稽核九大循环--电子资料循环.doc

文件編號稽核室電子資料循環JH006 文件名稱:電子資料循環文件編號:制定單位:管理部核准審核提案版 本：A原 版 日 期換 版 日 期 電子資料循環目錄一、 流程圖二、 作業說明1. 資訊部門之功能及職責劃分作業2. 系統開發及程式修改控制作業3. 編製電腦文書之控制作業4. 程式及資料之存取控制作業5. 資料輸出入控制作業6. 資料處理之控制作業7. ERP系統操作與控制作業8. 檔案及設備之安全管理作業9. 硬體及系統軟體之購置、使用及維護控制作業10. 系統復原計劃及測試程序之控制作業 11. 資通安全檢查之控制作業 電子資料循環系統開發及程式修改控制編製電腦文書之控制資訊部門之功能及職責檔案及設備之安全管理資料處理控制資料輸出入控制程式及資料之存取控制ERP操作輿控制作業作業項目作業程序及控制重點依據資料資訊部門之功能及職責劃分作業資訊部門之功能作業程序：1.公司經營的業務事項及作業形態，經由制度流程之分析，規劃程式設計，達到電腦化管理作業目標。2.依據公司各部門需求，經資訊評估ok後，規劃其相關作業事項，經由電腦處理，並達到其需求目的。3.負責全公司電腦應用方向，軟體之規劃、運用管理、據需求協助各單位對關於電腦之預算編訂或請購事宜。4.依人事的相關培訓計劃提供各單位電腦作業教育訓練，提升其作業能力。5.公司內相關資訊系統之維護及系統異常之處理6.公司內部資訊設備之安裝、維修及網絡維護控制重點：1.公司網絡暢通性如何，是否經常出現網絡不通之情形。2.公司內軟體與硬體規劃是否依各單位之需求並評估後實施。3.資訊單位是否依據各使用部門之作業需求，訂定電腦管理運用之發展計畫。1.職位說明書2.培訓計劃表作業項目作業程序及控制重點依據資料資訊部門之功能及職責劃分作業1.公司得視發展規模及各階段處理電腦化作業之需求，設置資訊部門，其內部人員之編制及所應負之職務，由該部門主管擬訂經報請核准後，聘用專任人員負責執行或委外處理。2.資訊部門規劃並控制電腦作業系統軟、硬體裝置之運用，並對經營管理階層提供公司各部門作業電腦化之明確發展建議，以滿足使用者應用之需求及達成營運目標。依其職務劃分為：3.資訊主管：a.負責對資訊內部人員工作之安排並監督其工作落實程度b.出席公司內的各種會議並協調公司其它部門處理資訊面的各種事宜c.負責公司資訊規劃的實施4.系統分析人員：負責與系統需求者溝通以確立使用者需求表格及作業流程，並進而規劃檔案流程，以指引程式設計人員。5.程式設計人員：負責將系統分析人員提供之相關資料、作業流程，改寫為程式語言，測試程式並改正錯誤，編製相關程式之書面文件。6.電腦操作人員：執行電腦上線作業，並依照標準作業程序及應用程式系統操作說明操作電腦。7.檔案管理人員：負責資料備份管理及程式檔案維護，記錄檔案、程式與有關之書面文件資料等使用情形，並對使用者實施操作教育。控制重點1.資訊單位內職責劃分是否合理2.系統分析及程式設計人員是否與資料登錄作業人員各自獨立。1.職位說明書作業項目作業程序及控制重點依據資料系統開發及程式修改控制作業作業程序：1.系統開發應依公司經營管理階層之需求目標訂定，並尋求及瞭解使用單位之需求內容。2.資訊部門人員根據公司各單位之需求蒐集系統需求之相關資料，並將該資料製成書面文件，透過與需求單位研討確認，經核准後進行系統開發工作。3.資訊部門於系統開發設計完成後，應對系統程式之功能作成嚴格測試及管控，以防止因程式設計或使用者輸入疏失導致輸入資料無效。4.資訊部門若因人力或專業程度不足而無法自行開發系統程式，經權責主管核准後，委託外部專業人員執行程式設計作業。5.由於公司之原因需委外設計時，需按采購管理辦法執行，驗收時資訊人員需會同需求單位共同驗收。6.