1

列入交代

財稅資訊處理手冊

—稽核管理—

財政部財稅資料中心 編印 中華民國九十三年十一月

2

財稅資訊處理手冊 — 稽核管理 目 錄

第一章 資訊稽核業務概述

第一節 業務依據、目的及範圍…………………………… 1

第二節 業務目標與任務…………………………………… 3

第三節 資訊稽核主要概念………………………………… 4

第二章 組織與權責

第一節 資訊作業稽核業務組織…………………………… 7

第二節 資訊作業稽核業務人員…………………………… 8

第三節 資訊作業稽核業務訓練…………………………… 9

第四節 資訊作業稽核業務權責.….………………………… 10

第三章 資訊稽核作業程序

第一節 稽核計畫…………………………………………… 12

第二節 稽核前準備原則………………………….………… 14

第三節 稽核作業程序……………………………………… 16

第四節 執行稽核作業注意事項……………………………. 20

第四章 一般控制之稽核

第一節 組織控制之稽核.………………..………………….. 23

3

第二節 資源與環境管制之稽核....…………………………. 25

第三節 硬體與軟體管制之稽核...………………………….. 27

第四節 電腦設備與檔案管制之稽核....……………………. 28

第五節 資料與作業管制之稽核....…………………………. 30

第六節 安全管制軟體之稽核...…………………………….. 33

第七節 災變回復計畫之稽核………..……………………… 35

第五章 應用控制之稽核

第一節 應用系統管制稽核....……………………………….. 38

第二節 應用系統事前稽核. …………………………………. 40

第三節 批次作業稽核...……………………………………… 46

第四節 網路、連線作業稽核...……………………………… 48

第五節 資料庫稽核...………………………………………… 51

第六章 績效稽核與證實性測試

第一節 電腦設備運用評估..…………………………….…… 53

第二節 應用系統開發成本評估………………………..……. 55

第三節 證實性測試………………………………………….. 56

第七章 稽核文書與稽核報告

第一節 稽核文書製作原則……………………….….………. 58

第二節 稽核報告…………………………….……….….…… 61

4

第八章 內部稽核

第一節 內部稽核概述…………………………..……………. 66

第二節 內部稽核程序………………………….…….………. 72

第三節 稽核證據…...………………………………………… 74

第四節 稽核之規劃……………………..……………….…… 77

第五節 稽核程式.……………………..……………………… 81

第六節 內部稽核部門管理.…………..……………………… 84

第九章 外部稽核

第一節 外部稽核概述………….……………………………. 89

第二節 外部稽核之規劃……………… ……………………. 91

第三節 外部稽核程序..………………………………………. 93

第四節 外部稽核之執行…………………………………….. 95

第五節 外部稽核報告……………………………………….. 98

第十章 附則…...…………..……………………………………. 99

5

第一章 資訊稽核業務概述

民國七十七年十二月編訂 民國九十三年十一月修訂

第一節業務依據、目的及範圍 010101 業務依據

一、行政院 88.9.15函頒之「行政院及所屬各機關資訊安全管理要點」

第三十六條。

二、本部 91.6.24函頒之「財政部暨所屬機關（構）資訊安全管理準

則」第十二章第一節第一條。

010102 業務目的

資訊稽核業務之目的，消極方面，在於查核受檢單位是否切實依照作

業規定及程序辦理，有無疏漏違失，以期及時補救；積極方面，在評

核受檢單位之作業程序與管理是否完善，並提具興革建議，以促進資

訊業務健全發展。故資訊稽核業務之目的可歸納如下：

一、維護健全的作業制度

查核資訊作業單位與業務單位各項資訊業務是否符合相關規定。

二、增進應用控制的功能

對各應用系統之控制功能，經由事前稽核或事後稽核達成防漏，

增進應用控制之功能。

三、增進資訊作業的效益

對資訊業務採取一般控制、應用控制及績效評核等之稽核以增進

作業效益。

四、促進財政資訊業務整體效率

配合內、外部資訊稽核之實施，以促進財政資訊業務整體效率之

提昇。

五、發揮預防、矯治的功效

依據各項業務的稽核結果，檢討資訊處理之缺失，研提改進方案

及建議，發揮預防、矯治之功效。

010103 適用範圍

資訊稽核業務依稽核方式分為內部稽核及外部稽核兩種：

6

一、實施「內部稽核」機關：

本部各單位及本部所屬各機關（構）。

二、實施「外部稽核」機關： (一)本部財稅資料中心（以下簡稱財稅資料中心） (二)國庫、賦稅、關稅、國有財產等各業務督導之權責

機關。

各權責機關並應配合財稅資料中心對其所轄稽徵機關實施

「外部稽核」業務。

010104 各機關資訊稽核單位執行稽核業務，除應事先分瞭解各項有關法令、

管制程序等規定外，悉依本手冊規定實施資訊稽核作業。

7

第二節 業務目標與任務

010201 資訊稽核業務目標如下：

一、資訊安全目標

(一)維護資訊的整合性與精確性

(二)維護組織資產

(三)確保資訊系統運作

(四)預防人為的利誘脅迫

二、處理品質目標

(一)確保資料的完整性

(二)提昇資料的正確性

(三)健全資料處理的管制程序

三、系統效能目標

(一)研判系統設計之功能

(二)確認系統效能之達成

四、作業效率目標

(一)促進應用系統最佳效率之達成

(二)加強（強化）軟、硬體成本效益之評估

(三)增進整體資源之使用達成最佳效率

010202 資訊稽核業務任務如下：

一、資訊作業之稽核

二、新開發規劃之應用系統事先稽核及事後稽核

三、參與應用系統修訂及事後稽核

四、機關內部一般控制之稽核

五、資訊作業單位作業效率之稽核

六、協助內（外）部稽核單位進行各項稽核業務

七、協助資訊作業單位建立資訊稽核環境

八、執行資訊作業專案稽核

8

第三節 資訊稽核主要概念

010301 資訊稽核之範圍係以資訊作業及其相關作業之各項「內部控制」為

主，概略可分為「一般控制」與「應用控制」兩大部份；前者係以

整體資訊作業環境相關之管制業務為其稽核對象，後者則就各應用

系統之處理程序與步驟等管制業務為其稽核對象。

010302 資訊作業「一般控制」之稽核包括：

一、資訊作業業務組織與作業計畫之管制

二、系統發展與文書之管制

三、電腦設備之管制

四、使用設備與資訊檔案之管制

五、設備安全維護、檔案備援與回復作業之管制

六、其他影響資訊作業整體業務之資料管制與程序管制

010303 資訊作業「應用控制」之稽核包括：

一、原始資料之檢核

二、輸入之管制

三、資料傳輸之管制

四、電腦處理之管制

五、資料儲存與擷取之管制

六、輸出之管制

010304 資訊稽核人員實施「內部控制」查核與評估的方式包括對整體業務

的瞭解、遵行測試與系統評估等，由於資訊稽核業務之範圍並非僅

限於資訊作業，故應就資訊作業範圍外之相關管制業務進行評估，

包括：

一、該項業務兼具人工、機器及電腦等作業者。

二、該項業務介於資訊作業單位與業務單位間之作業管制，即包括

資訊作業管制、業務單位作為管制及兩者併同實施的作業管制。

010305 資訊稽核人員完成各項查核作業後，應研擬客觀性之「稽核報告」，

至執行查核作業時，亦應蒐集充分的事證資料以進行證實性測試，

其資料之蒐集可分為整體資料的分析及數值資料的直接查核。

9

010306 資訊稽核作業程序為一有系統的作業過程，客觀的蒐集證據，並採

「遵行測試」及「證實性測試」的作業步驟，俾確定被查核之業

務，其作業過程是否適當，或其數值資料是否與查核文件資料相

符，藉以判定有關作業行為、意見或主張等與既定的標準間之關連

性，最終並提報稽核報告。

010307 資訊稽核作業程序概略可分為七個步驟：

一、初步瞭解階段

二、初步評核

三、查核一般控制

四、查核應用控制

五、評定整體控制功能的可靠度

六、遵行測試

七、證實性測試

010308 資訊稽核作業程序如附表 010308-1

資訊稽核作業程序圖

附表 010308-1

步 驟 作 業 概 述

１ 1.瞭解原始憑證的登錄、資料轉換及報表分

送等流程。

2.瞭解系統運轉作業，潛在需測試的項目。

２ 1.評核內部控制，決定其後查核的方向與深

度。

2.研析不良的內部控制對輸出資訊造成的影

響。

３ 1.蒐集並研析有關的資料。

2.查核資訊作業組織、人員、軟硬體、安

全、環境等管制措施。

４ 1.對應用系統的作業項目與目標進行整體性

的瞭解。

2.查核資料輸入、處理、輸出及檔案等管制

措施。

５ 1.研判內部控制是否值得信賴。 2.依據研判結果以決定繼續或停止查核。

６

1.以抽樣方式查證資料處理過程是否訂定應

有的管制措施。

2.以抽樣方式查證所訂的管制措施是否確實

執行其功能。

3.以抽樣方式查證資訊檔案及程式均在應有

的管制下運轉。

７ 1.蒐集充分的證據以確定其真實性與正確

性。

2.測試比對資料以評定其品質。

是

部分信賴

初 步 評 核

查核一般控制

遵 行 測 試

評定 整體控制功能 的可靠度

查核應用控制

控制制度不可靠

證 實 性 測 試

初步瞭解階段

10

11

第二章 組織與權責

第一節 資訊作業稽核業務組織

020101 各機關業務實施電腦化作業後，為順利有效地施行，有必要建立完善

的資訊作業稽核制度。

020102 稽核功能具有相當獨立的特性，各機關資訊稽核業務得視其組織型態

與需要自行決定納入現有之一般稽核單位內，或另行設置獨立之專責

單位辦理。

一、機關內現行已設置執行一般稽核業務單位者，其資訊稽核業務宜

納入該單位作業。

二、機關內尚無設置執行一般稽核業務單位者，應由機關首長指派具

作業經驗人員，組成專責單位（資訊稽核小組）執行資訊業務。

020103 資訊稽核業務由於其功能特性需機關最高管理階層支持，且包括機關

內資訊作業單位之業務，所以資訊稽核執行單位不宜由資訊作業單位

主管兼辦，實施初期宜由一級單立主管或最高層主管負責。

12

第二節 資訊作業稽核業務人員

020201 各機關進用或選派參與資訊作業稽核業務之人員，應考慮下列諸條

件：

一、具資訊應用系統規劃經驗，且其性向適合稽核工作者

二、具資訊作業素養兼有會、審計素養者，亦優先考慮

三、從事一般稽核業務（內稽核），並有興趣接受資訊作業訓練，且

有信心能勝任新工作者

四、對資訊作業業務有專門技能者

五、資訊作業程式設計人員

六、具資訊作業學歷背景之新進人員

具備上述條件者，尚應考慮具誠實、客觀、勤勉、忠誠及謹慎等處

事態度。

020202 各機關從事資訊稽核業務之員額，應視機關內部組織情況適當調派，

惟員額與其職掌均需以達成健全資訊稽核功能為目標。

020203 資訊稽核業務之實施為期客觀與公允，稽核人員執行各查核作業時，

對年度資訊稽核計畫及專案稽核等，均應以科學的處理態度從事各稽

徵軌跡與作業管制等之研析，俾提具詳實的稽核報告。

020204 資訊稽核人員於實施稽核作業前應充分瞭解各項有關資訊作業環境、

作業管制程序與內容等；稽核期間並應徵詢作業人員意見，以深入瞭

解問題之癥結；惟稽核人員因職務關係對所獲悉之機密資料，亦應負

保密之責。

13

第三節 資訊作業稽核業務訓練

020301 資訊作業稽核業務由於涉及之專業知能至為廣泛，故對資訊稽核人員

應於職前或在職期間有計畫的安排相關訓練課程。

020302 需具有一般的業務知識外，亦應依其職務及實務所需施予訓練。

一、訓練的範圍：

(一)資訊作業部門之組織

(二)電腦作業基本原理

(三)電腦設備作業功能

(四)電腦設備具有之檢核功能

(五)電腦主機、週邊設備與通訊設備之基本功能

(六)應用系統開發設計

(七)檔案設計與處理

二、訓練項目依施訓需求可劃分數階段實施：

(一)初階得以資訊作業基本概念、相關功能、使用方法及可能產生

之錯誤原因等實施訓練。

(二)進階以對各項應考慮、管制需求、實際運作及對稽核工作充分

認識等實施訓練。

020303 各機關資訊稽核人員施訓計畫為期落實，各級職務人員參與訓練課程

應先行制定各層次培訓課目，並將訓練情形完整記載。

020304 各機關資訊稽核專業訓練，除聘請專業人員指導外，得由經驗豐富的

稽核人員採稽核實例解說或輔以研討方式進行模擬稽核，其內容包

括：

一、研讀實例

二、模擬稽核過程

三、研析查核報表

020305 資訊稽核人員平時需隨時吸取電腦與稽核方面新知，並注意機關內相

關業務規定之變革，且經常與權責機關或其他機關資訊稽核單位交換

作業經驗，俾增進資訊稽核業務之完善。

14

第四節 資訊作業稽核業務權責

020401 資訊作業稽核業務實施之權責機關如下：

本部財稅資料中心為財政資訊體系整體規劃幕僚機關，應實施外部稽

核業務，受其查核之機關（構）包括：

一、本部各單位

二、本部所屬機關(構)

