內部控制制度設計實務 與自行評估作法 行政院主計總處 1.

Presentation on theme: "內部控制制度設計實務 與自行評估作法 行政院主計總處 1."— Presentation transcript:

1 內部控制制度設計實務 與自行評估作法 行政院主計總處 1

2 簡報大綱 壹、前言 貳、內部控制制度設計實務 叁、自行評估架構 肆、自行評估實作範例 伍、結語

3 壹、前 言

4 監督防線現況 行政院考量我國政府組織現況，在機關內部除既有例行監督外，另設置並整合監督防線如下： 第1道防線： 由各單位自行評估。 自行評估：行政院內部控制推動及督導小組訂定「各機關內部控制制度自行評估原則」（含配套評估工具），以供各機關辦理內部控制制度評估作業之指引。 4 4 4

5 評估整體內部控制制度有效程度 各機關應依內部控制制度自行評估結果、內部稽核報告及內部控制缺失追蹤改善情形，並參考審計(監察)等外部單位查核意見，作為評估整體內部控制制度有效程度之主要依據。 評估整體內部控制制度有效程度 5 5 5 5 5

6 貳、內部控制 制度設計實務 6

7 各機關推動強化內部控制作業流程 組設內部控制小組及內部稽核專責單位或任務編組
針對自行評估及內部稽核所發現缺失事項，連同監察院及審計部等所提內部控制缺失案件，將其改善情形作成追蹤複查表 依政府內部稽核應行注意事項，擬訂稽核計畫、辦理內部稽核工作及出具稽核報告 辦理內部控制(含內部稽核)教育訓練 檢討強化現有內部控制作業，並就監察院及審計部等所提內部控制缺失案件積極檢討 依各機關內部控制制度自行評估原則，擬定自行評估計畫、辦理自行評估作業 涉及制度面缺失部分，據以修正內部控制制度，並定期採滾動方式辦理風險評估作業 辦理風險評估作業，據以設計並維持有效內部控制制度 7

8 檢討強化內部控制作業 各機關應賡續檢討強化現有內部控制作業，並就監察院彈劾、糾正（舉）或提出其他調查意見之案件、審計機關總決算審核報告重要審核意見、上級與權責機關督導、機關辦理內部控制制度自行評估與內部稽核與近期外界關注事項等，涉及內部控制缺失部分，積極檢討。 8 8

9 審計機關重要審核意見 年度 101 … 中央教育設施經費執行考核成績欠佳，計畫推動及執行成效亟待檢討
中央計畫型補助款預算編列未盡覈實，前置規劃及執行核欠積極，亟待檢討改善 社區大學業務獲教育部評鑑優等並核發獎勵金，市民終身教育之推動顯具成效，惟獎勵金之運用及執行情形未盡嚴謹，允應檢討改善 延宕處理體育場報送經管部分場館相關使用管理辦法之修訂及公告事宜，影響市庫權益，內部管理亟待檢討。 未依規定查核各學校學生家長會經費收支帳冊及憑證，允應注意檢討妥處 9

10 設計(檢修)內部控制制度 機關檢修內部控制制度時，應檢視下列事項： 確認機關整體層級與作業層級目標。
從風險評估角度，辨識影響上開目標不能達成之內、外在風險項目及分析其風險等級，並定期滾動檢討（請就前次風險評估結果檢討其可容忍之風險是否仍維持可容忍之程度，以及前次不可容忍之主要風險項目所採行之新增控制機制滾動納入本次現有控制機制後一併檢討及評量其風險等級，決定是否需採行其他新增控制機制因應該等風險）。 就不可容忍之風險項目(高風險或重要性業務)，據以檢討修正控制作業，以確保其有效性。 10 10

11 確認整體及作業層級目標 以中低收入老人生活津貼作業為例 合理分配社會福利資源，加強弱勢基本生活照顧，建構完善社會安全網
整體層級目標 合理分配社會福利資源，加強弱勢基本生活照顧，建構完善社會安全網 作業層級目標 加強低收入戶及中低收入生活照顧服務，保障民眾基本生活需求 11

12 影響之敘述分類表 等級 影響程度 機關形象 目標達成 溢領補助金額 3 非常嚴重
主管補助業務經媒體廣泛持續負面報導，嚴重損及本處專業形象及聲譽 政策或計畫目標大部分未能達成，遭受外界質疑程度非常嚴重 上一年度溢領補助金額達50萬元以上 2 嚴重 主管補助業務經主要媒體負面報導引發輿論討論，損及本處專業形象及聲譽 政策或計畫目標部分未能達成，遭受外界質疑程度嚴重 上一年度溢領補助金額1萬元以上未達50萬元 1 輕微 主管補助業務經單一或特定媒體刻意負面報導，影響本處專業形象及聲譽 政策或計畫目標少部分未能達成，遭受外界質疑程度輕微 上一年度溢領補助金額未達1萬元 12

13 機率之敘述分類表 等級 發生機率分類 詳細描述 3 幾乎確定 在大部分的情況下可能會發生 2 可能 有些情況下可能會發生 1 幾乎不可能
只會在特殊的情況下可能發生 13

