內部控制基本概念與作法 報告單位：秘書室稽核組

簡報綱要 前言 內部控制制度 學校內部稽核 結語

壹、前　言

前言 會計研究發展基金會1985年發佈「內部控制制度審計準 則公報」。證期局發佈「公開發行公司建立內部控制制 度處理準則」作為公開發行及上市、櫃公司推行依據， 其後推行至一般公司。 行政院自2010年啟動內部控制工程，參考各國實務作法 及公開發行公司相關法規及做法，訂定各種法規及試辦 計畫，作為各機關推行內部控制制度之依據。 教育部依私校法第51條頒訂「學校財團法人及所設私立 學校內部控制制度實施辦法」，99學年度開始啟動內部 控制制度之建立實施。99~101學年度為學習階段， 102~103學年度為訪視階段，104學年度為成熟階段。

貳、內部控制制度

內部控制受重視的背景 安隆案省思－公司治理制度未能落實 公司董監事對公司快速轉型所從事之一些複雜金 融交易並不能及時充分了解，或僅流於形式上參 與會議，使安隆公司治理機制、內部控制及內部 稽核制度無法發揮監督功能。

內部控制、內部稽核與內部審核　 風險管理 公司治理 內部控制 內部稽核 內部審核

內部控制的理論依據 1992年，COSO委員會提出報告《內部控制－整體框架》。 1996年美國會計師協會發佈SAS 78（審計準則公告第78 號），全面接受COSO報告的內容。 2013年COSO，將內部控制定義為：「內部控制是一種管 理過程，由組織之董事會、管理階層及其他成員負責執行， 合理確保達成營運、報導及遵循等相關目標。」適用於財 務及非財務層面與自行評估及監督工作。 美國管理會計學會 美國財務主管協會 美國會計師公會 國際內部稽核協會 美國會計學會

學校內部控制的定義 內部控制為整合組織內部各種控管及評核措施之管理 過程，並由學校內全體人員共同參與。 內部控制係由控制環境、風險評估、控制活動作業、 資訊和溝通及監督等五項要素構成，係管理階層結合 經營目標、策略與風險管理，實施之管理過程，為治 理機制的基礎，有完整的內部控制架構，才能有效管 理風險，進而使治理機制發揮功能，達成組織目標。

院系所教學研究領域 之行政程序 內部控制 教務、學務、總務、研發、人事、會計等行政程序--程序部分 課程、教學、研究專業內容 --實體部分 課程、教學、研究專業內容 --實體部分 教育評鑑 教務、學務、總務、研發、人事、會計等行政程序--程序部分 內部控制 院系所教學研究領域 之行政程序 資料來源：教育部技職司劉火欽(99.4.20)

學校治理與內部控制 健全內部控制，確保學校治理機制發揮功能，達成經 營目標。 資料來源：中華民國管理科學學會計畫協同主持人陳貴端教授 (103.6.9)

內部控制的觀念性架構 ㈠ 營運效率與效能提升 ㈡ 資產安全合理保障 ㈢ 法令規章之遵循 ㈣ 可靠資訊之提供 ４資訊與溝通 １控制環境 四 大 目 標 五 要 素 及 實 施 步 驟 ㈠ 營運效率與效能提升 ㈡ 資產安全合理保障 ㈢ 法令規章之遵循 ㈣ 可靠資訊之提供 控制作業應定期審查以確保其適切性與有效性、如需調整應儘速與利害相關者溝通 ４資訊與溝通 風險處理或回應 １控制環境 （塑造組織文化及影響其成員對內部控制認知的綜合因素） （內部稽核） ５監督 ２風險評估 風險辨識 風險分析 ３控制作業 風險評量

學校內部控制的目標 提供可靠報導 遵循法令規章 合理保障資產安全 確保營運效率與效能

內部控制的實施步驟 控制環境 風險評估 控制作業 資訊與溝通 監督 1 2 3 4 5 塑造學校文化及影響其成員對內部控制認知的綜合因素 辨識、分析及評量相關風險 控制作業 合理確保組織目標得以達成，所需採取之作業控管機制 資訊與溝通 協助所有人清楚瞭解相關資訊，以完成工作任務並達成組織目標 監督 評估品質並促進改善 1 2 3 4 5

