内部控制讲义.ppt

內部控制 Internal Controlling,為何需要控制？,確保目標之達成降低意外之風險提昇對醜聞之察覺股東著重公司治理管理當局之法律責任高度的管理與員工舞弊事件,企業之威脅與控制,威脅指不利之潛在事情或情況，若實際發生時，將對企業造成傷害及損失控制指對於物件、有機體或系統之活動加以限制 或引導之過程風險指威脅實際發生之可能性，可以01之機率值 來表示暴險度指威脅實際發生時，所造成之企業損失企業在規劃與設計相關控制前，應先了解其所面臨之威脅，才能制定出一套有效之控制制度,資訊系統面臨之威脅(一),企業在規劃與設計資訊系統相關控制 前，應先了解其所面臨之威脅，才能 制定出一套有效之控制制度資訊系統面臨之主要威脅為：天然及政治災害軟體錯誤與設備失靈無心之錯誤有意之舞弊或犯罪,資訊系統面臨之威脅(二),根據調查與統計，資訊系統最大之風險與損失來自於員工無心之錯誤(約佔65%)，其次為天然災害之威脅，再其次為舞弊與犯罪資訊系統面臨之潛在威脅，近年有增無減，主要原因之為主從式區域網路(企業內網路)與廣域網路(企業間網路)之普及化，因而很多企業更重視資訊系統之安全控管,一般之企業曝險,錯誤之簿記錯誤之會計處理企業停業錯誤之管理決策舞弊與侵占、盜用法令之處罰超額成本資源之損失與破壞不利之競爭力,舞弊與控制,舞弊：蓄意之行為，或不忠實之意 圖去獲取不合理或違法之利益管理當局有責任去預防與揭露舞弊行為控制系統：協助管理當局達成上述 任務,控制下之人性面與反作用,主管承受預算之壓力控制造成短視過分強調短期因素過分注重容易衡量之因素有些控制造成權術運用控制可能引起內部衝突,內部控制的定義(一),根據我國審計準則公報#5，內部控制係指受查者之組織規劃及其所採用之各種協調方法與措施，以保護資產安全、提高會計資訊之可靠性及完整性、增進經營效率、並促使遵行管理政策，所採行的任何行動,內部控制的定義(二),根據COSO(Committee of Sponsoring Organizations of Treadway Commission)研究報告，內部控制係指公司董事會、管理當局、及其部屬為了合理保證下列控制目標之達成，而採行的程序：（1）營運的效果與效率（2）財務報導的可靠性（3）相關法令與規章的遵循,內部控制的定義(三),基本觀念：內部控制是一種過程內部控制的有效運作，受到人的影響，包括董事會、管理階層及其他人員內部控制設計之目的在於達成組織之目標內部控制只能合理保證目標之達成,內部控制的基本觀念(四),企業實施內部控制之前，應先建立適當的內部控制架構。內部控制架構係指組織建立的政策與程序，以合理保證組織特定目標的達成。在設計內部控制時，必須考量相關控制程序的成本與效益。若要求絕對保證組織目標的達成，則會使內部控制成本過高，超過其所能產生的效益（也就是邊際成本大於邊際效益）。因此，內部控制的設計通常以合理保證為目標。,內部控制的基本觀念(五),企業在設計內部控制程序之前，應先確認其相關的控制目標，而控制目標又與營運目標及其所面臨的潛在威脅有關。內部控制制度的設計應與組織的目標相結合，並合理保證將企業所面臨的威脅與風險降到可以接受的水準。,內部控制之重要性,降低錯誤及舞弊之可能性減少違法事件之發生減低企業失敗之機率提高企業之競爭力 監視組織控制系統之運作,內稽主要功能,電腦化資訊系統內部控制的基本觀念(一),電腦化資料處理之主要特點：利用電腦產生多樣化資訊電腦化資訊系統與人工資訊系統之差別：(1)交易(稽核)軌跡僅短暫保存或以電腦可以讀取之形式 保存(2)交易處理過程由電腦程式控制，具有一致性，可避免 人為錯誤(但程式錯誤將產生交易處理錯誤)(3)原人工分工改為電腦集中處理，故原分工達成之控制 目標須以其他控制措施取代,電腦化資訊系統內部控制的基本觀念(二),(4)資料處理過程中人工的介入大幅減少，電腦發生錯 誤及利用電腦進行的舞弊被發現的可能性降低。