104年新進人員講習 一、內部控制
外界要求強化內部控制機制(1/2) 我國政府機關本存有內部控制機制,透過施政管考、資 訊安全稽核、政風查核、政府採購稽核、人事考核、內 部審核及事務管理工作檢核等7項稽核評估職能執行稽核 或評估,惟缺乏針對機關業務進行稽核,致部分機關未 有效控管時有違失案件發生,如教育部青年發展署競賽 評審及贈獎活動得獎名單造假案、成功大學研究費 詐領案及臺灣大學醫學院 附設 醫院器官移植失誤案 等。 1
外界要求強化內部控制機制(2/2) 審計部97、98年度中央政府總決算審核報告指出,部 分機關因內部控制機制未臻健全,間有施政效能不彰、 投入鉅資興建設施閒置浪費及未依法制執行預算等, 致有重大弊案陸續發生,顯示強化政府內部控制機制, 以防杜違失,實刻不 容緩。 2
內部控制 行政院近年陸續頒行相關規定 政府內部控制制度設計原則 為利行政院及所屬各機關(構)、學校設計內部控制制度 強化內部控制實施方案 各機關加強內部控制機制工作目標 政府內部稽核應行注意事項 行政院及所屬各機關(構)、學校依本注意事項辦理內部稽核 政府內部控制考評及獎勵要點 行政院及所屬各機關(構)、學校年度工作考評及獎勵 各機關內部控制制度自行評估原則 辦理內部控制制度自行評估作業,以落實各機關自我監督機制 風險管理及危機處理作業手冊 將風險管理及危機處理融入日常作業與決策運作,以降低災害之可 能及後果 教育部風險管理及內部控制推動作業原則 教育部及所屬各機關、學校辦理內部控制規定
內部控制的定義及觀念 共同設計、執行及維持的管理過程 →五項要素 何謂內部控制: 係由機關內部全體人員參與 →人人有責 係由機關內部全體人員參與 →人人有責 共同設計、執行及維持的管理過程 →五項要素 藉以合理確保達成其目標 →四項目標 高階主管(尤其是首長)對內部控制制度的有效設計、執行及維持,負主要責任 透過五項互有關聯的組成要素,整合內部各種控管及評核措施 按五項要素逐一檢查、判斷內部控制制度的有效性 內部控制制度有其先天限制 不論設計及執行如何有效,僅能「合理確保」而非絕對保證目標的達成
機關各單位及業務,經整合五項組成要素,合理促使達成四項目標 內部控制的目標及要素 法令遵循 資產安全 可靠資訊 四項目標: ● 提升施政效能 ● 遵循法令規定 ● 保障資產安全 ● 提供可靠資訊 施政效能 施政效能 業 務 2 業 務 1 五項要素: 1.控制環境:機關文化、內部控制認知 2.風險評估:辨識、分析與評量風險 3.控制作業:控制規範及程序 4.資訊與溝通:資訊處理及傳達 5.監督:評估內部控制制度執行有效性 監 督 單位 B 資 訊 與 溝 通 單位 A 控 制 作 業 風 險 評 估 控 制 環 境 政府內部控制整體架構~ 機關各單位及業務,經整合五項組成要素,合理促使達成四項目標 5
內部控制五大要素金字塔 控制環境係內部控制的基礎,位於金字塔底部 配合控制環境及設定之目標,據以評估風險 針對風險有效設計及執行控制作業 資 訊 與 溝 通 資 訊 與 溝 通 資 訊 與 溝 通 監 督 控制 作業 評 估 風 險 環 境 COSO控制模式是以控制環境為基礎。根據組織的控制環境及目標,管理當局必須辨認、分析及管理相關的風險,也就是進行風險評估與管理。緊接著,企業應建立與執行適當的控制政策與程序,以有效的執行與風險相關的控制作業。至於組織的資訊與溝通系統的作用,則在於讓組織的成員可以捕捉及分享與執行、管理及控制其活動有關的資訊。上述的控制過程必須加以監督,並做必要的修正,以維持內部控制制度的有效性。換句話說,這五項組成要素之間密切相關,而形成一個完整的內部控制模式。 控 制 充分溝通資訊,及時連貫與支援各項要素 監督評核各項要素,並追蹤改善情形
目標、風險與控制 機關目標 控制環境 風險評估 資訊與溝通 風險 控制作業 單位目標 使命/願景 監督 風險 7
控制環境≠外部環境 外部環境不可控制;控制環境可控制影響 控制環境=內部環境 ‧在內部控制中,稱為控制環境;在ERM(企業風險管理),稱為內部環境,不以內部控制為限,故不稱控制環境,改稱內部環境。
內部控制制度之限制 ─「合理確保」而非絕對保證「達成目標」 內部控制制度之限制 ─「合理確保」而非絕對保證「達成目標」 成本效益之考量 若要求絕對確保達成目標,其成本可能超過所能產生的效益 人性面先天限制 人為疏忽或誤解規定 串通舞弊或蓄意偽造 高階主管逾越制度 遵循制度日久鬆懈 情況變遷複雜性 正常環境或一般事項之控制,難以因應環境變遷或特殊事項 在設計內部控制時,需考量相關控制程序的成本與效益條件,以期內部控制的設計對組織目標之達成提供「合理保證」。
