學校內部控制觀念架構及運作機制 報告人:蔡博賢 2014.04.09
報告大綱 前言 內部控制基本觀念 學校內部控制運作機制 教育部政策:辦法及時程 教育部訪視私立學校內部控制制度指標項目及內容 結語 一、前言 實例:疫苗接種、機場安檢、蚊子館活化、常見缺失態樣 政府推動內部控制的緣起 二、內部控制基本觀念 COSO組織 COSO內部控制架構之演進 1992年COSO內部控制整體架構 內部控制之定義及觀念 內部控制五大要素金字塔 內部控制五大要素 內部控制制度建置過程 內部控制制度文件化的重要性 內部控制制度成功關鍵因素 內部控制制度設計概念 內部控制之限制 三、政府內部控制現況 我國政府部門內部控制現況 四、行政院之推動作法 行政院健全內部控制推動作法 健全內部控制實施方案及相關推動作法 組成內部控制推動單位 辦理內部控制宣導訓練 檢討現有內部控制作業 逐步完備內部控制制度 內部自行檢查以及稽核 逐級督導落實執行方案 五、結語
前 言
健全內部控制機制的重要性(1/5) 打疫苗,要「五對」 病人對、藥品對、時間對、 看診 劑量對、方法對 注射 施打藥物時,要確認病人對、藥品對、時間對、劑量對、方法對
健全內部控制機制的重要性(2/5) 身分核驗 搭飛機,要安檢 放行登機 行李檢查 全身檢查
健全內部控制機制的重要性(3/5) 閒置設施,全面活化 工程會於99年11月陳報「公共設施閒置空間之活化及防範策略方案」,奉 院長裁示: 工程會於99年11月陳報「公共設施閒置空間之活化及防範策略方案」,奉 院長裁示: 對低度使用及閒置設施,管控於1年內完成活化。並嚴謹檢視主管計畫,落實效益評估,避免公共建設閒置造成浪費,絕不容許再製造出任何的閒置設施。
健全內部控制機制的重要性(4/5) 車諾比核電廠爆炸(1986.4.26) 170萬人受直接影響,事故清理、遷居及補償費用約2千億美元。 內部控制問題: 機組設計有缺陷,但職員未被告知此風險。 職員未經上級許可,無視安全管制規範,違規操作。 蘇聯政府災後反應遲緩,且未即時對外發布新聞。
健全內部控制機制的重要性(5/5) 美國哥倫比亞號太空梭爆炸(2003.1.26) 事故調查取證及殘骸搜救等,約花費130億美元。 美國太空總署內部控制問題: 對太空梭安全控管存有僥倖心態。 過度依賴以往經驗,忽視可能潛在的風險。 事前即發現機翼破洞,但下情無法上達。
內部控制 基本觀念
COSO組織 COSO,係美國專門研究內部控制議題的民間組織,由5個機構贊助成立。 美國會計學會 美國財務主管協會 美國會計師公會 美國管理會計學會 國際內部稽核協會
內部控制的定義及觀念 共同設計、執行及維持的管理過程 →五項要素 何謂內部控制: 係由機關內部全體人員參與 →人人有責 係由機關內部全體人員參與 →人人有責 共同設計、執行及維持的管理過程 →五項要素 藉以合理確保達成其目標 →四項目標 高階主管(尤其是首長)對內部控制制度的有效設計、執行及維持,負主要責任 透過五項互有關聯的組成要素,整合內部各種控管及評核措施 按五項要素逐一檢查、判斷內部控制制度的有效性 內部控制制度有其先天限制 不論設計及執行如何有效,僅能「合理確保」而非絕對保證目標的達成
機關各單位及業務,經整合五項組成要素,合理促使達成四項目標 內部控制的目標及要素 法令遵循 資產安全 可靠資訊 四項目標: ● 提升施政效能 ● 遵循法令規定 ● 保障資產安全 ● 提供可靠資訊 施政效能 施政效能 業 務 2 業 務 1 五項要素: 1.控制環境:機關文化、內部控制認知 2.風險評估:辨識、分析與評量風險 3.控制作業:控制規範及程序 4.資訊與溝通:資訊處理及傳達 5.監督:評估內部控制制度執行有效性 監 督 單位 B 資 訊 與 溝 通 單位 A 控 制 作 業 風 險 評 估 控 制 環 境 政府內部控制整體架構~ 機關各單位及業務,經整合五項組成要素,合理促使達成四項目標 11
