《内控循环(1)(17页DOC)》由会员分享,可在线阅读,更多相关《内控循环(1)(17页DOC)(17页珍藏版)》请在金锄头文库上搜索。
1、最新资料推荐作业层级内部控制评估表(二之二)服务性作业内部控制之评估管理作业(财务管理除外)假设公司的管理作业包括财务管理作业、企业活动管理作业、外部关系管理作业、提供行政服务作业、信息系统管理作业、风险管理作业、法律事务管理作业及计划作业等八项。因财务管理作业又进一步划分为控制作业、资金作业、税务作业与审计作业等四项,故另设评估表二之三予以评估。上述之风险管理中之风险并非内部控制组成要素风险评估中之风险。前者之风险指陷于意外事件或其它可保险损失之发生;后者之风险则泛指一切目标不能达成之情况。作业:企业活动管理目标种类风险控制点书面制度有效说明建议内部控制内部稽核其 他YN代 号作业程序控制重
2、点代 号稽核项目1.订定之策略应配合企业整体目标;执行订定之策略O使企业发生变动因素的信息不完整,或不正确。上项因素如:竞争对手、产品、顾客偏好及法令等的变动。制定之策略计划应整合高阶管理阶层的看法。定期评估高阶管理阶层过去所订定的经营方向及优先级,确保这些方向及顺序现在仍然正确。把竞争对手、产品、顾客及法令变动之所有有关信息,都告诉相关作业人员。建立企业内部向上、向下及横向沟通的管道,以迅速找出阻碍达成企业策略目标的问题,并予解决。对影响成功之关键因素缺乏了解分别自产业及公司之立场,辨认影响成功之关键因素,并进行分析。目标种类风险控制点书面制度有效说明建议内部控制内部稽核其 他YN代 号作业
3、程序控制重点代 号稽核项目资源不足或不适当辨认内部资源的来源,取得该等资源;确保外部资源可以取得。对公司与投资人或其它外部团体间的关系,不够注意与投资人其它外部团体进行沟通。2.制定及时得知正确内、外部信息的信息系统,并予维持O,F资源系统提供之信息,因太特定而不合用订立供高阶管理阶层使用之报告系统,提供管理企业所需之关键信息。信息系统过时定期复核信息系统,确保其持续符合需求。信息不正确或不及时须确保制定的信息系统所提供的信息为正确和及时。3.确保员工知道哪些行为及活动可为本企业所接受O,C未制定行为守则制订行为守则,并予遵循。员工不了解行为守则与所有新进员工一起读行为守则;定期与全体员工再读
4、。员工忽略行为守则惩罚违反行为守则的员工;清楚传递企业不容忍违反行为守则的讯息。员工不诚实雇用员工时,向应征者的介绍人进行查询。惩戒违反行为守则及法律的员工,并向司法机关提起告诉。结论需采行之改善措施作业:外部关系管理目标种类风险控制点书面制度有效说明建议内部控制内部稽核其 他YN代 号作业程序控制重点代 号稽核项目1.对会影响企业目标的政府政策及法令,尝试以合法的方式加以影响O对政府的政策缺乏了解聘雇与本企业有关的政府事务有经验之人,为本公司之员工。注意法令规章及有关之政府信息,并告诉相关人员。加入游说立法机关或主管机关的产业组织。2.积极参与制定准则的团体O能否参与准则的制订,系系于主管机
5、关的指派建立本公司为产业领袖的声誉。能够参与的名额,数目有限在影响本公司之争议问题上,确定本公司的代表是一位别人看得见,开口说话具份量的人物。3.参与能增进企业公众形象的社区活动O对社区议题缺乏了解,认知不足鼓励员工参与民间活动。结论需采行之改善措施作业:提供行政服务目标种类风险控制点书面制度有效说明建议内部控制内部稽核其 他YN代 号作业程序控制重点代 号稽核项目1.以最低的成本及时提供高品质的服务O人力不足或过剩估计所需行政服务的数量,确保员额配置的水准为适当。规画不足,未能整合不同的行政服务目标考量是否可以向外界购买某些项目的服务,而不要由公司内部来提供。会计制度分摊的成本不适宜搜集正确
6、成本,并公平分摊。结论需采行之改善措施作业:信息系统管理目标种类风险控制点书面制度有效说明建议内部控制内部稽核其 他YN代 号作业程序控制重点代 号稽核项目1.透过信息系统之协助,落实公司之计划O,F,C在制订计划时,未充分考量信息系统所提供之财务与营运管理信息进行策略规画时,考量信息系统所提供之信息。制订策略计划时,容许信息系统的使用者参与。成立信息科技指导小组。2.信息系统衡量、处理及保存之信息,为完整且正确之信息;提供该等信息给适当人员使用O,F,C信息系统之设计,未考量使用者之需求;信息系统之使用不适当落实制订信息系统的生命周期之观念。制订信息系统的生命周期,分为以下八个阶段:1.提出
