105司法三等
以下為報載新聞之摘要:
「檢調警偵辦XX 銀行ATM 遭盜領案,調查局發現該銀行L 銀行電腦主機內的兩個電話錄音硬碟遭駭。駭客集團因而掌握該銀行6 月底進行ATM 軟體更新的資訊,於7 月4 日入侵,開啟ATM 遠端控制服務,9 日,入侵者再從遠端登入,植入惡意程式,遙控ATM 吐鈔。為釐清相關疑點,調查局7 月21 日以證人身分約談……」請依上述新聞,回答下列問題:
(一)
電腦環境下的內部控制可分成一般控制與應用控制二種。依照該新聞摘要,說明二種控制各包含那些類型?
參考: 審計實務指引_002_風險評估與內部控制
電腦資訊系統特點與考量
第 八 條
為達成內部控制整體目標,電腦資訊系統環境之內
部控制分為一般控制及應用控制,其相關控制均可
包括人工及程式化之控制程序。
第 九 條
電腦資訊系統一般控制之目的係建立對電腦資訊系統作業之控制架構,以合理確保內部控制整體目標之達成。電腦資訊系統之一般控制通常包括:
l 組織及管理控制--建立電腦資訊系統作業之組織架構,包括:
n 管理控制相關職能之政策及程序。
n 職能之適當分工,例如交易輸入、程式設計及電腦操作應由不同人員執行。
l 應用系統(application program)開發與維護(Development and Maintenance)控制--通常須對下列事項建立控制程序,以合理確保系統開發與維護之授權及效率:
n 新系統或更新系統之測試、轉換、導入及其相關文件之記錄。
n 應用系統之變更。
n 系統文件之存取(Access)。
n 外購或委外開發之應用系統。
l 系統軟體控制--對下列事項建立控制程序,以合理確保系統軟體取得與開發之授權及效率:
n 新系統軟體或修改系統軟體之授權、核准、測試、導入及其相關文件之記錄。
n 經授權之人員可存取系統軟體及相關文件之限制。
l 電腦操作控制--建立系統操作之控制程序以合理確保下列事項:
n 系統僅在經授權之目的下使用。
n 僅經授權之人員可操作電腦。
n 僅可使用經授權之程式。
n 處理之錯誤可被偵測並更正。
l
資料輸入及程式控制--建立控制程序以合理確保下列事項:
n 輸入系統之交易業經適當授權。
n 僅經授權之人員可存取資料及程式。
第 十一 條
電腦資訊系統應用控制之目的係建立應用系統特定之控制程序,以合理確保所有交易之適當授權、記錄及其處理之完整、正確與及時。電腦資訊系統之應用控制包括:
l 輸入控制--建立控制程序以合理確保下列事項:
n 交易於電腦處理前業經適當授權。
n 交易已適當轉換為機器可讀取(Machine-readable)之型態,且已記錄於電腦資料檔。
n 交易無遺漏、虛增、重複或不當更改之情形。
n 錯誤交易業經拒絕、更正,如有必要應及時重新輸入。
l 處理及電腦資料檔控制--建立控制程序以合理確保下列事項:
n 交易(包括系統自動產生之交易)業經電腦適當處理。
n 交易無遺漏、虛增、重複或不當更改之情形。
n 處理錯誤業經辨識且及時更正。
l 輸出控制--建立控制程序以合理確保下列事項:
n 處理結果之正確性。
n 僅經授權之人員可存取輸出結果。
n 輸出結果及時提供予適當之權責人員。
(二)
在上述銀行ATM 遭盜領案中,XX 銀行內部控制發生那些問題?
參考: 審計實務指引_003_資訊系統環境 線上作業電腦系統
第二十一條
在線上作業環境下,應用系統(application program)未經授權存取與更改之風險較高,為確保資訊之完整與可靠,企業應建立適當之資訊安全架構,因此查核人員評估一般與應用控制前應先考量資訊安全架構;為降低電腦病毒、未經授權存取與審計軌跡損毀之風險,企業應建立適當之一般控制,其中以存取控制尤為重要。
第二十二條
存取控制通常可分為邏輯存取控制與實體存取控制。
l 邏輯存取控制包括使用通行密碼與特殊存取控制軟體(如線上監控軟體),以控管功能選單、授權表(Authorization
table)、通行密碼、檔案及程式等之存取(Access)。
l 實體存取控制包括終端機(Terminal device)上鎖、電腦室上鎖及非營業時間中斷連線等。
線上作業電腦系統(On-line computer system)之其他重要一般控制例舉如下:
l 通行密碼之管制:建立通行密碼之分發與維護程序,以確保存取業經授權。
l 系統開發與維護控制:線上應用系統(application program)之設計應包括通行密碼、存取控制、資料驗證及復原程序。系統之變更已依既定程序且符合預定目標。
l 程式控制。
l 交易日誌(Transaction log)。
l 防火牆(Firewall)。
該銀行的問題應該在於資訊安全架構的問題,亦即存取控制發生重大缺失!