020402 本部所屬各機關（構）資訊作業稽核業務權責劃分如下：

一、財稅資料中心

(一)財政資訊稽核相關法令、辦法之研考（修）訂、制度之規劃與

研究設計。

(二)對本部所屬各機關（構）實施外部稽核。

(三)對本部所屬機關（構）年度資訊作業稽核計畫之督考。

二、本部各單位及所屬各機關（構）

(一)資訊稽核政策之建議及相關法令之轉頒實施與研究設計。

(二)機關年度內部稽核計畫之研訂與執行。

(三)所屬各單位「內部自行查證」作業。

(四)督導所屬各單位辦理「內部自行查證」作業。

(五)對所屬各單位業務實施定期稽核。

(六)對內、外部稽核所提改進事項督導有關單位執行，並查成效。

020403 配合資訊作業稽核業者之查核，各機（構）受檢單位應行實施與配合

之作業事項如下：

一、各單位本身應執行之「內部自行查核」作業。

二、配合外部稽核機關及機關內資源稽核單位之查核，指派相關人

員充分協助其稽核作業之執行。

三、凡屬稽核範圍之案卷、簿籍、憑證、紀錄及財物等，非經奉准

不得拒絕查核，非因特殊狀況不得藉故拖延送核。

四、各有關業務主管或承辦人，對資訊稽核人員所提稽核事項，應

及時交換意見，完成初步協調及確認。

五、對內、外部稽核所提應行改進事項，應儘速採取適當措施，切

15

實辦理改進，並依限將辦理情形簽報機關首長及權責機關。

020404 各機關資訊稽核單位應遵照「財政部暨所屬機關（構）資訊安全管理

準則」及本手冊各項規定執行各業務單位內部自行查核一般控制、應

用控制、效率評估等作業。

020405 為發揮資訊稽核業務之功能，資訊稽核人員應掌握業務重點，妥擬各

項查核計畫與程序，憑藉專業知識與良知，本客觀立場及獨立作業的

精神執行任務，並保持謙誠態度，爭取受檢單位的合作，以竟事功。

020406 資訊稽核人員之權責如下：

一、行任務前，應詳細研閱本手冊與有關法規、資料並予靈活運

用。

二、受檢單位有關之業務案卷、簿籍、憑證、資源設備、內部管制

及其工作場所均有查核之權。

三、有關資料、憑證、報表等必要時可予以簽收保留。

四、得向受檢單位及有關人員提出詢問或索取相關審核事項之文件

與證明。

五、得檢討受檢單位之作業績效。

六、對於已失效或不合實際需要之法令、辦法、手冊等，得研究建

議主管機關修正或廢止。

七、對受檢單位所蒐集與瞭解之案件內容、文件資料等，負有保密

（管）之責。

八、發現受檢單位重大業務缺失事項，不負直接糾正責任。

九、不得代表資訊稽核單位向受檢單位為任何之承諾。

十、在提呈稽核報告前，應將有關問題及改進意見先與受檢單位業

務主管協調。

十一、執行稽核時，除有特殊情形應在受檢單位作息時間內行之。

16

第三章 資訊稽核作業程序

第一節 稽核計畫 030101 年度資訊稽核工作計畫：

一、本部所屬機關（構）資訊稽核單位應於下年度資訊稽核業務實施

前二個月策訂「年度資訊稽核工作計畫」，簽報機關首長核定後據

以實施，並於每年十二月底前報請財稅資料中心核備及副知財政

部。

二、稽核計畫應就一般控制、應用控制、績效評估、內部自行查核之

稽核項目及環境改進等掌握下列事項予以策訂：

(一)決定查核項目與範圍

(二)調派稽核人力並適當分工

(三)安排查核進度

(四)蒐集研閱受檢單位各項資料

三、稽核計畫策訂時對研擬稽核之項目應先行檢討其現況、所能使用

之稽核人力，並說明稽核需求列述工作計畫進行之方式與優先順

序。

030102 專案稽核工作計畫：

一、機關首長臨時指示查核之業務，資訊稽核單位應即依作業期限、

業務特性等策訂「專案稽核工作計畫」，俟核定後據以實施。

二、資訊稽核單位對「專案稽核工作計畫」應實施下列事項：

(一)指派稽核人員或組成稽核小組。

(二)安排工作日程。

(三)通知受檢單位，有關專案稽核任務、範圍、作業期間，及所

需之支援或配合事項。

(四)參採有關文件、指示、手冊等。

(五)協調內部或外部特殊支援。

(六)於工作段落間提出相關報告。

030103 各機關資訊稽核單位對「年度資訊稽核工作計畫」與「專案稽核工作

計畫」各有關稽核事項與查核日期等均應先行保密。

17

030104 各機關執行之應用系統均應每二至三年實施稽核乙次；當系統有重要

修訂時亦應列入年度稽核項目。

030105 各機關資訊作業績效之稽核每年均應實施，若無法全面稽核時宜就部

分稽核範圍實施之；全面作業績效之稽核應五年執行乙次；機關內若

有大規模系統擴充、重大人事變動或弊端出現時，均應實施重點或專

案稽核。

030106 各機關資訊作業實體安全與災變防護之稽核，由於作業環境之變遷，

故每年均應列入稽核項目內；災變回復模擬作業之稽核則應查核資訊

作業單位執行該項作業之情形與檢討事項之報告。

18

第二節 稽核前準備原則 030201 資訊稽核業務於訂定各項作業範圍時應顧及下列各要項：

一、應用系統之事前及事後稽核。

二、資訊作業單位一般管制稽核。

三、資訊傳輸等應用管制稽核。

四、實體安全與災變回復稽核。

五、評估硬體及軟體管制功效。

六、採用稽核軟體工具。

前述各項工作均應有明確作業目標，並於工作計畫實施期間適時檢

討查核現況並參考前次稽核有關文書。

030202 資訊稽核單位，於查核作業前首應就工作計晝內各稽核項目之業務性

質，予以歸類以利後續作業之安排，其性質分為下列數項：

一、遵循程度稽核

二、作業效率稽核

三、專家諮詢前稽核

四、專案性質之稽核

030203 應用控制之稽核應蒐集瞭解應用系統作業方式、複雜程度、使用者適

應程度及預期系統管制之可靠性等客觀因素。包括：

一、系統開發係採整體、自行或外包方式作業。

二、使用者處理手冊及系統文書手冊之完善程度。

三、系統開發是否採行可靠品管措施及容參使用單位（人員）之意

見。

四、應用系統功能達成之程度。

030204 應用系統事後稽核作業目標之制訂，需考量下列事項：

一、獨立審查執行中之重要系統，以確認其功能具滿足使用者之需

要。

二、查明系統文書是否標準化及其使用維護情況。

三、系統管制功能在執行上是否有效或依原設計方式執行。

030205 一般控制稽核作業目標之制訂，需考量下列事項：

19

一、作業分工之適切性。

二、電作單位封閉式作業執行狀況。

三、各項正式作業均有紀錄可供追查稽考。

四、資訊作業單位有效採行作業記錄管制措施。

030206 資料傳輸管制稽核作業目標之制訂，需考量下列事項：

一、系統有關單元均經納入登記，且賦編管制號碼。

二、稽核敏感性作業處理之通訊管制功能。

三、檢查終端設備使用之管制。

030207 實體安全與災變防範稽核作業目標之制訂，需考量下列事項：

一、對資訊作業單位及使用終端設備之單位進行實體安全稽核。

二、評估災變防範及回復模擬作業之有效性。

030208 評估硬體及軟體管制功效作業目標之制訂，需考量下列事項：

一、利用系統管制功能所提供之稽核軌跡試行驗核軟、硬體作業之

有效性。

二、查驗程式館管理制度有效管制程式之修改功能。

三、查驗所用安全管制套裝軟體有效執行資料取用管制。

20

第三節 稽核作業程序

030301 資訊稽核作業程序共分七步驟實施（流程詳如附表 010308-1）：

一、初步瞭解階段

二、初步評核

三、查核一般控制

四、查核應用控制

五、評定整體控制功能的可靠度

六、遵行測試

七、證實性測試

030302 初步瞭解階段

一、資訊稽核人員除應瞭解應用系統如何經由原始憑證的登錄、資

料轉換輸出報表的分送及流程外，對系統運轉作業，亦應瞭解

潛在值得測試的項目，並以下列稽核技術執行查核：

(一)審查有關書面文件：包括系統文書、使用者（處理）手冊、

輸入資料說明書等。

(二)與作業人員交換意見：包括資訊使用者、系統分析人員、程

式設計人員。

(三)測試、分析、比較有關之資料或紀錄。

二、為瞭解文件的流程各種訊息除經由與管理階層討論或經由前期

稽核報告或系統文書資料獲得外，並需與程式設計或系統分析

人員驗證。基本上資訊稽核人員應獲取下列訊息：