14 風險評估及處理表（第1期） 風險本質分析 現有風險 分析 新增控制機制 負責單位 風險項目 風險情境 風險值 (R)= (L)x(I)
現有控制機制 現有風險 分析 (R)= (L)x(I) 新增控制機制 負責單位 可能性 (L) 影響 程度 (I) 受補助人溢領中低收入老人生活津貼 未確實執行中低收入老人生活津貼審核作業 2 3 6 人工抽查比對補助人申請資料與戶籍資料、財稅資料，審核是否符合資格 4 使用社政資訊系統，與戶役政系統定期連線校正比對 長青身障福利科 … 14 14

15 風險評估及處理表(第2期) 風險項目 風險情境 現有控制機制 現有風險分析 風險值 (R)= (L)x(I) 新增控制機制 殘餘風險 分析
負責單位 可能性 (L) 影響 程度 (I) … 受補助人溢領中低收入老人生活津貼 未確實執行中低收入老人生活津貼審核作業 使用社政資訊系統，與戶役政系統定期連線校正比對 2 4 撥付津貼前，媒體資料與其他補助計畫比對，控管並檢視溢領津貼情形 1 長青身障福利科 15 納入上期新增控制機制以落實風險評估滾動檢討 納入該作業項目之控制重點予以控管 15 15 15

16 主要風險項目彙總表 單位名稱 風險代號 主要風險項目 控制作業項目代號 跨職能業務 Z1 採購作業 ZZ05 … 長青身障福利科 B1
溢發中低收入老人生活津貼 B01 B02 秘書室 C1 出納業務控管疏漏 C01 16 16

17 風險圖像 影響程度 風險分布 非常嚴重(3) 嚴重(2) B2 B1、Z1 輕微(1) C1 幾乎不可能(1) 可能(2) 幾乎確定(3)
發生機率 17 17 17

18 設計有效控制作業(1/3) 根據風險評估結果，應就超過風險容忍度之主要風險項目，找出對應之相關業務項目，設計相關控制重點，納入各項業務活動之作業流程，其中涉及共通性業務，可參採各權責機關所定之共通性作業範例(如採購業務、財產管理業務等)。 機關如已建置相關業務活動之作業流程(如SOP)，則可以該流程為基礎，再加入控制作業之設計，可大幅減少設計內部控制制度之時間及成本。 18 18

19 設計有效控制作業(2/3) 以中低收入老人生活津貼作業為例 … 否 是 該作業程序中已設計有效之關鍵控制重點 受補助人是否溢領津貼
辦理補助款撥款事宜 社政資訊系統與戶役政系統定期連線校正比對 長青身障福利科 是 補助檔資料 發文追繳溢領款項並限期繳回，及建立溢領名單資料 每月媒體資料與其他補助計畫比對 長青身障福利科 長青身障福利科 補助檔資料 19 19

20 設計有效控制作業(3/3) 作業程序說明表 項目編號 B01 項目名稱 中低收入老人生活津貼作業 承辦單位 長青身障福利科 作業程序說明
三、管制區公所於每月15日前完成受補助人資料登記。 四、每月16日至21日辦理戶役政系統連線及轉撥款檔。 五、抽查媒體資料檢視受補助戶是否受領其他補助。 控制重點 二、撥付津貼前，每月16日至21日辦理戶役政系統連線，透過媒體資料比對，控管並檢視溢領津貼情形。 三、撥付津貼前，媒體資料與其他補助計畫比對，控管並檢視溢領津貼情形。 法令依據 一、老人福利法第12條第3項 二、中低收入老人生活津貼發給辦法 三、○○市中低收入老人生活津貼審核作業辦法 使用表單 社政系統之補助檔資料 20 20

21 參、自行評估架構 21

22 自行評估相關規定(1/2) 自行評估為機關自我檢視內部控制制度有效性之重要作業，以確保內部控制五項組成要素持續有效運作。為利各機關落實自我監督機制，行政院前於102年5月20日訂頒「各機關內部控制制度自行評估原則」。 「強化內部控制實施方案103年度重點工作」規定，103年6月底前設計完成內部控制制度之機關，除參與試辦簽署內部控制制度聲明書推動計畫者，另依試辦計畫期程辦理外，其餘應於103年底前辦理內部控制制度自行評估作業。 控制環境

23 自行評估相關規定(2/2) 為期各機關執行內部控制制度自行評估作業更加簡明有效，行政院擬具「各機關內部控制制度自行評估原則(修正草案)」，修正重點及特色說明如下: 串連五項要素，切合實務運作 簡化判斷項目，聚焦評估重點 簡化作業流程，提升評估效益 因應機關特性，提供調整彈性 23

24 自行評估主要效益 自行評估主要效益： 提升同仁內部控制意識。 增進同仁對於作業流程的瞭解。 提早發現及改善內部控制缺失。
對於內部控制制度之有效性，提供定期驗證或聲明。 有助於內部稽核計畫及重點之擬定。 24

25 自行評估方法 層級 整體層級評估 作業層級評估 評估項目 內部控制各組成要素及判斷項目(可自行增修) 內部控制制度所列各項作業之控制重點
評估工具 評估總表、評估明細表 自行評估表、自行評估統計表、未符合項目一覽表 評估方式 由下而上 評估結果 分為「落實、部分落實、未落實」 分為「符合、未符合、不適用」 25 25