內部控制缺失案例 給獎不實,偽造得獎名單(1/7) 101年12月間外界指出某機關辦理網路議題調查、創意logo設計及願景徵文等三項活動之得獎名單,民眾未報名參加,名字卻出現在得獎名單中,且未領到獎品;得獎名單並與華梵大學92學年度入學名單相同,質疑名單造假。經該機關核對得獎者名單確有造假情事。 10
內部控制缺失案例 給獎不實,偽造得獎名單(2/7) 給獎不實,偽造得獎名單(2/7) 內部控制問題: 承辦人與廠商串謀舞弊及行政主管監督不周。 抽獎過程無資訊單位負責稽核,致廠商有機會灌入並抽取造假名單。 得獎名單核定過程中未要求廠商提供得獎者原始資料查對。 採購契約書中未訂定要求廠商於驗收時應檢附證明文件。 11
內部控制缺失案例 給獎不實,偽造得獎名單(3/7) 改進作為: 控制環境:本案係該機關多年來委由廠商辦理活動之採購案件,致使相關人員警覺性較低而疏於督導,應加強主管督導考核責任,以確保辦理結果已達到原訂目標,並加強採購專業訓練以提升專業能力及適任性。 風險評估:應評估各項勞務採購可能產生 之風險及廠商履約風險,於契約書中訂定 相關驗收證明文件及履約保證金等規定, 以符實需。 12
內部控制缺失案例 給獎不實,偽造得獎名單(4/7) 改進作為: 控制作業: 設計標準作業程序時應考量職能分工及相關牽制機制。 加強競賽評審與贈獎作業程序之管控,於評審作業後確認得獎名單之相關資料,請評審委員確認做成紀錄,避免不當之誤植,並要求廠商檢附採購獎品之原始憑證影本及獎品寄送證明文件,併同執行報告相關資料辦理請款。 採購案件驗收作業,應依政府採購法規定程序辦理,如作結算驗收證明書。 13
內部控制缺失案例 給獎不實,偽造得獎名單(5/7) 改進作為: 資訊與溝通:機關辦理網路抽獎活動,應由資訊單位或人員針對抽獎資料庫異動歷程及紀錄進行稽核,以防止人為灌入造假資料;抽獎程式如由廠商開發,應由機關針對該程式進行檢視及測試,以確保符合隨機抽取之要求。 14
內部控制缺失案例 給獎不實,偽造得獎名單(6/7) 改進作為: 監督: 需求單位應確實加強採購案件履約執行檢核,檢核之工作項目應符合企劃書及契約等工作事項規定。 勞務採購案件之驗收程序,驗收單位於驗收時,應通知監辦單位派員監辦,驗收紀錄文件應參照工程會範本設置監驗人員欄位,俾利監驗單位辦理監驗。 15
內部控制缺失案例 給獎不實,偽造得獎名單(7/7) 改進作為: 已就網路抽獎活動之規劃、審查、得獎名單抽籤作業、獎品購買及寄送等設計相關內部控制制度,並於2013年9月辦理作業層級自行評估,評估結果皆符合,確認該項作業已有效設計及執行。 已修訂勞務及財物採購業務及監辦分工表,明訂採購監辦單位應辦理事項。 已檢討主管機關審議完成採購申訴案件至機關刊登政府採購公報之時程落差,接獲審議判斷書即可逕行刊登政府採購公報,以爭取時效,並以電子郵件通知機關全體同仁及於內部網站公告。 16
本校內部控制作業文件 國立勤益科技大學健全內部控制專案小組設置要點 國立勤益科技大學內部控制制度手冊 國立勤益科技大學104年度內部控制作業稽核計畫 國立勤益科技大學104年度內部控制制度自行評估作業實施計畫 國立勤益科技大學修訂SOP申請表
內部控制作業手冊 作業流程圖:應依相關規定及一般行政流程確實設計開始及結束,涉及相關單位時,應將流程表明,並保留適當的作業期程。 風險評估:進行風險辨識、風險分析與風險評量,擇定風險等級。 控制重點:核准、驗證、調節、覆核、定期盤點、記錄核對、職能分工、實體控制與計畫、預算或前期績效之分析比較等程序。
具體內控作為 處(室)會議:修法或改善行政作業 意見反映:教職員生或校外人士所提建議或陳情 上級機關交辦:審計部或教育部等查核結果或來文 媒體、網路關注:其他機關學校所發生的事件 司法調查:政風單位、地檢署或法院調查案件 管考:本校管考系統或評鑑訪視之後續追蹤 自發精進:承辦人例行業務中發現應改善項目 內部稽核:稽核評估職能單位所辦理之查核
