IT控制架構COBIT之探討(上)

兼述GTAG之遵循
Н●ᇄᢋᜍ‫ڕ‬һܿ‫!!ܛ‬؄ஊထ

壹ǵ前言

研議動機與目的
本公司於去(2008)年10月份接受中華民國內部稽核協會所組成之品質評核小組Ǵ包含
由國際內部稽核協會(The Institute of Internal Auditors, IIA)總部品質經理Sha Wen女士
擔任領隊及內稽界經驗豐富並受過品質評核培訓之專家Ǵ對本公司之內部稽核進行外部品質
評核Ǵ這是臺灣的企業針對國際內部稽核執業準則及職業道德規範之遵循情形受到評核的第
一個案例Ǵ也是IIA推動內部稽核外部品質評核計畫以來Ǵ全球409家直接接受IIA評核企業
當中的第一家證券交易所Ƕ依據IIA品質手冊建議評核結果分為三個等級Ǻ

Ɉ GC –ȸGENERALLY CONFORMSȹ此為第一等級Ǵ所謂Ȝ普遍遵循ȝ係內部稽核單位
在相關的架構ǵ政策和程序Ǵ以及應用的流程Ǵ皆遵循準則或職業道德的重要規範Ƕ

Ɉ PC –ȸPARTIALLY CONFORMSȹ此為第二等級Ǵ所謂Ȝ部分遵循ȝ係內部稽核單位
努力遵循準則或職業道德規範Ǵ但是有些主要目標沒有達成Ƕ

Ɉ DNC –ȸDOES NOT CONFORMȹ此為第三等級Ǵ所謂Ȝ尚未遵循ȝ係內部稽核單位不

瞭解ǵ不努力或沒有達成準則或職業道德的重要規範Ƕ

本公司品質評核結果為第一等級 -Ȝ普遍遵循ȝǶ

中華民國內部稽核協會品質評核團隊於作業完畢後出具Ȩ臺灣證券交易所內部稽核品質
評核報告ȩǴ認為本公司內部稽核單位普遍遵循準則及職業道德規範Ǵ單位之環境結構良好
並具前瞻性Ǵ該單位瞭解IIA準則且管理階層正致力於提供有用之稽核工具與採行適當之實
務Ǵ且內部稽核團隊整體頗受管理階層之信賴與認可Ƕ

另在目前本公司內部稽核單位現有之基礎上Ǵ並依據IIA準則ǵIIA強力推薦之實務ǵ或
是全世界內部稽核專業公認之最佳實務提出幾點建議事項Ǵ其目的是要改善內部稽核單位
之效果及效率Ǵ其中建議IT控制架構採行資訊及相關技術的控制目標(Control Objectives

6 證交資料579期
 Special Issue

名人講堂
專題研究
for Information and related TechnologyǴCOBIT)可協助公司及內部稽核人員覆核完整之
IT領域與必要之IT控制Ǵ並遵循來自IIA之全球科技稽核指引 (Global Technology Audit
GuidesǴGTAG)Ǵ詳見附錄Ǵ來持續提升與改善IT稽核Ƕ

目前本公司所導者為資訊安全管理系統標準(ISO 27001)Ǵ本文對COBIT及ISO 27001

之控制架構進行分析比較Ǵ並依據IIA所提供目前已發布之全球科技稽核指引(GTAG)提出心

焦點視界
得報告Ǵ以供本公司IT部門及內部稽核單位參考Ƕ

貳ǵCOBIT與ISO 27001之比較

一ǵ COBIT 介紹

市場掃描
1ǵ COBIT的發展

資訊系統稽核與控制協會ȐInformation Systems Audit and Control AssociationǴ

ISACAȑ參閱全球不同國家ǵ政府機構ǵ學術組織Ǵ廣泛蒐集資訊系統控管標準及最佳化
作業流程Ǵ共同研擬一套IT 控管標準ɡ資訊及相關技術的控制目標(Control Objectives for

證交集錦
Information and related Technology, COBIT)Ǵ經過嚴謹審核及品質保證程序訂定Ǵ於
1996年推出第1版Ǵ至今仍然持續進展Ǵ版本演進如圖1Ƕ

圖1ǵCOBIT版本進展
數字機鋒

治理

管理 2005

2000
控制

1998
統計資料

審計
1996

COBIT 1 COBIT 2 COBIT 3 COBIT 4

資料來源：Ms Foo Mei Ling(2007)

證交資料579期 7
 目前最新版係由IT治理協會ȐIT Governance InstituteǴ ITGIȑ於2007年制定之4.1
版本Ǵ是關於IT安全和控管實務的標準Ǵ對管理階層ǵ使用者以及資訊系統稽核ǵ控管和
安全的從業人員提供一個參考架構Ǵ其所提供的指引Ǵ使企業能夠對IT實行有效的治理Ƕ

Ʌ對於管理階層來說ǴCOBIT幫助他們在一個不確定的IT環境中平衡風險與控制投資Ǵ指
導他們的IT投資決策Ǵ並確定他們的資訊和IT資源是否得到了最充分的利用Ƕ

Ʌ對於使用者來說ǴCOBIT幫助他們獲得內部或第三方提供的IT服務的安全保證與控制保
證Ǵ確定他們的IT服務是否對業務流程起到了很好的支持作用Ƕ

Ʌ對於稽核人員來說ǴCOBIT幫助他們向管理階層證實他們對內部控制的意見和建議Ǵ提供
了評估和檢查的標準Ǵ還提供了改進稽核效率和稽核有效性的架構性方法Ƕ

這些人員能夠運用COBIT來對組織的IT控制目標進行自我評估Ƕ

2ǵ瞭解COBIT

COBIT 主要目的在於結合 IT 與企業營運目標 ǴȨ 對於企業 IT 主管而言 Ǵ 如果不了解

IT 治理 Ǵ 就會出現重工 ǵ IT 與營運目標難整合的危機 Ƕȩ 就目前企業所需要的各種框架
(Framework)而言Ǵ最上層的是公司治理的COSO框架Ǵ中間是IT治理框架COBITǴ最底層
則是IT管理的各種標準與框架Ǵ包含ITILȐISO 20000ȑǵCMMI和ISO 27001皆然Ƕ

COBIT並不是一組IT控制與稽核項目的集合Ǵ它通常包含大多數組織與稽核指引都會提
到的IT控制目標Ƕ對於高階管理層IT控制目標的識別和瞭解構成內部控制的框架Ǵ框架又
指導組織選擇ǵ實施合適的內部控制活動來達成這些IT控制目標ǶCOBIT間接地允許使用
者區分威脅IT控制目標達成的風險的優先級Ƕ由於 COBIT 建立在與大多數企業密切相關的
IT控制目標上Ǵ使用它能夠保證評估有效性Ǵ因為實際運作的表明Ǵ僅憑一張控制ȸ核對
單ȹ來處理IT流程的方式通常會導致組織引入不必要的控制或對降低風險無益的控制Ƕ因
此Ǵ有必要使用COBIT做評估工具Ǵ它首先建立IT控制目標Ǵ然後是相關重大IT風險Ǵ最
後得出相關的有效的IT控制Ƕ

8 證交資料579期
 Special Issue

名人講堂
專題研究
3ǵ影響COBIT實施的因素

影響到 COBIT 籌備以及整個的實施過程Ǵ以下幾個因素是必須考慮的Ǻ

(0) IT部門的規模和組織結構如何ǻ對於大型的ǵ集中的金字塔型組織ǴCOBIT要由最
高層通過正式的採用程序來處理Ƕ對於扁平型的組織Ǵ可以遵循大多數原則Ǵ如果

焦點視界
所有受到影響的團體都同意共同實施COBITǴ那麼就可運行了Ƕ

(1) 內部稽核組織的規模和結構如何ǻ對於擁有獨立的資訊系統稽核單位的大型內部稽
核組織Ǵ最好先在資訊系統稽核單位實施COBITǴ然後再推廣到相應的IT部門或稽
核管理層Ǵ這種方法能夠贏得大多數人的歡迎Ƕ

市場掃描
(2) IT稽核與資訊系統稽核ǵ稽核與管理之間的關係如何ǻ稽核組織的哲學是什麼ǻ如
果內部稽核組織也是業務顧問Ǵ那麼COBIT 的採用比較容易獲得大多數的同意Ƕ事
實上Ǵ強調業務流程ǵIT資源管理ǵ業務目標達成的COBIT架構Ǵ能夠為這種管理
導向的稽核哲學提供指導Ƕ而關注獨立性的稽核組織與他們客戶的關係就沒有這麼
密切了Ǵ他們採用COBIT就要聽從執行長和審計委員會的命令了Ƕ

證交集錦
(3) IT 外包程度如何 ǻ 與第三方關係如何 ǻ 如果與第三方關係良好 Ǵ 或 IT 外包程度很
低Ǵ那麼COBIT的採用就比較容易Ǵ因為決策僅在組織內部發生Ǵ否則的話Ǵ可能
需要對第三方合同進行修正以及採用外部稽核Ƕ

(4) 組織業務流程重組程度如何ǻ組織業務流程重組進行的如何ǻCOBIT能夠為業務流
數字機鋒

程改進提供有價值的輸入ǶCOBIT強調加強資訊及資訊相關技術在組織內的使用Ǵ
這將為改進業務流程提供最佳的實踐指引Ƕ

4ǵ組織為何採用COBIT

(1) 組織面臨的宏觀問題都集中在公司治理問題上Ƕ因此Ǵ管理層維持有效內部控制系
統計資料

統的壓力正逐步上升Ǵ法律要求ǵ信託責任ǵ合同要求ǵ社會壓力等問題也困擾著
管理層ǴCOBIT能夠幫助組織做出有說服力的保證Ǵ諸如IT支持的業務目標能夠達
成ǵIT 風險已被識別等Ƕ

證交資料579期 9
 (2) 管理層對於合理使用組織資源負有責任 Ƕ 管理層如何知道 IT 投資是最優的 ǻ 基於
COBIT對IT有效性的評估能夠回答這個問題Ǵ例如COBIT 建議為負責技術的管理設
立相應的IT流程Ƕ

(3) 通過控制IT資源ǴIT服務的總成本將下降ǶCOBIT管理指引為管理層提供了工具Ǵ
使得管理層能夠進行自我評估 Ǵ 為資訊及相關技術的控制實施和控制改進做出決
策Ƕ這些指導意見幫助把IT組織和企業目標聯繫起來Ǵ並為保證目標的達成提供了
績效衡量標準Ƕ

(4) COBIT能夠減輕管理層對IT資源脆弱性和業務目標無法達成的恐懼ǵ不確定感ǵ懷
疑Ƕ

(5) 採用COBIT能夠確保組織沒有違反規則ǵ法規和合同義務Ƕ

(6) 一個採用COBIT的組織能夠將自己區別於競爭對手Ǵ就像擁有ISO 9000證書一樣Ǵ

COBIT說明組織的IT得到了很好的管理和控制Ƕ

(7) 一個已經或者將要採用COSO的組織Ǵ能夠同時採用COBITǶ許多組織指出COSO/
COBIT聯合實施後運行得十分平穩Ǵ因為這兩個框架是如此的互補 ȋ COSO負責處
理與內部控制相關的所有問題Ǵ而COBIT則負責處理IT相關的內部控制問題Ƕ

(8) 類似地 Ǵ COBIT 與 SysTrust 的聯合使得組織能夠在進行 SysTrust 檢查之前先根據

COBIT的流程評估它的IT運營狀況Ƕ這樣Ǵ組織就能在獨立稽核人員進行服務檢查
之前Ǵ識別並糾正控制漏洞Ƕ

(9) 依據組織規模Ǵ用於管理和控制的資源是有限的ǴCOBIT提供了評估風險和管理IT
相關披露的框架Ƕ

(10)一些內部稽核組織和公共會計公司指出Ǵ使用了COBIT之後Ǵ其稽核集成程度得到
改進 Ƕ 資訊系統稽核人員與非資訊系統稽核人員使用 COBIT 來調整他們的稽核目
標ǵ交流他們的稽核結果Ƕ

10 證交資料579期
 Special Issue

名人講堂
專題研究
(11)COBIT管理指引為企業管理與IT管理確定與企業目標相符的IT控制水平提供了新的
工具Ƕ通過定義了成熟度模型ǵ關鍵成功因素ǵ關鍵目標指標ǵ關鍵績效指標Ǵ管
理指引能夠幫助組織進行策略狀態的自我評估Ǵ識別改進IT流程的措施Ǵ監控IT
過程的表現Ƕ

5ǵCOBIT 的範圍和侷限

焦點視界
要成功實施COBITǴ就必須弄清楚什麼是COBITǵ它適用於什麼ǵ它能作什麼ǵ它不能
作什麼Ƕ概述如下Ǻ

(1) COBIT是一種思考方式 ȋ 對有些人來說是新的思考方式Ǵ成功的實施需要進行介

紹ǵ教育ǵ培訓Ƕ

市場掃描
(2) COBIT是一個必需根據組織所制定的框架Ƕ例如ǴCOBIT的IT流程必須與組織現有
的IT流程進行比較Ǵ必須對組織的風險做出評估Ǵ設定IT流程的責任Ƕ

(3) 作為治理 ǵ 控制 ǵ 稽核活動的參考框架 Ǵ COBIT 必須與其他的資源一起使用 Ǵ 包

證交集錦
括 Ǻ 行業稽核指引 Ȑ 像 AICPA 或 FFIEC 出版的稽核指引 ȑǵ 通用控制與稽核指引
Ȑ如ISACF出版的 CIS稽核手冊ȑǵAICPA/CICA SysTrustǵIIA 的SAC以及平台
相關的指引等Ƕ

(4) COBIT管理指引是概要性的ǵ普遍適用的指引Ǵ它不提供具體行業標準Ƕ組織在大
多數情況下需要根據它們的具體環境將這個概要性的指引最適化Ƕ
數字機鋒

6ǵCOBIT的基本原則

想要取得營運所需的資訊 Ǵ 企業必須投資在 IT 資源上 Ǵ 這些 IT 資源應使用結構化

的流程加以管理及控制 Ǵ 俾利提供相關服務以產生營運所需的資訊 Ǵ 透過管理 IT 流程
ȐIT ProcessesȑǴ將IT資源ȐIT Resourcesȑ整合應用Ǵ進而滿足營運需求ȐBusiness
統計資料

RequirementsȑǶ其基本原則Ǵ如圖2Ƕ

證交資料579期 11
 圖2ǵCOBIT4.1基本原則
回應
營運需求 驅動投資

企業資訊 COBIT 2 IT 資源

支付產生 IT 過程 被使用

資料來源： ITGI (2007) COBIT4.1圖5，頁10，

(1) 以營運為焦點Ǻ

為達成營運目標Ǵ兼顧品質ȐQualityȑǵ監督ȐFiduciaryȑǵ安全ȐSecurityȑ三方
面的需求Ǵ資訊必須符合資訊準則ȐCriteriaȑǶ為確保資訊符合營運要求標準Ǵ必須適當
控制及監督IT資源的使用Ƕ企業策略大部分都需要藉助IT來施行Ǵ因此企業應該將這些策
略轉化為一系列需藉助IT達成的企業目標Ǵ企業IT目標再轉化為IT本身的目標Ƕ為達成IT
目標Ǵ必須對IT資源及能量(即企業的IT架構)做定義Ǵ並透過衡量指標(呈現在IT計分卡上)
監督IT流程所提供的資訊是否符合資訊準則Ǵ轉化過程如圖3Ƕ

圖3ǵIT目標轉化為企業目標

企業策略 營運IT目標 IT目標 企業IT架構 IT計分卡

提供
企業需求 政府規範 資訊
執行
資訊服務 影響 IT程序 應用系統
需要
資訊準備 基礎架構與人員
隱含 需要

資料來源：ITGI(2007) COBIT 4.1，圖6，頁11

12 證交資料579期
 Special Issue

名人講堂
專題研究
Aǵ企業資訊技術品質應達到之準則Ǻ

aǵ效能(Effectiveness)Ǻ資訊內容能即時ǵ正確ǵ一致ǵ可用的Ƕ

bǵ效率(Efficiency)Ǻ資訊應以最具生產力及經濟性的方式產生Ƕ

焦點視界
cǵ機密性(Confidentiality)Ǻ不能讓未獲授權者取得敏感性資訊Ƕ

dǵ完整性(Integrity)Ǻ資訊內容應精確ǵ完整Ǵ其適當性必須符合價值及期待Ƕ

eǵ可用性(Availability)Ǻ需要某項資訊的時候Ǵ可立即取得Ǵ並對產生資訊的資源及
能力加以保護Ƕ

市場掃描
fǵ 遵循性(Compliance)Ǻ資訊程式必須符合法令ǵ契約及內部規範Ƕ

gǵ可靠性(Reliability)Ǻ能取得合適的資訊運轉企業並履行治理的責任Ƕ

證交集錦
BǵCOBIT定義之IT資源Ǻ

aǵ資料(Data)Ǻ數字ǵ文字ǵ圖形及聲音等廣義之資料Ƕ

bǵ應用系統(Application systems)Ǻ涵蓋所有人工及自動化之作業程序Ƕ
數字機鋒

cǵ技術(Technology)Ǻ硬體ǵ作業系統ǵ資料庫管理系統ǵ網路ǵ多媒體等技術Ƕ

dǵ設施ȐFacilitiesȑǺ存放和支援資訊系統運作之所有資源Ƕ

eǵ人員(People)Ǻ資訊系統與服務所需之內部ǵ外來ǵ契約雇用的人員Ƕ
統計資料

(2)以流程為導向Ǻ

COBIT 4.1將IT作業訂定於34個通用流程內Ǵ串聯210個相關工作項目及其監控的架
構Ǵ它的流程及監控的範圍Ǵ主要分成四個領域(Domains)Ǻ

證交資料579期 13
 AǵȨ規劃與組織ȐPlan and OrganizeǴPOȑȩǺ透過規劃Ǵ管理電腦相關軟硬體ǵ
人力資源的投資 Ǵ 並訂定有效管理人與資訊系統的辦法 Ƕ 即對 AI ǵ DS 提供指
引Ƕ

BǵȨ獲取與建置ȐAcquire and ImplementǴAIȑȩǺ對於資訊的取得與建立必須透

過功能完整的資訊系統來運作Ǵ著重系統的建置ǵ相關軟體撰寫與維護Ƕ提供解決
方案並將其投入服務Ƕ

CǵȨ交付與支援ȐDeliver and SupportǴDSȑȩǺ需要穩定的資訊系統執行效能來保

障對於企業的效益Ǵ包含人員的教育訓練與安全的管理ǵ取得解決方案並將其適用
於終端使用者Ƕ

DǵȨ監控與評估ȐMonitor and EvaluateǴMEȑȩǺ企業內部與對外資訊流通必須妥

善的監控措施Ǵ除了安全性考量Ǵ也涵蓋企業運作的過程是否具有效率Ƕ監督每個
程式以確保其遵循PO所提供的指引Ƕ

四個領域彼此互動關聯情形Ǵ如圖4Ƕ

圖4ǵCOBIT 4.1 的4 個領域互動情形

規劃與組織

獲取與建置 交付與支援

監控與評估

資料來源：ITGI(2007) COBIT4.1，圖8，頁12

14 證交資料579期
 Special Issue

名人講堂
在四個領域中所定義之IT流程Ǵ如表˞Ǻ

專題研究
表˞ǵCOBIT 4.1四個領域中所定義之IT流程

y 規劃和組織(Planning & Organization)Ǻ

– PO1 定義策略性的IT計畫(define a strategic IT plan)
– PO2 定義資訊結構(define the information architecture)
– PO3 確定科技的方向(determine the technological direction)

