政府內部控制 理論及觀念架構 行政院主計總處 黃叔娟 處長 2014年11月18日

報告大綱 前言 政府內部控制觀念架構 政府內部控制實務案例 強化內部控制之作法 機關內部控制種子人員角色 結語

前言 2

何謂內部控制？ 「Final Destination 3」 如果你是這間店的老闆，… 3

短片 4

如果你是這間店的老闆，… 5

強化內部控制機制的重要性(1/2) 高雄氣爆事件 平時檢查 即時救援 災後重建 6 6

強化內部控制機制的重要性(2/2) 餿水油事件 7 7

外界要求強化內部控制機制(1/2) 我國政府機關本存有內部控制機制，透過施政管考、資訊 安全稽核、政風查核、政府採購稽核、人事考核、內部審 核及事務管理工作檢核等7項稽核評估職能執行稽核或評估， 惟缺乏針對機關業務進行稽核，致部分機關未有效控管時 有違失案件發生，如公立大學教授研究費詐領案及公立醫 院器官移植失誤案等。 8

外界要求強化內部控制機制(2/2) 審計部97、98年度中央政府總決算審核報告指出，部分機 關因內部控制機制未臻健全，間有施政效能不彰、投入鉅 資興建設施閒置浪費及未依法制執行預算等，致有重大弊 案陸續發生，顯示強化政府內部控制機制，以防杜違失， 實刻不容緩。 9

政府內部控制 觀念架構 10

內部控制與公共治理及風險管理之關係 公共治理 風險管理 內部控制 內部控制為公共治理、風險管 理、廉政建設與政府效能之基 礎。 有完整的內部控制架構方能有 效管理風險，進而使治理機制 發揮功能，不僅能合理確保達 成施政目標，更有助於發揮興 利防弊功能。 內部控制 風險管理 公共治理 11

內部控制與風險管理之關係 內部控制包含在風險管理之內，係風險管理不可或缺的一部分。 風險管理自內部控制延伸，其涵蓋的範圍比內部控制廣泛，且著重風險觀念。 資料來源：馬秀如教授講義 12 12

機關各單位及職能，經整合五項組成要素，合理促使達成四項目標 政府內部控制觀念架構 法 規 遵 循 資 產 安 全 可 靠 資 訊 施 政 效 能 四項目標： ● 實現施政效能 ● 遵循法令規定 ● 保障資產安全 ● 提供可靠資訊 資 訊 與 溝 通 控 制 作 業 風 險 評 估 控 制 環 境 組織層級 部 門 營運單位 職 能 五項要素： 1.控制環境：機關文化、內部控制認知 2.風險評估：辨識、分析與評量風險 3.控制作業：控制規範及程序 4.資訊與溝通：資訊編製、蒐集與傳達 5.監督作業：評估控制實況 監　督　作　業 與內部 控制有關的 單位或業務 ～政府內部控制整體架構～ 機關各單位及職能，經整合五項組成要素，合理促使達成四項目標 13 13 13 13

共同設計、執行及維持的管理過程 →五項要素 政府內部控制的定義及觀念 何謂內部控制： 　係由機關全體人員參與 →人人有責 為合理達成機關內部控制目標 →四項目標 共同設計、執行及維持的管理過程 →五項要素 高階主管(尤其是首長)對內部控制制度的有效設計、執行及維持，負主要責任 內部控制係一種管理過程，幫助機關達成四項目標 內部控制制度有其先天限制，僅能合理促使而非絕對保證目標的達成 透過五項互有關聯的組成要素，整合機關內部各種控管及評核措施，並逐一檢視、評估內部控制制度的有效性 14 14 14

目標、風險與內部控制 機關目標 控制環境 風險評估 資訊與溝通 風險 控制作業 單位目標 使命/願景 監督作業 風險 15 15

政府內部控制 實務案例 16

內部控制興利案例 所得稅試算便民又經濟(1/3) 財政部為改善並提升稅務 服務品質，營造友善、便捷 且具效率之租稅環境，自 2011年起推行「綜合所得稅 結算申報稅額試算服務」， 主動提供納稅義務人稅額試 算資料及線上稅額試算服務 資訊系統。 17 (圖片來源: 財政部賦稅署)

所得稅試算便民又經濟(2/3) 主計總處以該試算服務為例，製作政府內部控制 宣導短片，提供各機關參考運用。 18

政府內部控制宣導短片 －報稅便民篇 19

(圖片來源: http://www.kanchen.com.tw) 所得稅試算便民又經濟(3/3) 透過主動提供綜合所得稅結算申報稅額試算服務，2012 年產出之適用案件數達總申報件數567萬件之56%， 服務採用率達63%，民眾滿意度達98%，2012年實施總 效益達節省新臺幣11億3,100萬元，扣除執行成本新臺 幣9,400萬元，淨效益達新臺幣10億3,700萬元。 20 (圖片來源: http://www.kanchen.com.tw)

內部控制缺失案例 給獎不實，偽造得獎名單(1/7) 101年12月間外界指出某機關辦理網路議題調查、創意logo設計及願景徵文等三項活動之得獎名單，民眾未報名參加，名字卻出現在得獎名單中，且未領到獎品；得獎名單並與○○大學某學年度入學名單相同，質疑名單造假。經該機關核對得獎者名單確有造假情事。 21

