內部控制觀念架構 報告人：蔡博賢 2011.09.08

報告大綱 前言 內部控制基本觀念 內部控制參考範例 結語 一、前言 實例：疫苗接種、機場安檢、蚊子館活化、常見缺失態樣 政府推動內部控制的緣起 二、內部控制基本觀念 COSO組織 COSO內部控制架構之演進 1992年COSO內部控制整體架構 內部控制之定義及觀念 內部控制五大要素金字塔 內部控制五大要素 內部控制制度建置過程 內部控制制度文件化的重要性 內部控制制度成功關鍵因素 內部控制制度設計概念 內部控制之限制 三、政府內部控制現況 我國政府部門內部控制現況 四、行政院之推動作法 行政院健全內部控制推動作法 健全內部控制實施方案及相關推動作法 組成內部控制推動單位 辦理內部控制宣導訓練 檢討現有內部控制作業 逐步完備內部控制制度 內部自行檢查以及稽核 逐級督導落實執行方案 五、結語

前 言

健全內部控制機制的重要性(1/5) 打疫苗，要「五對」 病人對、藥品對、時間對、 看診 劑量對、方法對 注射 施打藥物時，要確認病人對、藥品對、時間對、劑量對、方法對

健全內部控制機制的重要性(2/5) 身分核驗 搭飛機，要安檢 放行登機 行李檢查 全身檢查

健全內部控制機制的重要性(3/5) 閒置設施，全面活化 工程會於99年11月陳報「公共設施閒置空間之活化及防範策略方案」，奉 院長裁示： 工程會於99年11月陳報「公共設施閒置空間之活化及防範策略方案」，奉 院長裁示： 對低度使用及閒置設施，管控於1年內完成活化。並嚴謹檢視主管計畫，落實效益評估，避免公共建設閒置造成浪費，絕不容許再製造出任何的閒置設施。

健全內部控制機制的重要性(4/5) 車諾比核電廠爆炸(1986.4.26) 170萬人受直接影響，事故清理、遷居及補償費用約2千億美元。 內部控制問題： 機組設計有缺陷，但職員未被告知此風險。 職員未經上級許可，無視安全管制規範，違規操作。 蘇聯政府災後反應遲緩，且未即時對外發布新聞。

健全內部控制機制的重要性(5/5) 美國哥倫比亞號太空梭爆炸(2003.1.26) 事故調查取證及殘骸搜救等，約花費130億美元。 美國太空總署內部控制問題： 對太空梭安全控管存有僥倖心態。 過度依賴以往經驗，忽視可能潛在的風險。 事前即發現機翼破洞，但下情無法上達。

政府推動內部控制的緣起(1/2) 行政院近年陸續頒行相關規定 各機關建立有效內部控制機制 各機關檢討改善現存各項缺失，並維持有效之管控機制 89年「健全財務秩序與強化內部控制實施方案」 各機關建立有效內部控制機制 97年「加強財務控管及落實會計審核方案」 各機關檢討改善現存各項缺失，並維持有效之管控機制 98年「強化中程計畫預算作業促進資源有效運用方案」、「強化特種基金預算管理提升營運效能方案」及「提升政府財務效能方案」 各機關提升財務效能，減少不經濟支出 98年「國家廉政建設行動方案」 各機關加強內部控制機制，針對風險較高的業務實施稽核 99年「整合服務效能躍升方案」 各機關強化內部管理、表單標準化及行政流程簡化，提升行政效能

政府推動內部控制的緣起(2/2) 外界要求健全內部控制機制： 審計部97、98年度中央政府總決算審核報告略以，部分機關因內部控制機制未臻健全，間有施政效能不彰、投入鉅資興建設施閒置浪費及未依法制執行預算等，致有重大弊案陸續發生。 各機關財務涉有違失案件，近3年來平均每年約300件，顯示建構健全內部控制機制，以防杜違失，實已刻不容緩。

內部控制 基本觀念

COSO組織 COSO，係美國專門研究內部控制議題的民間組織，由5個機構贊助成立。 美國會計學會 美國財務主管協會 美國會計師公會 美國管理會計學會 國際內部稽核協會