風險評估機制 風險辨識 風險分析 風險評量

風險辨識 依據整體校務發展目標及作業層級目標，參考「行政 院研考會風險管理及危機處理作業手冊」中所列之風 險來源，及本校校務發展計畫、教育部來函糾正 （舉）、審計部建議事項及輿情反應等風險來源，進 行辨識風險項目。

風險分析 風險辨識後，參採「行政院研考會風險管理及危機處 理作業手冊」之風險評估工具，考量本校業務特性， 訂定適用於本校之「影響程度之敘述分類表」及「發 生機率之敘述分類表」，作為衡量風險影響程度及發 生機率之參考標準，並據以計算風險值。

本校風險分析標準 經本校第一次內部控制制度推動委員會會議通過（104.12.14) 等級 影響 程度 營業效率達成 (經費/時間) 法令遵循 人員傷亡 學校形象 財務損失 3 非常 嚴重 大量增加 違反政府機關法令 人員死亡 學校形象重大損失 100萬元以上 2 (中) 中度增加 違反本校法令 人員重傷 學校形象中度損失 10萬-100萬元 1 輕微 (低) 輕微增加 違反單位作業程序 人員輕傷 學校形象輕微損失 10萬元以下 影響程度等級表 發生機率等級表 等級 發生機率分類 發生機率 百分比 詳細描述 3 幾乎確定 50%以上 一年內大部分的情況會發生 2 可能 10%～50% 一年內有些情況會發生 1 幾乎不可能 10%以下 一年內極少的情況會發生 經本校第一次內部控制制度推動委員會會議通過（104.12.14)

風險評量 風險值為影響程度等級及發生機率等級之乘積（風險 值=影響程度等級＊發生機率等級），風險值分佈矩 陣如下表3。經過風險分析結果，考量本校人力、資 源、組織環境等因素，針對風險值3(含)以上之作業 事項，皆納入本校內部控制制度。

風險值評量 風 險 值 (風險分布) 影 響 程 度 發 生 機 率 風險值﹦影響程度*發生機率 非常嚴重(3) 3 (高度) 6 9 (極度) 嚴重(2) 2 (中度) 4 輕微(1) 1 (低度)   極少(1) 有可能(2) 極有可能(3) 發 生 機 率 風險值﹦影響程度*發生機率 風險值3(含)以上之作業事項，皆納入本校內部控制制度。

3 1 2 6 4 範 例 一級單位 二 級 單 位 作業事項 風險來源 (辨識) 教務處 註 冊 組 學生學籍管理作業 範 例 一級單位 二 級 單 位 作業事項 風險來源 (辨識) 影響 程度 等級 (a) 發生機率等級(b) 風 險 值 (a*b) 教務處 註 冊 組 學生學籍管理作業 未依程序正確記錄學生學籍現狀，影響學生就學權益；學生學籍資料未依個人資料保護法妥為保管、運用，影響學生權益。 3 1 訂定行事曆作業   更動重要行事日期未經行政會議通過並報教育部備查、誤植重要行事日期，未依行事曆訂定日期辦理各項活動。 2 課 務 課程訂定作業 新設系所擬訂新課程，或原有系所增訂、修訂、刪除課程時，未依規定完成相關審查程序致影響學生修課權益。 招 生 招生名額總量提報作業程序 少子化的衝擊，教育部發布修正總量發展規模與資源條件標準，將所系師資質量考核、新生註冊率、評鑑成績、行政缺失、資源條件不足等情事，核減招生名額，學校營運出現招生危機。 6 招生考試作業－招生簡章修訂 簡章內容不符合教育部規定致增額錄取，發生試務疏失，教育部扣減招生名額。 招生考試作業－報名作業 未依規定或疏忽審查考生報名資格，影響考生權益。 4

各單位風險評估作業程序 ※各單位的作業事項共N項，篩選出≦N項的「高風險」作業事項。 蒐集友校相關內控作業資訊 找出本校單位的作業事項 辨識各作業事項的風險 評估所有作業事項的風險值 找出風險值≥3的作業事項 撰寫內控制度之控制作業 ※各單位的作業事項共N項，篩選出≦N項的「高風險」作業事項。 ※已納入本校內控制度中的作業事項，評估是否為高風險事項。