給獎不實，偽造得獎名單(2/7) 內部控制問題： 承辦人與廠商串謀舞弊及行政主管監督不周。 抽獎過程無資訊單位負責稽核，致廠商有機會灌入並抽取造假名單。 得獎名單核定過程中未要求廠商提供得獎者原始資料查對。 採購契約書中未訂定要求廠商於驗收時應檢附證明文件。 22

給獎不實，偽造得獎名單(3/7) 改進作為： 控制環境：本案係該機關多年來委由廠商辦理活動之採購案件，致使相關人員警覺性較低而疏於督導，應加強主管督導考核責任，以確保辦理結果已達到原訂目標，並加強採購專業訓練以提升專業能力及適任性。 風險評估：應評估各項勞務採購可能產生之風險及廠商履約風險，於契約書中訂定相關驗收證明文件及履約保證金等規定，以符實需。 23

給獎不實，偽造得獎名單(4/7) 改進作為： 控制作業： 設計標準作業程序時應考量職能分工及相關牽制機制。 加強競賽評審與贈獎作業程序之管控，於評審作業後確認得獎名單之相關資料，請評審委員確認做成紀錄，避免不當之誤植，並要求廠商檢附採購獎品之原始憑證影本及獎品寄送證明文件，併同執行報告相關資料辦理請款。 採購案件驗收作業，應依政府採購法規定程序辦理，如作結算驗收證明書。 24

給獎不實，偽造得獎名單(5/7) 改進作為： 資訊與溝通：機關辦理網路抽獎活動，應由資訊單位或人員針對抽獎資料庫異動歷程及紀錄進行稽核，以防止人為灌入造假資料；抽獎程式如由廠商開發，應由機關針對該程式進行檢視及測試，以確保符合隨機抽取之要求。 25

給獎不實，偽造得獎名單(6/7) 改進作為： 監督： 需求單位應確實加強採購案件履約執行檢核，檢核之工作項目應符合企劃書及契約等工作事項規定。 勞務採購案件之驗收程序，驗收單位於驗收時，應通知監辦單位派員監辦，驗收紀錄文件應參照工程會範本設置監驗人員欄位，俾利監驗單位辦理監驗。 26

給獎不實，偽造得獎名單(7/7) 改進作為： 已就網路抽獎活動之規劃、審查、得獎名單抽籤作業、獎品購買及寄送等設計相關內部控制制度，並於2013年9月辦理作業層級自行評估，評估結果皆符合，確認該項作業已有效設計及執行。 已修訂勞務及財物採購業務及監辦分工表，明訂採購監辦單位應辦理事項。 已檢討主管機關審議完成採購申訴案件至機關刊登政府採購公報之時程落差，接獲審議判斷書即可逕行刊登政府採購公報，以爭取時效，並以電子郵件通知機關全體同仁及於內部網站公告。 27

強化內部控制 之作法 28

行政院內部控制之推動 具體作法 逐級分工 組成內部控制推動單位 訂頒內部控制相關規範 辦理內部控制宣導訓練 檢討強化內部控制作業 設計維持有效內控制度 檢查評估制度執行情形 逐級督導落實執行方案 試辦簽署內控聲明書 具體作法 行政院內控小組 權責機關(含財政部、法務部、科技部、行政院主計總處、人事行政總處、國家發展委員會及公共工程委員會) 各部會 各機關 逐級分工 29

組成內部控制(含內部稽核)推動單位(1/2) 辦理內部控制（含內部稽核） 作業宣導 諮詢審議依COSO理論架構研訂之內部控制相關規範 審議或備查主管機關提報檢討現有內控作業落實執行及重大缺失改善情形 備查內部控制 制度共通性作 業範例 行政院 內控小組 審議主管機關提報外部單位所提內控缺失事項涉及跨部會業務之權責分工 督導各主管機關落實執行內部控制(含內部稽核)工作及擇主管機關進行訪查 30

組成內部控制(含內部稽核)推動單位(2/2) 辦理內部控制(含內 部稽核)作業宣導 會同所屬釐清監察院及審計部所提內部控制缺失 主動與相關機關溝通協調涉及跨部會業務之內部控制缺失 督導所屬落實執行 內部控制(含內部 稽核)工作 主管機關 督導所屬訂定內部控制制度及內部稽核作業規定 彙整內部控制(含內部稽核)辦理情形，提報跨部會之內部控制推動及督導小組 31

各機關推動強化內部控制作業流程 組設內部控制小組及內部稽核單位 辦理內部控制(含內部稽核)教育訓練 檢討強化現有內部控制作業，並就監察院及審計部等所提內部控制缺失案件積極檢討 依各機關內部控制制度自行評估原則，擬定自行評估計畫、辦理自行評估作業 依政府內部稽核應行注意事項，擬訂稽核計畫、辦理內部稽核工作及出具稽核報告 針對自行評估及內部稽核(含稽核評估職能)發現之缺失事項及提出之具體興革建議，連同外部稽核所提內部控制缺失案件等，至少每半年追蹤其改善及辦理情形。 涉及制度面缺失部分，據以修正內部控制制度，並定期採滾動方式辦理風險評估作業 辦理風險評估作業，據以設計並維持有效內部控制制度

