政府內部控制 觀念架構與推動作法 主講人：許庭禎 102.06.06 新北市政府102年度內部控制教育訓練 政府內部控制 觀念架構與推動作法 主講人：許庭禎 102.06.06

課程大綱 內部控制推動現況 內部控制基本觀念 內部控制制度設計 內部控制缺失檢討

前言 公共治理 風險管理 內部控制 在全球化浪潮下，政府部門面臨來自科技創新、自由化經濟、公民意識高漲等外在環境挑戰。 為因應環境之變遷、政府職能日趨多元，必須掌握各種可能影響施政目標達成之風險，並加以有效管理，以提升政府施政效能與競爭力。

強化內部控制機制的重要性 強化內部控制為風險管理不可或缺的部分，目前政府已將其納入「黃金十年國家願景」中「廉能政府」與「效能躍升」的一環，有助落實優質公共治理，奠定政府競爭力。 鑑於內部控制為促進良善政府治 理與政府效能之基石，但近年來 發生台大醫院器官移植的失誤、 運動彩券的弊端，以及一名婦人 擅闖桃園機場等事件，顯示政府 的內部控制機制仍有疏漏。 因去民航局所以用其例

婦人連闖機場禁區無人知？？ 1.沿水溝步行 2.自鐵絲破洞 爬入 3.扶梯車鑰在 車內遮陽板 4.開車至機艙門 未關的飛機 5.遇身分盤查 通過 6.睡覺被機長 發現

內部控制 推動現況 6

新北市政府內部控制推動情形 項目 日期 辦理事項 1 101.05.25 訂頒「新北市政府內部控制推動及督導小組設置要點」，成立內部控制推動及督導小組，並於101年7月及102年1月召開2次小組會議。 2 101.07.30 訂頒「新北市政府推動內部控制實施計畫」、「新北市政府內部控制制度共通性作業範例製作原則」。 3 101.08.13 針對本府各一級機關及公所涉及共通性業務之權責主管及承辦人員辦理內部控制宣導講習課程。 4 102.01.10 本府內部控制重大違失案例13則置於本府主計處網站之內部控制專區。 5 102.02.25 函知各機關本府102年底推動內部控制之重點工作項目。 6 函請本府各機關於3月底前分別組成內部控制專案小組，有所屬機關者，得衡量機關之規模大小、業務繁簡等一併設置。

新北市政府內部控制推動情形 項目 日期 辦理事項 7 102.03.02 本府研考會訂頒「新北市政府推動風險管理及危機處理實施計畫」。 8 102.03.19 102.03.21 本府研考會針對本府各機關專案小組成員舉辦政府風險管理、風險評估教育訓練。 9 102.03.31 本府內部控制制度共通性作業範例-財產管理、政風、主計、出納、採購、人事、行政管考、資訊安全等業務已分行各機關參照。 10 102.04.08 辦理本府各機關首長內部控制宣導講習。 11 102.05.20 內控推動及督導小組審議「新北市政府內部控制制度設計原則」。

行政院內部控制相關規定

實施依據 行政院為合理確保達成政府施政目標、依法行政及展現廉政肅貪之決心，函頒「強化內部控制實施方案」(101.2.1訂定、101.9.13及102.4.29修正)。 新北市政府為提升政府施政效能，維護財物及資料安全，減少人為缺失所造成之損失及降低錯誤與舞弊之可能性，以健全財務紀律，於101年7月30日訂定「新北市政府推動內部控制實施計畫」。

實施策略 推動作法 組織架構 新北市政府成立內部控制推動及督導小組，負責推動內部控制制度，並督導各機關落實執行。 組成內部控制推動單位 辦理內部控制宣導訓練 檢討現有內部控制作業 設計有效內部控制制度 檢查評估制度執行情形 逐級督導落實執行方案 推動作法 新北市政府成立內部控制推動及督導小組，負責推動內部控制制度，並督導各機關落實執行。 各機關分別組設內部控制小組，負責推動及執行內部控制相關工作。 各權責機關負責研訂內部控制制度共通性作業範例。 組織架構 11

實施內容/1.內部控制推動及督導小組 審議推動內部控制實施計畫。 辦理一級機關及區公所內部控制作業宣導，對機關 首長說明內部控制之重要性，獲取共識及支持。 訂定內部控制制度共通性作業範例製作原則。 備查內部控制制度共通性作業範例。 督導一級機關及各區公所落實執行內部控制作業， 並定期或不定期擇一級機關進行訪查。 審議一級機關及區公所所提報，檢討現有內部控制 作業所發現之重大缺失及督導改善情形。

實施內容/2.各權責機關 作業範例 權責機關 出納、財產管理業務 財政局 採購業務（政府採購及其管理作業…） 工務局 人事業務（人員進用、薪資、福利、退休…） 人事處 政風業務(貪瀆防弊處理、廉政建設…) 政風處 行政管考業務（施政績效評估、年度施政計畫管理、風險管理…） 研考會 資訊安全業務 主計業務（概算籌編、預算案審查、收支內部審核、會計報告及決算編製、統計調查管理…） 主計處 本府財政局、工務局、人事處、政風處、研究發展考核委員會及主計處等機關分別組成專案小組，負責研訂內部控制制度共通性作業範例(分工如附表)，提報本府內部控制推動及督導小組備查。 13