26 自行評估架構圖 作業層級 評估總表 （內部控制制度自行評估結果） 整體層級 自行評估表 (各單位) 自行評估 統計表 (內部控制 幕僚單位)
評估明細表 (控制環境) (控制作業) (資訊與溝通) 整體層級 (風險評估) (監督) 自行評估表 (各單位) 自行評估 統計表 (內部控制 幕僚單位) 未符合項目 一覽表 26 26

27 整體層級有效性判斷參考項目 「各機關內部控制制度整體層級有效性判斷參考項目」為「各機關內部控制制度自行評估原則」之附件，基於修正前需進行評估之判斷參考細項達30項，評估結果容易失焦，爰參考新版COSO內部控制整合架構並依政府運作現況，擇選各組成要素中最攸關之項目計17項，以聚焦評估重點。 各機關可依業務屬性及管理需要並參考新版COSO內部控制整合架構針對內部控制五項組成要素及所屬17項原則之定義，增減調整訂定適用之判斷項目。 27 27

28 肆、自行評估 實作範例 28

29 自行評估主要步驟 4 彙整自行評估結果 3 撰寫整體層級評估明細表 1 研擬評估計畫 2 撰寫作業層級自行評估表 29

30 步驟一：研擬評估計畫(1/8) 機關執行內部控制制度自行評估作業，原則由內部稽核單位事先綜整內部各單位意見研擬評估計畫，簽報機關首長核定，該計畫主要內容如下： 評估依據 評估目的 評估期間 評估範圍及項目 評估方式 評估流程 30

31 步驟一：研擬評估計畫(2/8) 範例 評估依據 　 依「強化內部控制實施方案103年度重點工作」第4點規定，103年6月底前設計完成內部控制制度之機關，應於本(103)年底前辦理內部控制制度自行評估作業。復依「各機關內部控制制度自行評估原則」第4點規定略以，各機關執行內部控制制度自行評估作業，應事先研擬評估計畫，簽報機關首長核定。為辦理○○機關本年度內部控制制度自行評估作業，特訂定本評估計畫。 31

32 步驟一：研擬評估計畫(3/8) 評估目的 評估期間 範例
　 為衡量○○機關內部控制制度設計及執行之有效性，以確保內部控制五項組成要素持續有效運作，並提出○○機關內部控制制度自行評估結果。 評估期間 評估期間為102年11月30日至103年11月30日，其中作業層級自行評估部分應於103年12月10日前執行完成，整體層級自行評估部分應於103年12月20日前執行完成。 32

33 步驟一：研擬評估計畫(4/8) 評估範圍及項目 範例
作業層級自行評估部分，由各單位就本年○月○日修訂完成之內部控制制度所列作業層級自行評估表辦理評估，各作業項目分工情形如附件1。 整體層級自行評估部分，行政院訂頒之「各機關內部控制制度整體層級有效性判斷參考項目」全數納為○○機關本年度辦理整體層級評估之判斷項目，各判斷項目分工情形如附件2。 得依業務屬性或管理需要，增減調整適用之判斷項目 33

34 步驟一：研擬評估計畫(5/8) 範例 附件1 ○○機關作業層級評估項目分工表 編號 內部控制制度作業項目 承辦單位 ZZ01
　 ○○機關作業層級評估項目分工表 編號 內部控制制度作業項目 承辦單位 ZZ01 人事費－薪給作業 人事處 人力科 秘書室 事務管理科 主計室 主計業務科 ZZ05 採購作業 需求或使用 單位 各單位 履約管理 及驗收單位 監辦單位 政風業務科 PE04 人民陳情案件處理作業 綜合規劃處 行政管考科 PA01 中央政府總預算案籌編作業 公務預算處 各承辦科 … 34

35 步驟一：研擬評估計畫(6/8) 範例 ○○機關整體層級評估項目分工表 附件2 組成要素 判斷項目 主辦單位 評估單位 控制環境 1.1.1
機關針對違反公務員廉政倫理規範案件，是否建立及時處理該偏差行為之機制？ 人事處 政風室 1.2.1 機關是否定期召開內部控制及內部稽核小組會議，督導內部控制制度設計及執行情形並落實會議決議？ 綜合規劃處 1.3.1 機關內部高風險業務是否有明確職能分工及制衡機制? 1.4.1 機關執行重要或高風險業務人員是否皆已依內外部規定進行職務輪調? 1.5.1 機關是否落實考核同仁工作績效，並覈實予以獎懲? … 35

36 步驟一：研擬評估計畫(7/8) 範例 評估方式 作業層級自行評估部分，應由各單位針對評估重點蒐集足夠之佐證資料，俾作為勾選自行評估情形、填列評估情形說明及撰寫評估結論之依據。 整體層級自行評估部分： 由評估單位就所負責之判斷項目蒐集足夠之佐證資料，俾作為勾選評估結果、填列佐證資料清單、評估情形說明、改善措施或具體興革建議之依據。 由主辦單位依據各判斷項目之評估結果及評估發現之內部控制缺失，評估各組成要素之落實程度並勾選評估結果。 36