內部控制五大要素金字塔 控制環境係內部控制的基礎,位於金字塔底部 配合控制環境及設定之目標,據以評估風險 針對風險有效設計及執行控制作業 資 訊 與 溝 通 資 訊 與 溝 通 資 訊 與 溝 通 監 督 控制 作業 評 估 風 險 環 境 COSO控制模式是以控制環境為基礎。根據組織的控制環境及目標,管理當局必須辨認、分析及管理相關的風險,也就是進行風險評估與管理。緊接著,企業應建立與執行適當的控制政策與程序,以有效的執行與風險相關的控制作業。至於組織的資訊與溝通系統的作用,則在於讓組織的成員可以捕捉及分享與執行、管理及控制其活動有關的資訊。上述的控制過程必須加以監督,並做必要的修正,以維持內部控制制度的有效性。換句話說,這五項組成要素之間密切相關,而形成一個完整的內部控制模式。 控 制 充分溝通資訊,及時連貫與支援各項要素 監督評核各項要素,並追蹤改善情形
內部控制五大要素—控制環境 塑造機關文化及影響其人員對內部控制認知的綜合因素,為其他四項組成要素的基礎。 包括: 公務職業操守及倫理價值觀念之建立與維持; 高階主管對推動及落實內部控制制度之重視與支持、為機關設定明確化的目標且避免承受過量風險; 機關組織架構及授權之適當明確; 人力資源之健全管理(含員工聘僱、考核與獎懲); 專業能力之提升(含辦理宣導訓練); 內外部督導單位之聯繫。
內部控制五大要素—風險評估(1/3) 辨識攸關之施政風險、分析該等風險之影響程度與發生可能性,以及評量對風險容忍度的過程。 包括: 風險辨識:辨識影響目標達成的風險因素(事項) 。 風險分析:分析風險因素的影響程度(衝擊) 及其發生可能性(機率),綜合估計風險等級。 風險評量:評量對風險的容忍度並依據風險等級,決定需優先處理的風險因素。 風險處理(回應):對於無法接受之風險因素,選擇可行方式處理(如減輕影響程度或降低發生機率),逐步設計必要之控制作業,以減低風險。 內部控制的主要作用即在於降低或消除各風險因素的預期損失 風險評估與建立相關內部控制的步驟: 辨認威脅 估計風險 估計可能損失 找出相關的控制程序 估計控制程序的成本與效益 選定控制程序
內部控制五大要素—風險評估(2/3) 風險類型:組織營運均會面臨下列各種風險: 策略風險:此類風險與組織作錯事情(決策)有關 營運風險:此類風險關係到以錯誤的方法去執行正確 的決策 財務風險:此類風險與損失財務資源或發生無法接受 的負債有關 資訊風險:此類風險關係到不正確或不相關資訊、不 可靠的系統、及不正確或誤導的報告 內部控制的主要作用即在於降低或消除各風險因素的預期損失 風險評估與建立相關內部控制的步驟: 辨認威脅 估計風險 估計可能損失 找出相關的控制程序 估計控制程序的成本與效益 選定控制程序
內部控制五大要素—風險評估(3/3) 採購作業之 風險因素 法令繁雜、專業知識 眾多 攸關廠商利益,常 引發爭議 規劃欠周, 致使用效益不佳 相關人員未依規定 公正處事 自行採購 成本高,可能 較無效率 資訊設備由各單位自行採購,因未達大量規模或缺乏價格參考資訊,導致採購成本增加,且因規格不一,維修費用較高 金額大 誘使盜用侵占舞弊 承受預算 執行壓力 辨認風險 因素範例
