政府內控與內稽重點說明 施議訓 國立台北科技大學

政府內部 控制現況

政府內部控制五大要素金字塔 控制環境係內部控制的基礎，位於金字塔底部 配合控制環境及已設定之目標，據以評估風險 控 制 風 險 控制 監 環 境 評 估 作業 配合控制環境及已設定之目標，據以評估風險 針對風險有效設計及執行控制作業 充分溝通資訊，及時連貫與支援各項要素 督 資 訊 與 溝 通 監督評核各項要素，並追蹤改善情形

設計步驟 內控制度內容 內控五項要素 一、確認目標 壹、整體層級目標及機關組織職掌 貳、作業層級目標及機關組織圖 參、機關分層負責明細表 二、風險評估 肆、風險評估 風險辨識、風險分析、風險評量 三、選定業務項目 根據風險評估結果，就超過機關風險容忍度之主要風險項目，找出對應之相關業務項目 四、設計控制作業 伍、控制作業 針對選定業務項目之重要環節，設計相關之控制重點 五、建立檢查機制 陸、監督 柒、自行檢查之表件格式 資訊與溝通 控制環境 資訊與溝通 風險評估 控制作業 監督

政府內部控制五大要素架構 控制環境 風 險 處 理或回應 監 資 訊 與 溝 通 風 險 評 估 督 控制 作業 (含確認目標) 風險辨識 ︵不含純 規劃 、純執行 部分 ︶ 風險辨識 資 訊 與 溝 通 風 險 評 估 風險分析 風險評量 控制 作業

政府內部控制五大要素—控制環境 塑造機關文化及影響其人員對內部控制認知之綜合因素，為其他四項組成要素之基礎。包括： 公務職業操守與倫理價值觀念之建立及維持； 首長與高階主管對內部控制制度之重視及支持，確認目標且避免過量風險； 組織架構及授權之適當明確； 人力資源管理(含進用、 考核與獎懲)； 專業能力提升(含宣導訓練)。

政府內部控制五大要素—風險評估 辨識攸關之施政風險、分析風險之影響程度與發生可能性，及評量對風險容忍度之過程，據以決定採取控制作業或監督等方式，處理或回應相關風險。包括： 風險辨識：辨識影響目標達成之風險因素； 風險分析：分析風險因素之影響程度及發生可能性，綜合估計風險等級； 風險評量：評量對風險之容忍度並依據 風險等級，決定需優先處理之風險因素。

政府內部控制五大要素—控制作業 為了合理促使機關達成目標、降低風險，且有助於落實機關決策，所訂定之控制規範及程序。包括： 整體層級控制：對機關各單位多項業務有廣泛影響之控管措施或控制規範。 作業層級控制：機關各單位經依個別業務之作業層級目標，所評估風險之結果，秉持化繁為簡原則，設計控制重點；配合業務調整及作業變動， 適時檢討修訂。 整體層級 作業層級

政府內部控制五大要素—資訊與溝通 適時有效編製或蒐集資訊，並傳達予相關人員，使其有效履行職責或瞭解責任履行情形。包括： 資訊：含財務及非財務資訊，可由內部產生或自外部取得，供決策及監督之用。 溝通： 內部溝通：告知機關人員在內部控制所扮演之角 色及責任，並建立通報異常情事之管道，促使機關上下或跨單位資訊充分傳達。 外部溝通：依法對外部人士公開或提供資訊，對外界意見及時處理及追蹤。

政府內部控制五大要素—監督 機關評估內部控制制度設計及執行成效之過程，藉以適時修正改善內部控制制度。包括： 例行監督：由各項業務承辦單位主管人員，經常執行之督導作業。 稽核評估：統合或運用相關稽核評估職能， 客觀檢視內部控制制度設計及執行是否有效， 並就發現之缺失及相關建議，及時改善與追蹤， 必要時檢討修正內部控制制度。

要內部控制制度有效，設計及執行等方面都須產生效果，缺一不可。 政府內部控制制度建置過程 維持： 全體人員/ 檢討、追蹤成效 及修正 設計： 各單位/ 控制規範及程序 得以文字或流程圖等方式敘明 執行： 全體人員 核定： 機關首長/ 三級以下機關另報上級機關備查 要內部控制制度有效，設計及執行等方面都須產生效果，缺一不可。