系統程式之設計與更動，應依公司營運管理需求並配合各項作業及管理政策需要，以改善系統適用性與效率。7.程式修改需求應由使用單位以資訊作業申請單提出，經權責主管核准交由系統分析人員進行可行性評估後由程式設計人員進行修改。8.程式在修改前需將原始資料備份後再行修改，經修改完成後，須經由需求單位測試認可，並將程式修改相關之書面文件予以更新並避免損害原始程式，以便利系統維護及使用者操作並確保符合變更需求。1.資訊作業申請單2.采購單3.驗收單作業項目作業程序及控制重點依據資料系統開發及程式修改控制作業9.新開發系統均需備有書面說明，該說明書須經過適當之管理階層核准及使用部門覆核。10.新開發之流程或程式正式納入使用前，須先獲得使用單位最高主管或其授權人員之核准，核准後需經過測試ok後再導入正式區。控制重點：1.系統是否有經營管理階層和使用部門復核，以確實符合營運需求。2.系統及程式導入或變更之前，是否經授權。3.程式修改是否保存其修改前及修改後資訊。4.委外開發或修改程式是否經權責主管之核准。5.委外開發之程式是否符合相關單位需求，需求單位是否參與驗收。6.委外開發之程式其相關作業手冊、參數清單等資料廠商提供是否齊全。1.資訊作業申請單2.采購單3.驗收單作業項目作業程序及控制重點依據資料編製電腦文書之控制作業作業程序1.電腦文書編製內容應包括系統功能表、系統流程圖、程式清單、程式流程圖、欄位記錄說明、操作說明、資料輸入格式說明、畫面列舉說明及資訊輸出報表格式說明等。2.系統文件需用以表達系統用途之基本資料，為有效瞭解系統整體架構最主要依據，其應記載事項包括：系統開發目的及說明、系統功能圖、原始開發系統及其改變之核可文件等。3.編製系統文件，需記載由輸入經檔案媒體處理到輸出，有關資訊流通過程之記錄，其內容應包括：a.系統流程圖顯示系統內資料處理過程，其所涵蓋之人工作業、設備處理作業與輸出報表之意義及處理方式。b.電腦檔案說明顯示檔案名稱，並說明各檔案資料之範圍及其功能。c.檔案格式及資料欄位記錄說明顯示資料記錄之佈置情形。d.程式清單顯示程式名稱及其主要功能。1.系統流程圖2.資訊作業申請單3.程式清單作業項目作業程序及控制重點依據資料編製電腦文書之控制作業作業程序4.程式文件用以表明系統中每一程式之明細資料，用以有效管制程式變更及修改，並顯示正在使用程式之內容狀況。5.程式文件編製之內容包括：a.程式功能與用途之簡要敘述。b.應用控制方法，並確定每一程式所設計之控制功能。c.系統各程式使用之代碼需做相關說明。d.所有程式更改之申請、核准及其更改作業記錄。6.需為使用單位提供操作手冊，以方便使用者瞭解系統輸入、輸出情形，如何處理誤差等。控制重點1.已正式作業之系統是否具備應有之系統文件。2.系統修改時，系統文件是否也做相關修正3.資訊部門是否建立並隨時更新各類電腦文書，以作為系統複核維修或訓練新人員之基礎資料。1.系統流程圖2.資訊作業申請單3.程式清單作業項目作業程序及控制重點依據資料程式及資料之存取控制作業作業程序1.程式設計人員之權限應嚴格管控，以防止破壞原有之程式2.程式設計人員須經資訊主管允許後方能進入電腦服務器並應有記錄保存。3.程式之保管，應以電腦可接受之語言形式記錄到磁碟檔案，必要時應備份儲存，非經申請核准，不得任意使用。4.程式之使用，須經核准後始得為之，並應記錄其使用情形，以便資訊部門主管瞭解其運用及執行情況。5.程式資料檔案應作合理適當分類及加註標記，以防止因意外事故遭致破壞或資料被刪除，以便於日後更新與維護。6.經授權核准之資料，始得用以更新資料檔案，除應將處理結果分送相關使用單位外，並得供後續電腦作業之使用。同時系統應有記錄重要資料異動之功能，以便日後查核時，得以瞭解異動之原因。7.