0 者，稽核等级为 C 级，而负责人数在 3 人以上者，则有 75%以上属于 A 级。 本研究根据问卷的调查结果与填答者之建议，在修改问卷后已完成一份适用于一般公司 (单位 )的电脑稽核检查表，且放置于网路上供有兴趣者自行下载 使用，并已于前面说明自我评估的步骤。 为便于一般公司在执行自我评估时能有等级做参考与比较，于是本研究也根据现有样本资料之统计结果订出电脑稽核等级参考表如表六。 级之间的差异表请参看表九、十，此表可提供 B 级或 C 级拟提升等级时 的重要参考。 风险分析表 (请参看表十一 )中已列出各等级所可能会有的风险，让公司可了解在现阶段可能会有的风险，再决定是否采取改进或防范措施。 本研究问卷中每一稽核项目的调查结果，可让我们了解国内目前一般组织的执行状况，但限于篇符而无法完整列出，详细的调查结果请至网站（ 查看。 二、 未来研究建议 本研究问卷中的每一问题与选项，其权重与执行严谨与否的衡量，因为没有统一的界定标准，争议较多，因此在本研究中不考虑此二项较复杂因素的影响程度，假设每项题目与选项的重要性相同。未来研究者可针对权重问题再加以深入研究。 由于等级参考表系根据本次问卷调查的样本填答结果所订定，因此仅能反应目前的现况，将来随着时间与样本的变更，必须持续进行后续调查工作，随时修正等级参考表。 本研究中系主观的将稽核等级分成三类，建议未来研究者可采用较有统计理论基础的方式找出较佳的分 类组数。 本研究所发展的电脑稽核检查表，其内容与项目虽经多次的修改与尽力的思考，力求完善，但毕竟个人能力有限，因此未来研究者可再予以修正，或是针对某一特定行业别或公司作调整，使其更适合于个别使用者。 未来