另 外，應用程式於設計及修正過程所產生的錯誤，也 可能長久存在而未被發覺(5)電腦系統提供許多資料分析工具，可協助管理者覆 核及監督系統運作，進而加強內部控制(6)有些交易可能由電腦自動啟始或執行，這些交易的 授權可能因而缺乏書面的證據或在管理者接受系統 設計時就已確認(7)電腦處理可能產生一些人工處理所需要的報表和其 他輸出，因此，其他控制的效果有賴於電腦處理控 制的完整性與正確性。例如：電腦產生的例外報告 是否正確，將影響人工覆核例外情況的有效性,電腦化資訊系統內部控制的基本觀念(三),為了確保電腦化資訊系統具備良好的控制環境，組織應該：確實控管資訊系統開發專案 適當分配電腦資源的所有權 落實電腦軟體、硬體及資料庫的保管與維護 訂定與實施有效的電腦安全與災害復原計劃,內部控制之目的,根據美國及我國內部稽核協會之內部稽核執業準則公報第一號，內部控制之目的包括：資訊的可靠性與完整性政策、計畫、程序與法令之遵循資產之保障資源運用之經濟有效組織目的與營運或專案計畫目標之達成,具體之內部控制目的,以交易循環為例：交易業經適當授權已經發生之交易業已記錄帳上所記錄之交易真實有效交易之科目分類適當交易之評價適當交易在適當時點記錄交易之過帳、分類、彙總、調節、及報告之過程適當,內部控制VS.八大交易循環,銷貨及收款循環採購及付款循環生產及存貨循環人事薪資循環融資循環投資循環固定資產管理循環研究發展循環,銷售循環之威脅&暴險與控制程序(一),銷售循環之威脅&暴險與控制程序(二),銷售循環之威脅&暴險與控制程序(三),銷售循環之威脅&暴險與控制程序(四),銷售循環之威脅&暴險與控制程序(五),採購循環之威脅&暴險與控制程序(一),採購循環之威脅&暴險與控制程序(二),採購循環之威脅&暴險與控制程序(三),採購循環之威脅&暴險與控制程序(四),採購循環之威脅&暴險與控制程序(五),採購循環之威脅&暴險與控制程序(六),採購循環之威脅&暴險與控制程序(七),採購循環之威脅&暴險與控制程序(八),採購循環之威脅&暴險與控制程序(九),生產循環之威脅&暴險與控制程序(一),生產循環之威脅&暴險與控制程序(二),生產循環之威脅&暴險與控制程序(三),薪工循環之威脅&暴險與控制程序(一),薪工循環之威脅&暴險與控制程序(二),薪工循環之威脅&暴險與控制程序(三),薪工循環之威脅&暴險與控制程序(四),固定資產循環之威脅&暴險與控制程序(一),固定資產循環之威脅&暴險與控制程序(二),固定資產循環之威脅&暴險與控制程序(三),COSO內部控制模式及其組成要素(一),COSO於1992年發布一份研究報告，明確定義內部控制，並提供內部控制評估方面的指引。該報告已成為最權威的內部控制文獻，已被實務界廣為採用。,COSO內部控制模式及其組成要素(二),COSO研究報告將內部控制定義為公司董事會、管理當局、及其部屬為了合理保證下列控制目標之達成，而採行的程序：營運的效果與效率、財務報導的可靠性、以及相關法令與規章的遵循。此項定義強調：內部控制是一項過程內部控制受人的影響內部控制對管理當局及董事會而言，僅能提供合理保證，而非絕對保證。,COSO內部控制模式及其組成要素(三),COSO控制模式是以控制環境為基礎。根據組織的控制環境及營運目標，管理當局必須辨認、分析及管理相關的風險，也就是進行風險評估與管理。緊接著，企業應建立與執行適當的控制政策與程序，以有效的執行與風險相關的控制作業。至於組織的資訊與溝通系統的作用，則在於讓組織的成員可以捕捉及分享與執行、管理及控制其活動有關的資訊。上述的控制過程必須加以監督，並做必要的修正，以維持內部控制制度的有效性。