COSO內部控制架構之演進 1992年:內部控制─整體架構 2004年:企業風險管理─整合 架構 2006年:財務報導的內部控制 ─較小型公開發行公司指引 2009年:內部控制監督指引

1992年COSO內部控制—整體架構，基本上可適用於 ～我國政府內部控制觀念架構，亦奠基於此～ 美國、澳洲、瑞典等國家及國際最高審計機關組織(INTOSAI)，採用此架構並配合政府特性，建立公部門內部控制相關規制。 外國政府 我國公開發行公司、金融、銀行、保險與證券期貨業及財團法人等內部控制之法令規定，也依此訂立。 我國私部門 1992年COSO內部控制—整體架構，基本上可適用於 國內、外任何大小規模的公、私部門組織。 ～我國政府內部控制觀念架構，亦奠基於此～ 近年來美國、加拿大 、瑞典及 INTOSAI等先進國家公部門組織，逐漸加強內部控制觀念之推展及落實，多將私部門實施之1992年COSO內部控制整體架構精義納入實施規範，並配合政府特性而建立相關機制

內部控制的定義及觀念 共同設計、執行及維持的管理過程 →五項要素 何謂內部控制： 係由機關內部全體人員參與 →人人有責 　係由機關內部全體人員參與 →人人有責 　共同設計、執行及維持的管理過程 →五項要素 　 藉以合理確保達成其目標 　→四項目標 高階主管(尤其是首長)對內部控制制度的有效設計、執行及維持，負主要責任 透過五項互有關聯的組成要素，整合內部各種控管及評核措施 按五項要素逐一檢查、判斷內部控制制度的有效性 內部控制制度有其先天限制 不論設計及執行如何有效，僅能「合理確保」而非絕對保證目標的達成

機關各單位及業務，經整合五項組成要素，合理促使達成四項目標 內部控制的目標及要素 法令遵循 資產安全 可靠資訊 四項目標： ● 提升施政效能 ● 遵循法令規定 ● 保障資產安全 ● 提供可靠資訊 施政效能 施政效能 業 務 2 業 務 1 五項要素： 1.控制環境：機關文化、內部控制認知 2.風險評估：辨識、分析與評量風險 3.控制作業：控制規範及程序 4.資訊與溝通：資訊處理及傳達 5.監督：評估內部控制制度執行有效性 監 督 單位 B 資 訊 與 溝 通 單位 A 控 制 作 業 風 險 評 估 控 制 環 境 政府內部控制整體架構~ 機關各單位及業務，經整合五項組成要素，合理促使達成四項目標 15

內部控制五大要素金字塔 控制環境係內部控制的基礎，位於金字塔底部 配合控制環境及設定之目標，據以評估風險 針對風險有效設計及執行控制作業 資 訊 與 溝 通 資 訊 與 溝 通 資 訊 與 溝 通 監 督 控制 作業 評 估 風 險 環 境 COSO控制模式是以控制環境為基礎。根據組織的控制環境及目標，管理當局必須辨認、分析及管理相關的風險，也就是進行風險評估與管理。緊接著，企業應建立與執行適當的控制政策與程序，以有效的執行與風險相關的控制作業。至於組織的資訊與溝通系統的作用，則在於讓組織的成員可以捕捉及分享與執行、管理及控制其活動有關的資訊。上述的控制過程必須加以監督，並做必要的修正，以維持內部控制制度的有效性。換句話說，這五項組成要素之間密切相關，而形成一個完整的內部控制模式。 控 制 充分溝通資訊，及時連貫與支援各項要素 監督評核各項要素，並追蹤改善情形

內部控制五大要素—控制環境 塑造機關文化及影響其人員對內部控制認知的綜合因素，為其他四項組成要素的基礎。 包括： 公務職業操守及倫理價值觀念之建立與維持； 高階主管對推動及落實內部控制制度之重視與支持、為機關設定明確化的目標且避免承受過量風險； 機關組織架構及授權之適當明確； 人力資源之健全管理(含員工聘僱、考核與獎懲)； 專業能力之提升(含辦理宣導訓練)； 內外部督導單位之聯繫。