內部控制五大要素—控制作業 為了合理確保機關達成目標、降低風險,且有助於落實機關決策 ,所訂定的控制規範及程序。 包括: 作業層級控制:按機關各單位個別業務的作業層級目標與風險,秉持化繁為簡原則,逐項設計重要作業程序(如SOP)與關鍵控制重點。配合業務調整及作業變動,適時檢討修訂。 整體層級控制:就機關各單位多項業務有廣泛影響的控管措施,設計機關整體層級之控制規範。 每一個作業的控制政策和程序如何?是否能有效降低已辨認出來的風險?設計是否有效?控制政策和程序是否已予執行?執行的效果如何? 以下所列係以製造業為例,各服務事業應依其內部控制制度(包含已書面化及未書面化)各項控制作業逐項評估之,每一項控制作業其評估過程必須考量內部控制制度各組成要素。服務事業應依據各項控制作業評估結果,再彙整評估服務事業整體內部控制制度,方可確保制度之週延。
內部控制五大要素—資訊與溝通(1/2) 適時有效編製或管理資訊,並傳達予相關人員,使其有效履行責任。 資訊:與機關目標有關的財務及非財務資訊,可由內部產生或自外部取得,供決策及監督之用。 溝通: 內部溝通:告知機關人員其在內部控制所扮演的角色及責任、確保機關上下或跨單位資訊充分傳達、建立通報異常情事的管道。 外部溝通:告知外部人士(如社會大眾)機關依法須公開或提供的資訊 、對外界意見及時處理與追蹤,以供各界瞭解政府相關責任履行情形。
內部控制五大要素—資訊與溝通(2/2) 內部控制制度的文件化品質,為其能否落實的基礎 將內部控制制度設計及執行相關資訊,透過紙本、電子或其他文件化方式儲存、管理及傳達,有利連貫與支援其他四項組成要素: 宣達職掌及目標,以營造機關控制環境。 進行風險評估時,得將文件化的品質納入考量。 將各項業務的控制作業,整合形諸於文件,使機關可瞭解與易遵循,並供掌握控制重點。 監督時,依此檢視內部控制制度是否落實執行,相關評估結果、建議及後續改善之書面紀錄,可供回饋或追蹤辦理情形。
內部控制五大要素—監督 機關評估內部控制制度執行成效的過程。 監督方式包括: 例行管理:由各項業務承辦人及其主管,經常執行的一般控管及督導作業。 自行檢查:由機關內部各單位,就其內部控制制度設計及執行的有效性加以評估,並及時補救或改正,且作成書面紀錄建檔備供主管機關訪查及督導。 稽核機制:統合或運用相關稽核職能,複核內部各單位的自行檢查結果,據以客觀評估機關整體內部控制制度是否有效運作,就稽核所發現之缺失及改善建議,提報機關內部控制專案小組,並追蹤其改善情形。
內部控制制度之限制 ─「合理確保」而非絕對保證「達成目標」 內部控制制度之限制 ─「合理確保」而非絕對保證「達成目標」 成本效益之考量 若要求絕對確保達成目標,其成本可能超過所能產生的效益 人性面先天限制 人為疏忽或誤解規定 串通舞弊或蓄意偽造 高階主管逾越制度 遵循制度日久鬆懈 情況變遷複雜性 正常環境或一般事項之控制,難以因應環境變遷或特殊事項 在設計內部控制時,需考量相關控制程序的成本與效益條件,以期內部控制的設計對組織目標之達成提供「合理保證」。
學校內部控制 運 作 機 制
內部控制之運作機制
內部控制之運作機制 根據使命與願景擬定辦學目標:辦學目標是學校的自我定位,以符合利害關係人的期望。 擬訂策略以達成辦學目標:目標能否達成決定於所選擇的策略(決定執行的效果)。 根據策略擬定行動方案:行動方案決定策略是否能有效率的達成。 根據辦學目標及策略衡量相關風險:根據風險衡量結果,決定因應對策,建立相關內控機制。 以內部控制確保行動方案之執行成效,達成學校之使命與願景。
教育部政策
教育部政策:推行內控相關辦法(1/2) 98年12月教育部公告「學校財團法人及所設私 立學校內部控制制度實施辦法」 教育部99年3月於北中南召開4場說明會 教育部99年4月加開主任秘書及董事會代表場次之說明會 99年1月28日教育部修正並公布「私立高級中等 以上學校獎勵補助辦法」 第五條:獎勵經費審查事項評估指標規定如附表一