換句話說，這五項組成要素之間密切相關，而形成一個完整的內部控制模式。,COSO內部控制模式及其組成要素(四),控制環境(Control environment)風險評估(Risk assessment)控制作業(Control activities)資訊與溝通(Information and communication)監督(Monitoring),控制環境,控制環境包括七項組成因素管理階層的操守與價值觀管理哲學與經營風格組織架構外部監察人的參與分派權力與責任的方法人力資源政策與實務外部影響,控制環境,常見機制 落實管理當局之責任 啟動董事會與審計委員會之監督功能 明確詳細的員工守則 適當的員工任免政策 實行獨立於一般管理階層之外的 道德諮詢系統(制訂檢舉制度)一套完整的舞弊調查及矯正措施,風險評估,風險評估包括辨認、分析及管理企業有關的風險風險(risk)係指威脅實際發生的可能性，可以0到1的機率值表示若威脅實際發生，企業因而可能產生的損失稱為暴險度(exposure)若我們將風險(機率值)乘以暴險度(金額)，就能計算出某項威脅帶來的預期損失。內部控制的主要作用即在於降低或消除各項威脅的預期損失,風險評估,風險評估與建立企業內部相關內部控制的步驟：辨認威脅估計風險估計可能損失(暴險度)找出相關的控制程序估計控制程序的成本與效益選定控制程序,風險評估,常見機制 建立舞弊風險評估程序 評估舞弊之可能性及重大性 辨識舞弊發生之組織層級 遏阻管理階層之逾越,控制作業,一般而言，組織的控制程序可區分為五類：交易與作業的適當授權職能分工設計與使用適當文件與紀錄(ex:憑證、簽章、預先編號)資產與紀錄的保護(接近控制)獨立的覆核,資訊與溝通,資訊與溝通係指組織成員能夠取得其職務上所需的各種資訊，且資訊能夠在組織中傳播與溝通。資訊系統詳細紀錄交易處裡的過程，這些資料成為交易的稽核軌跡(audit trail)。組織成員可以利用稽核軌跡追查交易如何起始、經過何種處理、以及如何報導，有助於確認內部控制程序落實的程度與執行的成效。,資訊與溝通,常見機制 教育訓練 知識管理 資訊系統及技術,監督,監督係指對於內部控制的實施進行評估與控管的過程常見機制 管理當局的督導 採用責任會計制度 進行內部稽核,內部稽核之於舞弊,建立健全內控環境,執行舞弊風險評估,設計與執行舞弊防制之控制活動,充分的溝通資訊,持續管理監控,管理當局之責任,董事會/審計委員會,指揮,內部稽核,(1)瞭解管理當局的舞弊防範措施(2)評估管理當局對 於舞弊風險之評估(3)對於舞弊防範措 施之有效性進行查核(4)接受董事會/審計 委員會之指揮,針對高舞弊風險作業進行調查,評估與調查,落實內控的關鍵要素,建立能減少舞弊或犯罪之標準及程序指定某一特定高級管理階層人員負責監督內部控制之執行防止不當授權將標準及程序有效傳達全體員工實施對遵循之衡量，諸如監控、稽核及報告制度輔以獎懲措施之強化標準及程序之執行當制度被偵出有重大違失時，給予適當回應,從富邦錯帳事件看內部控制,事由 2005/06/27,富邦證仁愛分公司一交易員按錯指令(輸入錯誤的數量),造成$77億元錯帳事件。後續發展2005/06/30,金管會依證交法處富邦警告一次,將影響其未來三個月新辦業務或新設據點；並要求須在一個月內報告其內部控制改善計畫及執行情況。2005/07/19,證交所處違約金額$30萬。