Chapter 9 ก
CONTENTS : ก
ก
ก ก
ก ก
! ก ก ! " # ก
ก
ก ก $ก %&" & # $ ! ก %' (&" ) * ) +!,+ ( +!,+* ก + ก ก ' ก !'" ' ) * ) ก + ก # ' !-! ก %'!'"# ก. ก+ ) %&" & '" ! ( ก ! ก +
“ * ก ก
+,'ก ) /!'" %
ก ' ) (&" $ ก0 ก 1 ! ( + $ก %&" & # $ ! ก %' ) + ก + 2 # ) ' +!,+ ( ก + ก 2 # 34
+ !'"# ก # ”
Objectives
$ ก0 ก 1 ! ( + ก '
ก+ ก % ! ( ก ก ) ' +!,+ ( ) 2 ก $ก %&" & # $ ! ก %' (&" ) + +!,+ ( ก ! ( ก ก (&" ( ก ก 'ก 5+ + 2 # !'"34
+ # ก # 2 # !'"ก6 ก
ภŕ¸
Committee of Sponsoring Organisations ภ5 ) 7 +ภ) ภภภภภ2 5 ) & - (&" ภ(Control Environment) - ภ+ '" (Risk Assessment) - ภ+ ภ(&" ภ(Control Activities) - !- ภ+ ) &" (Info.and Communication) - ภ+ + * ภ5+ + (Monitoring)
Control Environment
ภ(&8 7 ŕ¸
ภ'" ภ( ! " # ภ+ !'" '* ภ! ) +!,+ ( +!,+* ภภ% +,'ภ+
9&" ' + , ภภ! !'" # ) . ภภ) 8 : ภภŕ¸
+,' 5+ +! ! ( ŕ¸
Risk Assessment ) # 2 2 ! - ภ;
- ภ;
ภ* ภ+ '" 2 ภ! ภ( ) ) ภ+ <8
# !#'" ) # (&" # 5+ +# ) ภ+" <8 ! 8 ภภภภ# 1 ŕ¸
Control Activities ' ) ภภŕ¸
ภภ+,' 5+ + (&" " ) # 5+ +
!'"# ภ# ) %)
- ภ) ภ!'" *+ % - ภ% * %' ภภ'ภ! : - ภภภ'"
'
!'"ภ! 2
Information and Communication Information â&#x20AC;&#x201C; Accounting Information System Communication ภ< / ' ภ% $ & ! <8 % % # ) . ! ภŕ¸
Monitoring ภ+ + * ภ5+ +
+ +!,+ (ภ! %) ภ' !' * ภ5+ + + ภ7 !'"ภ'ภ+ + * ) ภ5+ + ภ5+ + ภ! ) " ) &"
ก ก
ก !'"! ก # ) 1 !'"ก # ' '8 - *$ + # )# ) + &
- ก ! + ) # ) ) : 5+ + ( ก
- ก !'" ' 9 9 ก # ) '
&" ก# ) ก ) % ) !'" ก+ <8
- ก '"
+,'ก ( !'" ' ก0: '"
$) (Dynamic) - ( ก ก ' ! + $ ) +
ก
ก# 2 ก0: 1. ก (+ : ก '" - ก %+ 1 ก %+ & %+ ก # 2. ก (+ : ก ก0: ก - ก ก ! " # ก
ภ!"
ภ%+ 1 ภ(Preventive Controls) - 1 ภ# ) 'ภภ+ <8 ภ: !'"# ) ภ%)
*+ ( ' ภภ+
- %) ( ภâ&#x20AC;&#x201C; ) + # ) 2 ' ŕ¸
ภ!"
ภ%+ & (Detective Controls) - ภ(&" & *+ ( !'" ภ+ < 8 ภภ5+ +
- ! ( *+ ( !'" ภ+ <8 ภภ5+ +
%) %' $) ภ! 2
ภ!"
ภ%+ ภ# (Corrective Controls) â&#x20AC;&#x201C; â&#x20AC;&#x201C;
â&#x20AC;&#x201C;
2 8 ) ภภ%+ & 8
'8ภ! ภภ!'" ( *+ ( !'" ภ+ <8
! ภภ# # ) ! !) !' ภ$) $)ภภ%+ &
# $ ภ% ŕ¸
) # 2
1. ภ! " # (General Controls) - ภ+ ภ! 8 !'" ภ'" ภ!-! ภ%' ! ( + ภ2. ภ(Application Controls) - ภ'" ภ* %' ) # 2 I/P Controls Process Controls O/P Controls
# $ ก% ก
( , ก !-! ก %' ก ก ก0: ก ก '" ( ) 1. ก ! " # < ก %+ ก # ก %+ 1 ก
2. ก < ก %+ 1 ก ก %+ &
# $ ภ% ŕ¸
ภ! " # - 2 ภภ+ ภ! 8 !'" ภ'" ภ!-! ภ%' - ภ( (&" ภ(Internal Control Environment) - -
' 5+ + 2 ภภภ+ ภ) / - ) # 2
# $ ก% ก ก ! " # 1. ก ก ก - ก ก - Job Descriptions - + ก & ก ! ) ก
* !'" (+ : ) ) % ) !'" ก+ <8 ก 98 9 ก 5+ + ) ก ! < + กก ก !
