國內電腦稽核環境現況研究
摘要
由於近年來政府推動商業自動化政策,鼓勵企業電腦化及大力推展電子化政府,我國工商企業使用電腦有隨企業規模擴大而增加的趨勢,企業電腦化雖提供快速、有效率及一致性的效益,但其隱含錯誤或舞弊的風險亦比人工作業處理更加複雜,為確保控制系統的正常運作,企業亦需建立健全的稽核制度。本研究有鑑於電腦稽核日益重要,但甚少有關電腦稽核人員應如何進行稽核工作的相關研究,因此本研究以現有的文獻為基礎,嘗試發展出一份適用於國內一般組織的電腦稽核檢查表,一方面提供稽核人員在執行實地稽核查訪時的參考,稍減稽核人員不知從何開始與不知應查核那些項目的困擾;另一方面亦提供給組織內的資訊部門用以自行檢查與評估其現有安全控管措施的執行狀況。此外,並根據調查資料之統計結果將電腦稽核執行程度分為三等級,同時分析各等級可能會有的風險與改善現況的建議。
關鍵字:電腦稽核、電腦輔助稽核技術、檢查表、風險分析
The Study of EDP Auditing Environment
Ming-Dar
Hwang TamKang
University Department
of Information Management mdhwang@mail.im.tku.edu.tw Ling-Chuan
Kung TamKang
University Department
of Information Management 082850@mail.tku.edu.tw
Abstract
As the government was moving for business automation of recent years, the use of computers was on the increase. Computerization provides business with quickness, efficiency and consistency, even though it may contains more complex mistakes or maladies then artificial operations. Since computers play such a large part in assisting us process data, it is important that their use be controlled. It is tried to develop an audit checklist to evaluate control of computer use in the study, and applied to investigate the current situation of EDP auditing environment in Taiwan. In addition, this study can provide auditors a deeper understanding about how to audit in computerized environment, also the security audit and field evaluation can be carried out quickly, effectively, and economically by in-house personnel. It will classify the companies into three levels and analysis possible risks of them.
Keywords: EDP Auditing, CAAT, Checklist, Risk Analysis
前言
例如
(一) 例如
電腦稽核(EDP Auditing)是蒐集與評估證據(Evidence),以確認電腦系統是否足以保護企業資產、維護資料的完整性、有效的達到公司目標,以及有效率的使用公司資源的過程[21]。
由於近年來政府推動商業自動化政策,鼓勵企業電腦化及大力推展電子化政府,87年6月底我國工商企業使用電腦普及率達75.3% [2]。企業電腦化雖提供快速、有效率及一致性的效益,但其隱含錯誤或舞弊的風險亦比人工作業處理更加複雜,為確保控制系統的正常運作,企業亦需建立健全的稽核制度[18]。基於下列因素而引發本研究動機:
有鑑於電腦稽核日益重要,但目前國內有關電腦稽核的相關研究很少,而且大多為探討電腦輔助稽核技術的使用情況[3, 15, 18, 20],甚少有關電腦稽核人員應如何進行稽核工作的相關研究。
在多篇文獻中均提及國內十分缺乏電腦稽核專才與電腦稽核專業訓練[4, 5, 8, 13, 14, 17],同時研究顯示,我國內部稽核人員之電腦稽核能力均顯著低於理想化標準[17]。稽核人員往往因對於電腦系統及資訊作業特性不了解,以及缺少一套較嚴謹的查核程序及方式,以致對電腦稽核「不知從何開始進行查核較妥切」[11]。
至87年6月底我國工商企業平均每千名員工擁有309台個人電腦,使用電腦普及率有隨企業規模擴大而增加的趨勢[2]。因此,經訪談了解許多企業希望能在資訊系統安全方面能做自我評估,以了解企業本身安全控管措施的執行程度。
本研究希望能達成下列三項目的:
希望發展出一份適用於一般組織的電腦稽核檢查表,以提供稽核人員在執行實地稽核查訪時的參考,稍減稽核人員不知從何開始與不知應查核那些項目的困擾。
