资金结算中心基本设计思路.ppt

實務焦點資訊安全,美國銀行業潛在網路安全問題台灣案例網路銀行客戶密碼遭盜用銀行及客戶因應之道駭客入侵券商網路下單系統以破解軟體木馬程式，入侵兩家券商系統，盜用二千餘位客戶的密碼，下單買賣股票違反證券交易法、偽造有價證券、毀損、詐欺、偽造文書等罪證期會及業者因應之道,第八章內部控制,第一節何謂內部控制,內部控制的意義和必要性內部控制的限制內部控制的成本效益分析,第八章內部控制,內部控制的意義和必要性,內部控制的意義內部控制是受到公司董事會、管理當局及其他人事影響，為了達到有關企業目標，提供合理保證而設計的過程。企業目標1.營運之效果及效率2.財務報導之可靠性3.相關法令之遵循,第八章內部控制,來源：公開發行公司建立內部控制制度實施要點,#3,內部控制的限制,成本效益的考慮組織暴露於各種風險中控制制度中關於人的因素內部控制程序可能無法涵蓋所有交易經營環境的日趨複雜,第八章內部控制,成本效益分析,每個組織的內部控制系統都各有其獨特之處。並沒有所謂的標準控制程序可供業界參考、採用。而所謂的最佳內部控制系統也就是實施貫徹成本效益分析概念(Cost-Benefit Concept)。,第八章內部控制,一個成本效益分析的例子,Solution 1.僱用6名保全人員巡視賣場。該項控制程序預估將會使公司每年增加費用$300,000；失竊的損失降為0。Solution 2.僱用1名保全人員巡視賣場，並在角落裝設鏡子及監視器。該項控制程序預估將會使公司每年增加$80,000費用；失竊的損失降為$100,000。,第八章內部控制,第二節內部控制結構,內部控制的組成要素交易循環的控制目標企業專題8-1內部控制的缺失與改進,第八章內部控制,內部控制的組成要素(圖8-1),1.控制環境2.風險評估3.資訊與溝通4.控制活動5.監督,第八章內部控制,1.控制環境,正直與道德觀念勝任的承諾董事會及審計委員會管理哲學與經營型態組織結構圖8-2各類組織系統簡圖權利與義務的分派人力資源政策與規範,第八章內部控制,2.風險評估,確認風險並予控制內、外部事件與環境變遷之特殊考慮,第八章內部控制,3.控制作業,資訊處理控制適當授權文件與記錄獨立複核職能分工接取控制績效複核,第八章內部控制,4.資訊與溝通,完整的交易軌跡會計政策和程序手冊會計科目表複式分錄,第八章內部控制,5.監督,透過：進行中的作業定期評估包括：內部來源外部來源,第八章內部控制,交易循環的控制目標,一般化控制目標：所有交易業經適當授權所有記錄的交易都是有效的(實際發生的)所有有效、經授權的交易，已被完整、正確記錄遵守相關法令規範保護資產(現金、存貨及資料)安全達到營運之效果及效率。,第八章內部控制,交易循環的控制目標(續),文件與記錄(文件化)所扮演角色電子化文件之採用文件的預先、連續性編號文件與記錄上的簽章適當的文件與記錄確保組織承諾的達成,第八章內部控制,企業專題8-1內部控制的缺失與改進檔案,職能分工授權程序接取控制人事政策及慣例(持續考核)適當單據/文件憑證獨立內部驗證、存貨盤點,第八章內部控制,第三節系統控制的內容,1.依目標來區分預防性控制偵測性控制改正性控制2.依範圍來區分一般控制應用控制,第八章內部控制,一般控制,組織及作業控制系統開發及文件控制硬體和系統軟體控制接取控制資料及程序性控制,第八章內部控制,應用控制,輸入控制處理控制輸出控制,第八章內部控制,第四節資訊系統安全管理,資訊系統的風險企業專題8-2檔案備份電腦犯罪的原因與對策安全控管制度的建立企業專題8-3電子商務交易安全,第八章內部控制,資訊系統的風險,威脅資訊系統安全的來源：天然災害機件故障人為過失人為的故意破壞,第八章內部控制,企業專題8-2檔案備份,備份解決方案即時性 三線備援線上即時備份(On-line Backup)近線備份(Near-line Backup)離線備份(Off-line Backup)便利性可攜式固定式,第八章內部控制,電腦犯罪的原因與對策,電腦犯罪的型態藉由電腦病毒以癱瘓系統電腦駭客經由網路的入侵監守自盜目的金錢利得商業競爭成就動機,第八章內部控制,管理部門往往存在的問題,不恰當的工作分配對機件防護不當雖有制度化管理系統，卻未切實執行忽視電腦處理資料可信度的查核在知識與態度上的缺失,第八章內部控制,表8-2防範電腦犯罪的控制事項,第八章內部控制,安全控管制度的建立,安全控管的層級1.法律及社會道德2.行政管理之控管3.實體硬體網路安全之控管4.資料庫軟體安全之控管,圖8-6安全的四層控管,第八章內部控制,1.起始階段2.制定系統安全政策3.風險分析4.建立系統安全措施5.持續的監督和複核,圖8-7資訊系統安全控管制度的實施步驟圖8-8損失與安全控管成本關係圖圖8-93C原則,第八章內部控制,實施安全控管制度的步驟,企業專題8-3電子商務交易安全,阻斷服務(Deny of Service,DoS)網路銀行的安全體系網際網路轉帳作業DES v.s.RSA v.s.SET,第八章內部控制,