焦點視界
– PO4 定義IT組織和關係(define the IT organization and relationships)
– PO5 管理IT投資(manage the IT investment)
– PO6 溝通管理目標和方向(communicate management aims and direction)
– PO7 管理人力資源(manage human resources)
– PO8 確保遵循外部之要求(ensure compliance with external requirements)
– PO9 評估風險(Assess Risks)
– PO10 管理專案(manage projects)
– PO11 管理品質(manage quality)

市場掃描
y 獲得和實行(Acquisition & Implementation)Ǻ

– AI1 確認自動化解決方案(identify automated solutions)

– AI2 獲取和維護應用軟體(acquire and maintain application software)
– AI3 獲取和維護科技基礎設施(acquire and maintain technology infrastructure)
– AI4 開發及維護程序(develop and maintain procedures)
– AI5 安裝ǵ授權系統(install and accredit systems)

證交集錦
– AI6 變更管理 (manage changes)

y 提供和支援(Delivery & Support)Ǻ

– DS1 定義和管理服務水準(define and manage service levels)
– DS2 管理第三團體服務(manage third-party services)
– DS3 管理效能和容量(manage performance and capacity)
– DS4 確保持續服務(ensure continuous service)
– DS5 確保系統安全(ensure systems security)
– DS6 確認和分攤成本(identify and attribute costs)
數字機鋒

– DS7 教育和訓練使用者(educate and train users)

– DS8 協助和建議顧客(assist and advise customers)
– DS9 管理組態設定(manage the configuration)
– DS10 管理問題和意外事件(manage problems and incidents)
– DS11 管理資料(manage data)
– DS12 管理設施(manage facilities)
– DS13 管理操作(manage operations)
y監督(Monitoring)Ǻ
統計資料

– M1 監督流程(monitor the processes)

– M2 評估內部控管恰當性(assess internal control adequacy)
– M3 獲得獨立的保證(obtain independent assurance)
– M4 提供獨立的稽核(provide for independent audit)

證交資料579期 15
 (3)以控制為基礎Ǻ

在IT準則指導下Ǵ利用控制目標模型Ǵ不斷將目標與標準進行比較ǵ調整行動Ǵ進而
保證IT資源管理的安全ǵ可靠和有效性Ǵ如圖5Ƕ

圖5ǵCOBIT 4.1 的控制目標模型

行動

規劃
標準 比較 處理過程
目標

控制資訊
資料來源：ITGI(2007) COBIT4.1，圖9，頁14

COBIT為34個通用流程分別制定多項控制目標Ǵ以PO1(定義策略性的IT計畫)流程為
例Ǵ有以下6項控制目標Ǻ

AǵPO1.1ǺIT價值管理Ƕ

BǵPO1.2Ǻ企業與IT協調一致Ƕ

CǵPO1.3Ǻ目前能量與效能之評估Ƕ

DǵPO1.4ǺIT戰略性規劃Ƕ

EǵPO1.5ǺIT戰術性規劃Ƕ

FǵPO1.6ǺIT群組管理Ƕ

16 證交資料579期
 Special Issue

名人講堂
專題研究
COBIT亦制定制訂了以下6項適用於所有流程的通用控制(Process Control, PC)Ǻ

AǵPC1Ǻ定義及傳達程式目的及目標Ƕ

BǵPC2Ǻ指定程式負責人Ǵ並明訂其角色及責任Ƕ

焦點視界
CǵPC3Ǻ程式應設計成可重複運作並產生一致的結果Ǵ並具有足夠彈性以處理意外狀
況Ƕ

DǵPC4Ǻ定義程式內的關鍵作業及最終產品Ǵ為關鍵作業指派角色及責任Ƕ

EǵPC5Ǻ定義及傳達政策ǵ計畫及程式如何驅動特定IT 程式Ƕ

市場掃描
FǵPC6Ǻ找出一組能對特定程式的成果及效能Ǵ提供洞察力的衡量指標Ƕ

也提供了以下6項建議性的應用控制目標Ǻ

證交集錦
AǵAC1Ǻ原始資料編製及授權Ƕ

BǵAC2Ǻ原始資料蒐集及登錄Ƕ

CǵAC3Ǻ精確性ǵ完整性及確實性檢查Ƕ
數字機鋒

DǵAC4Ǻ處理完整性及適當性Ƕ

EǵAC5Ǻ輸出檢核ǵ調節及錯誤處理Ƕ

FǵAC6Ǻ交易授權及完整性Ƕ
統計資料

個別流程的專屬控制目標加上通用控制流程Ǵ構成完整的控制規範Ƕ

COBIT使用RACI(R:Responsible 承辦職責ǹA:Accountable 批准作業Ǵ承擔責任ǹC:

Consulted 被諮詢ǹI:Informed 被通知)圖表來展示每個流程內各項活動與分工團隊之角色

證交資料579期 17
 及責任Ǵ以COBIT 4.1 之DS5Ȩ確保系統安全ȩ為例Ǵ如圖6Ƕ

圖6ǵ流程DS5Ȩ確保系統安全ȩ之RACI圖表

執 財 業務 資 營運過 作業 技術 開發 IT 專案 遵循稽
行 務 經理 訊 程擁有 主管 架構 主管 行政 經理 核風險
長 長 長 人 長 主管 管理與
安全
定義與維護資安計畫 I C C A C C C C I I R
定義 ǵ 建立與操作識別及帳 I A C R R I C
戶管理過程
監控潛在與實際之資安事件 A I R C C R
定期審查與確認使用者存取 I A C R
權限及特權
建立與維護有關加密金鑰維 A R I C
護及保全之程序
實作與維護有關網路中傳遞 A C C R R C
資訊之保護技術及程序
經常性執行脆弱性評鑑 I A I C C C R
說明:
R:Responsible承辦職責ǹA:Accountable承擔責任ǹC:Consulted諮詢請示ǹ
I:Informed通知分享
資料來源：ITGI(2007) COBIT4.1，頁119

(4)以衡量為驅動Ǻ

企業管理層必須對IT系統是否達到預期目標做出客觀的評價Ǵ以做為進一步改進的參
考Ƕ關鍵的目標指標可以鑒別並衡量IT流程的成果Ǵ同時關鍵的績效指標可藉由衡量流程
的實現者來評估流程的績效Ƕ透過成熟度模型和成熟度屬性提供能力評估和基準Ǵ幫助管理
階層衡量監控的能力並且鑒別監控漏洞並提出相應的改善策略Ƕ

AǵITǵ流程及活動的績效目標和衡量指標(Metrics)Ǵ如圖7Ƕ

18 證交資料579期
 Special Issue

名人講堂
圖7ǵ績效目標和衡量指標關係

專題研究
IT 流 程 活 動

確保IT服務 設定 設定
發現和解決 了解安全需

焦點視界
目 可以抵禦攻
未授權的存 求脆弱性和
標 擊及恢復營
取 威脅
運目標

驅 動
衡 量 衡 量 衡 量
驅動

市場掃描
衡 實際未授權 檢討被監視
實際對營運
量 存取事件之 出安全事件
指 衝擊之數量
標 數量 類型之頻率

證交集錦
Bǵ成熟度模型(maturity model) - COBIT借用軟體工程領域的CMM方法Ǵ把IT流程的
管理及控制成熟度分成(0)到(5)等六個等級Ǻ

aǵ(0) 不存在Ǻ管理過程完全未應用Ƕ
數字機鋒

bǵ(1) 起始/特別Ǻ有管控流程Ǵ但為特別的且混亂的Ƕ

cǵ(2) 以直覺方式重複Ǻ過程遵循固定樣式Ƕ

dǵ(3) 流程已定義Ǻ管控流程已文件化並在組織內傳達Ƕ
統計資料

eǵ(4) 可管理並且可衡量Ǻ管理過程被監控和測量Ƕ

fǵ (5) 最適化Ǻ管控流程遵循最佳實務並且自動化Ƕ

證交資料579期 19
 COBIT 4.1 的成熟度模型Ǵ如圖8Ƕ

圖8ǵCOBIT 4.1 的成熟度模型

不存在 可重覆但直覺 可管理可測量

起始/特別 已定義 最佳化

0 1 2 3 4 5

使用符號圖例 使用符號圖例

企業現狀 0 管理過程完全未應用
1 過程為特別的且混亂
2 過程遵循固定樣式
同行平均目標
3 過程文件化並溝通
4 過程被監控和測量
企業目標 5 遵循好的做法且自動化

資料來源：ITGI(2007)COBIT4.1，圖12，頁18

Cǵ成熟度屬性(maturity attribute) - 能夠用於更加全面的評鑑ǵ差距分析ǵ與制訂改

進計劃Ƕ分為Ȩ認知ǵ溝通ȩǵȨ政策ǵ標準ǵ程序ȩǵȨ工具ǵ自動化ȩǵȨ技
術ǵ專業化ȩǵȨ責任ǵ可歸責性ȩǵȨ目標設定ǵ測量ȩǴ開列了如何管理 IT
程序以及如何說明它們從不存在發展到一個最佳化程序的特徵Ǵ如表2Ƕ

20 證交資料579期
 Special Issue

名人講堂
專題研究
表2ǵCOBIT 4.1 的成熟度屬性

屬性：認 屬性：政策、 屬性：工具及 屬性：技術及 屬性：責任、 屬性：目標設

等級
知、溝通 標準、程序 自動化 專業化 可歸責性 定、測量

顯示確認 流程和實施具 有些工具可能 尚未識別流程 無可歸責性及 目 標 尚 未 明 確

焦點視界
所 需 流 有特別方法 Ƕ 存在 Ǵ 使用標 所需的技術需 責任的定義Ƕ 且 尚 未 實 施 測
程 Ƕ 偶爾 此流程和政策 準工具 Ƕ 未能 求 Ƕ 無訓練計 人員基於互動 量Ƕ
1 溝通此議 不明確Ƕ 有已計畫好的 畫及正式訓練 基礎原創性而
題Ƕ 工 具 使 用 方 課程Ƕ 獲取議題所有
法Ƕ 權Ƕ

認知必須 顯示類似及共 存在基於關鍵 定義關鍵區域 具有個人責任 部 分 目 標 設 定

市場掃描
行動的 Ƕ 同流程 Ǵ 但個 個人使用工具 的少數技術需 的假設且通常 課 程 及 部 分 商
管理所有 別專業大部分 的共同方法 Ƕ 求 Ƕ 訓練按個 可協助責任之 業 測 量 建 立 Ǵ
議題的溝 是直覺的 Ƕ 流 可能已得廠商 別需要提供 Ǵ 歸屬Ƕ但問題 但 只 有 資 深 管

2 通Ƕ 程某部分可重 提供工具 Ǵ 但 而非基於已同 產生或文化的 理 者 知 悉 Ƕ 在

覆 Ǵ 且某些政 可能未被適當 意的計畫 Ǵ 有 責備存在時Ǵ 獨 立 區 域 的 監

證交集錦
策和程序存在 使用或閒置Ƕ 非 正 式 的 訓 會產生責任的 視 尚 未 一 致
文件和非正式 練Ƕ 迷失Ƕ 性Ƕ
瞭解Ƕ

瞭解必須 顯示使用良好 定義及標準化 定義及文件化 定義流程責任 設 定 部 分 有 效

的行動 Ƕ 的實施 Ƕ 此流 所使用流程自 所有區域的技 及可歸責性且 目 標 及 測 量 且
溝通管理 程 ǵ 政策及程 動化工具的計 術 需 求 Ƕ 研 識別出流程擁 與 企 業 目 標 相
更正式及 序已對所有的 畫 Ƕ 工具已被 發正式訓練計 有者Ƕ流程擁 鏈 結 Ǵ 但 未 被
數字機鋒

結構化Ƕ 主要活動定義 基 本 目 的 使 畫 Ǵ 惟正式的 有者未具有完 溝 通 Ƕ 顯 示 測

及文件化Ƕ 用 Ǵ 惟可能尚 訓練仍基於個 全授權無法履 量 流 程 但 未 持
3 未完全符合已 別的原創性Ƕ 行責任Ƕ 續應用Ǵ採用
同意的計畫 Ǵ 資訊技術平衡
或與其它工具 記分卡的觀念
整合Ƕ 及根本原因分
統計資料

析特殊直覺應
用Ƕ

證交資料579期 21
 表2ǵCOBIT 4.1 的成熟度屬性

屬性：認 屬性：政策、 屬性：工具 屬性：技術及專 屬性：責任、 屬性：目標設

等級
知、溝通 標準、程序 及自動化 業化 可歸責性 定、測量

瞭解全部 流程為充分 工具依 據 在所有區域技 接受流程責 測量且溝通

需求Ƕ應 必要條件Ǵ 計畫實 施 術需求持續更 任及可歸責 效率和效度
用成熟的 應用內部最 且部分 工 新 Ǵ 在所有關 性Ǵ且以流 並鏈結至企
溝通技術 佳實施Ƕ流 具已與 其 鍵區域確認熟 程擁有者可 業目標與資
且使用標 程的所有方 它工具 整 練且支持驗 以完全履行 訊技術策略
準的溝通 向均文件化 合Ƕ在 主 證 Ƕ 依訓練計 責任的方式 計畫Ƕ資訊
工具Ƕ 及可重覆Ƕ 要區域 已 畫採用成熟度 運行中Ƕ有 技術平衡記
4 政策已改進 開始使 用 訓練技術 Ǵ 且 著某種適當 分卡實施在
並藉由管理 工具以 達 支持知識分 的獎賞文化 某些具有例
而簽署Ƕ採 成流程 自 享 Ƕ 納入所有 以激勵積極 外管理註解
用和遵循標 動化管 理 內部網域的專 的行動Ƕ 與根本原因
準的研發ǵ 及監視 關 家且評鑑有效 分析已被標
流程及維護 鍵行動 與 率的訓練計 準 化 的 區
程序Ƕ 控制Ƕ 畫Ƕ 域Ƕ顯示持
續的改進Ƕ

瞭解進階 應用外部最 全企業 使 基於定義明確 流程擁有者 具有鏈結至

及 高 瞻 佳實施及標 用標準 化 個人及組織目 被賦予做決 資訊技術平
遠矚的需 準Ƕ流程文 的 工 具 標 Ǵ 組織正式 策及採取行 衡記分卡的
求Ƕ存在 件化已進步 集Ƕ工 具 支持技術的持 動的力量Ƕ 企業目標全
基於趨勢 到自動化流 完全與 其 續改進 Ƕ 教育 這些責任的 球應用資訊
的前瞻議 程Ƕ流程ǵ 它相關 的 與訓練支援外 接受已經以 技術整合效
題溝通Ǵ 政策及程序 工具整 合 部最佳實施亦 持續性風潮 能 測 量 系
應用成熟 已標準化Ǵ 以提供 流 使用尖端的概 串聯至全組 統Ƕ例外藉
的溝通技 且整合到可 程點對 點 念與技術 Ƕ 知 織Ƕ 由管理與根
5
術且使用 以點對點的 的支援 Ƕ 識分享為組織 本原因分析
整合的溝 管 理 和 改 工具用 以 文化且研發知 的應用而被
通工具Ƕ 善Ƕ 支持流 程 識系統 Ǵ 外部 全球化及持
的改進 及 專家與工業領 續 地 被 註
自動偵 測 導者做為導 記Ƕ持續改
控制的 意 引Ƕ 進為系統生
外Ƕ 命的方式之
一Ƕ

22 證交資料579期
 Special Issue

名人講堂
專題研究
7ǵCOBIT4.1 的框架

COBIT 的框架與計畫ȐPlanȑǵ建立ȐBuildȑǵ執行ȐRunȑǵ監督ȐMonitorȑ的
責任一致Ǵ涵蓋完整IT作業Ǵ如圖9Ƕ

焦點視界
圖9ǵCOBIT 4.1 的整體框架

規劃與組織
營運目標 P01 定義策略性IT計畫
監控與評估
P02 定義資訊結構
ME1 監督與評估IT績效 P03 決定技術方向
治理目標
ME2 監督與評估內部控制 P04 定義IT過程

市場掃描
ME3 確保遵循外部要求 P05 管理IT投資
ME4 提供IT治理 P06 溝通管理的目標與方向
P07 管理IT人力資源
P08 確保遵循外部之需求
P09 評估風險
P010 管理專案
資訊標準 P011 管理品質

證交集錦
效能
效率
機密性
完整性
交付與支援 可用性
DS1 定義和管理服務水準 循環性
DS2 管理第三方服務 可靠性
IT資源
DS3 管理績效與能力
數字機鋒

應用系統資訊
DS4 確保持續服務
基礎建設人員
DS5 確保系統安全
DS6 識別與分配成本 獲取與建置
DS7 教育訓練使用者 AI1 識別自動化解決方案
DS8 管理服務台諮詢與事件 AI2 獲取與維護應用軟體
DS9 管理組態設定 AI3 獲取與維護技術基礎建設
DS10 管理問題 AI4 開發及維護程序
統計資料

DS11 管理資料 AI5 安裝ǵ授權系統

DS12 管理實體環境 AI6 管理變更
DS13 管理操作
資料來源：ITGI(2007) COBIT4.1，圖23，頁26

證交資料579期 23
 二ǵISO 27001介紹

1ǵISO/IEC 27001:2005的發展

英國國家標準主要由英國標準協會ȐBritish Standards InstitutionǴ BSIȑ負責發展Ǵ

BSI 於1901 年成立於倫敦Ǵ為英國皇家特許之國家標準制定機構與國際性標準發行機構Ǵ
分別於1979 及1992 年公告BS 5750ȐISO 9000 前身ȑ及BS 7750ȐISO 14001 前身ȑ
標準Ǵ並在1992年發布資訊工業安全管理Ǵ1995 年正式制定BS 7799 標準Ǵ幾已成為全
球資安規範最重要的標準之一Ǵ其分為第1部分ȐPart1ȑ及第2部分ȐPart2ȑǺ

(1) Part1Ǻ資訊技術ɡ資訊安全管理實務準則ȐInformation Technology - Code of

Practice for Information Security ManagementȑǴ為控制措施規範Ǵ提供資訊
安全領域操作性指引Ƕ2000 年被國際標準組織ȐtheInternational Organization
for Standardization Ǵ ISO ȑ 及 國 際 電 子 技 術 委 員 會 Ȑ the International
Electrotechnical CommissionǴIECȑ接納成為ISO/IEC 17799 國際標準Ƕ2005
年更新版ISO/IEC 17799Ǻ2005Ƕ