程式資料之存取，須經授權之使用者始得為之，以防止機密性質資料的外流及不當的存取導致破壞資料庫之完整。控制重點：1.服務器之使用是否經授權或適當控制。2.程式之異動是否留下適當記錄。3.程式存取，是否設置存取權限管制。作業項目作業程序及控制重點依據資料資料輸出入控制作業作業程序：1.各單位重要之資料輸入時須保證資料之正確並經核准，始得輸入之執行,資料之制作與保管職務分離為宜。2.各單位輸入之原始資料應有適當之編號以偵測所輸入之資料有否遺漏。3.正常情形無法滿足資料庫資料輸出或輸入需求時，各單位需以資訊作業申請單形式向資訊申請,經資訊評估ok後執行.4.資料登錄人員因操作不當或輸入錯誤造成不正確的資料登錄者，應於報告權責主管後，由登錄人員更正,若無法修改時需以資訊作業申請單形式向資訊申請,經資訊評估ok後執行.5.相關資料輸入程序應有相關作業手冊，以方便操作人員使用與學習。6.各單位資料經處理後，其結果應與輸入資料核對，以確認其完整性與合理性；對異常例外之處理結果，應追查原因後向權責主管報告處理。7.資料輸出之處理結果依據資訊作業申請單並經資訊主管同意後發送至需求單位及人員，並應嚴格管制未經授權之發送。8.因應用程式錯誤或報表錯誤，應及時通知資訊部門,資訊部門依程序修正作業處理.9.若需增加相應功能時,使用單位需填寫資訊作業申請單送交資訊單位，經資訊評估ok後處理.控制重點1.輸入資料前是否確認其正確性及完整性。2.資料輸出（入）或修改時是否依以上作業程序處理。資訊作業申請單作業項目作業程序及控制重點依據資料資料處理之控制作業作業程序：1.對於資料之處理，系統人員應於系統開發作業過程中，利用程式控制資料處理人員之操作權限以保證公司資料的機密性。2.各單位在處理資料時應確保處理資料的一致性，若有兩個以上應用作業系統同時更新檔案資料時，程式中應判斷一次只能由一應用系統更改該筆資料，另一應用系統須等該檔案已更改完後方能變更該筆資料內容。3.處理控制應與輸入控制相互配合，於程式控制中應有適當之檢查方式，如：a.由某一程式處理資料將結果傳給另一程式時，應有處理總數之控制以確保資料無遺漏。b.合理化之檢查：如極限值、範圍的控制，檢查號碼、字型型態檢查、借貸平衡檢查、四捨五入的原則等勾稽方式，以強化資料正確性。c.系統應提供使用者作業處理中各項錯誤或作業失敗之訊息，並產生錯誤記錄以利追蹤更正。4.於執行應用軟體處理資料時，若有錯誤發生，應研判是資料或程式錯誤，若是資料錯誤應更正錯誤資料；若程式錯誤應依程式修改作業程序處理。5.系統因故中斷，使用單位應立即通知資訊單位協助處理，檢查當筆資料應存在，盡量進行還原或重新輸入。控制重點1.確定所使用應用程式之版本是否正確。2.系統異常之修護、排除過程是否記錄並保存。3. 資料處理異常是否找出異常之原因並及時處理。作業項目作業程序及控制重點依據資料ERP系統操作與控制作業作業程序：1. 各單位根據本單位之實際需求申請帳號及相關操作權限，帳號不得借用。2.資訊單位應根據ERP上線情形協助各單位制作作業流程圖及操作手冊並於各單位主管簽核。3.各單位在進行日常操作時應嚴格按照操作手冊之規范進行，不得在未經過相關單位同意下，任意操作，如有需求需以資訊作業申請單形式向相關單位申請，同意後方可執行。4.資訊單位應定期對系統進行維護，主要包括以下幾點：a.定期對系統數據庫進行維護並監控數據變化情形.b.定期對系統及相關設備進行維護，隨時掌握服務器之運轉狀況.c.定期監督各單位ERP作業情形，將異常通知相關單位處理d.根據各單位之需求，經資訊單位評估ok後優化系統作業.5.應根據ERP使用情形及各單位評估後，對ERP報表進行二次開發，為相關單位提供更詳細之數據。6.各單位之異常涉及庫存時，以庫存差異分析報告提出調整需求，經相關單位核准後再由資訊單位負責協助相關單位進行庫存差異之調整.