實施內容/3.各機關 各機關首長對推動、落實內部控制(含內部稽核)作業負最終責任，並由副首長以上人員擔任召集人，指定內部各單位主管組成內部控制專案小組，辦理下列事項： 1.辦理內部控制作業教育訓練。 2.檢討強化現有內部控制作業。 3.參採各權責機關所訂內部控制制度共通性作業範例，並審視個別性業務之重要性及風險性，訂定合宜之內部控制作業規定。 4.檢討現有內部控制作業，所發現之重大缺失及具體改善措施，報送本府內部控制推動及督導小組。

實施內容/4.一級機關有所屬者 除辦理各機關所列事項外，並辦理及督導下列事項： 1.辦理內部控制作業宣導，對所屬首長說明內部控制之重要 性、實施作法，獲取共識及支持。 2.督導所屬機關訂定內部控制作業規定並備查。 3.內部控制作業規定，屬性質相同者，得為一致規定，或指 定所屬機關統一訂定。 4.督導所屬機關落實執行內部控制作業。 5.檢討本機關及所屬機關現有內部控制作業所發現之重大缺 失及督導改善情形，提報內部控制推動及督導小組。

102年度重點工作 函頒本府內部控制制度共通性作業範例 各機關組成內部控制專案小組 函頒本府內部控制制度設計原則及範例 內部控制教育訓練 各機關設計內部控制制度

內控控制未來推動工作 督促各機關設計完成內部控制制度 研訂共通性作業跨職能整合範例 研訂各機關內部控制制度自行評估原則 研訂政府內部稽核應行注意事項 研議簽署內部控制制度聲明書處理原則

內部控制 基本觀念 18

內部控制的定義 內部控制係由機關全體人員共同參與，藉由各種控管及評核措施，以合理促使達成目標之管理過程。 How Who 管理三構面 Why 管理= 規劃+執行+控制 管理三構面

內部控制可合理促使達成下列目標 實現 施政效能 提供 可靠資訊 保障 資產安全 遵循 法令規定

內部控制如何實施 監督(即內部稽核) 控制環境 風險評估 控制作業 資訊與溝通 確認 機關 目標 達成

內部控制五項組成要素 一 二 三 四 五 控制環境-塑造機關文化及影響其人員對內部控 風險評估-辨識目標無法達成的各種因素，並評 制認知之綜合因素，為其他四項組成要素之基礎。 二 風險評估-辨識目標無法達成的各種因素，並評 估其影響程度及發生可能性之過程。 三 控制作業-針對存在高風險之作業項目訂定規範 及程序，以合理促使機關達成目標、降低風險。 四 資訊與溝通-將資訊傳達相關人員，使其有效履 行職責或瞭解責任履行情形。 五 監督-評估作業執行有無產生缺失或需要改善之 處，以維持內部控制之有效性。

一、控制環境 公務職業操守與倫理價值觀念之建立及維持 首長與高階主管對推動及落實內部控制制度之重視以及支持 機關組織架構及授權之適當明確 人力資源之妥適管理及專業能力之提升

二、風險評估 1.風險辨識 2.風險分析 3.風險評量 辨識影響目標達成之風險因素(事項) 分析風險因素之影響程度及其發生可能性據以估計風險等級 3.風險評量 評量對風險之容忍度並依據風險等級決定優先處理之風險因素

三、控制作業 整體層級控制 對機關各單位多項業務有廣泛影響之控管措施或控制規範。 作業層級控制 機關各單位經依個別業務職掌已確認之作業層級目標，所評估風險之結果，選定業務項目，秉持化繁為簡原則，設計控制重點。並配合業務調整及作業變動，適時檢討修訂。 作業層級控制

四、資訊與溝通 資訊與溝通將內部控制制度以紙本、電子或其他方式儲存、管理與傳達，有利連貫及支援內部控制其他四項組成要素。 1.對機關全體人員宣達組織職掌及 已確認之目標等，以營造控制環 境。 2.進行風險評估時，得將內部控制 制度之品質納入考量因素之一。 3.各項業務之控制作業，得以書面 文件訂定，使機關全體人員可瞭 解、易遵循，並掌握控制重點。 4.監督時，依各項文件檢視內部控制制 度是否有效設計及執行，而相關評估 結果、建議及後續改善之紀錄，可供 回饋或追蹤辦理情形。

四、資訊與溝通 資訊與溝通將內部控制制度以紙本、電子或其他方式儲存、管理與傳達，有利連貫及支援內部控制其他四項組成要素。 資訊包括與機關目標有關之財務及非財務資訊，可由內部產生或自外部取得，以供決策及監督之用。 溝通包括(1)內部溝通：告知機關全體人員在內部控制所扮演之角色及責任，並建立通報異常情事之管道，促使機關上下或跨單位資訊充分傳達。 (2)外部溝通：依法對外部人士公開或提供資訊，並對外界提出之意見及時處理與追蹤。

五、監督 例行監督 自行評估 稽核評估 由機關內部各項業務承辦單位主管人員，執行督導作業。 由機關內部各單位，就其內部控制制度設計及執行之有效性加以評估，並及時補救或改正，且作成紀錄備供主管機關訪查及督導。 稽核評估 統合或運用相關稽核評估職能，客觀檢視內部控制制度設計及執行是否有效，並就發現之缺失與相關建議，及時改善與追蹤，必要時檢討修正內部控制制度。

內部控制基本觀念之運用 檢討內部控制缺失-運用內部控制五項組成要素，分析內部控制缺失，據以檢討改進。 設計內部控制制度-參考內部控制觀念架構，由機關內部各單位設計涵蓋內部控制五項組成要素之內部控制制度，以合理達成內部控制目標。

