政府內部控制最新規範 行政院主計總處 戴簡任視察美英 104.7.29
報 告 大 綱 一、前言 二、政府內部控制觀念架構 三、設計及維持有效內部控制制度 四、落實內部控制監督作業 五、未來推動之重點 六、結語
前 言
前 言 審計部97、98年度中央政府總決算審核報告指出,部分機關因內部控制機制未臻健全,間有施政效能不彰、投入鉅資興建設施閒置浪費及未依法制執行預算等,致有重大弊案陸續發生,顯示強化政府內部控制機制,以防杜違失,實刻不容緩。 行政院於99年底由秘書長組成跨部會之內部控制推動及督導小組(簡稱行政院內控小組),期強化行政部門之縱向協助及橫向聯繫,以簡明有效方式推動內部控制,截至104年7月已召開24次委員會議。 3
內部控制制度共通性作業範例跨職能整合應行注意事項 政府內部控制相關規範 行政院內部控制推動及督導小組設置要點 政府內部控制制度設計原則 (含政府內部控制觀念架構) 各機關設計內部控制制度之依據 政府內部控制監督 作業要點 各機關辦理自行評估及內部 稽核之依據 強化內部控制實施方案 行政院推動內 部控制之原則 性規範 內部控制制度共通性作業範例跨職能整合應行注意事項 研訂內部控制制度共通性作業跨 職能整合範例之依據 內部控制制度共通性作業範例製作原則 各權責機關研訂內部控制制度共通性作業範例之依據 強化內部控制實施方案100至104年度重點工作 各機關辦理內部控制年度工 作指引 政府內部控制考評及獎勵要點 考核各機關內部控制之辦理情形 4
政府內部控制 觀念架構
共同設計、執行及維持的管理過程 →五項要素 政府內部控制的定義及觀念 何謂內部控制: 係由機關全體人員參與 →人人有責 為合理達成機關內部控制目標 →四項目標 共同設計、執行及維持的管理過程 →五項要素 高階主管(尤其是首長)對內部控制制度的有效設計、執行及維持,負主要責任 內部控制係一種管理過程,幫助機關達成四項目標 內部控制制度有其先天限制,僅能合理促使而非絕對保證目標的達成 透過五項互有關聯的組成要素,整合機關內部各種控管及評核措施,並逐一檢視、評估內部控制制度的有效性 6 6
政府內部控制觀念架構 由機關內部全體人員整合五項內部控制組成要素,共同參與設計及執行之管理過程,藉以合理確保達成四項內部控制目標。 資 訊 與 溝 通 控 制 作 業 風 險 評 估 控 制 環 境 組織層級 部 門 營運單位 職 能 監 督 作 業 法 令 遵 循 資 產 安 全 可 靠 資 訊 施 政 效 能 四項主要目標 實現施政效能 提供可靠資訊 遵循法令規定 行政透明 保障資產安全 鑑於政府機關反貪腐係重要議題,將行政透明納為遵循法令規定之次目標 五項組成要素 與內部控制有關的單位或業務
目標、風險與內部控制 機關目標 內部流程 人員 系統 風險 控制作業 單位目標 使命/願景 監督作業 8
內部控制興利案例 二、「簡證便民」縮短申請時間 內政部移民署負責辦理辦理大陸地區人民的入出境審核業務,依據兩岸旅遊協議,大陸觀光客團體旅遊(含自由行)需透過大陸及臺灣旅行社代辦申請,採取傳統紙本臨櫃送件。為因應來臺業務量急遽成長,爰規劃建置「大陸、港、澳地區短期入臺線上申請暨發證管理系統」,採取下列精進措施: 簡化申辦流程,提供線上列印許可證及收據。 以媒體或清冊替代收據辦理送審。 降低財務風險,保障資產安全。 善用資訊科技,擴大線上申辦事項。 9 9
政府內部控制短片-簡「證」便民篇 10
政府內部控制觀念架構修正重點 配合強化內部控制實施方案,增訂行政透明作為「遵循法令規定」次目標,於內部控制觀念架構五項組成要素中增加型塑廉政文化之觀念及行政流程透明之規定。 將常見內部控制缺失態樣納入各組成要素。 參考美國COSO委員會「內部控制整合架構」所列內部控制五項組成要素觀念所衍生之十七項原則,修正內部控制五項組成要素之原則及其特性。 11
