內部控制制度設計實務 內部控制制度設計範例簡介 行政院主計處視察室 黃慶裕 100年6月13日

報告大綱 前言 內部控制制度設計範例簡介 結語 1 1

報告大綱 前言 內部控制制度設計範例簡介 結語 2 2

範例設計依據 內部控制制度設計原則(草案) 內部控制制度設計範例(草案) 四、設計步驟 內部控制制度設計範例(草案) 「XX機關內部控制制度範例」 上開草案業經100.6.3行政院內部控制推動及督導小組第4次委員會審議通過，刻正簽案中

企業內部控制評估 願景 長期目標 依使命及願景設定整體目標 計畫：告訴員工如何執行? 企業整體目標 整體目標 策略：建立整體目標 事業層級目標 功能層級目標 個人目標 依使命及願景設定整體目標 計畫：告訴員工如何執行? 策略：建立整體目標 行動：落實目標之細部計畫

願景與策略目標 資料來源：國家資通安全發展方案

目標 整體 層級目標 整體層級目標係指各機關依法定職掌所定之願景、策略及施政目標，該目標明確闡述機關之施政重點及長期展望，並為機關全體人員共同遵循的方向 作業層級目標 將整體層級目標逐級往下延伸至各單職位，並參考業務職掌或分層負責明細表所定工作項目，據以辨識相連結之作業層級目標。

報告大綱 內部控制制度設計範例簡介 前言 結語 9 9

設計步驟 確認目標 風險評估 選定作業流程 設計控制作業 建立檢查機制

設計步驟 設計範例 一、確認目標 二、風險評估 三、選定作業流程 四、設計控制作業 五、建立檢查機制 機關組織職掌及整體層級目標 機關組織圖及作業層級目標 機關分層負責明細表 二、風險評估 風險辨識、風險分析、風險評量 三、選定作業流程 就超過機關風險容忍度的主要風險項目，找出對應之相關業務項目 四、設計控制作業 應針對選定業務項目之重要環節，設計相關之控制重點 五、建立檢查機制 自行檢查之表件格式

確認目標 12

確認目標-機關組織職掌 依據本機關組織法規規定，掌理以下事宜： 各機關申請設置電子計算機之審核事項。 各機關使用電子計算機效率之查核事項。 各機關電子計算機作業設備相互支援之輔導及協調事項。 各機關電子計算機作業有關人員之訓練事項。 共同性程式之設計及研究發展事項。 其他有關電子處理事項。 (…餘略)

確認目標-整體層級目標 本機關長期投入制定政府資訊政策及參與推動電子化政府等工作，依據法定組織職掌，擬定長期策略及主要施政目標： 參與國家資通安全建設，提升政府資安防護能力。 推動政府機關業務資訊化，提升資訊服務效能。 辦理資訊教育訓練，提升政府公務員資訊專業素養。 推動中文交換共通平台機制，促進網路中文資料之流通。 (…餘略)

確認目標-機關組織圖

確認目標-作業層級目標 業務組D： 掌理電腦主機系統及機房設施管理、網際網路應用之推動發展、資訊安全管理等事項 遵循機關整體層級目標，並依業務職掌所定事項，據以確認作業層級目標 資訊安全管理作業為機關核心業務之一，任何資訊安全上之風險，皆可能影響各項(整體或作業層級)目標之達成 鑑此，將｢保護本機關相關資料、資訊系統、設備及網路之安全，達成資訊資產之機密性、完整性及可用性｣訂為資訊安全管理之作業層級目標，以提升資訊服務效能與效率，並據以發展風險評估作業

確認目標-機關分層負責明細表 XX機關分層負責明細表 註:得以註明出處或建立來源連結之方式辦理 單位 工作項目 權責區分 備考 第一層 第二層 第三層 主任 副主任 主任秘書 各組室主管 業務組A 一、各機關設置及應用電腦計畫之審議事項。 核定 審核 擬辦 重大事項由第一層核定 二、中央政府各機關年度資訊概算之審議事項。 …餘略 業務組D 一、電腦硬軟體系統更新計畫核定事項。 二、電腦主機、工作站及伺服器等管理及維護事項。 秘書室 一、本機關年度施政計畫之編報與管制事項。 二、本機關應向行政院、立法院、監察院提供之相關資料。 會計室 一、年度概（預）算之彙編事項。 二、分配預算之籌編、執行控制、申請修改分配預算及經費之審核動支事項。 註:得以註明出處或建立來源連結之方式辦理