7、信息设计系统之请求2.进行可行性研究3.进行信息系统之基本设计4.订定信息系统之细部规格5.编写程序及测试程序进行系统测试6.进行转换7.使用者接受,并核准信息系统目标种类风险控制点书面制度有效说明建议内部控制内部稽核其 他YN代 号作业程序控制重点代 号稽核项目采用项目管理程序,确保设置信息系统的作业经适当管理。在核准信息系统时,让使用者参与,以确保信息系统之设计符合其需求。修正信息及程序之作法欠当信息系统及计算机程序之变更须妥为控制。变更信息系统计算机程序的程序,包括:提出信息系统或计算机程序变更之申请,份经适当核准。在变更过程中,全程追踪记录。使用部门核准变更后的新设计。测试所有的变更,
8、包括在数据处理时所发生之变更;使用部门及数据处理部门核准测试之结果。提出变更请求之部门核准经测试的变更。把因变更而生的影响通知数据处理部门。编写或更新系统与程序的手册,例如:操作手册、使用者手册、程序说明及系统介绍等。目标种类风险控制点内部控制内部稽核其 他YN代 号作业程序控制重点代 号稽核项目计算机作业使用错误的程序、档案及计算机作业的程序不正确事先制订计算机工作排程表,并予遵循;任何未遵循排程表的情事,均应经核准,且须加记录。制订下列作业执行之程序:1.准备批次作业2.加载应用系统3.加载系统软件在处理数据时所使用的控制指令及参数,须与已核准者相同。有违反既定准备及执行程序之必要时,须先
9、取得书面核准;核准人可能须包括使用部门在内。订立适当程序,俾在下列情况发生时,能够辨认作业员之行动,而且,报导及核准其行动。例如:1.初次加载系统软件及应用软件2.系统软件发生故障3.重新开机及复原4.紧急状况或其它不寻常状况目标种类风险控制点书面制度有效说明建议内部控制内部稽核其 他YN代 号作业程序控制重点代 号稽核项目数据文件在未经核准的情况下,亦被取阅订立企业保护信息安全之政策;高层主管明述其对保护信息安全之承诺,并以行动表示落实承诺之决心。将上述信息保全政策转化为准则和程序,针对下列项目作成规定:1.信息分类之标准:包括信息之类别(例如:研究、会计或行销等)及其安全层级(例如:极机密
10、、机密、限内部使用,或非机密之一般数据等)2.各种数据、其使用人(含单位),以及保护数据安全的控制3.机密性信息所面临的威胁与需要的保护。4.管理阶层、信息(数据或程序)安全维护人员、信息所有人、计算机操作员、系统使用人及内部稽核人员,对于下列项目负担的责任:信息的所有权取得信息的程序订立使用者得取得信息之程序目标种类风险控制点书面制度有效说明建议内部控制内部稽核其 他YN代 号作业程序控制重点代 号稽核项目授权之要求监督信息安全之程序未遵循准则及程序的后果或若有必要,执行保全之 计划未经核准,程序可能即遭修改考虑评估信息安全之风险。使用保护信息安全之软件包,保护数据、系统及链接库。适当控制系
11、统软件,确保其执行及维护为适当,及不致在未经授权情况下被修改。设置保护计算机软件、软件及数据,实体安全之措施。3.在需要使用信息系统时,即可使用O,F,C未维持信息系统保持运作之办法高层主管承诺将妥为处理信息系统所遭遇的意外事项。订定并维持一套信息系统保持运作计划。目标种类风险控制点书面制度有效说明建议内部控制内部稽核其 他YN代 号作业程序控制重点代 号稽核项目新订信息系统时,评估其对系统持续运作之影响;修正时亦同。规画信息处理之替代方案。备份及复原程序不良定期备置重要数据文件、系统及程序之备份,储存于计算机房以外之处所。信息资源之防护措施欠当定期测试防止营业中断计划之有效性。结论需采行之改善措施作业:风险管理本段之风险系指意外事件或其它可保险之损失,而非目标不能达成之可能。目标种类风险控制点书面制度有效说明建议内部控制内部稽核其 他YN代 号作业程序控制重点代 号稽核项目1.防止意外事件的发生,或降低其发生之机率O某些工作、活动或场所,本质上,具危险性辨认危险的工作、活动及场所。