政府內部控制五項要素—控制環境 塑造機關文化及影響其人員對內部控制認知,為設計及執行內部控制制度之基礎。包括: 建立及維持公務職業操守與倫理價值觀念,型塑廉政文化,建立即時處理偏差行為之機制; 首長與高階主管重視及支持內部控制,督導工作執行; 授權適當明確,落實責任分工及制衡機制; 人力資源之妥適管理,職務輪調及人才培育之機制; 強化內部控制課責性,落實考核獎懲措施。 控制環境 資訊與溝通 控制作業 風險評估 監督作業 12
政府內部控制五項要素—風險評估 全面辨識影響目標達成之風險、分析該等風險之影響程度與發生可能性,及評量決定需優先處理之風險項目,據以決定採取控制作業,處理或回應相關風險: 確認整體與作業層級目標、定義適切之風險容忍度,以辨識相關風險; 辨識貪腐與影響政府公信力之風險,強化廉政透明; 落實風險分析,評量決定需處理之風險項目; 滾動檢討風險,以因應對內部控制產生重大影響之改變。 13
完整辨識影響整體與作業層級目標(含關鍵策略目標)無法達成之風險 辨識風險 完整辨識影響整體與作業層級目標(含關鍵策略目標)無法達成之風險 施政計畫之先期規劃,就利害關係者意見、成本效益、技術可行性或跨機關業務協調等辨識風險 監察院等外部監督機關所提內部控制缺失,涉及業務推動過程中未能察覺或辨識之風險 涉及人民權利或義務之業務,辨識影響政府公信力之風險 未能察覺業務推動過程潛在之風險、未將重要之內、外在風險因素納入評估或低估風險等級等。 對於主管業務所建立之檢(查)驗機制,欠缺風險意識,致所列查驗品項過少,且未納入高風險之品項,影響民眾使用安全。 忽視存在某型病毒之事實,致未依風險程度召開會議,徒增防疫風險,影響防治效能。 某機關籌設計畫於規劃徵收用地時未審慎考量在地住民之意見,辨識重大風險及評估其影響程度,遭致住民抗爭而重新變更基地範圍,無法達成預期經濟效益。 某機關辦理設備採購案,規劃階段未審慎考量該設備使用率偏低,仍陸續購置,造成閒置及投資效益偏低。
影響政府公信力之風險 採 行 控 制 機 制 評估風險 影響政府公信力之風險: 假借或違背職務舞弊 消極不作為 行政效率不彰 政府透明度不足 採 行 控 制 機 制 假借職務上之權力、機會或方法圖本人或其他私人不法利益 未依「行政程序法」第51條規定公告處理期間或於所定期間處理終結 未依「政府資訊公開法」第6條及第7條規定主動公開政府資訊 未依「政府服務創新精進方案」積極簡化服務流程、書表及縮短辦理時限,或建立申辦、申請案件公開查詢機制
政府內部控制五項要素—控制作業 依風險評估結果,採適當政策與程序,將風險控制在可承受範圍之內。控制作業具有預防性或偵測性之功能,亦可涵蓋人工化與自動化作業。包括: 選擇業務項目,建立控制作業,以降低達成目標之相關風險至可容忍程度; 建立資訊作業之控制,強化安全管理; 定期檢討控制作業,授予權限落實執行。 16
政府內部控制五項要素—資訊與溝通 蒐集、編製及使用來自內、外部攸關及具品質之資訊,以支持內部控制其他組成要素之持續運作,並確保資訊於機關內、外部間有效溝通。包括: 確保資訊品質,以支持內部控制持續運作; 建立內部溝通,履行內部控制職責: 落實內部控制制度遵循法令機制; 建立通報異常情事之管道。 建立攸關且及時資訊之外部溝通,促進多方交流: 推動行政透明措施,對外界意見及時處理; 落實跨機關整合及協調。 17
政府內部控制五項要素—監督作業 採持續性評估、個別評估或二者併行,以合理確保內部控制持續有效運作: 落實監督作業,提出可能提升績效之建議; 定期檢視各項作業流程之簡化及透明化程度; 針對內部控制缺失及具體興革建議,落實追蹤檢討改善作為。 例行監督 (持續性評估): 各單位主管人員 自行評估: 整體層級 作業層級 內部稽核: 內部稽核專責單位或任務編組 18
設計及維持有效 內部控制制度
內部控制制度設計原則修正重點 增訂將中長程個案計畫納入內部控制整體層級目標之依據以及機關關鍵策略目標納入整體或作業層級目標等規範,以利各機關控管可能影響內部控制目標達成之重大風險。 增訂機關應於確認目標時,同時決定風險容忍度,並修正設計步驟中有關「辦理風險評估」之程序。 為協助機關由上而下確認整體與作業層級目標,增訂「整體與作業層級目標及風險項目對應表」;另修訂「風險項目彙總表」,並列示屬外部監督機關所提內部控制缺失之風險項目。 依據業務性質與時俱進檢討不合時宜之控制作業及作業流程。 20
