企業資訊系統內控稽核之個案研究

以作者查詢圖書館館藏

、以作者查詢臺灣博碩士

、以作者查詢全國書目

、勘誤回報

、線上人數：141

、訪客IP：3.144.84.155

姓名

鄭家杰(Chia-chieh Cheng) 查詢紙本館藏

畢業系所

資訊管理學系在職專班

論文名稱

企業資訊系統內控稽核之個案研究
(A Case Study on IS Internal Auditing in Organization)

相關論文

★ 以個案研究法探討機械式組織之資訊系統導入	★ 銀行企業內部網路導入TCP/IP通信協定之研究
★ 後金控時代臺灣地區金融服務業薪資決策支援系統之設計研究 --以一家中型證券商為例	★ 影響數位在職訓練之學習態度及行為意向研究
★ 台灣銀行業導入電子商務線上金流訊息標準之研究	★ 國防訓儲軍士官制度評估
★ 以關係承諾角度探討組織中軟體專案開發之個案研究	★ 企業工作流程再造之研究─以銀行發卡流程為例
★ 以個案研究法探討B2B電子商務導入之研究—以汽車售後服務件製造商為例	★ 以個案研討方法探討公文簽核流程再造之研究－以變更資訊部門服務為例
★ 醫療資訊系統之資訊安全危安因素探討以台北某醫學中心為例	★ 資訊部門專案經理派遣人員之個案研究
★ 綠色供應鏈管理資訊系統導入問題分析與探討-以A公司為例	★ 企業導入企業資源規劃(ERP)對作業流程之影響－以A公司為例
★ 客訴處理電子化流程管理－以飲料業為例	★ 以個案研究法探討企業垃圾郵件防堵

檔案

[Endnote RIS 格式]

[Bibtex 格式]

[相關文章]

[文章引用]

[完整記錄]

[館藏目錄]

至系統瀏覽論文 ( 永不開放)

摘要(中)

企業組織依賴資訊系統的程度與日俱增，隨著企業營運規模逐漸擴大，資訊主機及網路設備數量也隨著增加且更加複雜，因此也造成了近年來在國內外陸續發生許多資訊舞弊案件，不但造成企業的經濟損失，甚至會影響企業的聲譽及造成社會大眾的負面印象。大部份的資訊舞弊案件都是利用企業的內部控制缺乏完善的規劃而產生的內控疏失，加上透過電腦運算及網路傳遞快速，傳統的稽核人員對於查弊及補救的應變時間已經無法應付。
本研究將以個案公司為例，先透過訪談相關資訊及稽核人員了解現況及問題所在，並收集整理相關法規及文獻資料，探討如何利用SIEM系統來協助資訊及稽核人員來做好組織的資訊內控與稽核，利用導入SIEM系統實際蒐集到企業運行的初級資料為主，次級資料為輔，以進行資料之蒐集、分析與整理，在導入後再針對上述人員進行訪談，以了解導入後是否對於個案公司的內控與稽核有實質的助益，以及需要後續多加注意之事項。
本研究所進行對企業運用電腦稽核技術來改善內控稽核制度之實證研究結果，期能提供給欲導入相關系統的企業界及稽核人員一個參考的方向以及需注意的事項，以提昇查核品質及降低資訊安全風險並強化內部控制。消極方面包括預防舞弊，確保資產、財務資訊的可靠性及真實性等，積極方面則包括提高組織的經營績效、降低企業的營運風險及提昇有限資源的使用效率等。

摘要(英)

Enterprises increasingly rely on the information systems for daily operation. As the scale of business grows, the numbers of IT servers and network equipments have also increased and become more complicated. Therefore, lots of IT fraud cases occur in recent years worldwide. And, these frauds not only cause economic loss but also affected the reputation of the enterprises, negatively impacting enterprise impression among the community. Most of IT fraud cases take advantage of the deficiency of internal control. Given the computing capability and the fast pace of the network, auditing staffs are unable to cope with the frauds and come up with timely remedies.
This study uses the case company as an example. Through interviews with relevant IT professionals and auditing staffs to understand the current situation and the problems first and the collections of related regulations and documents later, the study has discussed how to use SIEM systems to help IT professionals and auditing staffs to do the internal control and auditing on the information of the organizations well. Using the actually collected primary data from the business operation that has imported SIEM systems to the organizations as the base and the secondary data as supplements, the data collection, analysis and sorting are conducted. Besides, after importing SIEM systems to the organizations, there are interviews with the people mentioned above in order to know whether it really has essential contribution to the internal control and auditing of the case company. In addition, it also points out careful matters that are needed to be followed up afterwards.
This study has conducted the analysis of the results in the improvements of the internal control and auditing systems of the enterprises by using the computer auditing techniques and it is expected that it can provide relevant IT professionals and auditing staffs a direction of the reference and the matters needed to be watched in order to enhance the quality of the auditing, lower the risks of the information security and strengthen the internal control. On the passive side, it includes fraud prevention, asset assurance, the reliability and the authenticity of the financial information, etc. On the aggressive side, it includes the improvements on the operating performance of the organization, the reduction of the operational risks and the increase of the use efficiency of limited resources, etc.

