1、國內電腦稽核環境現況研究黃明達淡江大學資訊管理系副教授mdhwangmail.im.tku.edu.tw孔令娟淡江大學資訊管理系研究生082850mail.tku.edu.tw摘 要由於近年來政府推動商業自動化政策,鼓勵企業電腦化及大力推展電子化政府,我國工商企業使用電腦有隨企業規模擴大而增加的趨勢,企業電腦化雖提供快速、有效率及一致性的效益,但其隱含錯誤或舞弊的風險亦比人工作業處理更加複雜,為確保控制系統的正常運作,企業亦需建立健全的稽核制度。本研究有鑑於電腦稽核日益重要,但甚少有關電腦稽核人員應如何進行稽核工作的相關研究,因此本研究以現有的文獻為基礎,嘗試發展出一份適用於國內一般組織的電腦
2、稽核檢查表,一方面提供稽核人員在執行實地稽核查訪時的參考,稍減稽核人員不知從何開始與不知應查核那些項目的困擾;另一方面亦提供給組織內的資訊部門用以自行檢查與評估其現有安全控管措施的執行狀況。此外,並根據調查資料之統計結果將電腦稽核執行程度分為三等級,同時分析各等級可能會有的風險與改善現況的建議。關鍵字:電腦稽核、電腦輔助稽核技術、檢查表、風險分析The Study of EDP Auditing EnvironmentAbstractAs the government was moving for business automation of recent years, the use of
3、computers was on the increase. Computerization provides business with quickness, efficiency and consistency, even though it may contains more complex mistakes or maladies then artificial operations. Since computers play such a large part in assisting us process data, it is important that their use b
4、e controlled. It is tried to develop an audit checklist to evaluate control of computer use in the study, and applied to investigate the current situation of EDP auditing environment in Taiwan. In addition, this study can provide auditors a deeper understanding about how to audit in computerized env
5、ironment, also the security audit and field evaluation can be carried out quickly, effectively, and economically by in-house personnel. It will classify the companies into three levels and analysis possible risks of them. Keywords: EDP Auditing, CAAT, Checklist, Risk Analysis壹、 前言一、 例如(一) 例如電腦稽核(EDP
6、 Auditing)是蒐集與評估證據(Evidence),以確認電腦系統是否足以保護企業資產、維護資料的完整性、有效的達到公司目標,以及有效率的使用公司資源Ming-Dar HwangTamKang UniversityDepartment of Information Management mdhwangmail.im.tku.edu.twLing-Chuan KungTamKang UniversityDepartment of Information Management082850mail.tku.edu.tw的過程21。由於近年來政府推動商業自動化政策,鼓勵企業電腦化及大力推展電子化