(一)電腦處理的業務工作名稱

(二)電腦處理該項業務的目的

(三)系統名稱及代號

(四)系統執行工作的日期

(五)使用的電腦機型

(六)資料處理的頻次和方式（批次或線上作業系統）

(七)處理資料的單位及資料庫負責人員

三、資訊稽核人員除應取得各項作業憑證資料（文件）傳遞流程圖

21

外，並應獲取下列資料：

(一)原始憑證的名稱、編號。

(二)所有原始憑證的起始點。

(三)每一原始憑證歷經之部門或人員對其內容從事何項工作。

(四)每一原始憑證的聯單，其去向及流程。

(五)原始憑證傳遞時各部門間之管制。

(六)電腦處理之結果或報表，分送何人或何部門。

若移送電腦處理之憑證資料係來自不同的來源則其傳遞流程尤

應加以註明。

030303 初步評核：

資訊稽核人員應完成下列事項之評核與決定：

一、資訊稽核人員應就電腦處理資料之內部控制與整體控制制度予

以評核，以決定其後查核工作的方向與深度；若判定控制程序

有重大瑕疵，則可中止對控制程序之評核並放棄遵行測試，故

應研究不良的內部控制對電腦輸出造成之影響，據以決定是否

以其他方法執行查核。

二、資訊稽核人員若認為執行遵行測試需付出較高之成本或認為現

行人工作業控制程序已臻理想時，則可不必執行遵行測試階

段。

030304 查核一般控制：

資訊稽核人員應完成下列事項之查核：

一、須深入瞭解資料處理的程序，並明確查證下列問題：

(一)輸入資料在登錄或轉換過程中是否發生誤差。

(二)異動資料的登錄是否均完成核准程序，有無未經授權增刪或

篡改資料情形。

(三)資料處理過程、算術運算、累計總合、檔案比較等，是否發

生錯誤。

(四)輸出之報表是否適時分送予適當的人員。

二、評估一般控制包括下列資料來源：

(一)機關組織圖。

22

(二)標準文書。

(三)有關人員的面談紀錄。

(四)留存之有關參考資料。

(五)事先編製之有關作業控制問卷調查表。

030305 查核應用控制：

資訊稽核人員應完成下列事項之查核：

一、當完成一般控制之各項查核作業後，應進一步對受檢單位應用系

統的作業項目與目標作一整體性的瞭解。

二、查核特定的應用系統時，資訊稽核人員須深入查核該系統的內部

控制，包括下列項目：

(一)資料輸入管制

(二)資料處理作業管制

(三)資料輸出管制

(四)檔案管制

(五)資料轉換管制

030306 評定整體控制功能的可靠度：

資訊稽核人員宜研判內部控制是否值得信賴，並針對特定的應用控制

執行遵行測試，惟可能面臨的情況包括：

一、對於資訊作業某項應用控制失去信賴，導致整體系統內部控制查

核工作停頓。

二、對於某些特定的應用控制功能失去信賴，而其他應用控制功能仍

值得信賴時，則應對失去信賴部份停止查核，惟整體系統的查核

工作仍應繼續。

030307 遵行測試：

資訊稽核人員應會同受查單位完成下列作業：

一、當審查系統文書資料以查核某項應用控制功能時，應瞭解該項

「應用控制」功能的本質，除初步瞭解階段所獲資料外，應再追

踪查核應用系統處理過程中各項有關異動（交易）事項之流程。

二、資訊稽核人員得對所查核的應用系統因其文件完善且稽核軌跡完

整而連貫，則可查核原始資料、管制報表、正誤清單、異動登

23

記、管理報告等，以判定內部控制及資料處理的效能。

三、可對程式執行過程中有關輸入資料（如原憑證）及輸出結果（如

異動登記或報表）等進行查核。

030308 證實性測試階段：

由於證實性測試階段在於蒐集充分的證據，以確定電腦化作業之各項

資料報表的真實性與正確性，故資訊稽核人員應會同受查單位完成下

列五項工作：

一、測試資料並確認處理過程有無發生錯誤。

二、測試並評定資料的品質。

三、測試並確認資料的一貫性。

四、測試並與實地查驗之資料比對。

五、資料的查證。

24

第四節 執行稽核作業注意事項

030401 執行一般控制稽核時，應與有關單位（人員）完成相關查核事項之協

調：

一、資訊作業管理層：

協調稽核範圍、日程及需介入之人員與支援。

二、資訊作業管制人員：

瞭解其所採措施及所依據之方法、程序及標準。

三、系統設計單位：

與其主管或經指定之人員協調以瞭解實際工作狀況。

四、作業（執行）單位：

與其主管或指定之人員協調瞭解實際工作狀況。

五、系統使用單位：

與其主管或指定之人員協調以瞭解工作狀況滿意程度、問題及意

見。

030402 執行應用控制之稽核時，應與有關單位完成相關查核事項之協調：

一、應用系統開發之介入（事前稽核）：

(一).資訊作業管制人員：

瞭解作業人員職責範圍及溝通方式。

(二).系統設計單位：

提出管制需求，討論納入系統之方式及其測試責任。

(三).系統使用單位：

瞭解管制需求與業務功能。

二、應用系統稽核（事後稽核）：

(一).資訊作業管理層：

協調介入之人員與支援。

(二).資訊作業管制人員：

提供該系統之品管紀錄與意見。

(三).資訊作業系統規劃人員：

協助對系統之瞭解。

25

(四).系統使用單位：

提供系統使用狀況說明及意見。

030403 執行應變能力之稽核時，應與有關單位完成相關查核事項之協調：

一、資訊作業管理層：

提供應變計畫及回復模擬作業紀錄。

二、作業（執行）單位：

提供相關作業說明、參與回復模擬作業之紀錄與檢討、人員指

派狀況等文件、協調稽核日程及介入人員。

三、系統使用單位管理層：

協調介入之人員與日程提供對相關應變計畫之意見。

四、政風室及會計人員：

徵詢意見。

030404 為增進稽核對象之瞭解應就查核業務、應用系統及作業狀況等採下列

方式進行：

一、聽取簡報

二、參閱作業說明

三、參閱系統文書、流程圖、程式清單等

四、參閱測試紀錄

五、參閱問題紀錄簿

六、參閱會議紀錄

七、參閱前次稽核文件

八、採用問卷法或直接訪談

九、有系統地蒐集並更新相關資料

030405 瞭解稽核對象在於需蒐集那些資料，向何處尋覓及如何取得、確認、

整理等；其要項如下：

一、掌握重點方面：

(一)瞭解環境及活動狀況。

(二)能判明稽核時何處需注意特別之技術。

(三)能判明稽核時何處有蒐集證據之困難。

(四)能提供設定細部稽核之基礎。

26

(五)能提供計畫稽核人力之基礎。

二、需顧及之要項：

(一)確認所瞭解為確實無誤。

(二)有效保留已有之瞭解。

(三)有效利用已有之瞭解。

(四)有效控制所掌握之文書數量。

030406 資訊稽核單位與其他單位接觸之要領如下：

一、預為約定接觸之目的、範圍、人員與時間。

二、每次接觸前應有充分之準備。

三、尊重其工作時間及行為標準等約定。

四、保持客觀獨立態度。

五、不隨意表達對人或事之批評。

六、態度謙和。

七、避免可能導致誤解之意見。

030407 對查核業務之各項管制措施應認定其管制需求，即在作業制度或糸統

流程中掌握管制點，就基本功能、各別職務、相關動作、作業型態、

異動種類等建立管制需求清單。

030408 對專案稽核應認定下列管制需求：

一、與一般性的管制需求先行劃分。

二、將有關連性的作業程序或能提供計畫稽核人力之基礎。

三、就作業中可能差誤之主體依邏輯歸類方式認定其管制需求。

四、於暸解稽核對象時利用已建立之基本管制需求，及稽核人員專業

知識認定其管制需求，並將之整理文書化。

030409 實施稽核之目標，應為下列項目之考量：

一、確認作業管制之適切性，即依控制之有效與否以核對作業過程

中之差誤，確認其可信度。

二、辨明各項運作及管理決策是否受其影響，造成潛在之危機。

三、指出弊端可能造成之危害。

四、指出實質之損害。

27

第四章 一般控制之稽核

第一節 組織控制之稽核

040101 對機關內資訊作業單位與業務單位所實施之各項異動作業其權責之劃

分，應注意下列事項之稽核：

一、交易（異動）事項之核准、執行及登錄等之工作劃分。

二、業務單位對錯誤之處理與通報須負更正的責任。

三、資訊作業單位不得越權擅自更改非屬其作業錯誤之資料。