# $ ภ% ภภ! " # 2. ภŕ¸
- ภ!'" ' $ : %
- ภ!'" ' ภ$) & ภ! +,' 5+ +
+,'ภ! !-! ภ%' - %) ภ! (Policy Statements) * ภ(Organization Chart) ภ0: (Job Descriptions) 2
# $ ภ% ŕ¸
ภ! " # 3. ภ! ( + (Asset Controls) - ภ% %' ภ! )
- ภภ! & ภ(+ $ (Reconciliation) - ภ(&" (+ $ ) + ! ( ' $) + - ' 5+ + ภ- ภ!<ภ! '
) / (Logs and Registers) (&" + &" # + ! ( ภ! 8 + -
# $ ภ% ŕ¸
ภ! " # 4. ภภ( @ (Application System Development Controls) - ภภ'"
& ภภ# ภ! < ภ( @ <8 ) - ภ'"
& ภภ# # + ภ*$ % ) 2 ภ0: ภ0 - 'ภ! ภภภ! <8 )
# $ ภ% ŕ¸
ภ! " # 5. ภภ+ -$
!(Information Center Operational Controls) - ภภ+ -$
!- & -$
(+ ภ'" ภภ+ ภ) / '8 - ภ! 5+ + (I/P O/P Scheduling Controls) - ภA1 $ ภ(' ( ) ภ* - ภ$ ภ! 2 - 'ภ% ภ: #AA1 ภ: 1 ภ#A Disaster Recovery Plan
# $ ภ% ŕ¸
ภ! " # 6. ภภ<
(Logical Access Controls) - ภภ< $ & ภ2 ภภ0 $ / ภ- ภ) 2 *$ % + %) PSWD, Phy. Possession Identification , Biometric Identification 2
- ภภ+!,+ ภ% %) ภ+!,+ B( ) # ) ' 2
# $ ภ% ŕ¸
ŕ¸
- ภ'" ภภ* %' % ภภB( & 9 A ภB(
- 8 < ภภ(Input Controls) ภภ* (Process Control) ภ* (, !'"# (Output Controls)
* $ $ 9-3 9-21 ŕ¸
# $ ภ% ŕ¸
ŕ¸
- ภภ$ (Input Controls) 2 ภ$ภ$ ( *+ ( 'ภภภ&8 (Source Document) (&" ภ# $ ภ) $ !'"*+ ( ) * ) !-!'"# ) ' : (#
) # 2 5 ) '8
# $ ภ% ŕ¸
ŕ¸
- ภภ$ (Input Controls) 1. ภ!<ภภ%) 'ภภ$ ภ% ภภ!'" 2 # ) + 'ภ% &" ) 'ภภภ' % ภ0: Cursor
# $ ภ% ŕ¸
ŕ¸
- ภภ$ (Input Controls) 2. ภ$ ภภ$ ภ) # 2
- ) (Amount Control Total) - ) (Hash Total) %) + -
(Record Count) ภ! 8
# $ ภ% ŕ¸
ŕ¸
- ภภ$ (Input Controls) 3. ภ( $ ภภ( $ ภ& ภภภ&8
4. ภ! $ภ$ ภ- Validity Check - Limit Check - Sign Check - Field Check - Range Check
# $ ภ% ŕ¸
ŕ¸
- ภภ$ (Input Controls) 5. ภ) *) $ ภ- Echo Check - Redundancy Check - Completeness Check
# $ ภ% ŕ¸
ŕ¸
- ภภ* (Process Controls) ภ# 4 ! '8 1. ภภภภ* (Processing Logic Checks) % ภภ%) Sequence Check, Limit Check 2
# $ ภ% ŕ¸
ŕ¸
- ภภ* (Process Controls) 2. ภ) ภ* (Run-to-Run Controls) - ภ* ภ) (Batch Processing) ภ! ภ: ! 8 % & ภ) ภ(+ ( !'" :# ภ*
# $ ภ% ŕ¸
ŕ¸
- ภภ* (Process Controls) 2. ภ) ภ* (Run-to-Run Controls) - ภ* ! !' (Real-Time Processing) 'ภ: ภ!'" ภ+ <8 ! ภ+ 8
! 2 ภ'"
$
A1 $ (File Change Reports)
# $ ภ% ŕ¸
ŕ¸
- ภภ* (Process Controls) 3. ภภA1 $ ภ(File and Program Check) - ภภ) ภA1 $ ภ!'" $ภภ1 %&" A1 $ (Header Labels) - 'ภ! 8 'ภ% $ ! ภภ* ) ภ* (, !'" # & # ) 'ภ) ) &" "
# $ ภ% ŕ¸
ŕ¸
- ภภ* (Process Controls) 4. ภภ% ภ%&" ! ภ%' (Audit Trail Linkages) - Audit Trail 2 ภ+ ภ& ภ*) %' (&" ภ& ภ!'"# 'ภ!<ภ# 2 !'" - ภ% ภ!<ภ$ ภ(I/P-O/P Control Logs) - 'ภ!<ภภ!'" ภ+ <8 (Transaction Logs) - ภ!<ภภภ'" ภภ(Transaction Listing)
# $ ภ% ŕ¸
ŕ¸
- ภ* (, !'"# (Output Controls) *Correct Complete Reliable and Timely - ) # 2 2 ! '8 - ภภ! * (, %) ภ:'ภ) % '8 ภ! ภ'"
A1 $ ! ภ!<ภC C - ภภภ) * (, ภ% ! '
ภภ) * (, (Distribution Registers) ภ!<ภภภ) * (,
!<ภภ(Control Logs) (&" ! ภ!