7、政府,87 年 6 月底我國工商企業使用電腦普及率達 75.3% 2。企業電腦化雖提供快速、有效率及一致性的效益,但其隱含錯誤或舞弊的風險亦比人工作業處理更加複雜,為確保控制系統的正常運作,企業亦需建立健全的稽核制度 18。基於下列因素而引發本研究動機: 有鑑於電腦稽核日益重要,但目前國內有關電腦稽核的相關研究很少,而且大多為探討電腦輔助稽核技術的使用情況3, 15, 18, 20,甚少有關電腦稽核人員應如何進行稽核工作的相關研究。 在多篇文獻中均提及國內十分缺乏電腦稽核專才與電腦稽核專業訓練 4, 5, 8, 13, 14, 17,同時研究顯示,我國內部稽核人員之電腦稽核能力均顯著低於理想化
8、標準17。稽核人員往往因對於電腦系統及資訊作業特性不了解,以及缺少一套較嚴謹的查核程序及方式,以致對電腦稽核不知從何開始進行查核較妥切11。 至 87 年 6 月底我國工商企業平均每千名員工擁有 309 台個人電腦,使用電腦普及率有隨企業規模擴大而增加的趨勢2。因此,經訪談了解許多企業希望能在資訊系統安全方面能做自我評估,以了解企業本身安全控管措施的執行程度。本研究希望能達成下列三項目的: 希望發展出一份適用於一般組織的電腦稽核檢查表,以提供稽核人員在執行實地稽核查訪時的參考,稍減稽核人員不知從何開始與不知應查核那些項目的困擾。 希望能提供電腦稽核檢查表給組織內的資訊部門,用以自行檢查與評估其
9、現有安全控管措施的執行狀況,將來各組織以此檢查表做自我評估時,可了解本身的執行程度與需要加強之處。 希望能藉此研究將國內一般組織目前的執行程度加以分類,訂出等級的參考標準,讓各組織在做自我評估時,亦能將本身的執行程度與其他組織做一比較。本研究範圍係針對公司(單位)內部資訊部門與電腦機房的安全控管現況做調查,特別是針對機房環境、電腦安全、區域網路、資料庫管理系統與系統發展等五部分,所以資訊外包、線上處理或網際網路等部分並未列入本次研究中。在本研究範圍內,為顧及研究項目的完整性,以致問卷內容在儘量精簡之後仍頗多,如此將會大大影響受調查者的填答意願,礙於現況的考量,為提高問卷回收率,因此並未以較具代
10、表性的 1000 大企業為研究對象,而是以會員主要為資訊主管或電腦稽核人員 (以上二者為本研究問卷的填答對象)的電腦稽核協會、資訊經理人協會、以及資訊應用發展協會等會員為主要寄發問卷的對象,如此樣本雖稍有偏頗,但也已具有相當的代表性,所以本研究對象包括了政府機構、公營事業單位及一般民營企業。貳、 文獻探討目前有關電腦稽核方面的研究並不多,相關文獻已整理於表一。在電腦輔助稽核技術方面的研究3, 12, 15, 20,大多為探討如何利用電腦輔助稽核技術協助稽核工作,以及此技術的使用情況。在內部稽核的相關研究中,與電腦稽核相關的主題,有探討內部稽核人員是否適任電腦稽核工作17,或探討內部稽核人員從事
11、電腦稽核工作之情況18。有關電腦稽核檢查表的相關文獻中,國內電腦作業稽核準則10一書是為協助各金融機構之稽核單位人員進行電腦稽核工作而編寫的手冊,但其內容係完全針對金表一 電腦稽核相關研究篇 名 作者年份出版單位或期刊 內 容 簡 述Security Audit and Field Evaluation for Computer Facilities and Information SystemsLeonard I. Krauss1972Amacom組織的電腦設備與資訊系統的安全稽核與評估,是可以快速、有效率又經濟的方式執行的,本書就提供了一份實際可行的、低成本的稽核檢查表,共分人事、實體、資
12、料文件與程式、操作、備份、系統發展、保險、安全程式等八部分。25Audit and Security Checklist SeriesMIS Training Institute19921997MIS Training Institute為一系列的稽核檢查表,包括:電腦中心稽核檢查表、微電腦稽核與安全檢查表、區域網路稽核與安全檢查表、資料庫管理系統檢查表與系統發展專案稽核檢查表。28-32How to Develop a More Effective Audit Checklist Robert W. Brown1997Quality Progress近年來,大部分的問卷所犯的共同錯誤就是問題