37 步驟一：研擬評估計畫(8/8) 範例 評估方式 為確保自行評估之有效性，各單位佐證資料之蒐集原則應依○○機關評估內部控制制度抽核標準表辦理(如附件3) 附件3 評估期間母體發生頻率 每次評估所需最少樣本量 每日多筆 25筆 每日一筆 15筆 每週一筆 5筆 每月一筆 2筆 不定期，評估期間總筆數>200筆 不定期，評估期間總筆數約51-200筆 不定期，評估期間總筆數約16-50筆 不定期，評估期間總筆數約1-15筆 1筆 37

38 步驟二：撰寫作業層級自行評估表(1/7) 撰寫方式 針對評估重點蒐集佐證資料 （應依評估計畫所訂定之抽核方式蒐集足夠之佐證資料）
評估佐證資料是否與評估重 點相符，並據以勾選自行評 估情形。 於評估情形說明欄詳細說明 評估之理由及依據。 撰寫評估結論，遇有「未符 合」情形，一併敘明需採行 之改善措施；遇有「不適用」 情形，應檢討是否修正評估重點。 ○○機關內部控制制度作業層級自行評估表 ○○年度 自行評估單位： 作業類別(項目)：○○作業 評估日期： 年 月 日 評估重點 自行評估情形 評估情形說明 符合 未符合 不適用 一、作業流程有效性 (一)作業程序說明表及作業流程圖之製作是否與規定相符。 (二)內部控制制度是否有效設計。 二、○○作業 . 結論/需採行之改善措施： 填表人： 複核： 單位主管： 38

39 步驟二：撰寫作業層級自行評估表(6/7) 佐證資料收集(範例1) 作業項目-應用系統上線及變更管理作業
　 佐證資料收集(範例1) 作業項目-應用系統上線及變更管理作業 評估重點-系統維護人員及系統管理人員角色是否區 隔，由不同人員擔任。 母體-102年11月30日至103年11月30日系統維護申請單。 樣本-系統維護申請單評估期間總筆數約810筆，則 依評估計畫所訂抽核標準表，隨機抽取評估 所需最少樣本量25筆。 評估-驗證該25筆資料是否皆符合評估重點，並依 實際結果勾選自行評估情形。 39

40 步驟二：撰寫作業層級自行評估表(7/7) 撰寫評估表 (範例1) ○○機關內部控制制度作業層級自行評估表
102年11月30日至103年11月30日 自行評估單位：資訊處 作業類別(項目)：應用系統上線及變更管理作業 評估日期：103年12月4日 評估重點 自行評估情形 評估情形說明 符合 未符合 不適用 一、作業流程有效性 (一)作業程序說明表及作業流程圖之製作是否與規定相符。 V 經與相關規定核對後相符。 (二)內部控制制度是否有效設計。 經按實際執行狀況評估後，屬有效設計。 二、應用系統上線及變更管理作業 (一)系統維護人員及系統管理人員角色是否區隔，由不同人員擔任? 因受限於人力配置，部分系統之維護人員及管理人員區隔不易。評估期間共發生810筆系統維護申請作業，抽取樣本數25筆，符合評估重點有20筆；未符合評估重點有5筆，勾選「未符合」。 … 結論：本處於評估期間共發生810筆系統維護申請作業，大多為常態性變更維護，部分小型單人維護的系統較難滿足資安內部控制權責劃分之規範。 需採行之改善措施：請各科跨業務協調人力，落實系統維護人員及系統管理人員由不同人員擔任之規範，以確保規範有效執行。 填表人：張○○ 複核：朱○○ 單位主管：黃○○ 40

41 步驟二：撰寫作業層級自行評估表(2/7) 佐證資料收集(範例2) 作業項目-人事費薪給作業 評估重點-是否隨時將人員動態以派令或異動通知單等
　 佐證資料收集(範例2) 作業項目-人事費薪給作業 評估重點-是否隨時將人員動態以派令或異動通知單等　　　 　　　　　 資料，確實通知秘書室事務管理科及主計室。 母體-102年11月30日至103年11月30日人員派令或異動 通知單。 樣本-人員派令或異動不定期且評估期間總筆數約300 筆，依評估計畫所訂抽核標準表，隨機抽取評估 所需最少樣本量25筆。 評估-驗證該25筆資料是否皆符合評估重點，並依實際 結果勾選自行評估情形。 41

42 步驟二：撰寫作業層級自行評估表(3/7) 撰寫評估表 (範例2) ○○機關內部控制制度作業層級自行評估表
102年11月30日至103年11月30日 自行評估單位：人事處 作業類別(項目)：人事費薪給作業 評估日期：103年12月5日 評估重點 自行評估情形 評估情形說明 符合 未符合 不適用 一、作業流程有效性 (一)作業程序說明表及作業流程圖之製作是否與規定相符。 V 經與相關規定核對後相符。 (二)內部控制制度是否有效設計。 經按實際執行狀況評估後，屬有效設計。 二、人事費-薪給作業 (一)是否隨時將人員動態以派令或異動通知單等資料，確實通知秘書室事務管理科及主計室? 經抽查評估期間25筆派令及異動通知單，皆已確實通知秘書室事務管理科及主計室。 (二)是否審核公保、全民健保(公保身分)、退撫基金，人員加保薪(等)級與所支薪資之相當性及加、退保日期之正確性? … 結論：經檢視本項控制作業相關評估重點皆已有效設計及執行，尚無不符情形。 需採行之改善措施：無。 填表人：王○○ 複核：林○○ 單位主管：陳○○ 42