本校各項控制作業 * * ※依據訪視委員建議，由行政單位逐步擴展至教學單位。 ※增加「學生實習作業」於營運事項之學生事項中。 教務處 學務處 總務處 研發處 國合處 進修 推廣 部 秘書室 人事室 會計室 軍訓室 體育室 圖書館 美術文物館 電算中心 語言中心 教資中心 學發中心 工程學院 管理學院 設計學院 生科學院 通識中心 人事事項 * 財務事項 營運事 項 教學 *　 學生 總務 研究 產學 國合 資訊 其他 ※依據訪視委員建議，由行政單位逐步擴展至教學單位。 ※增加「學生實習作業」於營運事項之學生事項中。 ※增加「美術文物展覽作業」及「典藏品管理作業」於營運事項之其他事項中。 ※少子化是各校面臨之當前高風險事件，招生作業宜訂定策略因應。

教學單位內部控制制度 http://mis2.hk.edu.tw/QuickPlace/iso/Main.nsf/h_Toc/26DE3C17E74F02D5482571690007735A/?OpenDocument

教學單位內部控制制度

控制作業 控制作業內容要項 1.目的(作業層級目標) 2.作業程序(文件作業的敍述及步驟，單位+動詞+受詞) 3.控制重點(各作業中的重點， 「是否」+「作業程序」） 4.使用表單(該文件所需要的表單） 5.依據及相關文件(與該文件有關的校內外法規) 6.流程圖(依據教育部作業標準化(SOP)流程圖製作規範及行政院內部控制制度共通性作業範例製作原則)

流程圖符號 符 號 名 稱 意 義 準備作業（Start） 流程圖開始 處理（Process） 處理程序 決策（Decision） 符 號 名 稱 意 義 準備作業（Start） 流程圖開始 處理（Process） 處理程序 決策（Decision） 不同方案選擇 終止（END） 流程圖終止 路徑（Path） 指示路徑方向 文件（Document） 輸入或輸出文件 多重文件 (multiple Document） 輸入或輸出數件文件 已定義處理 （Predefined Process） 使用某一已定義之處理程序 連接（Connector） 流程圖向另一流程圖之出口；或從另一地方之入口 註解(Comment) 表示附註說明之用

流程圖結構說明 (1/5) 循序結構（Sequence） （一）圖形： （二）意義：處理程序循序進行。 （三）語法：DO 處理程序1 　THEN DO 處理程序2

流程圖結構說明 (2/5) 二元選擇結構（基本結構） 選擇結構（Selection） （一）圖形： （二）意義：流程依據某些條件，分別進行不同處理程序。 （三）語法：IF 條件　 THEN DO 處理程序1 ELSE DO 處理程序2 條件 處理程序3 是 否

流程圖結構說明 (3/5) 多重選擇結構（二元選擇結構變化結構） 選擇結構（Selection） （一）圖形： （二）意義：流程依據某些條件，分別進行不同處理程序。 （三）語法：FOR 條件 P CASE 1 DO 處理程序1 CASE 2 DO 處理程序2 . . . CASE n DO 處理程序n

流程圖結構說明 (4/5) 重覆結構（Iteration） REPEAT-UNTIL結構 （二）意義：重覆執行處理程序直到滿足 （一）圖形： （二）意義：重覆執行處理程序直到滿足 某一條件為止，即直到條件 變成真（True）為止。 （三）語法：REPEAT DO 處理程序 UNTIL 條件

流程圖結構說明 (5/5) （一）圖形： 重覆結構（Iteration） DO-WHILE結構 （二）意義：除了在執行處理程序之前，得先 和REPEAT-UNTIL結構很相 似，若條件為偽（False），就不 再執行處理程序。 （三）語法：WHILE 條件 DO 處理程序 END

流程圖繪製原則 (1/8) 一、流程圖分中心主軸及旁支說明，主軸內各流程圖文字請鍵 入KEY WORD，各細部流程若需補充說明，請精簡條列以 虛線旁支說明，每點以不超過二行為原則。 二、各項細部流程有辦理期程者，應註明。 三、各項步驟有選擇或決策結果，如（可、否）、「通過、不 通過」或其他相對文字時，請回饋校正流程是否有遺漏， 以避免懸而未決狀況。 四、注意各流程圖動線勾稽的合理性、並考量是否需建置分表 或合成簡要總表，分表與總表應以符號、顏色或欄位等區 隔，使人一目瞭然。 五、流程圖符號繪製排列順序，為由上而下，由左而右。