,富邦證之危機管理,向證交所申報錯帳發出聲名稿，承認錯誤調現金命自營部買入經紀部要賣的股票檢討下單流程、電腦程式、風險管理及查核程序懲處交易員修改電腦程式,富邦證之內部控制,控制環境董事長兼總經理(葉公亮)與國際部顧問(周資青)權責分配失衡風險評估透過加強員工風險意識、資訊控制、交易分層授權以降低錯帳金額,富邦證之內部控制,控制活動系統設計者設計不良、系統使用者未能與系統設計者充分溝通，使系統設計者不瞭解控制是必要的、系統測試與教育訓練不足資訊與溝通以開放的態度對外溝通達到效果監督事後由董事長領軍，成立風險改進委員會，重新檢視風險控管機制並提出改進方式，同時嚴格規範各單位自行查核人員及內部稽核人員之查核方式,建立資訊系統內部控制之重要性(一),經營環境複雜化資訊需求多樣化資訊系統複雜化與風險性良好之內部控制 降低風險之影響或損失 確保組織正常運作,建立資訊系統內部控制之重要性(二),資訊系統稽核與控制基金會(Information Systems Audit and Control Foundation,簡稱ISACF)發佈資訊及相關技術控制目的(Control objectives for information and related technology,簡稱COBIT)，可以作為企業建立資訊系統與資訊科技安全控制政策與程序之架構,COBIT基本觀念架構(一),用途：在於提供與資訊科技應用、控制與稽核有關之指引COBIT由COBIT指導委員會與ISACF共同發佈使命：研究、發展、發佈與推廣一供套權威、最新、國際公認之資訊科技控管目的，供企業經理人與稽核人員日常使用基本理念：企業須透過管理IT流程，將IT資源整合運用，進而滿足組織之業務需求,COBIT基本觀念架構(二),COBIT兼顧品質(quality)、監管(fiduciary)、安全(security)三方面之需求，彙整成七項資訊標準：效果、效率、保密、真實、可用性、遵循性、可靠性為確保資訊符合上述標準，組織必須適當地控制及監督IT資源之使用COBIT將IT資源之管理分為範疇(domains)、流程(processes)、活動(activities)三個層次,內部控制的分類,依照內部控制程序採行的時間點，可以區分為預防性控制、偵測性控制以及改正性控制(補充：指示性控制、補償性控制)就電腦化資訊系統的觀點而言，其內部控制可以區分為一般控制與應用控制若按照資料處理步驟的區分,內部控制可以區分為輸入控制、處理控制以及輸出控制,預防性、偵測性與改正性控制(一),依照內部控制程序採行的時間點，可以區分為預防性控制、偵測性控制以及改正性控制。預防性控制可以用來防止問題的發生，是一種事前的觀念。不過，基於成本效益的考量以及實務上的限制，預防性控制很難完全防止所有的問題。企業在設計控制程序時，必須加入適當的偵測性控制，以便在問題發生時，能夠迅速的察覺，並立即通知相關的人員採取補救或改正的行動。偵測性控制是一種事中的觀念。,預防性、偵測性與改正性控制(二),改正性控制的作用在於補救或改正被偵測到的問題，以確保組織順利的運作，達成既定的目標。改正性控制包括三個程序：(1)找出造成問題的原因(可能由偵測性控制 提供相關訊息)(2)改正已發生的錯誤或障礙(3)修改現有的控制制度或程序，以消除或降 低未來發生類似問題的可能性,預防性、偵測性與改正性控制(三),一般而言，錯誤與問題若能於事前予以預防，較能保障組織的順利運作與目標的達成。因此，在合乎成本效益的前提下，企業應優先採行預防性控制。不過，預防性控制很難達到絕對的控制，所以有效的偵測性控制可發揮補償的作用，避免問題久未發現，而造成更大的傷害。至於改正性控制則應強調對症下藥，並避免類似問題重複發生。,一般控制與應用控制,就電腦化資訊系統的觀點而言，其內部控制可以區分為一般控制與應用控制一般控制在於確保組織具有穩定及管理優良的控制環境，以提升應用控制的效果。應用控制的目的則為在交易處理過程中，預防、偵測及改正相關的錯誤與舞弊。