(2) Part2 Ǻ 資 訊 安 全 管 理 系 統 ɡ 需 求 規 範 與 使 用 指 引 Ȑ Information Security

Management Systems - Specification With Guidance for UseȑǴ為ISMS 與其
要求之描述Ǵ是一個正式驗證的標準Ƕ2002 年被ISO/IEC接受Ǵ即BS 7799-2Ǻ
2002Ƕ2005 年更新版ISO/IEC 27001:2005Ǵ主要內容包括安全政策ǵ資訊安全
組織ǵ資產管理ǵ人力資源安全ǵ實體及環境安全ǵ存取控制ǵ資訊系統需求ǵ發
展及維護ǵ資安事件管理ǵ營運持續管理ǵ符合性等11 個安全控制領域Ǵ共有39
個安全控制目標Ǵ133 個安全控制措施Ǵ如表3Ƕ

24 證交資料579期
 Special Issue

名人講堂
專題研究
表3ǵISO/IEC 27001:2005標準

一ǵ安全政策 (Security Policy) (控制目標的數目Ǻ1Ǵ控制要點的數目Ǻ2)

二ǵ資訊安全組織 (Organization of Information Security) (2Ǵ11)

焦點視界
三ǵ資產管理 (Asset Management) (2Ǵ5)

四ǵ人力資源安全 五ǵ實體及環境 六ǵ通訊與 八ǵ資訊系統取

(Human Resource Se- 安全(Physical and 作業管理 得開ǵ發及維護
(Information
curity) (3Ǵ9) Environmental (Communications
Systems acqui-
Security) (2Ǵ13) and Operations

市場掃描
sition develop-
Management) ment and main-
(10Ǵ32) tenance) (6Ǵ
16)

七ǵ存取控制 (Access Control) (7Ǵ25)

證交集錦
九ǵ資訊安全事件管理 (Information Security Incident Management) (2Ǵ5)

十ǵ營運持續管理 (Business Continuity Management) (1Ǵ5)

十一ǵ符合性 (Compliance) (3Ǵ10) 數字機鋒

此標準建議採用流程導向方法論 Ǵ 如圖 10 Ǵ 以 Ȩ 規劃 - 執行 - 檢查 - 改善 ȩȐ Plan-Do-
Check-ActǴPDCAǺ規劃 - 建立ISMSǴ建立安全政策ǵ目標ǵ標的ǵ過程及相關程序以管
理風險及改進資訊安全Ǵ使結果與組織整體政策和目標一致ǹ執行 - 實施與操作ISMSǴ安
全政策ǵ控制措施ǵ過程之實施與操作ǹ檢查 - 監控與審查ISMSǴ依據安全政策ǵ目標與
實際經驗Ǵ評鑑及測量過程績效Ǵ並將結果回報給管理階層加以審查ǹ改善 - 維持與改進
ISMSǴ依據管理階層審查結果採取矯正與預防措施Ǵ以達成持續改進ISMSǶȑ循環模式應
統計資料

用於資訊安全工作上Ǵ持續改進資訊作業安全Ǵ以管理角度為出發點Ǵ建立與維護單位之
ISMSǶ

證交資料579期 25
 圖10ǵȨ規劃-執行-檢查-改善ȩ方法論

● Activities ● Deploy&conform
活動
with plan
● Controls
控制 部署與遵守計畫
● Documentation
文件
● Resources PLAN DO
資源
● Objectives
規劃 執行
目標

Continual Improvement
持續改善

PROCESS
作業流程

ACT CHECK
改善 檢查
● Analyze/review ● Measure/monitor
分析/ 審查
for conformity &
● Decide/change
決定/變更 effectiveness
● Improve 量測與監控符合
effectiveness 性及有效性
改善有效性

2ǵ瞭解ISO/IEC 27001:2005

ISO/IEC 27001:2005 是目前國際上最廣泛使用而且是最完整的資訊安全管理系統

(ISMS)要求的標準Ǵ目前國內由行政院科技顧問組在今(98)年1ɴ3月底Ǵ針對A級和B級機
關進行的一項調查顯示Ǵ已經有超過8成Ȑ83ʘȑA級機關取得ISO 27001資安認證ǴB級
機關取得資安認證的比例超過4成Ȑ43ʘȑǶ它可以協助企業透過這個標準的推行Ǵ瞭解資
訊安全風險管理的模式Ǵ進行風險評估Ǵ運用流程導向與系統導向的方法鑑別出企業的資訊
安全管理重點Ǵ規劃ǵ建立有效的因應計畫與管控措施Ǵ持續運作各項資訊安全管理系統要
求Ǵ確保組織能於最低風險下持續營運Ƕ資訊安全之目的是為了達成Ǻ

26 證交資料579期
 Special Issue

名人講堂
專題研究
(1) 機密性ȐConfidentialityȑǴ確保只有經授權的人才能存取資訊Ƕ

(2) 完整性ȐIntegrity ȑǴ保護資訊與處理方法的正確性與完整性Ƕ

(3) 可用性 Ȑ Availability ȑǴ 確保經授權的使用者在需要時可以取得資訊及相關資

產Ƕ

焦點視界
要達到資訊安全就必須實施適當的控制措施Ǵ譬如資訊安全政策ǵ實務規範ǵ程序ǵ組
織架構及軟體功能Ǵ為了達成營運既定的安全目標Ǵ就必須建立這些控制措施Ǵ如表4Ƕ

表4ǵISO/IEC 27001:2005標準控制規範

市場掃描
ISO/IEC 27001:2005
總共分成11個領域ǵ39個控制目標ǵ133個控制要點
A.5安全政策 A.10.10監視
A.5.1資訊安全政策 A.11存取控制
A.6資訊安全的組織 A.11.1存取控制的營運要求
A.6.1內部組織 A.11.2使用者存取管理

證交集錦
A.6.2外部團體 A.11.3使用者職責
A.7資產管理 A.11.4網路存取控制
A.7.1資產職責 A.11.5作業系統存取控制
A.7.2資訊分類 A.11.6應用與資訊存取控制
A.8人力資源安全 A.11.7行動計算與遠距工作
A.8.1聘雇之前 A.12資訊系統取得ǵ開發及維護
A.8.2聘雇期間 A.12.1資訊系統的安全要求
A.8.3聘雇的終止或變更 A.12.2應用系統的正確處理
A.9實體與環境安全 A.12.3密碼控制措施
數字機鋒

A.9.1安全區域 A.12.4系統檔案的安全
A.9.2設備安全 A.12.5開發與支援過程的安全
A.10通訊與作業管理 A.12.6技術脆弱性管理
A.10.1作業程序與責任 A.13資訊安全事故管理
A.10.2第三方服務交付管理 A.13.1通報資訊安全事件與弱點
A.10.3系統規劃與驗收 A.13.2資訊安全事故與改進的管理
A.10.4防範惡意碼與行動碼 A.14營運持續管理
A.10.5備份 A.14.1營運持續管理的資訊安全層面
A.10.6網路安全管理 A.15遵循性
統計資料

A.10.7媒體的處置 A.15.1遵循法規要求
A.15.2安全政策與標準的遵循性及技
A.10.8資訊交換
術遵循性
A.10.9電子商務服務 A.15.3資訊系統稽核考量

證交資料579期 27
 3ǵ導入與建置ISO 27001資訊安全管理系統的優勢

本公司為保護關鍵資訊資產Ǵ強化資訊之機密性ǵ完整性及可用性Ǵ進而確保證券市
場永續發展Ǵ 於 92年4月進行資訊安全政策及相關安全管理制度之調整作業Ǵ並建立符合
BS 7799文件要求的資訊安全管理系統文件體系Ǵ93年4月底取得BS 7799資訊安全管理
國際認證Ƕ為符合主管機關及外部稽核標準之要求Ǵ並進一步提升本公司資訊系統之整體
資安防護能力Ǵ本公司列管之AǵBǵCǵD各安全等級資訊系統Ǵ於95年12月完成ISO/IEC
27001:2005轉版認證作業Ƕ組織導入與建置ISO 27001資訊安全管理系統在策略與營運之
優勢Ǵ包括Ǻ

(1) 強化組織安全架構 Ǻ 透過 ISO 27001 資訊安全管理系統 Ǵ 組織建立相關之管控措

施Ǵ提高風險的控管能力Ǵ減少組織的控制弱點Ǵ降低組織的網路安全漏洞ǵ舞弊
行為ǵ財務之風險與法規之風險Ǵ當然強化營運連續運作的時間與提高顧客信心Ƕ

(2) 提升安全規劃的效能ǺISO 27001相關規範可協助組織進行人力資源ǵ法律與異常

事件應變的規劃能力Ǵ並提出相關建議Ǵ使得組織開始導入與建置資安全措施時Ǵ
達到更完善ǵ更容易管控並符合經濟的效益Ƕ

(3) 提高安全管理的成效Ǻ組織開始制定或重新檢視其資訊安全政策與程序時Ǵ與一般
的安全計畫不同的是ǴISO 27001已證實是資訊安全的最佳實務準則Ǵ並且在實際
商業資訊安全中測試過其成效Ƕ

(4) 營運持續調整與改善Ǻ組織通過ISO 27001:2005驗證後Ǵ稽核機構將持續檢驗作

業程序並持續調整與改善相關作業Ǵ將確保組織隨時瞭解最新的弱點以及最佳的實
務準則Ƕ

(5) 規範與委外廠商的合作關係Ǻ為了讓組織資訊系統受到更好的維護Ǵ同時又能透過
網路進行電子資料交換Ǵ組織可以藉由資訊安全管理系統的運行及ISO 27001規範
作為合作夥伴與委外廠商的安全要求Ƕ

(6) 安全的電子商務環境Ǻ資訊安全管理系統的運行及ISO 27001驗證等於是一個安全

認證Ǵ無論是財務機構或電子商城Ǵ消費者都能分辨出哪些是值得信賴的電子商務
公司Ƕ

28 證交資料579期
 Special Issue

名人講堂
專題研究
(7) 增加客戶對組織的信任度 Ǻ 隨著客戶與廠商對個人資料保護及網路安全漏洞之問
題愈來愈關心 Ǵ 他們開始尋求具體的安全保障 Ǵ 資訊安全管理系統的運行及 ISO
27001驗證能提供他們需要的信心Ƕ

4ǵ組織如何建置與導入資訊安全管理系統

焦點視界
(1) 高階主管的全力支持與授權Ƕ

(2) 公司員工高度的參與度及積極配合的態度Ƕ

(3) 公司員工的安全認知及訓練Ƕ

市場掃描
(4) 溝通管道順暢並及時處理問題Ƕ

(5) 制定ISMS推動作業流程Ƕ

(6) 定義安全組織架構及管理權責Ƕ

證交集錦
(7) 定義ISMS之範圍及界限Ƕ

(8) 定義ISMS之政策Ƕ

(9) 風險評估作業Ǻ
數字機鋒

Aǵ定義組織的風險評鑑方法Ƕ

Bǵ識別各項資訊資產及其風險Ƕ

Cǵ分析與評估各項風險Ƕ
統計資料

Dǵ識別並評估處理風險之做法Ƕ

Eǵ選擇控制目標及控制措施以處理風險Ƕ

證交資料579期 29
 (10)獲得管理階層對所提議剩餘風險的核准Ƕ

(11)擬訂適用性聲明書(SOA)Ƕ

(12)文件體系建立及管制Ƕ

5ǵ資訊安全管理系統的持續運作

本公司已導入ISO 27001:2005資訊安全管理系統Ǵ故維護系統的完整且持續的運作Ǵ
保護組織的資訊安全Ǵ以下幾件事項之落實更顯重要Ǻ

(1) 持續的資訊安全教育訓練 - 當組織在開始導入資訊安全管理系統時候Ǵ會對員工提

供相關的資訊安全認知以及管理的教育訓練課程Ǵ但是一旦假以時日Ǵ組織的員工
會漸漸淡忘導入資訊安全的初衷Ǵ或是新進員工沒有接受相同及完整的資訊安全教
育訓練Ƕ因此為了避免新員工不了解以及老員工忽略了資訊安全的重要性Ǵ降低對
資訊安全的危機感Ǵ組織必須且持續將資訊安全教育訓練課程納入企業整體訓練計
畫中Ǵ而且內容必須不斷的修改Ǵ以配合組織的成長Ǵ企業目標的調整Ǵ以及安全
技術的提升Ƕ

(2) 定期自行安全檢查 - 組織導入資訊安全管理及技術建置的時候Ǵ通常都會根據組織

的型態及架構Ǵ建立一些檢查機制及資料收集Ǵ例如弱點分析ǵ威脅分析ǵ風險管
理ǵ資訊資產評估ǵ網路安全評估等Ǵ以確保這些制度能符合及保護組織的資訊安
全Ƕ組織在建立這些檢查機制的同時Ǵ一定要留下完整的紀錄Ǵ並確保內部員工及
管理幹部瞭解及熟悉這些機制的運作方式Ǵ具備自行檢查的能力Ǵ並依此建立定期
檢查的運作模式Ƕ組織一旦建立資訊安全管理機制Ǵ持續性的安全檢查則是讓這個
機制持續有效很重要的一環Ǵ唯有定期且持續的檢查Ǵ才能預防資訊安全事件的發
生Ƕ

(3) 定期檢討資訊安全管理架構 - 無論是策略ǵ管理政策ǵ網路架構或者是應用系統Ǵ

都會隨著組織架構及時間的改變而必須隨時調整Ǵ因此組織有必要定期或是不定期
的檢討資訊安全管理或技術產品架構Ƕ例如Ǵ現行的資訊安全及相關政策是否不足
以提供現有組織結構的安全保護及指導方針ǻ現有的網路安全技術產品是否足以保
護企業網路不被入侵ǻ弱點及威脅分析是否已經過時ǻ

30 證交資料579期
 Special Issue

名人講堂
專題研究
(4) 完善的紀錄保存 - 組織導入資訊安全管理及技術產品建置的時候Ǵ一定會要求檢查
所有資訊安全的相關紀錄Ǵ並建立這些紀錄的管理系統Ƕ當每次在執行自行安全檢
查的時候Ǵ除了更新這些紀錄以外Ǵ同時要比對這些紀錄在過去與現在的變化Ƕ例
如Ǵ通報病毒事件的種類及次數是否減少ǻ網路流量異常是否有跡可供追蹤ǻ內部
控制及稽核紀錄是否完整ǻ教育訓練是否留下紀錄ǻ是否所有的員工都接受程度及
內容不同的訓練ǻ完整的紀錄可以協助企業組織於事件發生的時候Ǵ依循軌跡找出

焦點視界
問題的根源Ǵ一次解決問題Ǵ避免安全事件重複的發生Ƕ

(5) 獨立的稽核 - 當組織建立資訊安全管理架構的時候Ǵ為了證明所導入的架構符合國

際標準的要求Ǵ通常會依照ISO 27001:2005的規範進行評鑑Ǵ已證明所導入的架
構符合國際水準Ǵ本作業可由獨立的內部稽核單位進行Ǵ或由外部獨立稽核單位進
行並取得認證的證書Ǵ而且通常在通過評鑑認證的未來三年內Ǵ認證公司每六個月

市場掃描
都會再來檢查一次Ƕ這樣的檢查對組織而言Ǵ是為了確保整體資訊安全管理架構隨
時保持在最佳的狀態Ƕ

三ǵCOBIT 4.1與ISO 27001映對分析

證交集錦
隨著科技與企業需求的演變ǴCOBIT已是企業或政府機關導入IT治理的重要參考標準Ƕ
然而Ǵ由於COBIT重點關注企業需要什麼Ǵ而不是企業需要如何做Ǵ因此它不包括具體的
實施指引和步驟 Ǵ 它是一個控制架構 (Control Framework) Ǵ 而非具體流程架構 (Process
Framework)ǶCOBIT從策略ǵ戰術ǵ運營層面給出了對IT的檢測評核ǵ和稽核方法Ǵ以滿
足組織高層營運需求Ǵ其控制目標與控制要項涵蓋ā組織營運各個層面Ǵ如圖11Ƕ
數字機鋒

ISO 27001不是一篇技術性的資訊安全操作手冊Ǵ而是作為一個通用的資訊安全管理指
南Ǵ其目的並不是說明有關ȸ怎麼做ȹ的細節Ǵ它所闡述的主題是資訊安全策略和優秀的ǵ
具有普遍意義的安全操作Ƕ該標準特別聲明Ǵ它是ȸ制定一個組織自己的標準為出發點ȹǴ
因此各組織所包含的所有方針和策略並不是放諸四海皆準的ǶISO 27001有助於管理階層
理解每一類資訊安全主題的基礎性問題Ǵ它廣泛涵蓋了幾乎所有的安全議題Ǵ主要告訴管理
階層關於安全管理的注意事項和安全制度Ǵ這些規定一般單位都可執行Ƕ因此Ǵ需要建立資
統計資料

訊安全管理體系的單位可以此為參照Ǵ建立自己在這方面的體系Ǵ並依據其他企業組織實務
經驗Ǵ而且根據自身情況進行設計ǵ取捨Ǵ以達到對資訊進行良好管理的目的Ƕ

證交資料579期 31
 圖11ǵCOBIT 4.1 各項組件互相關聯圖

營運目的

需求 資訊

資訊技術目標
資訊技術(作業)過程
組成
衡量 稽核 控制
設計
主要活動 控制成果測試 控制目標

執行 績效 結果 成熟度 稽核 實現

職責及 績效 成果 成熟度 控制設 設計 控制

問責表 指標 衡量 模式 計測試 實務
資料來源：ITGI(2007)COBIT
資料來源：ITGI(2007) COBIT4.1，圖4，頁8
4.1，圖4，頁8

COBIT與ISO 27001差異概述如下Ǻ

1ǵ職能對象 Ǻ 在建置與導入 ISO 27001 時 Ǵ 未納入財務長 Ȑ CFO ȑǵ 專案管理部門

ȐPMOȑ的角色Ǵ但COBIT 4.1將CFO及PMO遵循控制措施的優點納入Ǵ可以讓他
們更加明瞭價值ǵ風險ǵ與控制是構成IT 治理的核心Ǵ而其透明度主要透過績效測
量實現的Ǵ他們將助益促進最佳化可用IT 資源和ISMS 的導入推動Ƕ

2ǵ衡量標準方面ǺISO 27001保護資訊的機密性ǵ完整性ǵ可用性及遵循性Ǵ另外
亦可包含可鑑別性 ǵ 可歸責性 ǵ 不可否認性及可靠性等特性 Ǵ 而 COBIT 之資訊技
術品質準則為效能ǵ效率ǵ機密性ǵ完整性ǵ可用性ǵ遵循性及可靠性Ǵ因此ISO
27001 雖較欠缺效能與效率之要求 Ǵ 但對於資訊的安全加強了可鑑別性 ǵ 可歸責
性ǵ不可否認性等保護規範Ƕ