040102 對資訊作業單位內部作業權責之分工，應就下列事項提出稽核意見：

一、每位員工責任之歸屬均應依其職務工作說明執行業務。

二、職務分工須明確區分，以防止不正當刪改資料之可能性，亦即

系統分析、程式設計、系統執行、電腦操作、程式館管理、檔案

管理、作業管制等各項工作，分由不同的人員擔任。

三、作業管制人員對資料輸入、處理、輸出、分送等作業須負責監

督是否正確處理。

四、系統作業程序手冊或文書等對各職務所擔負之權責均完整地納

入。

040103 對資訊作業單位人事管制之範圍應就下列事項先行瞭解以利稽核：

一、對功能與組織、進用與派工及考核等人事計畫之安排。

二、人員技能與對安全管制之訓練。

三、人員職位與責任配當。

四、業務牽制與分立。

五、資訊作業內部功能及業務功能界面之作業授權。

六、輪替需求、升遷管道、安全顧慮、強制休假及報告管道等人事

之安排。

040104 對資訊作業單位人事管制執行稽核時可要求下列事項：

一、人力充分，技能適切以執行任務。

二、組織內建立有效之管制功能。

三、對各管制範圍之項目，有建立方針，說明程序與方法，設立標

準與需求，並予文書化。

四、對各管制程序及標準之有效溝通與教育，並確實執行。

28

五、對各管制程序及標準之偏差列有紀錄及分析改進。

29

第二節 資源與環境管制之稽核

040201 資訊稽核單位對資訊業務相關資源之種類與其管制範圍等均應廣泛蒐

集資料，並深入暸解研析其作業運用情形，俾對資源與環境管制業務

等實施稽核。

040202 資訊業務相關資源之種類包括下列主要項目：

一、電腦主機、週邊設備及分散之終端設備。

二、設施及電信設備。

三、軟體及媒體。

四、表格及文件。

五、消耗品及備用品。

六、資料。

040203 對資訊業務相關資源之管制應就下列範圍進行暸解：

一、資源取得：經由「技術、規格訂定與審查」及「採購程序、安

置程序」等取得資源管制措施。

二、資源分派：暸解資源分派係為一般作業使用或備援用。

三、資源使用：暸解資源尖峰需求、使用率及使用品質。

四、資源之貯存：提供一般作業使用或備援用。

五、資源之更新：係屬計畫作為或造成浪費。

六、資源之維護。

七、資源之保全。

040204 對資訊業務資源管制之稽核可要求下列事項：

一、對各資源種類均曾就其管制範圍內有關事項進行研討，制定標

準以供執行或比較。

二、資源管制措施應以有效供應作業為著眼。

三、資源管制措施應達到需用者均足使用而又未造成不必要的閒置

與浪費。

四、週轉性資源需求，均經派有管制人員查驗其貯供、使用之情

況。

五、建立需求計畫以有效管理資源。

六、合理要求資源之品質。

30

七、備援用資源應經納入管制。

八、資源之使用均有記錄；管制項目均設立有效之使用情況分析程

序。

040205 為防範水、火、溫濕度、震動、電力、磁力、曝露、侵入及破壞等造

成資訊作業環境可能之損害，故資訊稽核單位對環境管制之範圍，應

瞭解下列事項：

一、設備所在環境

二、作業場所環境

三、災害管制、損壞管制

四、擷取管制

五、一般安全防護

040206 資訊作業環境管制對象之稽核應掌握下列要點：

一、建築物及基本設施對水、火、震、磁及幅射之預防與隔絕

二、電腦機房結構及溫、濕度調節

三、登錄人員使用之設備、桌椅及光度

四、工作場所之進出

五、文件、資料、媒體、供應品之存放、傳送

六、電力供應與備援

七、人員救援訓練

八、通訊設施保全

九、終端設備作業環境

040207 對資訊作業環境管制執行稽核時，可要求下列事項：

一、對各環境中之威脅均曾研析並採行對策。

二、對各管制對象之安全要求均制定標準並執行。

三、對所發生異常、變故、事端、問題均曾記錄、解決並改進。

四、對環境管制之責任經合理分派並建立程序，且要求有效遵行。

五、對「環境安全人人有責」觀念之灌輸及施訓。

31

第三節 硬體與軟體管制之稽核

040301 資訊稽核單位對資訊業務相關硬體管制之稽核，應就下列管制範圍進

行瞭解與掌握：

一、設置項目與成本

二、能量

三、使用率

四、可用度

五、故障與維修

六、成長需求與計畫

七、更動之管制

040302 資訊稽核單位對資訊業務相關軟體管制之稽核，應就下列管制範圍進

行瞭解與掌握：

一、功能與成本

二、適用程度

三、使用情況

四、技術支援之有效性

五、更動之管制

六、整合程度

040303 對資訊業務相關軟、硬體管制執行稽核時，可要求下列事項：

一、經建立軟、硬體目錄及相關資料。

二、各別負責管理人員之職責明確。

三、更新程序及記錄經文書化且具管制。

四、對可用度及使用率有掌握。

五、對問題之記錄、分析及解決程序應有效。

六、使用人員經適當訓練且備有使用說明。

七、使用人員經合理限定，擷取管制經有效執行。

八、具管制功能之軟體（作業系統、系統軟體）及硬體經充分利

用。

九、系統軟體的需求提出、核准、修改等完成正式的管制程序。

32

第四節 電腦設備與檔案管制之稽核

040401 各機關電腦設備與系統文書之使用由於應限由經核准之人員方得使

用，故資訊稽核單位對下列要項應提出要求：

一、電腦機房有完善健全的安全管制措施，包括警衛人員、內鎖及

安全的儲存設備。

二、資訊作業單位主管或其他管理人員定期查核設備使用報告及控

制台記載事項。

三、電腦機房各項工作均排定時間表，並比較「預定」與「實際」

工作之情形。

四、程式文書須因執行職務方得於經核准後交由與職務有關之人員

取閱。

040402 對資訊業務檔館管制之範圍與目的等，於執行稽核前應對下列事項先

行瞭解：

一、檔館範圍

(一)操作系統

(二)套裝軟體

(三)應用軟體

(四)主檔、交易（異動）檔、中間過程檔

(五)系統、程式及作業說明文書

(六)程式館、工作指令館

(七)在館文書

二、管制目的

(一)適切之保留期

(二)有效備援

(三)擷取與更動之控制

040403 對受檢單位檔館管制之稽核應掌握下列事項：

一、設定標準保留期、版數、份數

(一)法令需求

33

(二)作業需求

(三)回復需求

二、保留地點與版次更替安排

(一)在館保留之磁帶館、磁碟館

(二)外地保留之文書、媒體

三、安全顧慮與措施

四、保留檔館之可用性與使用

(一)定期使用

(二)測試性使用

五、檔館之傳送安排

六、管制措施及程序之文書化

七、管制措施成本掌握

040404 資訊稽核人員得經其單位主管之核准，進入電腦機房逕行對主機運轉

操作作業，實施突檢性稽核，以防杜電腦設備或檔館不當（法）操作

之弊端。

040405 對檔館管制作業執行稽核時，可要求下列事項：

一、應建立制度

二、經文書化

三、經試行

四、對各類需求有週全之考量

五、成本合理、效益明確

六、擷取更動之管制經有效執行

34

第五節 資料與作業管制之稽核

040501 資訊稽核單位實施資料完整性管制之稽核，須對資料完整性可能之威

脅，造成受損之手段、實體、媒介及其保障之方法等均應於稽核前或

查核期間充分瞭解與掌握。

040502 機關內資訊業務對資料完整性造成威脅之可能項目包括：

一、資料錯誤、漏失

二、不誠實的業務人員

三、火患、水患等災害

四、不滿之員工

五、失竊及外來人員造成之損害

040503 資訊稽核人員對資料完整性受損之手段應分析資料係屬未經認可而更

動、曝露，或經由蓄意損毀，或非蓄意之錯失所造成。並查核是否造

成完整性（含正確性）或隱私權之損害。

040504 資訊稽核人員應瞭解資料完整性受損之實體係屬紀錄（文件）、檔案

（內容），或輸出之資料、文件等；並就下列事項研析資料受損之原

因所在：

一、機器、設備

二、程式或程序

三、組織與行政措施

四、實體之保全

040505 對受檢單位資料完整性所採之保障措施進行稽核時，應要求下列事

項：

一、設立程序，管制各媒介之正確與有效。

二、採用套裝程序協助管制。

三、對人員之管制。

040506 對受檢單位資料完整性管制之稽核，應要求下列事項：