,輸入控制、處理控制及輸出控制,若按照資料處理步驟的區分,內部控制可以區分為輸入控制、處理控制以及輸出控制輸入控制在於確保只有正確、有效以及經過核准的資料，才能進入系統作進一步的處理處理控制目的在於確保所有的交易都經過正確、完整的處理，相關的紀錄與檔案也予以適當的更新輸出控制則用以確保系統的輸出具有適當的控管，以避免資料的不當使用或外洩,電腦化資訊之一般控制(一),企業設置一般控制的目的：確保電腦化資訊系統作業環境的穩定與良好的管理一般控制與所有的電腦作業有關，常見的一般控制措施包括：(1)訂定資訊安全政策與計劃(2)資訊系統職能內部分工(3)專案發展控制(4)實體存取控制(5)邏輯存取控制(6)資料儲存控制,電腦化資訊之一般控制(二),(7)資料傳輸控制(8)建立文件標準(9)降低系統當機時間(10)訂定災害復原計劃(11)保護個人電腦與主從式網路(12)網際網路控制,一般控制-訂定資訊安全政策與計畫,資訊系統電腦化的組織應發展出一套完整的資訊安全計畫，並持續的加以更新。這份計畫應由資訊安全主管負責訂定、監督以及推動，其內容包含界定各類資訊由誰使用、如何使用、需用時間以及存放於那一個系統。安全主管可根據一計畫評估資訊系統面臨的威脅、風險及暴險度，並據以選擇最具成本效益的安全控管措施。,一般控制-資訊系統職能內部分工(一),電腦作業環境下，多項工作可能由電腦一併完成，使得傳統人工作業環境下的分工方式較不可行。組織必須就電腦職能（部門）進行適當分工，以降低電腦集中多項功能所帶來的威脅一般而言，在組織規模容許及合乎成本效益的情況下，資訊系統的下列相關職能應有適當的分工：系統分析、程式設計、電腦操作、資料控制、系統函式庫（library）以及使用者。,一般控制-資訊系統職能內部分工(二),適用於大型主機電腦環境之集中式資訊系統組織架構，不同職能之分工大致如下：系統分析師/設計師程式設計師資料庫管理通信/網路控制電腦操作員系統函式庫/資料管理員資料控制小組資料準備/輸入終端使用者,一般控制-專案發展控制,組織開發資訊系統時，必須投入大量人力、時間與財務資源若缺乏適當之規劃與管控，常造成專案進度落後、成本超支、系統品質低落一般而言，系統開發專案之規劃與管控包含：訂定長期資訊系統主計畫訂定個別專案開發計畫，界定專案之重要時程成立專案小組，明確分派責任定期評估專案推動之績效進行專案完成後實施情形之覆核,一般控制-實體存取控制,存取控制(access controls)：合理保證只有經過授權(核准)者才能使用系統；其用途也應經過授權存取控制可分為：(1)實體(physical)存取控制(2)邏輯(logical)存取控制實體存取控制：維護電腦設備之安全，以確保只有經過授權者才能使用設備。可依序分為三個層次：(1)外圍控制(2)建築物控制(3)電腦設備控制,一般控制-邏輯存取控制,邏輯存取控制：確保使用者只能使用其被授權範圍內之資料與程式。可依序分為三個層次：(1)辨識使用者身份(2)身份驗證(3)確認權限一般常用之使用者權限設定方式為建立存取控制表，以規範不同使用者對於各項資料與程式檔案之權限等級(ex：讀取、顯示、寫入、更新、增加、刪除),一般控制-資料儲存控制,組織應將資料視為重要資源，並妥善保護及控制，以免遭到未經授權之揭露、使用或破壞,一般控制-資料傳輸控制,組織利用網路傳送資料時，為降低傳輸失之風險，相關人員應監控通信網路，發現弱點須立即加以補強一般常用來降低資料傳輸錯誤之方法或程序包含：(1)資料加密(2)驗證程序(3)位元檢查(4)訊息確認技術,一般控制-建立文件標準(一),為讓相關人員易於瞭解、使用及維護資 訊系統，企業在開發系統之過程中，應 建立相關文件進行系統書面化工作時，各項文件之編 寫與修改應一致性，並存放於安全地方，以便文件之使用,一般控制-建立文件標準(二),一般常用之資訊系統文件為：(1)系統文件(system documentation)(2)程式文件(program