行政院鑒於內部控制重要性，近年陸續頒行相關規定 我國政府部門內部控制現況(1/3) 行政院鑒於內部控制重要性，近年陸續頒行相關規定 89年「健全財務秩序與強化內部控制實施方案」 請各機關建立有效內部控制機制 97年「加強財務控管及落實會計審核方案」 請各機關檢討改善現存各項缺失，並維持有效之管控機制 98年「強化中程計畫預算作業促進資源有效運用方案」、「強化特種基金預算管理提升營運效能方案」及「提升政府財務效能方案」 請各機關提升財務效能及有效運用資源 99年「國家廉政建設行動方案」 請各機關加強內部控制機制，針對風險較高的業務實施稽核 100年「整合服務效能躍升方案」 請各機關強化內部管理、表單標準化及行政流程簡化，提升行政效能

我國政府部門內部控制現況(2/3) 中央行政機關 中央行政機關依行政院函頒之前開規定及現行相關法令，建立相關管控作業機制。 其中行政管考、人事考核、政風查核、政府採購稽核、事務管理工作檢核及內部審核等6項業務，分由相關權責機關進行重點稽核或評估。

我國政府部門內部控制現況(3/3) 定辦理，其作法與民營企業相同： 國營事業 屬公開發行公司及金融業者，均已依現有法令規 訂定內部控制制度及內部稽核實施細則(或辦法)。 設置檢核(或稽核)單位隸屬董事會，辦理內部稽核工作。

ISO文件架構 資訊安全政策 1階 手冊 風險管理程序書 2階 資安稽核程序書 3階 機房管理作業規範 網路作業管理規範 4階 資安事件通報單 資產管理清冊 15

自行檢查之表件格式 竹東高中內部控制制度自行檢查表 101年度 自行檢查單位：資訊組 作業類別(項目)：資訊安全事件通報 檢查日期： 101 年 09月 12日 檢查重點 自行檢查情形 檢查情形說明 符合 未符合 作業流程有效性 (一)作業程序說明表及作業流程圖之製作是否與規定相符。 (二)內部控制制度是否有效設計及執行。 資訊安全事件通報 (一)記錄與通知: 業務承辦人員是否有填寫「資訊設備或系統異常狀況處理紀錄表」 業務承辦人員是否通知權責單位資安聯絡人? (二)判斷資安事件： 資訊安全事件之認定是否經由資安聯絡人與業務相關人員共同判斷? (三)通報資安負責人： 資安聯絡人是否有填寫「資訊安全事件通報單」? 資安聯絡人是否將資訊安全事件通報機關資安負責人? 資安負責人是否確認資安事件影響等級，並陳資訊安全推動小組執行秘書複核? (四)通報管理階層： 各級資安事件是否通報至資訊安全推動小組執行秘書? 第4級資安事件是否通報至資訊安全推動小組召集人? 若須向外通報，是否依程序通報至國家資通安全會報? 結論/需採行之改善措施： 填表人： 複核： 單位主管：