一、一般標準、程序及規定應明確。

二、臨時性規定或指示，應有記錄並加強管制。

三、資料之加入及改正應充分檢核。

四、有效防止人為竄改資料。

35

五、防制程式錯誤。

六、資料要能有效識別，對應至原始文件。

七、資料貯存與傳輸應要求保全。

八、資料在檔案中之狀況，須有效檢驗。

九、資料之擷取應受管制。

十、作業時之計畫應顧及可能之系統偏失：

(一)多程式同時使用同一檔案之管制。

(二)作業系統軟體間之銜接。

(三)兩系統銜接時，其間之同步控制。

十一、對並行功能之管制應有效，以避免：

(一)實際資料用來測試、訓練或偵錯。

(二)作業進行中之維修。

(三)系統中特別之資料傳輸安排可能出錯。

十二、資料重建之管制，應考慮下列狀況：

(一)停電後之重建

(二)列印工作之補全

(三)暫貯性資料之損毀

十三、對系統規劃及程式設計人員之指導，應要求注意資料管制功能

納入設計。

十四、各項管制對威脅與手段之防制效力應加分析，並檢討改進不週

之處。

040507 對機關內資訊業務各項作業管制之稽核，應對其管制範圍進行下列事

項之瞭解：

一、派工與職責

二、工作時序、記錄

三、與業務單位協調服務水平及作業方式、期間

四、錯誤之提報與解決

五、作業標準與品管

六、程序與文書化

七、支援需求

八、作業場所紀律

36

040508 對受檢單位各項作業管制之稽核，應要求下列事項：

一、作業細節程序化及文書化。

二、作業經計畫及安排，並排除不必要瓶頸。

三、作業經記錄，並經保留供查考。

四、作業效率達一定水平。

五、作業問題經有效解決。

六、業務單位與相關單位間能有效溝通。

七、作業管制經有效執行。

37

第六節 安全管制軟體之稽核

040601 資訊稽核單位對資訊作業單位各安全管制軟體應要求提供管制功能等

資料，並應對其軟體一般管制功能進行下列事項之瞭解：

一、監控或介入有關電腦系統之內部活動。

二、判別有否違規或異常。

三、制止違規進入或擷取資料。

四、提供即時訊息以供人員執行管制。

五、提供記錄資料（如管制記錄Ｌｏｇ）。

六、提供分析、挑錄及列表能力，以產出各式報告。

七、提供一些特殊指令，以供管制之執行或建立，變更管制結構。

040602 資訊稽核人員應透過下列途徑對各安全管制軟體之環境進行瞭解：

一、何單位（人員）主管該安全軟體之實施。

二、何單位（人員）負責該安全軟體之技術部份，職責如何。

三、有否界定各項資源（資料庫、檔案、終端設備）等之使用權。

四、負責人員有否對資源之保密需求區分等級。

五、有否依所區分之等級建立管制架構。

六、該安全軟體有關作業原則有否書面化、經核定，並教育有關使

用者。

七、有否設立增、刪、改變既定管制結構之程序及核准層次。

八、有否對相關程序進行驗核，並對執行狀況進行檢討。

九、授權、核判過程之記錄與管制是如何進行。

十、如何分發通行碼或識別碼。

十一、通行碼、識別碼更改之處理過程如何作業。

十二、對使用者有那些特殊授權，如何管制。

十三、設備之使用如何管制。

十四、緊急情況時如何變通。

040603 資訊稽核人員與資訊作業單位管理人員進行安全管制軟體之瞭解時，

應注意下列事項：

一、何人整理提報有關安全管制之狀況，其內容為何。

二、何人何時參閱何類管制報表。

38

三、管理人員對違反管制約定者採何反應措施。

四、資訊稽核人員可從管制環境中取得那些授權，以進行其必要之

工作。

五、軟體中是否有那些工作指令是專供資訊稽核人員使用。

六、安全管制系統中各類管制紀錄之保存及貯備期限，能否適應稽

核所需。

七、稽核軌跡以何種形式存在，如何安排運用。

39

第七節 災變回復計畫之稽核

040701 機關內資訊業務於制訂災變回復計畫時，應就下列災害所及之可能範

圍通盤考量：

一、各別作業端點

二、資訊作業各別功能之辦公處所

三、資訊作業設施與設備

四、主要辦公處所

五、局限性區域

六、廣大區域

040702 資訊稽核單位對資訊作業單位制訂應用系統回復措施時可提出下列應

注意之事項：

一、掌握全部作業中系統及其個別資源需求。

二、瞭解其作業型態，輸出及其頻次與機關責任之關連。

三、分析對系統停頓久暫之所能承受程度，及相關可能損失。

四、建立回復需求之優先順序。

五、溝通回復措施中之特殊管制需求。

040703 對資訊作業單位應用系統回復之要素可要求下列事項：

一、資料

(一)法定保存年限

(二)為一般回復之保存安排

(三)為災變回復之保存安排

二、系統程式

(一)作業中系統程式之全套拷貝

(二)回復用系統程式

(三)相關說明文書

三、程序

(一)作業說明及必要之一些程式程序的配合修訂

(二)與設備之關連性說明

四、人員

(一)回復人員組織方案、職責

40

(二)回復人員連絡及備援

五、設備

(一)基本能量及二個以上機關分用時之安全顧慮

(二)作業時段安排及主機設備之適用性

(三)電信設施與原有連線網路之關系

六、其他

(一)作業用表單之供應

(二)交通支援

040704 對應用系統回復計畫實施稽核時，可要求下列事項：

一、計畫經使用者參與且經分析後核定

二、計畫經核可

三、計畫細節文書化

四、計畫細節之相關人員經溝通與訓練

五、計畫細節經試行及檢討

六、計畫要適切、具可行性

七、計畫中管制措拖之恰當

040705 對業務永續運作計畫實施稽核時，應注意下列事項：

一、有否評估各種災害對業務可能衝擊

二、人員

（一）人員責任界定是否明確

（二）緊急應變措施之安排是否周延

（三）辦理教育及訓練是否確實

三、是否訂定下列程序與計畫：

(一)緊急應變作業程序

(二)預備作業程序

(三)回復作業程序

(四)測試作業程序

(五)測試緊急應變計畫

(六)定期更新緊急應變計畫

四、其他

(一)建立資訊安全事件正式通報程序及管道是否周延

41

(二)訂定通報之後應採行之行動及措施，相關承辦人員是否明瞭

42

第五章 應用控制之稽核

第一節 應用系統管制稽核

050101 資訊稽核單位對應用系統各項管制業務應負下列責任：

一、負有稽核之責任

二、需有劃清職責範圍之義務

三、需參與管制需求之界定

050102 為建立應用系統之可稽核性，資訊稽核人員應注意下列事項：

一、應用系統主體

二、業務單位與業務功能

三、電作業務之管制

四、管制之適切

五、資料之完整正確

六、程序之遵守程度

七、目標之達成程度

上述四至七項應具佐證，俾提出相關之意見。

050103 對應用系統之稽核應分下列三階段實施：

一、「審查管制措施」階段：

(一)判明何者可能出錯

(二)認定何者需要管制

(三)審查系統所用之管制

(四)審查相關人工管制

二、「測試管制措施」階段

三、「評估管制績效」階段

050104 資訊稽核人員執行應用系統之稽核步驟如下：

一、訂定稽核目的

二、瞭解系統概況

三、確定業務目標

四、認識實質危害

43

五、掌握管制結構

六、分析環境因素

七、研判可能錯誤

八、辨明所用管制

九、選定、測試主要管制

十、檢視其他管制

十一、評估管制績效

050105 資訊稽核人員應就應用系統之防制、偵錯及矯治等功能評估其管制之

有效性，評估過程中需對各別管制點進行，最後並對系統或制度進行

整體評估。管制之有效性可分為四等級：

一、可靠之管制（充分滿足需求）

二、有效但不足（是針對管制需求，但尚不充分）

三、有管制但無效（非針對原需求）

四、無管制

44

第二節 應用系統事前稽核

050201 資訊稽核人員進行應用系統「事前稽核」時應瞭解系統開發過程與資

訊稽核業務間之相關性，即需瞭解設計之品質，及其管制措施，以利

稽核。

050202 各機關資訊稽核單位若派員參與應用系統開發工作之「事前稽核」作

業，其參與處理之原則如下：

一、不得為任何項目主辦人員。

二、可為協辦人員：

(一)訂定管制需求。

(二)依管制需求決定管制措施。

(三)研析可能問題及風險。