documentation)(3)操作文件(operating documentation)(4)電腦操作手冊(computer run manual)(5)程序文件(procedural documentation)(6)使用者文件(user documentation),一般控制-降低系統當機時間,電腦軟體或硬體之失靈會造成資訊系統無法正常運作，而導致重大營運或財務損失一般常用來降低當機時間之方法為：(1)落實預防性維護工作(2)建立不斷電系統(3)配置額外之系統組件，以提昇系統之 容錯能力,一般控制-訂定災害復原計畫(一),每個組織都應訂定一套災害復原計畫，以確保發生重大災害時，能迅速、順利地恢復資訊系統之作業能力一般而言，其目的：(1)降低資料毀損及業務中斷之可能損失(2)建立暫時性之資料處理措施(3)盡快恢復正常作業(4)實施緊急作業訓練，讓員工熟悉應變程序,一般控制-訂定災害復原計畫(二),復原計畫應包含下列要素：明訂復原程序之優先順序明訂規範資料及程式檔案之備份作業明確分派災害復原責任，實施復原編組及應負責之復原作業妥善保管復原計畫之書面文件安排備援之電腦與通訊設備，確保能在最短時間內啟用進行應變規劃與風險分析,一般控制-訂定災害復原計畫(三),應變規劃 辨認不同資料處理中斷時，對組織之可能影響風險分析 找出關鍵性應用系統並排優先順序，評估保險額度，及辨認相關風險與可能影響,一般控制-保護個人電腦與主從式網路(一),訓練個人電腦使用者瞭解相關之控制觀念個人電腦設備上鎖及黏貼財產標籤訂定個人電腦使用政策與程序，規範資料儲存、軟體安裝與使用、設備保管責任長時間未使用之個人電腦自動關機電腦硬碟定期備份,一般控制-保護個人電腦與主從式網路(二),設定多重使用者密碼，限制個人電腦之使用，並進行權限設定，以便職能分工採用檔案清除工具程式，徹底清除使用不使用之磁片內容網路作業須保留操作日誌(operation log)，以作為稽核軌跡安裝防毒程式，偵測及過濾電腦病毒，並教導使用者如何防範病毒之感染,一般控制-網際網路控制,應建立網路安全政策(network security policy)，以保護網際網路相關作業安全，確保資料可用性、隱密性與真實性網路安全之主要控制方法包含：(1)資料傳送之相關控制措施(2)使用者帳戶之管理(3)防火牆之架設,電腦化資訊系統之應用控制,目的：合理保證該應用系統之之輸入、處理、輸出之正確性與完整性應用系統薄弱，可能導致輸出資訊錯誤，造成管理決策失當，而影響企業營運一般而言，應用控制可區分為：(1)輸入控制(input controls)(2)處理控制(processing controls)(3)輸出控制(output controls),應用控制-輸入控制,目的：合理保證輸入之資料經過適當之核准、轉換成機器可讀之型態、及其內容之正確性與完整性包含三種控制措施：原始資料控制輸入驗證程序線上資料輸入控制,應用控制-輸入控制：原始資料控制(一),目的：確保輸入資料之有效性、正確性、完整性控制方法種類：(1)批次總數(2)原始憑證檢視與註記(3)表單連號檢查(4)重複鍵入(5)檢查碼驗證(6)迴轉文件之運用(7)資料控制職能,應用控制-輸入控制：原始資料控制(二),批次總數/控制總數：比對原始資料與後續處理資料間之一致性。若前後階段產生之批次總數不符，表示有誤，應找出原因並更正 常用之批次總數：財務總計雜項總計記錄總計行數總計交叉餘額加總測試,應用控制-輸入控制：原始資料控制(三),原始憑證檢視與註記：輸入資料前，先檢視原始憑證是否合理與完整，是否經過適當授權。若有任何疑問須加以釐清並排除問題後，再進行資料輸入；完成輸入之憑證應做適當註記；避免重複輸入與處理表單連號檢查：對於預先連續編號之表單(ex:銷貨發票、訂購單)，由系統檢查其編號是否重複或跳號,應用控制-輸入控制：原始資料控制(四),重複鍵入：對於重要之資料要求兩位人員重複輸入，並做比較，以確認輸入資料之正確性。