内部控制制度电子计算器循环.docx
《内部控制制度电子计算器循环.docx》由会员分享,可在线阅读,更多相关《内部控制制度电子计算器循环.docx(20页珍藏版)》请在冰豆网上搜索。
内部控制制度电子计算器循环
节次10010信息部门功能及职责划分
作业项目作业程序(方法)及控制重点依据资料
一、部门功能【作业程序】【依据数据】
1、设置独立于使用单位以外之部门,俾能发挥下1、计算器化信息
列功能:
管理办法
(1)推展各项应用系统,加强计算器化。
2、资产管理办法
(2)促进各部门对计算机软硬件之充分有效使用。
(3)发挥计算机作业迅速、省力及连贯作业之特【使用窗体】
性,提高公司各项作业之效率及质量。
1、备份记录表
(4)运用计算机自动勾稽机能,达到内部牵制/控制
目标。
2、计算机作业管理:
(1)计算机主机安全控管、操作系统及档案管理。
(2)计算机主机及各接口设备运转之管理。
(3)数据输出/输入设备使用管制作业。
3、信息单位功能:
(1)评估并检核各部门计算器化之需求,确定需求
规格,且拟定开发之优先级别。
(2)沟通协调部门间计算器化之配合,并消除计算
机化过程之冲突。
(3)通讯网络及各项计算器硬件资源之管理。
(4)处理系统备份之程序。
(5)接收新软硬件技术并作配合转移。
(6)系统用户之管理。
(7)解决硬件之一般问题。
二、职责4、与使用单位之职责划分:
(1)使用单位得视本身现行与未来作业情况,提出
作业需求。
(2)除因业务需要并依核决权限呈核同意外,信息
单位不得擅自接触有关数据之输入、修改、
删除及报表输出。
(3)使用单位若有计算机或相关接口设备增添、异
动或处分时,除依「资产管理办法」办理外,均
应由信息人员陪同,始得办理。
节次10010信息部门功能及职责划分
作业项目作业程序(方法)及控制重点依据资料
【控制重点】
1、信息部门与使用部门职能是否划分。
2、信息室是否设立独立部门。
3、信息部门是否持超然独立之立场执行其职务并
不逾越XX之事项。
4、是否定期进行备份之程序。
节次10020系统开发及测试作业
作业项目作业程序(方法)及控制重点依据资料
一、开发【作业程序】【依据数据】
1、申请单位应填写「计算器化需求申请单」依核计算器化信息
决权限送呈签核后交信息单位,由单位主管初管理办法
步审核系统开发之可行性。
2、系统分析人员于系统分析过程应收集之资料
包括:
(1)法令规章;
(2)工作职责说明;
(3)作业指导手册;
(4)使用凭单、报表;
(5)现有软、硬件数据。
二、测试3、系统测试之作业程序:
(1)就个别程序进行测试;
(2)测试包括正常与错误数据并需大量数据
来测试;
(3)经反复测试、修改无误,应会同申请单位
共同进行在线测试。
(4)当系统测试完成时,若有影响到系统之修
正,相关文件应比照修改。
【控制重点】
1、系统之开发是否使用单位、财务处、稽核
室人员共同参与,且是否经内部验证、授权
之文书记录或证据支持。
2、相关单位与信息单位应就书面设计与实际
设计作最后比较、验收,确保系统之可行性。
3、系统开发是否有独立之系统测试环境、详
实纪录测试结果。
4、系统上限是否经相关单位认可及核准。
节次10020系统开发及测试之可行性分析作业流程图
计算器化需求申请
开发可行性分析
否
是
内部撰写
确定是否内部撰写
是
否
绘制数据流程图
外购或外包开发
系统数据整合
节次10020系统开发及测试之可行性分析作业流程图
系统及相关数据收集和整理
屏幕输出格式
数据文件格式
处理流程图
系统整合
程序撰写
节次10020系统开发及测试之可行性分析作业流程图
程序模块撰写
程序模块测试及侦错
系统测试及侦错
在线测试
否
是
编写操作手册
确认申请单
课程培训
交付使用
节次10030系统文书之编制及保管
作业项目作业程序(方法)及控制重点依据资料