內部控制、內部審核與內部稽核之關係 內部控制 內部審核 內部稽核 協助主管人員檢查及覆核內部控制制度之缺失及衡量營運之效果及效率，並適時提供改進建議，以確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據。 經由收支之控制、現金及其他財物處理程序之審核、會計事務之處理及工作成果之查核，協助發揮內部控制之功能。

內部控制與風險管理之關係

內部控制之限制 內部控制僅能合理促使控制目的之達成，而非「絕對保證」達成目標。 受制下列因素影響，可能無法發揮其功能： 成本效益之考量-要求絕對保證達成目標，其成本可能超過所能產生的效益。 情況變遷複雜性-適用正常環境或一般事項之控制，尚難因應情況隨時變遷或特殊事項。 人性面先天限制-人為疏忽或誤解規定；串通舞弊或蓄意偽造；高階主管逾越控制程序；內部控制日久鬆懈。

內部控制成功的要件 要發揮內部控制的功能，必須配合下列要件： １.機關首長之重視與支持 ２.合理之組織規劃與管理結構 ３.健全之內部控制制度 ４.有效之內部稽核功能 ５.高度配合與訓練成熟之員工

內部控制 制度設計 34

研訂內部控制制度作業 研訂內部控制制度應依「內部控制制度設計原則」所定之內容及步驟，依序先確認整體及作業層級目標，進而評估無法達成目標之風險因素，再就不可容忍之風險找出業務項目，設計其控制作業，據以設計合宜有效之內部控制制度。 內部控制制度主要係要求機關各單位主管及人員應確實根據業務職掌、作業流程、權責分工等規定作自我審查，以期機關業務能有效推動，保障資產安全，並遵守法令之規定。

設計簡明有效且具彈性，並涵蓋各項業務之內部控制制度 內部控制制度設計原則 設計簡明有效且具彈性，並涵蓋各項業務之內部控制制度 衡酌因素： √業務繁簡 √規模大小 √人員多寡 考量原則： 　 √成本效益 　 √重要性 　 √風險性 參考要素： √控制環境 √風險評估 √控制作業 √資訊與溝通 √監督 內部控制制度經機關首長核定後，由機關全體人員共同遵循執行。若為二級以下機關（構）及學校，應報送上級機關備查。 36

內控制度內容 設計步驟 內控五項組成要素 壹、整體層級目標及機關組織職掌 貳、作業層級目標及機關組織圖 參、機關分層負責明細表 一、確認 肆、風險評估 風險辨識、風險分析、風險評量 二、風險 評估 根據風險評估結果，就超過機關風險容忍度之主要風險項目，找出對應之相關業務項目 三、選定業務項目 伍、控制作業 針對選定業務項目之重要環節，設計相關之控制重點 四、設計控制作業 陸、監督 柒、自行評估之表件格式 五、建立評估機制 資訊與溝通 控制環境 風險評估 控制作業 監督 37

38

釋例說明 國立故宮博物院 內部控制制度 中華民國101年12月12日核定 註:內部控制制度原則以A4直式橫書方式表達，其核定日期應適當 揭露，倘有更新，另加註最新修訂日期，其檔案可採紙本、電 子或其他方式儲存管理。另為便於查閱，應就其內容建立整體 目錄索引。 39

修訂紀錄 註：非重大修正者，提升一個版次，如本例1.1版。 屬重大修正者，提升一個版本，如本例2.0版。 版本(次) 修訂日期 修訂頁次 修訂單位 修訂類別 修訂摘要 增訂作業項目 刪除作業項目 修正控制重點 其他 修訂 1.0 101.12. 12 依據「辦理健全內部控制實施方案101年度重點工作」規定，於101年底前完成第1版內部控制制度。 1.1 101.12.22 03 秘書室  2.0 101.12.29 45 主計室 註：非重大修正者，提升一個版次，如本例1.1版。 屬重大修正者，提升一個版本，如本例2.0版。

目 次 壹、整體層級目標及機關組織職掌……………………1 一、整體層級目標……………………………………1 目 次 壹、整體層級目標及機關組織職掌……………………1 一、整體層級目標……………………………………1 二、機關組織職掌……………………………………1 貳、作業層級目標及機關組織圖………………………2 一、作業層級目標……………………………………2 二、機關組織圖………………………………………7 參、機關分層負責明細表………………………………7 肆、風險評估……………………………………………8 一、風險辨識 …………………………………………8 二、風險分析 …………………………………………12 三、風險評量 …………………………………………14 伍、控制作業……………………………………………18 陸、監督…………………………………………………19 柒、自行評估之表件格式………………………………20 附件 一、控制作業代號表 二、共通性業務控制作業程序說明表及流程圖 三、個別性業務控制作業程序說明表及流程圖 41

步驟一：確認目標 各機關依設立目的、願景、策略及施政目標等既有整體層級目標，透過內部各單位業務職掌，確認以作業類別或作業項目為基礎之作業層級目標。 各機關應每年定期或不定期檢視既有整體層級目標與作業層級目標之一致性，並視需要檢討修正，以達成機關之願景及使命；其有組織架構調整或年度業務增減變動時，應即時檢視。