檢查驗證碼：為避免經過核定之代碼輸入錯誤(ex:員工編號、客戶編號)輸入錯誤，可於代碼中加入檢查號碼。相關人員輸入特定代碼時，程式立即比對檢查碼是否相符；若有不符，表示輸入有誤，應重新輸入,應用控制-輸入控制：原始資料控制(五),迴轉文件之運用：一種後來可作為交易輸入文件使用之電腦輸出文件，可利用機器直接讀取資料，有助提高輸入作業之效率與正確性。資料控制職能：資料控制人員收到待處理資料時，應確認其經過授權，再加以登錄。資料處理各階段產生之控制總數，應由資料控制人員進行調節；若發生錯誤，應通知相關人員更正,應用控制-輸入控制：輸入驗證程序(一),可寫入電腦程式，由系統自動檢查輸入資料之有效性與正確性。此程式稱為編校程式(edit programs)，其 執行之檢查稱為資料編校檢查(edit checks)在批次處理之環境下，交易檔中之資料整批進行編校檢查；線上處理系統則逐筆編校檢查，直到資料完全正確編校檢查發現之錯誤應存入錯誤日誌(error log)，印出錯誤報表，由輸入人員或使用者據以更正後，併入下一批處理。資料控制人員應定期列印錯誤清單或報表，標明錯誤性質、發現日期及時間，作為改進輸入作業之參考,應用控制-輸入控制：輸入驗證程序(二),常見之輸入驗證程序為：欄位檢查(field check)：檢查某個欄位中之資料是否符合原先定義之型態(ex:數值、文字、日期)上下限與範圍檢查(limit and range check)：根據已知資料上之上下限，或範圍進行檢查(ex:員工每月加班時數是否超過規定上限)順序檢查(sequence check)：確認記錄按照適當之順序排序(通常用於批次處理)符號檢查(sign check)：確認特定欄位之值具有正確之符號(ex:薪資記錄之工時欄應為正值),應用控制-輸入控制：輸入驗證程序(三),有效性檢查(validity check)：將輸入之代號或交易代碼，與已經過核定或正確代碼比較，以確定其有效性合理性測試(reasonableness check)：測試輸入資料項目數值與相關主檔記錄之邏輯關係是否正確複資料檢查(redundant check)：利用一筆交易兩個欄位確認資料之正確性,應用控制-輸入控制：線上資料輸入控制(一),使用者利用終端機或個人電腦於線上輸入資料時，系統應立即檢查交易資之正確性與完整性，並要求使用者馬上補正，才能接受該筆交易資料,應用控制-輸入控制：線上資料輸入控制(二),線上輸入資料除可沿用批次輸入之驗證程序外，應額外採下列控制方法或程序：身份驗證：查驗使用者代號與密碼，以確認經過適當之授權權限測試：確認使用者具有輸入或檢視特定資料之權限訊息提示：給使用者明確之訊息提示，要求其依照一定之方式或順序輸入各項資料,應用控制-輸入控制：線上資料輸入控制(三),預先格式化：連線系統為避免資料輸入錯誤，可以透過程式設計，協助使用者輸入相關資料時，就如人工作業時事先印妥之原始表格一般完整性檢查(completeness check)：確認所有資訊都已順利傳出，若有遺漏，系統會通知使用者封閉迴圈驗證(closed-loop verification)：利用額外傳送之相關欄位資料覆核輸入資料之正確性,應用控制-輸入控制：線上資料輸入控制(四),交易資料自動輸入：ex:系統系統自動產生交易日期、傳票代號、員工代號等資料，以節省時間與錯誤交易日誌(transaction log)：詳細記錄每筆線上輸入之交易資料(ex:輸入資料之日期、終端機代號、使用者代號、交易序號、資料內容等)。