13、的型式僅需以簡單的yes/no 回答即可。一份好的稽核檢查表,應是除了 yes/no 的答案外,尚可從中得到一些有意義的資訊,文中並舉例說明如何將傳統 yes/no 型態的問卷改成敘述式的問題。33電腦稽核檢查表電腦作業稽核準則 財政部金融資訊規劃設計小組1989金融人員研究訓練中心叢書為協助各金融機構之稽核單位人員進行電腦稽核,本手冊以問卷形式提示內部控制之需求,以協助稽核人員在進行查核時,可認定及評估資訊系統之管制措施,作為其進一步調查、分析並作成報告之依據;也提示稽核人員由稽核計畫之制定至稽核報告作成的某些要點,以及電腦稽核建制之指引參考。10The Systems Developmen
14、t AuditChris Nelms1996Computer Audit Update本篇概要說明電腦稽核人員應該參與系統發展專案的目的,以及參與過程中應如何參與、如何執行工作、如何提出一份適切的意見報告予管理者,最後彙整出專案的每一階段應執行的稽核工作重點。 21A Survey of EDP-Audit Departments in Dutch BankingMarcel Bongers & Edo Roos Lindgreen1997Computer Audit Update在荷蘭,除了外部稽核公司之外,銀行業是 EDP 稽核人員的最大顧主。本篇論文係描述 1994 年所做的一份有關荷蘭
15、銀行業 EDP 稽核部門的人數(Size)與工作 (Task)的調查結果,該調查之目的是希望能指出 EDP 稽核部門人數(Size) 與工作 (Task)的標準規範27Measuring the Performance of Computer OperationsM. Virginia Cerullo & Michael J. Cerullo1997Computer Audit Update資料處理操作面的稽核是用以評估資料處理作業的執行是否有效率的方法。本篇主要在介紹資料處理系統操作稽核的特性,以及稽核階段中初步的準備 、 初步的調查 、以及細部的稽核與檢查等三階段。26Auditing T
16、he IT Security FunctionKeith Osborne1998Computer & Security目前在組織中有設立 IT 安全部門者還很少,因此有關如何稽核 IT 安全部門的資訊或經驗也非常少。本研究中介紹了目前 IT 安全部門的職責與角色,以及稽核人員應該要了解的三項較重要的 IT 安全作業:”IT 安全政策” 、 ”風險的評估、分析與管理”和”訓練、教育與自覺 ”,也探討”以成本效益的觀點來檢視與稽核 IT 安全部門” 。24CISA Review Technical Information ManualISACA 1998ISACA內容包括電腦稽核師證照考試需知,以
17、及資訊系統的稽核標準、安全和控制實務、組織與管理、完整機密與可用性、發展取得與維謢等部分。23ISACA: Information Systems Audit and Control Association銀行業電腦內部控制系統和電腦稽核之研究歐陽雯1985淡江大學資訊工程研究所碩士論文根據台灣當時銀行的作業環境及作業型態,嘗試以系統的觀點,整合管理科學和電腦技術,提出一套適用於台灣地區銀行業之電腦內部控制架構與電腦稽核方法,作為銀行決策管理者及內部稽核人員在執行其控制功能時的指南。19以電腦化稽核作業增強資訊系統整體安全之研究林國楨1987清華大學計算機管理決策研究所碩士論文根據國內目前資料
18、系統作業環境及作業型態,嘗試以系統之觀點,整合計算機、管理、快速之技術,提出一套適用於國內金融業界資訊系統內部控制架構及電腦稽核方法,作為企業決策管理者及內部稽核人員在執行其控制功能時之指南。9資訊系統稽核控制架構建立的探討趙時勤1992中興大學企管研究所碩士論文建立一電腦化資訊系統之稽核控制架構。由預防、偵測、更正三方面探討資訊系統在設計階段所應具備之內涵;在處理階段所應具備之控制程序;以及資訊作業環境的管理控制和安全措施。資訊部門可循此架構,作為提升資訊系統品質;訂定標準作業程序;改善作業環境之參考。16電腦稽核與電腦安全銀行業電腦安全控管政策之研究林黛卿1992臺灣大學會計研究所碩士論文