檢討強化內部控制作業 各機關應賡續檢討強化現有內部控制作業，並就監察院彈劾、糾正（舉）或提出其他調查意見之案件、審計機關總決算審核報告重要審核意見、上級與權責機關督導、機關辦理內部控制制度自行評估與內部稽核與近期外界關注事項等，涉及內部控制缺失部分，積極檢討。 33 33

設計(檢修)內部控制制度 機關檢修內部控制制度時，應檢視下列事項： 確認機關整體層級與作業層級目標。 從風險評估角度，辨識影響上開目標不能達成之內、外在風險項目及分析其風險等級，並定期滾動檢討（請就前次風險評估結果檢討其可容忍之風險是否仍維持可容忍之程度，以及前次不可容忍之主要風險項目所採行之新增控制機制滾動納入本次現有控制機制後一併檢討及評量其風險等級，決定是否需採行其他新增控制機制因應該等風險）。 就不可容忍之風險項目(高風險或重要性業務)，據以檢討修正控制作業，以確保其有效性。 34 34

確認整體及作業層級目標 以中低收入老人生活津貼作業為例 合理分配社會福利資源，加強弱勢基本生活照顧，建構完善社會安全網 整體層級目標 合理分配社會福利資源，加強弱勢基本生活照顧，建構完善社會安全網 作業層級目標 加強低收入戶及中低收入生活照顧服務，保障民眾基本生活需求 35 35

影響之敘述分類表 等級 影響程度 機關形象 目標達成 溢領補助金額 3 非常嚴重 主管補助業務經媒體廣泛持續負面報導，嚴重損及本處專業形象及聲譽 政策或計畫目標大部分未能達成，遭受外界質疑程度非常嚴重 上一年度溢領補助金額達50萬元以上 2 嚴重 主管補助業務經主要媒體負面報導引發輿論討論，損及本處專業形象及聲譽 政策或計畫目標部分未能達成，遭受外界質疑程度嚴重 上一年度溢領補助金額1萬元以上未達50萬元 1 輕微 主管補助業務經單一或特定媒體刻意負面報導，影響本處專業形象及聲譽 政策或計畫目標少部分未能達成，遭受外界質疑程度輕微 上一年度溢領補助金額未達1萬元 36

機率之敘述分類表 等級 發生機率分類 詳細描述 3 幾乎確定 在大部分的情況下可能會發生 2 可能 有些情況下可能會發生 1 幾乎不可能 只會在特殊的情況下可能發生 37

風險評估及處理表（第1期） 風險項目 風險情境 風險本質分析 風險值 (R)= (L)x(I) 現有控制機制 現有風險 分析 新增控制機制 負責單位 可能性 (L) 影響 程度 (I) 受補助人溢領中低收入老人生活津貼 未確實執行中低收入老人生活津貼審核作業 2 3 6 人工抽查比對補助人申請資料與戶籍資料、財稅資料，審核是否符合資格 4 使用社政資訊系統，與戶役政系統定期連線校正比對 長青身障福利科 … 38 38

風險評估及處理表(第2期) 納入上期新增控制機制以落實風險評估滾動檢討 納入該作業項目之控制重點予以控管 風險項目 風險情境 現有控制機制 現有風險分析 風險值 (R)= (L)x(I) 新增控制機制 殘餘風險 分析 (R)= (L)x(I) 負責單位 可能性 (L) 影響 程度 (I) … 受補助人溢領中低收入老人生活津貼 未確實執行中低收入老人生活津貼審核作業 使用社政資訊系統，與戶役政系統定期連線校正比對 2 4 撥付津貼前，媒體資料與其他補助計畫比對，控管並檢視溢領津貼情形 1 長青身障福利科 39 納入上期新增控制機制以落實風險評估滾動檢討 納入該作業項目之控制重點予以控管 39 39 39

主要風險項目彙總表 單位名稱 風險代號 主要風險項目 控制作業項目代號 跨職能業務 Z1 採購作業 ZZ05 … 長青身障福利科 B1 溢發中低收入老人生活津貼 B01 B02 秘書室 C1 出納業務控管疏漏 C01 40 40

風險圖像 影響程度 風險分布 非常嚴重(3) 嚴重(2) B2 B1、Z1 輕微(1) C1 幾乎不可能(1) 可能(2) 幾乎確定(3) 發生機率 41 41 41

設計有效控制作業(1/3) 根據風險評估結果，應就超過風險容忍度之主要風險項目，找出對應之相關業務項目，設計相關控制重點，納入各項業務活動之作業流程，其中涉及共通性業務，可參採各權責機關所定之共通性作業範例(如採購業務、財產管理業務等)。 機關如已建置相關業務活動之作業流程(如SOP)，則可以該流程為基礎，再加入控制作業之設計，可大幅減少設計內部控制制度之時間及成本。 42 42

設計有效控制作業(2/3) 以中低收入老人生活津貼作業為例 … 否 是 該作業程序中已設計有效之關鍵控制重點 受補助人是否溢領津貼 辦理補助款撥款事宜 社政資訊系統與戶役政系統定期連線校正比對 長青身障福利科 是 補助檔資料 發文追繳溢領款項並限期繳回，及建立溢領名單資料 每月媒體資料與其他補助計畫比對 長青身障福利科 長青身障福利科 補助檔資料 43 43