風險評估 18

風險關聯圖 資料來源：勤業眾信

風險評估 風險係指面對一些事件的發生，可能會影響機關目標的達成，並且極可能會影響對人民所提供的服務 機關任何業務之推展都可能面臨風險，因此要强化內部控制之前提即是要做好風險評估，以辨識無法達成目標之內、外在風險因素 繼而分析風險的影響程度及發生之可能性，考量風險評估的結果及風險容忍度，據以擇定應進行風險處理之業務項目 各機關之風險評估程序得參考「行政院所屬各機關風險管理及危機處理作業基準」及「風險管理及危機處理作業手冊」辦理，因應機關特性有適宜之風險評估方法，亦可逕行採用

風險管理架構 資料來源：風險管理及危機處理作業手冊 風險評估 溝通與協商 監督與審查 風險 建立 風險管理執行背景體系 -- 環境要素 機關要素 風險管理架構 發展風險評量標準 定義風險分析對象 風險辨識 會發生什麼 ? 如何、為何、何處、何時發 生 風險分析 確認既有控制機制 找出發生的機率 找出事件的影響 評估風險等級 溝通與協商 風險處理 列出可行風險對策 評估風險對策 選擇風險對策 準備處理計畫 執行處理計畫 監督與審查 風險評估 風險評量 與風險基準比較，設定優先順序 風險 是 否 資料來源：風險管理及危機處理作業手冊

風險辨識 辨識風險的來源、衝擊的範圍、事件所引起原因及其潛在的後果 整體層級目標：「推動政府機關業務資訊化，提升資訊服務效能」 作業層級目標：確保開發供政府機關使用之檔案的「可用性」 參考「風險管理及危機處理作業手冊」中所列之風險來源，進行風險辨識 主要風險來源：科技之應用 風險情境及影響：「本機關之網頁檔案，若遭病毒感染，承辦人員未落實通報機制，將延誤處理時機，影響服務品質，損及機關形象」 辨識出「網頁檔案遭病毒感染」之主要風險項目

風險分析 藉由判定影響、發生機率及風險屬性以分析風險 參考「風險管理及危機處理作業手冊」附錄二之風險評估工具 並考量機關業務特性，訂定適用於本機關用以衡量風險影響程度及發生機率之標準 風險=影響x機率 「影響之敘述分類表」 「機率之敘述分類表」 註：各機關應依業務特性，自行訂定妥適之影響及機率等級評量標準。

影響及機率之敘述分類表 定性 定量 本機關主要風險項目經評估後，其發生機率等級為1，影響程度等級為3 影響之敘述分類表 等級 衝擊或後果 形象 目標達成 3 非常嚴重 機關形象受損 經費/時間大量增加 2 嚴重 跨部門形象受損 經費/時間中度增加 1 輕微 部門形象受損 經費/時間輕微增加 定量 機率之敘述分類表 等級 可能性分類 詳細的描述 3 幾乎確定 每月發生一次之可能性 2 可能 每季發生一次之可能性 1 幾乎不可能 每年發生一次之可能性 本機關主要風險項目經評估後，其發生機率等級為1，影響程度等級為3

風險評量 依據風險分析結果以判定需優先執行的風險 經過風險分析結果，考量本機關人力、資源、組織環境等因素 風險容忍範圍： 影響程度：「輕微(1)」或「嚴重(2)」 發生機率：「幾乎不可能(1)」 影響程度：「輕微(1)」 發生機率：「幾乎不可能(1)」或「可能(2)」 超出此範圍之風險項目，皆優先納入風險處理。 註：各機關應自行評估風險容忍範圍並適時檢討。