流程圖繪製原則 (2/8) 六、處理程序文字命名部份，以「動詞＋受詞」及簡明扼要敘述為原則。若須表示處理程序之單位，則在處理程序前加上單位名稱。 【實例1】

流程圖繪製原則 (3/8) 【實例2】

流程圖繪製原則 (4/8) 【修正前】 【修正後】 七、處理程序須以單一入口與單一出口（Single-Entry, Single- Exit）特性繪製。 【實例】 【修正前】 【修正後】

流程圖繪製原則 (5/8) 八、流程圖一頁放不下時，可使用連接符號連接下一頁流程圖。 同一頁流程圖中，若流程較複雜，亦可使用連接符號來述明 流程連接性。連接符號內請以文數字標示，以資區別。 九、相同流程圖符號宜大小一致。 十、路徑符號宜避免互相交叉。 【實例】 1. 2. 3. 否 是 1. 2. 是 否 3. 【修正前】 【修正後】

流程圖繪製原則 (6/8) 十一、同一路徑符號之指示箭頭應只有一個。 【實例】 【修正前】 【修正後】

流程圖繪製原則 (7/8) 十二、開始符號在流程圖中只能出現一次，但結束符號則不限。 若流程圖能一目了然，則開始符號及結束符號可省略。 十三、選擇結構及重覆結構之選擇或決策條件，文字敘述應簡明 清晰，路徑並加註「是」及「否」或其它相對性文字指示 說明。 十四、流程圖中若有參考到其他 已定義流程，可使用已定 義處理程序符號，不必重 複繪製。 【實例】

流程圖繪製原則 (8/8) 【第一頁】 【第二頁：處理程序2的階層性分頁繪製】 十五、流程圖若一頁繪製不下，可以使用階層性分頁繪製方式， 並在處理程序編號上表示其階層性。 【實例】 【第一頁】 【第二頁：處理程序2的階層性分頁繪製】

Control Self Assessment , CSA 內部控制自行評估 Control Self Assessment , CSA 以「自我監督」為基礎之內部評核機制。 各單位自行檢視各項作業流程執行之效率與效果，確認內控機制是否有效、可行且仍被執行。 有助於各單位瞭解流程與風險、設定控制與落實自主管理進而提升學校營運效能。

內部控制評估程序 確定目前所建立之作業程序與控制機制 審核內部控制設計之妥適性 評估內部控制制度，以確認是否需加以擴增或刪減 提出內部控制制度之改善措施

自行評估架構 作業層級 自行評估表 （各一級單位填報；秘書室彙整） 整體層級 (各單位填報) 自行評估 統計表 (秘書室彙整) 未符合項目 控制環境 控制作業 資訊與溝通 整體層級 風險評估 監督 (各單位填報) 自行評估 統計表 (秘書室彙整) 未符合項目 一覽表

參、學校內部稽核

內部稽核的定義 依據國際內部稽核協會(IIA)於2007年發佈國際專業實 務架構(IPPF)對內部稽核定義為「內部稽核是一種獨 立、客觀之確認及諮詢服務，用以創造價值及改善組 織營運。它協助組織透過有系統及有紀律的方法，評 估及改善風險管理、控制及監理相關流程之效果，以 達成組織目標。」

內部稽核的目的 內部稽核猶如組織內的糾察隊 找出異常與脫軌之處 扮演重要但不討好的角色 內部稽核是內部控制的一環（內控五大要素之一的監 督），目的在藉由獨立而客觀的查核，確認內部控制 制度之適切性與有效性，提出改善建議並追蹤改善情 形，以監督內部控制確實運作。 內部稽核猶如組織內的糾察隊 找出異常與脫軌之處 扮演重要但不討好的角色

董事會、監察人與內部稽核關係 監察人 董事會 校長 內部稽核 管理階層 監督 負責經營成果 報告董事會(列席) 定期送呈稽核報告 配合稽核、良性溝通 評估內部控制有效性 負責經營成果 定期送呈稽核報告 異常事項立即通知 追蹤報告呈送 建立並維持有效內控 資料來源：中華民國管理科學學會計畫協同主持人陳貴端教授 (103.6.9)