設計有效控制作業(3/3) 作業程序說明表 項目編號 B01 項目名稱 中低收入老人生活津貼作業 承辦單位 長青身障福利科 作業程序說明 ......... 三、管制區公所於每月15日前完成受補助人資料登記。 四、每月16日至21日辦理戶役政系統連線及轉撥款檔。 五、抽查媒體資料檢視受補助戶是否受領其他補助。 控制重點 二、撥付津貼前，每月16日至21日辦理戶役政系統連線，透過媒體資料比對，控管並檢視溢領津貼情形。 三、撥付津貼前，媒體資料與其他補助計畫比對，控管並檢視溢領津貼情形。 法令依據 一、老人福利法第12條第3項 二、中低收入老人生活津貼發給辦法 三、○○市中低收入老人生活津貼審核作業辦法 使用表單 社政系統之補助檔資料 44 44

評估整體內部控制制度有效程度 各機關應依內部控制制度自行評估結果、內部稽核報告及內部控制缺失追蹤改善情形，並參考審計(監察)等外部單位查核意見，作為評估整體內部控制制度有效程度之主要依據。 評估整體內部控制制度有效程度 45 45 45 45

內部控制制度自行評估 (一)自行評估目的（效益） 檢視機關整體作業，檢討現行法規與程序是否適當。 內部控制監督機制第1道防線： 由各單位自行評估。 檢視機關整體作業，檢討現行法規與程序是否適當。 即時發現內部控制之缺失與問題，採取必要改正措施，防止可能潛在不法情事發生。 促使機關所有人員能瞭解到自己在機關中所扮演的角色，進而提升風險危機意識。 透過評估過程增進對內部控制的認知，並強化各單位與層級間之溝通與合作。 對於內部控制制度之有效性提供驗證。

(二)自行評估架構 評估總表 （內部控制制度自行評估結果） 整體層級 評估明細表 (控制環境) 作業層級 (控制作業) (資訊與溝通) (風險評估) (監督) 自行評估表 自行評估 統計表 未符合項目 一覽表 47

(三)整合理論與實務 經參考2013年美國COSO新修正「內部控制-整合架 構」所列17項原則及其關注點，並研析實際發生之 內部控制違失案例、參酌政府機關特性及相關法令 等，訂定「各機關內部控制制度自行評估原則」， 將自行評估作業分整體及作業2個層級進行評估。 (圖片來源：http://jpdog.pixnet.net/blog)

1.借鏡實際違失案例 ○○局某清潔隊員藉由兼辦加班費等業務之便浮報加班 費時數，自2005年起至案發之2013年4月，共詐取公帑 約新台幣1,955萬元。 案情分析 該員同時兼辦加班費、負責核對點名紀錄表、加班請示單及製作加班費印領清冊等業務。 影印偽造前開文件後浮報加班費時數。 製作不實加班費轉帳明細表等，以植入該員及其親屬之金融機構帳號，送交金融機構劃帳。 主要內部控制問題為機關未落實職能分工，以致欠缺 複核機制。

2.整體層級自行評估 按內部控制5項組成要素訂定17項判斷參考項目(如附 件)，以利各機關自整體層級評估其內部控制制度之有效性。 其中判斷參考項目1.3，即是借鏡前開違失案例，依 COSO「內部控制-整合架構」中「控制環境」組成要素之原則所訂定。 原則 關注點 判斷參考項目 管理階層在董事會監督之下，建立達成各項目標之結構、報導體系，以及適當權限與責任。 定義、分派及限制權限與責任 1.3機關內部高風險業務是否有明 確職能分工及制衡機制?例如： 出納與會計分工、機關承辦採 購單位之人員不得為所辦採購 之主驗人或樣品及材料之檢驗 人。

(圖片來源： http://www.dreamstime.com) 3.作業層級自行評估 各機關依據其內部控制制度所訂之作業層級自行評估 表，針對各項作業評估控制重點設計及執行之有效性， 進而作為評估整體層級控制作業之參據。 經借鏡前開違失案例，製作「加班申請與費用核發作 業」跨職能整合範例，提供機關依風險評估結果納入 內部控制制度設計，並辦理作業層級自行評估（詳附錄 1）。 (圖片來源： http://www.dreamstime.com)

(圖片來源： http://www.brightideasteaching.co.uk) (四)自行評估發現 1.作業層級自行評估 評估結果 某機關未建立審核加班人員時數及其金融機構帳號正確性之控制作業，以確認是否有時數異常或非屬加班人員帳號之情形，因此本項作業內部控制制度之設計未能有效降低潛在風險。 改善措施 建議於申請單位提出加班費申請後，應由人事單位審核加班時數是否逾規定時數，並與差勤系統資料比對，另建立金融機構帳號之檢核機制，以符合COSO「內部控制-整合架構」中「控制作業」組成要素之原則，方能有效降低潛在風險。 (圖片來源： http://www.brightideasteaching.co.uk)

