Presentation is loading. Please wait.

Presentation is loading. Please wait.

報告大綱 前言 內部控制制度設計範例簡介 結語 1 1.

Similar presentations


Presentation on theme: "報告大綱 前言 內部控制制度設計範例簡介 結語 1 1."— Presentation transcript:

0 內部控制制度設計實務 內部控制制度設計範例簡介 行政院主計處視察室 黃慶裕 100年6月13日

1 報告大綱 前言 內部控制制度設計範例簡介 結語 1 1

2 報告大綱 前言 內部控制制度設計範例簡介 結語 2 2

3 範例設計依據 內部控制制度設計原則(草案) 內部控制制度設計範例(草案)
四、設計步驟 內部控制制度設計範例(草案) 「XX機關內部控制制度範例」 上開草案業經 行政院內部控制推動及督導小組第4次委員會審議通過,刻正簽案中

4 企業內部控制評估 願景 長期目標 依使命及願景設定整體目標 計畫:告訴員工如何執行? 企業整體目標 整體目標 策略:建立整體目標
事業層級目標 功能層級目標 個人目標 依使命及願景設定整體目標 計畫:告訴員工如何執行? 策略:建立整體目標 行動:落實目標之細部計畫

5 願景與策略目標 資料來源:國家資通安全發展方案

6

7

8 目標 整體 層級目標 整體層級目標係指各機關依法定職掌所定之願景、策略及施政目標,該目標明確闡述機關之施政重點及長期展望,並為機關全體人員共同遵循的方向 作業層級目標 將整體層級目標逐級往下延伸至各單職位,並參考業務職掌或分層負責明細表所定工作項目,據以辨識相連結之作業層級目標。

9 報告大綱 內部控制制度設計範例簡介 前言 結語 9 9

10 設計步驟 確認目標 風險評估 選定作業流程 設計控制作業 建立檢查機制

11 設計步驟 設計範例 一、確認目標 二、風險評估 三、選定作業流程 四、設計控制作業 五、建立檢查機制 機關組織職掌及整體層級目標
機關組織圖及作業層級目標 機關分層負責明細表 二、風險評估 風險辨識、風險分析、風險評量 三、選定作業流程 就超過機關風險容忍度的主要風險項目,找出對應之相關業務項目 四、設計控制作業 應針對選定業務項目之重要環節,設計相關之控制重點 五、建立檢查機制 自行檢查之表件格式

12 確認目標 12

13 確認目標-機關組織職掌 依據本機關組織法規規定,掌理以下事宜: 各機關申請設置電子計算機之審核事項。 各機關使用電子計算機效率之查核事項。
各機關電子計算機作業設備相互支援之輔導及協調事項。 各機關電子計算機作業有關人員之訓練事項。 共同性程式之設計及研究發展事項。 其他有關電子處理事項。 (…餘略)

14 確認目標-整體層級目標 本機關長期投入制定政府資訊政策及參與推動電子化政府等工作,依據法定組織職掌,擬定長期策略及主要施政目標:
參與國家資通安全建設,提升政府資安防護能力。 推動政府機關業務資訊化,提升資訊服務效能。 辦理資訊教育訓練,提升政府公務員資訊專業素養。 推動中文交換共通平台機制,促進網路中文資料之流通。 (…餘略)

15 確認目標-機關組織圖

16 確認目標-作業層級目標 業務組D: 掌理電腦主機系統及機房設施管理、網際網路應用之推動發展、資訊安全管理等事項
遵循機關整體層級目標,並依業務職掌所定事項,據以確認作業層級目標 資訊安全管理作業為機關核心業務之一,任何資訊安全上之風險,皆可能影響各項(整體或作業層級)目標之達成 鑑此,將「保護本機關相關資料、資訊系統、設備及網路之安全,達成資訊資產之機密性、完整性及可用性」訂為資訊安全管理之作業層級目標,以提升資訊服務效能與效率,並據以發展風險評估作業