19、本研究旨在調查目前銀行業者實施電腦安全控管的現況及針對銀行業的作業型態提出安全防範重點。此外亦調查銀行業目前在電腦化作業之下,電腦稽核的因應之道及電腦輔助稽核技術使用情況及可能遭遇的問題。7臺灣會計師界使用電腦輔助審計技術之研究蘇裕惠1991臺灣大學商學研究所碩士論文探討我國目前會計師界如何因應企業電腦化之趨勢,其使用電腦輔助審計技術之狀況,以及其使用與不使用之原因。20臺灣企業內部稽核人員使用電腦輔助審計技術之研究張俊文1993成功大學企管研究所碩士論文從內部審計的觀點,探討目前我國企業內部稽核職能如何因應企業電腦化趨勢,及使用電腦輔助審計技術之狀況。15電腦輔助稽核 利用資訊技術協助金融機
20、構之管理稽核 李美慧1997成功大學會計研究所碩士論文 探討如何利用資訊技術模組化金融機構之管理稽核程序,了解通用審計軟體其多項功能與優點。3內部稽核我國國營事業與民營企業電腦內部稽核之研究劉盈欒1994政治大學會計研究所碩士論文先明瞭國營事業與民營企業資訊部門及內部稽核制度,之後再介紹其使用電腦稽核之實施現況,並評估其相關問題。研究結論包括企業內部實行電腦稽核情況並不普遍,稽核人員的學歷將影響其對稽核技術的熟悉度等。18我國內部稽核人員稽核電腦化系統之適任性及影響其適任性之因素劉佳宜1997成功大學會計研究所碩士論文探討資訊科技對內部稽核人員電腦稽核能力之影響,以及影響內部稽核人員運用電腦稽
21、核能力之相關因素。17融機構的營業單位與資訊單位的電腦作業而設計,並不適用於其他行業,且距今已十餘年,也已不符合現況。國外早於 1972 年就有 ”Security Audit and Field Evaluation for Computer Facilities and Information Systems “ (簡稱 SAFE)25一書是有關電腦稽核檢查表的設計,但因年代過於久遠,當時之電腦環境與現今已完全不同。美國資訊系統稽核與控制協會(Information Systems Audit and Control Association,簡稱 ISACA)雖也有針對資訊系統稽核出版書籍
22、23,但內容主要為理論上的敘述,對於應稽核的內容僅條列式的列出一些重點。美國 MIS 訓練機構(MIS Training Institute)所出版的“稽核與安全檢查表系列”28-32則因係針對美國國情而設計,並不適合直接套用於國內。綜合以上所言,國內目前甚少有探討電腦稽核人員應如何進行稽核工作的相關研究,因此本研究希望在參考前述文獻後,能發展出一份適用於國內一般組織的電腦稽核檢查表。參、 研究設計本研究係採用資料蒐集方法中的調查研究法(Survey Research),選用自填式問卷郵寄調查方式1, 22 。研究的過程依序為:文獻探討、訂定研究主題、設計電腦稽核檢查表、訪談徵詢專家意見、修訂
23、電腦稽核檢查表、進行問卷調查、統計與分析結果、以及研究結論與建議。本研究之問卷架構係以美國 MIS 訓練機構所出版的“稽核與安全檢查表系列”28-32為設計基礎,內容則參考多篇國內外文獻10, 23, 25, 28-32, 33編寫而成,與“稽核與安全檢查表系列”相比較,在內容上具有下列不同的特點: 該問卷僅為 yes/no 的問題,所得資訊有限;本問卷則是每一題目都用數個項目來描述該題目所可能會有的各種答案,若無適當的選項,亦可於其他一欄中說明,所以內容具有描述性。 該問卷題目敘述較粗略,若填答者僅部分有執行但部分未執行,則會造成填答上的困擾與偏差;本問卷的設計已盡可能將各種情況單獨列出,較
24、無此問題。 由於本問卷的問題都經過分門別類,每一題目的內容也已用數個項目加以詳盡敘述,所以可以衡量出各題目或各類別的執行程度,而該問卷的設計並無法衡量各題目的執行程度。本問卷在寄發前已經過多次的預試與修改,並請數位專家試填後提供意見,以增加內容的效度。問卷的填答大多數為複選題,填答者在問卷上直接勾選適當之答案即可,若無適當之選項亦可於其他一欄中說明,如此則可減少填答者的負擔,縮短其答題與思考的時間。測量尺度多採用名目尺度(Nominal Scale)1。調查時間約自 87年 12 月 10 日至 88 年 1 月 10 日,共寄發 267 份問卷,回收 77 份,回收率為28.84%。肆、 資