內部控制制度設計流程 (1/2) 實現施政效能、提供可靠資訊、 遵循法令規定及保障資產安全 確認目標及決定風險容忍度 首長與高階主管及內部各單位人員 內部稽核人員 辦理風險評估 實現施政效能、提供可靠資訊、 遵循法令規定及保障資產安全 確認目標及決定風險容忍度 風險容忍度 關鍵策略目標 整體層級目標: 使命/願景 施政目標 中長程個案計畫 作業層級目標 重要性 風險辨識 風險分析 風險評量 21
內部控制制度設計流程 (2/2) 首長與高階主管及內部各單位人員 內部稽核人員 選定業務項目 跨職能業務 共通性業務 個別性業務 設計控制作業 設計控制重點 修正控制重點 落實監督作業 例行監督 自行評估 內部稽核 22
設計並維持有效內部控制制度 (1/11) 為引導各機關內部控制制度與機關施政目標連結,以促使合理達成實現施政效能。以財政部國有財產署為例,將施政計畫中所列「積極處理被占用土地」關鍵績效指標,辨識「國有非公用房地被占用處理效率不彰,無法落實實質管理經管」之風險情境列為高風險項目,並據以將「經管國有非公用房地被占用處理作業」設計相關控制點進行控管。 關鍵策略目標 關鍵績效指標 評估 方式 衡量標準 年度目標值 健全國有財產管理,加強永續運用效能 積極處理被占用土地 統計 數據 處理占用土地 42559筆 ※ 資料來源:財政部103年度施政目標與重點 23
設計並維持有效內部控制制度 (2/11) 辦理風險評估(確認目標、決定風險容忍度及進行風險辨識 ) (範例) 整體層級目標 作業層級目標 風險項目代號 一、健全國家資產資料,掌握國家資產資訊。 健全國有財產產籍管理 A1 國有非公用房地眾多,無法於短期內完成勘查,衍生被占用、公共安全問題 二、強化公用財產管理,提升財產運用效能。 一、加強處理被佔用土地。 C1 國有非公用房地被占用處理效率不彰, 無法落實實質管理經管 二、活化及永續經營國家資產。 C2 國有房地長期閒置,增加管理負擔及衍生公安及環境衛生等風險。 C3 抵稅實物尚未處分,待納庫款無法清理繳庫,影響財政稅收。 … 24 24
設計並維持有效內部控制制度 (3/11) 辦理風險評估(風險分析) (示範案例,非機關實況) 等級 影響 程度 形象 民眾抗爭 或抗議 輿論反應 減少國庫收入 3 非常 嚴重 國際新聞媒體報導負面新聞 民眾大規模遊行抗爭 要求追究行政、財務及刑事責任 嚴重影響國庫收入○○億元以上 2 全國新聞媒體報導負面新聞 民眾至部會抗爭 要求追究行政及財務責任 影響國庫收入○○億元以上未滿○○億元 1 輕微 地方新聞媒體報導負面新聞 多位民眾電話抱怨 要求追究行政責任 影響國庫收入未滿○○億元 25
設計並維持有效內部控制制度 (4/11) 辦理風險評估(風險分析) 等級 發生機率分類 詳細描述 3 幾乎確定 在大部分的情況下會發生 2 (範例) 等級 發生機率分類 詳細描述 3 幾乎確定 在大部分的情況下會發生 2 可能 有些情況下會發生 1 幾乎不可能 只會在特殊的情況下發生 26
設計並維持有效內部控制制度 (5/11) 辦理風險評估 (風險評量) (示範案例,非機關實況) 影響程度 風險分布 非常嚴重(3) 嚴重(2) F1 A1 、 B1 C1 輕微(1) 幾乎不可能(1) 可能(2) 幾乎確定(3) 發生機率 27 27
設計並維持有效內部控制制度 (6/11) 辦理風險評估 (風險滾推) (第一期) 風險 項目 情境 風險本質 分析 現有 控制機制 現有風險 風險值 (R)= (L)x(I) 現有 控制機制 現有風險 殘餘風險值 (R)= (L)x(I) 新增 負責單位 可能性 (L) 影響 程度 (I) 國有非公用房地被占用處理效率不彰,無法落實實質管理經管 未能即時處理及收回國有房地,影響後續開發利用,嚴重影響國庫收入。 3 9 成立「被占用國有非公用土地聯合清理小組」,協調解決部分政府機關(構)不願或無法協助處理占用問題及執行疑義。 2 6 逐年訂定國有非公用不動產巡查計畫,發現占用情事即依法處理。 管理處分組 28 28