教育部政策:推行內控相關辦法(2/2) 私立高級中等以上學校獎勵補助辦法(教育部 99年1月28日修正) 附表:高級中學、職業學校、專科學校、技術學院、 科技大學、一般大學獎勵經費審查事項評估指標 審查 事項 高級中學、職業學校 評估指標 專科學校、技術學校、 科技大學評估指標 一般大學評估指標 三 、 行 政 運 作 (一) 落實學校財務及校務 資訊公開化與電腦化 (二) 建立及落實學校財務 審查機制、內部控制 制度及會計制度。 (三)健全人事制度、推動 行政人員之訓練、考 核、獎懲、管控措施 與機制。
教育部推動內控時程(1/2) 學習階段:實施初期因各校內部控制制度處於摸索及修正階段,學校稽核人員亦在學習階段,故100至101年定位為學習階段。 輔導協助:在學習階段本部以輔導方式協助各校健全內部控制制度及推動內部稽核。所有訪視或評鑑意見,不列入學校獎補助款、招生名額及其他補助計畫之成績計算。
教育部推動內控時程(2/2) 訪視階段:102至103年定位為訪視階段,教育部組成內控訪視小組,協助各校精進內部控制及稽核,訪視意見明列學校內部控制及稽核之優缺點,提供學校參酌但不計算成績,不影響學校獎補助款、招生名額及其他補助計畫之核定。 成熟階段:104年之後列入校務評鑑及私校獎補助款訪視項目。
教育部訪視私校 內部控制制度 指標項目及內容
壹、控制環境構面(1/7) 一、職務操守與履行職務能力之建立及維持 1-1-1學校法人及學校各階層人員應具備職務操守、法制責任觀念及風險意識(觀念建構) 1-1-2學校法人及學校各階層人員應瞭解學校政策所牽涉之潛在利益衝突關係(觀念建構) 1-1-3董事會、校長及各級單位主管應能樹立職務操守與倫理價值觀念之良好榜樣(觀念建構) 1-1-4各項工作職能是否明確定義且妥適溝通
壹、控制環境構面(2/7) 1-1-5學校法人及學校各階層人員是否具備履行其所擔負職務之知識與技能,並遵循工作行為準則 1-1-6學校法人及學校內部控制制度之設計是否有助於排除或減少各階層人員從事非法行為之環境誘因、壓力或機會 二、經營理念 1-2-1董事會、校長及各級單位主管是否知悉內部控制目標,並將之納入學校治理與辦學理念之中,全力支持且對內部控制制度之有效運作負責
壹、控制環境構面(3/7) 1-2-2管理階層應能以身示範,將內部控制制度推動理念導入正向(觀念建構) 1-2-3管理階層應具備審慎且一致之管理決策制訂過程,並關注營運效率與效果(觀念建構) 1-2-4管理階層應積極關注且落實對各項法令規範之遵循辦理(觀念建構) 1-2-5應具備健全可行之會計制度,並關注財務報導之可靠性(觀念建構)
壹、控制環境構面(4/7) 三、組織目標設定與衡量 1-3-1學校是否具備明確之中長程規劃,且審慎評估發展方向之變更 1-3-2學校法人及學校各階層人員是否瞭解學校整體目標及中長程規劃 1-3-3學校是否配合整體規劃,訂定各單位發展目標或價值聲明 1-3-4達成組織目標之關鍵作業是否明確界定,相關資源是否依其重要程度加以配置
壹、控制環境構面(5/7) 1-3-5人事、財務、營運各項關鍵作業活動是否建立具體可行之目標 1-3-6各單位發展目標及作業活動目標是否包括衡量指標,且定期評估 1-3-7財務預算及營運目標是否合理制訂,且妥善控管其執行成效 四、組織架構及權責分工 1-4-1學校法人及學校是否依人事規章,建立內部組織架構,並載明各級主管之設置、職稱、職權範圍、聘(兼)任、解聘及解任等事項
壹、控制環境構面(6/7) 1-4-2學校各單位組織架構設計之複雜程度應與其規模及成長性相稱(觀念建構) 1-4-3學校行政單位之設置是否與其人力資源搭配 1-4-4學校各單位之責任劃分是否明確,授權範圍及限制是否明確定義且妥適溝通 1-4-5賦予授權對象之權力是否與其所擔負之責任及能力相稱 1-4-6是否提供各階層人員履行職務所需之相關資源
