ISACA Journal
Volume 2, 2,014 

Translated Articles 

為何電腦倫理對電腦審計如此重要 Why Computer Ethics Matters to Computer Auditing 

作者:Wanbil W. Lee, DBA 

違反職業道德的使用電腦1 資訊系統對於犯罪者和受害者都會造成傷害,更可能使那些利用電腦從事違反職業道道德行為的人自食惡果。未能識別或忽略電腦倫理將會暴露在不良後果之風險中,特別是在執行電腦審計時,它意味著一個危險且不完備的審計決策。

「軟體、硬體和人是困難的所有來源;資訊系統使用者是辦認風險中最麻煩的部分。」2 人可以說是風險的來源,決策權濫用與否都取決於該人員的道德感。此外,「人們是需要有外力來喚醒其責任感,因為電腦風險及電腦安全的相關資訊幾乎不會改變人們的行為。」3 電腦倫理就是該「外力」,清楚地連結了電腦與道德。

電腦審計的目的是藉由強制性規範、治理規章及標準,達到嚇阻、偵測並防止資訊風險;而電腦倫理試圖以警示不道德行為所導致潛在的負面影響來減少風險。風險規避的整合目標結合了電腦及其倫理。

當審計決策並沒有考量道德議題時,將導致短期或長期無形的不良後果。資訊系統(IS)審計人員應把使用資訊系統時所忽絡道德議題,視為不同類型的風險,而該風險可以透過每天的例行檢查而避免,如不同類型的反風險機制 (相較於其他例行的反風險策略,如:密碼、加密演算法、 防毒軟體等。)資訊系統審計人員也可以利用電腦倫理的概念執行雙重功能:改變代理功能來說服人們去修正其行為/態度;並作為培養與客戶的信任關係及維持業界專業聲譽的孕育籃。

結合電腦與倫理

電腦倫理被賦予不同的標籤,包括網絡操守,資訊倫理和一個最最很引人注意的名詞--社會科技電腦倫理。後者歸納出其分別對應科學、科技、社交等三類誤述。4 本文中,不論現代化設備如何詭變、複雜─如,網際網路,社會化媒體─「電腦倫理」依舊是為該議題的核心。

如同道德感,電腦倫理對不同的人有不同的意義。最常被引用的電腦倫理定義為「電腦倫理是資訊與溝通科技的本質和對社會衝擊的分析、,並相對應為合乎倫理的使用這科技所做的政策調整。」在本文中5,即指網路道德6。 簡單的定義暗示著隨使用電腦及其周邊設備的增加,電腦倫理越來越受重視,特別是網際網路。當威脅都伴隨電腦存在,那電腦將可能成為禍首 (工具) ,抑或受害 (目標).

該新領域中的獨特性已經備受爭論並被文獻7 廣泛地報導,該獨特性指出了在電腦尚未來臨時,議題中的爭議點亦未存在,如軟體、網站和線上遊戲,這些新事物也創造了新的道德困 境,無法以現有的道德或標準規範,也為訂定新的道德規範提供了基礎。

結合電腦倫理與電腦審計

影響電腦審計的電腦倫理規範源自於倫理的原則及理論,其試圖嚇阻/最小化網際網路的濫用,而電腦審計主要以嚇阻、偵測技術來執行,確保法規的遵守。這彰顯出電腦倫理與電腦審計有共同的目標,但不同的執行對象。

基於成本效益之考量,未能辨別或排除電腦倫理議題(當執行風險評估)仍會導致潛在不良後果的不同類型之風險 ( 面對接近控制風險提升,身分盜竊等 ),如:信任感消失或業務崩解。舉例來說,評估軟體盜版 ( 非法拷貝軟體作為個人使用 ) 或未授權而獲取敏感性資訊,資訊系統查核人員應考慮由於私人獲取敏感性訊息的損害,而非僅專注在技術性的控制。

考慮後果及衡量不同損害,該損害差異可歸因於失去資料所有人的信心 ( 內部或外部顧客 ) 、損害顧客關係及依訴訟負之損害賠償,因此,道德應視為資訊系統審計人員應每天例行檢查之額外風險。藉由執行道德分析確認潛在道德問題,例如,該查核可以揭示導致道德結果的風險,但也可能在傳統反風險審計中被遺漏。如前所言,道德分析增加了例行步驟使得電腦倫理處在不同的反風險機制中。