一、编制【作业程序】【依据数据】
1、计算机系统文书编制:
计算器化信息
信息单位于完成系统测试程序后,将「计算器化管理办法
需求申请单」及操作手册与软件编列序号,于
「软件数据清册」登录数据名称、数据说明
及归档人等记录后,存查列管。
二、保管2、文书数据保管:
(1)信息单位应将各项系统分析、开发及设计
文件按序分类归档。
(2)当作业人员因公借阅系统文件时,应登记有
关事项后方得借用,并依照规定日期归还,资
料保管人员定期催讨逾期未还者。
【控制重点】
1、信息单位所有之计算机文书及档案文件是否编
好列册,并有专人保管。
2、信息单位于新系统开发及进行修改作业时,相
关之计算机文书是否同时予以更新。
节次10040程序修改作业
作业项目作业程序(方法)及控制重点依据资料
一、修改【作业程序】【依据数据】
1、经评核应修改时,如需外包则联络供应厂商计算器化信息管
依「硬件及系统软件之购置、使用及维护理办法
控制」作业办理,如自行开发,信息单位应与【使用窗体】
申请单位讨论,于确实了解需求后,进行修改。
1、计算器化需求
若于修改时会影响到档案结构,应通知相关申请单
人员讨论取得一致同意方可修改。
2、进行程序修改前,应将原程序复制到测试程序
区内再行修改。
3、程序之修改、删除及登录均应随留记录并定
期列表呈核,以避免XX之更改。
4、系统之修改、应注意以下各点:
(1)系统修改应会同稽核或其他相关人员表示
意见,并有适当之文书记录。
(2)程序变更修改是否确实经核准后办理。
(3)系统修改后需会同使用单位测试其可行性。
(4)程序修改应于独立环境中修改。
【控制重点】
1、系统修改是否确实经核准后使用。
节次10040程序修改作业流程图
计算机化需求申请
信息部门评估
否
是
程序修改
系统确认
线上测试
交付使用
节次10050程序及数据存取控制作业
作业项目作业程序(方法)及控制重点依据资料
【作业程序】【依据数据】
一、存取1、联机计算机系统内之存取控制作业:
计算器化信息
(1)授权使用密码者应造册列管,密码安全系统管理办法
应定期更换时。
(2)各使用单位主管于建置新的应用管理系统【使用窗体】
时应依业务权限,填写「使用密码申请表」。
1、软件错误讯息
(3)人员因故离职或调职时通知信息管理单位一览表
删除此使用者。
(4)职员离职或更换工作,其使用代码应立即注
销或更新。
(5)存放密码之表格应加以特别保护,以防未经
经授权之借取。
(6)对于软硬件厂商维护时使用之使用者代号
应限制其访问权限,且不得重复使用。
(7)严格控制密码使用管理,避免密码为非使用
权限人员知悉,以确保系统程序及数据之完
整性。
二、权限2、权限控制:
(1)用户依权限拥有相关功能。
(2)权限应有分层授权系统,稽核及管理人
员无权限更新数据库。
(3)负责系统或程序上线人员应于执行上线程
序时,依系统安全及用户职权之所需设定
程序及数据文件之访问权限。
【控制重点】
1、程序档案之存取使用是否依密码权限加以管制。
2、程序档案之存取使用是否可留下追踪的记录。
3、权责主管是否定期复核相关记录。
4、存取密码之表格是否特别保护,以免XX的
存取查询。
5、不定期复核及追踪久未登录系统之用户。
6、程序及档案是否业务应用及稽核使用加以区分。
节次10060数据输出入之控制作业
作业项目作业程序(方法)及控制重点依据资料
【作业程序】【依据数据】
一、输入1、数据输入控制:
计算器化信息管
(1)设计合适之输入异动单证。
理办法
(2)配合系统规格的单证号码。
(3)整批资料输入处理时应采方式控制。
【使用窗体】
(4)依其职权严格限制其存权限。
软件错误讯息一
二、输出2、数据输出控制:
览表
(1)所有之输出报表皆必须列文件。
(2)属于决策性之报表使用单位专人负
责打印。
(3)使用单位接到报表时报表是否完整。