43 步驟二：撰寫作業層級自行評估表(4/7) 佐證資料收集(範例3) 作業項目-採購作業(履約管理及驗收單位)
　 佐證資料收集(範例3) 作業項目-採購作業(履約管理及驗收單位) 評估重點-廠商有無依契約履約、是否依契約約定辦理 檢(試)驗、查驗，並督促廠商注意履約品質 、工程採購廠商依規定報竣工，機關是否迅 速確認竣工並注意廠商無虛報竣工，以規避 逾期違約金之情形。 母體-102年11月30日至103年11月30日採購案件。 樣本-採購案件評估期間總筆數約7筆，依評估計畫所 訂抽核標準表，隨機抽取評估所需最少樣本量1筆。 評估-驗證該筆資料是否皆符合評估重點，並依實際結 果勾選自行評估情形。 43

44 步驟二：撰寫作業層級自行評估表(5/7) 撰寫評估表 (範例3) ○○機關內部控制制度作業層級自行評估表
　 撰寫評估表 (範例3) ○○機關內部控制制度作業層級自行評估表 102年11月30日至103年11月30日 自行評估單位：綜規處 作業類別(項目)：採購作業(履約管理及驗收單位) 評估日期：103年12月5日 評估重點 自行評估情形 評估情形說明 符合 未符合 不適用 一、作業流程有效性 (一)作業程序說明表及作業流程圖之製作是否與規定相符。 V 經與相關規定核對後相符。 (二)內部控制制度是否有效設計。 經按實際執行狀況評估後，屬有效設計。 二、採購作業(履約管理及驗收單位) (一)廠商有無依契約覆約? 經抽查評估期間其中1筆採購案件： （一）廠商已依契約履約。 （二）已依契約約定辦理查驗及督促廠商注意履約品質，並備有驗收紀錄。 （三）因本案非工程採購案，故不適用。 (二)是否依契約約定辦理檢(試)驗、查驗，並督促廠商注意履約品質? (三)工程採購廠商依規定報竣工，機關是否迅速確認竣工並注意廠商無虛報竣工，以規避逾期違約金之情形? … 結論：經檢視本項控制作業相關評估重點皆已有效設計及執行，尚無不符情形。 需採行之改善措施：無。 填表人：羅○○ 複核：賴○○ 單位主管：林○○ 44

45 步驟三：撰寫整體層級評估明細表(1/6) 撰寫方式(評估單位) 針對判斷項目蒐集佐證資料
(應依評估計畫所訂定之抽核方式蒐集足夠之佐證資料) 依據佐證資料撰寫評估情形說明及分析，包括評估所發現之內部控制缺失等。 依據評估情形及參考判斷標準，勾選評估結果。 依據評估結果填列針對內部控制應採取及執行之改善措施或有助於內部控制有效運作之具體興革建議。 45

46 步驟三：撰寫整體層級評估明細表(2/6) 撰寫方式(主辦單位)
依據各判斷項目之評估結果及評估發現之內部控制缺失，勾選各組成要素之落實程度，建議標準如下: 「落實」:判斷項目評估結果多為落實，且無內部控制缺失或有內部控制缺失惟不影響內部控制目標之達成。 「部分落實」:判斷項目評估結果多為部分落實，且有內部控制缺失並影響內部控制目標之達成。 「未落實」:判斷項目評估結果多為未落實，且有內部控制重大缺失。 內部控制制度整體層級有效性判斷參考項目 評估明細表【控制環境】 控制環境評估結果 項目 內容 主辦單位 人事單位 評估結果 ■落實 □部分落實 □未落實 46

47 步驟三：撰寫整體層級自行評估表(3/6) 撰寫評估表 (範例1) 內部控制制度整體層級有效性判斷參考項目 評估明細表【控制環境】 判斷項目
　 撰寫評估表 (範例1) 內部控制制度整體層級有效性判斷參考項目 評估明細表【控制環境】 評估機關：○○機關 評估期間：102年11月30日至103年11月30日 判斷項目 評估單位 評估結果 佐證資料 清單 評估情形 說明 改善措施/ 具體興革建議 1.1遵循公務倫理　型塑廉政文化 1.1.1 機關針對違反公務員廉政倫理規範案件，是否建立及時處理該偏差行為之機制？ (參考法令：公務員廉政倫理規範) 政風單位 ■落實 (已針對所有涉及違反廉政倫理規範案件，建立及時處理機制) □部分落實 (針對所有涉及違反廉政倫理規範案件，僅部分建立及時處理機制) □未落實 (未針對涉及違反廉政倫理規範案件，建立及時處理機制) 1.受贈財物、飲宴應酬、請託關說及其他廉政倫理事件登錄表。 2.受理檢舉案件清單。 針對民眾檢舉本機關同仁違反公務員廉政倫理規範案件共○○件，皆已依規定進行瞭解查察，其中涉有違失部分經查證屬實者，已移請相關單位或人員依規定懲處並提出檢討改善措施。 無 47

