阿摩線上測驗
10. 設計職務區隔(SoD)控制措施時,宜考量共謀之可能性。小 型組織可能發現難以實施職務區隔,但於可能及可行之情況 下,宜儘可能使用此原則。難以區隔職務時,宜考量採行相 關控制措施來輔助,下列何者控制措施較「不」適切?
(A) 全權負責
(B) 活動監視
(C) 稽核存底
(D) 管理監督
答案:登入後查看
統計: A(241), B(9), C(7), D(3), E(0) #3415885
統計: A(241), B(9), C(7), D(3), E(0) #3415885
詳解 (共 1 筆)
hiiii
#6415294
總結
在無法完全實施職務區隔(Segregation of Duties, SoD)時,應採用偵測性(Detective)與監督性的補償控制,以建立事後審核與管理查核機制,確保即使單一人員執行多項職責,也能透過後續審查與監控降低舞弊或錯誤風險【(The Bonadio Group, Pathlock)】【(華盛頓州審計官辦公室)】。常見的補償控制包括:活動監視(Activity Monitoring)、稽核存底(Audit Trails)與管理監督(Management Oversight),而「全權負責」非控制措施,反而是SoD所要避免的模式,故最不適切。
補償控制的主要類型
(B) 活動監視(Activity Monitoring)
-
定義:持續或週期性檢閱交易與系統活動,透過異常偵測機制發現潛在舞弊或錯誤。(俄亥俄州審計署, Office of the New York State Comptroller)
(C) 稽核存底(Audit Trails)
-
定義:啟用並保存系統日誌,記錄誰在何時執行何種操作,事後可完整還原交易流程與行為足跡。(維基百科, Larson & Company)
(D) 管理監督(Management Oversight)
-
定義:由獨立主管或稽核單位定期審核關鍵作業與報表,並進行交叉驗證,以補強職務未能分離的風險。(Trullion, 華盛頓州審計官辦公室)
選項解析
| 選項 | 控制性質 | 適切性 | 說明與引用 |
|---|---|---|---|
| (A)全權負責 | 無控制 | ❌ 最不適切 | SoD 原則即在於「不讓同一人擁有所有關鍵職能」,全權負責完全違反此原則,無任何檢查與平衡機制【(維基百科)】。 |
| (B)活動監視 | 偵測性 | ✅ | 補償控制之一,透過自動化或人工監控活動錄留與異常警示,及時發現錯誤或可疑行為【(俄亥俄州審計署, Office of the New York State Comptroller)】。 |
| (C)稽核存底 | 偵測性 | ✅ | 啟用系統日誌(Audit Trails)並保留稽核存底,可還原操作流程並做事後稽核,為典型的補償控制手段【(維基百科, Larson & Company)】。 |
| (D)管理監督 | 監督性 | ✅ | 由高階管理層或獨立稽核部門對重要交易、變更或報表執行審核與簽核,強化監控效果並補足人員無法分離的缺口【(Trullion, 華盛頓州審計官辦公室)】。 |
結論
在職務區隔無法完全落實的情況下,活動監視 (B)、稽核存底 (C)、管理監督 (D) 均為典型且有效的補償控制;而 全權負責 (A) 則完全違反 SoD 目的,最不適合作為控制措施。
2
0