整體層級目標 本院依據「國立故宮博物院組織法」第1條規定：「為整理、保管、展出原國立北平故宮博物院及國立中央博物院籌備處所藏之歷代古文物及藝術品，並加強對中國古代文物藝術品之徵集、研究、闡揚，以擴大社教功能，特設國立故宮博物院，隸屬於行政院」，明確揭示本院設置之目的與使命；又依據「國立故宮博物院處務規程」第5條第8款及第13條規定，本院設南院處，掌理南部院區文物之典藏管理、研究、展覽、保存維護與各項教育推廣活動及觀眾服務等工作，使本院典藏特色由中國古代文物藝術品擴展至亞洲藝術文物典藏。本院身為國際級博物館，除極力將博物館專業功能朝國際水準努力邁進外，更積極從事各項軟硬體基礎建設、數位典藏與數位博物館的建置，期望將博物館所蘊藏的深厚文化內涵，藉著教育推廣，創造它的新價值，並持續以「形塑典藏新活力，創造故宮新價值」為願景，據以推動各項施政。為實現上述願景，其整體發展目標如下：

整體層級目標 (一)積極走入國際，加強兩岸及國際重要博物館的交流，提升專業 研究水準。 (二)積極推動「大故宮計畫」籌建工作。 (三)故宮南部院區建設與開館試營運，經營國際級亞洲藝術文化博 物館。 (四)加強文物典藏、徵集與維護，強化文物安全維護管理系統。 (五)提升博物館專業功能，積極推廣教育與服務品質，推展數位化 博物館。 (六)建立授權管理應用系統，提升行政處理能量。 (七)健全基金運作機制，提高實質營運績效。 (八)加強第一線同仁在職訓練，提升專業知能與服務。

作業層級目標 各單位 業務職掌 (一)器物處： 1.掌理器物藏品之典藏、管理、研究及編目；器物藏品展覽之 指各機關內部單位為達成 策劃、布展及相關圖錄、出版品之撰寫與編輯。 2.器物藏品之國內外學術交流。 3.器物藏品徵集計畫之擬訂及執行等事項。 (二)書畫處： … (九)秘書室： 1.掌理本院文書、印信、出納、營繕、採購、庶務、財產管理、 研考、法制及公關業務。 2.不屬其他各處、室事項。 (十)人事室：掌理本院人事事項。 (十一)主計室：掌理本院歲計、會計、統計等事項。 (十二)政風室：掌理本院政風事項。 指各機關內部單位為達成 業務職掌，配合整體層級 目標所設定之具體作業目 標。 各單位 業務職掌

作業層級目標 (十一)主計室：掌理本院歲計、會計、 統計等事項。 辨識相連結之作業層級目標 (十一)主計室： 各單位 業務職掌 (十一)主計室：掌理本院歲計、會計、 統計等事項。 辨識相連結之作業層級目標 作業層級目標須經評估 風險，採取適當之回應 措施，以合理促使機關 整體層級目標之達成。 (十一)主計室： 1.如期辦理完成本院預決算作業。 2.加強支出預算控制。 3.落實執行內部審核，協助發揮內部控制之功能。

設定作業層級目標應注意事項 明確性：清楚明確，易於瞭解業務績效。 可衡量性：儘可能量化，以方便衡量其達成程度。 可達成性：考量所能使用之資源及環境變化，確保作業單位經過努力可以達成。 挑戰性：參考過去實績及環境變化，設定須經相當努力才能達成者。 成果導向：依欲達成之成果加以設定。 期限性：有達成之期限。

機關組織職掌 (一)古文物與藝術品之典藏、編目管理、稽查、 科技維護及保存修護。 (二)古文物與藝術品之研究、分析、考訂及評 鑑。 (三)古文物與藝術品之蒐購、徵集、寄存、受 贈、衍生利用及創意加值。 (四)古文物與藝術品之展覽設計、觀眾服務、學 術交流、教育推廣、數位學習及國際合作。 (五)其他有關古文物與藝術品事項。

機關組織圖 院 長 本院指導委員會 副院長(常務) 副院長(政務) 主任秘書 參事 器 物 處 書 畫 處 圖書文獻處 登錄保存處 器 物 處 書 畫 處 圖書文獻處 登錄保存處 文創行銷處 教育展資處 南 院 處 安全管理室 秘 書 室 人 事 室 主 計 室 政 風 室

機關分層負責明細表 機關分層負責明細表得以 註明出處或建立來源連結 之方式辦理。 單 位 工 作 項 目 權責劃分 備 註 第四層 第三層 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 單 位 工 作 項 目 權責劃分 備 註 第四層 第三層 第二層 第 一 層 承辦人 科長 處室 主管 （含副主管） 主任 秘書 副院長 院長 各 單 一、自行研究及傑出研究報告提送案 擬辦 審核 核定 案奉核定後，函文由副院長核判 二、申請研究相關補助費案 三、委託研究計畫案 四、法律之制定、修正及廢止 核轉 五、法規命令、行政規則之訂定、修正及廢止 或核轉 六、向行政院建議、請示、申覆或報告事項 案奉核定者由副院長核判   七、非主管人員公出四小時 簡任非主管由單位主管核定 八、非主管人員公出四小時以上 九、非主管人員出差二日以內 (不含二日) 設置副主管單位由副主管核判 機關分層負責明細表得以 註明出處或建立來源連結 之方式辦理。

步驟二、風險評估 機關任何業務之推展都可能面臨風險，因此要强化內部控制之前提即是要做好風險評估，以辨識無法達成機關整體層級與作業層級目標之內、外在風險因素。 進行風險評估時，得參考以往經驗或現行作業缺失，透過量化或非量化方式分析風險因素之影響程度及發生機率，以決定風險等級。 各機關應綜合考量風險評估結果及風險容忍度，就不可容忍之風險，研議及採取適當回應措施，如決定採設計控制作業方式回應，應及時設計之，以降低該風險等級。對於可容忍之風險，應監督並定期檢討，以確定該等風險仍維持可容忍之程度。