48 步驟三：撰寫整體層級自行評估表(4/6) 撰寫評估表 (範例2) 內部控制制度整體層級有效性判斷參考項目 評估明細表【控制環境】 判斷項目
　 內部控制制度整體層級有效性判斷參考項目 評估明細表【控制環境】 評估機關：○○機關 評估期間：102年11月30日至103年11月30日 判斷項目 評估單位 評估結果 佐證資料 清單 評估情形 說明 改善措施/ 具體興革建議 1.2支持內部控制　督導工作執行 1.2.1 機關是否定期召開內部控制及內部稽核小組會議，督導內部控制制度設計及執行情形並落實會議決議？ （參考法令：強化內部控制實施方案各年度重點工作） 內部控制小組幕僚單位(內部稽核幕僚單位) ■落實 (已定期召開會議並落實會議決議) □部分落實 (未定期召開會議或未落實會議決議) □未落實 (未召開會議) 1.○○機關內部控制小組103年第10至13次會議紀錄。 2.○○機關內部稽核小組103年度第4至6次會議紀錄。 1.本機關103年度共召開4次內部控制小組會議，分別… 2、本機關103年度共召開3次內部稽核小組會議，分別… 無 48

49 步驟三：撰寫整體層級自行評估表(5/6) 撰寫評估表 (範例3) 內部控制制度整體層級有效性判斷參考項目 評估明細表【風險評估】 判斷項目
評估機關：○○機關 評估期間：102年11月30日至103年11月30日 判斷項目 評估單位 評估結果 佐證資料清單 評估情形說明 改善措施/ 具體興革建議 2.4因應重大改變 滾動檢討風險 2.4.1 機關是否辨識法令規定、政策或資訊系統產生重大改變之風險，並採滾動方式定期辦理風險評估作業與製作風險評估及處理表等表件，據以更新風險項目，以因應內部及外部環境之改變? （參考法令：行政院所屬各機關風險管理及危機處理作業基準及手冊、行政院函頒內部控制制度設計原則等） 綜合研考單位 □落實(已定期滾動檢討風險，並製作相關表件據以更新風險項目) □部分落實(已定期滾動檢討風險，惟未製作相關表件據以更新風險項目) ■未落實(未定期滾動檢討風險) 本機關風險登錄表 本機關各單位雖已於102年○月○日訂定主要風險項目，惟後續未確實依據目標或政策之改變，持續更新該等項目，致未能發掘部分施政目標無法達成之風險。 1.建議辦理風險評估教育訓練，加強灌輸人員風險意識。 2.建議定期召開會議針對主要風險項目進行滾動檢討，以積極防範風險產生。 49

50 步驟三：撰寫整體層級自行評估表(6/6) 撰寫評估表 (範例4) 內部控制制度整體層級有效性判斷參考項目 評估明細表【控制作業】 判斷項目
　 撰寫評估表 (範例4) 內部控制制度整體層級有效性判斷參考項目 評估明細表【控制作業】 評估機關：○○機關 評估期間：102年11月30日至103年11月30日 判斷項目 評估單位 評估結果 佐證資料 清單 評估情形 說明 改善措施/ 具體興革建議 3.1落實控制作業 確保有效管控 3.1.1 機關內部控制制度作業層級自行評估統計表是否顯示各項控制作業已有效設計及執行，以利各項作業達成其原訂目標？ （參考法令：行政院函頒各機關內部控制制度自行評估原則） 內部控制小組幕僚單位 □落實 (設計面及執行面評估重點無未符合情形) ■部分落實 (設計面及執行面評估重點未符合比例均在20%以下) □未落實 (設計面或執行面評估重點未符合比例超過20%) 1.本機關103年○月○日修訂之內部控制制度。 2.本機關103年度內部控制制度作業層級自行評估結果。 本機關內部控制制度自行評估結果顯示各項控制作業多數設計有效並落實執行，設計面評估重點符合比率為99%，執行面為98%。 擬函請各單位就業管作業未符合項目確實檢討改善，並請內部稽核單位追蹤後續改善情形。 50

51 步驟四：彙整自行評估結果(1/5) 彙整方式(原則由內部稽核單位辦理)
研擬自行評估計畫單位應彙整「整體層級評估明細表」，連同各單位(包括整體及作業層級自評單位)自行認定之內部控制重大缺失及其改善計畫據以編製「評估總表」，再併同「作業層級自行評估統計表」及「未符合項目一覽表」提經內部控制小組或內部稽核小組審議通過或簽陳該小組召集人核定後簽報機關首長。 內部控制制度自行評估結果 層級 評估表件(負責單位) 彙整表件(負責單位) 作業層級 自行評估表 (各單位) 自行評估統計表 未符合項目一覽表 (內控小組幕僚單位) 整體層級 評估明細表 (主辦單位、評估單位) 評估總表 (內稽小組幕僚單位) 51