(圖片來源: http://www.intelligentphilanthropy.com/) 2.整體層級自行評估 評估結果 某機關人事費用業務分工表規定，由總務單位負責 核對加班時數之正確性並製作劃帳檔案送交金融機構， 與審核加班時數之正確性應由人事單位負責，而製作並 送交金融機構劃帳檔案為總務單位權責之規定不符。 改善措施 檢修機關之人事費用業務分工表，並函請各單位確 實依相關法令落實職能分工。 (圖片來源: http://www.intelligentphilanthropy.com/)

內部稽核 (一)內部稽核之目的 內部控制監督機制第2道防線： 由內部稽核專責單位或任務編組(包括由稽核評估職能及主要核心或高風險業務單位人員組成)實施內部稽核。但稽核評估職能單位已辦理之事項，得不重複納入稽核。 以客觀公正之觀點，協助機關檢查內部控制之實施狀況，並適時提供改善建議，以合理確保內部控制得以持續有效運作，促使機關達成施政目標。

(二)「政府內部稽核應行注意事項」主要內容 各機關應成立內部稽核單位，以整合原有各項稽核評估職能及其他業務之稽核，但業務屬性單純者得併由上級機關統籌辦理。 各機關辦理稽核工作時，如稽核項目具有量化或非量化績效目標，則應衡量稽核項目之資源使用是否具有效率、業務或計畫執行是否達成預期目標等績效，強化業務層面之稽核，促使機關達成施政目標。 針對內部控制缺失事項或具體興革建議，內部稽核單位應彙整並追蹤其改善或辦理情形。 55

(三)內部稽核實例-資訊系統委外費用之合理性(1/3) 決定稽核項目：某機關因應業務ｅ化之需要，委外開發 相關資訊系統，提供內部單位使用。鑒於目前各項業務對 資訊依存度甚高，相關資訊系統之建置經費占機關年度預 算資本支出比例高達35.6%以上，維護費用亦占業務費比 例達5.7%，將資訊系統委外費用之合理性，擇定為本次重 點稽核項目之一。 稽核工作分派：為避免稽核人員稽核目前服務單位或承 辦業務，採交叉稽核方式辦理，例如指派ＯＯ處副處長Ｏ ＯＯ、政風處專門委員ＯＯＯ、會計處科長ＯＯＯ及秘書 處專員ＯＯＯ共同參與稽核。

(三)內部稽核實例-資訊系統委外費用之合理性(2/3) 稽核發現： 調閱5案資訊系統採購相關文件，其資訊系統委外採購價 格均依「機關委託資訊服務廠商評選及計費辦法」所列採 用「服務成本加公費法」之服務費用組成項目，並參考中 華民國資訊軟體協會公布「資訊委外服務人員計價參考要 點」所列計算方式，計算各類型資訊人員薪資水準。 比較本機關與他機關資訊系統費用之合理價格估算方式， 其中差異之處在於直接薪資、管理費用比例、公費及後續 年度維護費用比例等服務費用項目之計算方式各有不同所 致。 57

(三)內部稽核實例-資訊系統委外費用之合理性(3/3) 稽核結論： 現行資訊系統委外維護費用之費率雖以不高於前一年度為原則，建議可依系統穩定度，採逐年遞減方式。 資訊系統委外費用合理價格之估算過程中「投入人月」之估算因子尚未建立參考準據。 建議意見： 建議資訊處評估維護費用比例採逐年遞減之可行性。 為精進投入人月數量估算，建議評估設計「投入人月數量估算原則」之可行性。 為增進政府機關資訊系統經費編列之合理性，建議評估資訊系統經費估算方式應用於審查各機關資訊系統經費之可行性。 58

(圖片來源： http://www.tomahawk.co.nz/the-buzz/) (四)建立資訊整合平台以強化稽核功能(1/3) 政府機關每年編列龐大經費補(捐)助民間團體，惟民間團體以同一計畫向多個機關重複申請補助情形時有所聞，爰開發跨機關(構)之資訊整合平台，以強化補(捐)助經費之內部控制機制。 機關在核定補(捐)助案件前，可透過前開整合平台查詢民間團體是否有重複申請，或者申請金額合計超過計畫所需總經費之情形，俾妥適配置政府有限資源。 59 (圖片來源： http://www.tomahawk.co.nz/the-buzz/)

民間團體申請及結報補(捐)助案件跨機關查詢服務 (四)建立資訊整合平台以強化稽核功能(2/3) 補(捐)助案件跨機關(構)跨職能資訊共享機制示意圖 B機關受理與查詢 主計人員 查詢核銷狀態 登載案件 C機關受理與查詢 同ㄧ民間團體向多機關提出申請 A機關受理與查詢 登載與查詢案件 總歸戶查詢模式 進行源頭管理與核銷稽核 民間團體申請及結報補(捐)助案件跨機關查詢服務 批次登載

(圖片來源: http://blog.mindjet.com ) (四)建立資訊整合平台以強化稽核功能(3/3) 該系統已於2014年初建置完成，目前進行系統測， 預計於2014年底正式上線供機關使用。 未來規劃增加補(捐)助異常之警示功能，或者產製 異常情形報表，以提供機關更為及時且有用之管理資 訊。 (圖片來源: http://blog.mindjet.com )