設計並維持有效內部控制制度 (7/11) 辦理風險評估(風險滾推) (第二期) 風險 項目 情境 現有 控制機制 現有風險 分析 新增 殘餘風險值 (R)= (L)x(I) 新增 殘餘風險 (R)= (L)x(I) 負責單位 可能性 (L) 影響 程度 (I) 國有非公用房地被占用處理效率不彰,無法落實實質管理經管 未能即時處理及收回國有房地,影響後續開發利用,嚴重影響國庫收入。 1.成立「被占用國有非公用土地聯合清理小組」,協調解決部分政府機關(構)不願或無法協助處理占用問題及執行疑義。 2.逐年訂定國有非公用不動產巡查計畫,發現占用情事即依法處理。 3 2 6 與內政部營建署合作運用「國土利用監測計畫」,以衛星監測國有非公用土地變異情形,掌握處理佔用先機 4 管理處分組 29 29
設計並維持有效內部控制制度 (8/11) 辦理風險評估(風險項目彙總表) ˇ (示範案例,非機關實況) 序號 風險項目代號 風險項目 殘餘 風險值 負責單位 控制作業項目代號 外部監督機關所提內部控制缺失之風險項目 1 C1 國有非公用房地被占用處理效率不彰,無法落實實質管理經管 6 管理處分組 LC01 ˇ 2 A1 國有非公用房地眾多,無法於短期內完成勘查,衍生被占用、公共安全問題 4 接收保管組 LA01 … 8 F1 薪資及人事資料為人工繕打比對,並未與金融機構入帳作業及人事管理資訊系統勾稽,易產生誤發或詐領。 人事室 ZZ01 30 30
設計並維持有效內部控制制度 (9/11) 各機關內部控制制度之設計,應依風險評估結果選定業務項目納入內部控制制度。 選定業務項目納入內部控制制度時,應注意下列事項: 跨職能業務:宜視業務性質增納跨職能整合業務項目,並合宜彈性調整控制作業及作業流程,以強化源頭管理及整合關鍵控制重點。 共通性業務:共通性作業範例屬需優先處理範圍之作業項目,應即時納入內部控制制度。非屬需優先處理範圍之作業項目得暫不納入內部控制制度,惟仍應監督並定期檢討,一旦列入需優先處理範圍,即應予納入內部控制制度。 個別性業務:屬需優先處理範圍之作業項目,應即時納入內部控制制度。 31
設計並維持有效內部控制制度 (10/11) 各機關應針對選定之業務項目,由內部各單位對其承辦作業流程,視業務性質需要,設計控制重點,包括核准、驗證、調節、覆核、定期盤點、記錄核對、職能分工、實體控制及計畫、預算或前期績效之分析比較等程序。 各機關應針對已發生內部控制設計缺失之業務項目,即時修正應有之控制重點。 32
設計並維持有效內部控制制度 (11/11) (範例) 作業程序說明表 項目編號 LC01 項目名稱 經管國有非公用房地被占用處理作業 承辦單位 管理處分組 作業程序說明 四、定期檢討相關處理法令規定,解決占用處理問題: (三)組成「被占用國有非公用土地聯合清理小組」,協調解決部分政府機關不願或無法協助處理被占用問題。 五、 建立督導考核機制,管控占用地處理績效 (一)逐年訂定處理被占用國有非公用不動產計畫,以每年處理至少占用總數10%之占用案為目標。 …… 控制重點 四、按年舉行國有非公用財產業務檢核作業,抽查各分署實務操作狀況。並按月掌控各分署、辦事處執行進度或概況隨時督導、檢討。 法令依據 一、國有非公用不動產被占用處理要點…… 使用表單 三、被占用國有非公用不動產加強處理計畫成果統計表。 …… (範例) 33
落實內部控制 監督作業
落實內部控制監督作業 (1/18) 訂定「政府內部控制監督作業要點」,以利各機關落實自我監督機制,合理確保內部控制持續有效運作。 機關應確實辦理下列各項監督作業: 例行監督:各單位主管人員本於職責就分層負責授權業務執行督導。 自行評估:由相關單位依職責分工評估內部控制五項組成要素運作之有效程度。 內部稽核:由內部稽核專責單位或任務編組以客觀公正之立場,協助機關檢查內部控制實施狀況,並適時提供改善建議。 35