內部控制五大要素—風險評估(1/3) 辨識攸關之施政風險、分析該等風險之影響程度與發生可能性，以及評量對風險容忍度的過程。 包括： 風險辨識：辨識影響目標達成的風險因素(事項) 。 風險分析：分析風險因素的影響程度(衝擊) 及其發生可能性(機率)，綜合估計風險等級。 風險評量：評量對風險的容忍度並依據風險等級，決定需優先處理的風險因素。 風險處理(回應)：對於無法接受之風險因素，選擇可行方式處理(如減輕影響程度或降低發生機率)，逐步設計必要之控制作業，以減低風險。 內部控制的主要作用即在於降低或消除各風險因素的預期損失 風險評估與建立相關內部控制的步驟： 辨認威脅 估計風險 估計可能損失 找出相關的控制程序 估計控制程序的成本與效益 選定控制程序

內部控制五大要素—風險評估(2/3) 風險類型：組織營運均會面臨下列各種風險： 策略風險：此類風險與組織作錯事情（決策）有關 營運風險：此類風險關係到以錯誤的方法去執行正確 的決策 財務風險：此類風險與損失財務資源或發生無法接受 的負債有關 資訊風險：此類風險關係到不正確或不相關資訊、不 可靠的系統、及不正確或誤導的報告 內部控制的主要作用即在於降低或消除各風險因素的預期損失 風險評估與建立相關內部控制的步驟： 辨認威脅 估計風險 估計可能損失 找出相關的控制程序 估計控制程序的成本與效益 選定控制程序

內部控制五大要素—風險評估(3/3) 採購作業之 風險因素 法令繁雜、專業知識 眾多 攸關廠商利益，常 引發爭議 規劃欠周， 致使用效益不佳 相關人員未依規定 公正處事 自行採購 成本高，可能 較無效率 資訊設備由各單位自行採購，因未達大量規模或缺乏價格參考資訊，導致採購成本增加，且因規格不一，維修費用較高 金額大 誘使盜用侵占舞弊 承受預算 執行壓力 辨認風險 因素範例

內部控制五大要素—控制作業 為了合理確保機關達成目標、降低風險，且有助於落實機關決策 ，所訂定的控制規範及程序。 包括： 作業層級控制：按機關各單位個別業務的作業層級目標與風險，秉持化繁為簡原則，逐項設計重要作業程序(如SOP)與關鍵控制重點。配合業務調整及作業變動，適時檢討修訂。 整體層級控制：就機關各單位多項業務有廣泛影響的控管措施，設計機關整體層級之控制規範。 每一個作業的控制政策和程序如何？是否能有效降低已辨認出來的風險？設計是否有效？控制政策和程序是否已予執行？執行的效果如何？ 以下所列係以製造業為例，各服務事業應依其內部控制制度(包含已書面化及未書面化)各項控制作業逐項評估之，每一項控制作業其評估過程必須考量內部控制制度各組成要素。服務事業應依據各項控制作業評估結果，再彙整評估服務事業整體內部控制制度，方可確保制度之週延。

內部控制五大要素—資訊與溝通(1/2) 適時有效編製或管理資訊，並傳達予相關人員，使其有效履行責任。 資訊：與機關目標有關的財務及非財務資訊，可由內部產生或自外部取得，供決策及監督之用。 溝通： 內部溝通：告知機關人員其在內部控制所扮演的角色及責任、確保機關上下或跨單位資訊充分傳達、建立通報異常情事的管道。 外部溝通：告知外部人士(如社會大眾)機關依法須公開或提供的資訊 、對外界意見及時處理與追蹤，以供各界瞭解政府相關責任履行情形。

內部控制五大要素—資訊與溝通(2/2) 內部控制制度的文件化品質，為其能否落實的基礎 將內部控制制度設計及執行相關資訊，透過紙本、電子或其他文件化方式儲存、管理及傳達，有利連貫與支援其他四項組成要素： 宣達職掌及目標，以營造機關控制環境。 進行風險評估時，得將文件化的品質納入考量。 將各項業務的控制作業，整合形諸於文件，使機關可瞭解與易遵循，並供掌握控制重點。 監督時，依此檢視內部控制制度是否落實執行，相關評估結果、建議及後續改善之書面紀錄，可供回饋或追蹤辦理情形。

