资金结算中心工作总结

实务焦点－信息安全美国银行业潜在网络安全问题台湾案例网络银行－客户密码遭盗用银行及客户因应之道黑客入侵券商网络下单系统以破解软件木马程序，入侵两家券商系统，盗用二千余位客户的密码，下单买卖股票违反证券交易法、伪造有价证券、毁损、诈欺、伪造文书等罪证期会及业者因应之道第八章内部控制第一节何谓内部控制内部控制的意义和必要性内部控制的限制内部控制的成本效益分析第八章内部控制内部控制的意义和必要性内部控制的意义内部控制是受到公司董事会、管理当局及其他人事影响，为了达到有关企业目标，提供合理保证而设计的过程。企业目标1.营运之效果及效率2.财务报导之可靠性3.相关法令之遵循第八章内部控制[来源：公开发行公司建立内部控制制度实施要点,#3]内部控制的限制成本效益的考虑组织暴露于各种风险中控制制度中关于「人」的因素内部控制程序可能无法涵盖所有交易经营环境的日趋复杂第八章内部控制成本效益分析每个组织的内部控制系统都各有其独特之处。并没有所谓的标准控制程序可供业界参考、采用。而所谓的最佳内部控制系统也就是实施贯彻成本效益分析概念(Cost-BenefitConcept)。

第八章内部控制《一个成本效益分析的例子》Solution1.

雇用6名保全人员巡视卖场。该项控制程序预估将会使公司每年增加费用$300,000；失窃的损失降为0。Solution2.

雇用1名保全人员巡视卖场，并在角落装设镜子及监视器。该项控制程序预估将会使公司每年增加$80,000费用；失窃的损失降为$100,000。第八章内部控制第二节内部控制结构内部控制的组成要素交易循环的控制目标＊企业专题8-1

内部控制的缺失与改进第八章内部控制内部控制的组成要素

(图8-1)1.控制环境2.风险评估3.信息与沟通4.控制活动5.监督第八章内部控制1.控制环境正直与道德观念胜任的承诺董事会及审计委员会管理哲学与经营型态组织结构图8-2各类组织系统简图权利与义务的分派人力资源政策与规范第八章内部控制2.风险评估确认风险并予控制内、外部事件与环境变迁之特殊考虑第八章内部控制3.控制作业信息处理控制适当授权文件与记录独立复核职能分工接取控制绩效复核第八章内部控制4.信息与沟通完整的交易轨迹会计政策和程序手册会计科目表复式分录第八章内部控制5.监督透过：进行中的作业定期评估包括：内部来源外部来源第八章内部控制交易循环的控制目标一般化控制目标：所有交易业经适当授权所有记录的交易都是有效的(实际发生的)所有有效、经授权的交易，已被完整、正确记录遵守相关法令规范保护资产(现金、存货及资料)安全达到营运之效果及效率。

第八章内部控制交易循环的控制目标(续)文件与记录(文件化)所扮演角色电子化文件之采用文件的预先、连续性编号文件与记录上的签章适当的文件与记录－确保组织承诺的达成第八章内部控制＊企业专题8-1

内部控制的缺失与改进档案职能分工授权程序接取控制人事政策及惯例(持续考核)适当单据/文件凭证独立内部验证、存货盘点第八章内部控制第三节系统控制的内容1.依目标来区分预防性控制侦测性控制改正性控制2.依范围来区分一般控制应用控制第八章内部控制一般控制组织及作业控制系统开发及文件控制硬件和系统软件控制接取控制数据及程序性控制第八章内部控制应用控制输入控制处理控制输出控制第八章内部控制第四节信息系统安全管理信息系统的风险＊企业专题8-2文件备份计算机犯罪的原因与对策安全控管制度的建立＊企业专题8-3电子商务交易安全第八章内部控制信息系统的风险威胁信息系统安全的来源：

天然灾害

机件故障

人为过失

人为的故意破坏Ｒ＝Ｌ×Ｐ第八章内部控制＊企业专题8-2文件备份备份解决方案实时性－「三线备援」在线实时备份(On-lineBackup)近线备份(Near-lineBackup)脱机备份(Off-lineBackup)便利性－可携式固定式第八章内部控制计算机犯罪的原因与对策计算机犯罪的型态

藉由计算机病毒以瘫痪系统

「计算机黑客」经由网络的入侵

监守自盗目的金钱利得商业竞争成就动机第八章内部控制管理部门往往存在的问题不恰当的工作分配对机件防护不当虽有制度化管理系统，却未切实执行忽视计算机处理数据可信度的查核在知识与态度上的缺失第八章内部控制表8-2防范计算机犯罪的控制事项第八章内部控制安全控管制度的建立安全控管的层级1.法律及社会道德2.行政管理之控管3.实体／硬件／网络安全之控管4.数据库／软件安全之控管图8-6安全的四层控管第八章内部控制1.起始阶段2.制定系统安全政策3.风险分析4.建立系统安全措施5.持续的监督和复核图8-7信息系统安全控管制度的实施步骤图8-8损失与安全控管成本关系图图8-9

3C原则第八章内部控制