52 步驟四：彙整自行評估結果(2/5) 彙整評估總表 (範例) 內部控制制度整體層級有效性判斷參考項目 評估總表 組成要素 評估結果
評估機關：○○機關 評估期間：102年11月30日至103年11月30日 組成要素 評估結果 ㄧ、控制環境 ■落實 □部分落實 □未落實 二、風險評估 □落實 ■未落實 三、控制作業 ■部分落實 四、資訊與溝通 五、監督 備 註 本機關原任首長○○○因屆齡退休於○年○月○日離職，由新任首長○○○接任。 本機關內部控制小組召集人○○○因任務需要調整職務，由新任機關副首長○○○擔任。 本機關內部控制制度（第○次修正），係配合機關施政目標（組織規程調整或法令變革等），於○年○月○日修訂。 52

53 步驟四：彙整自行評估結果(3/5) 彙整評估總表 之附表 (範例) ○○機關內部控制重大缺失及其改善計畫 內部控制重大缺失 改善措施
　 彙整評估總表 之附表 (範例) ○○機關內部控制重大缺失及其改善計畫 內部控制重大缺失 改善措施 預定（完成）改善時間 無 53

54 步驟四：彙整自行評估結果(4/5) 內部控制制度作業層級自行評估統計表 自行評估機關 :○○機關
自行評估期間 :102年11月30日至103年11月30日 自行評估單位 內部控制制度作業項目 設計面 執行面 不適用 作業項目編號 作業項目名稱 控制重點數 評估結論 符合 未符合 秘書室 BF01 財產（物）盤點作業 2 7 100% 0% ZZ05-3 採購作業(履約管理及驗收單位) 10 小計 14 64 63 1 98% 2% 政風室 CI01 公務員廉政倫理事件作業 3 25% CI02 高風險業務稽核作業 4 ZZ05-4 採購作業(監辦單位) 6 總計 172 171 501 489 12 191 99% 1% 54

55 內部控制制度作業層級自行評估未符合項目一覽表
步驟四：彙整自行評估結果(5/5) 彙整未符合 項目一覽表 (範例) 內部控制制度作業層級自行評估未符合項目一覽表 自行評估機關：○○機關 自行評估期間：102年11月30日至103年11月30日 自行評估單位 內部控制制度 作業項目 評估重點 未符合情形說明 改善措施 作業項目編號 作業項目名稱 資訊處 PV02 應用系統上線及變更管理作業 系統維護人員及系統管理人員角色是否有所區隔，並由不同人員擔任? 於評估期間共發生810筆系統維護申請作業，大多為常態性變更或維護，部分僅由單人維護的小型系統較難滿足資訊安全內部控制職能分工之規範。 請各科跨業務協調人力，落實系統維護人員及系統管理人員由不同人員擔任之規範，以確保規範有效執行。 主計室 DG06 專戶存款及保管品差額審核作業 公款之支付，除零用金外，是否採劃撥轉帳方式處理。 經抽查經費支出傳票第ＯＯＯＯＯ號，係以代收款支付102年4月份退休人員參加台銀互助壽險保險費，並未採劃撥轉帳方式處理。 建議秘書室日後改以存入本機關保管款國庫存款戶方式辦理。 ... 55

56 辦理自行評估常見問題 自行評估作業每年至少辦理幾次？ 能不能分不同期程辦理？ 所在機關規模小、屬性單純可否不用辦理整體層級自行評估？
每年度應至少辦理1次。(各機關內部控制制度自行評估原則第三點) 各機關可自行規劃一次或分次辦理自行評估作業。 機關業務屬性單純或規模較小者，得不辦理整體層級自行評估。(各機關內部控制制度自行評估原則第三點)

57 伍、結語 57

58 自行評估為內部控制監督機制之重要防線，為確保內部控制五項組成要素持續有效運作，應由機關全體人員共同參與，以落實自主管理。
自行評估提出之改善措施或具體興革建議涉及需修正內部控制制度者，應由內部控制小組督導各單位依行政院函頒內部控制制度設計原則等相關規定修正，以形成良好之管理循環（設計 → 執行 → 評估 → 修正）。 58

59 附 錄 59

60 附錄：控制環境判斷參考項目 COSO內部控制- 整合架構17項原則 各機關內部控制制度 整體層級有效性判斷參考項目 原則 關注點 指引
判斷項目 機構展現對於誠信與道德價值之承諾 及時處理偏差行為 1.1遵循公務倫理 型塑廉政文化 機關針對違反公務員廉政倫理規範案件，是否建立及時處理該偏差行為之機制？ 董事會展現其獨立於管理階層，並對內部控制之建立與成效行使監督 對內部控制制度進行監督 1.2支持內部控制 督導工作執行 機關是否定期召開內部控制及內部稽核小組會議，督導內部控制制度設計及執行情形並落實會議決議？ 管理階層在董事會監督之下，建立達成各項目標之結構、報導體系，以及適當權限與責任 定義、分派及限制權限與責任 1.3授予權限責任 落實職能分工 機關內部高風險業務是否有明確職能分工及制衡機制? 機構為配合目標而展現延攬、培育及留用適任人才之承諾 延攬、培育及留用人才 1.4培育訓練人才 落實職務輪調 機關執行重要或高風險業務人員是否皆已依內外部規定進行職務輪調? 機構要求各級人員在達成各項目標的過程中，應擔負其內部控制之責任 評估績效及獎懲個別人員 1.5落實考核獎懲 強化人事管理 機關是否落實考核同仁工作績效，並覈實予以獎懲? 60