(4)依不同单位及人员需求,供已授权之单
位或人员使用。
3、错误更正之控制:
(1)输入之原始或单据错误,填写更正传票
或其他窗体经主管签核后,更正数据附
于原始凭证之后备查。
(2)因操作不当或阅读错误造成不正确的资
料登录者,报告权责主管后,由登录人员更
正与原始数据一样。
(3)因应用程序错误而造成报表错误,使用单
位需填写「计算器化需求申请单」送交资
讯单位申请修改,其后续作业比照「程序
修改作业」办理。
(4)若机器故障时,操作人员应通知信息单位
人员协助恢复资料。
【控制重点】
1、资料输出、入是否留下可供应确认的追查纪录。
2、应用程序内对输入数据的正确性是否有自动核
对的功能。
3、机密性或敏感数据的输出是否有适当的管制。
4、报表输出后是否立即分送有关单位。
5、输出数据使用后若无保存之需要,是否经适当毁
弃处理。
6、以磁性媒体保存,是否定期检查,已确定在必要时
能以报表方式列出。
节次10070数据处理控制作业
作业项目作业程序(方法)及控制重点依据资料
【作业程序】【依据数据】
一、数据控制1、硬件于处理数据之控制:
计算器化信息
硬设备如有异常现象发生,应及时通知厂管理办法
商前来维修,并将相关硬件维护数据整理存盘。
二、软件控制2、系统软件于处理数据之控制:
(1)一般系统软件系指操作系统及公用程序,通
常由厂商提供,若需修改或更版系统软件时,
应比照「系统修改作业」办理。
(2)不同使用者应有不同的权限控制,其使
用权限设定比照程序及数据存取控制作业
办理。
3、应用软件于处理数据之控制:
(1)在应用程序中同一应用软件因不同使用目
的有不同使用等级之设定,以确保数据保密
性。
(2)若有两个以上应用操作系统同时更新档案
数据时,程序中应判断一次只能由一个应用
系统更改该笔数据,另一应用系统须等该文件
案已更改完后方能变更该笔数据内容。
【控制重点】
1、硬设备是否定期检查并记录。
2、不同使用者是否有不同访问权限控制。
节次10080档案及设备之安全控制
作业项目作业程序(方法)及控制重点依据资料
【作业程序】【依据数据】
一、档案安全1、数据文件之安全控制:
计算器化信息
(1)信息单位统筹控制。
管理办法
(2)使用单位对档案之控制。
二、设备安全2、计算机设备之安全控制:
【使用窗体】
(1)计算机机器管理;1、备份记录表
(2)通讯设备管理;2、信息室机房
(3)支持设备管理;进出登记表
(4)电源设备管理。
3、内部局域网
三、机房安全3、计算机机房之管制:
络之服务器
(1)应设置独立之空调设备以维持机房温度操作日志记录
之适当性。
(2)人员进出管制:
信息单位人员对非作业
人员进出计算机机房洽公,应请其登记于出
入登录,并说明理由方可进入,严禁未经许
可擅入机房。
(3)操作管理:
机房中所有机器设备操作人员
应依据操作手册规定启动及操作。
(4)禁止事项:
A.操作人员未经允许,不得携带物品进出机房。
B.非操作人员不得使用计算机机房,若因紧急状
况需使用机房设备时,应经核决权限主管同
意。
C.机房内禁止放置可燃物,或散置垃圾及私人
物品。
D.机房内禁止吸烟及进用食物饮料。
四、硬件维护4、硬设备维护:
公司所有之硬设备,其型号
应记录于硬设备记录表,以利维护作业。
【控制重点】
1、系统是否定期作备份。
2、备份数据是否指定专人保管并至于安全处所。
3、硬设备之维修是否确实纪录。
4、系统发生异常时是否加以分析原因及改进记录。
节次10090硬件及软件系统设备购置、使用及维护作业
作业项目作业程序(方法)及控制重点依据资料
【作业程序】【依据办法】
一、购置1、使用单位依业务需求,欲购置计算机硬件及系1、计算器化信息
统软件时,须依规定填写「联络单」,并经资管理办法
讯单位评估协理级(含)以上主管核准后依2、采购管理办
