電腦稽核專業倫理規範（下載檔案）

民國100 年12 月12 日第九屆第五次理事會通過

壹、總則

第一條

本規範之制訂，旨在對從事電腦稽核工作之人員，就其職能認知、行為準則及專業上應有之注意，提供引導性之自律規範，俾其有所遵循與自我期許，進而提昇其工作品質、信譽及專業形象。

第二條

本規範用詞，定義如下：

一、電腦稽核：凡稽核之技術（工具）或過程，涉及電腦或資（通）訊系統，即為「電腦稽核」。以電腦輔助稽核技術之應用，及有關資（通）訊系統之稽核，均屬「電腦稽核」之範疇；以電腦輔助稽核之範圍，則可涵蓋資（通）訊系統相關之稽核，及財務、營運面等之一般稽核。

二、電腦稽核人員：泛指從事電腦稽核工作之人員；凡內、外部稽核人員，其工作涉及電腦稽核者，均屬之。

第三條

電腦稽核人員之功能包含防弊與興利，除以超然獨立之立場執行稽核任務，並促進電腦稽核工作之推展外，另得依需要以專業見解提供如下之諮詢服務：

一、於資訊系統開發階段，提供有關強化系統安全控管及相關控制機制之建議。

二、引導以預防性措施防範未然；以偵測性措施及早發現問題；以周延之矯正措施避免類似缺失之重複發生；並以完備之緊急應變措施因應系統營運中斷問題。

三、提供有關應用電腦輔助管理、監控措施之建議，以促進營運持續性監控機制之建立，並與持續性稽核作業相輔相成。

前項電腦稽核工作之推展，涵蓋促進以電腦輔助稽核計畫之擬訂、執行、報告與追蹤考核等相關之作業與管理工作。

貳、專業職能認知

第四條

電腦稽核人員專業知識及技能，包括：

一、具備執行職務所需有關資（通）訊系統之稽核或一般稽核之知識及查核技能。

二、依執行職務需要，善用電腦輔助稽核技術，提昇抽樣、勾稽比對與分析等作業之效能，以增進查核深度與廣度；對資料洩密或誤用風險隨之增加之問題，具備因應與防範知能。

第五條

電腦稽核人員之專業發展，包括：

一、持續關注資（通）訊技術發展與應用相關之風險管理議題及稽核領域之相關發展，並持續進修，俾專業知識與技能與時俱進。

二、參閱電腦稽核相關專業機構頒訂或發行之電腦稽核相關規範、刊物、參考資料，或參加相關專業機構之訓練課程、活動，以增進專業知能。

第六條

電腦稽核人員之適任性，包括：

一、任職資格符合相關規定要求。

二、對所指派之電腦稽核相關任務，能應用相關知識及查核技巧並保持專業敏感性，具有達成任務目標之專業能力。

叁、行為準則

第七條

電腦稽核人員應遵循相關法規，並支持電腦稽核相關規範之推行：

一、遵循電腦稽核相關法令及規範。

二、支持資（通）訊安全相關之系統、內部控制制度等之建立與相關規範之遵循，及電腦稽核相關規範之推行。

第八條

電腦稽核人員應以誠正、嚴謹、負責、值得信任之態度行事，並避免任何利害衝突：

一、不得以任何方式作出有損於任職、服務或受查等單位之聲望、利益之行為。

二、不得接受任何可能損害專業判斷之餽贈或招待。

三、應揭露所獲悉之重大事實，不隱飾，不作不當或不實之報告。

四、提供諮詢服務時所建議有關控管之措施經採行者，應避免負責或參與查核，否則應由他人覆核其查核內容。

五、對本身或具有利害關係者，所（曾）經辦、負責或具有決定權之事項，應迴避查核。

六、對應予查核事項，不以涉及資（通）訊技術或查核技術困難為託詞，規避查核或推卸查核責任。

第九條

電腦稽核人員應具形式上之獨立性，並維持實質上之獨立與客觀：

一、與查核對象及其他利益團體，保持超然獨立。

二、應本於超然獨立之精神，對其查核內容，公正表示意見；對於所查核之議題或評估判斷事項，保持客觀。

三、對所提涉及技術層面之查核意見，為維護其專業自主性時，宜提供攸關查核意見之佐證資料溝通之。

第十條

電腦稽核人員執行查核工作，應注意避嫌，免滋疑慮：

一、不可為查核以外之目的或未經授權、同意，使用或接觸受查單位之電腦資源，且應受有關受查單位電腦設備使用及資訊存取之合理管制。

二、對所查核資料及使用之電腦設備，應釐清所有權、使用權與保管責任並謹守分際，不得變更所調借資料，或影響受查單位資訊系統之穩定性、可用性及資料之正確完整性、隱密性。

三、查核作業結束時，應確認妥為歸還調借之電腦相關設備、資料，或妥為刪除資料。

第十ㄧ條

電腦稽核人員對查核之相關資料，應予以保密：

一、對查核所獲得之資訊，不得藉以圖利，或傷害他人。

二、非基於相關法令規定之要求，不得向第三者透露查核過程中所獲得受查對象之資訊。

三、查核證據、工作底稿或查核報告等資料儲存於電腦媒體時，應視情況採加密、權限或實體控管等方式保護。

四、有關電腦資源之保護密碼，應有嚴防洩密措施。

五、對查核過程中所獲悉之個人私密性資料，須提列相關查核意見時，應儘量避免揭露隱私內容。

第十二條

電腦稽核人員對受查單位之訪談、溝通互動，應以適當方式進行：

一、態度不卑不亢且不預設立場，避免以懷疑語氣詢問，或使受查人員有受盤查或威脅之感覺。

二、詢問後應聆聽，並顯示理解；但無法理解時，若攸關查核事項，應另尋協助了解或查證方法。

三、不詢問與查核無關之人員或議題。

四、問與答過程，保持專業敏感性，以免被誤導、利用或混淆判斷。

五、以適當語言或術語與受查單位人員溝通查核事項，並避免發生爭辯情事。

六、溝通缺失可能衍生之風險問題時，避免強迫受查單位人員接受。

第十三條

電腦稽核人員應與其他稽核人員協同合作並維持和諧關係：

一、對電腦稽核工作之推行，電腦稽核人員應依其權責積極參與。

二、執行稽核作業時，對須與相關稽核人員相互配合事項，電腦稽核人員應積極參與研議、溝通，俾提供互補性功能，發揮整合性稽核績效。

肆、專業上應有之注意

第十四條

電腦稽核人員執行稽核作業，須盡專業上應有之注意：

ㄧ、對稽核計畫之擬訂與執行時，應盡專業上應有之注意並運用專業判斷，以決定相關作業準則與本規範之適用程度。

二、併同一般業務查核進行整合性查核時，應盡專業上應有之注意以兼顧跨領域查核之需求。

三、對於查核之資料，顯示受查單位有違反法令之虞時，應適時提出，俾利相關單位（人員）及時妥為因應法令遵循風險。

四、對涉及改進資（通）訊技術層面控管措施之查核意見，若受查單位另採權宜控管措施時，應本於專業，客觀判斷其權宜措施之妥適性。

第十五條

電腦稽核人員對稽核軟體之開發、維護、使用及稽核檔案之存取等之控管，應注意至少比照一般正式應用系統控管標準。

伍、附則

第十六條

本規範經「中華民國電腦稽核協會」理事會通過後公布實施，修正時亦同。