三、可為審核人員：

(一)系統概略流程。

(二)系統細部流程與關鍵性之計算公式。

(三)輸出之規劃。

(四)資料庫需求之規劃。

(五)與管理層及使用者檢討系統功能。

(六)訓練計畫。

(七)作業導入計畫。

050203 系統開發過程中資訊稽核人員應關注之範圍與目標如下：

一、系統規劃：明確可行。

二、開發之管制：適切有效。

三、程式及程序中查驗功能：充分、適切。

四、資料管制：適切。

五、系統測試：資料恰當、執行精確。

六、系統文書：設立與維護。

七、檢核程序：適當安排。

八、使用者手册：充實、適用。

九、系統安裝：精確。

45

十、人員訓練：適切、及時。

十一、系統可靠性：有保障。

十二、發現之缺點：被注視及改善。

050204 應用系統規劃階段，資訊稽核人員應關注下列事項：

一、對開發工作之管理，己有組織（小組）且己訂立職責。

二、作業時程及資源需求己納入計畫。

三、系統目標功能明確。

四、資訊稽核之需求（如：有效管制措施及可稽核性）均被納入範圍

內。

五、開發階段之管理，有合理計畫。

050205 應用系統規劃階段應就下列事項提供部份稽核意見：

一、其內部檢核功能及軌跡應完備。

二、作業正確性應充分管制。

三、系統之效益分析應正確與恰當。

四、系統達成目標之可能性。

五、配合稽核功能之所需，應納入考慮。

六、應具備系統未來更張之彈性。

七、對系統效能之評核意見。

八、對系統管理計畫之評核意見。

050206 應用系統（程式）設計規劃階級之稽核，應提出下列事項之要求：

一、對規劃原則及方向與前定之系統功能不符時，應經討論認可方得

變更。

二、對所需求之檢查、管制應納入規劃。

三、遵循規劃要領或既定之規劃標準。

四、所規劃之作業方式，能滿足既定之效益需求。

五、應儘可能利用流程、格式、處理邏輯與層次結構及簡明文句等適

當工具表達作業細則。

六、應有條理的以文書敍明下列各項：

(一)輸入

(二)處理

46

(三)輸出

(四)資料貯存

(五)資料管制

(六)作業程序

(七)作業管制

050207 應用系統測試階段之稽核，應提出下列事項之要求：

一、以正確方式準備測試資料，並宜包括：

(一)系統所有可能出現之狀況及一切錯誤情況。

(二)由二組以上人員準備。

(三)有二種以上來源，避免僅取現有業務資料。

二、對各測試資料應準備其預期測試結果，若測試之實際結果不符，

應能找出真正原因。

三、測試結果若在資料檔案中，應能列出或以其他方式表示，以供驗

核。

四、有關錯誤之改正，應檢視是否造成附帶影響。

五、最終應就己分別測試無誤之部分，串接測試。

六、與其他系統介面部分，亦應有相關測試。

七、異常與應變功能應納入測試。

050208 應用系統文書之稽核，可提出下列事項之要求：

一、文書應依標準建立充分內容，並依規範使用統一之表格。

二、系統於正式作業前，文書均應己建立完善。

三、應依系統文書管理制度，設立系統文書館。

四、文書應適時維護更新並有更動記錄。

五、文書應有可讀性及可用性。

050209 應用系統程式設計與測試階段，資訊稽核人員稽核時，除需檢視程式

中之驗核功能是否充分適切外，並應把握下列原則：

一、若對程式設計說明己充分掌握，需檢視系統測試結果所應關注部

分，而不必對實際程式設計工作進行稽核。

二、瞭解資訊作業單位對設計工作之管制，若有下列措施應屬充分：

(一)程式設計及測試有一定之方法及程序，且己文書化。

47

(二)程式設計及測試程序中，有適當之查核。

(三)系統規劃與程式設計人員間，有充分之連繫與溝通。

(四)程式設計期間，系統之修訂均經管制、記錄，並納入系統文書

中。

(五)開發中程式與正式執行作業程式間己分開管理者。

050210 資訊稽核人員對應用系統各項手册之審查，可要求下列事項：

一、有關系統文書，除應有設計文書外，應有操作手册（電作人員

使用）及使用單位手册。

二、手册應儘可能分別整理，以適合下列人員使用：

(一)系統之維護（主辦）單位。

(二)登錄資料人員（連線作業部分）。

(三)資料整理人員。

(四)資料管制人員。

(五)電腦操作人員。

(六)操作管制人員。

(七)資料庫管理員。

(八)程式館管理人員。

(九)報表管理人員。

(十)送件人員。

(十一)網路管理、監控人員。

三、手册應包含應變措施及回復措施等程序，並說明相關管制。

四、手冊應簡明適用，並有效更新。

050211 應用系統相關訓練之稽核，可要求下列事項：

一、有關訓練人力、設施、教材需依計畫實施。

二、訓練時機，宜安排在作業導入前。

三、宜安排實際的相關業務作業狀況施訓。

四、儘可能對所有相關業務人員施訓。

五、後進人員或調任人員亦應安排適當訓練。

六、異常處理與應變回復之處置等亦應納入訓練。

050212 新規劃設計完成之應用系統實施前有關資料、檔案之轉換，資訊稽核

48

人員可要求下列事項：

一、資料轉換需為系統開發計畫項目之一，並納入管制。

二、實際轉換工作需有細部計畫。

三、相關程序、程式需經規劃列明細則，尤宜包含有效之查驗管

制。

四、整體程序應考慮資料在轉換後及正式作業接續前有關之更新需

求。

五、有關轉換程式亦須經完整之測試。

六、若資料需經人工整理另行錄入，則作業人員對一切程序應瞭

解，並接受必要訓練及監督。

七、若部分資料需經人工整理後併入其他資料檔案，宜注意偶合之

要求及兩組資料時間基礎是否一致。

八、有關轉換過程，資料管制應嚴格要求。

九、作業過程出現誤失，宜立即提報管制解決，另對受影響之資料

亦須完成清理。

十、系統開始作業前，宜列印全套在檔資料，供必要之參考，並至

少複製一份檔案。

十一、新建立檔案之正確性檢查，應指定最適人員為之。

050213 資訊稽核人員對應用系統安裝計畫及系統實際導入作業，應實施下列

事項之稽核：

一、應有安裝計畫以作為系統導入管理及執行之依據。

二、安裝計畫應列明：

(一)階段區分，期間與資源配置。

(二)所用方式。

(三)異常事項之處理，及應變措施之安排。

三、系統導入若採併行方式作業，可要求下列事項：

(一)併行作業選定期間之適切性，以利較完整之測試。

(二)其查驗工作是否澈底。

(三)對錯誤原因是否掌握。

(四)系統更正之管制與再測試是否完善。

49

(五)發現錯誤不妥而決定暫緩更動時應敍明理由，若影響作業其

權宜措施是否恰當。

(六)系統作業單位之介入及對管制程序之試行是否適切。

050214 對應用系統開發完成後導入正式執行階段，各項客觀條件之稽核可要

求下列事項：

一、保持合宜之客觀條件，不宜以捷徑方式或勉強導入作業。

二、人力充分及組織結構適宜。

三、觀念充分溝通消除導入之阻力。

四、安排設備且經測試合用，並須滿足系統需求。

五、合理評估導入之資源並減少其浪費。

六、導入初期監督工作己予計畫，並劃分職責。

050215 應用系統正式執行階段之稽核，可要求下列事項：

一、應用管制措施，己確實執行。

二、有管制責任之相關人員，不得推卸責任。

三、管制過程發現之問題，均經檢討並採相應之措施。

四、系統及程式設計人員在執行初期（首次試辦作業），對系統執行

情況提出檢討及報告。

五、系統使用單位在執行初期，對系統運行情況提出檢討及報告。

六、一切改正過程均經記錄、溝通及再檢討。

七、特殊經驗及結論，應經整理納入相關規範或指導原則中，以供

其他系統參採。

八、改正過程中，相關文書均經改正。

九、系統正常運轉後，應檢討其效益，並提報告。

050216 應用系統凡採外包方式從事開發者，資訊單位應於系統外包前將「系

統外包需求書」提供資訊稽核單位完成相關管制措施之稽核；嗣應用

系統安裝正式執行前，其有關文書除須經使用單位、資訊作業單位複

核外，亦應經資訊稽核單位主管複核。

50

第三節 批次作業稽核

050301 對輸入作業之管制執行稽核時，可要求下列事項：

一、相關授權及適當的作業牽制。

二、作業時程合理，能滿足資料時序要求。

