筆者常提到內控、內控，不知道大家知不知道"內控"是甚麼？其實這是企業內部各個單位，所訂出的書面管理辦法，那麼這套管理辦法，一定會其他部門互有連結，簡單說，不管甚麼部門，你要申請費用，一定會寫費用申請單，這些都有一定的流程，而這些流程將其書面、制度化，就變成一套SOP的管理制度。

我們強調這些制度，是由各部門自己去訂定，這些訂完的管理制度，就是"內部控制"(簡稱內控)，內控有沒有其規範? 答案是有的，因為企業必須要受外部查核，例如，會計師等等，如果公司都在玩自己的，那麼外部人看不懂的情況下，它們無法有效且快速的發現問題，因此，在雙方都能有效的溝通前提下，公司也要配合外部單位進行調整，讓外部人來協助公司對外發布大家都能接受的訊息，例如說：財務報表等等。

講那麼多，到底跟我司的IoT、電腦資訊系統、資安等等，有甚麼關係呢？我又不用對外公布？幹嘛要弄個標準化，套死自己呢？

這個問題，明天我再解釋....還是先進入IoT的文章吧!

風險類別--營運風險--感知層
4.8假標籤
《新聞分享》：他亂掃QR Code被盜帳號 警提醒不明假好康別亂點
(新聞來源：聯合新聞網 2020-02-06 https://udn.com/news/story/7320/4138132 )

《筆者分析及建議》：

假標籤的風險，在目前隨處可見的QR code就是其中一種，由於這些假標籤非常便利，所以很容易被連結到Line等通訊軟體上面，進而發散假訊息至好有名單，造成一連串的資安問題，因此，來路不明的假標籤切勿隨便選取。

企業假標籤可分為內部與外部，外部假標籤就如同上述的QR code，可能會造成企業商譽的損失，因此在降低這類風險時，就要注意稽察的工作，在網上隨時公告相關訊息，如果是產品被廠商改標，例如零售商未經同意改標，此類就以原史紀錄及合約內容，進行法律上之訴訟，避免商譽流失。

另一種內部的標籤改標，例如對於部品的標籤改標，導至系統上數量內容不一致的情況出現，這就要藉由強化內控的方式，減低管理上的風險。

4.9 設備更新/版本控制
《新聞分享》：小心！防毒軟體例行更新成營運中斷新變數，一銀因更新衝突上週四一度eATM服務短暫失靈(更新防毒廠商回應)
(新聞來源：iThome 2017-08-22 https://www.ithome.com.tw/news/116384 )

《筆者分析及建議》：

以新聞實例來說，這事件說明了實務上的落差，雖然最後廠商說明並非防毒軟體更新的影響，但下面這段話也說明了，有關這類內部控制需要修正作業程序：

「這類防毒軟體更新內容，資安公司在正式發布前需要測試新版本內容，檢驗更新內容是否存在安全漏洞，也要確保在所有OS環境內不會產生任何系統衝突，來保障防毒軟體最新版本的品質。不過，實務上，原廠無法針對每一種服務，或者是特定產業性質的用戶環境來測試，多半由經銷商負責進行，…」

此類風險，在物聯網裡面也是存在的，有可能是作業系統更新或者APP更新，導至整個大當機，所以資訊部門在訂定內控辦法時候，就需要考量到系統更新之後的風險，在作業程序內訂出備援處理的方法，同樣的，硬體設備更新、韌體更新也都要在內控裡訂定清楚，有依據的情況下，先造SOP排解問題，同時連絡廠商，真的無法處理，也要立即公告，通報協助，降低企業之損失。