25、料分析一、 基本資料分析基本資料分析的部分主要的統計結果如下:由表二與表三中可看出高階主管對資訊部門與電腦稽核工作的重視程度略有差異,可能是因為資訊部門所帶給公司(單位)的好處或利益大多是明顯可見的,而電腦稽核工作的貢獻主要為防弊,無法直接創造利潤,因此高階主管較不易明顯感受到其重要性。但表三中所顯示的高階主管對電腦稽核工作的重視程度,與表五中高階主管不支持此一因素僅佔 5.5%的結果是很一致的。表二 高階主管對資訊部門的重視程度項 目 樣本數 百分比非常重視 31 40.3重視 34 44.2普通 11 14.3不重視 1 1.3非常不重視 0 0表四 電腦災害發生的原因項 目 樣本數 百分
26、比機件故障 25 58.1人為疏失 10 23.3天然災害 7 16.3蓄意破壞 1 2.3從表四中可看出電腦災害發生的原因主要為機件故障與人為疏失,但這二項原因是可以透過平日良好的控管措施加以預防而降低其發生機率的。另外,目前雖僅一家有遭蓄意破壞的經驗,但由於一般蓄意破壞是為了惡意性的報復,所以也往往會造成重大的損失,不可不加以重視。表五中缺乏專業技術、資訊環境變動太快、專業人才不足等三項為電腦稽核工作所遭遇的最大困難,這與許多專家學者所提及國內十分缺乏電腦稽核專才與電腦稽核專業訓練 4, 5, 8, 13, 14, 17此一論點不謀而合。基本資料分析的其他統計結果簡述如下: 本次問卷調查回
27、收的問卷中,以國人投資公司佔 61%為最多,其次依序是外商公司13%、公營事業 10.4%、政府機構與中外合資公司各佔 7.8%。行業別是以製造業(42.3%)與金融、保險及不動產業(23.9%) 為主,其次是工商服務業(11.3%) 。平均每年營業額(政府機構除外) 則是以31 億以上的佔 48.6%為最多,其次是11-20 億佔 16.7%, 1-5 億與21-30 億各佔 11.1%, 6-10 億佔 8.3%以及1 億以下佔 4.2%。 在 77 份問卷中有 59.7%的公司(單位)已利用電腦處理資訊達 11 年以上,其次為 6-10年的佔 29.9%,其餘也至少都有 1 年以上利用電
28、腦處理資訊的經驗。 資訊部門之人數以21 人以上者稍多佔 34.2%, 1-5 人 、 6-10 人 、 11-20 人則各佔約 20%。 公司(單位)中已設有電腦稽核此項職務者,負責該職務的人數有 73.3%是1-2 人 ,22.2%是 3-5 人 ,4.4% 是6 人以上 。設立時間是以1-5 年為最多佔 63.4%,其次為6-10 年的佔 17.1%, 未滿一年與11 年以上者各佔 9.8%。但目前仍有 37.5%的公司( 單位)是尚未有人員負責電腦稽核工作的。 由前幾項統計資料得知,有 89.6%的公司(單位)已利用電腦處理資訊達 6 年以上, 62.5%的公司( 單位) 有負責電腦稽
29、核工作的人員,再配合設立電腦稽核職務時間的比率資料來推論,近幾年已注意到電腦稽核重要性的公司,有逐漸增加的趨勢。 負責電腦稽核的人員在組織中以隸屬於稽核室(27.3%)、總經理(或相當)之主管(27.3%) 、以及電腦部門(25%)三者為最多,隸屬於會計或財務部門者則佔 13.6%。但隸屬於電表三 高階主管對電腦稽核工作的重視程度項 目 樣本數 百分比非常重視 15 19.7重視 27 35.5普通 24 31.6不重視 2 2.6非常不重視 1 1.3不清楚 7 9.2表五 電腦稽核工作所遭遇的最大困難項 目 樣本數 百分比缺乏專業技術 31 34.1資訊環境變動太快 20 22.0專業人才
30、不足 19 20.9內部員工不配合 8 8.8經費不足 6 6.6高階主管不支持 5 5.5不清楚 2 2.2腦部門的電腦稽核人員其獨立性會較有爭議。 曾經發生造成損失的電腦災害次數中以未曾發生者最多佔 68.4%,其次為1-2 次的佔 15.8%, 3-5 次佔 9.2%, 6 次以上者最少佔 6.6%。在曾經發生電腦災害的公司(單位) 中,有 37%認為其影響程度嚴重或非常嚴重,40.7%認為還好,22.2%認為並不嚴重。 填答者的職位主要是資訊主管佔 64.9%,其他尚有一般資訊人員(19.5%)、一般稽核人員(7.8%)、(電腦)稽核主管 (6.5%)以及高級專員(1.3%) 。二、