1.風險辨識 依據確認之整體層級目標及作業層級目標，考量本院業務之重要性、風險性，就監察院糾正（舉）、彈劾案件、審計部建議改善意見、本院實施檢查評估及近期外界關注事件等涉及內部控制缺失事項，並參考「行政院所屬各機關風險管理與危機處理作業手冊」所列風險來源，據以辨識無法達成本院整體層級目標及作業層級目標之內、外在風險因素。

權責單位 無法達成目標之風險因素 器物處 書畫處 圖書文獻處 教育展資處 文創行銷處 登錄保存處 南院處 安全管理室 秘書室 人事室 主計室 1.行政院主計總處匡列年度預算額度延遲。 2.承辦單位未能於期限內提供預決算相關資料。 3.籌編預決算期間適逢資訊系統維護或當機。 4.業務需要費用超過年度預算額度。 5.資本支出預算執行率未達90％。 6.實施內部審核採實地抽查方式，未能發現意圖 隱匿不法事件。 主計室作業層級目標： 1.如期辦理完成本院預決算作業。 2.加強支出預算控制。 3.落實執行內部審核，協助發揮內 部控制之功能。

註：若業務單位有特殊之評估準則，可由該單位另訂之。 2.風險分析 考量本院業務特性，並參採「行政院所屬各機關風險管理與危機處理作業手冊」之風險評估工具，訂定適用於本院之風險影響程度評量標準表(如表1)及發生可能性評量標準表(如表2)，作為各單位評量風險影響程度及發生可能性之參考標準，據以綜合評估風險判斷基準(如圖1)。 風險值之計算方式為影響程度及發生機率之乘積(風險值=影響程度*發生機率)。 註：若業務單位有特殊之評估準則，可由該單位另訂之。

影響程度評量標準表(表1) 等級 影響 程度 機關形象 業務運作 財物 損失 人員 傷亡 民眾 抱怨 或抗議 3 非常嚴重 國際新聞媒體報導負面新聞 中斷5天以上 新台幣1千萬元以上 死亡 大規模抗議活動 2 嚴重 台灣新聞媒體報導負面新聞 中斷2 至4天 新台幣1百萬元至1千萬元 重傷 多數人抱怨或抗議 1 輕微 區域新聞媒體報導負面新聞 中斷1天 新台幣1百萬元以下 輕傷 少數人抱怨或抗議

發生可能性評量標準表(表2) 等級 發生可能性 詳細的描述 3 非常可能 1年內大部分的情況下會發生 2 可能 1年內有些情況下會發生 1 不太可能 1年內只會在特殊的情況下發生 註：評量標準表等級並非僅能分成3個級距，機關可依業務 特性實際需要或情況增減調整。

風險判斷基準(圖1) 影響程度 風險分布 非常 嚴重(3) 3 (高度) 6 9 (極度) 嚴重(2) 2 (中度) 4 輕微(1) 1 (低度) 發生可能性 不太可能(1) 可能(2) 非常可能(3)

3.風險評量 依據風險分析結果，考量本院人力、資源、組織環境等因素，經內部控制專案小組召開會議研商後，將本院可接受之風險容忍值訂為2，彙整各單位風險評估結果，計有○項超出本院所訂可接受風險容忍值之主要風險項目(如表3)應優先處理及其風險圖象(如圖2)。

主要風險項目(表3) 單 位 名 稱 風 險 代 號 風 險 值 主 要 風 險 項 目 器物處 A01 … A02 ○○處 秘書室 I01 人事室 J01 主計室 K01 1 行政院主計總處匡列年度預算額度延遲。 K02 2 承辦單位未能於期限內提供預決算相關資料。 K03 籌編預決算期間適逢資訊系統維護或當機。 K04 業務需要費用超過年度預算額度。 K05 3 資本支出預算執行率未達90％。 K06 4 實施內部審核採實地抽查方式，未能發現意圖隱匿不法事件。 針對主要風險項目予以彙整及 編列內部單位代號及名稱，以 利後續描繪風險圖像分布情況。

風險圖象(圖2) 影響程度 風險分布 非常嚴重(3) A02、C01、J01 A01 嚴重(2) D01、E01 B01、G01 輕微(1) F01、H01、I01 不太可能(1) 可能(2) 非常可能(3) 發生可能性 註：灰色區域為風險可容忍範圍。

步驟三、選定業務項目 各機關設計內部控制制度時，應涵蓋內部各單位之業務，並審視各該業務之重要性及風險性，決定納入內部控制制度之業務項目。 根據風險評估結果，就超過機關風險容忍度之主要風險項目，找出對應之相關業務項目，其中有關出納與財產管理、政風、主計、人事、公共建設計畫編審、行政管考、資訊安全與社會發展計畫編審、科技發展計畫編審及政府採購等共通性業務項目，可參採各權責機關所訂共通性作業範例辦理。

內部控制制度共通性作業範例 共通性作業項目 權責機關 1 出納業務 財政部 A 2 財產管理業務 B 3 第1碼代號 1 出納業務 財政部 A 2 財產管理業務 B 3 政風業務(貪瀆防弊處理、廉政建設…) 法務部 C 4 主計業務（概算籌編、預算案審查、收支內部審核、會計報告及決算編製、統計調查管理…） 行政院 主計總處 D 5 人事業務（人員進用、薪資、福利、退休…） 行政院人事行政總處 E 6 公共建設計畫之編審 經建會 F