希望能提供電腦稽核檢查表給組織內的資訊部門,用以自行檢查與評估其現有安全控管措施的執行狀況,將來各組織以此檢查表做自我評估時,可了解本身的執行程度與需要加強之處。
希望能藉此研究將國內一般組織目前的執行程度加以分類,訂出等級的參考標準,讓各組織在做自我評估時,亦能將本身的執行程度與其他組織做一比較。
本研究範圍係針對公司(單位)內部資訊部門與電腦機房的安全控管現況做調查,特別是針對機房環境、電腦安全、區域網路、資料庫管理系統與系統發展等五部分,所以資訊外包、線上處理或網際網路…等部分並未列入本次研究中。
在本研究範圍內,為顧及研究項目的完整性,以致問卷內容在儘量精簡之後仍頗多,如此將會大大影響受調查者的填答意願,礙於現況的考量,為提高問卷回收率,因此並未以較具代表性的1000大企業為研究對象,而是以會員主要為「資訊主管」或「電腦稽核人員」(以上二者為本研究問卷的填答對象)的電腦稽核協會、資訊經理人協會、以及資訊應用發展協會等會員為主要寄發問卷的對象,如此樣本雖稍有偏頗,但也已具有相當的代表性,所以本研究對象包括了政府機構、公營事業單位及一般民營企業。
文獻探討
目前有關電腦稽核方面的研究並不多,相關文獻已整理於表一。在電腦輔助稽核技術方面的研究[3, 12, 15, 20],大多為探討如何利用電腦輔助稽核技術協助稽核工作,以及此技術的使用情況。
在內部稽核的相關研究中,與電腦稽核相關的主題,有探討內部稽核人員是否適任電腦稽核工作[17],或探討內部稽核人員從事電腦稽核工作之情況[18]。
有關電腦稽核檢查表的相關文獻中,國內「電腦作業稽核準則」[10]一書是為協助各金融機構之稽核單位人員進行電腦稽核工作而編寫的手冊,但其內容係完全針對金
表一 電腦稽核相關研究
篇 名 | 作者/年份 出版單位或期刊 | 內 容 簡 述 | |
電 腦 稽 核 檢 查 表 | Security Audit and Field Evaluation for Computer Facilities and Information Systems | Leonard I. Krauss/1972 Amacom | 組織的電腦設備與資訊系統的安全稽核與評估,是可以快速、有效率又經濟的方式執行的,本書就提供了一份實際可行的、低成本的稽核檢查表,共分人事、實體、資料文件與程式、操作、備份、系統發展、保險、安全程式等八部分。[25] |
Audit and Security Checklist Series | MIS Training Institute 1992~1997 MIS Training Institute | 為一系列的稽核檢查表,包括:電腦中心稽核檢查表、微電腦稽核與安全檢查表、區域網路稽核與安全檢查表、資料庫管理系統檢查表與系統發展專案稽核檢查表。[28-32] | |
How to Develop a More Effective Audit Checklist | Robert W. Brown/1997 Quality Progress | 近年來,大部分的問卷所犯的共同錯誤就是問題的型式僅需以簡單的yes/no回答即可。一份好的稽核檢查表,應是除了yes/no的答案外,尚可從中得到一些有意義的資訊,文中並舉例說明如何將傳統yes/no型態的問卷改成敘述式的問題。[33] | |
電腦作業稽核準則 | 財政部金融資訊規劃設計小組/1989 金融人員研究訓練中心叢書 | 為協助各金融機構之稽核單位人員進行電腦稽核,本手冊以問卷形式提示內部控制之需求,以協助稽核人員在進行查核時,可認定及評估資訊系統之管制措施,作為其進一步調查、分析並作成報告之依據;也提示稽核人員由稽核計畫之制定至稽核報告作成的某些要點,以及電腦稽核建制之指引參考。[10] | |
電 腦 稽 核 與 電 腦 安 全 | The Systems Development Audit | Chris Nelms/1996 Computer Audit Update | 本篇概要說明電腦稽核人員應該參與系統發展專案的目的,以及參與過程中應如何參與、如何執行工作、如何提出一份適切的意見報告予管理者,最後彙整出專案的每一階段應執行的稽核工作重點。[21] |
A Survey of EDP-Audit Departments in Dutch Banking | Marcel Bongers & Edo Roos Lindgreen 1997 Computer Audit Update | 在荷蘭,除了外部稽核公司之外,銀行業是EDP稽核人員的最大顧主。本篇論文係描述1994年所做的一份有關荷蘭銀行業EDP稽核部門的人數(Size)與工作(Task)的調查結果,該調查之目的是希望能指出EDP稽核部門人數(Size)與工作(Task)的標準規範[27] | |
Measuring the Performance of Computer Operations | M. Virginia Cerullo & Michael J. Cerullo/1997 Computer Audit Update | 資料處理操作面的稽核是用以評估資料處理作業的執行是否有效率的方法。本篇主要在介紹資料處理系統操作稽核的特性,以及稽核階段中「初步的準備」、「初步的調查」、以及「細部的稽核與檢查」等三階段。[26] | |