控制重點的類型-以控制作用區分 藉由『事前』的控制,形成一道屏障,防止錯誤 預防性控制 的發生,如安裝防毒軟體。【期望不發生】 用來改正偵查性控制所發現的問題,如隔離或刪 除病毒。【已發生要改正】 改正性控制 利用某些程序來偵測已發生的錯誤,如定期掃毒 。【發生要知道】 偵查性控制 藉由『事前』的控制,形成一道屏障,防止錯誤 的發生,如安裝防毒軟體。【期望不發生】 預防性控制 用來補充其他控制之不足,使某些控制弱點不會 成為問題,如採用免費軟體或線上掃毒。 補償性控制 由管理階層指示一些行動,以便達成某種結果, 進而產生正面成效。【好的結果要讓它發生】 指示性控制
各機關應根據評估結果於自行評估情形欄勾選「符合」、「未符合」或「不適用」; 遇有「未符合」情形,應於評估情形說明欄詳細說明,且於撰寫評估結論時一併敘明需採行之改進措施; 遇有「不適用」情形,應於評估情形說明欄敘明理由,以及是否有檢討修正評估重點之必要性。
評估重點分為二部份,作業流程有效性係屬程序面,審查SOP是否與法規相符、流程是否妥適。 控制重點
由各單位填寫 控制重點應按其性質於設計面或執行面二者擇一歸類,以避免重複計算項數,其中涉及【作業流程有效性】及【研(修)訂制度】或【規定部分】屬設計面,其餘則屬執行面。 控制重點已不適用或另需調整修正致無法進行自行評估,請於「不適用」欄填列數目。
本表為新增表冊。 在自行評估表中若有未符合的項目,應該將評估重點、未符合情形說明以及改善措施載明於本表。 各單位自評項目超過一項者,應由單位窗口負責彙整成一覽表。
104年新進人員講習 二、內部稽核
政府內部稽核職能發展緣起 各機關內部承辦稽核評估職能之任一單位,其稽核專業及工作範圍有所侷限,尚缺乏針對機關主要業務計畫,客觀執行績效稽核之機制。 監察院及審計部提出施政績效不彰意見日益增加,亟需強化各機關績效管考、風險管理、內部稽核等利器,以追蹤改善缺失及診治施政目標達成結果,俾隨時供首長掌握內部運作情形,協助達成機關目標。 26 26
內部稽核之必要性 政府現況:機關現有稽核評估職能單位雖依法定職掌及相關規定辦理相關稽核或評估工作,惟僅側重於個別稽核專業及工作範圍。 策進作為:機關透過組設內部稽核任務編組統合相關稽核評估職能,可強化機關核心及高風險業務之監督機制,協助檢查機關整體內部控制之實施狀況,並就所發現內部控制缺失追蹤改善,合理確保內部控制得以持續有效運作。 27
檢查評估制度執行情形 由內部稽核專責單位或任務編組(包括由稽核評估職能及主要核心或高風險業務單位人員組成)實施內部稽核。但稽核評估職能單位已辦理之事項,得不重複納入稽核。 內部稽核之目的 以客觀公正之觀點,協助機關檢查內部控制之實施狀況,並適時提供改善建議,以合理確保內部控制得以持續有效運作,促使機關達成施政目標。 28 28
本校內部稽核機制 訂定年度稽核計畫。 稽核類型: 例行監督:各單位主管應督導各項業務執行,以落實管控機制。 自行檢查:每年至少一次,分為整體層級與作業層級。 內部稽核:稽核評估職能包含施政管考、資訊安全稽核、政風查核、政府採購稽核、人事考核、內部審核、事務管理工作檢核及其他稽核職能。
內部稽核運作流程三階段 規劃稽核 執行稽核 追蹤結果 1、決定稽核項目 1、蒐集(查核) 1、彙整內控缺失 佐證資料 2、稽核工作分派 3、擬定稽核計畫 4、選擇稽核方式 5、發出稽核通知 1、蒐集(查核) 佐證資料 2、撰寫稽核紀錄 3、作成稽核報告 4、分送稽核報告 1、彙整內控缺失 2、確認缺失改善 3、追蹤興革建議 30
結 語 健全內部控制制度之實施,雖不盡然保證各項事務之成功,但透過機關內部各種管理措施日趨健全,可合理促使─ 結 語 健全內部控制制度之實施,雖不盡然保證各項事務之成功,但透過機關內部各種管理措施日趨健全,可合理促使─ 提升政府整體施政效能 達到興利及除弊之功能 內部控制制度之設計及執行是否有效,關鍵在於─ 機關首長全力支持 全員參與凝聚共識 化繁為簡精進流程 控管風險即時修正 內部控制制度之設計及執行是否有效,機關首長全力支持是關鍵因素。 加強內部全體人員宣導訓練,以樹立正確觀念及凝聚共識。 每一部門主管應與其他部門共同檢討流程,以利溝通合作。 強調興利並檢討過多或過時控制為原則,將流程化繁為簡。 惟仍應確實評估風險因素,設計有效的作業程序及控制重點,並即時檢討修正,可助員工知所遵循。 建立能減少舞弊或犯罪之標準及程序 指定某一特定高級管理階層人員負責監督內部控制之執行 防止不當授權 將標準及程序有效傳達全體員工 實施對遵循之衡量,諸如監控、稽核及報告制度 輔以獎懲措施之強化標準及程序之執行 當制度被偵出有重大違失時,給予適當回應