三、作業量之配置與人力供應能與設備尖峰負荷量配合。

四、所採格式適用，且能減除重複的記錄工作。

五、連動交易之管制，不應被忽視。

六、通報表格應加編號且控制使用。

七、輸入資料能適當地與原始交易憑證或文件對應關連。

八、媒體輸入之檢核應有效的管制。

九、資料整理過程中其分批、標符、裝訂等作業應配合管制之需，

提供計件、加總等檢核功能。

十、對管制需有效地滿足「該輸入的都正確地輸入了，不該輸入的

或錯誤的經排除」之條件。

050302 對處理作業之管制執行稽核時，可要求下列事項：

一、電腦作業結果，與他項具獨立性之數據作必要之檢核。

二、於必要時對於處理過程之回溯，應能提供貫性之稽核軌跡。

三、對異常及錯誤應提供所需訊息以供更正及管制。

四、更正應經授權並經管制，且應留下紀錄。

五、媒體之運用應留下必要之稽核軌跡。

六、處理之安排應考慮到異常及應變措施。

七、經常性處理應定期提具作業報告，臨時性處理經授權並有管制

紀錄。

050303 對輸出作業之管制執行稽核時，可要求下列事項：

一、輸出表格、格式應經使用單位同意，對需限制使用及保密部

分，其輸出之安排、分配與使用之管制，均應適切。

二、對列示錯誤及異常情況之輸出安排，其列示格式及核正 程序

均應配合管制之需。

三、格式及程序宜具彈性，以適更動之需。

四、有關作業記錄及稽核軌跡，均應為輸出管制之部分。

51

五、檔案輸出與傳送應考慮備援，以供作業異常時代之。

六、檔案輸出、貯存與傳送應有保全措施。

52

第四節 網路、連線作業稽核

050401 各機關內由於使用網路及終端設備指揮批次作業及程式設計等作業，

故有關從事查詢、輸入、更新、擷取控制之稽核，資訊稽核人員應提

出下列事項之要求：

一、使用者均有識別碼及通行碼供識別驗證之用。

二、通行碼均以「機密」加以管制，並經常（至少每半年）予以更

新。

三、識別碼配合作業等級予以區分。

四、敏感性作業之終端機宜採專線接通。

五、終端機需鑰匙或經管制者同意方得使用。

六、嘗試進入或接通系統失敗次數，應加以設限。

七、終端設備使用狀況應有記錄及分析。

八、設有專人監管終端作業狀況。

九、對接通後最長使用之時間及最長閒置時間均加以設限，並有再

行驗核及自行關閉之措施。

十、敏感性資料之傳送或貯存，應有適當之加密處理。

十一、管制所發現之異常及弱點，應檢討及改進。

十二、管制應不碍作業之正常運作。

050402 各單位使用網路及終端設備從事連線查詢作業，資訊稽核人員除應依

050401有關管制之要求外，尚應注意下列事項之稽核：

一、所查詢之資訊範圍均經授權。

二、系統應有效提供必要之檢索功能。

三、查詢所獲資訊，應能證明為必要之查詢。

四、回訊時間應合宜。

五、設備配置應適切。

050403 各單位使用網路及終端設備從事連線輸入作業，資訊稽核人員除應依

050401有關管制之要求外，尚應注意下列事項之稽核：

一、交易授權文件記錄、收集、整理等屬使用單位作業範圍者，同

一般控制稽核之要求。

二、輸入工作應有資料正確性之驗核及作業管制。

53

三、作業管制至少應包含輸入資料及重要項目之總數，必要時應有相

關主檔之驗核數。

四、使用單位應維持管制記錄，以供驗核。

五、應有效防止輸入之缺漏或重複，並驗核資料之正確性。

六、作業方式轉變或作業設備變更應經授權。

七、若需即使更動錯誤資料應考慮登錄或終端作業人員之權限。

八、資料更動狀況應有記錄，且有充分稽核軌跡。

九、系統中斷之接續，應簡便無誤，並考慮各種可能狀況。

十、接續作業期間，各項管制數字應避免誤歸。

十一、接續中止回到原處理狀況時，管制功能之回復應十分確實。

050404 各單位使用網路及終端機從事連線更新作業（直接更新），資訊稽核

人員除應依 050401有關管制之要求外，尚應注意下列事項之稽核：

一、應建立交易（異動）記錄檔及輸入明細檔。

二、應有檢核點之安排。

三、更新處理時，應有驗正。

四、對發生錯誤之可能影響及如何改正等應研訂相應措施。

五、更新前之主檔資料應予記錄，以利還原之需。

六、作業中斷各種回復狀況應研訂對策，預為安排必要之設備、訓

練、試行及評估。

七、應提供稽核軌跡，且能供隨時查調。

050405 資訊作業單位使用網路及終端機設備從事連線程式設計作業，資訊稽

核人員應注意下列事項之稽核：

一、應經授權及查驗，才能接通系統。

二、設計過程之測試應與正式作業之時段分離。

三、設計過程若採用一些系統軟體特殊指令時，應受管制。

四、應依規定使用機器，以免浪費能量。

050406 各機關連線作業之安全管制，資訊稽核人員實施稽核時應要求下列事

項：

一、保全措施，以防止設備受損及不正當之使用。

二、應經判定作業尖峰及瓶頸，並有調節之對策及監督措施。

54

三、應備故障時接續作業之備用或替代設施。

四、應有應變計畫及回復模擬作業。

五、應備妥應變之系統程式且維持更新。

六、應對各別作業威脅採相應措施，使可能損失減至最小。

七、應具有效之檔案備援。

八、應具有效之回復程序，且使作業中斷減至最少。

九、對可用設備之數量狀況、所在地及連接系統之程序等均應有效

掌握。

十、考慮於應急時降低作業等級，以批次或人工方式代替連線作

業。

十一、考慮安排租用外界設施及互援之合約。

十二、考慮作業保險。

050407 對應用系統連線作業之設計，資訊稽核人員實施稽核時可要求下列事

項。

一、應有系統設計標準及規範。

二、對資料來源、輸入、處理，檔案及輸出之管制，具有連貫性並

可提供查調。

三、作業處理結果可回溯至原始資料。

四、資料之驗核應以「用最有效方式制止錯誤資料進入系統」為方

針。

五、若連線及批次輸入兩種方式採併行作業時，應考慮資料檢核能

力之差異。

六、同時擷取同一檔案或紀錄之管制應有效。

七、作業紀錄檔之安排與回復程序應能有效配合。

55

第五節 資料庫稽核

050501 資訊稽核單位對資料庫內涵之稽核，其目標應著重於：

一、交易處理時應提供稽核軌跡。

二、確保應用系統具備可稽核性。

050502 對資料庫稽核之目的及其管制手段應就下列主要項目進行之：

一、對應用系統之擷取。

二、資料之擷取。

三、稽核軌跡。

四、交易（異動）件數之管制。

五、可回溯性。

050503 對資料庫之應用系統擷取管制方面實施稽核時，應注意下列事項：

一、建立資訊稽核人員對資料庫中資料取用之授權與程序。

二、透過資料庫管理人員及安全人員安排資料之取用，惟不得更

動。

050504 對資料庫之資料擷取管制方面實施稽核時應注意下列事項：

一、利用稽核軟體，以驗核常規程式、其他套裝軟體或自行設計程

式取用資料，惟應有作業標準及規範。

二、由資訊稽核人員決定所擷取資料之條件、範圍，並應對該擷取

作業採開放措施，並協助證實擷取作業之完成。

三、保護資訊稽核人員所建立之資料，並限制他人擷取。

050505 對資料庫有關稽核軌跡之取得方面實施稽核時，應注意下列事項：

一、在設計過程中即予納入該需求。

二、應有指定之規劃人員確定（配合資訊稽核人員）該需求，使之

文書化並安排功能測試。

三、設定各相關單位對軌跡保留期限之需求。

四、設定各相關單位對軌跡使用之職責及時機。

050506 對資料庫之交易（異動）件數管制方面實施稽核時，應注意下列事

項：

一、交易資料應賦編序號。

56

二、將件數納入管制紀錄，存於資料庫中。

三、比較作業紀錄與交易紀錄之件數。

四、對資料遺失之控制。

五、對逾時交易之控制。

六、對遲緩更正之控制。

050507 對資料之可回溯性方面實施稽核時，應注意下列事項：

一、於個別紀錄中對前次更新之日期及交易資料序號應予註記，並

建立其與再次更新資料間之關連。

二、各種關連應能回溯至相關原始交易內容。

050508 資料稽核人員應瞭解實施資料庫作業後稽核工作造成下列事項之影

響：

一、由於資料之統合，使稽核失去所需之獨立供比較之資料。

二、應用系統及資料庫涉及業務功能，其複雜性造成難以掌握。