17 確認目標-機關分層負責明細表 XX機關分層負責明細表 註:得以註明出處或建立來源連結之方式辦理 單位 工作項目 權責區分 備考 第一層
第二層 第三層 主任 副主任 主任秘書 各組室主管 業務組A 一、各機關設置及應用電腦計畫之審議事項。 核定 審核 擬辦 重大事項由第一層核定 二、中央政府各機關年度資訊概算之審議事項。 …餘略 業務組D 一、電腦硬軟體系統更新計畫核定事項。 二、電腦主機、工作站及伺服器等管理及維護事項。 秘書室 一、本機關年度施政計畫之編報與管制事項。 二、本機關應向行政院、立法院、監察院提供之相關資料。 會計室 一、年度概(預)算之彙編事項。 二、分配預算之籌編、執行控制、申請修改分配預算及經費之審核動支事項。 註:得以註明出處或建立來源連結之方式辦理

18 風險評估 18

19 風險關聯圖 資料來源:勤業眾信

20 風險評估 風險係指面對一些事件的發生,可能會影響機關目標的達成,並且極可能會影響對人民所提供的服務
機關任何業務之推展都可能面臨風險,因此要强化內部控制之前提即是要做好風險評估,以辨識無法達成目標之內、外在風險因素 繼而分析風險的影響程度及發生之可能性,考量風險評估的結果及風險容忍度,據以擇定應進行風險處理之業務項目 各機關之風險評估程序得參考「行政院所屬各機關風險管理及危機處理作業基準」及「風險管理及危機處理作業手冊」辦理,因應機關特性有適宜之風險評估方法,亦可逕行採用

21 風險管理架構 資料來源:風險管理及危機處理作業手冊 風險評估 溝通與協商 監督與審查 風險 建立 風險管理執行背景體系 -- 環境要素
機關要素 風險管理架構 發展風險評量標準 定義風險分析對象 風險辨識 會發生什麼 ? 如何、為何、何處、何時發 風險分析 確認既有控制機制 找出發生的機率 找出事件的影響 評估風險等級 溝通與協商 風險處理 列出可行風險對策 評估風險對策 選擇風險對策 準備處理計畫 執行處理計畫 監督與審查 風險評估 風險評量 與風險基準比較,設定優先順序 風險 資料來源:風險管理及危機處理作業手冊

22 風險辨識 辨識風險的來源、衝擊的範圍、事件所引起原因及其潛在的後果 整體層級目標:「推動政府機關業務資訊化,提升資訊服務效能」
作業層級目標:確保開發供政府機關使用之檔案的「可用性」 參考「風險管理及危機處理作業手冊」中所列之風險來源,進行風險辨識 主要風險來源:科技之應用 風險情境及影響:「本機關之網頁檔案,若遭病毒感染,承辦人員未落實通報機制,將延誤處理時機,影響服務品質,損及機關形象」 辨識出「網頁檔案遭病毒感染」之主要風險項目

23 風險分析 藉由判定影響、發生機率及風險屬性以分析風險 參考「風險管理及危機處理作業手冊」附錄二之風險評估工具
並考量機關業務特性,訂定適用於本機關用以衡量風險影響程度及發生機率之標準 風險=影響x機率 「影響之敘述分類表」 「機率之敘述分類表」 註:各機關應依業務特性,自行訂定妥適之影響及機率等級評量標準。

24 影響及機率之敘述分類表 定性 定量 本機關主要風險項目經評估後,其發生機率等級為1,影響程度等級為3 影響之敘述分類表 等級 衝擊或後果
形象 目標達成 3 非常嚴重 機關形象受損 經費/時間大量增加 2 嚴重 跨部門形象受損 經費/時間中度增加 1 輕微 部門形象受損 經費/時間輕微增加 定量 機率之敘述分類表 等級 可能性分類 詳細的描述 3 幾乎確定 每月發生一次之可能性 2 可能 每季發生一次之可能性 1 幾乎不可能 每年發生一次之可能性 本機關主要風險項目經評估後,其發生機率等級為1,影響程度等級為3

25 風險評量 依據風險分析結果以判定需優先執行的風險 經過風險分析結果,考量本機關人力、資源、組織環境等因素 風險容忍範圍:
影響程度:「輕微(1)」或「嚴重(2)」 發生機率:「幾乎不可能(1)」 影響程度:「輕微(1)」 發生機率:「幾乎不可能(1)」或「可能(2)」 超出此範圍之風險項目,皆優先納入風險處理。 註:各機關應自行評估風險容忍範圍並適時檢討。

