内部控制制度电子计算器循环.docx

内部控制制度电子计算器循环.docx

《内部控制制度电子计算器循环.docx》由会员分享，可在线阅读，更多相关《内部控制制度电子计算器循环.docx（20页珍藏版）》请在冰豆网上搜索。

内部控制制度电子计算器循环

节次10010信息部门功能及职责划分

作业项目作业程序（方法）及控制重点依据资料

一、部门功能【作业程序】【依据数据】

1、设置独立于使用单位以外之部门,俾能发挥下1、计算器化信息

列功能：

管理办法

（1）推展各项应用系统,加强计算器化。

2、资产管理办法

（2）促进各部门对计算机软硬件之充分有效使用。

（3）发挥计算机作业迅速、省力及连贯作业之特【使用窗体】

性,提高公司各项作业之效率及质量。

1、备份记录表

（4）运用计算机自动勾稽机能,达到内部牵制/控制

目标。

2、计算机作业管理：

（1）计算机主机安全控管、操作系统及档案管理。

（2）计算机主机及各接口设备运转之管理。

（3）数据输出/输入设备使用管制作业。

3、信息单位功能：

（1）评估并检核各部门计算器化之需求,确定需求

规格,且拟定开发之优先级别。

（2）沟通协调部门间计算器化之配合,并消除计算

机化过程之冲突。

（3）通讯网络及各项计算器硬件资源之管理。

（4）处理系统备份之程序。

（5）接收新软硬件技术并作配合转移。

（6）系统用户之管理。

（7）解决硬件之一般问题。

二、职责4、与使用单位之职责划分：

（1）使用单位得视本身现行与未来作业情况,提出

作业需求。

（2）除因业务需要并依核决权限呈核同意外,信息

单位不得擅自接触有关数据之输入、修改、

删除及报表输出。

（3）使用单位若有计算机或相关接口设备增添、异

动或处分时,除依「资产管理办法」办理外,均

应由信息人员陪同,始得办理。

节次10010信息部门功能及职责划分

作业项目作业程序（方法）及控制重点依据资料

【控制重点】

1、信息部门与使用部门职能是否划分。

2、信息室是否设立独立部门。

3、信息部门是否持超然独立之立场执行其职务并

不逾越XX之事项。

4、是否定期进行备份之程序。

节次10020系统开发及测试作业

作业项目作业程序（方法）及控制重点依据资料

一、开发【作业程序】【依据数据】

1、申请单位应填写「计算器化需求申请单」依核计算器化信息

决权限送呈签核后交信息单位,由单位主管初管理办法

步审核系统开发之可行性。

2、系统分析人员于系统分析过程应收集之资料

包括：

（1）法令规章；

（2）工作职责说明；

（3）作业指导手册；

（4）使用凭单、报表；

（5）现有软、硬件数据。

二、测试3、系统测试之作业程序：

（1）就个别程序进行测试；

（2）测试包括正常与错误数据并需大量数据

来测试；

（3）经反复测试、修改无误,应会同申请单位

共同进行在线测试。

（4）当系统测试完成时,若有影响到系统之修

正,相关文件应比照修改。

【控制重点】

1、系统之开发是否使用单位、财务处、稽核

室人员共同参与,且是否经内部验证、授权

之文书记录或证据支持。

2、相关单位与信息单位应就书面设计与实际

设计作最后比较、验收,确保系统之可行性。

3、系统开发是否有独立之系统测试环境、详

实纪录测试结果。

4、系统上限是否经相关单位认可及核准。

节次10020系统开发及测试之可行性分析作业流程图

计算器化需求申请

开发可行性分析

否

是

内部撰写

确定是否内部撰写

是

否

绘制数据流程图

外购或外包开发

系统数据整合

节次10020系统开发及测试之可行性分析作业流程图

系统及相关数据收集和整理

屏幕输出格式

数据文件格式

处理流程图

系统整合

程序撰写

节次10020系统开发及测试之可行性分析作业流程图

程序模块撰写

程序模块测试及侦错

系统测试及侦错

在线测试

否

是

编写操作手册

确认申请单

课程培训

交付使用

节次10030系统文书之编制及保管