內部控制制度共通性作業範例 共通性作業項目 權責機關 7 行政管考業務（施政績效評估、年度施政計畫管理、風險管理…） 研考會 G 8 第1碼代號 7 行政管考業務（施政績效評估、年度施政計畫管理、風險管理…） 研考會 G 8 社會發展計畫之編審 H 9 科技發展計畫之編審 國科會 I 10 採購業務（政府採購及其管理作業…） 工程會 J 11 資訊安全業務 K

步驟四：設計控制作業 針對選定之業務項目，由各單位對其承辦作業流程，視業務性質需要，設計控制作業，以確保各項業務活動皆已有效運作，相關控制重點並應併入各項業務活動之作業流程中設計，包括核准、驗證、調節、覆核、定期盤點、記錄核對、職能分工、實體控制及計畫、預算或前期績效之分析比較等程序。 針對已發生內部控制設計缺失之業務項目，立即修正應有之控制重點。

設計控制作業應注意事項 各機關依據風險評估結果，選定業務項目並據以設計控制作業時，應注意下列事項： 1.共通性業務： (1)共通性作業範例所列作業項目以往曾發生缺失者，應將該作業項目納入內部控制制度，惟在有效性前提考量下，得視各機關業務性質，合宜彈性調整。 (2)共通性作業範例所列作業項目以往並未發生缺失者，經風險評估後，屬不可容忍風險範圍之作業項目，應依前項規定辦理；屬可容忍風險範圍之作業項目，得暫不納入內部控制制度，惟仍應監督並定期檢討，一旦超出可容忍風險範圍，即應依前項規定辦理。 2.個別性業務：以前年度已發生內部控制缺失並檢討完成改善之作業項目，除執行面之缺失，應落實執行外，應即時納入內部控制制度。其餘作業項目，依業務重要性及風險性，並考量成本效益，逐步納入內部控制制度。

依據風險評估結果，就超出本院可接受風險容忍值之主要風險項目，找出對應之相關業務項目，由各單位設計控制作業如下： 一、共通性業務 共通性作業項目 權責單位 出納業務 秘書室 財產管理業務 主計業務 主計室 人事業務 人事室 行政管考業務 採購業務

二、個別性業務 個別性作業項目 權責單位 票務管理作業 秘書室、文創行銷處、安全管理室、主計室、政風室 本院藏品圖像借用作業 文創行銷處 院內單位申購本院印製出版品暨藝術紀念品(授權商品)標準作業 本院南部院區籌建工程作業 南院處 由於作業程序說明表及流程圖列為內部控制制度之附件，故該處僅列各項控制作業名稱。

○○機關作業程序說明表 項目編號 LI01 項目名稱 ○○作業 承辦單位 ○○處室○○科 作業程序說明 列明詳細步驟、作業時程、重要經驗及注意事項等。 控制重點 列明不可遺漏之程序、步驟或應予特別重視之作業或法令規定等重要環節。 法令依據 … 使用表單 第1碼A~K為共通性業務代號， L為接續共通性業務之個別性 業務編號，第2碼為內部單位 代號，後兩碼為流水號。 註：作業流程以作業程序說明表為主，作業流程圖為輔，作業流程簡單者， 可不另製作流程圖。 69

控制作業代號表 業務代號(第1碼) 作業項目 ㄧ、共通性作業 A 出納業務 B 財產管理業務 … K 資訊安全業務 二、個別性作業 L 文物管理業務 O 文物展覽業務 單位代號(第2碼) 單位名稱 器物處 書畫處 主計室 政風室 70

國立故宮博物院票務管理作業程序說明表(釋例-1) 項目編號 VI01 項目名稱 票務管理作業 承辦單位 秘書室(庶務科、文書科)、文創行銷處(出版科、授權科)、安全管理室(展場安全科)、主計室、政風室 作業程序說明 秘書室： 一、票券需求評估： (一)庶務科票務管理員（以下簡稱票務管理員）利用電腦輔 助售票系統管控售出及庫存之參觀券流水號，輔以人工 定期或不定期督核參觀券之庫存量。 (二)各種票券應至少維持3個月安全庫存量，以免票券未敷使 用，影響票券發售等作業。 (三)票務管理員應參據「票務月結報表」，核計各種票券庫 存數量，若低於安全存量，則依來院參觀人數統計等資 料，估計印製數量，簽陳機關首長或其授權人同意後， 移請文創行銷處辦理票券印製。 71

國立故宮博物院票務管理作業程序說明表(釋例-2) 二、保管作業：(以下略以) 三、票券領用： 四、售票作業： (一)票券處理 (二)票券銷售 (三)退票申請 (四)票根移交 (五)清點票款 (六)售票員應定期職務輪調。 五、票款作業： 文創行銷處： 一、採購作業： 二、票券圖樣徵選： 三、印製作業： （一）印製過程： （二）印製驗收： 72

國立故宮博物院票務管理作業程序說明表(釋例-3) 安全管理室： 一、驗票作業： 二、票根管理： 主計室： 政風室： 控制重點 秘書室： 一、各種票券至少維持3個月安全庫存量，若低於安全存量，庶 務科應依來院參觀人數統計等資料估計印製數量，移請文 創行銷處辦理票券印製作業，以免票券未敷使用。 二、文書科應定期盤點票券種類、數量及編號核與保管記錄相 符，並將盤點結果陳報單位主管（秘書室主任）。 三、文書科保管之作廢票券、副聯、查核聯及存根聯，應於保 管期限（2年）屆滿後依文書處理相關作業辦理銷毀。 四、庶務科每月應不定期派員查核票券領用紀錄核與「領票登 記表」所載相符。 五、當日售票結束後，各售票人員應檢視售票金額、售票票數、 庫存票券票號是否售票機台顯示數據（包括現金及信用卡 73