Auditing The IT Security Function | Keith Osborne/1998 Computer & Security | 目前在組織中有設立IT安全部門者還很少,因此有關如何稽核IT安全部門的資訊或經驗也非常少。本研究中介紹了目前IT安全部門的職責與角色,以及稽核人員應該要了解的三項較重要的IT安全作業:”IT安全政策”、”風險的評估、分析與管理”和”訓練、教育與自覺”,也探討”以成本效益的觀點來檢視與稽核IT安全部門”。[24] | |
CISA Review Technical Information Manual | ISACA/1998 ISACA | 內容包括電腦稽核師證照考試需知,以及資訊系統的稽核標準、安全和控制實務、組織與管理、完整機密與可用性、發展取得與維謢等部分。[23] ISACA:Information Systems Audit and Control Association | |
銀行業電腦內部控制系統和電腦稽核之研究 | 歐陽雯/1985 淡江大學資訊工程研究所碩士論文 | 根據台灣當時銀行的作業環境及作業型態,嘗試以系統的觀點,整合管理科學和電腦技術,提出一套適用於台灣地區銀行業之電腦內部控制架構與電腦稽核方法,作為銀行決策管理者及內部稽核人員在執行其控制功能時的指南。[19] | |
以電腦化稽核作業增強資訊系統整體安全之研究 | 林國楨/1987 清華大學計算機管理決策研究所碩士論文 | 根據國內目前資料系統作業環境及作業型態,嘗試以系統之觀點,整合「計算機、管理、快速」之技術,提出一套適用於國內金融業界資訊系統內部控制架構及電腦稽核方法,作為企業決策管理者及內部稽核人員在執行其控制功能時之指南。[9] | |
資訊系統稽核控制架構建立的探討 | 趙時勤/1992 中興大學企管研究所碩士論文 | 建立一電腦化資訊系統之稽核控制架構。由預防、偵測、更正三方面探討資訊系統在設計階段所應具備之內涵;在處理階段所應具備之控制程序;以及資訊作業環境的管理控制和安全措施。資訊部門可循此架構,作為提升資訊系統品質;訂定標準作業程序;改善作業環境之參考。[16] | |
銀行業電腦安全控管政策之研究 | 林黛卿/1992 臺灣大學會計研究所碩士論文 | 本研究旨在調查目前銀行業者實施電腦安全控管的現況及針對銀行業的作業型態提出安全防範重點。此外亦調查銀行業目前在電腦化作業之下,電腦稽核的因應之道及電腦輔助稽核技術使用情況及可能遭遇的問題。[7] | |
電 腦 輔 助 稽 核 | 臺灣會計師界使用電腦輔助審計技術之研究 | 蘇裕惠/1991/臺灣大學商學研究所碩士論文 | 探討我國目前會計師界如何因應企業電腦化之趨勢,其使用電腦輔助審計技術之狀況,以及其使用與不使用之原因。[20] |
臺灣企業內部稽核人員使用電腦輔助審計技術之研究 | 張俊文/1993 成功大學企管研究所碩士論文 | 從內部審計的觀點,探討目前我國企業內部稽核職能如何因應企業電腦化趨勢,及使用電腦輔助審計技術之狀況。[15] | |
利用資訊技術協助金融機構之管理稽核 | 李美慧/1997/成功大學會計研究所碩士論文 | 探討如何利用資訊技術模組化金融機構之管理稽核程序,了解通用審計軟體其多項功能與優點。[3] | |
內部稽核 | 我國國營事業與民營企業電腦內部稽核之研究 | 劉盈欒/1994 政治大學會計研究所碩士論文 | 先明瞭國營事業與民營企業資訊部門及內部稽核制度,之後再介紹其使用電腦稽核之實施現況,並評估其相關問題。研究結論包括企業內部實行電腦稽核情況並不普遍,稽核人員的學歷將影響其對稽核技術的熟悉度…等。[18] |
我國內部稽核人員稽核電腦化系統之適任性及影響其適任性之因素 | 劉佳宜/1997 成功大學會計研究所碩士論文 | 探討資訊科技對內部稽核人員電腦稽核能力之影響,以及影響內部稽核人員運用電腦稽核能力之相關因素。[17] |
融機構的營業單位與資訊單位的電腦作業而設計,並不適用於其他行業,且距今已十餘年,也已不符合現況。國外早於1972年就有”Security Audit and Field Evaluation for Computer Facilities and Information Systems “ (簡稱SAFE)[25]一書是有關電腦稽核檢查表的設計,但因年代過於久遠,當時之電腦環境與現今已完全不同。美國資訊系統稽核與控制協會(Information Systems Audit and Control Association,簡稱ISACA)雖也有針對資訊系統稽核出版書籍[23],但內容主要為理論上的敘述,對於應稽核的內容僅條列式的列出一些重點。美國MIS訓練機構(MIS Training Institute)所出版的“稽核與安全檢查表系列”[28-32]則因係針對美國國情而設計,並不適合直接套用於國內。
綜合以上所言,國內目前甚少有探討電腦稽核人員應如何進行稽核工作的相關研究,因此本研究希望在參考前述文獻後,能發展出一份適用於國內一般組織的電腦稽核檢查表。
研究設計
本研究係採用資料蒐集方法中的調查研究法(Survey Research),選用自填式問卷/郵寄調查方式[1, 22]。研究的過程依序為:文獻探討、訂定研究主題、設計電腦稽核檢查表、訪談徵詢專家意見、修訂電腦稽核檢查表、進行問卷調查、統計與分析結果、以及研究結論與建議。
本研究之問卷架構係以美國MIS訓練機構所出版的“稽核與安全檢查表系列”[28-32]為設計基礎,內容則參考多篇國內外文獻[10, 23, 25, 28-32, 33]編寫而成,與“稽核與安全檢查表系列”相比較,在內容上具有下列不同的特點:
