1、2005/4/16,蔡琪銘,電腦稽核的心路與經驗分享,2005/4/16,蔡琪銘,為什麼需要電腦稽核作業?,應中華民國證期局的要求內部控制作業應包括的控制要點有:資訊部門與使用者部門權責之劃分、資訊處理部門之功能及職責劃分、系統開發及程式修改控制、編制系統文書之控制、程式及資料之存取控制、資料輸出入控制、資料處理控制、檔案及設備之安全控制、硬體及系統軟體之購置、使用及維護控制、系統復原計畫及測試程序之控制等作業。應美國沙氏法案強化公司管理體質並創造價值Importance1=2=3,1=3=2,2=3=1,3=2=1?,2005/4/16,蔡琪銘,控制種類,資訊作業控制環境,一般控制,應用控制
2、,安全控制,權限控制,災難防護控制,作業程序控制,維護作業管理,輸入,處理,輸出,預防性/偵測性/改正式,2005/4/16,蔡琪銘,People,Process,Technology,國票,霸菱銀行.,花x銀行,博達,安隆.,Espxx,管理與舞弊,2005/4/16,蔡琪銘,控制點-COBIT資訊控制模式,COBIT34項控制程序,計劃及組織(PO)1.0定義策略性IT計劃2.0定義IT架構3.0決定IT方向4.0定義組織及關係5.0投資管理6.0管理及方向之溝通7.0人力資源管理8.0確定符合外部需求9.0風險評估,10.0專案計劃管理11.0品質管理系統取得及建置(AI)1.0確認自動
3、化解決方案2.0取得並維護應用軟體3.0取得並維護資訊技術架構4.0開發及維護程序5.0安裝及驗收系統6.0變更管理,2005/4/16,蔡琪銘,電腦稽核實務-COBIT資訊控制模式,COBIT34項控制程序,交付及支援(DS)1.0定訂服務標準2.0外包服務廠商管理3.0系統效能及容量4.0確定持續性之服務5.0確定系統安全6.0訂定及分配成本7.0對使用者教育訓練8.0協助並建議客戶9.0系統設定管理,10.0問題及意外事件管理11.0資料管理12.0設備管理13.0操作管理監督(M)1.0監督處理程序2.0評估內控足夠性3.0取得獨立性擔保4.0獨立性稽核,2005/4/16,蔡琪銘,電
4、腦稽核十問,Whatissegregationofduties?Whatshouldbeincludedinthedisasterrecoveryplan?Whatwillyouconductaccountmanagementaudit?Whatisthebestpracticesofversioncontrol?Howwillyouconductsoftwarelicensemanagementaudit?Whatistheguidelineofencryptionrequirements?Whatwillyouauditontheremoteaccesscontrol?Whatwillbe
5、coveredinthepasswordpolicy?DowehavetobuildupacorporateITsecuritypolicyandprocedures?Andwhatwillbeincluded?Aretheaudittrailsveryimportantforconductingauditing?And,whatkindsoftrailsweneed?,2005/4/16,蔡琪銘,一路走來始終如一,堅持品質創新關係創造價值持續進修,2005/4/16,蔡琪銘,經驗分享優秀內部稽核選拔簡報-具體事蹟說明,Auditingsupport(技術支援)-稽核環境電腦化,稽核作業管理工
6、具ITAuditing(電腦稽核)-網路管理作業查核,應用系統查核,資料庫管理查核CSA(內控自行評估)Informationsecurityproject(資訊安全專案)Businessprocessauditing(作業流程查核)Education(推廣與教育訓練)Certification(證照)CIA/US,CISA/US,BS7799leadauditor/UK,講師證(專科以上合格講師)/中華民國教育部,2005/4/16,蔡琪銘,E時代稽核人員如何提升價值與優勢,2005/4/16,蔡琪銘,思維我的價值是什麼?(對部門內及對公司),2005/4/16,蔡琪銘,策略每個人均有其優點
7、及缺點,只是被用於何處,若能發揮長處,並且不斷學習吸收新知來彌補個人之缺點,同時,扮演好應扮演的角色,創造對組織之價值,便是最佳策略,2005/4/16,蔡琪銘,E世代人們面臨的問題,效果及效率之強烈要求深度電腦化價值觀的改變高效率之資訊傳播法律更改速度不及科技之進步全球化競爭,2005/4/16,蔡琪銘,稽核人員面對的e世代的問題,資訊系統環境應用的變遷自行開發的應用系統至現成之套裝軟體:改變的管理新舊系統的轉換:品質保證工作舊系統的風險不一定會是新系統的風險:不斷改變的風險PowerUser的趨勢:內稽人員應具備基本資訊技術之觀念及能力權限管理的新趨勢:使用者導向-提高稽核的難度資訊與通訊
8、技術的進步技術日新月異,複雜度提高有線,無線通訊平台資訊流通彈性與能力,2005/4/16,蔡琪銘,理想,按一個功能鍵便可產生稽核報告CEO晚上可以安心睡覺-面對風險怡然自得,2005/4/16,蔡琪銘,建立自動化稽核環境,理想全面性稽核而非抽樣性所有的稽核程式建立於稽核資訊系統中建立自動化稽核資訊系統,稽核人員只要按一個鍵或兩個鍵便可以產生稽核報告所有的發現藉由資訊系統追蹤管理持續性稽核,高效率稽核作業轉變稽核人員的價值在於訂定有效的自動化稽核系統之規格,當然稽核程式必須持續地檢視與修改善用適當的工具,2005/4/16,蔡琪銘,掌握風險,理想:稽核可以合理保證公司所有風險均在控制中自公司目標,策略至基層作業均以風險評估為原則,建立風險導向之控制環境轉變:由重大性原則為判斷基礎之稽核,演變成以風險(重大性*發生頻率)為基礎之稽核,2005/4/16,蔡琪銘,勁,注釋:(1)力量,(2)興趣,(3)堅強的,猛烈的,-衝勁,傻勁,2005/4/16,蔡琪銘,新,-新知,創新,2005/4/16,蔡琪銘,悟,-工作,生活,心靈,2005/4/16,蔡琪銘,謝謝!,
浙ICP备2021020529号-1 | 浙B2-20240490 