國立故宮博物院票務管理作業程序說明表(釋例-4) 控制重點 簽單售票）相符，並由當日結帳人員核對無誤後，將票款 裝袋密封，放置在正館專用保險櫃內。 六、收取之票款，應於翌日（若為假日，延至下一個上班日） 上午10時前，由出納人員會同會計室及當日結帳人員開櫃 取款清點無誤後繳交國庫。 文創行銷處： 一、票券印製採購契約應訂有保密條款，規範廠商應對契約內 容保密、不得洩漏及不得有其他不法或不當行為，廠商並 應填具切結書。 二、票券印製過程應不定期至廠商處所抽驗，若發現與契約規 定不符或作業缺失，應立即請廠商改善或重作。 三、驗收時應檢視各種票券種類、數量、圖樣、包裝是否與契 約相符，並注意票券流水號是否有順序編號及記錄起訖號 碼。 安全管理室： 一、驗票時應注意票券是否打印當日日期或蓋日期戳章。 二、收取之副聯及查核聯裝袋彌封後，應於翌日（若為假日， 74

國立故宮博物院票務管理作業程序說明表(釋例-5) 控制重點 延至下一個上班日）交由文書科留存備查，以利事後票券 查核勾稽。 主計室：會同出納管理人員、當日結帳人員清點票款無誤後， 應依據「售票收入明細結帳統計日報表」清點票款開 立傳票入帳。 政風室：秘書室文書科保管之作廢票券、副聯、查核聯及存根 聯於保管期限屆滿時辦理銷毀，應派員監毀。 法令依據 一、國立故宮博物院參觀收費標準。 二、國立故宮博物院貴賓贈劵使用管理要點。 使用表單 一、正館入場參觀券領據。 二、正館○○票領用紀錄單 三、票券統計月報表。 四、正館票券退票(款)申請單。 五、正館參觀購票證明單。 六、售票收入明細結帳統計日報表 七、領票登記表 75

國立故宮博物院票務管理作業流程圖 秘書室(庶務科) 秘書室(文書科) 文創行銷處 安全管理室 除表達作業流程外，應有明確之控制作業。 76 秘書室(庶務科) 秘書室(文書科) 文創行銷處 安全管理室 準備 票券數量低於安全存量，提出印製需求 辦理票券採購作業1 票券圖樣徵選 票券印製作業＊ 印製完成辦理驗收 廠商刪除圖檔，並將圖檔交授權科列管 票券點收無誤， 按種類及編號保管存放 領用票券填寫領用紀錄單，並將存根聯留存備查 售票人員領票後將票券裝入票匣，並將票號登入售票系統，依序發售 售票收取現金或信用卡 售票結帳核對金額無誤後，將票款收存保險櫃 作廢票券、存根、副聯及查核聯保管期限屆滿後辦理銷毁 結束 驗票時應收取副聯或查核聯 每日閉館後將副聯及查核聯裝袋彌封交文書科 查核印製作業 是否符合規定 否 盤點相符 是 辦理退票 銷毀試車品及模版 清點是否相符 翌日(若為假日,延至下個上班日)上午10時前,由出納人員會同會計室及當日結帳人員開櫃取款 A 除表達作業流程外，應有明確之控制作業。 76

作業流程圖常用圖示 符 號 名 稱 意 義 準備作業（Start） 流程圖開始 處理（Process） 符 號 名 稱 意 義 準備作業（Start） 流程圖開始 處理（Process） 處理程序，圖示上半部表示工作內容，下半部表示執行單位或人員 決策（Decision） 不同方案選擇 終止（END） 流程圖終止 路徑（Path） 指示路徑方向 文件（Document） 輸入或輸出文件 多重文件 (multiple Document） 輸入或輸出數件文件 已定義處理 (Predefined Process) 使用某一已定義之處理程序 連接（Connector） 流程圖向另一流程圖之出口；或從另一地方之入口 註解(Comment) 表示附註說明之用

步驟五：建立評估機制 例行監督 自行評估 稽核評估 風險可能會隨著時間、環境、政策或機關組織變革等因素之變化而有增減，原設計之控制作業亦可能已不合時宜或不復需要，因此，各機關應建立評估機制。 例行監督 自行評估 稽核評估 每年至少自行評 估一次，遇有特 殊情形者，得隨 時辦理之，並作 成紀錄建檔，備 供主管機關訪查 及督導。 78

監督 建立評估機制 為落實本院各項業務控制重點之管控，並降低風險以達成目標，本院採取以下監督機制： 一、例行監督：由本院各單位主管例行督導各項業務。 二、自行評估：由本院各單位每年至少自行評估一次內部控制制度設計及執行之有效性，其中整體層級自行評估表由內控業務幕僚單位評估，評估結果由本院內部控制專案小組召集人簽名，作業層級自行評估表則由該作業目項業管單位評估，評估結果由該單位主管簽名，並作成紀錄建檔。 三、稽核評估：本院運用政府現有稽核評估職能，協助審視內部控制制度設計及執行之有效性。 79