該問卷僅為yes/no的問題,所得資訊有限;本問卷則是每一題目都用數個項目來描述該題目所可能會有的各種答案,若無適當的選項,亦可於「其他」一欄中說明,所以內容具有描述性。
該問卷題目敘述較粗略,若填答者僅部分有執行但部分未執行,則會造成填答上的困擾與偏差;本問卷的設計已盡可能將各種情況單獨列出,較無此問題。
由於本問卷的問題都經過分門別類,每一題目的內容也已用數個項目加以詳盡敘述,所以可以衡量出各題目或各類別的執行程度,而該問卷的設計並無法衡量各題目的執行程度。
本問卷在寄發前已經過多次的預試與修改,並請數位專家試填後提供意見,以增加內容的效度。問卷的填答大多數為複選題,填答者在問卷上直接勾選適當之答案即可,若無適當之選項亦可於「其他」一欄中說明,如此則可減少填答者的負擔,縮短其答題與思考的時間。測量尺度多採用名目尺度(Nominal Scale)[1]。調查時間約自87年12月10日至88年1月10日,共寄發267份問卷,回收77份,回收率為28.84%。
資料分析
基本資料分析
基本資料分析的部分主要的統計結果如下:
由表二與表三中可看出高階主管對資訊部門與電腦稽核工作的重視程度略有差異,可能是因為資訊部門所帶給公司(單位)的好處或利益大多是明顯可見的,而電腦稽核工作的貢獻主要為防弊,無法直接創造利潤,因此高階主管較不易明顯感受到其重要性。但表三中所顯示的高階主管對電腦稽核工作的重視程度,與表五中「高階主管不支持」此一因素僅佔5.5%的結果是很一致的。
表三高階主管對電腦稽核工作的重視程度 項目 樣本數 百分比 非常重視 15 19.7 重視 27 35.5 普通 24 31.6 不重視 2 2.6 非常不重視 1 1.3 不清楚 7 9.2
項目 | 樣本數 | 百分比 |
非常重視 | 31 | 40.3 |
重視 | 34 | 44.2 |
普通 | 11 | 14.3 |
不重視 | 1 | 1.3 |
非常不重視 | 0 | 0 |
表五電腦稽核工作所遭遇的最大困難 項目 樣本數 百分比 缺乏專業技術 31 34.1 資訊環境變動太快 20 22.0 專業人才不足 19 20.9 內部員工不配合 8 8.8 經費不足 6 6.6 高階主管不支持 5 5.5 不清楚 2 2.2
表四電腦災害發生的原因
項目 | 樣本數 | 百分比 |
機件故障 | 25 | 58.1 |
人為疏失 | 10 | 23.3 |
天然災害 | 7 | 16.3 |
蓄意破壞 | 1 | 2.3 |
從表四中可看出電腦災害發生的原因主要為機件故障與人為疏失,但這二項原因是可以透過平日良好的控管措施加以預防而降低其發生機率的。另外,目前雖僅一家有遭蓄意破壞的經驗,但由於一般蓄意破壞是為了惡意性的報復,所以也往往會造成重大的損失,不可不加以重視。
表五中「缺乏專業技術、資訊環境變動太快、專業人才不足」等三項為電腦稽核工作所遭遇的最大困難,這與許多專家學者所提及國內十分缺乏電腦稽核專才與電腦稽核專業訓練[4, 5, 8, 13, 14, 17]此一論點不謀而合。
基本資料分析的其他統計結果簡述如下:
本次問卷調查回收的問卷中,以國人投資公司佔61%為最多,其次依序是外商公司13%、公營事業10.4%、政府機構與中外合資公司各佔7.8%。行業別是以製造業(42.3%)與金融、保險及不動產業(23.9%)為主,其次是工商服務業(11.3%)。平均每年營業額(政府機構除外)則是以「31億以上」的佔48.6%為最多,其次是「11-20億」佔16.7%,「1-5億」與「21-30億」各佔11.1%,「6-10億」佔8.3%以及「1億以下」佔4.2%。
在77份問卷中有59.7%的公司(單位)已利用電腦處理資訊達11年以上,其次為6-10年的佔29.9%,其餘也至少都有1年以上利用電腦處理資訊的經驗。
資訊部門之人數以「21人以上」者稍多佔34.2%,「1-5人」、「6-10人」、「11-20人」則各佔約20%。
公司(單位)中已設有電腦稽核此項職務者,負責該職務的人數有73.3%是「1-2人」,22.2%是「3-5人」,4.4%是「6人以上」。設立時間是以「1-5年」為最多佔63.4%,其次為「6-10年」的佔17.1%,「未滿一年」與「11年以上」者各佔9.8%。但目前仍有37.5%的公司(單位)是尚未有人員負責電腦稽核工作的。
由前幾項統計資料得知,有89.6%的公司(單位)已利用電腦處理資訊達6年以上,62.5%的公司(單位) 有負責電腦稽核工作的人員,再配合設立電腦稽核職務時間的比率資料來推論,近幾年已注意到電腦稽核重要性的公司,有逐漸增加的趨勢。
負責電腦稽核的人員在組織中以隸屬於稽核室(27.3%)、總經理(或相當)之主管(27.3%)、以及電腦部門(25%)三者為最多,隸屬於會計或財務部門者則佔13.6%。但隸屬於電腦部門的電腦稽核人員其獨立性會較有爭議。
曾經發生造成損失的電腦災害次數中以未曾發生者最多佔68.4%,其次為「1-2次」的佔15.8%,「3-5次」佔9.2%,「6次以上」者最少佔6.6%。在曾經發生電腦災害的公司(單位)中,有37%認為其影響程度嚴重或非常嚴重,40.7%認為還好,22.2%認為並不嚴重。
填答者的職位主要是資訊主管佔64.9%,其他尚有一般資訊人員(19.5%)、一般稽核人員(7.8%)、(電腦)稽核主管(6.5%)以及高級專員(1.3%)。
電腦稽核環境現況分析