三、資料庫內容使單一檔增大，且結構複雜造成檢視其缺失之困

難。

57

第六章 績效稽核與證實性測試

第一節 電腦設備運用評估

060101 電腦設備之效率稽核在於確定其使用效率是否符合原先所制訂之設置

計畫，並查核是否達到經濟使用之要求。

060102 各機關對電腦設備的使用效率若缺乏查核則可能造成各項設備投資不

當，形成資源浪費或造成設備的不正常負荷，導致作業績效不佳等情

形。

060103 資訊稽核單位平時即應蒐集資訊作業單位有關電腦設備各種使用效率

統計資料並據以評估。

060104 資訊稽核人員對受檢單位應完成下列事項之查核：

一、電腦系統規劃時是否先行實施容量規劃，以作為選用電腦設備之

參考。

二、受檢單位是否對電腦設備各項使用狀況予以定期統計。

三、受檢單位是否定期檢討電腦主機及週邊設備數量等各項統計資

料，以評估其配置並完成統計報告書。

四、統計資料及統計報告書是否定期送交相關單位進行機關內整體電

腦設備運用之評估。

五、受檢單位是否引用績效統計軟體，以估量現行設備之使用率確實

達到合理狀態。

六、受檢單位是否責成各級主管人員定期對使用績效加以評估。

060105 各機關資訊作業單位應對下列設備之使用情況及其負荷情形等定期統

計：

一、每日交易狀況。

二、磁碟機、磁帶機使用狀況。

三、中央處理機使用狀況。

四、終端機設備使用狀況。

五、傳輸線路負荷狀況。

六、列表機使用狀況。

58

七、系統反應時間。

59

第二節 應用系統開發成本評估

060201 應用系統開發成本之效益稽核在於確定應用系統開發時所耗費之成

本，以查核有無不當或無效率之開支。

060202 各機關對應用系統開發成本若缺乏效益查核則可能造成開發費用的浮

濫或時程拖延等現象。

060203 資訊稽核單位對應用系統開發成本之查核，平時應即蒐集有關應用系

統開發之成本資料，並調閱已開發完畢之系統開發成本資料，以供參

考比較。

060204 資訊稽核單位對受檢單位應用系統開發應查核事前是否預先實施過成

本之預估，另對受檢單位查核應用系統開發過程中是否詳細記錄下列

各項成本之費用：

一、人力成本。

二、硬體成本。

三、管理成本。

四、其他成本。

060205 資訊稽核人員對受檢單位並應完成下列事項之查核：

一、應用系統開發完成後，是否將開發成本統計資料整理存檔，以

備將來開發類似應用系統比較之用。

二、應用系統開發成本之歷史資料是否整理妥善，以建立成本預估

模式，作為新系統開發預估成本之用。

三、受檢單位是否定期由主管人員審核開發之實際成本與預估成本

間差距，並檢討原因。

四、各種成本是否均換算成相同幣值單位以便加總統計。

60

第三節 證實性測試

060301 為確定應用系統各別應用程式均具正確執行其功能，資訊稽核單位於

實施應用控制稽核之遵行測試後，應對測試結果中凡遵行程度較低者

進行程式正確性之抽樣查核。

060302 應用程式正確性查核旨在查核潛在之錯誤，以免影響系統操作之安全

性兼以防範程式被竄改或發生舞弊等危機。

060303 資訊稽核人員應以下列方式進行有關程式正確性的查核：

一、利用系統稽核測試技巧查核程式的正確性包括：

(一)測試資料組。

(二)標記、追踪。

(三)整體測試設施。

(四)平行測試設施。

(五)圖示法。

(六)同步處理。

二、指派專人抽樣檢查原始程式，重核其內容有無不當之指令。

三、對特定程式抽樣比對某兩時點之原始程式、目的程式，以檢查其

內容有無任意更動。

四、對特定程式抽樣繪出其程式流程圖，以查核其程式邏輯流程是否

正確。

060304 為確保業務單位異動事項及資訊作業單位資料檔案的正確有效或未遭

不法竄改，資訊稽核人員可利用各種測試技巧，以輔遵行測試之不

足，故完成應用控制稽核之遵行測試後，應抽樣實施檔案異動資料證

實性測試，以確認其內容為真實而無虛假或不法等弊端。

060305 資訊稽核人員進行檔案異動資料證實性測試應採行之基本原則如下:

一、應用系統及程式均不變更，採實際之作業系統。

二、使用預為選定之各組資料進行測試。

三、資料之選定乃依據某些管制需求。

四、對測試之結果均已有所預期。

060306 檔案異動資料證實性測試進行時機及方式如下:

61

一、正常作業兼具測試作業:選定實際資料為測試。

二、正常作業兼具測試作業:加入測試資料併入正常作業進行。

三、另外安排測試：袛用測試資料進行作業。

060307 資訊稽核單位實施檔案異動資料證實性測試應有週全之測試計畫，並

須考慮若不變更現有系統作業環境，則測試之進行祇能逐次安排，故

無法長期提供稽核軌跡；至每次測試結果之運用，端視執行結果與預

期結果之相互比對以分析其管制功能是否有效。

060308 為確定資訊報表內容均係正確無誤，資訊稽核人員應對報表內容實施

正確性抽查核算、分析並覆核重要的比率，及趨向等，以免除報表有

竄改或異常等予以疑慮之處。

060309 資訊稽核單位對受檢單位應用之輸出作業管制實施遵行測試後，若認

為遵行程度很高，則可減少報表正確性之查核，惟仍應依下列方式對

報表內容進行分析：

一、查核統計表各項數據，檢討作業週期內增減趨勢之原因。

二、利用所列印某時段之資訊工作負荷表（含 CPU、I/O及異動數

等）據以查核檢視工作負荷是否有異常波動的現象，並追查原

因。

三、各項報表是否均有承辦人及負責主管簽名蓋章，彼等對報表之各

欄項意義是否均暸解？

四、各項報表上資料如有更改痕跡，是否有原承辦人簽名蓋章，如為

影印本，則各簽名蓋章處是否不為影印？

62

第七章 稽核文書與稽核報告

第一節 稽核文書製作原則 070101 執行稽核作業應將查核所獲悉的各項實際情形及稽核意見等分別詳予

記載於「工作底稿」(如附表 070101-1)內，以作為查核討論、協調或

編製稽核報告之依據。

070102 歸納、整理稽核意見應注意下列原則：

一、意見應予文書化，可採用制式記錄格式。

二、意見應隨時整理，依一定分類原則記錄之。

三、意見未必均須納入稽核報告內。

四、意見提出（供相關單位參考或納入報告）前應行檢討或經相關

單位之確認。

五、意見應採系統化彙總歸納，不宜零星提出。

070103 製作資訊稽核使用文書種類及格式之原則：

一、對管制功能之評估，可使用「矩陣法」制式書表。

二、對現況之瞭解可採「問項法」制式書表。

三、作業紀錄可採「記事本」方式記載下列事項：

(一)日程與活動計畫 表。

(二)待蒐集資料及文件清單。

(三)待查證事項清單。

(四)重點及關鍵事項。

(五)重要採證明細資料。

四、測試記錄文書，應求簡明完整。

(一)對一般求證性質之測試，記錄其主體、方式、時間、相關人

員、結論及例證。

(二)利用電腦進行之測試，記錄其使用之資料、程式內容、作業

結果、進行測試之相關安排、測試人員、複查人員及結論

等。

五、一般性行政文書則可依機關（單位）內所採之制式格式辦理。

070104 資訊稽核業務各項文書整理之原則

一、儘可能採用制式文書。

63

二、儘可能採用文書原件，如問項資料、程式清單、程式輸出等。

三、對作業中產出之各項記錄及蒐集之資料，於整理過程中即應研

判其內容是否須納入稽核報告文書內，並決定取捨。

四、凡應納入稽核報告部分者，亦應依報告之章、節予以整理。

070105 各機關資訊稽核單位應建立可供評估使用之各項「管制措施」參考資

料。

一、參考資料建立方式如下：

(一)掌握管制點。

(二)列出可能之弱點即為管制需求。

(三)整理整套可採之管制措施。

(四)整理整套可能之活動。

(五)就各別管制需求建立參考資料。

(六)檢討與更新所建立之參考資料。

二、參考資料使用時機：

(一)當各別評估時，可就相關管制需求取用其參考資料。

(二)對管制措施掌握後，即可參考資料評估相關管制之有效性。

三、評估各項管制措施可採編製表格方式處理（如附表 070105-1）。

070106 資訊稽核業務對各項查核作業現況之瞭解所採