風險分布 影響程度 風險分布 非常 嚴重(3) 3 (高度) 6 9 (極度) 嚴重(2) 2 (中度) 4 輕微(1) 1 (低度) 幾乎不可能(1) 可能(2) 幾乎確定(3) 發生機率

風險評估結果 經風險評估後，主要風險項目其發生機率等級為1，影響程度等級為3，屬高度風險(如黃色區域)，超出可容忍之風險範圍，應即進行風險處理，以降低風險 註：各機關應依業務特性，自行擇用妥適的風險評量標準(如3X3表格、4X4表格等)，並依風險容忍度，選定低度、中度、高度及極度危險風險之範圍，以利各機關適性、彈性地決定風險等級。

控制作業 28

控制作業 根據風險評估結果，應就超過風險容忍度之主要風險項目，找出對應之相關業務項目，其中有關共通性業務，可參採各權責機關所定之共通性作業範例。 控制作業，係為確保各項業務活動皆已有效運作，相關控制重點已併入各項業務活動之作業流程中設計 各機關應針對選定業務項目之重要環節，設計相關之控制重點，如文件是否經適當核准，事件是否經妥善記錄，物品是否定期盤點，狀況是否適時通報，預算或績效是否進行分析比較、職能是否明確劃分等 控制作業得併入各項作業流程中設計，並納為內部控制制度之附件

控制措施說明 預防性控制(前) 偵查性控制(中) 矯正性控制(後) 補償性控制 系統上線前需經原始碼檢測 安裝防毒軟體 定期弱掃瞄、滲透測試 藉由「事前」的控制，形成一道屏障來防止特別交易的不當進行或阻止錯誤的發生。例如：承保前之風險評估、對銷貨客戶之徵信、使用經核准之供應商名單 偵查性控制(中) 利用某些程序來偵測已發生之錯誤或不當交易。例如：編製銀行調節表、存貨盤點、與銷貨客戶之定期對帳 矯正性控制(後) 用來矯正偵查性控制所發現之問題或矯正交易之控制。例如：透過電腦對採購單之檢核可以偵測到未經核准之供應商號碼，進而追蹤其原因及時修正交易資料或防止向不適當供應商之採購 補償性控制 用來補償其他控制之不足，使得某些控制弱點不成為問題。例如：未有足夠之人力執行職能分工時，可透過由客戶或管理階層親自監督來彌補此一控制弱點。 定期弱掃瞄、滲透測試 定期掃毒 嚴格執行權限控管與監督機制 隔離或刪病毒 採免費軟體或請廠商進行原始碼檢測 VirusTotal

自行檢查之表件格式 XX機關內部控制制度自行檢查表 XXX年度 自行檢查單位：業務組D 作業類別(項目)：資訊安全事件通報 檢查日期： XXX 年 XX月 XX日 檢查重點 自行檢查情形 檢查情形說明 符合 未符合 作業流程有效性 (一)作業程序說明表及作業流程圖之製作是否與規定相符。 (二)內部控制制度是否有效設計及執行。 資訊安全事件通報 (一)記錄與通知: 業務承辦人員是否有填寫「資訊設備或系統異常狀況處理紀錄表」 業務承辦人員是否通知權責單位資安聯絡人? (二)判斷資安事件： 資訊安全事件之認定是否經由資安聯絡人與業務相關人員共同判斷? (三)通報資安負責人： 資安聯絡人是否有填寫「資訊安全事件通報單」? 資安聯絡人是否將資訊安全事件通報機關資安負責人? 資安負責人是否確認資安事件影響等級，並陳資訊安全推動小組執行秘書複核? (四)通報管理階層： 各級資安事件是否通報至資訊安全推動小組執行秘書? 第4級資安事件是否通報至資訊安全推動小組召集人? 若須向外通報，是否依程序通報至國家資通安全會報? 結論/需採行之改善措施： 填表人： 複核： 單位主管：

作業流程(附件) 本機關之作業流程包含內部各單位之業務，所設計之控制作業皆併入作業流程中設計，列舉如下： 一、共通性業務 二、個別性業務 (一)出納業務 (二)財產管理業務 (三)政風業務 … 二、個別性業務 (一)資訊安全管理業務 1. 資訊安全事故管理作業類別 (1)資訊安全事件通報作業項目  