本研究問卷的架構,除基本資料之外,共由五項構面去調查國內電腦稽核環境的現況,雖然每一稽核項目的調查結果都有助於我們了解國內的現況,但限於篇幅,所以在此僅列出主要的發現,詳細的調查結果請至網站(網址:hwang.im.tku.edu.tw)上查看完整之論文內容。主要的發現有下列數點:
在機房實體安全的部分仍有需要加強之處:從現行的安全控制措施執行率低於20%的項目中可發現,大部分的公司(單位)在機房門口未設置管制站或管制人員、對信件或包裹的傳送未加以管理、對機房相鄰的區域沒有管控以及缺乏人員避難時的疏散計畫,這些都是可以再改進的部分。
大部分的公司(單位)都並未執行「強迫休假」制度:未執行此一制度者佔64.9%,推測是因為大部分目前尚未遭遇人為的蓄意破壞(表四),所以並不覺得此一制度的重要,但許多的人為弊案都不是在做案當時被發現的,而往往是在追查其他事件時才被揭發,因此隱含有“人為弊案不易被察覺”的風險。
對災難/意外事故復原計劃未確實重視:由於大部分的公司(單位)都並未不定期開會檢視復原計劃中參與人員的職責,也沒有將復原計劃書送與每位應參與的人員或對其做測試,所以大多祇是限於書面形式。
部分硬體替代方案忽略地理位置的考量:雖然統計資料顯示82.9%的公司(單位)有硬體替代方案,但其中卻有33.3%的硬體替代方案是與目前的電腦機房位於同一棟建築物中,對這些公司(單位)而言,若該建築物發生火災、地震倒塌或斷水斷電等情況時,其替代方案是很有可能同時被波及的,因此並不是很適合做為替代方案。
大多數認為現行的硬體替代方案可以符合公司(單位)的需求:在三種硬體替代方案中,選擇“由廠商負責提供”者佔68.4%為最多,其次是“自行準備備用設備”佔31.6%,可能是因為由廠商提供可免去另備空間、硬體維護等麻煩。僅11%的填答者認為以硬體替代方案接續作業所需的前置時間並不符合公司(單位)的需求,其他都認為尚可或符合需求。
對撥接連線的安全控制措施應再加強:在「區域網路的管制措施」方面,相較之下,以對撥接連線的安全控制措施做的較少,大多僅透過對電話號碼的管制與授權使用做管制,卻沒有在使用者上線時再加以確認身份或加以控管。
不重視資料字典的建立與使用程序:僅約14.5%的公司(單位)對資料字典有保管與確定完整的程序,以及可由系統自動將資料項目的屬性編製成文件。因此,資料字典的建立過程就可能會發生項目遺漏、不一致或重複等問題。此外,也僅有17.1%對資料字典的使用有說明文件。
缺乏在系統發展時即放入稽核常式的觀念:有稽核人員參與系統發展專案者僅佔17.4%,而會在系統發展過程中就決定要使用的稽核常式與使用方式者也僅14.5%,但俗話說:預防勝於治療,未事先考慮稽核問題,將增加日後查核該系統的複雜度。
電腦稽核等級
在調查了七十七家的電腦稽核環境現況後,為便於一般公司(單位)在執行自我評估時能有等級做參考與比較,於是將所有樣本依據其填答結果之總得分率高低,以百分比法均分成A、B、C三等級,使每一等級之樣本數各佔約1/3,結果如表六。得分率之計算方式請參看「自我評估」的部分。由於等級參考表係根據本次問卷調查的樣本填答結果所訂定,將來隨著時間與樣本的變更可能會有變動,但在現階段仍具有參考價值。
表六電腦稽核等級參考表
等級 | 樣本數 | 平均(%) | 最大值(%) | 最小值(%) |
A級 | 25 | 62.61 | 89.23 | 48.34 |
B級 | 26 | 43.39 | 48.17 | 38.57 |
C級 | 26 | 30.09 | 37.11 | 16.90 |
交叉分析
為能更深入了解稽核等級與相關因素之間的關聯性,因此進行交叉分析(卡方檢定)。基本資料與稽核等級交叉分析的結果,僅「負責電腦稽核工作的人數」一項有達顯著水準(p<=0.05),如表七,也就是負責電腦稽核工作的人數與所獲得的稽核等級是有相關性的。
表七負責電腦稽核工作的人數與稽核等級交叉表
卡方值:17.856 | 稽核等級 | 小計 | |||
p 值:0.007** | A | B | C | ||
0人 | 樣本數 | 7 | 6 | 14 | 27 |
百分比 | 9.72 | 8.33 | 19.44 | 37.5 | |
1-2人 | 樣本數 | 7 | 18 | 8 | 33 |
百分比 | 9.72 | 25.00 | 11.11 | 45.83 | |
3-5人 | 樣本數 | 7 | 2 | 1 | 10 |
百分比 | 9.72 | 2.78 | 1.39 | 13.89 | |
6人以上 | 樣本數 | 1 | 0 | 1 | 2 |
百分比 | 1.39 | 0 | 1.39 | 2.78 | |
小計 | 樣本數 | 22 | 26 | 24 | 72 |
百分比 | 30.56 | 36.11 | 33.33 | 100.00 | |
**p <= 0.01
為了要了解稽核項目與等級的相關性,我們先檢定問卷五個構面與等級之間的關聯性,檢定結果如表八,不同的等級在五項構面上的回答結果是有顯著差異的。
表八五項構面與稽核等級交叉表
構面 | 卡方值 | p值 |
機房環境的控制措施 | 73.543 | 0.001** |
電腦安全的控制措施 | 53.440 | 0.001** |
區域網路(通訊)的管制措施 | 40.497 | 0.001** |
資料庫管理系統的管控 | 53.712 | 0.001** |
系統發展的管控 | 29.321 | 0.001** |