作业项目作业程序（方法）及控制重点依据资料

一、编制【作业程序】【依据数据】

1、计算机系统文书编制：

计算器化信息

信息单位于完成系统测试程序后,将「计算器化管理办法

需求申请单」及操作手册与软件编列序号,于

「软件数据清册」登录数据名称、数据说明

及归档人等记录后,存查列管。

二、保管2、文书数据保管：

（1）信息单位应将各项系统分析、开发及设计

文件按序分类归档。

（2）当作业人员因公借阅系统文件时,应登记有

关事项后方得借用,并依照规定日期归还,资

料保管人员定期催讨逾期未还者。

【控制重点】

1、信息单位所有之计算机文书及档案文件是否编

好列册,并有专人保管。

2、信息单位于新系统开发及进行修改作业时,相

关之计算机文书是否同时予以更新。

节次10040程序修改作业

作业项目作业程序（方法）及控制重点依据资料

一、修改【作业程序】【依据数据】

1、经评核应修改时,如需外包则联络供应厂商计算器化信息管

依「硬件及系统软件之购置、使用及维护理办法

控制」作业办理,如自行开发,信息单位应与【使用窗体】

申请单位讨论,于确实了解需求后,进行修改。

1、计算器化需求

若于修改时会影响到档案结构,应通知相关申请单

人员讨论取得一致同意方可修改。

2、进行程序修改前,应将原程序复制到测试程序

区内再行修改。

3、程序之修改、删除及登录均应随留记录并定

期列表呈核,以避免XX之更改。

4、系统之修改、应注意以下各点：

（1）系统修改应会同稽核或其他相关人员表示

意见,并有适当之文书记录。

（2）程序变更修改是否确实经核准后办理。

（3）系统修改后需会同使用单位测试其可行性。

（4）程序修改应于独立环境中修改。

【控制重点】

1、系统修改是否确实经核准后使用。

节次10040程序修改作业流程图

计算机化需求申请

信息部门评估

否

是

程序修改

系统确认

线上测试

交付使用

节次10050程序及数据存取控制作业

作业项目作业程序（方法）及控制重点依据资料

【作业程序】【依据数据】

一、存取1、联机计算机系统内之存取控制作业：

计算器化信息

（1）授权使用密码者应造册列管,密码安全系统管理办法

应定期更换时。

（2）各使用单位主管于建置新的应用管理系统【使用窗体】

时应依业务权限,填写「使用密码申请表」。

1、软件错误讯息

（3）人员因故离职或调职时通知信息管理单位一览表

删除此使用者。

（4）职员离职或更换工作,其使用代码应立即注

销或更新。

（5）存放密码之表格应加以特别保护,以防未经

经授权之借取。

（6）对于软硬件厂商维护时使用之使用者代号

应限制其访问权限,且不得重复使用。

（7）严格控制密码使用管理,避免密码为非使用

权限人员知悉,以确保系统程序及数据之完

整性。

二、权限2、权限控制：

（1）用户依权限拥有相关功能。

（2）权限应有分层授权系统,稽核及管理人

员无权限更新数据库。

（3）负责系统或程序上线人员应于执行上线程

序时,依系统安全及用户职权之所需设定

程序及数据文件之访问权限。

【控制重点】

1、程序档案之存取使用是否依密码权限加以管制。

2、程序档案之存取使用是否可留下追踪的记录。

3、权责主管是否定期复核相关记录。

4、存取密码之表格是否特别保护,以免XX的

存取查询。

5、不定期复核及追踪久未登录系统之用户。

6、程序及档案是否业务应用及稽核使用加以区分。

节次10060数据输出入之控制作业

作业项目作业程序（方法）及控制重点依据资料

【作业程序】【依据数据】

一、输入1、数据输入控制：

计算器化信息管

（1）设计合适之输入异动单证。

理办法

（2）配合系统规格的单证号码。

（3）整批资料输入处理时应采方式控制。

【使用窗体】

（4）依其职权严格限制其存权限。

软件错误讯息一

二、输出2、数据输出控制：

览表

（1）所有之输出报表皆必须列文件。

（2）属于决策性之报表使用单位专人负