31、電腦稽核環境現況分析本研究問卷的架構,除基本資料之外,共由五項構面去調查國內電腦稽核環境的現況,雖然每一稽核項目的調查結果都有助於我們了解國內的現況,但限於篇幅,所以在此僅列出主要的發現,詳細的調查結果請至網站(網址:hwang.im.tku.edu.tw)上查看完整之論文內容。主要的發現有下列數點: 在機房實體安全的部分仍有需要加強之處:從現行的安全控制措施執行率低於 20%的項目中可發現,大部分的公司(單位)在機房門口未設置管制站或管制人員、對信件或包裹的傳送未加以管理、對機房相鄰的區域沒有管控以及缺乏人員避難時的疏散計畫,這些都是可以再改進的部分。 大部分的公司(單位) 都並未執行強迫休
32、假制度:未執行此一制度者佔 64.9%,推測是因為大部分目前尚未遭遇人為的蓄意破壞(表四),所以並不覺得此一制度的重要,但許多的人為弊案都不是在做案當時被發現的,而往往是在追查其他事件時才被揭發,因此隱含有“人為弊案不易被察覺”的風險。 對災難意外事故復原計劃未確實重視:由於大部分的公司(單位)都並未不定期開會檢視復原計劃中參與人員的職責,也沒有將復原計劃書送與每位應參與的人員或對其做測試,所以大多祇是限於書面形式。 部分硬體替代方案忽略地理位置的考量:雖然統計資料顯示 82.9%的公司(單位)有硬體替代方案,但其中卻有 33.3%的硬體替代方案是與目前的電腦機房位於同一棟建築物中,對這些公司
33、(單位)而言,若該建築物發生火災、地震倒塌或斷水斷電等情況時,其替代方案是很有可能同時被波及的,因此並不是很適合做為替代方案。 大多數認為現行的硬體替代方案可以符合公司(單位)的需求:在三種硬體替代方案中,選擇“由廠商負責提供”者佔 68.4%為最多,其次是“自行準備備用設備”佔31.6%,可能是因為由廠商提供可免去另備空間、硬體維護等麻煩。僅 11%的填答者認為以硬體替代方案接續作業所需的前置時間並不符合公司(單位)的需求,其他都認為尚可或符合需求。 對撥接連線的安全控制措施應再加強:在區域網路的管制措施方面,相較之下,以對撥接連線的安全控制措施做的較少,大多僅透過對電話號碼的管制與授權使用
34、做管制,卻沒有在使用者上線時再加以確認身份或加以控管。 不重視資料字典的建立與使用程序:僅約 14.5%的公司(單位)對資料字典有保管與確定完整的程序,以及可由系統自動將資料項目的屬性編製成文件。因此,資料字典的建立過程就可能會發生項目遺漏、不一致或重複等問題。此外,也僅有 17.1%對資料字典的使用有說明文件。 缺乏在系統發展時即放入稽核常式的觀念:有稽核人員參與系統發展專案者僅佔17.4%,而會在系統發展過程中就決定要使用的稽核常式與使用方式者也僅 14.5%,但俗話說:預防勝於治療,未事先考慮稽核問題,將增加日後查核該系統的複雜度。三、 電腦稽核等級在調查了七十七家的電腦稽核環境現況後,
35、為便於一般公司(單位)在執行自我評估時能有等級做參考與比較,於是將所有樣本依據其填答結果之總得分率高低,以百分比法均分成 A、B、C 三等級,使每一等級之樣本數各佔約 1/3,結果如表六。得分率之計算方式請參看自我評估的部分。由於等級參考表係根據本次問卷調查的樣本填答結果所訂定,將來隨著時間與樣本的變更可能會有變動,但在現階段仍具有參考價值。表六 電腦稽核等級參考表 等級 樣本數 平均(%) 最大值(%) 最小值(%)A 級 25 62.61 89.23 48.34B 級 26 43.39 48.17 38.57C 級 26 30.09 37.11 16.90四、 交叉分析為能更深入了解稽核等
36、級與相關因素之間的關聯性,因此進行交叉分析(卡方檢定)。基本資料與稽核等級交叉分析的結果,僅負責電腦稽核工作的人數一項有達顯著水準(p=0.05),如表七,也就是負責電腦稽核工作的人數與所獲得的稽核等級是有相關性的。表七 負責電腦稽核工作的人數與稽核等級交叉表卡方值:17.856 稽 核 等 級p 值:0.007* A B C 小計樣本數 7 6 14 270 人百分比 9.72 8.33 19.44 37.5樣本數 7 18 8 331-2 人百分比 9.72 25.00 11.11 45.83樣本數 7 2 1 103-5 人百分比 9.72 2.78 1.39 13.89樣本數 1 0