落實內部控制監督作業 (2/18) 政府內部控制監督作業要點訂定重點 (1/2) 依國際內部稽核協會「全球科技稽核指引」訂定內部控制監督作業得利用資訊技術辦理持續性監控或稽核之相關規定。 參考「試辦機關內部控制制度聲明書處理原則」,增定機關得跨年度辦理自行評估及內部稽核之相關規定。 將作業層級自行評估表修正為按「單位別」出具並增列例行監督之評估重點,但可另行檢附各項控制作業之自行評估表作為佐證資料。 訂定強化作業層級自行評估之課責機制 自評結果「落實」,事後經外部監督機關提出與該評估重點有關內部控制缺失等意見,該評估單位應提出檢討報告,並由內部稽核單位追蹤其改善情形。 36
落實內部控制監督作業 (3/18) 政府內部控制監督作業要點訂定重點 (2/2) 就強化辨識貪腐風險、加強控管資訊系統之程式修改與權限設定等,修訂整體層級自行評估明細表之部分判斷項目, 另刪除需彙整內部控制重大缺失之規定。 參考「試辦機關內部控制制度聲明書處理原則」,訂定有關整體層級各組成要素評估結果「有效」、「部分有效」及「少部分有效」之建議標準。 將高風險資訊系統、跨機關整合業務等,增納為內部稽核之必要項目或擇定項目,且得就機關未來管理及績效重大挑戰事項提出預警性意見,以強化內部稽核工作效能。 37
落實內部控制監督作業 (4/18) 一、例行監督 各單位主管人員於日常管理業務過程,即時監督相關業務之內部控制各組成要素之存在及持續運作。 與時俱進檢討不合時宜之控制作業及作業流程 針對涉及人民權利義務之主管業務建立適當之檢核、審查、追蹤、管制或考核等管理機制 針對外界意見或執行缺失部分即時檢討相關法令規定。 遵循相關法令規定或契約。 就主管業務對相關機關或單位善盡監理、督導或輔導等責任。
落實內部控制監督作業 (5/18) 二、自行評估 (1/8) 評估總表 (自行評估結果) 整體層級 作業層級 評估明細表 評估明細表 (控制環境) 評估明細表 (風險評估) 評估明細表 (控制作業) 評估明細表 (資訊與溝通) 評估明細表 (監督作業) 作業層級 自行評估表 自行評估 統計表 部分落實/未落實 項目一覽表
落實內部控制監督作業 (6/18) 二、自行評估 (2/8) 前置作業階段 自行評估階段 研擬自行評估計畫單位 機關首長 作業層級評估單位 內控小組幕僚單位 整體層級評估單位 依機關業務屬性或管理需要調整適用之整體層級自評判斷項目,並確認相關單位分工。 研擬評估計畫。 依據評估單位評估意見,提出各組成要素評估結果並彙整整體層級自行評估總表及明細表 將自行評估結果提經內控小組或內稽相關會議審議通過或簽報召集人核定後,簽報機關首長 指派適任之評估單位 核定評估計畫 編製作業層級自行評估表並簽報單位主管簽章 綜整各單位作業層級自評表,編製自評統計表及部分落實與未落實項目一覽表,並作為評估整體層級判斷項目之參據 就所負責之判斷項目進行評估,並填列評估結果、佐證資料清單、評估情形說明及改善措施/具體興革建議等欄位
落實內部控制監督作業 (7/18) 二、自行評估 (3/8) (示範案例,非機關實況) ○○機關作業層級自行評估表 …… ○○年度 評估單位:管理處分組 評估期間:○○年○○月○○日至○○月○○日 評估日期:○○年○○月○○日 本單位職掌業務例行監督及控制作業(包括經管國有非公用房地被占用處理作業等○項控制作 業),其自行評估結果如下表: (示範案例,非機關實況) 評估重點 評估情形 部分落實/ 未落實/不適用情形說明 改善 措施 落實 部分 未落實 不適用 其他 一、依據業務性質與時俱進檢討不合時宜之控制作業及作業流程,適度精簡、增刪或修訂,使其更臻具體、明確及可用。 V 二、針對涉及人民權利義務之主管業務建立適當之檢核、審查、追蹤、管制或考核等管理機制,並落實執行。 民眾權益保障事宜雖已建置申訴管道但成效有限 針對人民陳情案件設計控制作業並加強督導所屬 三、建立檢討主管法令規定機制,並針對外界意見或執行缺失部分即時檢討相關法令規定。 無主管法令規定 四、遵循相關法令規定或契約。 五、就主管業務對相關機關或單位善盡監理、督導或輔導等責任。 審計部指出未落實督導內控缺失 加強對所屬機關考核機制 六、執行內部控制制度之各項作業。 未落實抽查檢核 …… 填表人:科員○○○ 複核:科長○○○ 單位主管:組長 ○○○ 41