當線上輸入之資料檔案毀損或系統當機時，可利用交易日誌重建資料檔或核對交易資料內容，以快速恢復運作錯誤訊息(error message)：系統應明確指出輸入錯誤之項目，並指示應如何改正,應用控制-處理控制(一),目的：合理保證依照特定應用系統之要 求進行相關處理，以確保資料處理及相 關檔案更新之正確性與完整性常見之處理控制措施為：資料更新檢查：檢查資料是否久未更新，以便判斷資料處理是否有誤，或將懸而不用之表格刪除相關資料核對：進行資料更新前，先比對相關資料項目，確認無誤後，再進行處理(ex:應付帳款請款前，應先核對供應商發票、採購單、驗收報告單上之貨品數量與金額),應用控制-處理控制(二),常見之處理控制措施為：與外部資料進行調節：定期比對資料庫之資料總數是否與存放於系統外之資料總數相符，以避免主檔存放著造假或應刪除之記錄資料明細帳戶餘額調節至統制帳戶：ex:應收帳款明細帳各客戶餘額加總應等於總分類帳應收帳款餘額，以確定資料無誤檔案轉換控制：舊檔案轉換成新檔案架構時，應採取適當之檔案轉換控制措施；若發生差異，應立即找出原因加以更正,應用控制-處理控制(三),常見之處理控制措施為：例外報導：資料處理過程中發生之異常現象，應加以記錄並做必要處理(ex:存貨科目資料出現貸方餘額)控制總數：在批次處理過程中之特定時點，計算控制總數，並與輸入階段之控制總數核對；在連線系統中，某個檔案當天變動情形可與原始資料核對同步更新控制：用以處理兩個以上之程式(或使用者)於同一時間試圖使用並更新同一檔案或資料項目之情形(ex:資料庫系統通常會將資料存取權限設定給具較優先順位之程式，而將其他程式暫時鎖住暫停),應用控制-輸出控制,目的：確認輸出資訊、表單及文件之完整性與正確性，並送交授權人員使用與保管，以維持資訊之安全資料控制職能應先檢視所有輸出之合理性及格式是否恰當，並調節相對應之輸出與輸入控制總數，以確認資料已經過完整、正確之處理；再者，資料控制職能應將輸出之報表分送給經過授權之使用者，並登錄於輸出派送登記簿資料處理過程中產生之錯誤清單，應由資料控制職能檢視及查詢後，再交給使用者更正，併入下一批處理使用者收到輸出之資料或表單時，應確認其是否完整與合理，並妥善地使用與保管；過期之機密性資料(ex:客戶名單、薪工登記表)，應予以銷毀，以免外洩而造成組織困擾與損失,內部控制系統之建立,管理階層體認內控制度之重要性配合業務、財務、管理之需要組織規劃應合理、明確劃分權責建立健全會計制度建立員工甄選、任用、升遷、培訓等人事制度設置內部稽核人員，協助管理階層調查、評估內控制度,內部控制系統之了解,內部控制問卷流程圖敘述性之備忘錄,內部控制聲明書,對象：公開發行公司程序：每年自行檢查內控制度設計及執行之有 效性時間：每會計年度終了後四個月內於證期局網 站公告申報，並刊登於年報與公開說明 書依據：公開發行公司建立內部控制制度處理準 則(92.12.18修正),會計師專案審查,對象：公開發行公司目的：使利害關係人了解公司之內控制度設計 及執行是否有效審查範圍：以受查公司與財務報導及保障資產安全有 關之內控制度審查意見：無保留意見(一)、無保留意見(二)、否定 意見、保留意見、無法表示意見審查報告日期：外勤工作結束日依據：公開發行公司建立內部控制制度處理準則(92.12.18修正),自我控制評估,定義：各營運單位之管理階層負責內控設計執行及風險評估方式：(1)研討會(由與會者坦誠對控制與風險問題提出檢討)(2)問卷調查效果：(1)稽核人員完成對控制之評估(2)被稽核者了解控制目的(3)管理階層主動負責維護良好之控制環境(4)流程改善問題被辨識並加以解決流程：(a)取得管理階層承諾與支持(b)適當之規劃(c)進行研討會(d)報告研討會之結果(e)提出行動計畫,內部控制之威脅與限制,成本效益之考量先天性限制：(1)人性(2)交易複雜性(3)環境變遷性,