32 證交資料579期
 Special Issue

名人講堂
專題研究
3ǵ控制措施ǺISO 27001並不像COBIT涵蓋面較廣ǵ較傾向組織營運層級的管理系
統 Ǵ 不過資訊安全是為所有資訊管理系統根本 Ǵ 因此 COBIT 標準也會提到風險管
理與系統安全等資安管理控制 Ǵ 例如 PO9( 評鑑與管理 IT 風險 ) ǵ DS4( 確保持續服
務)ǵDS5(確保系統安全)等業務流程Ǵ但二者畢竟適用範圍不同Ǵ應用方式不同Ǵ
其控制目標亦有所出入Ƕ組織實施資訊管理與控制(COBIT)時Ǵ可考量此標準與ISO
27001 標準之控制措施共同部分製作出對應表 Ǵ 由高階之控制目標找出相對應之

焦點視界
ISO 27001控制措施Ǵ並考量核心業務風險Ǵ增加補足相關控制措施Ǵ維持企業永
續經營之目標Ƕ

4ǵ測量指標ǺCOBIT 4.1具備成果測量ǵ績效指標ǵ成熟度模型的量測工具Ƕ若能善
加運用Ǵ則有益於提升IT的管控Ƕ

市場掃描
參ǵ全球科技稽核指引 (GTAG)概述

一ǵ發展GTAG之目的及原因

全球科技稽核指引 (GTAG) 係由隸屬於國際內部稽核協會 (IIA) 之先進科技委員會

證交集錦
(Advance Technology CommitteeǺATC)為主之組織所編訂ǹATC是全球性的Ǵ由現職或
前稽核長(Chief Audit ExecutiveǴCAE)ǵ內部稽核從業人員ǵ顧問公司以及相關服務公司
所組成Ƕ發展GTAG系列之目的Ǵ係因應資訊科技領域之持續演變與複雜之現象Ǵ提供一組
資訊科技稽核指引Ǵ用以協助企業高階主管以及稽核相關之管理體系Ƕ

企業管理階層期望組織之內部稽核單位Ǵ可以對所有重要的風險提供驗證Ǵ其驗證範
數字機鋒

圍包含因建置資訊科技而衍生之控制項目ǶGTAG可以協助稽核主管以及稽核相關之管理人
員Ǵ能對這些因資訊科技而衍生的風險ǵ控制與公司治理能有較多之瞭解Ƕ

先進科技委員會(ATC)認為沒有所謂的〝純粹的資訊科技風險〞Ǵ所有風險可能是因為
導入資訊科技而產生的企業風險Ǵ因此對管理階層而言Ǵ在必須快速瞭解相關資訊科技議
題Ǵ並評估該議題對組織會造成的影響時ǴGTAG是具有實務上相當的價值Ƕ
統計資料

證交資料579期 33
 二ǵ已發布之GTAG摘要

指引一ǵ資訊科技控制(INFORMATION TECHNOLOGY CONTROLS)

此指引之目的是為了因應資訊科技控制問題與其影響所具備的知識 Ǵ 而提供給高階
管理人員 ǵ 資訊科技專業人員以及內部稽核人員參考之用 Ƕ 資訊科技 (INFORMATION
TECHNOLOGY Ǵ IT) 是使企業和政府能夠完成他們任務和目標全部過程的組成部份 Ƕ IT
控制有兩個顯著的零組件︰企業控制的自動化和對IT的控制ǶIT控制不存在於隔離的過程
中Ǵ他們之間形成一個互相依靠保護的連續統一體Ǵ因此單一個控制弱點所造成的影響Ǵ不
僅僅會導致單點失敗Ǵ例如Ǻ當一名安全管理者在一個防火牆配置檔案裡選擇設定時(一項
技術任務需要具體的技能和知識-人員教育訓練)Ǵ他需貫徹一個被建立的政策(可以或可以
不在別處被用檔案說明-檔案管理)Ǵ決定那些使用者容許或者不被容許對外網路通信(使用
者權限管理)Ǵ並且建立他們可能之傳輸路徑(網路管理)Ǵ前揭控制作業單點之失敗Ǵ將可
能影響整體網路環境安全Ƕ在整個內部控制系統中Ǵ對於IT控制之稽核作業流程提供了一
個正式的架構Ǵ如圖12Ƕ

圖12ǵThe Structure of IT Auditing

34 證交資料579期
 Special Issue

名人講堂
專題研究
結論Ǻ

1ǵ評估IT控制是一個持續的過程Ǵ因為企業經營過程不斷地變化Ǵ技術亦在進步Ǵ當
新的脆弱點出現時Ǵ新的威脅也隨之產生Ǵ而稽核方法也在不斷改進Ƕ內部稽核主
管應當將有助於企業目標實現的那些IT控制評估Ǵ提報到最高階的稽核議程內Ƕ

焦點視界
2ǵ評估 IT 控制並不是要決定是否採用了最佳實務 Ǵ 控制對於組織的使命 ǵ 目標 ǵ 文
化ǵ過程和技術來講都是特定的Ƕ技術應當以能提供有效的控制為準Ǵ內部稽核主
管應當確保內部稽核採用合適並且有效的稽核方法 Ƕ IT 稽核是一個持續的學習過
程Ƕ

3ǵ內部稽核主管應當了解整個的控制的問題Ǵ並且能夠與高層管理者和董事會有關的

市場掃描
委員會Ǵ以一種他們能夠理解並能有效作出回應的方法和形式進行溝通Ƕ與技術人
員ǵ管理層以及董事會的溝通是取得有效IT控制評估的關鍵Ƕ

指引二ǵ資訊科技變更與版本更新管理(Change and Patch Management ControlsǺCritical

for Organizational Success)

證交集錦
為了幫助內部稽核主管和內部稽核人員更好地了解與組織內部 IT 變更有關的管理問
題ǴIIA發布了第二份全球科技稽核指引ˇȠ資訊科技變更與版本更新管理Ǻ組織成功的關
鍵ȡǶ這份指引意在增強內部稽核主管對IT管理的認識Ǵ也使他們能向管理層提出更有價
值的建議Ƕ指引提出的一些方法Ǵ有助於稽核人員評估IT部門對組織內IT變更管理過程的
判斷Ǵ包括其表現ǵ效能和效率Ǵ目的是為協助稽核主管及其同層級之管理階層和部屬得以
數字機鋒

強化有關資訊科技管理能力Ǵ以及協助他們有效地管理相關事務流程Ƕ

結論Ǻ

1ǵ為及時地發現變更管理存在的問題 Ǵ 指引提出了一種 ȸ 領域檢測評量基準法 ȹ

(field-test metrics)Ǵ使稽核人員可以對變更管理過程進行量化檢查Ǵ並向管理層
統計資料

提出建議Ǵ使組織達到和保持較高水準的IT控制和運行水平Ƕ在這些方面Ǵ指引勾
劃了有關IT變更管理和控制失效的標誌或指標Ǵ如Ǻ關鍵服務和功能的不能應用Ǵ
即使是短時間的ǹ非預期的系統或網路當機Ǵ使關鍵業務程序中斷運行ǹIT部門用
70%或更多的時間來做維護Ǵ而不是幫助業務部門開發新的功能ǹIT工作人員加班

證交資料579期 35
 來應付稽核和解決問題Ƕ

2ǵ專家指出 Ǵ 80% 的非預期 IT 故障是由變更管理行動中的人員因素或存在問題造成

的Ǵ也就是說Ǵ是由於缺乏自動的ǵ預防性的ǵ可檢測的和恰當的控制Ƕ如果有了
這樣的控制Ǵ組織就能夠更有效地監督和進行變更管理Ƕ在高效率的IT管理部門Ǵ
對於變更的管理Ǵ已形成一種文化Ǵ預先防止和及時制止非授權變更Ƕ這些組織也
使用檢測控制Ǵ來消除非授權變更產生的不良影響Ǵ並在最短時間解決IT問題Ƕ

3ǵ指引概括出IT變更管理的五個最佳辦法Ǵ用這些辦法Ǵ可以降低風險和增進IT效用
和效率Ƕ這五個辦法是Ǻ

(1)形成ȸ高層風氣ȹǴ強化在全組織內對非授權IT變更為〝零〞容忍的管理文化Ƕ

(2)持續監督非預期故障的數量Ǵ預防非授權變更和控制IT變更Ƕ

(3)按照特定的精確定義規定變更窗口Ǵ並切實執行之Ǵ以減少高風險變更的數量Ƕ

(4)以變更成功率作為IT管理的關鍵指標Ƕ

(5)以非計畫工作量為IT管理過程和控制效率的一個指標Ƕ

4ǵ指引對稽核人員在變更與版本更新控管過程中的作用Ǵ提出了建議Ƕ例如Ǵ審計委
員會應該確保管理層能夠識別和評量基準IT基礎架構內可能影響企業目標達成的變
更控管風險Ƕ

5ǵ當討論有效的變更管理流程或無效的變更管理流程所產生之風險Ǵ並撰寫稽核報告
時Ǵ內部稽核人員應該基於變更流程的考量點Ǵ而非僅局限於技術方面的變更Ǵ例
如Patchǵ軟體ǵ硬體或應用程式變更Ǵ它還應該包括財務面ǵ法規面的風險Ǵ把
稽核發現的報告建立在支援組織目的及目標之風險容忍度管理上Ƕ

指引三ǵ持續性稽核Ǻ對保證ǵ監控和風險評估的意義(Continuous Auditing: Implications

for Assurance, Monitoring, and Risk Assessment)

36 證交資料579期
 Special Issue

名人講堂
傳統的內部稽核對於控制測試是一種向後看的週期性方式Ǵ通常是在經營行為發生後的

專題研究
幾個月後進行Ǵ測試程式也是基於抽樣的方式Ǵ還包括一些諸如對政策ǵ程式ǵ批准和調節
的評估Ƕ現在Ǵ這種方式被視為一種僅僅能夠提供內部稽核人員一個狹窄範圍的評估的稽核
方法Ƕ持續性稽核是一種以更加頻繁的方式來自動執行控制和風險評估的方法Ǵ技術是施行
這樣一種方法的關鍵Ƕ持續性稽核改變了稽核模式Ǵ它將對交易樣本的週期性測試變為對
100ʘ的樣本進行持續性測試Ǵ它已在許多層次上已成了現今稽核不可缺少的部分Ǵ它也應

焦點視界
該緊密與管理行為Ȑ如行為監控Ǵ平衡計分卡和企業風險管理架構ȑ結合在一起Ƕ持續性稽
核方式能讓內部稽核人員完全理解關鍵控制點ǵ控制規則和例外情況Ƕ通過正確的自動化和
經常性的分析Ǵ他們能夠即時地或接近即時地執行控制和風險評估Ƕ他們能從交易層面的異
常和控制缺陷以及出現風險的資料驅動指標兩方面來分析關鍵業務流程Ƕ

在現今企業對持續性稽核的需求是明確的Ǵ各組織經常面臨重大之錯誤ǵ弊端或是無效

市場掃描
率Ǵ而導致財務損失或加深企業風險Ƕ法規上得要求Ǵ與對企業營運改進之需求持續促使各
組織去確保其控制活動有效的執行Ǵ而同時風險被適當地降低Ǵ因此內部稽核單位就趨向使
用持續性稽核來協助達成此一要求Ǵ這些要求給稽核主管們和內部稽核人員不斷增加壓力Ƕ
內部稽核部門捲入遵循工作的程度持續增加Ǵ尤其是由於法規的原因Ǵ例如美國2002年的
沙賓法案第404條款Ǻȸ關注度的提高不僅與期望值的增長有關Ǵ還與內部稽核人員在評估
內部控制的有效性ǵ風險管理和治理流程中保持獨立性和客觀性的能力有關ȹǶ

證交集錦
持續性稽核支持整個稽核範圍的風險識別和評估Ǵ幫助制定年度稽核計畫Ǵ以及確定某
項特定稽核的稽核目標Ǵ因此持續性稽核在很多層面上可以視為一個連續系統Ƕ對持續性稽
核的關注從控制基礎到風險基礎Ȑ如表5ȑǹ分析性技術從對明細交易的即時評估到對整個
單位進行趨勢分析以及與其他單位進行比較分析Ǵ並且隨著時間進行Ƕ

表5ǵ持續性稽核的連續系統
數字機鋒

ʇ──────────持續性稽核──────────
────────── ──────────ʈ
持續控制評估ʇ──────────────ʈ持續風險評估 方法
控制基礎 風險基礎
Ȑ保證控制正在運行ȑʇʇ────────ʈȐ
ʈ 識別/評估風險ȑ
財務控制 財務/運營控制 關注點
ʇʈ趨勢/比較Ȑ財務/運營資料ȑ
即時/詳細交易測試Ȑ財務資料ȑʇʈ 分析技術
統計資料

控制保證 財務鑒證 舞弊/浪費/濫用 審計範圍和目標

相關稽核行為
追蹤審計記錄 年度審計計畫
控制監控 業績監控 平衡計分卡 全面品質管制 企業風險管理 相關管理行為
註1：在這個連續系統的“控制”結尾，相關稽核行為包括控制保證和財務鑒證稽核。
註2：連續系統的另一個結尾的稽核行為包括通過風險評估支持稽核專案來識別舞弊、浪費和濫用，並提交年度稽核報告。
註3：相關管理層行為包括持續控制監控，績效監控，平衡計分卡，全面品質管制和企業風險管理。

證交資料579期 37
 持續性監控是為管理層設計 Ǵ 保證政策 ǵ 程式和業務流程能有效運行的程式 Ǵ 它指
出了管理層對評估內部控制的充分性和有效性的責任 Ǵ 這包含識別控制目標和保證聲明
Ȑassurance assertionȑ以及建立自動化的測試程式來找出遵循失敗的活動和交易Ƕ許多管
理層實施的對控制之持續性監控技術與內部稽核人員執行持續性稽核所用技術類似Ƕ在管理
層還沒有實施持續性監控的地方Ǵ稽核人員必須借助持續性稽核技術進行詳細測試Ƕ在某些
情況下Ǵ稽核人員甚至可能主動來幫助組織建立風險管理和控制評估程式Ȑ見國際內部稽核
協會實務報告2100-4Ǻ稽核師在一個沒有風險管理程式組織中的作用ȑǶ但是Ǵ要注意的
是稽核人員對這些程式中並不擁有所有者權Ǵ因為這會損害稽核人員的獨立性和客觀性Ƕ持
續性稽核ǵ監控及保證之概念架構Ǵ如圖13Ƕ

圖13ǵ持續性稽核ǵ監控和保證Ȑ概念架構ȑ
持續性保證

持續性稽核和持續性監控程序的結果
稽
核 持續性監控稽核測試 持續性稽核

持續性監控
管
理 行為、交易和事件

經營系統和流程

指引四ǵ資訊科技稽核之管理(Management of IT Auditing)

資訊科技正在改變正在改變內部稽核原本的功能Ǵ隨著新的風險出現Ǵ新的稽核管理程
序也應運而生ǹ本指引之目的Ǵ是為了幫助內部稽核主管(Chief Audit Executive ,CAE)以
及其管理人員在規劃ǵ執行以及報告IT稽核工作時Ǵ得以取決相關策略上之議題Ƕ本指引
之重點Ǵ在提出內部稽核主管可以立刻施行的實務Ǵ以及特定建議事項Ƕ更進一步考量到Ǵ

38 證交資料579期
 Special Issue

名人講堂
專題研究
可以讓內部稽核主管瞭解其IT稽核之運作是否出眾ǵ更有效能的管理且計畫資訊科技稽核
的功能Ƕ

執行IT稽核與執行操作性稽核Ǵ理論上來說沒有不同Ƕ稽核人員規劃稽核Ǵ定義及書
面化控制作業ǵ測試控制的設計及有效性ǵ結論及報告Ǵ因為多數的內部稽核主管對於稽核
程序都是熟悉的Ǵ因此本指引將不會涵蓋所有的細節Ƕ然而Ǵ有些IT稽核可能與傳統的稽

焦點視界
核有些不同Ǵ需要一些適當的變更Ǵ以方便內部稽核主管去管理Ǵ如下圖14Ƕ

圖14ǵAudit Process Overview

稽核流程審視

市場掃描
瞭解 定義
評估 測試 報告
關鍵
環境 設計 有效性 發現
控制

證交集錦
IT稽核已經發展許多年了Ǵ但是仍然持續的成長與改變Ƕ因此Ǵ內部稽核主管必須持
續的修正與改變IT稽核以符合組織需求Ƕ雖然本指引沒有提供所有的解決方案Ǵ但是希望
內部稽核主管能把它當成一個輔助的工具Ǵ以下的問題可以提供內部稽核主管參考Ǵ作為組
織考量的一些議題Ǻ
數字機鋒

1ǵ組織已經清楚定義IT代表的意義是什麼了嗎ǻ資訊長的責任範圍有文件化嗎ǻIT稽
核是否評估範圍內的所有風險ǻ

2ǵ每年都做有效的IT風險評估嗎ǻ
統計資料

3ǵIT風險評估考量了該組織特定的技術架構與設定值嗎ǻ

4ǵIT風險如何量化ǻ影響與可能性都衡量了嗎ǻ應該使用產業標準作為組織的衡量底
線嗎ǻ

證交資料579期 39
 5ǵIT稽核計畫包含IT環境的所有階層嗎ǻ如果沒有Ǵ為什麼ǻ

6ǵIT稽核的預算如何衡量ǻ是否有足夠的資訊支持評估結果ǻ是否考量特定的技術設
定ǻ

7ǵIT稽核程序如何定義ǻ他們是針對組織的環境而發展出來的Ǵ或只是使用市面上的
核對清單ǻ

8ǵ組織有實行任何IT管控架構或標準嗎ǻ如果有Ǵ是什麼ǻ如果沒有Ǵ那是否已由內
部建立安全與管控底線ǻ如果沒有Ǵ內部稽核主管是否有建議可實行的IT管控架構
或控制底線可作為IT稽核管理的一部分ǻ

9ǵ有使用任何工具來加速IT稽核嗎ǻ如果沒有Ǵ為什麼ǻ如果有Ǵ他們有經過IT部門
完全的測試並認可嗎ǻ

10ǵIT稽核人員的狀況如何ǻ有各類技術的專家嗎ǻ如果沒有Ǵ為什麼ǻIT稽核的數
量與足夠性檢視結果如何ǻ

11ǵ是否對IT稽核人員建立訓練策略Ǵ該訓練內容是否考量IT環境的所有階層ǻ

12ǵ是否每年都評估新興的IT議題與風險對組織的影響與關聯嗎ǻ組織要如何鑑定這
些新興的議題呢ǻ

13ǵ一般稽核人員的基準是否足夠滿足IT稽核ǻ有其他可輔助的資訊嗎ǻ

14ǵ被用來幫助稽核的工具與程序是否包含在稽核範圍內ǻ如果有Ǵ稽核該類工具與
稽核公司IT環境Ǵ兩者要如何協調使用IT稽核資源呢ǻ

指引五ǵ管理與稽核隱私權的風險ȐManaging and Auditing Privacy Risksȑ

保護客戶與員工之隱私Ǵ為極具挑戰性且難以克服的風險管理之一Ǵ此指引包含隱私權
(Privacy)之概念ǵ法條以及架構Ǵ以供內部稽核主管ǵ內部稽核人員以及管理階層來尋求
有關隱私權議題的適切指導Ƕ當一組織蒐集ǵ使用ǵ保存或揭露個人資訊時Ǵ對隱私權之風