落實內部控制監督作業 (8/18) 二、自行評估 (4/8) - 作業層級自行評估表之佐證資料 (示範案例,非機關實況) ○○機關內部控制制度控制作業自行評估表 ○○年度 評估單位:管理處分組 作業類別(項目):經管國有非公用房地被占用處理作業 評估期間:○○年○○月○○日至○○月○○日 評估日期:○○年○○月○○日 (示範案例,非機關實況) 控制重點 評估情形 改善 措施 落實 部分 未落實 不適用 其他 (一) …… V (二) …… (三)是否按年舉行國有非公用財產業務檢核作業,抽查各分署實務操作狀況,並按月掌控各分署、辦事處執行進度或概況隨時督導、檢討? 設計檢核表由各級督導人員確認 …… 填表人:科員○○○ 複核:科長○○○ 42
落實內部控制監督作業 (9/18) 二、自行評估 (5/8) (示範案例,非機關實況) ○○機關作業層級自行評估統計表 評估單位 ○○年度 評估期間:○○年○○月○○日至○○月○○日 (示範案例,非機關實況) 評估單位 各項評估重點之評估情形 落實 部分落實 未落實 不適用 其他 管理處分組 2 3 1 秘書室 5 … 總計 186(93%) 9(1.5%) 5(2.5%) 17(8.5%) 11(5.5%) 43
○○機關作業層級自行評估部分落實/未落實項目一覽表 落實內部控制監督作業 (10/18) 二、自行評估 (6/8) (示範案例,非機關實況) ○○機關作業層級自行評估部分落實/未落實項目一覽表 ○○年度 評估期間:○○年○○月○○日至○○月○○日 評估單位 評估重點 部分落實/未落實 情形說明 改善措施 管理處分組 針對涉及人民權利義務之主管業務建立適當之檢核、審查、追蹤、管制或考核等管理機制,並落實執行。 民眾權益保障事宜雖已建置申訴管道但成效有限 針對人民陳情案件設計控制作業並加強督導所屬。 ... 44
落實內部控制監督作業 (11/18) 二、自行評估 (7/8) (範例) 內部控制制度整體層級有效性判斷參考項目 評估明細表【控制環境】 評估機關:○○機關 評估期間:103年1月1日至103年12月31日 (範例) 判斷項目 評估 單位 評估結果 佐證資料清單 評估情形說明 改善措施/ 具體興革建議 1.3 授予權限責任 落實職能分工 1.3.1 機關內部高風險業務是否有明確職能分工及制衡機制?例如:出納與會計分工等。(參考法令:出納管理手冊、政府採購法等) 綜合 規劃處 □落實 (高風險業務皆有分工及制衡機制) ■部分落實 (部分高風險業務未有分工及制衡機制) □未落實 (高風險業務皆未有分工及制衡機制) 1.內部控制制度跨職能業務,包括「人事費-薪給作業」等。 2.內部控制制度共通性業務「出納事務盤點及查核作業」等。 3.103年稽核報告。 4.資訊安全管理制度之存取控制程序書。…… 經檢視評估潛在高風險業務之職能分工及制衡機制,除重大緊急事件通報及處理作業依103年度第1次稽核報告所提權責及主政單位有待釐清外,其餘皆已設計適當職能分工及制衡機制(詳職能分工及制衡機制評估明細表) 1.重大緊急事件通報及處理作業之分工已通知業管單位積極釐清權責及主政單位並檢修控制作業。 2.系統帳號及權限管理將請相關單位評估內部控制制度是否須檢修或增訂相關控制作業。 45
○○機關高風險業務之職能分工及制衡機制評估情形表 落實內部控制監督作業 (12/18) 二、自行評估 (8/8) – 評估明細表佐證資料 (範例) ○○機關高風險業務之職能分工及制衡機制評估情形表 高風險業務 佐證資料 評估情形說明 出納與會計分工 內部控制制度跨職能業務「人事費-薪給作業」、共通性業務「出納事務之盤點及查核作業」 ○○機關秘書室職掌出納業務,主計室職掌主計業務,考量職能分工由不同單位負責,主計室每年不定期盤點1次出納人員存管之現金、有價證券等。另針對「人事費-薪給作業」部分,除將作業納入內部控制制度外,並運用主計總處開發之內控型公務機關薪資發放系統,由人事處、秘書室(出納)及主計室承辦人員分別就權責執行相關作業,落實分工及制衡機制。 採購底價訂定機制 內部控制制度跨職能業務「採購作業」 ○○機關採購底價之訂定係由需求或使用單位提出底價預估金額,採購單位檢討預估金額後簽報首長或其授權人員核定底價,前開權責分工已納入內部控制制度。 系統帳號及權限管理 資訊安全管理制度之存取控制程序書 ○○機關導入資訊安全管理制度(ISMS),訂有存取控制程序書,針對主機、……、個人電腦、應用系統等系統帳號管理考量人員職務訂定存取權限並訂有明確職能分工,包含避免共用管理者帳號、避免對個別帳號進行授權等程序。 …… 46