內部控制五大要素—監督 機關評估內部控制制度執行成效的過程。 監督方式包括: 例行管理：由各項業務承辦人及其主管，經常執行的一般控管及督導作業。 自行檢查：由機關內部各單位，就其內部控制制度設計及執行的有效性加以評估，並及時補救或改正，且作成書面紀錄建檔備供主管機關訪查及督導。 稽核機制：統合或運用相關稽核職能，複核內部各單位的自行檢查結果，據以客觀評估機關整體內部控制制度是否有效運作，就稽核所發現之缺失及改善建議，提報機關內部控制專案小組，並追蹤其改善情形。

內部控制制度之限制 ─「合理確保」而非絕對保證「達成目標」 內部控制制度之限制 ─「合理確保」而非絕對保證「達成目標」 成本效益之考量 若要求絕對確保達成目標，其成本可能超過所能產生的效益 人性面先天限制 人為疏忽或誤解規定 串通舞弊或蓄意偽造 高階主管逾越制度 遵循制度日久鬆懈 情況變遷複雜性 正常環境或一般事項之控制，難以因應環境變遷或特殊事項 在設計內部控制時，需考量相關控制程序的成本與效益條件，以期內部控制的設計對組織目標之達成提供「合理保證」。

內部控制 參考範例

實際案例-○○大學內控缺失個案 前情提要 1.○○大學前校長A，涉嫌在任內安排親友不當領取高薪，並利用辦理教育部電腦專案機會，圖利胞弟B。士林地檢署依貪污、背信罪起訴A，對他求刑18年。 2.○○大學電算中心前主任C、A校長之胞弟B，也被檢方依貪污、背信罪起訴，B被求刑15年。

實際案例-○○大學內控缺失個案 缺失內容與環節 1.人事任用內控缺失：A校長自72年2月1日起，陸續安排24名不具職務上專業能力的親友，在○○大學擔任教職員工，其中包括A校長的女兒及管家。 2.人事退撫內控缺失：A校長已於95年1月向私立學校退撫會辦理退休，但A校長向董事會隱瞞退休事實，繼續違法（以退休）擔任校長到97年7月，不當領取982萬餘元薪資及352萬餘元的特支費。

實際案例-○○大學內控缺失個案 3.採購內控缺失：A校長與C主任自88年至98年間負責監督或主管教育部所依法委託的獎補助款，為依法從事公共事務的公務員，兩人以不法方式（圍標）A校長胞弟B君所實際掌控的X公司（X公司為主體、Y公司及Z公司為配角—陪榜，實際為同一個老闆），獲得○○大學電腦採購的標案，讓B君獲得3億餘元的不法利益。

實際案例-○○大學內控缺失個案 4.採購、驗收、付款內控缺失：A校長浮編濫報電腦維修經費（假維修、真掏空），當時1000多位師生連署聯名抗議揭發，經檢方偵查，90至95年間以平均每年近5000萬元的天價，發包給開電腦維修公司的胞弟B君（○○大學98年的電腦維修費只有200萬元）。 5.驗收、付款內控缺失：一套要價4088萬元的資訊安全系統軟體，實際沒有建置、驗收，照樣過關，這個軟體的每年維修費980萬元也進了X公司戶頭。

實際案例-○○大學內控缺失個案 6.校產管理內控缺失：A校長卸任後，還住在校園的小白宮內，水、電、租金都由學生買單。 其他事項 2.注意員工生活：B君為回報C主任的鼎力配合，曾兩度匯款250萬元到C的帳戶，並多次免費招待○○大學Ⅰ單位教職人員出國旅遊。