控制重點1.各單位帳號登錄數是否合理。2.各單位帳號使用是否正常，有無互相借用情形，相關權限核定是否根據各單位之需求及評估後核定。3.資訊單位是否定期對系統進行各項維護。4.各單位操作人員操作是否符合規范，有無異常情形，異常情形是否影響其它數據之異常，責任單位有無及時處理，處理是否合理。5.庫存差異調整是否按核准之數量調整。1.資訊作業申請單2.庫存差異分析報告作業項目作業程序及控制重點依據資料檔案及設備之安全管理作業作業程序1.資訊單位對公司電腦登錄、相關郵件管理、相關係統作業及資料庫之進出均應建立帳號登錄管理機制，各單位根據需求以電腦網絡帳號申請單形式申請相關帳號。2.為確保程式控制及檔案之安全性，非經授權不得使用非本公司所提供之軟體程式；並不得任意將本公司合法版權使用之軟體程式及資料檔案私用。3.為確保資料保存之安全性，服務器之資料庫或重要之檔案應明確訂定各資料檔案標記及其保管負責人與其權責，並應將資料主檔依其重要程序，按期作備份存檔以防止意外毀損。4.未經授權核准之人員不得任意接近電腦化資訊處理相關週邊設備，並應設置使用日誌定期複核及追查異常情形。5.資訊處理設備放置地點應有其適當之防護設施，據各單位使用需求主要資訊處理設備應加裝不斷電系統，以防止因電源中斷而導致資料流失之意外損失。6.各單位人員離職交接時，有使用公司相關資訊帳號之人員離職時應按人事交接程序交接至資訊單位，以保證資訊管理完整性及避免帳號盜用情形。7.各單位人員離職交接時，各單位主管應將該離職人員其任職期間所管理的相關資訊資料交接清楚。控制重點1.各單位是否根據本單位員工實際工作性質給予申請資訊相關帳號.2.資訊單位對公司相關資訊作業帳號管理是否合理。3.資料傳輸過程是否有適當防護以防止資料遭受破壞、盜取。4.硬體設備放置場所是否經適當管制及設置防護措施。5.人員離職後其相關資訊帳號是否及時清除.6.離職人員其任職期間的相關資訊資料保管是否交接清楚。1.離職人員交接單2.帳號明細3.人事資料作業項目作業程序及控制重點依據資料硬體及系統軟體之購置、使用及維護控制作業作業程序1.公司各單位需請購相關資訊設備或軟件時需先經過資訊單位評估及確定購買類型。2.硬體之購置應考慮公司使用單位及系統之需求、資料處理之特性及公司中長期發展，以有效率的運用設備。3.系統軟體應避免採購不相容產品及儘可能集中採購以抑低價格。4.硬體採購及系統軟體程序參機器設備管理辦法流程及採購付款流程。5.各單位所購買之資訊設備或軟件均應經過資訊相關專業人員試用驗收方能付款。6.公司系統軟體應使用正版授權軟體。 7.各單位之硬體放置地點應盡量設置適當通風及防塵設備，並要求由專人負責定期保養及保管盤點，必要時得應授權對外訂立維護合約。控制重點1.硬體及系統軟體購置前是否經權責主管審核。2.資訊設備之采購是否經資訊單位評估及試用驗收3.硬體及系統軟體是否防護措施並存放於適當地方以避免損壞或變質。4.資訊之硬件維修是否適當記錄以供查詢。1.固定資產管理辦法2.采購管理辦法3.請購單4.采購單5.驗收單作業項目作業程序及控制重點依據資料系統復原計劃及測試程序之控制作業作業程序1.資訊部門應訂有災後緊急復原計劃以確保電腦資料處理持續運作，計劃中應包括使用異地備用設施之安排。 2.對於重要應用系統使用者平時應有相互交替訓練。3.各單位專業系統測試應由使用者及資訊部門人員合作進行，以確保達成需求。4.新購之系統或程式應按核決權限經權責主管核准。5.使用人員隨時注意電腦是否有異常，若發生異常情況，應立即向資訊部門報告。6.資訊單位主管可規劃適合公司意外事故應變計畫，並加以測試該計畫是否可有效降低意外故造成公司之損失。7.遇有作業異常或緊急事故，資訊人員應按異常況狀通知使用人員