竹東高中資訊安全事件通報作業程序說明 JD20120912-01 資訊安全事件通報 資訊組 4.1對內通報 項目編號 JD20120912-01 項目名稱 資訊安全事件通報 承辦單位 資訊組 作業程序說明 一、業務承辦人員自行發現，或接獲通報資安事件或異常事件時，應填寫「資訊設備或系統異常狀況處理紀錄表」，並通報權責單位資安聯絡人。(參考資訊安全聯絡人員名冊) 二、資安聯絡人接獲通知後，應與業務相關人員共同判斷是否為資訊安全事件。(參考資訊安全事件管理程序書之資安事件等級說明) 三、若為資訊安全事件，資安聯絡人應依狀況評估事件影響等級，並填寫「資訊安全事件通報單」後通報機關資安負責人。 四、資安負責人於收到「資訊安全事件通報單」後，依狀況確認事件影響等級，並陳資訊安全推動小組執行秘書複核後依程序進行通報。 4.1對內通報 各級資安事件均應通報至執行秘書，並通知權責人員進行事件處理；若為第4級則另須通報至資訊安全推動小組召集人。 4.2對外通報 若影響等級為4級或由外部單位反應之資安事件，由資訊安全推動小組召集人判斷，決定是否向國家資通安全會報通報。 控制重點 記錄與通知：業務承辦人員應填寫「資訊設備或系統異常狀況處理紀錄表」，並通知權責單位資安聯絡人。 判斷資安事件：資安聯絡人應與業務相關人員共同判斷是否為資訊安全事件。 通報資安負責人：資安聯絡人評估資安等級，並填寫「資訊安全事件通報單」，通報機關資安負責人，由資安負責人確認後陳資訊安全推動小組執行秘書複核。 通報管理階層：各級資安事件均應通報至執行秘書，第4級另應通報至資訊安全推動小組召集人，由其決定是否向國家資通安全會報通報。 法令依據 資訊安全事件管理程序書 使用表單 資訊安全聯絡人員名冊 資訊設備或系統異常狀況處理紀錄表 資訊安全事件通報單 資訊安全推動小組組織圖

竹東高中資安事件通報作業流程圖

行政院之 推動作法

行政院之推動作法 目的 處參考先進國家經驗及兼顧我國需求，審慎研議規劃。 規劃 作法 提升政府整體施政效能，達到興利及防弊功能。 基於內部審核為內部控制重要一環，行政院主計 處參考先進國家經驗及兼顧我國需求，審慎研議規劃。 奉院長核定，由秘書長籌組行政院內控小組 ，於本年2月1日函頒「健全內部控制實施方案」 (簡稱本方案)，逐步推動政府內部控制事宜。 規劃 作法 強化縱向與橫向聯繫及統合功能，並採取逐級分工及6大推動作法。 20

目的 防弊 興利 落實自律 增進效能 本方案訂定之目的：行政院為提升政府施政效能、依法行政及展現廉政肅貪之決心。 依法行政 廉政肅貪 達成 目標 、 降低 風險 落實自律 增進效能

實施及準用之對象 實施對象：行政院及所屬各機關(構)、學校 (簡稱各機關)。 國營事業之準用：國營事業除已依現有法令規定訂定內部控制制度者，應加強落實辦理外，準用本方案之規定。 (國營事業尚未訂定內部控制制度者，納入準用)

實施策略及方法 推動作法 逐級分工 行政院內控小組 組成內部控制推動單位 辦理內部控制宣導訓練 檢討現有內部控制作業 設計有效內部控制制度 檢查評估制度執行情形 逐級督導落實執行方案 推動作法 行政院內控小組 權責機關(含財政部、法務部、行政院主計處、人事行政局、經濟建設委員會、研究發展考核委員會、國家科學委員會及公共工程委員會) 主管機關 各機關 逐級分工

內部控制制度共通性作業範例分工表 作業流程及控制重點 權責機關 出納、財產管理業務 政風業務 主計業務 人事業務 公共建設計畫之編審 行政管考業務 社會發展計畫之編審 科技發展計畫之編審 採購業務 財政部 法務部 行政院主計處 行政院人事行政局 行政院經濟建設委員會 行政院研究發展考核委員會 行政院國家科學委員會 行政院公共工程委員會 作業流程及控制重點 權責機關 24 24

政府內部控制制度設計步驟 確認目標 風險評估 選定業務 項目 (1/2) 在機關 政府採購公開透明 的既定整體層級目標下 l 在機關 「 政府採購公開透明 」 的既定整體層級目標下 ，採購作業主辦單位針對採購業務，確認以「提升 採購效率，防範採購弊端 為作業層級目標。 風險評估 選定業務 項目 經評估 採購招標方式之選擇 易發生錯誤，以致延 宕採購時程、影響計畫執行率甚或衍生採購弊端， 為機關不可容忍之高風險業務項目。 為達成目標、降低風險，決定將採購業務項目中 採 購招標方式之選擇 作業 ， 納入內部控制制度設計 。 倘「內部控制制度共通性作業範例」已訂有相關作 業，得逕行參採。