40 證交資料579期
 Special Issue

名人講堂
專題研究
險Ǵ提供深刻的解析Ƕ此指引闡述如何在執行稽核任務時Ǵ處置隱私權之問題ǹ同時亦提出
一個有關查核隱私權的普遍性稽核程序大綱Ƕ隱私權具有多重的意義Ǵ並且在許多情況下被
討論Ȑ如表6ȑǴ在眾多的社會裡隱私權長久以來被視為基本的人權Ǵ它可以是免受來自他
人失禮的注視的自由ǵ言論的自由或是免於被監視的自由Ǵ它可以是免於被騷擾的自由Ǵ它
包含通信隱私及資料的隱私Ƕ

焦點視界
表6ǵ隱私權的範圍

個人的隱私 - 身心方面的隱私Ƕ

隱私的空間 - 免於被監視的自由Ƕ

書信的隱私 - 免於被監看及竊聽的自由Ƕ

市場掃描
隱私的個人資料 - 防範他人對個人的隱私資料進行蒐集ǵ使用及洩漏Ƕ

在組織環境中Ǵ對隱私權的定義依據國情ǵ文化ǵ政治環境以及法令的架構有所不同Ǵ

證交集錦
如表7Ƕ

表7ǵ隱私權的定義

Privacy是個人資料的保護和基本人權的考量 – OECD Guidelines, 1980

數字機鋒

政府單位應保護天賦予人們的自由及人權Ǵ特別是重視處理個人資料的保密
– EU Directive, 1995

重視個人資料的收集ǵ使用ǵ洩露及保存是每個人及組織的權利及義務Ƕ
- The American Institute of Certified Public Accountants (AICPA)/CICA, 2005
統計資料

稽核組織的隱私實務包括風險評估ǵ約定計畫及績效ǵ溝通結果以及遵循情形Ǵ不過內
部稽核主管應該考慮到的其他方面Ǵ包括可能的隱私破壞Ǵ人員管理和紀錄保留等問題Ƕ

證交資料579期 41
 IIA的Professional Practices Framework提醒稽核人員在規劃ǵ執行ǵ通報ǵ保證及提
供作業諮詢時要考慮到隱私權規定與風險ǵ專業人員ǵ立法人員及監督人員發布過的指導原
則與規定Ƕ由於對影響聲譽及訴訟的風險日漸增加Ǵ內部稽核主管在管控稽核業務時必須將
很大範圍的隱私權議題及其分歧的事項納入考量Ǵ主要的考量點有Ǻ人員管理流程ǵ稽核規
劃Ǵ在執行報告稽核結果時的資料收集ǵ處理ǵ儲存與潛在的資料洩漏情形Ƕ內部稽核人員
必須了解當進行稽核作業時Ǵ溝通ǵ攫取ǵ檢視ǵ操作或是使用個人資訊Ǵ在某些情況下可
能是不適當的Ǵ可能會遇到陷阱例子Ƕ在開始稽核之前Ǵ如果有需要的話Ǵ稽核人員應該調
查清楚這些議題及請求內部法務人員的意見Ƕ最後Ǵ內部稽核人員在對組織報告相關資訊
時(如ǺIIA的PA 2440-2所建議的)應考慮到相關的隱私權規定ǵ法規的要求及法律上的顧
慮Ƕ

指引六ǵ資訊科技之弱點管理(Managing and Auditing IT Vulnerabilities)

資訊科技之弱點管理為一個組織用以察覺ǵ評估ǵ以及修補資訊安全弱點之事務流程與
技術Ƕ該資訊安全弱點會導致資訊資產或流程之缺失或漏洞Ǵ進而造成企業風險或實體安
全風險Ƕ依據美國國家弱點資料庫統計Ǵ每年有大約5000個新弱點被發現Ǵ其中40 ʘ具
有高度破壞性Ƕ管理層必須了解它Ǵ以便建立一個有效的弱點管理計畫Ǵ他們必須制訂出一
套程序來檢測Ǵ評估弱點Ǵ並將這些工作融合到全部的資訊科技程序架構裡面去Ǵ以此不斷
的遏制弱點Ƕ弱點管理涉及到的問題並不完全是技術性的Ǵ實際上Ǵ許多大的挑戰在於激發
個人的積極性和實施有效的程序Ƕ本指引幫助內部稽核主管評估他們的弱點管理程序的有效
性Ǵ並時時向IT安全人員提出正確的問題Ƕ

我們假設一個企業的資訊科技功能實施了IT Infrastructure Library(ITIL)的架構Ǵ弱

點管理生命週期起始於識別的IT資產並掃描或監視它們找出技術缺陷Ƕ弱點資料被驗證以
證明弱點確實存在Ǵ然後根據對企業的風險對他們進行輕重緩急的排序Ƕ關鍵性弱點由事件
管理程序處理Ǵ事件管理程序通過緊急事件處理程序迅速有效地對產品進行處理來調整弱點
彌補工作Ǵ使之與變更管理程序一致Ƕ非關鍵性弱點主要通過一般變更管理程序來處理Ƕ一
旦獲得允許Ǵ版本管理程序便開始準備ǵ測試Ǵ並為變更創造有利環境Ƕ然後Ǵ變更管理程
序複查變更保證它滿足所有需求Ǵ最後更新配置管理資料庫來反映這些改進過的調整Ƕ圖
15Ǵ說明在相關的IT 安全和IT 操作功能之間的從屬性Ƕ

42 證交資料579期
 Special Issue

名人講堂
專題研究
圖15ǵ相關的IT安全和IT操作功能之間的從屬性
Vulnerability Management
Scope and Scan and Validate Assess risk
identify monitor for findings. and prioritize
IT assets. vulnerabilities. vulnerabilities.

焦點視界
IT SECURITY

Critical
YES
Incident Management
NO
Request emergency
change.
---------------------------------------------------------------------------------------
Configuration Management
Update CM databse with

市場掃描
improved modifications.
IT OPERATIONS

Change Management Change Management Change Management

Post-implementation Review change requestǹ Execure emergency
review. Audit and Schedule change. change procedure.
validate change.

Release Management
Build, test, and plan release.

證交集錦
Hand off to production.

高水平的科技企業在IT管理層和企業所有者之間建立正規的作業水準協定(operation-
level agreements, OLA)關係Ǵ他們決定處理弱點的輕重緩急Ǵ他們在何時採取何種措施修
補弱點Ǵ在操作上觀點一致Ƕ研究表明Ǵ與同樣規模的企業相比高水平的企業發生的安全事
件更少Ǵ他們的預防控制遏制了許多潛在的危害性事件Ƕ當事件發生時Ǵ偵測控制能讓他們
數字機鋒

迅速知曉Ǵ他們能對事件作出正確和完整的控制Ǵ防止和降低了重要的損失Ƕ

指引七ǵ資訊科技委外作業(Information Technology Outsourcing)

IT委外已非常普遍Ǵ它以效率ǵ成本效益及專案解決方式Ǵ滿足系統之建置ǵ維護ǵ
安全和營運Ƕ而足夠的技術人員ǵ先進的技術基礎設施ǵ靈活性和節省金錢是IT委外背後
統計資料

的推動力Ƕ在IT委外帶來好處的同時Ǵ有必要管理伴隨而來的複雜性ǵ風險和挑戰Ƕ因此
內部稽核人員可幫助組織進行全面審查其委外業務ǵ確認風險ǵ提供建議以便將風險管理的
更好Ǵ並評估其遵守適用的法律和法規Ƕ本指引並非要呈現所有必要的考量點Ǵ而是建議
一些應該要做到的項目Ƕ組織對IT委外的每一項決定應該仔細評估Ƕ本指引提到對於IT委

證交資料579期 43
 外Ǵ內部稽核應考慮的重要項目Ƕ指引也提供幾種IT委外資訊ǵIT委外的生命週期Ǵ以及
委外活動如何藉由定義完善的計畫進行管理Ǵ計畫內容包含全公司的風險ǵ控制ǵ法規遵從
和治理架構Ƕ

對內部稽核人員而言Ǵ了解委外活動中利害關係者的期望Ǵ和調整稽核目標以符合組織
需求是非常重要的Ƕ在委外的IT營運中Ǵ評估組織的內部風險ǵ控制架構和選擇服務供應
商的有效性Ǵ對於在委外契約的有效期間Ǵ去降低轉變時期的內部控制風險是至關重要的Ƕ
而其它的重要議題有Ǻ確保內部稽核人員的角色能符合各種不同的安全和規格標準ǹ借助服
務稽核人員和其他專家完成工作的依賴程度為何Ƕ本指引將提供一個閱覽路徑來了解IT委
外的複雜構造Ǵ也將指出一些未來的趨勢Ƕ風險和衝擊對組織能有一種重大ǵ策略性的影
響Ƕ雖然在關鍵區域作業流程已經委外處理Ǵ但是組織仍然可能易受IT風險弱點傷害Ƕ因
此Ǵ內部稽核人員能幫助管理層理解並且對於這些委外業務的風險可以管理得更好Ƕ表格8
列出一個普遍委外作業的風險以及整個委外生命週期潛在的影響Ƕ

表8ǵ委外作業的風險以及整個委外生命週期潛在的影響
風險(Risks) 影響 (Impact)
策略︰委外作業策略不依循組織的 - 委外業務之決定是錯誤的。
目標。 - 合約沒有依據組織的目標建立及管理。
- 潛在的委外業務的沒被詳細揭露，導致無法
可行性︰由於迅速不適當的評估組 完全交付獲益。
織及供應商相關的風險，導致假設 - 合約被授予給一位不適當的供應者。
錯誤的結果。 - 供應商問題沒被有效地管理，因為他們沒被
正確地預期。
交易︰取得政策沒被滿足；適當的 - 缺乏一篇好的協議初稿，導致客戶在法律文
服務協定沒被實施；作業、人力資 件的束縛下，可能不能復原的情勢。
源以及規章的衝擊沒被考慮； 以及 - 在規章的遵循中存在潛在的破壞，導致金融
意外事故安排沒被計畫。 懲罰和公司品牌負面的回應。
過渡︰缺乏正式的過渡計畫，沒有 - 在過渡期間造成關鍵資源的損失。
適當的計畫保留技術，以及無效能 - 存在操作的困難。
的升級和解決IT作業的問題。 - 在委外服務上，造成客戶缺乏信心。
- 投資回報不是所被期望或者與委外服務費用
最佳化和轉變︰委外合約沒有被有
相比是最小的。
效的處理管理。 因此，委外的獲
- 組織所提供的服務建立在預期水準之下。
益及效率沒實現。
- 無計畫的費用升高。
終止和重新商議︰在委外流程上不 - 在最後時間公司不能接管委外業務活動或者
適當的終止。 結束或者重新商議合約。

44 證交資料579期
 Special Issue

名人講堂
本質上Ǵ協助企業非核心業務IT功能之策略性委外作業能夠使組織較少注重於日常技

專題研究
術管理等作業Ǵ而能夠更注重核心的能力和活動上Ƕ不過Ǵ有效的IT委外作業需要與IT服
務供應商有效地管理合作Ǵ這對幫助組織取得獲益是很重要的Ǵ包括︰降低費用Ǵ提高生產
力Ǵ改進用戶與供應商的關係Ǵ提升使用技術Ǵ增加控制Ǵ適當的企業持續Ǵ競爭優勢Ǵ以
及在革新和卓越上更新焦點Ƕ

因資訊科技領域不斷持續演變與複雜Ǵ故先進科技委員會(ATC)亦隨發布新的指引協助

焦點視界
企業管理階層Ƕ位為組織最高稽核人員Ǵ內部稽核主管必須面對之挑戰Ǵ為快速有效地瞭解
各種科技之議題與其可能對組織之影響Ƕ

在此方面Ǵ存在著對資訊科技相關的參考資料的需求Ǵ因為如果想要有效地執行稽核
工作Ǵ所有內部稽核人員必須對資訊科技具備某些程度的瞭解Ƕ除前述之球科技稽核指引
(GTAG)介紹外Ǵ以下列舉出其它已發布及計畫中將發布的全球科技稽核指引介紹供相關人

市場掃描
員參考Ǻ

1ǵ其它已發佈的全球科技稽核指引介紹

(1) 稽核應用系統控制(Auditing Application Controls)

證交集錦
應用系統控制為隸屬於某特定企業流程或應用軟體之控制Ǵ包括有資料編輯ǵ職權
分工ǵ總數控管ǵ交易處理日誌以及錯誤報告等Ƕ

(2) 識別碼與存取控制管理(Identity and Access Management)

數字機鋒

隨著資訊系統之複雜化與廣泛之應用範圍Ǵ其識別碼(帳號)與存取控制管理Ǵ已從
早期在電腦資料處理中心之一個單純的管理作業Ǵ變為對不論各種規模之組織Ǵ皆
感極為艱難且持續地在複雜化的問題Ƕ

(3) 企業持續營運(Business Continuity Management)

統計資料

企業持續營運是一個組織流程用以因應未來可能發生事件Ǵ以及長期生存發展之能
力所建立的主要目標Ƕ這些未來可能發生之事件Ǵ包含地區性的(如Ǻ火災)ǵ區域
性的(如Ǻ地震)ǵ或全國性的(如Ǻ傳染病爆發)Ƕ

證交資料579期 45
 (4) 發展資訊科技稽核計畫(Developing the IT Audit Plan)

隨著資訊科技日益融入組織之運作中Ǵ而成為一個整合之型態Ǵ內部稽核人員主要
挑戰之一Ǵ為在提供整體性的確保與顧問工作之範圍中Ǵ如何以最佳之方式去執行
全面性的資訊科技風險與控制之評鑑Ƕ內部稽核主管之主要且艱難之責任之一Ǵ為
設計出稽核單位之稽核計畫Ƕ

2ǵ規劃中將發布的全球科技稽核指引

(1) 自動化環境中之弊案偵測(Fraud Detection in an Automated World)

(2) 資訊科技專案稽核(Auditing IT Projects)

(3) 資訊安全管理Ǻ資訊安全治理(Security ManagementǺAudit Security Governance)

(4) 公司層級的資訊科技控制(Entity Level IT Controls)

(5) 自行開發應用系統稽核(Auditing User Developed Applications)

肆ǵ結論與建議

一ǵ結論

無論是COBIT資訊管理與控制ǵISO 27001資訊安全管理ǵISO 9000品質管理ǵCMMI

軟體開發工程成熟度管理或者是ISO 20000 IT服務管理等國際標準規範Ǵ皆是由國際組織
參酌全球不同國家ǵ政府機構ǵ學術組織之控管標準及最佳實務Ǵ經過嚴謹審核及品質保證
程序訂定Ƕ即使企業內部已完成了許多控制措施Ǵ這些國際標準仍然可以提供企業最佳實務
經驗Ǵ縮短在資訊化建置和管理過程中摸索ǵ學習的過程Ǵ能在更短的時間內把資訊化管理
做得更好Ǵ並且事先採取針對性措施Ǵ避免企業在最初導入過程中可能出現的錯誤Ƕ

為了有效地實現股東的價值ǴIT需要在既定的時間內支持企業業務的發展Ǵ提高服務
的品質ǵ有效的控制風險ǵ減少服務的成本以及縮短產品交付的週期Ƕ為了實現上述目標Ǵ
需要做到對IT組織結構和角色ǵ度量ǵ流程ǵ技術ǵ控制以及人員等方面進行管理Ƕ圖16

46 證交資料579期
 Special Issue

名人講堂
專題研究
列舉了COBITǵISO 20000ǵISO 27001和PRINCE2等標準Ǵ在管理上述各方面之IT各有
優勢ǴCOBIT重點在於IT控制和IT度量評價ǹISO 20000重點在於IT流程管理Ǵ強調IT支
援和交付ǹISO 27001重點在於IT安全控制ǹPRINCE2重點在於項目管理Ǵ強調項目的可
控性Ǵ明確項目管理中人員ǵ角色的具體職責Ǵ同時實現項目管理品質的不斷改進Ƕ總之Ǵ
COBIT4.1及ISO 27001標準儘管架構發展過程並不一致Ǵ但本質上這兩者並不相互排斥Ǵ
而且是相輔相成的Ƕ在企業中實施COBIT4.1Ǵ將對IT策略ǵ戰術ǵ運營層面發展有莫大的

焦點視界
幫助Ƕ

圖16ǵIT管理要素模型與4個標準映射圖

●為執行特定的活動向特定

市場掃描
的組織和人員分配職責 ●對人員、流程、技
●相關標準：ISO20000 術和控制進行度量
●支援有效及高效率地 以確他們符合預期
進行服務管理的人員 目標
●相關標準：PRINCE2 ●相關標準：COBIT
結構和角色
人員 度量

控制 流程 證交集錦
技術
●控制IT流程以確保 ●為產生內、外部客戶
數字機鋒

按期交付和滿足客戶 需要的產品和服務而
需求 ●支援IT交付的技術 相互關聯的活動紀錄
●相關標準：COBIT ●相關標準： ●相關標準：ISO20000
　　 ISO27001 ISO20000 　 COBIT
　 ISO27001
　 PRINCE2
資料來源：Price Waterhouse Coopers- “COBIT,ITIL and ISO17799 How to use them in conjunction”，頁20、21
統計資料

每個企業因自身的成熟度ǵ在行業中所處的位置及市場競爭狀況之不同Ǵ其所導入之國
際標準以及對待國際標準的態度亦會不同Ǵ有些企業是因為法令法規的要求Ǵ有些是因為主
管機關的要求Ǵ有些是因為客戶的要求Ǵ有些則是因為企業本身為了改善管理及作業品質Ƕ

證交資料579期 47
 另外企業的資訊系統因重要性ǵ敏感性ǵ持續性ǵ可用性等因素不同Ǵ所需建置及導入之國
際管理標準亦有所不同Ƕ企業應該對現行的法令法規的要求ǵ整體業務的穩定和連續性ǵ品
質及安全的需求ǵ導入後對企業整體環境的衝擊ǵ持續發展性ǵ社會的觀感ǵ成本等因素進
行評估Ǵ依據評估的結果Ǵ選擇最適用之國際標準Ƕ

如果沒有相對應的資訊安全管理體系Ǵ企業在選擇資訊安全標準的時候會表現得非常無
助Ǵ很可能他們現在覺得這個國際標準很好就導入Ǵ過一段時間後又發現這個國際標準會影
響企業運作效率Ǵ於是又撤掉Ƕ在這種盲目的狀態下Ǵ不管導入什麼國際標準Ǵ都很難達到
效果Ǵ自然也就無法避免無謂的投資Ƕ如果有健全的資訊安全管理標準體系及穩定運作的機
制Ǵ確定了資訊安全管理的方向及強化的程度Ǵ在這個程度範圍內Ǵ為了降低風險而採用的
某些設備Ǵ對營運效率所造成的影響是可以接受的Ƕ