「采购管理办法」办理。
法
2、硬设备及软件维护:
(1)公司所有之硬设备,其型号应列册记录,【使用窗体】
以利维护作业。
1、固定资产维
(2)各项装置应由厂商定期办理预防性维护修申请单
措施及作成记录,并应订定书面契约,以确2、送修单
定维护内容,于做完维护时,需有专人会同
验收。
(3)使用单位计算机机器故障时,应通知信息单位
派人员查看故障原因,记录机器故障原因及
维修状况,若故障原因无法解决时,应请供应
商或维护厂商支持维修。
(4)若通讯设备线路发生故障时,信息单位应派
员立即检查,以了解线路故障原因,通知厂商
或电信局进行维修,若有重要性数据需立即
处理时,应报请主管同改以人工操作代替之。
(5)外购计算机软件之修改程序比照程序修改作
业办理。
【控制重点】
1、软硬件购置是否经适当核准,并经评估后进
行采购。
2、软硬件购置是否经使用单位验收记录存盘。
3、信息设备是否定期维护清点,并详实记录。
节次10100系统复原计划作业
作业项目作业程序(方法)及控制重点依据资料
【作业程序】【依据数据】
一、复原1、信息单位应就信息系统之实体环境、作业程计算器化信息
序及应用现况进行风险分析拟定书面之系统复管理办法
原办法。
2、书面信息系统复原办法,至少包括:
(1)灾变预防准备工作;
(2)系统故障或异常之紧急应变措施;
(3)灾后复原工作;
(4)系统复原计划之维护;
(5)系统复原计划之测试。
二、复原测试3、系统复原计划之测试:
(1)测试应按计算机设备及系统文件实施,使用单位
并应参与测试。
(2)测试结果应做成书面记录,遇有异常应即反应
并修订。
【控制重点】
1、信息单位应掌握时效确认问题原因,并依系统重
要性逐一复原,避免影响营业活动。
2、系统复原应经适当测试,确保复原。
信息单位应
配合相关安全卫生管理作业,软硬件作业之安全。
节次10110公司Internet及Email管理作业
作业项目作业程序(方法)及控制重点依据资料
【作业程序】【依据数据】
一、INTERNET1、公司所有需上INTERNET的人员必须申请,计算器化信息
管理并经经理(含)级以上核准。
管理办法
2、系统管理员应每周抽查网络使用日志,如有
使用者违反规定用于非工作用途之情况时,应
呈报上级主管。
3、使用INTERNET的人员不得随意下载网上资
料,如需下载的数据在下载完成后须进行相关
查杀毒操作,以确保系统安全。
二、E-mail管理4、所有E-mail账号及密码由信息部门统一注册
进行管理,进行修改或作废时须经相关权责主
管核准。
5、公司之分配有集团信箱的用户,如因公需用
E-mail与外界联系时必须使用分配的E-mail,
不得使用个人或其它的E-mail进行收发,对外
发送之电子邮件一律以公司所代表的地址进
行发送。
【控制重点】
1、因公司需要须上网者,是否按规定进行申请
并经上级批准,有无未经允许私自链接上网
之情况。
2、系统管理员是否定期抽查网络日志,网络资
源之利用是否达到预期效果。
节次10120公司内部局域网之管理作业
作业项目作业程序(方法)及控制重点依据资料
【作业程序】【依据数据】
一、局域网管理1、各上内部局域网之人员须将文件与数据存计算器化信息
放在服务器主机上,以便信息单位每周在服管理办法
务器主机上定期备份。
2、信息单位对公司所有之计算器进行硬盘分
区的隐藏,并不定期对数据进行抽检。
3、有需要安装软件的单位,应填写「计算器化需求
申请」经部门主管核准所联络信息人员进行
安装。
4、局域网在使用时应确保数据的安全,个人不得
随意将自己的数据设置为数据共享,如发现他
人数据可以共享时应及时通知信息部门查明
原因。
【控制重点】
1、信息单位是否定期对公司内部各部门存放之
数据进行备份。
2、对安装有光驱之计算器是否进行必要之监督
与管控,有无私自安装软件而未经核准者。