壹、控制環境構面(7/7) 五、人力資源管理 1-5-1是否建置適才適所之人員進用、升遷及獎懲措施 1-5-2是否建立內部工作輪調機制,並確實執行,以協助員工的職涯發展 1-5-3是否定期考核教職員及其維持擔任重要職務所需之能力 1-5-4是否辦理宣導及教育訓練,以提升教職員瞭解與落實執行工作之專業知能、經驗及觀念 1-5-5管理階層是否瞭解人力資源流動之根本原因
貳、風險評估構面(1/3) 一、風險辨識、分析及評量機制 2-1-1學校法人及學校是否重視風險評估、風險分析及回應機制(如作業風險、法律風險、市場風險、信用風險、流動性及現金流量風險等) 2-1-2是否具備辨識影響目標達成之「外部」風險因素(如經濟環境變遷、外部相關法令規範之頒布或修訂、學生需求或期待、資訊科技發展等)之機制
貳、風險評估構面(2/3) 2-1-3是否具備辨識影響目標達成之「內部」風險因素(如管理責任變更、新資訊系統之運用、新進人員等)之機制 2-1-4是否分析風險因素一旦發生所造成之影響程度(如財物損失、業務停擺或形象受損等衝擊之嚴重性)及其發生可能性,以決定優先控管之風險因素 2-1-5必要時,是否尋求外部顧問諮詢,以補內部專業之不足
貳、風險評估構面(3/3) 二、變動管理機制 2-2-1是否能因應重大變遷,建立持續改善與回饋機制 2-2-2目標制訂是否配合校務發展環境變遷之機會與威脅分析予以適時調整 2-2-3是否訂有相關機制,對常態性變動、經濟環境變遷、法令規章變革、技術更替所造成之影響加以判別並因應
參、控制作業構面(1/3) 一、內部控制規範與程序之制訂 3-1-1內部控制制度是否依規定由學校法人及學校分別自行訂定,經學校法人董事會議通過後實施 3-1-2學校法人是否就人事、財務、董事會及監察人運作事項,訂定作業程序、內部控制點及稽核作業規範 3-1-3學校是否就人事、財務、營運事項及關係人交易,訂定作業程序、內部控制點及稽核作業規範,並就內部控制制度及相關作業程序加以宣導
參、控制作業構面(2/3) 3-1-4學校法人所設學校之附屬機構及相關事業是否依規定,建立人事、財務及營運活動之內部控制制度 3-1-5內部控制規範與程序之制訂,是否有助於合理保障資產之安全、強化對相關法令之遵循、確保財務報導之可靠性及營運效能之提升 3-1-6是否配合業務調整及作業變動,適時檢視修訂內部控制制度
參、控制作業構面(3/3) 二、內部控制制度之執行 3-2-1是否針對主要作業活動之目標達成情形,審視其實際執行績效 3-2-2是否針對非預期性之作業結果或不尋常之趨勢加以探究瞭解 3-2-3是否建立有效性之緊急應變計畫 3-2-4管理階層是否針對內部控制制度,建立定期自我評估機制,並對缺失進行追蹤改善
肆、資訊與溝通構面(1/3) 一、資訊取得性與接觸管道 4-1-1各階層人員是否能有效取得與營運、財務報導或法令遵循等目標有關之內、外部資訊(如法令規章、主管機關政策走向、經濟環境變遷等) 4-1-2是否能適時有效辨認、衡量、處理及報導資訊,以供規劃、決策制訂或監督之用 4-1-3是否妥適管理資訊安全風險,制訂合宜之授權層級,且被授權者瞭解取得該資訊所應擔負之責任
肆、資訊與溝通構面(2/3) 二、內、外部溝通機制 4-2-1管理溝通模式是否有助於促進校內各單位人員之信賴關係 4-2-2是否告知全體人員在內部控制所扮演之角色及責任,並建立通報異常情事之管道,促使上下層級或跨單位資訊充分傳達 4-2-3是否依法對外部利害關係人(如監督機關、主管機關及社會大眾)公開或提供資訊,並對外界提出之意見及時處理與追蹤
肆、資訊與溝通構面(3/3) 4-2-4內部控制制度是否以紙本、電子或其他方式儲存、管理與傳達,以連貫及支援內部控制之其他組成要素-控制環境、風險評估、控制作業及監督