一家企業的成功運作Ǵ不能只看他們導入了哪些標準ǵ用了哪些管理方式Ǵ而是要看他
們實施了哪些不同的標準Ǵ怎麼把這些不同的國際標準體系整合成自身的管理模式Ǵ進而保
持在行業中的領先地位Ƕ所以Ǵ不管導入什麼國際標準體系Ǵ都是為企業業務運作與管理服
務的Ǵ企業要有能力將這些標準體係與自身的策略ǵ流程相融合Ƕ

在標準建置及實施過程中Ǵ企業的管理者應負起真正的責任Ǵ並能夠參與到標準實施的
過程中去Ǵ尤其是參與制定相對應的方針政策ǵ具體的目標Ǵ因為這都是管理者的責任Ǵ執
行者的責任只是如何將這些目標變為現實Ƕ同時Ǵ管理者必須承諾一定的資源Ǵ並在組織架
構ǵ人員等方面為標準的順利實施提供保障Ƕ其次Ǵ全員參與也是非常重要的Ǵ因為資訊安
全會牽涉到組織所有的部門和員工Ǵ而且需要全員的支持Ǵ同時都能掌握這方面的相關經驗
和知識Ǵ因此需要在資訊安全管理標準體系建置過程中Ǵ對員工進行持續的培訓Ƕ

二ǵ 建議考量事項

1ǵ提升IT稽核之廣度及深度

依據GTAG指引一(資訊科技控制)的介紹ǴȨ稽核人員應瞭解所有的IT問題及要素Ǵ充
分於稽核計畫中提出如何測試ǵ分析ǵ報告及追蹤Ǵ並對於稽核專案之要素提供專業技能Ƕ
稽核管理人員基本上必須瞭解企業自動化之相關威脅及弱點ǹ瞭解企業控制及IT所應提供
之風險降低ǹ對IT相關的控制及其弱點提出計畫和監督的任務Ǵ並且對企業的應用系統及

48 證交資料579期
 Special Issue

名人講堂
專題研究
環境提供更有效率的IT控制ǹ保證稽核團隊有足夠的能力進行稽核作業Ƕ在稽核測試及評
估的過程中確認有效的使用IT工具ǹ同意測試控制與資訊之計畫及技術ǹ評估IT脆弱點或
控制弱點的稽核測試結果及證據ǹ分析所偵測之症狀及其源頭Ǵ包括計畫ǵ運作ǵ變更或其
他風險區域ǹ基於對企業保證目標的源頭提出建議ȩǶ另依據GTAG指引二(資訊科技變更
與版本更新管理)的介紹ǴȨ當討論有效的變更管理流程或無效的變更管理流程所產生之風
險Ǵ並撰寫稽核報告時Ǵ內部稽核人員應該基於變更流程的考量點Ǵ而非僅局限於技術方面

焦點視界
的變更Ǵ例如Patchǵ軟體ǵ硬體或應用程式變更Ǵ它還應該包括財務面ǵ法規面的風險Ǵ
把稽核發現的報告建立在支援組織目的及目標之風險容忍度管理上ȩǶ

本公司內部稽核室依據Ȩ證券暨期貨市場各服務事業建立內部控制制度處理準則ȩ規
定Ǵ於每年對IT部門的內控制度各項作業流程Ǵ判斷風險發生影響之目標的控制措施是否
完善Ǵ依風險評估標準進行固有風險及剩餘風險之評估Ǵ作成風險評估表Ǵ而且依據風險評

市場掃描
估的結果Ǵ合併考量其他因素Ǵ擬定IT部門的年度稽核計畫Ǵ提報董事會通過後Ǵ於次一
年度開始前申報主管機關備查Ƕ稽核人員進行稽核作業時Ǵ需依據年度稽核計畫擬訂查核計
畫Ǵ包括稽核範圍ǵ稽核項目等內容Ƕ

依據上述稽核作業流程Ǵ本公司稽核人員有依風險評估標準進行固有風險及剩餘風險之

證交集錦
評估Ǵ對IT相關的控制作業及其弱點提出年度稽核計畫和並監督執行情形Ƕ執行IT稽核作
業時Ǵ對於控制作業除採用遵循性稽核外Ǵ並且於實地稽核時Ǵ如有發現業務流程有潛在之
風險Ǵ將會立即提出適當之建議供IT部門參考改善Ǵ並修訂下次實地稽核之查核計畫Ǵ敘
明前次建議事項Ǵ並追蹤其後續辦理情形Ƕ

惟本公司因營運的獨特性Ǵ除受主管機關的監督外Ǵ並需隨時因應國家政策的要求Ǵ配
數字機鋒

合法令ǵ法規的增修Ǵ而進行業務流程的變更Ǵ所以公司的策略及目標亦較難明確地界定Ǵ
而IT策略ǵ戰術ǵ運營層面的發展必須支援公司的策略及目標Ǵ因此內部稽核人員依據稽
核發現對企業保證目標的源頭提出建議Ǵ並支援經理部門對組織策略目標之風險容忍度管
理Ǵ似有相當大的困難度Ǵ這也是施行IT治理的一大挑戰Ƕ

IT稽核所面臨之其它問題Ǻ
統計資料

(1) 本公司常有業務需新增或異動 Ǵ 但變更的需求常常來自主管機關的要求 Ǵ 而且具

有時效性Ǵ而資訊系統變更後Ǵ常對企業營運策略及目標產生風險及衝擊Ǵ在財務
面ǵ法規面亦需作風險評估Ǵ但因業務之突發性及時間之急迫性Ǵ目前本公司IT稽

證交資料579期 49
 核作業無法固定將前述之變更流程管理的風險評估納入IT稽核計畫中Ƕ

(2) 另於中華民國內部稽核協會品質評核團隊之品質評核報告中說明ȸ週期性的IT稽核
被IT管理階層認為是重覆的自行檢查ȹǶ

綜合前述Ǵ為提升本公司IT稽核之效能Ǵ可考量將稽核作業跨越IT相關的部門並整合
入其他業務營運Ǵ例如Ǻ隨機抽核資訊系統專案Ǵ整合其財務ǵ管理ǵ資訊業務控制流程Ǵ
設置控制作業檢查點Ǵ從資訊系統需求之可行性及成本分析ǵ採購作業程序(含核定程序ǵ
委外廠商選擇等)ǵ計畫擬訂ǵ系統開發建置過程監控ǵ測試作業ǵ上線作業ǵ驗收作業ǵ
維護作業等Ǵ進行橫向(跨越相關部門)ǵ縱向(控制點稽核軌跡深入追查)稽核作業Ƕ

另本公司IT稽核計畫之擬訂方式仍有提昇改善的空間Ƕ因此Ǵ本公司IT稽核人員可考
量審慎地評估各個通用的國際標準Ǵ並通過適當的調整Ǵ以便找出最適合本公司整體環境的
稽核計畫實施方案Ǵ以便提升IT稽核之廣度及深度Ǵ並符合IT管理階層之期望Ƕ

最後有關稽核測試及評估的過程中確認有效的使用IT工具部分Ǵ可考量依據實際需要
引進合適的電腦輔助稽核軟體工具Ǵ以提升內部稽核人員的工作效能Ǵ例如Ǻ在新建置的
資訊系統中嵌入預設使用者帳號掃瞄軟體Ǵ確認系統的預設使用者帳號之預設密碼是否更
新Ǵ並可以蒐尋是否尚有未知的使用者帳號及密碼Ǵ但考量系統運作效能(Performance)及
安全性等因素Ǵ因此建置電腦輔助稽核軟體工具一定要事先與資訊系統的管理單位溝通協
調Ƕ

2ǵ適時聘用IT稽核專家支援技術

依據GTAG指引一(資訊科技控制)的介紹ǴȨ技術面之IT稽核專家Ǵ雖然IT稽核人員於
管理層級需瞭解支援企業的相關技術及其威脅ǵ脆弱點Ǵ但IT稽核人員也需要專精於某個
技術領域之專家ȩǶ

因為IT的領域寬廣Ǵ而且由於IT控制作業之整體連續性及複雜性Ǵ每個IT稽核人員無
法專精熟悉每一個領域之IT技術Ǵ另考量在IT方面有限的稽核資源(包括人力ǵ物力) Ǵ因
此本公司可依實際作業情形Ǵ適時聘用IT稽核專家支援技術Ǵ以便對本公司整體IT作業環
境之安全性ǵ控制流程之可用性及IT目標之符合性進行深入完整之稽核Ƕ

50 證交資料579期
 Special Issue

名人講堂
3ǵ本公司引進IT治理架構模型時之考量

專題研究
本公司已導入實施ISO 27001國際標準Ǵ對本公司的資訊安全管理控制層面提供遵循的
規範Ǵ並強化資訊之機密性ǵ完整性及可用性Ǵ進而確保證券市場永續發展Ǵ而COBIT是關
於IT安全和控管實務的標準Ǵ對管理階層ǵ使用者以及資訊系統稽核提供一個控管和資訊
安全的參考架構Ǵ其所提供的指引Ǵ使企業能夠對IT實行有效的治理Ƕ本質上ISO 27001
與 COBIT 是相輔相成的 Ǵ 因此本公司如考量導入 COBIT Ǵ 可考慮由 ISO 27001 與 COBIT

焦點視界
兩套國際標準規範之共同控制措施製作出映對表 Ǵ 由 IT 框架之 IT 目標透過映對表找出 ISO
27001之控制作業Ǵ尚未建置的部分Ǵ可逐步增訂調整(如COBIT4.1 PO流程目標之策略面
的工作項目)Ǵ並考量核心業務風險Ǵ增加補足相關控制措施Ǵ提升本公司IT稽核之效能Ƕ

COBIT的IT準則反映了企業的策略目標ǴIT資源包括人員ǵ系統ǵ資訊等相關資源Ǵ
IT 管理則是在 IT 準則指導下對 IT 資源進行規劃處理 Ƕ 在組織中具體應用 IT 治理架構模型

市場掃描
時Ǵ應該注意Ǻ

(1) 要專注於解決組織資訊化過程中最大的問題Ƕ因為對於任何一個組織而言Ǵ採用整
套標準都是不可行的Ǵ相反地Ǵ應該從最大的問題著手Ƕ

證交集錦
(2) COBIT管理指引是概要性的ǵ普遍適用的指引Ǵ它不提供具體行業標準Ƕ組織在大
多數情況下需要根據它們的具體環境將這個概要性的指引最適化Ƕ

(3) 先完成介紹ǵ教育ǵ培訓再進行組織變革Ǵ並在單一領域內(如培訓經驗)取得一定
成績後Ǵ再轉向其它有問題的領域Ƕ
數字機鋒

(4) COBIT是一個必須根據組織所制定的框架Ƕ例如ǴCOBIT的IT流程必須與組織現有
的IT流程進行比較Ǵ必須對組織的風險做出評估Ǵ設定IT流程的責任Ƕ

(5) 組織在具體實施的過程中Ǵ其他組織成功實施的案例ǵ培訓機構和第三方諮詢機構
都可以提供很好的幫助Ƕ
統計資料

(6) 作為治理 ǵ 控制 ǵ 稽核活動的參考框架 Ǵ COBIT 必須與其他的資源一起使用 Ǵ 包

括 Ǻ 行業稽核指引 Ȑ 像 AICPA 或 FFIEC 出版的稽核指引 ȑǵ 通用控制與稽核指引
Ȑ如ISACF出版的 CIS稽核手冊ȑǵAICPA/CICA SysTrustǵIIA 的SAC以及平台
相關的指引等Ƕ

證交資料579期 51
 五ǵ參考文獻

Ȝ參考文獻ȝǺ

1ǵȸ 管理和審計 IT 漏洞 ȹ 譯文 (2007) Ǵ 來源 Ǻ 中天信息安全服務中心 (sec.zt.cn/zcfg/

dfbz/3986.htm)

2ǵ大白 (2005) Ǵȸ 談 Ȩ 風險胃納 ȩ 或 Ȩ 風險胃口 ȩȹǴ 來源 Ǻ (www.alisan.biz/Tw/

News/Default.asp?iWebId=1&iCategoryId=8)

3ǵ周國華 (2007) Ǵȸ 企業資訊系統風險與控制 ~ 電腦舞弊 ǵ COSO ǵ COBIT 及 PKI 架構探

討~ȹǴ屏東商業技術學院會計資訊系統課程講義

4ǵ周瑛(2003)ǴȸCOBIT 實施工具ȋ如何在組織中引入 COBITȹ譯文Ǵ來源Ǻ暢享網

(www.amteam.org/k/CIO/2003-11/471429.html)

5ǵ英國標準協會(British Standards InstitutionǴBSI)ǴISO 27001資訊安全管理系統主

導稽核員訓練課程講義

6ǵ徐樹滋Ǵȸ實施品質評核之經驗ȹǴ中華民國內部稽核協會第65期季刊Ǵ頁 9 至 13

7ǵ孫強ǵ陳傳ǵ王東紅(2004)Ǵȸ信息安全管理Ǻ全球最佳實務與實施指南 ȋ 21世紀管
理信息化前沿IT治理ȹ叢書

8ǵ孫強ǵ李長征(2003)Ǵȸ整合COBITǵITILǵISO/IEC17799和PRINCE2構建善治的IT
治理機制ȹǴ來源Ǻ暢享網(www.amteam.org/k/CIO/2003-10/470902.html)

9ǵ郭曉英ǴCIOINSIGHT雜誌採訪內容Ǵ來源Ǻ支點網(www.cioinsight.com.cn/html/
sy/2008/07/603.html)

10ǵ德昭 ǵ 章孝成 (2008) Ǵȸ 以數位鑑識手段針對資安事故補強 COBIT 控制要項之研

究ȹǴ ICIM2009 第二十屆國際資訊管理學術研討會報告

11ǵ黃錦營Ǵȸ全球科技稽核指引(GTAG)簡介ȹǴ中華民國內部稽核協會第65期季刊Ǵ頁
39 至 44

52 證交資料579期
 Special Issue

名人講堂
12ǵ陽杰Ȑ2006年11月ȑǴ持續性稽核之譯文

專題研究
13ǵ資訊系統稽核與控制協會ȐInformation Systems Audit and ControlAssociationǴ
ISACAȑǴ資訊系統稽核標準

14ǵ歐陽惠華Ȑ2007ȑǴISO 27002 與COBIT 4.1 控制措施之對映分析Ǵ國立高雄師範

大學資訊教育研究所碩士論文

焦點視界
15ǵ賴森本Ȑ2003ȑǴȸ企業風險管理與其他相關制度之關聯性ȹǴ企業風險管理(ERM)
流程與實務研討會報告Ǵ來源Ǻ www.acc.scu.edu.tw/seminar/20050617/file/02-1.
pdf

16ǵCharles H. Le Grand, of CHL Global,and Alan S. Oliphant, FIIA, MIIA, QiCA, of

Mair InternationaǺINFORMATION TECHNOLOGY CONTROLS (GTAG-1)

市場掃描
17ǵJay R. Taylor,General Motors Corp. Julia H. Allen,Carnegie Mellon
University,Software Engineering Institute. Glenn L. Hyatt, General Motors
Acceptance Corp. Gene H. Kim,Tripwire Inc.ǺChange and Patch Management
ControlsǺCritical for Organizational Success (GTAG-2)

證交集錦
18ǵDavid Coderre, Royal Canadian Mounted Police (RCMP) Subject Matter Experts
John G. Verver, ACL Services Ltd. J. Donald Warren Jr., Center for Continuous
Auditing, Rutgers UniversityǺContinuous Auditing: Implications for Assurance,
Monitoring, and Risk Assessment (GTAG-3)
數字機鋒

19ǵMichael Juergens, Principal, Deloitte & Touche LLP. David Maberry, Senior
Manager, Deloitte & Touche LLP. Eric Ringle, Senior Manager, Deloitte & Touche
LLP. Jeffrey Fisher. Senior Manager, Deloitte & Touche LLPǺManagement of IT
Auditing (GTAG-4)

20ǵUlrich Hahn, Ph.D., Switzerland/Germany. Ken Askelson, JCPenney, USA. Robert

統計資料

Stiles, Texas Guaranteed (TG), USA.ǺManaging and Auditing Privacy Risks

(GTAG-5)

21ǵSasha Romanosky, Heinz School of Public Policy and Management, Carnegie

證交資料579期 53
 Mellon University. Gene Kim, Tripwire Inc. and IT Process Institute. Bridget
Kravchenko, General Motors Corp.ǺManaging and Auditing IT Vulnerabilities
(GTAG-6)

22ǵMayurakshi Ray. Parthasarathy Ramaswamy. Ǻ Information Technology

Outsourcing (GTAG-7)

23ǵIT Governance Institute (ITGI) (2006)ǴȸCOBIT MAPPING: MAPPING OF ISO/

IEC 17799:2005 WITH COBIT 4.0ȹ,USA

24ǵAngeli Hoekstra & Nicolette Conradie(2002)ǴȸCOBIT,ITIL and ISO17799 How

to use them in conjunctionȹ,Price Waterhouse Coopers(PWC)

陸ǵ附錄 GTAG

指引一ǵ資訊科技控制(INFORMATION TECHNOLOGY CONTROLS)

此指引之目的是為了因應資訊科技控制問題與其影響所具備的知識Ǵ而提供給高階管理
人員ǵ資訊科技專業人員以及內部稽核人員參考之用Ƕ

Ɉ介紹Ǻ

資訊科技(INFORMATION TECHNOLOGYǴIT)是使企業和政府能夠完成他們任務和目
標全部過程的組成部份ǶIT控制有兩個顯著的零組件︰企業控制的自動化和對IT的控制Ƕ
IT控制不存在於隔離的過程中Ǵ他們之間形成一個互相依靠保護的連續統一體Ǵ因此單一
個控制弱點所造成的影響Ǵ不僅僅會導致單點失敗Ǵ例如Ǻ當一名安全管理者在一個防火牆
配置檔案裡選擇設定時(一項技術任務需要具體的技能和知識-人員教育訓練) Ǵ他需貫徹一
個被建立的政策(可以或可以不在別處被用檔案說明-檔案管理)Ǵ決定那些使用者容許或者
不被容許對外網路通信(使用者權限管理)Ǵ並且建立他們可能之傳輸路徑(網路管理)Ǵ前揭
控制作業單點之失敗Ǵ將可能影響整體網路環境安全Ƕ