關鍵字(中)

★ 電腦稽核
★ 內部控制
★ SIEM

關鍵字(英)

★ internal control
★ computer auditing
★ SIEM

論文目次

摘要 v
Abstract vi
誌謝 viii
目錄 ix
圖目錄 x
表目錄 xi
第一章　緒論 1
1.1　研究背景與動機 1
1.2　研究目的 2
1.3　研究流程及論文組織 5
第二章　文獻探討 7
2.1　電腦稽核 7
2.2　資訊安全管理 9
2.3　安全資訊及事件管理 15
2.4　VPN虛擬私有網路 17
2.5　風險評估 21
第三章　研究方法 24
3.1　研究架構 24
3.2　研究方法 25
3.3　研究對象 27
3.4　資料蒐集方式 28
3.5　小結 30
第四章　個案分析 31
4.1　個案公司簡介 31
4.2　現有問題分析 32
4.3　系統建置 36
4.4　導入SIEM系統成效 49
4.5　分析及討論 51
4.6　小結 51
第五章　研究結論與建議 52
5.1　結論 52
5.2　建議 52
5.3　研究限制與未來研究建議 54
參考文獻 55

參考文獻

中文文獻
1.王平、羅濟群、黃俊傑、王宇文. (2003) . 風險評估方法 . 崑山科技大學資訊管理系，國立交通大學資訊管理研究所
2.行政院主計處「內部控制制度設計範例」
3.行政院研究法展考核委員會「風險管理及危機處理作業手冊」
4.吳偉壽. (2009) . 在網路服務商業模式下的稽核機制，大同大學碩士論文
5.林玉蕙. (2008) .產品資料管理系統中稽核規畫建構之研究，大同大學碩士論文
6.風險管理的規劃與執行－行政院主計處電子處理資料中心研訓組組長黃芳川
7.陳耀崑. (2000) . 電腦稽核與安全控管，89年農漁會信用部稽核人員班講義.
8.陳嬌鶴. (2009) . 運用電腦稽核技術進行舞弊查核之實證研究－以製造業為例，中正大學碩士論文.
9.國家資通安全技術服務與防護管理計畫VPN安全參考指引 V.1－行政院研究發展考核委員會（文件編號：ICST-C-006）
10.黃士銘、嚴紀中、阮金聲. (2009) . 電腦稽核－理論與實務應用. 全華圖書出版
11.歐陽惠華. (2007) . ISO 27002與COBIT 4.1控制措施之對映分析，高雄師範大學碩士論文
網站資料
1.GUUCI事件與離職員工的風險管理，2011年12月11日，取自http://big5.xinhuanet.com/gate/big5/news.xinhuanet.com/tech/2011-05/23/c_121448613.htm
2.P2P軟體存在安全隱憂，2011年12月11日，取自http://www.ctimes.com.tw/News/ShowNews.asp?O=HJO85E8DQ8WSA-0ONR
3.司法單位還台灣大哥大清白跨年斷訊事件，2011年12月11日，取自http://www.sogi.com.tw/newforum/article_list.aspx?Topic_ID=6101594
4.運彩弊案林昊縉失蹤女友是共犯，2012年2月16日，取自http://n.yam.com/tlt/politics/201109/20110919924532.html
5.企業應善用SIEM建立早期資安預警機制，2011年12月17日，取自http://news.networkmagazine.com.tw/magazine/2011/10/12/34789/
6.資安事件管理大勢所趨，日誌自動解析資安輕鬆稽核，2011年12月20日，取自 http://www.netadmin.com.tw/article_content.aspx?sn=0912280002
7.資安事件管理(SIEM)的魔術象限，2011年11月22日，取自http://jackforsec.blogspot.com/2011/06/siem.html
8.經濟部標準檢驗局，2011年11月7日，取自 http://www.bsmi.gov.tw
9.邱瑩青(2006)，i-Security中小型企業客製化資安維護系列專輯之七-資訊安全的最大威脅－人員安全，2011年12月22日，取自http://www.i-security.tw/topic/topic_sg.asp?id=109　
10.陳姿伶，2003，個案研究—方法與實做，2011年12月17日，取自http://www.extension.org.tw/book/book_02-92.htm

指導教授

范懿文(Yi-Wen Fan)

審核日期

2012-6-20

推文