內部稽核職能與組織定位 為提昇內部稽核之稽核作業獨立性，學校稽核人員組織隸 屬校長室或設專責單位直接對校長負責。學校法人應置專 職或兼職稽核人員，或指派學校稽核人員兼任，直接對董 事會負責。  學校稽核人員，應依風險評估結果擬訂稽核計畫（定期稽 核及專案稽核）經校長核定實施，學校法人稽核計畫應經 董事會通過實施。 學校稽核報告及追蹤報告應送校長核閱，學校法人稽核報 告及追蹤報告應送董事會報告，副本交付監察人查閱。重 大違規情事應函報學校法人（董事會）、監察人及學校主 管機關。

內部稽核的角色 ˙興利 ˙強調營運目標、風險及創造價值。 ˙確認及諮詢 (醫生) ˙防弊 ˙著 重作 業層 級之 檢查 與偵 測 ˙被 視為 組織 之內 部警 察 (東 廠、 錦衣 衛) 現階段稽核角色 傳統稽核角色 稽核單位與受稽核單位不是對立，而是合作。

內部稽核方式 定期性稽核 專案性稽核 臨時性稽核 由內部稽核人員依據本校「內部控制實施細則」及年度稽核計畫執行 因單位已發生風險或單位接受校外補助經費專案計畫之查核 臨時性稽核 依校長或其授權人之指示或交辦事項辦理事件個案稽核

內部稽核作業程序 規劃準備階段 實地執行階段 報告追蹤階段 ★蒐集分析與研判查核所需資料 ★進行實地稽 核 ★撰寫稽核報告 ★擬定稽核計 畫呈送校長 核定 ★準備稽核工 具及方法 實地執行階段 ★進行實地稽 核 ★提出建議並 與受稽單位 溝通 ★稽核結果彙 整及撰寫稽 核工作底稿 報告追蹤階段 ★撰寫稽核報告 ★提報改善 　 措施 ★追蹤缺失或 異常之建議 改善事項

肆、結　語

各單位需繳交之資料 3/31前繳交各單位「風險評估表」紙本(主管蓋章)及電子檔 先辨識各項（行政）作業所面臨的風險來源→評估影響程度等級(1~3)→ 評估發生機率等級(1~3) →計算風險值 風險值≥3的作業事項→需接續撰寫內控制度之控制作業 4月初召開「 104學年度第二次內部控制制度推動委員 會」 ，提案討論各單位風險評估結果。 6/30前依權責繳交修正後及新增的人事、財務及營運事 項之「內部控制作業」 內容包含：1.目的(作業層級目標如：為規劃及審議課程，展現本校發展 特色．．．)、2.作業程序、3.控制重點、4.使用表單、5.依據及相關文件、 6.流程圖

內部控制作業撰寫說明(1/3) 流程圖：依法規程序及目前執行運作方式，將步驟環 節、橫向、縱向，逐一詳細畫出內控流程圖。 作業程序：對流程步驟、作業時程、重要經驗及注意 事項等，以文字列明。（文字敍述與流程圖相配合） 單位+動詞+受詞 控制重點：列明不可遺漏之程序、步驟或應予特別重 視之作業或法令規定等重要環節；該環節若未列為控 制重點，即有可能發生差錯、浪費人力物力時間、引 發糾紛、申訴、無法補救、或必須重來…等 情事。 「是否」＋ 「作業程序」

內部控制作業撰寫說明(2/3) 範 例 作業程序：本校應於每一會計年度開始前，預估下 一年度財務收支情形，擬編預算，經預算編製審查 委員會及校務會議通過後，提董事會議通過，於每 年7月31日前陳報教育部備查。 控制重點：預算報表是否經預算編製審查委員會議 及校務會議通過後，提董事會議通過，於規定期限 內陳報教育部備查。

內部控制作業撰寫說明(3/3) 使用表單：將此項業務所使用之表單逐項列出‧如招生 廣告文案、錄取通知、網頁法規之更新申請…等。 依據及相關文件：請遵照機關層級、法令位階等順序 予以排列。（如總統令 ->行政院令->教育部令->本校 自訂規章->會議決議->簽陳…）。

各學院內部控制撰寫規劃 ○○學院內部控制作業 一、教師聘任作業 ○○系（所）教師聘任作業 ○○系（所）教師聘任作業 二、教師升等作業 　　 ○○系（所）教師聘任作業 ○○系（所）教師聘任作業 　二、教師升等作業 三、課程審議作業 　四、學生實習作業 各系(所)進行 作業風險評估 105年擇一系撰寫 內控作業內容 106年完成學院所屬各系所內控文件

簡 報 結 束