54 證交資料579期
 Special Issue

名人講堂
專題研究
Ɉ評估資訊科技控制 - 概況Ǻ

在整個內部控制系統中 Ǵ 對於 IT 控制之稽核作業流程提供了一個正式的架構 Ǵ 如圖
1.1Ƕ

焦點視界
圖1.1ǵThe Structure of IT Auditing

市場掃描
證交集錦
數字機鋒

因此內部稽核人員於IT控制所扮演之角色Ǵ開始於對所聽到IT控制觀念之瞭解Ǵ最終
對該控制及其風險提出評估結果Ǵ將於以下小節詳述圖1之內容Ƕ
統計資料

Ɉ瞭解資訊科技控制(Understanding IT Controls)Ǻ

ɅIT控制包含提供資訊保證及資訊服務Ǵ並降低組織使用資訊科技所產生風險之作業
流程Ǵ其範圍包括政策之撰寫 ǵ實體存取保護 ǵ資訊傳輸ǵ資料結構分析等 Ƕ由於

證交資料579期 55
 IT控制作業之整體連續性及複雜性Ǵ任何一個人不可能完全熟悉所有之IT技術Ǵ而
且在每一個IT領域皆有專家可評估其控制風險(例如Ǻ資料庫管理者不一定熟悉網路
管理及資料傳輸)Ǵ因此可利用權責分工方式進行管理ǵ風險評估ǵ稽核等作業Ƕ任
何人不需要懂得所有IT領域之每一個控制Ǵ但有2個關鍵之控制觀念需記住Ǻ

第一點ǵ在整個內部控制系統之 IT 控制必須提供保證Ǵ而且此保證須為持續性的 Ǵ以
及產生一個信任的ǵ持續的證據軌跡Ƕ

第二點ǵ稽核人員之保證應是獨立的Ǵ且客觀地評估第一點之保證Ƕ稽核人員之保證是
基於瞭解ǵ檢查以及評估稽核人員所管理之關鍵控制相關風險Ǵ而且需要執行
足夠的測試以確認設計之妥適性及功能之有效性Ƕ

Ʌ IT控制的分類Ǻ將控制分類可以幫助瞭解它們的目的Ǵ以及適用於整體內部控制系
統的地方Ǵ如圖1.2Ƕ

圖1.2ǵSome Control Classifications

一般性控制：如所知的基礎設施(infrastructure)控制Ǵ包括Ǵ但是不侷限於︰資訊安全
政策ǵ權限管理ǵ資料存取和驗証ǹ關鍵IT功能的分工ǹ系統取得和實施的管理ǹ變更管
理ǹ備份ǹ復原以及企業永續性等項目Ƕ

應用系統控制：適合個別之企業流程或應用系統Ǵ包括︰資料編輯ǵ企業功能的分工
(例如Ǻ授權及交易紀錄之建檔)ǵ處理總數之平衡ǵ交易之相關紀錄以及錯誤報告等項目Ƕ

56 證交資料579期
 Special Issue

名人講堂
專題研究
每個控制功能與它的設計及有效性之評估有高度關係Ƕ

控制作業也可分類為Ǻ

預防性控制：防止發生錯誤ǵ遺漏或者安全事件Ǵ例如Ǻ簡單的輸入資料編輯Ǵ阻止字
元符號輸入至數值的欄位ǹ保護敏感資訊或者系統資源被未授權人員存取之控制ǹ以及複雜

焦點視界
和動態的技術控制(例如防毒軟體ǵ防火牆和入侵防禦系統)Ƕ

偵測性控制：發現躲避預防性控制的錯誤或事件Ƕ例如Ǻ確認並計算一個暫停不用之帳
戶數字Ǵ或者監控已經被註記並且疑心有不法活動的帳戶Ƕ對敏感的電子通訊來說Ǵ偵測性
控制能表示為一條訊息已經被破壞或者發送人的安全身份不能被驗證Ƕ

市場掃描
改正性控制：改正已經被發現的錯誤ǵ遺漏或者安全事件Ƕ例如Ǻ由於資料輸入錯誤之
簡單的改正ǹ鑑別並從系統或者網路除去未被授權的用戶或者軟體ǹ災難恢復計畫Ƕ

改正之作業流程也會影響預防性或偵測性控制Ǵ因為它們代表著另一次錯誤ǵ遺漏或偽
造的機會Ƕ

證交集錦
Ʌ 另一種普遍的控制分類是藉著群組所應負之責任以確認控制作業是否被適當地建置
及維護Ƕ為了評鑑角色及責任之目的Ǵ將IT控制分類為治理ǵ管理及專業技術Ǻ

治理控制：IT控制在治理層級強調有效的資源管理Ǵ以及安全準則ǵ政策ǵ程序在適
當的地方遵循標準規範執行Ƕ治理控制與董事會或單一委員會所控制或託管之組織運作管理
數字機鋒

相結合Ǵ而且這些控制與由組織目標ǵ策略及外在法令所驅動之公司治理相互連接Ƕ

管理控制：管理對於內部控制的責任通常與全組織及特別注意之關鍵資產ǵ敏感資訊和
作業功能所能達到之領域有關Ƕ管理階層必須確認IT控制應該達成組織所建立之目標Ǵ並
保證作業可靠及持續Ƕ這些控制作業被建置是管理階層審慎行動的結果Ǵ可以辨認組織程
序ǵ資產的風險Ǵ並且頒布技術ǵ流程以便降低及管理風險Ƕ
統計資料

在治理控制與管理控制之間有一個很重要之區別就是〝noses in,fingers out〞Ǵ治理責

任是監控Ǵ而管理責任是控制活動之執行Ƕ

證交資料579期 57
 專業技術控制：這些控制是在組織的IT 基礎設施內使用的技術Ǵ實現並證明遵循管理
層所預期且基於資訊政策之自動化技術控制能力是組織的一種強有力的資源Ƕ例如Ǻ透過防
止未被授權的存取和入侵Ǵ包含所有變更之證據及其可靠性Ǵ能夠在資訊完整性上提供信賴
的基礎Ƕ

Ʌ IT控制的期望Ǻ

內部稽核主管基於個人之控制技巧Ǵ期望發現企業內部定義之IT控制組織階層架構Ǵ
此架構包含從董事會同意ǵ管理層所公布之高階政策一直到應用系統之專業技術控制Ǵ如圖
1.3Ƕ此架構不同的要素不是互相排斥Ǵ而是互相連結及能夠混合的Ƕ許多控制形式包含於
這些要素中Ǵ描述如下Ǻ

圖1.3ǵ IT Controls

政策(Policies)：所有組織經由策略計畫及政策聲明去定義他們的目的及目標Ǵ沒有明
確的政策及標準方向Ǵ組織將會無指引之方向並且無效率運作Ƕ依據組織大小將需要各種不
同之政策Ǵ大型組織廣泛地建置IT作業時Ǵ將需要更多細部及特定的政策ǶIT政策聲明書
包括Ǵ但是不局限於︰關於整個企業安全及隱私權之一般政策(包含法令法規要求)ǵ定義資
訊分類及各層級之存取權限ǵ定義資料及系統擁有者之觀念(包含新增ǵ更新ǵ刪除等)ǵ定
義那些使用者可於智慧型工作站上增/刪應用軟體ǵ定義人員之管制等Ƕ

標準(Standards)：標準就是支援政策的需求Ǵ定義工作方式去達成組織的需求目標Ƕ具

58 證交資料579期
 Special Issue

名人講堂
專題研究
有重要資源的大型組織能夠在適當的位置設計出他們自己的標準Ƕ作為一個指引Ǵ內部稽核
主管應重視下列標準是否適當Ǵ包括系統開發流程ǵ系統軟體參數配置ǵ應用系統控制ǵ資
料結構(含資料定義ǵ存取方式ǵ隱私之安全控制等)ǵ文件管理等標準Ƕ

無論是政策或標準皆應經過管理階層核定Ǵ並用淺顯易懂語言撰寫Ǵ使得實施的人員可
以有效的運作Ƕ

焦點視界
組織和管理(Organization and Management)：當組織處理各方面營運作業時Ǵ組織和管理
在整個IT控制系統中扮演一個主要的角色Ǵ其包括Ǻ

責任分工 - 在許多控制中責任分工是一個很重要的因素Ǵ一個組織的架構不應該允許
對處理資料之各方面責任完全倚賴一個人或者單獨部門Ǵ例如Ǻ啟動ǵ授權ǵ輸入ǵ處理以

市場掃描
及檢查資料的功能應該被分開Ǵ以便保證沒有一個人產生錯誤並省略它Ǵ或者授權不合常規
情況並遮蔽證據Ƕ

財務控制 - 因為組織需考量對IT的投資Ǵ因此預算和其它財務控制是必要的Ǵ以便確
保技術產生的投資收益被保護或提議節省Ƕ管理流程需放置於適當之處Ǵ以便蒐集ǵ分析及

證交集錦
報告相關問題資訊Ǵ令人遺憾的Ǵ因為不足的計畫Ǵ使新IT的發展經常遭遇超額費用Ǵ而
且不能交付預期的成本節約Ƕ預算的控制能幫助在作業流程中Ǵ提早鑑定潛在的缺點並且允
許管理層採取積極措施Ǵ他們也可能產生組織在未來專案所使用的歷史數據資料Ƕ

變更管理 - 在組織及管理控制要素下能夠規範變更管理流程Ǵ這些流程應該保證IT環
境ǵ系統軟體ǵ應用系統和資料之變更Ǵ應該在適當的權責劃分行為模式下實施Ǵ以便確認
數字機鋒

變更之內容與需求相符Ǵ並預防利用變更之過程達到舞弊之目的Ƕ

其他管理控制 - 其他典型管理控制包括Ǻ新員工的審查Ǵ績效評估Ǵ對IT員工提供專
家訓練等控制程序Ƕ

實體和環境控制(Physical and Environmental Controls)：IT設備對於大多數組織來說代表

統計資料

相當多的投資Ǵ它必須被保護預防事件發生Ǵ或者縝密考量危險及損失Ƕ實體和環境控制最
初發展是為了保護大型主機電腦之資料中心Ǵ但現在即使web-based或client-server分散式
網路設備的實體和環境控制一樣重要Ǵ全部設備皆必須被保護Ǵ包括對申請允許人員進入的
伺服器和工作站Ƕ一些典型的實體和環境控制包括︰在一個鎖住的房間ǹ限制可存取伺服器

證交資料579期 59
 之人員ǹ防火偵測設備等Ƕ

系統軟體控制(System Software Controls)：系統軟體產品使得IT設備能夠被應用系統和

用戶使用Ƕ這些產品包括作業系統(例如WindowsǵUnix和Linux)ǹ網路和通信軟體ǹ防火
牆ǹ防病毒產品ǹ以及資料庫管理系統(DBMS)例如Oracle和DB2Ƕ系統軟體可能非常複雜
並且適用於系統和網路環境之零組件和設備Ǵ因此在此領域需要IT專家去評估其控制Ƕ

內部稽核主管在一個管理良好的IT環境中Ǵ將期望發現一些關鍵的控制Ǵ包括Ǻ依據
組織政策訂定之分配與控制的存取權限ǹ加強整個系統軟體及其它配置控制的權責劃分ǹ施
行入侵及弱點之評估ǵ偵測及預防Ǵ並持續監控ǹ規則地進行入侵偵測測試ǹ加密服務ǹ變
更管理流程等Ƕ

系統開發及取得控制(System Development and Acquisition Controls)：組織很少對所有應

用系統開發專案採用單一的方法論Ǵ因此IT稽核人員應該評估組織開發或取得應用系統所
使用之控制方法是否對於該應用系統內部及其所處理之資料提供有效的控制Ƕ在系統開發及
取得的工作中Ǵ有些基本的控制點應該被顯現Ǵ包括Ǻ使用者需求應該被文件化而且其達成
情形可被量測ǹ系統設計應依循正式的流程Ǵ確認使用者需求及其控制被設計在系統中ǹ系
統開發應確認需求及設計特性結合於結構化的行為中ǹ測試應該保證個別的系統元件ǵ界面
依照所要求運作Ǵ用戶含蓋於測試的過程Ǵ並且計畫的功能性已經被提供ǹ應用系統維護流
程應該保證在應用系統方面的變更遵循固定模式的控制Ƕ專案管理工具及控制應被當作開發
作業流程的一部分Ƕ

基於應用系統的控制(Application-based Controls)：對於整個應用系統內部控制的目標將
保證︰所有輸入的資料是準確的ǵ完整的ǵ授權的及適當的ǹ所有資料如設計運作ǹ所有儲
存及輸出的資料是準確的及完整的ǹ每一筆維護的紀錄Ǵ從輸入到輸出皆可被追蹤Ƕ內部稽
核主管應該期望於應用系統看到某些一般性的控制Ǵ包括Ǻ輸出ǵ處理ǵ輸出ǵ完整性控制
(能夠監控資料處理流程並保持儲存資料之連續性及正確性)ǵ稽核軌跡的管理等控制Ƕ

Ʌ 資訊安全(Information Security)Ǻ

資訊安全是全部IT控制的組成部分Ǵ應用於基礎設施和資料並且是大多數其他IT控制
可靠性的基礎Ǵ其普遍接受的要素是︰

60 證交資料579期
 Special Issue

名人講堂
專題研究
機密性(Confidentiality)：機密性的資訊只能被適當地揭露Ǵ 並且必須防止未被授權的
洩露或者攔截Ǵ其還包括隱私的考量Ƕ

完整性(Integrity)：資訊的完整性適用於資料被正確及完全的處理Ǵ包括財務處理和報
告的可靠性Ƕ

焦點視界
可用性(Availability)：對於企業及其用戶和夥伴來說 Ǵ 無論何時何地需要的情況下 Ǵ
資訊必須是可用的Ǵ包括有能力從資料及IT服務的損害ǵ中斷ǵ錯誤或者較大的災難中恢
復Ƕ

Ʌ IT控制的架構(IT Controls Framework)Ǻ

市場掃描
IT 控制不是自動的Ǵ因為超過50年來組織已經使用的資訊技術Ǵ控制不經常是新系統
硬體或者軟體的預設狀態Ǵ因此發展和實施控制Ǵ通常落後於系統所承認的弱點及其所產生
的威脅裡的脆弱的承認Ƕ更進一步來說ǴIT控制不能在全部的系統中Ǵ使用一個廣泛承認
之應用標準來定義Ƕ為了分類IT控制及其控制目標Ǵ有許多的框架存在Ǵ每一個組織應該
使用這些框架大多數應用的組成元素去分類或評估IT控制Ǵ並提供及文件化自己的內部控

證交集錦
制制度架構Ǵ包括Ǻ遵循正確的法令ǵ法規ǹ與組織的目標及目的相一致ǹ保證所有活動遵
循管理政策Ǵ並與組織的風險胃納一致之可信任的證據Ƕ

Ʌ 風險胃納(Risk Appetite)與風險容忍度ȐRisk ToleranceȑǺ

風險胃納(Risk Appetite)這個與風險管理有關而且頗重要的概念Ǵ近年來逐漸受到更
數字機鋒

多的重視Ǵ目前對於風險胃納作較完整定義的Ǵ應屬COSO在其企業風險管理ȐERMȑ架構
中Ǵ所陳述的ǺȨ追求某目標或願景的公司或個體Ǵ由較為廣闊基礎下之考慮而願意接受的
風險ȩǶ相對於其另一個名詞Ǵ風險容忍度ȐRisk ToleranceȑǴ係指Ȩ相對於所欲達成之
目標而可接受的變異程度ȩǶ在這樣的架構下Ǵ風險胃納是屬於較上層與較廣闊的概念Ǵ較
接近對風險正面或間接的涵意Ǵ也就是考慮由於願意多承擔風險而多希望獲取的報酬ǹ而風
險容忍度就屬於較為落實與較為具體的層次Ǵ更側重風險原本負面與直接的概念Ǵ亦即所可
統計資料

容忍的風險Ƕ舉例說明策略性目標ǵ風險胃納及風險容忍度之關係Ǵ如圖1.4Ƕ

證交資料579期 61
 圖1.4ǵ策略性目標ǵ風險胃納及風險容忍度之關係

策略性目標 策 略 風險胃納
業務與國際 因應業務需求，新業務知識瞭 *公司需
接軌 解、新 IT 技術研發 增加大
量人力
及設備
投資
衡量 *不容許
相關目標 衡量
國際化業務 業務品
*人員專業訓練 訓練時數 質的損
之成長率 *維持業務及設備 異常次數 害
運作正常

風 險 容 忍 度

衡 量 目 標 可接受範圍
*國際化業務之成 *國際化業務成長50% *國際化業務成長
長率 *業務及設備正常運作比率 40%-60%
*業務品質 99.99% *異常次數<=1 次
*專業訓練時數 *整年訓練時數50 小時 *整年訓練時數
>=50 小時

Ɉ IT控制的重要性(Importance of IT Controls)Ǻ

許多問題驅動對IT控制的需要Ǵ包括控制成本並且保持具有競爭性Ǵ防止駭客竊取資
訊以及遵循法令ǵ規章(如美國於2002年制定之沙賓法案)Ǵ一些國家立法和在規章現下Ǵ
要求組織報告有關內部控制有效性的情況Ƕ一些有效的IT控制關鍵指標包括︰

Ʌ 有能力執行所計畫的新工作Ǵ如IT基礎設施升級Ǵ去支援新產品及服務Ƕ

Ʌ 及時交付開發的專案計畫Ǵ且在預算內產出更便宜ǵ更好的產品Ǵ並能夠比競爭對
手提升更優的服務Ƕ

Ʌ 有能力事先分配資源Ƕ

Ʌ 持續提供組織ǵ企業夥伴及其他外部單位資訊的可用性ǵ可靠性Ǵ以及IT服務Ƕ

Ʌ 有效控制的管理能明確地溝通Ƕ

62 證交資料579期
 Special Issue

名人講堂
Ʌ 有能力快速有效地預防弱點及威脅Ǵ並能從任何IT服務中斷的情況下恢復Ƕ

專題研究
Ʌ 有效地使用客服中心或服務台Ƕ

Ʌ 從每一位員工至全組織皆具有安全意識文化Ƕ

雖然IT問題的細節由IT稽核專家進行Ǵ但稽核主管應在高層次上瞭解此IT問題與其它

焦點視界
IT或非IT控制的相互影響Ǵ當與其他高階主管如執行長ǵ財務長ǵ資訊長或董事會討論遵
循或缺乏控制時Ǵ此瞭解是非常重要的Ƕ稽核主管應在稽核評估時考量並完全瞭解驅動此
IT控制需求的主要環節問題Ǵ沒有完整的知識及瞭解是無法抓住此IT控制需求的重要性或
在整個內部控制觀點適當的評估它們Ƕ

Ɉ 組織中IT的角色(IT Roles in the Organization)Ǻ

市場掃描
在組織內因為IT控制的責任和擁有權Ǵ近年來已經出現很多不同的角色Ǵ在治理的每
個位置Ǵ管理ǵ操作以及技術階級能清楚的描述IT控制的角色和相對的責任Ǵ以避免混亂
並且保證對於特別問題所應負的責任Ƕ總而言之Ǵ在任何組織中使用IT的目標Ǵ包括Ǻ依
據組織的策略ǵ政策ǵ特殊需求及風險胃納Ǵ提供資訊的有效性及安全的IT服務ǹ保護股