實際案例-○○醫院開錯刀 之內控缺失個案 前情提要 作業疏失 ○○醫院表示關鍵在於醫師在手術電腦排程誤輸入為左腳。麻醉後也沒有再次確認。 1.受傷的明明是右腳，居然會開錯變成左腳，怎麼會這麼離譜？一位陳性病患，因為打球造成右腳踝受傷，住進○○醫院開刀，第一次實習醫師做記號，就差點劃錯腳，病患還特別提醒，但萬萬沒想到從手術房出來，居然是沒受傷的左腳包著紗布，白挨一刀。 作業疏失 ○○醫院表示關鍵在於醫師在手術電腦排程誤輸入為左腳。麻醉後也沒有再次確認。

實際案例-○○醫院開錯刀 之內控缺失個案 內控問題 1.電腦輸入資料與病歷紀錄為何無雙重檢核確認？ 2.麻醉後也沒有再次確認—只能檢核電腦輸入資料與手術區位標記二者不符情況，無法核對病歷紀錄與手術區位二者不同之錯誤。 3.內控概念模糊，各關節均無重複檢核： 病歷→電腦排程輸入→標記→醫師動刀。

實際案例-○○醫院器官移植 之內控缺失個案 前情提要 ○○醫院一次器官捐贈卻造成五名病患感染愛 滋， ○○醫院移植團隊犯下全球罕見的醫療疏 失。 作業疏失 1.初步證實，檢驗師與器官勸募協調師口頭溝通出了問題。 2.關鍵時刻致命失誤—檢驗師在敘述時報告，口氣平靜，加上negative、 reactive的英文讀音類似，協調師一時竟然意會不過來。

實際案例-○○醫院器官移植 之內控缺失個案 3.更令人意外的是，醫師居然是在事發之後，整整48個小時，才發現犯下大錯。 內控問題 1.器官捐贈登錄中心的運作出了問題。 2.檢驗師與器官勸募協調師溝通出問題。 3.未落實內控的控制作業活動相關程序。

教育部政策：推行內控相關辦法(1/2) 98年12月教育部公告「學校財團法人及所設私 立學校內部控制制度實施辦法」 教育部99年3月於北中南召開4場說明會 教育部99年4月加開主任秘書及董事會代表場次之說明會 99年1月28日教育部修正並公布「私立高級中等 以上學校獎勵補助辦法」 第五條：獎勵經費審查事項評估指標規定如附表一

教育部政策：推行內控相關辦法(2/2) 私立高級中等以上學校獎勵補助辦法（教育部 99年1月28日修正） 附表：高級中學、職業學校、專科學校、技術學院、 科技大學、一般大學獎勵經費審查事項評估指標 審查 事項 高級中學、職業學校 評估指標 專科學校、技術學校、 科技大學評估指標 一般大學評估指標 三 、 行 政 運 作 （一） 落實學校財務及校務 資訊公開化與電腦化 （二） 建立及落實學校財務 審查機制、內部控制 制度及會計制度。 （三）健全人事制度、推動 行政人員之訓練、考 核、獎懲、管控措施 與機制。

教育部推動內控時程(1/2) 學習階段：實施初期因各校內部控制制度處於摸索及修正階段，學校稽核人員亦在學習階段，故100至101年定位為學習階段。 輔導協助：在學習階段本部以輔導方式協助各校健全內部控制制度及推動內部稽核。所有訪視或評鑑意見，不列入學校獎補助款、招生名額及其他補助計畫之成績計算。

教育部推動內控時程(2/2) 訪視階段：102至103年定位為訪視階段，教育部組成內控訪視小組，協助各校精進內部控制及稽核，訪視意見明列學校內部控制及稽核之優缺點，提供學校參酌但不計算成績，不影響學校獎補助款、招生名額及其他補助計畫之核定。 成熟階段：104年之後列入校務評鑑及私校獎補助款訪視項目。

學校內部控制循環-法人內部控制事項 法人人事業務之內控事項 專任董事、專任監察人之選聘及解聘 校長選聘及解聘 學校法人行政人員之聘僱、敘薪、出勤、差假、訓練進修、考核獎懲、待遇、福利、保險、退休、資遣及撫卹 （私校內控辦法§4）

學校內部控制循環-法人內部控制事項 法人財務業務之內控事項 董事、監察人之報酬、出席費及交通費之支給 公債及短期票券之購買、動產購置及其他投資事項 不動產之處分、設定負擔、購置或出租 募款、收受捐贈、借款、資本租賃之決策、執行及記錄 負債承諾與或有事項之管理及記錄 (私校內控辦法§5）