試辦簽署內控聲明書 透過各機關首長簽署內控聲明書促使合理確認機關整 體內部控制制度之有效性，以落實課責。 透過各機關首長簽署內控聲明書促使合理確認機關整 體內部控制制度之有效性，以落實課責。 內部控制制度聲明書(以下簡稱內控聲明書)依政府特性， 區分為「有效」、「部分有效」及「少部分有效」等3 種格式，由機關首長及副首長共同簽署（詳附錄2）。

擬定內部控制制度自行評估計畫及內部稽核計畫 (一)完成第一階段試辦 經擇定6個機關依下圖之流程完成試辦作業，該等機 關均已於2014年8月簽署「有效」類型之2013年度內控聲明書，且公開揭露於各該機關網站。 於2014年8月底前，就2013年度內部控制制度自行評估及內部稽核所發現之缺失，連同監察院等外部意見涉及內部控制缺失部分作成追蹤改善表，並確認應揭露之重大缺失項目。 綜合判斷整體內部控制制度之有效程度，由機關首長及副首長簽署2013年度內控聲明書。 擬定內部控制制度自行評估計畫及內部稽核計畫 於2013年度終了日前完成內部控制制度自行評估及內部稽核，並作成自行評估結果及內部稽核報告 辦理內部控制制度自行評估及內部稽核

(二)啟動第二階段試辦 經參考第一階段試辦計畫及推動經驗，業已研訂 「第二階段試辦簽署內部控制制度聲明書推動計 畫」，擴大擇定16個機關於2015年6月底前簽署 2014年度之內控聲明書，以期發揮簽署內控聲明 書之實質效益。 64 64

機關內部控制 種子人員角色 65

加強宣導機關全體同仁內部控制觀念 「人」是內部控制成敗的關鍵，種子人員應透過教育訓練，使同仁瞭解在內部控制應有的角色及責任，並反覆提醒同仁正確內部控制觀念。 機關首長與高階主管對推動落實內部控制制度之重視及支持至關重要，種子人員應適時提醒各單位主管以上人員以身作則，將施政理念及行動風格導入正向。 種子人員實施教育訓練時，可透過機關實際案例互動研討或帶領同仁實作演練，加強同仁對內部控制之瞭解。 (圖片來源：http://home.life.com.tw)

積極協助機關推動內部控制工作(1/2) 種子人員主動協助各單位設計有效內部控制制度、辦理自行評估與內部稽核等工作，適時提供建議意見，並提醒各單位應自我監督落實執行，以維持其制度有效性。 若機關發生內部控制與內部稽核小組幕僚單位業務分工等爭議，種子人員主動協助橫向溝通協調，仍無法解決時，應尋求上級長官裁決或提報會議討論。 種子人員執行內部控制或內部稽核工作之權責可透過機關內部控制或內部稽核小組召集人裁決或會議決議賦予，以利順利推行。

積極協助機關推動內部控制工作(2/2) 種子人員可建議針對機關內部單位執行內部控制成效良好或主動發現內部控制缺失並經檢討改善有具體成效者，對相關參與人員給予適當獎勵。 種子人員可建議機關組成內部控制或內部稽核工作圈，彼此分享辦理內部控制或內部稽核之經驗或技巧，以提升專業知能。 種子人員應協助機關同仁採滾動方式辦理風險評估，依評估結果檢修內部控制制度，以因應內外在環境之變遷。

結語 69

設計以風險導向內部控制制度 各機關應針對各項施政作為於不同階段落實風險評估檢討機制，並就不可容忍風險或重要性原則訂定相關管控措施或控制作業，強化機關內部控制機制及因應潛在風險。 有效之內部控制制度仍需各機關積極推動，避免流於文書形式，應真正內化於組織文化中，俾落實自主管理機制。 70 70 70 70

落實內部控制監督機制 各機關透過自行評估提出之改善措施或具體興革建議，由內部控制小組督導各單位確實檢討改善，形成PDCA管理循環，以有效發揮內部控制機制。 各機關應妥為規劃及執行內部稽核工作，確實檢查內部控制之實施狀況，並適時提供改善建議，以合理確保內部控制得以持續有效運作，俾使機關達成施政目標。 為改善各機關各項施政品質，應加強各機關重要業務或計畫績效之稽核工作，協助提升施政效率與效果，以合理達成機關施政目標。 輔導機關運用持續性監控及持續性稽核，以有效發揮監督功能。 71

(圖片來源： http://www.les-coccinelles.fr) 推動政府內部控制考評獎勵機制 為鼓勵各機關落實執行內部控制相關工作，研訂內部控制考評及獎勵要點，給予執行成效良好機關適當獎勵。 針對受評機關採納具體興革建議並納入內部控制制度設計情形，擇選重大績效案例供各機關進行標竿學習，以強化內部控制之興利功能。 72 (圖片來源： http://www.les-coccinelles.fr)

試辦簽署內控聲明書 為提升機關首長對於內部控制之重視並強化自我課責，推動試辦簽署內控聲明書，期促使各機關全體人員從上到下強化內部控制觀念，針對缺失癥結澈底檢討改善，讓內部控制相關工作更加落實推動。 73