**p <= 0.01
在確定不同的等級在五項構面上的回答結果是有顯著差異之後,為能更了解詳細的差異項目,於是將稽核等級分成AB與BC二組,分別與五項構面共363項之稽核項
表九稽核項目與AB等級交叉表
稽核項目 | 卡方值 | p值 |
| ||
經常查看確認走廊通道上無妨礙逃生的障礙物 | 8.161 | 0.004 |
樓梯間有防火門相隔 | 9.691 | 0.002 |
有自動滅火系統或可供消防隊使用的儲備水源 | 10.363 | 0.001 |
對監控系統或警報系統會進行定期或不定期檢查或測試 | 12.476 | 0.001 |
對緊急照明設備會進行定期或不定期檢查或測試 | 9.477 | 0.002 |
緊急電話可直接撥外線,不需透過內部交換機 | 8.670 | 0.003 |
備有足夠可用的緊急照明設備 | 10.043 | 0.002 |
清楚地標示緊急出口的方向 | 8.632 | 0.003 |
要求應徵者對其所填寫之資料出具證明文件 | 8.400 | 0.004 |
主動調查應徵者之信用狀況 | 11.455 | 0.001 |
確認已適當的處理離職人員的薪津資料 | 7.994 | 0.005 |
對電腦操作的控制包括「工作(job)重新執行或啟動程序」 | 13.380 | 0.001 |
平日會檢視例外報表 | 8.632 | 0.003 |
在檢視與電腦操作相關的記錄或文件時,會確認工作(job)的重新執行(啟動)程序可以從中斷處開始繼續執行 | 8.846 | 0.003 |
檔案儲存櫃或保管室在不使用時一律上鎖 | 7.994 | 0.005 |
備份的措施包括已建立各種不同的應用軟體執行時的優先順序 | 14.839 | 0.001 |
| ||
當硬碟上的檔案有更改時,也會更新備份的資料 | 11.088 | 0.001 |
| ||
區域網路的政策中有明訂使用者對於網路相關的軟硬體維護與安全應負的義務 | 10.783 | 0.001 |
隨時更新現有區域網路相關軟體的清單 | 15.154 | 0.001 |
僅獲授權者可使用撥接連線 | 10.754 | 0.001 |
當網路硬體發生故障時,可快速的取得零件更換 | 12.790 | 0.001 |
| ||
資料庫管理人員會參與規劃軟體支援或與資料庫管理系統有相關的短程與長程計劃 | 12.931 | 0.001 |
資料庫管理人員的職責包括檢視、測試、評估和認可系統與程式,以及會涉及資料庫存取的程式更改 | 9.167 | 0.002 |
資料庫管理人員的職責包括檢視資料庫管理系統,以確定可偵測到未經授權的更改 | 8.193 | 0.004 |
資料庫管理人員的職責包括對未經授權的、無效的或有問題的事件主動調查 | 13.211 | 0.001 |
嚴格禁止資料庫管理人員在沒有使用單位的同意與控制下輸入應用程式或是輸入使用者交易 | 11.458 | 0.001 |
資料庫管理系統對資料庫所作的建立、更新、讀取、刪除等存取動作都有記錄 | 10.661 | 0.001 |
資料庫管理系統或其他軟體對系統軟體能提供適當地認證 | 10.864 | 0.001 |
資料庫管理系統或其他軟體對應用程式能提供適當地認證 | 7.894 | 0.005 |
資料庫管理系統或其他軟體對交易能提供適當地認證 | 9.090 | 0.003 |
有使用者參與決定資料庫管理系統的功能與特性 | 8.913 | 0.003 |
所有對運作中的資料庫應用軟體系統和程序的更改,必需提出書面申請並得到許可 | 11.313 | 0.001 |
| ||
有訂定階段性之系統驗收標準 | 10.793 | 0.001 |
在可行性分析階段會確認可行性研究結果報告經管理指導委員會、相關部門主管認可 | 7.768 | 0.005 |
細部設計與程式撰寫階段會檢視系統開發標準手冊 | 9.711 | 0.002 |
在執行階段會檢視系統的排程與執行程序 | 10.137 | 0.001 |
系統上線後檢視操作人員錯誤登錄的記錄,以判定系統是否有潛在的問題 | 7.982 | 0.005 |
目做交叉分析,找出每一組中二種等級在稽核項目執行上有顯著差異的項目,因限於篇幅,無法將所有p<=0.05的項目一一列出,因此僅將p值<=0.005的項目列出,A級與B級主要的差異項目請參看表九,B級與C級主要的差異項目請參看表十。A級與B級主要的差異項目可作為B級擬改進安全控管措施以提升等級時的重要參考,同樣地,B級與C級主要的差異項目可作為C級擬改進提升等級時的重要參考。
表十 稽核項目與BC等級交叉表
稽核項目 | 卡方值 | p值 |
| ||
對較敏感的職位有執行工作輪調 | 9.433 | 0.002 |
對於下雨、颱風、地震等天災所可能引起的電腦損壞或資料通訊中斷已有預防措施 | 17.333 | 0.001 |
有指派人員負責所有檔案的管理 | 10.035 | 0.002 |
有訂定借還檔案的程序 | 9.339 | 0.002 |
有訂定編製文件的標準與程序 | 7.879 | 0.005 |
事先印出的電腦表格若具有機密性,會特別加以保管以防止未經授權的取用 | 15.167 | 0.001 |
| ||
在電腦的存取控制日誌中,記錄的資料內容包括使用那一台電腦 | 11.345 | 0.001 |
備份的檔案版本與使用中的檔案版本相同 | 9.028 | 0.003 |
當電腦硬體故障且無法於可容許的時間內修復時有硬體替代方案 | 8.947 | 0.003 |