儘管存在反風險機制、電腦法律、電腦審計及其相關資訊治理,濫用電腦的手法、頻率及次數仍不斷增加。濫用的增加無疑可歸咎於幾個主要因素。

如前面提到,第一個是與電腦有關的風險被視為一個技術問題,進而錯失管理,社會技術方面的查核。 第二個基於先天限制、外部因素、未預期改變及潛在競爭者,新工具未發揮作用便已過時。8 9 第三,對於、嚇阻濫用而言,法律是一個強而有力的補救措施,可予於處罰,但本質上而言,因為制定新法的過程既漫長又複雜,故打擊該種迅速發展的犯罪手法是緩不濟急,況且,法律一般來說都屬最後手段,因為人們較不願採取 法律途徑解決問題。

最後,以審計為基礎的機制僅為有限度的威懾作用,審計工具可以偵測執行政策的偏誤,並且可以檢查、確認規範適當執行,且其結果與標準一致,但實務上,必須考量成本效益。

在一份2006 到2012 年問卷研究顯示10, 倫理知識會減少人們濫用的行為,因此降低了新型態的風險(或濫用資訊的發展與使用的威脅)。問卷對象為香港理工大學電腦資訊系的在職班大四學生,年齡分布從20 歲出頭到40 歲出頭,工作於電腦科技產業,年資為2~15 年,職位有從科技層面到管理層面。這項調查是在同一門必修課程的開始和結束時發放問卷,內容包括職業道德和敬業精神。在課程開始問卷有三題是非題,課程結束時有五題。參加調查平均有95 名學生。在連續七年中, 每個問項的回答都很一致(P>0.05),結果指出不到10%的學生認知到電腦倫理。(圖一)

此外,超過60%的人宣稱他們不確定他們是否道德地執行工作,相反地,約30%的人稱他們認為他們已有道德地執行工作。

電腦倫理旨在仰賴公平性 ( 包括個人業務 ) 或信任 ( 可被他人使用 ) ,培養出在網際網路、具形象、聲譽的良好行為。所以,除非人們履行承諾,並站在堅持道德原則並言行為一的立場等,否則將不會有任何的公平性和信任。

聯結電腦倫理與電腦審計可以滿足共同利益及達到不同目的。基於道德原則且具彈性及人性的方法,電腦倫理是要去支援電腦審計。11

道德分析與決策

道德決策僅為對或錯,好或壞的二元選擇。然而,無形的偏見或個人主觀會使決策複雜化,因為決策者必定無法完全擺脫干擾、競爭及價值觀的影響。

建構發展統一模型被來引領決策者突破道德衝突的迷惘來。最名的就是四步驟12 的確認清單,五步驟原則論證13,和道德決策14 和道德矩陣15 的七步路徑。

簡單地說,確認清單涵蓋引領使用者的預測步驟,主要的步驟是:

  • 分析形勢。
  • 具爭議的道德抉擇。
  • 描述解決問題的步驟。
  • 準備政策和策略,以防止再次發生。

道德矩陣是源自食品和農業領域的倫理決策,現在已被應用到其他領域,例如:企業16 與資訊工程17。 該矩陣包含三列及隨特殊情況所需的行數。 一行列示出利益相關者;三列各別對應到三個共同的道德原則─福祉、自主性和公平性─該集合包含利益相關者的關注。(應對特殊原則的主要準則)。

下面的案例說明行動矩陣方法的實施:高科技設施的經銷商用線上監控設備和最新的服務系統讓客服人員可以直接看到客戶的螢幕取代原有的離線服務平台以便更快回應客戶的問題。

這樣的快速回應提升了使用者滿意度與客服人員的作業效率。特別是線上監控功能,這讓執行副總印象深刻,她一直在尋找一套設備可以解決公司內可能存在的毒品交易問題所以她要求首席資訊長必須安裝一套這樣的系統在她辦公室中。第一步,分析涉及的利益群體,公司、員工、執行副總裁及資訊長,並以道德原則揭露各個利益集團的兩類關注核心:(圖二)

  1. 在使用者不知情下,使用服務平台監控使用者螢幕,這可能有侵犯個人工作隱私和破壞公司形象的風險。
  2. 滿足執行副總裁的要求,使用監控程式來監視員工上,而偏離原採購設備的目的。這會擾亂資訊長 ( 相對於專業及道義的議題 )、執行副總 (防止企業形象招致可能的損害) 、員工 ( 找出害群之馬 ) 及企業 ( 攸關員工士氣及公司政策 ) 。