學校內部控制循環- 法人營運業務之內控事項（一） 學校內部控制循環- 法人營運業務之內控事項（一） 董事長、董事候選人之提名、資格審查、改選與補選、會議通知、會議召開、開票及決議 監察人候選人之提名、資格審查、改選及補選 行使捐助章程所列董事會職權事項 學校投資有價證券、購置動產、設立附屬機構、辦理相關事業及其他投資事項之審議 學校法人變更登記

學校內部控制循環- 法人營運業務之內控事項（二） 學校內部控制循環- 法人營運業務之內控事項（二） 學校不動產之處分、設定負擔、購置或出租之審議 學校借款、資本租賃及累積盈餘流用事項之審議 學校法人及學校預算、決算之審議 其他經董事會會議決議應訂定之董事會及監察人運作事項 (私校內控辦法§6）

學校內部控制循環-學校內部控制事項（一） 學校人事業務之內控事項 聘僱、敘薪、待遇、福利、保險、退休資遣及撫卹 出勤、差假、訓練、進修、研究、考核及獎懲 (私校內控辦法§7）

學校內部控制循環-學校內部控制事項（二） 學校財務業務之內控事項 投資有價證券與其他投資之決策、買賣、保管及記錄 不動產之處分、設定負擔、購置或出租。動產之購置及附屬機構之設立、相關事業之辦理 募款、收受捐贈、借款、資本租賃之決策、執行及記錄

學校內部控制循環-學校內部控制事項（三） 學校財務業務之內控事項 負債承諾與或有事項之管理及記錄 獎補助款之收支、管理、執行及記錄 代收款項與其他收支之審核、收支、管理及記錄 預算與決算之編制，財務與非財務資訊之揭露 (私校內控辦法§8）

學校內部控制循環-學校內部控制事項（四） 學校營運業務之內控事項 教學事項 學生事項 總務事項 研究發展事項 產學合作事項 國際交流及合作事項 資訊處理事項 其他學校營運事項 前項第四款至第七款所列事項，學校若無相關事項者，免定之。 (私校內控辦法§9）

學校內部控制循環-學校內部控制事項（五） 學校關係人交易之內控事項 學校應就，訂定作業程序、內部控制點及稽核作業規範 關係人交易指學校法人或學校與下列自然人或法人間之買賣、租賃、資金借入行為： 1.董事、監察人或校長 2.董事、監察人或校長之配偶 3.董事、監察人或校長之二親等以內親屬 4.由學校法人董事、監察人所擔任董（理）事長之法人 5.其董（理）事、監察人（監事）與學校法人董事有二分之一以上相同之法人 (私校內控辦法§10）

結 語

結 語 健全內部控制制度之實施，雖不盡然保證各項事務之成功，但透過機關內部各種管理措施日趨健全，可合理促使─ 結 語 健全內部控制制度之實施，雖不盡然保證各項事務之成功，但透過機關內部各種管理措施日趨健全，可合理促使─ 提升政府整體施政效能 達到興利及除弊之功能 內部控制制度之設計及執行是否有效，關鍵在於─ 機關首長全力支持 全員參與凝聚共識 化繁為簡精進流程 控管風險即時修正 內部控制制度之設計及執行是否有效，機關首長全力支持是關鍵因素。 加強內部全體人員宣導訓練，以樹立正確觀念及凝聚共識。 每一部門主管應與其他部門共同檢討流程，以利溝通合作。 強調興利並檢討過多或過時控制為原則，將流程化繁為簡。 惟仍應確實評估風險因素，設計有效的作業程序及控制重點，並即時檢討修正，可助員工知所遵循。 建立能減少舞弊或犯罪之標準及程序 指定某一特定高級管理階層人員負責監督內部控制之執行 防止不當授權 將標準及程序有效傳達全體員工 實施對遵循之衡量，諸如監控、稽核及報告制度 輔以獎懲措施之強化標準及程序之執行 當制度被偵出有重大違失時，給予適當回應

感謝您的聆聽 敬請指教