證交集錦
東所關切的事項ǹ使組織與客戶ǵ企業夥伴及其他外部單位維持相互獲益的關係ǹ適當地定
義並回應控制的威脅及潛在弱點Ƕ

在組織內有具體的角色支援這些目標Ǵ包括Ǻ

Ʌ 董事會/治理的主體 - 整個董事會有一個重要的角色Ǵ就是決定並核准策略ǵ確定目
數字機鋒

標Ǵ並且保證目標正被滿足支援策略Ƕ董事會基於它與組織的關係將建立各式各樣
的委員會Ǵ包含審計委員會(Audit CommitteeǴ圍繞於監督財務問題ǵ內部控制評
估ǵ風險管理和倫理學等)ǹ補償委員會(Compensation CommitteeǴ與IT沒有直接
關係 Ǵ 但此委員會能夠藉著其核定之補償計畫 Ǵ 去改善董事會監督之 IT 績效 ) ǹ 治
理委員會(Governance CommitteeǴ對董事會成員選擇和評估負責Ǵ並且是董事會
運作的領導)ǹ風險管理委員會(Risk Management CommitteeǴ監督所有的風險分
統計資料

析ǵ評估ǵ因應及監控)ǹ財務委員會(Finance CommitteeǴ評論財務報表ǵ現金收
支預測和投資管理Ǵ此委員會的成員需在IT控制要素下保證資訊的準確Ǵ用來做關
鍵投資的決定並且產生財務報告)Ƕ

證交資料579期 63
 Ʌ 管理 - 關於 IT 風險及控制 Ǵ 幾個具體的角色已經在大型組織出現 Ǵ 包含執行長
(Chief Executive OfficerǴ負責在組織策略及運作控制多方面考量IT)ǹ財務長
(Chief Financial OfficerǴ負責組織所有的財務事情Ǵ並強烈地瞭解使用IT能夠
管理財務並支援組織的目標)ǹ資訊長(Chief Information OfficerǴ負責組織內所
使用的IT)ǹ安全長(Chief Security OfficerǴ負責整個組織的安全)ǹ首席資訊安
全官(Chief Information Security OfficerǴ是負責整個組織安全的子集)ǹ首席法
律顧問(Chief Legal CounselǴ可能是組織或者一個外部法律事務所的員工)ǹ首
席風險管理官(Chief Risk OfficerǴ涉及組織各層級的風險管理)Ƕ

Ʌ 稽核 - 稽核分為內部稽核及外部稽核人員Ƕ

無論是否有一具體的內部稽核人員被雇用Ǵ內部稽核是公司治理過程必要的部分Ǵ內部
稽核人員對於IT需要一般性的瞭解Ǵ但其瞭解程度取決於稽核之種類或者是其運作之稽核
監控ǶIIA對內部稽核人員之IT知識技能定義為3類Ǻ

第1類：所有專業稽核人員(包括新進人員到稽核主管)必備之IT知識Ƕ基本的IT知識強調瞭
解觀念Ǵ例如應用系統軟體ǵ作業系統ǵ系統軟體及網路管理系統之不同處ǹ它亦
包括基本的IT安全及控制組成要素Ǵ例如周圍實體及環境的安全ǵ入侵偵測ǵ使用
者帳號驗證及對於應用系統控制等ǹ另包括對於上述作業企業是如何控制Ǵ以及作
業ǵ相關支援的系統ǵ網路及其資料流程之脆弱點ǵ對企業目標的衝擊等Ƕ因此基
本上它是強調稽核人員有足夠的知識去關注瞭解IT之風險Ǵ而不需要有很專業的技
術Ƕ

第2類：適用於稽核的管理層級 Ǵ 除了需具備基本的 IT 知識外 Ǵ 稽核人員應瞭解所有的 IT

問題及要素Ǵ充分於稽核計畫中提出如何測試ǵ分析ǵ報告及追蹤Ǵ並對於稽核專
案之要素提供專業技能Ƕ稽核管理人員基本上必須瞭解企業自動化之相關威脅及弱
點ǹ瞭解企業控制及IT所應提供之風險降低ǹ對IT相關的控制及其弱點提出計畫和
監督的任務Ǵ並且對企業的應用系統及環境提供更有效率的IT控制ǹ保證稽核團隊
有足夠的能力進行稽核作業ǹ在稽核測試及評估的過程中確認有效的使用IT工具ǹ
同意測試控制與資訊之計畫及技術ǹ評估IT脆弱點或控制弱點的稽核測試結果及證
據ǹ分析所偵測之症狀及其源頭Ǵ包括計畫ǵ運作ǵ變更或其他風險區域ǹ基於對
企業保證目標的源頭提出建議Ǵ而不是僅報導所發現的問題或錯誤Ƕ

第3類：技術面之IT稽核專家Ǵ雖然IT稽核人員於管理層級需瞭解支援企業的相關技術及其
威脅ǵ脆弱點Ǵ但IT稽核人員也需要專精於某個技術領域之專家Ƕ

64 證交資料579期
 Special Issue

名人講堂
獨立的外部稽核是大多數組織的要求並且每年通常被執行Ǵ 內部稽核部門或審計委員
會考慮的議題包括︰進行財務稽核時Ǵ評估IT系統及其控制ǹ外部稽核人員責任範圍包括

專題研究
檢查IT系統及其控制符合正式的法令ǵ法規要求Ƕ

Ɉ 分析風險(Analyzing Risk)Ǻ

Ʌ 風險決定回應

焦點視界
基於設計的風險管理 Ǵ 控制作業被選擇及實施 Ƕ 當風險經由經驗或正式風險評估被定義
時Ǵ適當的風險回應將被決定Ǵ其範圍將從無控制到使用特別的控制措施(包括保險)Ǵ將風險
降低至可接受的程度Ƕ當考量組織因業務類型不同時Ǵ每個控制的成本效益是無法被證明的Ƕ

Ʌ 決定適當IT控制的風險考量

市場掃描
風險管理應使用於整個組織內Ǵ而非僅是IT應用系統ǴIT不應該被隔離考量Ǵ而應當
作整個企業流程的一部分Ƕ在組織內部控制制度架構下考量IT控制妥適性Ǵ內部稽核主管
應考量管理階層所建立流程Ǵ是否依據以下情形來決定Ǵ包括Ǻ資訊的價值及重要性ǹ每一
個企業功能及流程的組織風險胃納與風險容忍度ǹ組織所面對的IT風險及提供給使用者的
服務品質ǹIT基礎設施(由組織體制內之硬體ǵ軟體ǵ通訊ǵ應用系統ǵ通訊協定與資料組

證交集錦
成Ǵ並包括它們實施的實體環境空間Ǵ以及組織和它的外部環境之間)的複雜度ǹ適當的IT
控制及其所提供的獲益ǹ過去2年內有傷害的IT事件Ƕ

風險分析的頻率是重要的並且受技術變化的影響非常大Ƕ

內部稽核主管及其稽核團隊應該參與分析和評估風險的過程Ǵ當他們保持其功能的獨立
數字機鋒

性和客觀性模式操作時Ǵ也必須對內部控制框架的有效性提供意見Ƕ

Ʌ 風險降低策略

通常有幾種方法減輕風險潛在的影響︰
統計資料

接受風險 - 有些風險是不重要的 Ǵ 因為它們的衝擊及發生的機率是低的 Ǵ 這樣有認知

接受此風險作為企業的成本是適當的Ƕ

消除風險 - 對於此類風險與使用一項特別的技術 ǵ 供應商或者賣主是可能有關的 Ǵ 此

證交資料579期 65
 風險可以透過使用更堅固的產品替換技術和透過尋找更有能力的供應商和
賣主被消除Ƕ

分擔風險 - 風險降低可以與親近得貿易伙伴和供應商分擔 Ǵ 例如轉移實際風險的成本

給保險公司Ǵ以降低風險Ƕ

控制/降低風險 - 當其它的選擇已經被刪除Ǵ合適的控制措施必須被想出並且實施Ǵ以
防止它自己顯示的風險或者使它的影響減到最小Ƕ

Ʌ 考量控制的特性

在 IT 控制評估作業期間有些問題應該被考量 Ǵ 包括控制是有效的嗎 ǻ 它取得預期效果

嗎ǻ混合預防ǵ偵探和改正的控制是有效的嗎ǻ證據(稽核或管理軌跡)是否被保留?等問題Ƕ

Ʌ IT控制的基線

IT控制最廣泛地應用於全部IT基礎設施上被稱為基線控制Ǵ確定IT控制的基線不是容
易的Ǵ因為一般的威脅Ǵ例如惡意的軟體和駭客ǵ更變ǵ新技術和應用系統經常穿越組織實
現Ƕ當選擇一套合適的基線控制時Ǵ下列問題可以被考量Ǵ包括IT政策存在嗎ǻ對IT和IT
控制的責任被定義ǵ指定並接受了嗎ǻ基礎設施相關設備及工具是否安全ǻ防毒軟體是否實
施及維護ǻ防火牆技術是否依據政策實施ǻ內ǵ外部的脆弱點是否評估完成並定義其風險與
適當地解決ǻ是否設置變更及參數管理ǵ品質保證流程ǻ是否建置結構化的監控及服務量測
措施ǻ等問題Ƕ

Ɉ 監控以及技術(Monitoring and Techniques)Ǻ

Ʌ 選擇控制架構(Choosing a Control Framework)

控制架構就是使用結構化的方式去分類控制Ǵ去確認所有的控制範圍皆被適度涵蓋Ǵ組
織採用一種正式的控制架構對於定義及評估IT控制風險的流程有相當大的幫助Ǵ這種架構
應該適用並且被使用於整個組織而非僅是內部稽核Ƕ雖然很多架構存在Ǵ但是沒有一種架構
包含所有可能的企業類型或實施的技術Ƕ

選擇或者建置一個控制架構的流程應該包括組織內有直接控制責任的所有位置Ǵ內部稽
核主管應該參與決定的過程Ǵ因為內部稽核的功能將評估此架構的合適性Ƕ

66 證交資料579期
 Special Issue

名人講堂
內部稽核主管需要有IT風險問題之所有知識Ǵ以便去評估IT控制的有效性及適當性Ǵ
而且風險分析及評估之審視作業無法在一次作業中完成Ǵ特別是使用在IT上Ǵ因為IT技術

專題研究
的改變是持續及快速的Ƕ

COSO (the Committee of Sponsoring Organizations)提供了技術控制的模式Ǵ如圖1.5Ƕ

圖1.5ǵCOSO Model for Technology Controls

Monitoring:
◎Monthly metrics from technology
performance
◎Technology cost and control
performance analysis
焦點視界
Information and Communication:
◎Periodic corporate communications
(intranet, e-mail, meetings, mailings)
◎Ongoing technology awareness of
best practices
◎IT performance survey
◎IT and security training

市場掃描
Control Activities:
◎Help desk ongoing issue resolution
◎Review board for change
management
◎Comparison of technology Risk Assessment:
initiatives to plan and return on ◎IT risks included in overall corporate
investment risk assessment
◎Documentation and approval ◎IT integrated into business risk
of IT plans and systems assessments

證交集錦
architecture ◎Differentiate IT controls for high
◎Compliance with information risk business areas/functions
and physical security standards ◎IT Internal audit assessment

Ʌ 監控IT 控制(Monitoring IT Controls)

數字機鋒

管理層負責監控和評估控制Ǵ而稽核人員的監控和評估作業是獨立進行的Ǵ以證明管理
層所斷言相關控制的適合性Ƕ管理層的控制所進行之監控和評估活動應該被在幾個種類內計
畫並處理Ǵ說明如下︰

進行中的監控(Ongoing Monitoring) -
統計資料

每日/定期的Ǵ一些資訊每日必須被檢查Ǵ以確認控制如所需要的運作Ƕ

事件引發的Ǵ在正常的處理作業或者在特殊情況下(例如價值非常大的交易)所導致的差
異或者甚至詐欺Ƕ

證交資料579期 67
 連續性的Ǵ現今的技術有能力對某些敏感的控制提供連續性的監控Ǵ例如入侵偵測系統
可持續偵測網路事件ǵ防火牆等Ƕ

特別的審視(Special Reviews) -

年度(或每季)控制評估Ǵ雖然董事會被要求發表關於內部控制的有效性聲明Ǵ管理層實際
上必須給董事會提供保證Ǵ並且內部和外部稽核人員必須進行足夠的稽核工作證明這些保證Ƕ

稽核審視Ǵ不管新發展的稽核方式增加Ǵ定期對稽核程式的審視仍然是必須的Ǵ唯有透
過正式審查基礎設施ǵ流程和技術實施Ǵ內部稽核主管才能評估所有內部控制的可靠性和穩
定性Ǵ然而在IT快速變動的世界中Ǵ現在應該依據風險的水平進行稽核審視Ƕ

Ɉ 評估(Assessment)Ǻ

Ʌ 使用那一種稽核方法論(What Audit Methodology to Use)

一種廣泛使用稽核方式Ǵ藉由自動化的系統對重要的商業交易處理流程進行作業分析Ǵ
在這樣的稽核過程中Ǵ稽核人員依據控制來定義活動和資訊Ǵ並且評估現行並提供可靠保護
之控制的能力Ƕ

有經驗的稽核人員將會發展廣博的內部控制知識Ǵ以及他們的力量和弱點Ǵ因此內部的
稽核人員經常對負責設計和實現內部控制的管理層提供諮詢的服務Ƕ過去的40年期間Ǵ管
理層及稽核人員皆同意稽核人員貢獻他們的專業技術去發展流程Ǵ以便確認適當的控制結合
到新的系統中Ǵ比在稽核後發現控制不足而需增加控制Ǵ更能對於組織增加價值Ƕ因此稽核
諮詢及風險為基礎的稽核作業更為廣泛運作Ƕ

今天Ǵ沒有具體的稽核方法論可能被認為是唯一當今最佳實務Ǵ內部稽核人員採用最適
合工作需求的方法和實例Ǵ例如︰當依據沙賓法案進行評估作業時Ǵ以系統為基礎的稽核方
式也許是最好的方法ǹ舞弊的調查也許需要使用稽核軟體進行資料分析及尋找證據ǹ在支援
持主要內部稽核目標所進行之年度稽核作業時Ǵ最可能依循風險為基礎的方式進行Ƕ

Ʌ 測試IT控制和連續性的保證(Testing IT Controls and Continuous Assurance)

為評估IT控制技術的適當性Ǵ規則的審視該控制是否持續符合功能需求是必要的Ǵ傳
統上內部稽核人員使用的方法是建立可以透過業務系統所處理之測試資料並檢查處理結果來

68 證交資料579期
 Special Issue

名人講堂
進行確認Ǵ例如Ǻ該控制持續接受有效的資料並且拒絕錯誤和無效的項目Ǵ然而現在因為業
務系統之廣泛性ǵ複雜性ǵ互動性Ǵ稽核測試傾向於關注於更特殊之自動化關鍵控制上並分

專題研究
析那些資料Ƕ

連續性監控和稽核工具已經被使用多年Ǵ以前叫作嵌入式稽核軟體Ǵ依據預先決定的標
準及所能識別的異常報告Ǵ由業務系統內的程式碼去檢驗被處理的資料Ǵ這樣監控明顯的好
處是任何差異可以被鑑定並且立即對其採取行動Ƕ很多專有的業務軟體產品現下提供這樣連
續性監控的功能Ǵ概念也已經超過商業應用範圍Ǵ例如大多數防火牆產品和入侵偵測系統Ƕ

焦點視界
稽核軟體能夠被使用來分析存儲的資料並且檢查它的有效性Ǵ以確認內部控制運作的持
續性及可靠性Ǵ例如ACL or Case Ware IDEA能提供精密ǵ特別的分析Ƕ

稽核工具也適用於使風險分析的過程自動化Ǵ這些工具對於整個內部稽核功能來說非常
珍貴Ǵ並非僅是IT稽核人員或風險專家Ƕ沒有自動化的工具的幫助Ǵ在今天的複雜的IT環

市場掃描
境內Ǵ進行適當的風險分析是不容易的Ƕ

Ʌ 審計委員會/管理/稽核界面(Audit Committee/Management/Audit Interfaces)

內部稽核主管就內部控制問題和審計委員會一起討論 Ǵ 決定所提供資訊的最佳水

證交集錦
平Ǵ以達到法規ǵ制度ǵ政策ǵ職責或者其它治理目標Ƕȸ評量基準和報告(Metrics and
reporting)ȹ及ȸ稽核報告摘要(Audit Report Summaries)ȹ是內部稽核主管就內部控制方
面Ǵ應當與審計委員會溝通的兩大方面Ǵ進一步的溝通取決於審計委員會和法規或制度的要
求Ƕ

評量基準和報告 - 必須對IT控制狀況提供有意義的資訊Ƕ管理層提供的評量基準和報
數字機鋒

告Ǵ內部稽核主管應能證明其有效性Ǵ並對其價值作出評估Ǵ這可以通過對相關控制領域的
稽核測試Ǵ評估其獨立性和客觀性來實現Ƕ內部稽核主管應當與各階層管理者ǵ審計委員會
等保持聯系Ǵ對所選的評量基準和報告的有用性和效果性達成一致意見Ƕ

稽核報告摘要 - 需定期提供給審計委員會Ǵ它概述了有關 IT控制的調查結果ǵ結論和

意見Ǵ也可以對之前稽核報告同意採取的行動進行報告Ǵ以及這些行動的目前狀況ǶIT控
統計資料

制摘要並不能單獨地提供Ǵ而是包括在整個ā部控制架構當中的Ƕ報告的頻率取決於組織的
需要Ƕ在監控嚴格的環境之下Ǵ如美國沙賓法案Ǵ要求每季提供報告Ǵ其他情況下Ǵ組織的
治理結構和哲學Ǵ以及存在多大程度的風險將決定報告的頻率Ƕ稽核界面如圖1.6Ǻ

證交資料579期 69
 圖1.6ǵAudit Interfaces

Metrics
Assurance
Audit
Committee

Report Summaries Qpinions

Special Requests

Plan Achievement
Management

Queries

Audit Reports Chief Audit

and Responses Executive
Requests Queries

Reports, Qpinions
Plans. Spescial

Plan Status
Audit Work
Validate Metrics IT Audit

Ɉ 結論(Conclusion)Ǻ

Ʌ 評估IT控制是一個持續的過程Ǵ因為企業經營過程不斷地變化Ǵ技術亦在進步Ǵ當
新的脆弱點出現時Ǵ新的威脅也隨之產生Ǵ而稽核方法也在不斷改進Ƕ內部稽核主
管應當將有助於企業目標實現的那些IT控制評估Ǵ提報到最高階的稽核議程內Ƕ

Ʌ 評估 IT 控制並不是要決定是否採用了最佳實務 Ǵ 控制對於組織的使命 ǵ 目標 ǵ 文
化ǵ過程和技術來講都是特定的Ƕ技術應當以能提供有效的控制為準Ǵ內部稽核主
管應當確保內部稽核採用合適並且有效的稽核方法 Ƕ IT 稽核是一個持續的學習過
程Ƕ

Ʌ 內部稽核主管應當了解整個的控制的問題Ǵ並且能夠與高層管理者和董事會有關的
委員會Ǵ以一種他們能夠理解並能有效作出回應的方法和形式進行溝通Ƕ與技術人
員ǵ管理層以及董事會的溝通是取得有效IT控制評估的關鍵Ƕ (下期待續)

70 證交資料579期