以替代方案來接替現有電腦作業所需的前置時間能符合公司(單位)的需求 | 14.770 | 0.001 |
| ||
嚴格禁止資料庫管理人員在沒有使用單位的同意與控制下輸入應用程式或是輸入使用者交易 | 8.762 | 0.003 |
資料庫管理系統或其他軟體對檔案/記錄/資料能提供適當地認證 | 8.580 | 0.003 |
| ||
系統發展專案的成員包括專案的系統發展小組 | 8.222 | 0.004 |
表十一 各等級風險分析表
A級可能的風險項目 | |
|
|
|
|
|
|
|
|
B級可能的風險項目 | |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
C級可能的風險項目 | |
|
|
|
|
|
|
|
|
|
|
| |
風險分析
根據前一節中不同等級之間的交叉分析結果(表九、十),表中的稽核項目代表較低等級中較少人執行的項目,同時再參考「電腦化環境的風險」[18]以及「資料安全威脅以及防範」[6],本研究依此對B、C等級相對所可能會有的風險提出了建議。A等級因為已是最高等級,無法以此方式做比較,所以選擇在此一等級中執行率低於20%的項目,做為其相對容易產生風險的項目。A、B、C不同等級的風險分析列於表十一。
自我評估步驟
本研究結果之一--「電腦稽核檢查表」已放置於網路上,有興趣者可自由下載使用。對有意做自我評估者,請參考下列自我評估步驟說明:
上網至網址:hwang.im.tku.edu.tw下載「電腦稽核檢查表」;
確實依據公司(單位)實際狀況填答:每一項目有執行者勾選「是」,未執行者勾選「否」。
計算得分率:每一單項若勾選「是」則得1分、「否」則不計分,算出總得分後除以總答題數(總題數減跳答題數)即可算出得分率。
總題數:363
可跳答題數共三題:
第壹部分、第二大題、第1小題題數為5
第壹部分、第三大題、第6小題題數為3
第參部分、第二大題、第4小題題數為7
例外:第壹部分、第一大題的第2小題:「訪客進入電腦機房的規定」,本題中「謝絕訪客」一項若勾選「是」,則另二項不可勾選,並且該題以得二分計算,因為既然訪客不可進入,則不需有防範措施;若勾選「否」,則依一般計分方式--本項目不計分。
依據表六自我評估等級,再參考與前一等級之差異表(表九、十),了解主要差異項目。
參看各等級之風險分析表(表十一),了解現階段公司可能會有的風險,再決定是否採取改進或防範措施。
結論與建議
結論
本研究結果彙總如下:
高階主管對資訊部門的重視程度略高於對電腦稽核工作的重視程度。
電腦稽核工作目前所遭遇的最大困難依序為:缺乏專業技術、資訊環境變動太快與專業人才不足,所以應加強電腦稽核人才的培訓與提昇現有人員的專業訓練。
電腦災害發生的原因主要為機件故障與人為疏失。
負責電腦稽核工作的人數與所獲得的稽核等級是有相關性的,負責人數為0者,有51.9%的稽核等級為C級,而負責人數在3人以上者,則有75%以上屬於A級。
本研究根據問卷的調查結果與填答者之建議,在修改問卷後已完成一份適用於一般公司(單位)的電腦稽核檢查表,且放置於網路上供有興趣者自行下載使用,並已於前面說明自我評估的步驟。
為便於一般公司在執行自我評估時能有等級做參考與比較,於是本研究也根據現有樣本資料之統計結果訂出「電腦稽核等級參考表」如表六。
AB與BC等級之間的差異表請參看表九、十,此表可提供B級或C級擬提升等級時的重要參考。
風險分析表(請參看表十一)中已列出各等級所可能會有的風險,讓公司可了解在現階段可能會有的風險,再決定是否採取改進或防範措施。
本研究問卷中每一稽核項目的調查結果,可讓我們了解國內目前一般組織的執行狀況,但限於篇符而無法完整列出,詳細的調查結果請至網站(hwang.im.tku.edu.tw)上查看。
未來研究建議
本研究問卷中的每一問題與選項,其權重與執行嚴謹與否的衡量,因為沒有統一的界定標準,爭議較多,因此在本研究中不考慮此二項較複雜因素的影響程度,假設每項題目與選項的重要性相同。未來研究者可針對權重問題再加以深入研究。
由於等級參考表係根據本次問卷調查的樣本填答結果所訂定,因此僅能反應目前的現況,將來隨著時間與樣本的變更,必須持續進行後續調查工作,隨時修正等級參考表。
本研究中係主觀的將稽核等級分成三類,建議未來研究者可採用較有統計理論基礎的方式找出較佳的分類組數。
本研究所發展的電腦稽核檢查表,其內容與項目雖經多次的修改與盡力的思考,力求完善,但畢竟個人能力有限,因此未來研究者可再予以修正,或是針對某一特定行業別或公司作調整,使其更適合於個別使用者。
未來研究可針對目前負責電腦稽核工作的稽核人員之背景(學歷、年齡…)是否會影響其稽核電腦作業的能力再深入研究。
後續研究亦可考慮以預防(Preventive)、偵測(Detective)與更正(Corrective)三項控制的角度來研究電腦稽核的環境,可與本研究結果做一比較。
參考文獻:
[ 1]古永嘉,”企業研究方法”,華泰書局,民國85年3月,頁106, 188-192。
[ 2]行政院主計處電子中心,”電腦概況應用調查--八十七年度調查結果”,行政院主計處電子中心網頁,www.dgbasey.gov.tw/eyimc/switch2/87www3.htm
[ 3]李美慧,”利用資訊技術協助金融機構之管理稽核”,成功大學會計研究所碩士論文,民國86年。
[ 4]吳琮璠,”國外政府機構資訊系統安全稽核制度”,存款保險資訊季刊10:2,民國85年12月,頁21-40。