附錄 74

與各機關內部控制制度整體層級有效性判斷參考項目對照表 附錄1：COSO內部控制-整合架構17項原則 與各機關內部控制制度整體層級有效性判斷參考項目對照表 內部控制要素 COSO內部控制-整合架構17項原則 各機關內部控制制度整體層級有效性判斷 參考項目 原則 關注點 指引 控制 環境 機構展現對於誠信與道德價值之承諾。 及時處理偏差行為 1.1遵循公務倫理　 型塑廉政文化 機關針對違反公務員廉政倫理規範案件，是否建立及時處理該偏差行為之機制？ 董事會展現其獨立於管理階層，並對內部控制之建立與成效行使監督。 對內部控制制度進行監督 1.2支持內部控制　 督導工作執行 機關是否定期召開內部控制及內部稽核小組會議，督導內部控制制度設計及執行情形並落實會議決議? 管理階層在董事會監督之下，建立達成各項目標之結構、報導體系，以及適當權限與責任。 定義、分派及限制權限與責任 1.3授予權限責任　 落實職能分工 機關內部高風險業務是否有明確職能分工及制衡機制?例如：出納與會計分工、機關承辦採購單位之人員不得為所辦採購之主驗人或樣品及材料之檢驗人。 機構為配合目標而展現延攬、培育及留用適任人才之承諾。 延攬、培育及留用人才 1.4培育訓練人才　 落實職務輪調 機關執行重要或高風險業務人員是否皆已依內外部規定進行職務輪調? 機構要求各級人員在達成各項目標的過程中，應擔負其內部控制之責任。 評估績效及獎懲個別人員 1.5落實考核獎懲　 強化人事管理 機關是否落實考核同仁工作績效，並覈實予以獎懲?

各機關內部控制制度整體層級有效性判斷參考項目 內部控制要素 COSO內部控制-整合架構17項原則 各機關內部控制制度整體層級有效性判斷參考項目 原則 關注點 指引 參考項目 控制 環境 機構具體指明適合目標，以辨識及評估與目標相關的風險。 營運目標 2.1確認施政目標　 辨識相關風險 機關是否依據公部門施政方針訂定其施政目標並召開會議以辨識施政目標無法達成之風險，且於內部控制制度風險登錄表等表件，記錄主要風險項目? 機構辨識達成其目標之風險，並分析各項風險，以作為應如何管理該等風險之基礎。 決定如何回應風險 2.2落實風險分析　 決定回應方式 機關是否分析風險，並於內部控制制度風險分析表及風險圖像等表件，記錄風險分析結果，俾就不可容忍之風險決定因應對策? 機構評估達成目標之風險時，考量可能發生的舞弊。 考量各種舞弊類型 2.3評估政風狀況　 加強風險預防 機關是否掌握可能涉及貪腐風險事件之動態資料，定期辦理廉政風險評估，並將評估結果簽報機關首長或提報廉政會報？ 機構辨識及評估可能對內部控制制度產生重大影響之各項改變。 評估外部環境的改變 2.4因應重大改變　 滾動檢討風險 機關是否辨識法令規定、政策及或資訊系統產生重大改變之風險，並採滾動方式定期辦理風險評估作業與製作風險評估及處理表等表件，據以更新風險項目，以因應內部及外部環境之改變?

各機關內部控制制度整體層級有效性判斷參考項目 內部控制要素 COSO內部控制-整合架構17項 原則 各機關內部控制制度整體層級有效性判斷參考項目 關注點 指引 參考項目 控制 作業 機構選擇及建立控制作業，用以降低達成目標之相關風險至可接受水準。 決定攸關的業務流程 3.1落實控制作業　 確保有效管控 機關內部控制制度作業層級自行評估統計表是否顯示各項控制作業已有效設計及執行，以利各項作業達成其原訂目標？ 機構選擇及建立科技之一般控制作業，以支持目標之達成。 建立攸關安全管理過程的控制作業 3.2建立一般控制　 強化安全管理 機關發生資安事件時，是否落實資安事件通報作業? 機構透過制定各項政策與程序，以建置其控制作業。政策係指建立欲達成之項目，程序則係將政策付諸行動。 重新評估政策與程序 3.3檢討內部程序　 更新控制作業 機關既定政策、目標及計畫等改變時，各單位是否據以檢討作業流程各項控制重點之有效性及合理性，該增減就增減、該簡化就簡化，並檢討修正內部控制制度？ 資訊與 溝通 機構蒐集或產生及使用攸關、具品質資訊，以支持內部控制之持續運作。 在整個處理過程中維持品質 4.1確保資訊品質　 支援管理決策 機關資訊系統是否具備可用等特性，且產生之資訊符合機關需求，足以支持內部控制持續運作？