61 附錄：風險評估判斷參考項目 COSO內部控制- 整合架構17項原則 各機關內部控制制度 整體層級有效性判斷參考項目 原則 關注點 指引
判斷項目 機構具體指明適合目標，以辨識及評估與目標相關的風險 營運目標 2.1確認施政目標 辨識相關風險 機關是否依據行政院施政方針訂定其施政目標並召開會議以辨識施政目標無法達成之風險，且於內部控制制度風險登錄表等表件，記錄主要風險項目？ 機構辨識達成其目標之風險，並分析各項風險，以作為應如何管理該等風險之基礎 決定如何回應風險 2.2落實風險分析 決定回應方式 機關是否分析風險，並於內部控制制度風險分析表及風險圖像等表件，記錄風險分析結果，俾就不可容忍之風險決定因應對策？ 機構評估達成目標之風險時，考量可能發生的舞弊 考量各種舞弊類型 2.3評估政風狀況 加強風險預防 機關是否掌握可能涉及貪腐風險事件之動態資料，定期辦理廉政風險評估，並將評估結果簽報機關首長或提報廉政會報? 機構辨識及評估可能對內部控制制度產生重大影響之各項改變。 評估外部環境的改變 2.4因應重大改變 滾動檢討風險 機關是否辨識法令規定、政策或資訊系統產生重大改變之風險，並採滾動方式定期辦理風險評估作業與製作風險評估及處理表等表件，據以更新風險項目，以因應內部及外部環境之改變? 61

62 附錄：控制作業判斷參考項目 機構選擇及建立控制作業，用以降低達成目標之相關風險至可接受水準 決定攸關的業務流程 3.1落實控制作業
COSO內部控制- 整合架構17項原則 各機關內部控制制度 整體層級有效性判斷參考項目 原則 關注點 指引 判斷項目 機構選擇及建立控制作業，用以降低達成目標之相關風險至可接受水準 決定攸關的業務流程 3.1落實控制作業 確保有效管控 機關內部控制制度作業層級自行評估統計表是否顯示各項控制作業已有效設計及執行，以利各項作業達成其原訂目標？ 機構選擇及建立科技之一般控制作業，以支持目標之達成 建立攸關安全管理過程的控制作業 3.2建立一般控制 強化安全管理 機關發生資安事件時，是否落實資安事件通報作業? 機構透過制定各項政策與程序，以建置其控制作業。政策係指建立欲達成之項目，程序則係將政策付諸行動 重新評估政策與程序 3.3檢討內部程序 更新控制作業 機關既定政策、目標及計畫等發生改變時，各單位是否據以每年檢討作業流程各項控制重點之有效性及合理性，該增減就增減、該簡化就簡化，並於必要時修正內部控制制度？ 62

63 附錄：資訊與溝通判斷參考項目 機構蒐集或產生及使用攸關、具品質資訊，以支持內部控制之持續運作 在整個處理過程中維持品質 4.1確保資訊品質
COSO內部控制- 整合架構17項原則 各機關內部控制制度 整體層級有效性判斷參考項目 原則 關注點 指引 判斷項目 機構蒐集或產生及使用攸關、具品質資訊，以支持內部控制之持續運作 在整個處理過程中維持品質 4.1確保資訊品質 支援管理決策 機關資訊系統是否具備可用等特性，且產生之資訊符合機關需求，足以支持內部控制持續運作？ 機構向內部溝通支持內部控制持續運作之必要資訊，包括內部控制之目標與責任 溝通內部控制資訊 4.2建立內部溝通 履行內控職責 機關對於涉及內部控制之資訊，是否皆已透過內部網站、公文、電子郵件、會議、訓練等方式向內部人員溝通，使其瞭解並覆行其內部控制責任? 機構向外部人士溝通影響內部控制持續運作之相關事項 向外部人士溝通 4.3建立外部溝通 促進多方交流 機關是否設有專責單位或人員負責處理追蹤外界提出之意見，並針對執行進度落後部分提報內部會議列管？ 63

64 附錄：監督判斷參考項目 COSO內部控制- 整合架構17項原則 各機關內部控制制度 整體層級有效性判斷參考項目 原則 關注點 指引 參考項目
機構選擇、建立及執行持續性及(或)個別評估，以確定內部控制各要素是否存在及持續運作 客觀地評估 5.1落實監督機制 強化內控制度 機關辦理內部稽核工作時，是否依「政府內部稽核應行注意事項」採下列方式辦理： (1)稽核項目如具有量化或非量 化績效目標，是否依該規定 第五點第六項辦理? (2)稽核項目如未具有量化或非 量化績效目標，是否依該規 定第五點第二項辦理? 機構評估並及時與負責採取改正行動者溝通內部控制缺失；必要時，包含高階主管及董事會 監督改正行動 5.2檢討追蹤缺失 落實改善作為 機關針對自行評估、內部稽核連同監察院與審計機關等提出之內部控制缺失，是否提報相關會議審議並追蹤內部控制缺失檢討改善情形?其中涉及制度面缺失部分應由內部控制小組幕僚單位檢討修正內部控制制度。 64