伍、監督構面(1/6) 一、持續性管理監督與自行檢查 5-1-1各項業務承辦單位主管人員是否依據績效評核指標,常態督導各單位之辦學或營運績效,以確保目標之達成 5-1-2各單位是否定期檢視及評估人員態度、組織架構等控制環境之適切性與有效性 5-1-3各單位是否定期檢討風險評估程序之有效性、及時性與確實性
伍、監督構面(2/6) 5-1-4各單位是否定期評估資訊與溝通系統之準確性、時效性及妥適性,且針對異常或不一致之結果加以處理 二、內部稽核機制 5-2-1是否具備健全之內部稽核功能,協助董事會、校長檢核內部控制制度之有效程度,衡量學校法人及學校營運之效果及效率,適時提供改進建議 5-2-2是否已依規定設置內部稽核人員
伍、監督構面(3/6) 5-2-3稽核人員是否依規定對學校法人及學校內部控制進行稽核,以衡量學校法人及學校對現行人事、財務與營運所定政策、作業程序之有效性及遵循程度,且不得牴觸會計職掌 5-2-4稽核人員是否在權責範圍內執行查閱必要資料 5-2-5學校法人及學校稽核人員是否依風險評估結果,擬訂稽核計畫,據以稽核其內部控制
伍、監督構面(4/6) 5-2-6學校法人稽核計畫是否經董事會議通過,學校稽核計畫是否經校長核定 三、外部監督結果之處理 5-3-1針對監督機關、主管機關所提出之報告或意見,是否適當反應於其內部控制制度之設計 5-3-2針對外部利害關係人(如贊助單位、學生、供應商等)提出要求或抱怨之根本原因,是否加以瞭解且適度納入內部控制制度設計之考量
伍、監督構面(5/6) 5-3-3針對會計師查核所提供之控制制度相關事項,是否進行妥適回應或處理 四、追蹤回饋機制 5-4-1稽核時所發現之內部控制制度缺失、異常事項及其他缺失事項,是否於年度稽核報告中據實揭露,並檢附工作底稿及相關資料,作成稽核報告,召開稽核會議,定期追蹤至改善為止
伍、監督構面(6/6) 5-4-2學校法人/學校稽核人員是否將其稽核報告及追蹤報告送董事會會議/校長核閱,並將副本交付各監察人查閱 5-4-3學校法人/學校稽核人員如發現重大違規情事,或學校法人或學校有受重大損害之虞時,是否立即作成稽核報告,並依規定程序處理後續事宜 5-4-4學校法人、學校、學校之附屬機構及相關事業,是否定期檢討及修正內部控制制度
陸、其他 一、內部控制制度自我評估 ※由學校自行增列,相關參考內容如推動內部控制制度前後之執行效益是否有顯著差異、現階段內部控制制度推動在制度面及操作面之困難、對未來內部控制制度運作之改進建議…等。 二、其他有助於說明內部控制制度運作之特色指標 ※由學校自行增列,相關參考內容如內部控制制度運作是否配合足以彰顯自我發展特色之定位加以規劃執行、內部控制制度運作對學校發展之實質助益…等。
結 語
結 語 健全內部控制制度之實施,雖不盡然保證各項事務之成功,但透過機關內部各種管理措施日趨健全,可合理促使─ 結 語 健全內部控制制度之實施,雖不盡然保證各項事務之成功,但透過機關內部各種管理措施日趨健全,可合理促使─ 提升學校整體辦學效能 達到興利及除弊之功能 內部控制制度之設計及執行是否有效,關鍵在於─ 機關首長全力支持 全員參與凝聚共識 化繁為簡精進流程 控管風險即時修正 內部控制制度之設計及執行是否有效,機關首長全力支持是關鍵因素。 加強內部全體人員宣導訓練,以樹立正確觀念及凝聚共識。 每一部門主管應與其他部門共同檢討流程,以利溝通合作。 強調興利並檢討過多或過時控制為原則,將流程化繁為簡。 惟仍應確實評估風險因素,設計有效的作業程序及控制重點,並即時檢討修正,可助員工知所遵循。 建立能減少舞弊或犯罪之標準及程序 指定某一特定高級管理階層人員負責監督內部控制之執行 防止不當授權 將標準及程序有效傳達全體員工 實施對遵循之衡量,諸如監控、稽核及報告制度 輔以獎懲措施之強化標準及程序之執行 當制度被偵出有重大違失時,給予適當回應
感謝您的聆聽 敬請指教