责打印。

（3）使用单位接到报表时报表是否完整。

（4）依不同单位及人员需求,供已授权之单

位或人员使用。

3、错误更正之控制：

（1）输入之原始或单据错误,填写更正传票

或其他窗体经主管签核后,更正数据附

于原始凭证之后备查。

（2）因操作不当或阅读错误造成不正确的资

料登录者,报告权责主管后,由登录人员更

正与原始数据一样。

（3）因应用程序错误而造成报表错误,使用单

位需填写「计算器化需求申请单」送交资

讯单位申请修改,其后续作业比照「程序

修改作业」办理。

（4）若机器故障时,操作人员应通知信息单位

人员协助恢复资料。

【控制重点】

1、资料输出、入是否留下可供应确认的追查纪录。

2、应用程序内对输入数据的正确性是否有自动核

对的功能。

3、机密性或敏感数据的输出是否有适当的管制。

4、报表输出后是否立即分送有关单位。

5、输出数据使用后若无保存之需要,是否经适当毁

弃处理。

6、以磁性媒体保存,是否定期检查,已确定在必要时

能以报表方式列出。

节次10070数据处理控制作业

作业项目作业程序（方法）及控制重点依据资料

【作业程序】【依据数据】

一、数据控制1、硬件于处理数据之控制：

计算器化信息

硬设备如有异常现象发生,应及时通知厂管理办法

商前来维修,并将相关硬件维护数据整理存盘。

二、软件控制2、系统软件于处理数据之控制：

（1）一般系统软件系指操作系统及公用程序,通

常由厂商提供,若需修改或更版系统软件时,

应比照「系统修改作业」办理。

（2）不同使用者应有不同的权限控制,其使

用权限设定比照程序及数据存取控制作业

办理。

3、应用软件于处理数据之控制：

（1）在应用程序中同一应用软件因不同使用目

的有不同使用等级之设定,以确保数据保密

性。

（2）若有两个以上应用操作系统同时更新档案

数据时,程序中应判断一次只能由一个应用

系统更改该笔数据,另一应用系统须等该文件

案已更改完后方能变更该笔数据内容。

【控制重点】

1、硬设备是否定期检查并记录。

2、不同使用者是否有不同访问权限控制。

节次10080档案及设备之安全控制

作业项目作业程序（方法）及控制重点依据资料

【作业程序】【依据数据】

一、档案安全1、数据文件之安全控制：

计算器化信息

（1）信息单位统筹控制。

管理办法

（2）使用单位对档案之控制。

二、设备安全2、计算机设备之安全控制：

【使用窗体】

（1）计算机机器管理；1、备份记录表

（2）通讯设备管理；2、信息室机房

（3）支持设备管理；进出登记表

（4）电源设备管理。

3、内部局域网

三、机房安全3、计算机机房之管制：

络之服务器

（1）应设置独立之空调设备以维持机房温度操作日志记录

之适当性。

（2）人员进出管制：

信息单位人员对非作业

人员进出计算机机房洽公,应请其登记于出

入登录,并说明理由方可进入,严禁未经许

可擅入机房。

（3）操作管理：

机房中所有机器设备操作人员

应依据操作手册规定启动及操作。

（4）禁止事项：

A.操作人员未经允许,不得携带物品进出机房。

B.非操作人员不得使用计算机机房,若因紧急状

况需使用机房设备时,应经核决权限主管同

意。

C.机房内禁止放置可燃物,或散置垃圾及私人

物品。

D.机房内禁止吸烟及进用食物饮料。

四、硬件维护4、硬设备维护：

公司所有之硬设备,其型号

应记录于硬设备记录表,以利维护作业。

【控制重点】

1、系统是否定期作备份。

2、备份数据是否指定专人保管并至于安全处所。

3、硬设备之维修是否确实纪录。

4、系统发生异常时是否加以分析原因及改进记录。

节次10090硬件及软件系统设备购置、使用及维护作业

作业项目作业程序（方法）及控制重点依据资料

【作业程序】【依据办法】

一、购置1、使用单位依业务需求,欲购置计算机硬件及系1、计算器化信息

统软件时,须依规定填写「联络单」,并经资管理办法

讯单位评估协理级（含）以上主管核准后依2、采购管理办