監督 建立評估機制 (一)行政管考：由本院秘書室(研考科)依據行政院所屬各機關施政計 畫管制作業要點等規定，辦理稽核評估業務。 (二)人事考核：由本院人事室依據行政院所屬各級人事機構人員設置 管理要點等規定，辦理稽核評估業務。 (三)政風查核：由本院政風室依據政風機構人員設置管理條例及政風 業務督導考核實施要點等規定，辦理稽核評估業務。 (四)採購稽核：由本院秘書室(發包科)依據政府採購法規定，辦理稽 核評估業務。 (五)事務管理工作檢核：由本院秘書室依據出納管理手冊、國有公用 財產管理手冊、物品管理手冊、辦公處所管理手冊及宿舍管理手 冊等規定，辦理稽核評估業務。 (六)內部審核：由本院會計室依據會計法、內部審核處理準則等規定 ，辦理稽核評估業務。 (七)資訊稽核：由本院教育展資處(資訊服務科)依據各機關設置及應 用電腦管理要點、國家資通安全發展方案、個人資料保護法等規 定，辦理稽核評估業務。 80

自行評估重點 整體層級自行評估：得參考「政府內部控制觀念架構」之「控制環境」、「風險評估」、「控制作業」、「資訊與溝通」及「監督」五項組成要素內涵及依各機關業務特性，列示評估重點。 作業層級自行評估：得就一項作業項目製作一份自行評估表，亦得將各項作業項目依性質分類，同一類之作業項目合併成一份自行評估表，其格式可參採「內部控制制度共通性作業範例製作原則」所定自行評估表辦理。如評估重點有不適用情形者，應於評估情形說明欄中敘明。

國立故宮博物院內部控制制度作業層級自行評估表 建立評估機制 自行評估表格式 國立故宮博物院內部控制制度整體層級自行評估表 XXX年度 自行評估單位： 評估日期： XXX 年 XX月 XX日 組成要素 評估重點 自行評估情形 評估情形說明 符合 未符合 一、控制環境 二、風險評估 三、控制作業 四、資訊與溝通 五、監督 結論/需採行之改善措施： 填表人： 複核： 內控召集人： ：機關首長： 國立故宮博物院內部控制制度作業層級自行評估表 XXX年度 自行評估單位：_______________ 作業類別(項目)：______________ 評估日期： XXX 年 XX月 XX日 評估重點 自行評估情形 評估情形說明 符合 未符合 一、作業流程有效性 (一)作業程序說明表及作業流程圖之製作是否與規定相符。 (二)內部控制制度是否有效設計及執行。 二、XX作業 (一)… 結論/需採行之改善措施： 填表人： 複核： 單位主管： 82

內部控制專區 1.內部控制相關規定 2.內部控制專案小組歷次會議紀錄 3.教育訓練 4.內部控制制度 5.內部控制實施成果

內部控制 缺失檢討 84

現行政府機關內部控制缺失檢討 控制環境：首長更替，政策不連貫；績效評估體系不夠健全；施政目標流於形式或空泛。 風險評估：不重視風險發生的嚴重性；風險評估之機制不足，導致舞弊之機會提高。 控制作業：防弊多於興利，控制指標常以投入面考量，而非成果面；存有過多及過時之控制活動。 資訊與溝通：重複監督或漏未監督的結果，使得溝通變得困難，致難以作為輔助政府決策管理之有效工具。 監督：各機關之內部監督系統分散（行政管考、人事考核、政風查核、政府採購稽核、事務管理工作檢核及內部審核等）；偏重傳統之控制導向監督，忽略風險管理觀念。 85

案例1-署立醫院採購作業缺失 內部控制問題： 96至99年間多家署立醫院辦理醫療業務經營合作及委外案件，相關人員疑涉利用職務上之權力、機會及方法，接受集團廠商行賄，透過圍綁標方式，由其承攬醫療儀器採購及醫療業務之經營合作案。 內部控制問題： 所屬醫院院長、副院長輪調制度潛藏漏洞。 廠商重利引誘。 業務外包經營合作缺乏監督管理機制。 86

檢討改進作為 控制環境：檢討所屬醫院院長與副院長任期、考評、輪調與遴選相關規定；進行管理委員會之改組。 風險評估：禁止醫療核心業務外包，並定期召開會議，執行履約管理、品質監測。 控制作業：檢討所屬醫院採購之權限與程序，訂頒辦理重大採購案件應行注意事項。 資訊與溝通：加強資訊透明公開，主動公開醫療業務外包情形，建立醫療儀器價格採購之資料庫，以充分掌握價格資訊。 監督：成立所屬醫院體檢小組，進行全面性輔導及改造；專案清查醫療儀器採購(合作)案組織性、結構性之利益團體壟斷問題。 87

案例2-辦理活動得獎名單造假 內部控制問題： 101年青輔會(現改制為教育部青年發展署)辦理網路議題調查、創意Logo設計及願景徵文比賽等活動，經偵查發現主委之機要秘書與廠商偽造得獎名單，涉及官商勾結，私吞分贓不法所得240萬元。 內部控制問題： 未善盡職責確認得獎名單身分。 廠商未完成履約義務，仍支付契約款項。 以派遣人力辦理核心業務，且人員異動頻頻。 88

檢討改進作為 控制環境：強化主管督導責任；加強採購專業訓練。 風險評估：招標應注意廠商過去是否有不良紀錄；評估各項採購風險納入契約訂定。 控制作業：作業程序考量人員職能分工與牽制；加強評審及贈獎作業管控。 資訊與溝通：提供及時有用之資訊供業務人員進行稽核。 監督：加強履約檢核、監驗作業。 89

結語 內部控制要有效，有賴於～