落實內部控制監督作業 (13/18) 二、自行評估 (8/8) (示範案例,非機關實況) 內部控制制度整體層級有效性判斷參考項目 評估總表 二、自行評估 (8/8) 內部控制制度整體層級有效性判斷參考項目 評估總表 評估機關:○○機關 評估期間:103年1月1日至103年12月31日 (示範案例,非機關實況) 組成要素 評估結果 ㄧ、控制環境 ■有效 □部分有效 □少部分有效 二、風險評估 □有效 □部分有效 ■少部分有效 三、控制作業 □有效 ■部分有效 □少部分有效 四、資訊與溝通 五、監督 ■有效 □部分有效 □少部分有效 備 註 本機關原任首長○○○因屆齡退休於○年○月○日離職,由新任首長○○○接任。 本機關內部控制小組召集人○○○因任務需要調整職務,由新任機關副首長○○○擔任。 本機關內部控制制度(第○次修正),係配合機關施政目標(組織規程調整或法令變革等),於○年○月○日修訂。 …… 47
落實內部控制監督作業 (14/18) 三、內部稽核 (1/5) 內部稽核單位應檢視機關風險評估情形,就主要核心或高風險業務優先擇定稽核項目,項目來源如下: 必要項目:審計部中央政府總決算審核報告重要審核意見屬近三年內發生類同內部控制缺失事項,次年經審計部追蹤查核結果仍待繼續改善者、自內部控制制度擇定一定比例之作業項目及資訊系統相關案件經評估存有遭蓄意竊取、竄改或洩漏資料等風險者。 自機關例行監督情形、自行評估結果及潛在風險來源或重要事項擇定稽核項目。
落實內部控制監督作業 (15/18) 三、內部稽核 (2/5) 稽核項目具有施政目標之關鍵策略目標及其關鍵績效指標,或其餘量化或非量化績效目標或指標時,內部稽核人員得衡量稽核項目之資源使用是否具有效率及效果,俾提出可能提升績效之建議,以協助機關制訂政策、績效目標或指標、計畫或強化內部控制機制,另得就機關未來有關管理及績效重大挑戰事項提出預警性意見供機關參考。
落實內部控制監督作業 (16/18) 三、內部稽核 (3/5) (範例) 以行政院主計總處為例,鑒於資訊系統委外開發及維護經費占業務費比率甚高,各項資訊系統採購底價之訂定及預算編製,宜建立共同基準以為依循,爰透過內部稽核蒐集分析相關資料及提出具體建議意見。 稽核人員將行政院主計總處計算基準與司法院計算基準進行比較,發現現行資訊系統委外費用合理價格之估算過程中,計算直接薪資及營業稅內含於公費之方式,與現行「機關委託資訊服務廠商評選及計費辦法」規定有所不同,且「投入人月」之估算因子尚未建立參考準據。
落實內部控制監督作業 (17/18) 三、內部稽核 (4/5) (範例) 項目 行政院主計總處計算基準 司法院計算基準 直接 薪資 實際薪資*(1+R)*1.3 實際薪資*1.3 R=1.5(年終獎金月數)/12 1.3=係直接薪資另加30%(工作人員公假與特別休假等之薪資、保險費及退休金等費用)。 管理 費用 管理費用比率按系統複雜度細分三 級計算80%、90%及100%,目前本總處軟體開發專案僅有前二級。 管理費用比率首年管理費用為100%,新增功能(或功能增修)之管理費用第一年以直接薪資之95%計算,同一年度同一系統多次新增功能時,管理費用亦較前一次減少5%。 公費 公費比率按系統複雜度細分三級計算10%、20%及30%,目前本總處軟體開發專案僅有前二級。 公費比率同一系統第一次新增功能之公費最高為30%,第二次以後最高為10%。 營業稅 內含於公費。 總費用(未含稅),加計5%營業稅