結論

不論是有意或無意的不道德行為將會涉及法律糾紛,而某些不道德行為雖然合法,但仍可能毀壞聲譽或職業生涯。

此外,一些不道德的行為可能因為利用電腦進行的更快,或者說,在沒有電腦的情況下是不可行的,隨著電腦普及,這些都是可能的,個人 與組織團體將因此而處險境。

越多專業人士遵循道德原則,包含資訊系統查核人員,就越有能力辨識出好與壞,如此,他們將能夠增加實現所需及受爭議案例的機會,例如,面對不專業的指控。這將能幫助他們在網際網路空間18 做正確的決定,建立自己的專業聲譽,贏得了客戶的信賴。19

反思道德分析和決策模型,清單式的確認清單提供了一個良好、友善架構,透過一連串結構化的步驟引領使用者以不同角度分析道德困境,進而採取行動或回答問題。道德矩陣雖然初設於糧食和農業領域,但也可以做適當調整後用於其他領域。風險不僅屬有形,也是社會科技議題,並非只是科技議題,也是管理問題。

因此,成本效益分析(基於底限及經濟理由)和風險分析(仰賴於機率、計算參數)是不夠的。資訊系統審計人員以新的三重分析模型,包括成本效益、風險和道德的分析,進行分析並決策。

Endnotes

1 “Computer” is used in this article to encompass the computer-based information system and its ssociated hardware, software, networking, enabling facilities and people.
2 Neumann, P. G.; Computer Related Risk, ACM Press/Addison-Wesley, USA, 1995
3 Lee, Wanbil W.; Keith C. C. Chan; “Computer Ethics: A Potent Weapon for Information Security Management,” Information Systems Control Journal, JournalOnline, vol. 6, December 2008, www.isaca.org/journalonline
4 Johnson, D. G.; Computer Ethics, 4th Edition, Prentice Hall, 2009
5 Moor, J. H.; “What Is Computer Ethics?,” Metaphilosophy, vol. 16, no. 4, October 1985, p. 266-275
6 The Computer Ethics Society, iEthics, www.iEthicsSoc.org
7 Op cit, Johnson
8 Hitchings, J.; “Deficiencies of the Traditional Approach to Information Security and the Requirements for a New Methodology,” Computer & Security, vol. 14, no. 5, 1995, p. 377-383
9 Lee, Wanbil W.; Information Security Management: Semi-intelligent Risk-analytic Audit, VDM Verlag, 2010
10 Op cit, Lee and Chan, 2008
11 Op cit, Lee, 2010
12 Kallman, E. A.; J. P. Grillo; Ethical Decision Making and Information Technology, McGraw-Hill, 1996
13 Josephson Institute of Ethics, “Five Steps of Principled Reasoning,” 1999, www.ethicsscoreboard.com/rb_5step.html
14 Josephson Institute of Ethics, “Making Ethical Decisions: A Seven-step Path 20,” 2002, http://blink.ucsd.edu/finance/accountability/ethics/path.html
15 Mepham, B.; M. Kaiser; E. Thorstensen; S. Tomkins; K.Millar; Ethical Matrix Manual, LEI, The Hague, 2006
16 Fejfar, Anthony J.; Social Responsibility of Business, Business Ethics, and the Ethical Matrix, 2006, www.lulu.com
17 Lee, W. W.; Becky Shiu; “Ethics Conducive to a Positive Image of the Information Engineer,” The Journal of the Hong Kong Institution of Engineers, vol. 40, December 2012, p. 13 and 15, http://iEthicsSoc.org/publications.html
18 Op cit, Johnson
19 Schneier, Bruce; Liars and Outliers: Enabling the Trust That Society Needs to Thrive, John Wiley & Sons, 2012

作者:Wanbil W. Lee, DBA is principal director of Wanbil & Associates, president of The Computer Ethics Society and adjunct professor in computing at the Hong Kong Polytechnic University (Kowloon, Hong Kong). He has devoted more than five decades to serving the field of computing in the banking, government and academic sectors through various roles in Austrasia and Hong Kong. His current teaching and research interests focus on ethical computing and information security. He is a member of several learned societies and sits on committees/boards of some of these bodies, editorial boards, and advisory committees of the Hong Kong government.

譯者:黃劭彥,國立中正大學會計與資訊科技學系教授,電腦稽核協會編譯出版委員會委員


Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 2, 2014 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄ISACA Journal 2014,Volume 2中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2014 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2014 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal 係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的 ISACA Journal。

ISACA Journal 收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50元美金固定費用,每頁收取0.25 美金。欲複印文章者則需支付CCC上述費用,並說明 ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.