各機關內部控制制度整體層級有效性判斷參考項目 內部控制要素 COSO內部控制-整合架構17項原則 各機關內部控制制度整體層級有效性判斷參考項目 原則 關注點 指引 參考項目 資訊與 溝通 機構向內部溝通支持內部控制持續運作之必要資訊，包括內部控制之目標與責任。 溝通內部控制資訊 4.2建立內部溝通　 履行內控職責 機關對於涉及內部控制之資訊，是否皆已透過內部網站、公文、電子郵件、會議、訓練等方式向內部人員溝通，使其瞭解並履行其內部控制責任？ 機構向外部人士溝通影響內部控制持續運作之相關事項。 向外部人士溝通 4.3建立外部溝通　 促進多方交流 機關是否設有專責單位或人員負責處理追蹤外界提出之意見，並針對執行進度落後部分提報內部會議列管？ 監督 機構選擇、建立及執行持續性及(或)個別評估，以確定內部控制各要素是否存在及持續運作。 客觀地評估 5.1落實監督機制　 強化內控制度 機關辦理內部稽核工作，是否依「政府內部稽核應行注意事項」採下列方式辦理： (1)稽核項目如具有量化或非量化績效 目標，是否依該規定第五點第七項 辦理? (2)稽核項目如未具有量化或非量化績 效目標，是否依該規定第五點第二 項辦理? 機構評估並及時與負責採取改正行動者溝通內部控制缺失；必要時，包含高階主管及董事會。 監督改正行動 5.2檢討追蹤缺失　 落實改善作為 機關針對當年度自行評估、內部稽核連同公部門提出之內部控制缺失，是否提報相關會議審議並追蹤內部控制缺失檢討改善情形?其中涉及制度面缺失部分應由內部控制小組幕僚單位檢討修正內部控制制度。

【範例一】表示整體內部控制制度之設計及執行有效 附錄2：試辦機關內部控制制度聲明書範例 【範例一】表示整體內部控制制度之設計及執行有效 (機關名稱) 內部控制制度聲明書 本機關民國○○○年度之內部控制制度，依據評估及稽核之結果，謹聲明如下： 一、本機關確知設計、執行及維持有效的內部控制制度係由機關全體人員共同參與，並已建立此一制度，其目的係在對實現施政效能、遵循法令規定、保障資產安全及提供可靠資訊等目標之達成，提供合理的確認，但不包括機關內部控制無法掌握之外部風險。 二、內部控制制度有其先天限制，不論設計如何完善，有效之內部控制制度僅能對相關目標之達成提供合理的確認，另環境、情況之改變，內部控制制度之有效性亦可能隨之改變，惟本機關之內部控制制度設有監督機制，針對內部控制缺失進行追蹤改善。 三、本機關依○○○年度之內部控制制度設計及執行情形辦理評估及稽核之結果，認為本機關於○○○年12月31日整體內部控制制度之設計及執行係屬有效，其能合理確保上述目標之達成。 四、本機關首長於○○○年○○月○○日就職，未就任前之○○○年度(1月至○○月)內部控制制度係由前任首長○○○推動及督導相關工作。 機關首長： 簽章 內控(內稽)召集人： 簽章 簽署日期： 年 月 日 79 79

【範例二】表示整體內部控制制度之設計及執行部分有效 (機關名稱) 內部控制制度聲明書 本機關民國○○○年度之內部控制制度，依據評估及稽核之結果，謹聲明如下： 一、本機關確知設計、執行及維持有效的內部控制制度係由機關全體人員共同參與，並已建立此一制度，其目的係在對實現施政效能、遵循法令規定、保障資產安全及提供可靠資訊等目標之達成，提供合理的確認，但不包括機關內部控制無法掌握之外部風險。 二、內部控制制度有其先天限制，不論設計如何完善，有效之內部控制制度僅能對相關目標之達成提供合理的確認，另環境、情況之改變，內部控制制度之有效性亦可能隨之改變，惟本機關之內部控制制度設有監督機制，針對內部控制缺失進行追蹤改善。 三、本機關依○○○年度之內部控制制度設計及執行情形辦理評估及稽核之結果，認為本機關於○○○年12月31日整體內部控制制度之設計及執行係部分有效，尚能合理確保部分上述目標之達成。 四、本機關首長於○○○年○○月○○日就職，未就任前之○○○年度(1月至○○月)內部控制制度係由前任首長○○○推動及督導相關工作。 機關首長： 簽章 內控(內稽)召集人： 簽章 簽署日期： 年 月 日 80 80

【範例三】表示整體內部控制制度之設計及執行少部分有效 (機關名稱) 內部控制制度聲明書 本機關民國○○○年度之內部控制制度，依據評估及稽核之結果，謹聲明如下： 一、本機關確知設計、執行及維持有效的內部控制制度係由機關全體人員共同參與，並已建立此一制度，其目的係在對實現施政效能、遵循法令規定、保障資產安全及提供可靠資訊等目標之達成，提供合理的確認，但不包括機關內部控制無法掌握之外部風險。 二、內部控制制度有其先天限制，不論設計如何完善，有效之內部控制制度僅能對相關目標之達成提供合理的確認，另環境、情況之改變，內部控制制度之有效性亦可能隨之改變，惟本機關之內部控制制度設有監督機制，針對內部控制缺失進行追蹤改善。 三、所發現之內部控制重大缺失(詳附表)嚴重影響本機關之運作，認為本機關於○○○年12月31日整體內部控制制度之設計及執行僅少部分有效，尚難以合理確保上述目標之達成。 四、本機關首長於○○○年○○月○○日就職，未就任前之○○○年度(1月至○○月)內部控制制度係由前任首長○○○推動及督導相關工作。 機關首長： 簽章 內控(內稽)召集人： 簽章 簽署日期： 年 月 日 81 81

【範例三】(機關名稱)內部控制重大缺失及其改善計畫 內部控制重大缺失說明 預計(已)採行之改善措施 預定(完成)改善時間 82 82