落實內部控制監督作業 (18/18) 三、內部稽核 (5/5) (範例) 為精進投入人月數量估算,建議評估設計「投入人月數量估算原則」之可行性,並評估資訊系統經費計算方式應用於審查各機關資訊系統經費之可行性。 本總處資訊服務費按修正後計算方法每年約可撙節4.88%至7.33%,提升50%作業效率。 資訊服務委外經費計算原則可擴大應用於政府機關及審核各機關資訊預算,以103年度中央政府總預算編列資訊服務費63.55億元,若有50%之資訊系統參酌前述原則計算經費,在所需人月數相同條件下,每年估計約可撙節1.55億元。
(圖片來源: http://www.intelligentphilanthropy.com/) 相關規範適用情形 強化內部控制實施方案:於104年7月7日生效,「擇定主管機關提報內部控制作業落實執行情形原則」及「辦理內部控制宣導及教育訓練應行注意事項」重要內容已納入實施方案,爰該2項規定自即日停止適用。 政府內部控制制度設計原則:於104年7月14日生效,各機關至遲應於105年1月1日起全面適用修正後規定設計或檢修內部控制制度;至尚未設計內部控制制度之機關,應於105年底前完成制度之設計。 政府內部控制監督作業要點:於104年7月17日生效,各機關104年度已依「各機關內部控制制度自行評估原則」、「政府內部稽核應行注意事項」規定擬訂自行評估、內部稽核計畫者,得依原規定賡續辦理監督作業,惟至遲應於105年1月1日起依本要點規定辦理。 53 (圖片來源: http://www.intelligentphilanthropy.com/)
推動內部控制考評獎勵 行政院訂定「政府內部控制考評及獎勵要點」,以激勵各機關落實執行內部控制相關工作,並就受評機關採納具體興革建議納入內部控制制度設計情形,擇選績效案例供各機關進行標竿學習,以強化內部控制之興利功能。 考評項目 落實風險導向 內部控制制度 30分 採納具體興革建議納入制度設計 其他強化具體事蹟 10分 法令遵循 15分 強化內控監督機制 54
(圖片來源: http://www.intelligentphilanthropy.com/) 試辦簽署內控聲明書 內部控制制度聲明書(以下簡稱內控聲明書)就像機關的健康檢查報告,提供機關一個自我檢視內部控制的機會,使機關全體同仁對高風險業務能隨時提高警覺,進而採取必要措施來促使機關達成目標、降低風險。 第一階段6個試辦機關於103年8月簽署各該機關102年度內控聲明書,外交部等16個第二階段試辦機關亦於104年6月底前簽署103年度內控聲明書,並揭露於其機關網站。 55 (圖片來源: http://www.intelligentphilanthropy.com/)
未來推動之重點 56
未來推動之重點 (1/2) 強化內部控制缺失檢討改善 強化監督機制及推動法制化 將擇選示範機關針對常見內部控制缺失態樣進行檢討,協助機關有效降低類同內部控制缺失發生風險。 強化監督機制及推動法制化 輔導機關逐步辦理績效稽核,並輔導機關善用資訊技術導入持續性稽核及監控機制,以提升監督機制之品質與效率。 研議推動政府內部控制法制化,以提升機關首長對內部控制之重視及強化課責,促使各級政府永續落實推動。 57
未來推動之重點 (2/2) 擴大辦理簽署內控聲明書 檢修政府內部控制考評機制 第三階段擴大擇定118個試辦機關簽署104年度內控聲明書,另規劃103年3月底前已完成組織調整之機關均參與簽署105年度內控聲明書,其餘機關則配合組織調整期程納入後續規劃,以強化政府自主管理與課責。 檢修政府內部控制考評機制 將衡酌機關精進其內部控制作業之積極作為,以及其業務屬性、複雜度及風險程度,檢討考評標準。 58
結語
結 語 一、有效的內部控制制度仍需各機關積極推動,避免流於文書形式,應真正內化於組織文化中,俾落實自主管理機制。 結 語 一、有效的內部控制制度仍需各機關積極推動,避免流於文書形式,應真正內化於組織文化中,俾落實自主管理機制。 二、政府內部控制有賴各機關首長支持且全體人員共同參與,藉以預防或減輕危害機關的情事發生,協助達成施政目標並提升政府整體形象。 60