XX機關資訊安全事件通報作業程序說明表 KD03 資訊安全事件通報 業務組D 項目編號 KD03 項目名稱 資訊安全事件通報 承辦單位 業務組D 作業程序說明 一、業務承辦人員自行發現，或接獲通報資安事件或異常事件時，應填寫「資訊設備或系統異常狀況處理紀錄表」，並通報權責單位資安聯絡人。(參考資訊安全聯絡人員名冊) 二、資安聯絡人接獲通知後，應與業務相關人員共同判斷是否為資訊安全事件。(參考資訊安全事件管理程序書之資安事件等級說明) 三、若為資訊安全事件，資安聯絡人應依狀況評估事件影響等級，並填寫「資訊安全事件通報單」後通報機關資安負責人。 四、資安負責人於收到「資訊安全事件通報單」後，依狀況確認事件影響等級，並陳資訊安全推動小組執行秘書複核後依程序進行通報。 4.1對內通報 各級資安事件均應通報至執行秘書，並通知權責人員進行事件處理；若為第4級則另須通報至資訊安全推動小組召集人。 4.2對外通報 若影響等級為4級或由外部單位反應之資安事件，由資訊安全推動小組召集人判斷，決定是否向國家資通安全會報通報。 控制重點 記錄與通知：業務承辦人員應填寫「資訊設備或系統異常狀況處理紀錄表」，並通知權責單位資安聯絡人。 判斷資安事件：資安聯絡人應與業務相關人員共同判斷是否為資訊安全事件。 通報資安負責人：資安聯絡人評估資安等級，並填寫「資訊安全事件通報單」，通報機關資安負責人，由資安負責人確認後陳資訊安全推動小組執行秘書複核。 通報管理階層：各級資安事件均應通報至執行秘書，第4級另應通報至資訊安全推動小組召集人，由其決定是否向國家資通安全會報通報。 法令依據 資訊安全事件管理程序書 使用表單 資訊安全聯絡人員名冊 資訊設備或系統異常狀況處理紀錄表 資訊安全事件通報單 資訊安全推動小組組織圖

XX機關資安事件通報作業流程圖

報告大綱 內部控制制度設計範例簡介 前言 結語 35 35

PDCA循環架構 規劃 Plan 勿憚改 謀定 矯正 Action 達成目標 執行 Do 有過 而後動 檢查 Check

管理制度

補充-導入資訊安全管理制度(ISMS)歷程 Information Security Management System ， ISO/CNS 27001 CA：控制作業 建立文件架構體系 11領域、39項控目標、133項控制措施、矯正預防措施 I&C：資訊與溝通 文件發行公告與傳達(包含利害關係者) 每月宣導條款(分職務階層) 每季推動團隊會議 M：監督 持續、個別監督 第1~3方稽核 每月(季、半年、年)有效性量測 每年外部稽核 CE：控制環境 成立推動小組、啟始會議 制定政策 定期會議(每月)、管理審查 宣導與訓練(定期、不定期) RA：風險評估 建立資訊資產與風險管理程序 資產清查 威脅來源外在因素 弱點所在內在因素 風險辨識、風險分析、風險評量 風險處理

威脅、弱點、風險之間的關係(例) 我家裡現金10萬元，因為出門忘了上鎖，被小偷偷走了，搞得隔天要跑三點半 屋漏徧逢連夜雨 資產：房屋 兩個變數的影響 資產=10萬元 弱點=忘了上鎖 威脅=小偷偷竊 風險= 錢被偷走 影響=隔天要跑三點半 資產：房屋 弱點：會漏水 威脅：連夜雨 風險：資產受損 影響：生活起居

ISMS文件架構 資訊安全政策 1階 ISMS政策 風險管理程序書 2階 資安稽核程序書 3階 機房管理作業 網路作業管理 4階 資安事件通報單 資產管理清冊

敬請指教 感謝您 的聆聽 41