37、1 26 人以上百分比 1.39 0 1.39 2.78樣本數 22 26 24 72小計百分比 30.56 36.11 33.33 100.00*p = 0.01為了要了解稽核項目與等級的相關性,我們先檢定問卷五個構面與等級之間的關聯性,檢定結果如表八,不同的等級在五項構面上的回答結果是有顯著差異的。表八 五項構面與稽核等級交叉表構 面 卡方值 p 值機房環境的控制措施 73.543 0.001*電腦安全的控制措施 53.440 0.001*區域網路(通訊)的管制措施 40.497 0.001*資料庫管理系統的管控 53.712 0.001*系統發展的管控 29.321 0.001*p =
38、0.01在確定不同的等級在五項構面上的回答結果是有顯著差異之後,為能更了解詳細的差異項目,於是將稽核等級分成 AB 與 BC 二組,分別與五項構面共 363 項之稽核項表九 稽核項目與 AB 等級交叉表稽 核 項 目 卡方值 p 值 機房環境的控制措施經常查看確認走廊通道上無妨礙逃生的障礙物 8.161 0.004樓梯間有防火門相隔 9.691 0.002有自動滅火系統或可供消防隊使用的儲備水源 10.363 0.001對監控系統或警報系統會進行定期或不定期檢查或測試 12.476 0.001對緊急照明設備會進行定期或不定期檢查或測試 9.477 0.002緊急電話可直接撥外線,不需透過內部交
39、換機 8.670 0.003備有足夠可用的緊急照明設備 10.043 0.002清楚地標示緊急出口的方向 8.632 0.003要求應徵者對其所填寫之資料出具證明文件 8.400 0.004主動調查應徵者之信用狀況 11.455 0.001確認已適當的處理離職人員的薪津資料 7.994 0.005對電腦操作的控制包括工作(job)重新執行或啟動程序 13.380 0.001平日會檢視例外報表 8.632 0.003在檢視與電腦操作相關的記錄或文件時,會確認工作(job)的重新執行( 啟動)程序可以從中斷處開始繼續執行8.846 0.003檔案儲存櫃或保管室在不使用時一律上鎖 7.994 0.0
40、05備份的措施包括已建立各種不同的應用軟體執行時的優先順序 14.839 0.001 電腦安全的控制措施當硬碟上的檔案有更改時,也會更新備份的資料 11.088 0.001 區域網路(通訊)的管制措施區域網路的政策中有明訂使用者對於網路相關的軟硬體維護與安全應負的義務 10.783 0.001隨時更新現有區域網路相關軟體的清單 15.154 0.001僅獲授權者可使用撥接連線 10.754 0.001當網路硬體發生故障時,可快速的取得零件更換 12.790 0.001 資料庫管理系統的管控資料庫管理人員會參與規劃軟體支援或與資料庫管理系統有相關的短程與長程計劃 12.931 0.001資料庫管
41、理人員的職責包括檢視、測試、評估和認可系統與程式,以及會涉及資料庫存取的程式更改9.167 0.002資料庫管理人員的職責包括檢視資料庫管理系統,以確定可偵測到未經授權的更改 8.193 0.004資料庫管理人員的職責包括對未經授權的、無效的或有問題的事件主動調查 13.211 0.001嚴格禁止資料庫管理人員在沒有使用單位的同意與控制下輸入應用程式或是輸入使用者交易11.458 0.001資料庫管理系統對資料庫所作的建立、更新、讀取、刪除等存取動作都有記錄 10.661 0.001資料庫管理系統或其他軟體對系統軟體能提供適當地認證 10.864 0.001資料庫管理系統或其他軟體對應用程式能
42、提供適當地認證 7.894 0.005資料庫管理系統或其他軟體對交易能提供適當地認證 9.090 0.003有使用者參與決定資料庫管理系統的功能與特性 8.913 0.003所有對運作中的資料庫應用軟體系統和程序的更改,必需提出書面申請並得到許可 11.313 0.001 系統發展的管控有訂定階段性之系統驗收標準 10.793 0.001在可行性分析階段會確認可行性研究結果報告經管理指導委員會、相關部門主管認可 7.768 0.005細部設計與程式撰寫階段會檢視系統開發標準手冊 9.711 0.002在執行階段會檢視系統的排程與執行程序 10.137 0.001系統上線後檢視操作人員錯誤登錄的記錄,以判定系統是否有潛在的問題 7.982 0.005目做交叉分析,找出每一組中二種等級在稽核項目執行上有顯著差異的項目,因限於篇幅,無法將所有 p=0.05 的項目一一列出,因此僅將 p 值=0.005 的項目列出,A 級與 B 級主要的差異項目請參看表九,B 級與 C 級主要的差異項目請參看表十。A 級與