「采购管理办法」办理。

法

2、硬设备及软件维护：

（1）公司所有之硬设备,其型号应列册记录,【使用窗体】

以利维护作业。

1、固定资产维

（2）各项装置应由厂商定期办理预防性维护修申请单

措施及作成记录,并应订定书面契约,以确2、送修单

定维护内容,于做完维护时,需有专人会同

验收。

（3）使用单位计算机机器故障时,应通知信息单位

派人员查看故障原因,记录机器故障原因及

维修状况,若故障原因无法解决时,应请供应

商或维护厂商支持维修。

（4）若通讯设备线路发生故障时,信息单位应派

员立即检查,以了解线路故障原因,通知厂商

或电信局进行维修,若有重要性数据需立即

处理时,应报请主管同改以人工操作代替之。

（5）外购计算机软件之修改程序比照程序修改作

业办理。

【控制重点】

1、软硬件购置是否经适当核准,并经评估后进

行采购。

2、软硬件购置是否经使用单位验收记录存盘。

3、信息设备是否定期维护清点,并详实记录。

节次10100系统复原计划作业

作业项目作业程序（方法）及控制重点依据资料

【作业程序】【依据数据】

一、复原1、信息单位应就信息系统之实体环境、作业程计算器化信息

序及应用现况进行风险分析拟定书面之系统复管理办法

原办法。

2、书面信息系统复原办法,至少包括：

（1）灾变预防准备工作；

（2）系统故障或异常之紧急应变措施；

（3）灾后复原工作；

（4）系统复原计划之维护；

（5）系统复原计划之测试。

二、复原测试3、系统复原计划之测试：

（1）测试应按计算机设备及系统文件实施,使用单位

并应参与测试。

（2）测试结果应做成书面记录,遇有异常应即反应

并修订。

【控制重点】

1、信息单位应掌握时效确认问题原因,并依系统重

要性逐一复原,避免影响营业活动。

2、系统复原应经适当测试,确保复原。

信息单位应

配合相关安全卫生管理作业,软硬件作业之安全。

节次10110公司Internet及Email管理作业

作业项目作业程序（方法）及控制重点依据资料

【作业程序】【依据数据】

一、INTERNET1、公司所有需上INTERNET的人员必须申请,计算器化信息

管理并经经理（含）级以上核准。

管理办法

2、系统管理员应每周抽查网络使用日志,如有

使用者违反规定用于非工作用途之情况时,应

呈报上级主管。

3、使用INTERNET的人员不得随意下载网上资

料,如需下载的数据在下载完成后须进行相关

查杀毒操作,以确保系统安全。

二、E-mail管理4、所有E-mail账号及密码由信息部门统一注册

进行管理,进行修改或作废时须经相关权责主

管核准。

5、公司之分配有集团信箱的用户,如因公需用

E-mail与外界联系时必须使用分配的E-mail,

不得使用个人或其它的E-mail进行收发,对外

发送之电子邮件一律以公司所代表的地址进

行发送。

【控制重点】

1、因公司需要须上网者,是否按规定进行申请

并经上级批准,有无未经允许私自链接上网

之情况。

2、系统管理员是否定期抽查网络日志,网络资

源之利用是否达到预期效果。

节次10120公司内部局域网之管理作业

作业项目作业程序（方法）及控制重点依据资料

【作业程序】【依据数据】

一、局域网管理1、各上内部局域网之人员须将文件与数据存计算器化信息

放在服务器主机上,以便信息单位每周在服管理办法

务器主机上定期备份。

2、信息单位对公司所有之计算器进行硬盘分

区的隐藏,并不定期对数据进行抽检。

3、有需要安装软件的单位,应填写「计算器化需求

申请」经部门主管核准所联络信息人员进行

安装。

4、局域网在使用时应确保数据的安全,个人不得

随意将自己的数据设置为数据共享,如发现他

人数据可以共享时应及时通知信息部门查明

原因。

【控制重点】

1、信息单位是否定期对公司内部各部门存放之

数据进行备份。

2、对安装有光驱之计算器是否进行必要之监督

与管控,有无私自安装软件而未经核准者。