[ 5]吳琮璠,”如何稽核已電腦化的企業?電腦化稽核專才必備的十八般武藝”,會計研究月刊第57期,民國79年6月,頁80-83。
[ 6]宋鎧等五位,”管理資訊系統”,華泰書局,民國86年7月,頁408。
[ 7]林黛卿,”銀行業電腦安全控管政策之研究”,臺灣大學會計研究所碩士論文,民國81年。
[ 8]林國楨,”保衛資訊系統安全—電腦稽核制度”,存款保險資訊季刊3:3,民國79年3月,頁42-54。
[ 9]林國楨,”以電腦化稽核作業增強資訊系統整體安全之研究”,清華大學計算機管理決策研究所碩士論文,民國76年。
[10]財政部金融資訊規劃設計小組,”電腦作業稽核準則”,金融人員研究訓練中心,民國78年3月。
[11]陳章正,”如何做好金融資訊系統之稽核”,存款保險資訊季刊10:2,民國85年12月,頁61-75。
[12]陳耀崑,”利用電腦輔助稽核之技巧”,存款保險資訊季刊9:1,民國84年9月,頁111-120。
[13]陳章正,”如何捍衛你的銀行—資訊系統內部控制與電腦稽核”,資訊與電腦,民國82年7月,頁7-9。
[14]曾垂紀,”小型金融機構之電腦稽核—美國儲貸機構使用電腦服務中心之介紹”,存款保險資訊季刊9:4,民國85年6月,頁33-41。
[15]張俊文,”臺灣企業內部稽核人員使用電腦輔助審計技術之研究”,成功大學企管研究所碩士論文,民國82年。
[16]趙時勤,”資訊系統稽核控制架構建立的探討”,中興大學企管研究所碩士論文,民國81年。
[17]劉佳宜,”我國內部稽核人員稽核電腦化系統之適任性及影響其適任性之因素”,成功大學會計研究所碩士論文,民國86年,頁109。
[18]劉盈欒,”我國國營事業與民營企業電腦內部稽核之研究”,政治大學會計研究所碩士論文,民國83年,頁2, 85。
[19]歐陽雯,”銀行業電腦內部控制系統和電腦稽核之研究”,淡江大學資訊工程研究所碩士論文,民國74年。
[20]蘇裕惠,”臺灣會計師界使用電腦輔助審計技術之研究”,臺灣大學商學研究所碩士論文,民國80年。
[21]Chris Nelms, “The Systems Development Audit,” Computer Audit Update, June 1996, pp16-21.
[22]Donald R. Cooper & C. William Emory, “Business Research Methods,” Fifth Edition, 1995, pp282.
[23]ISACA, “CISA Review Technical Information Manual,” Information Systems Audit and Control Association, 1998, pp80-82,148-160,216-218,290-295.
[24]Keith Osborne, “Auditing The IT Security Function,” Computer & Security, Volume 17, Issue:1, 1998, pp34-41.
[25]Leonard I. Krauss, “Security Audit and Field Evaluation for Computer Facilities and Information Systems,” Amacom, 1972, pp1-221.
[26]M. Virginia Cerullo & Michael J. Cerullo, “Measuring the Performance of Computer Operations,” Computer Audit Update, March 1997, pp9-18.
[27]Marcel Bongers & Edo Roos Lindgreen, “A Survey of EDP-Audit Departments in Dutch Banking,” Computer Audit Update, March 1997, pp19-32.
[28]MIS Training Institute, “Database Management System Checklist,” 1997.
[29]MIS Training Institute, “LAN Audit and Security Checklist,” 1992.
[30]MIS Training Institute, “Microcomputer Audit and Security Checklist,” 1992.
[31]MIS Training Institute, “Systems Development Project Audit Checklist,” 1992.
[32]MIS Training Institute, “The Data Center Audit Checklist,” 1992.
[33]Robert W. Brown, “How to Develop a More Effective Audit Checklist,” Quality Progress, February 1997, pp144.
[34]Ron Weber, ”EDP Auditing Conceptual Foundations and Practice,” McGraw-Hill, 1982, pp7.