26 風險分布 影響程度 風險分布 非常 嚴重(3) 3 (高度) 6 9 (極度) 嚴重(2) 2 (中度) 4 輕微(1) 1 (低度)
幾乎不可能(1) 可能(2) 幾乎確定(3) 發生機率

27 風險評估結果 經風險評估後,主要風險項目其發生機率等級為1,影響程度等級為3,屬高度風險(如黃色區域),超出可容忍之風險範圍,應即進行風險處理,以降低風險 註:各機關應依業務特性,自行擇用妥適的風險評量標準(如3X3表格、4X4表格等),並依風險容忍度,選定低度、中度、高度及極度危險風險之範圍,以利各機關適性、彈性地決定風險等級。

28 控制作業 28

29 控制作業 根據風險評估結果,應就超過風險容忍度之主要風險項目,找出對應之相關業務項目,其中有關共通性業務,可參採各權責機關所定之共通性作業範例。 控制作業,係為確保各項業務活動皆已有效運作,相關控制重點已併入各項業務活動之作業流程中設計 各機關應針對選定業務項目之重要環節,設計相關之控制重點,如文件是否經適當核准,事件是否經妥善記錄,物品是否定期盤點,狀況是否適時通報,預算或績效是否進行分析比較、職能是否明確劃分等 控制作業得併入各項作業流程中設計,並納為內部控制制度之附件

30 控制措施說明 預防性控制(前) 偵查性控制(中) 矯正性控制(後) 補償性控制 系統上線前需經原始碼檢測 安裝防毒軟體 定期弱掃瞄、滲透測試
藉由「事前」的控制,形成一道屏障來防止特別交易的不當進行或阻止錯誤的發生。例如:承保前之風險評估、對銷貨客戶之徵信、使用經核准之供應商名單 偵查性控制(中) 利用某些程序來偵測已發生之錯誤或不當交易。例如:編製銀行調節表、存貨盤點、與銷貨客戶之定期對帳 矯正性控制(後) 用來矯正偵查性控制所發現之問題或矯正交易之控制。例如:透過電腦對採購單之檢核可以偵測到未經核准之供應商號碼,進而追蹤其原因及時修正交易資料或防止向不適當供應商之採購 補償性控制 用來補償其他控制之不足,使得某些控制弱點不成為問題。例如:未有足夠之人力執行職能分工時,可透過由客戶或管理階層親自監督來彌補此一控制弱點。 定期弱掃瞄、滲透測試 定期掃毒 嚴格執行權限控管與監督機制 隔離或刪病毒 採免費軟體或請廠商進行原始碼檢測 VirusTotal

31 自行檢查之表件格式 XX機關內部控制制度自行檢查表 XXX年度 自行檢查單位:業務組D
作業類別(項目):資訊安全事件通報 檢查日期: XXX 年 XX月 XX日 檢查重點 自行檢查情形 檢查情形說明 符合 未符合 作業流程有效性 (一)作業程序說明表及作業流程圖之製作是否與規定相符。 (二)內部控制制度是否有效設計及執行。 資訊安全事件通報 (一)記錄與通知: 業務承辦人員是否有填寫「資訊設備或系統異常狀況處理紀錄表」 業務承辦人員是否通知權責單位資安聯絡人? (二)判斷資安事件: 資訊安全事件之認定是否經由資安聯絡人與業務相關人員共同判斷? (三)通報資安負責人: 資安聯絡人是否有填寫「資訊安全事件通報單」? 資安聯絡人是否將資訊安全事件通報機關資安負責人? 資安負責人是否確認資安事件影響等級,並陳資訊安全推動小組執行秘書複核? (四)通報管理階層: 各級資安事件是否通報至資訊安全推動小組執行秘書? 第4級資安事件是否通報至資訊安全推動小組召集人? 若須向外通報,是否依程序通報至國家資通安全會報? 結論/需採行之改善措施: 填表人: 複核: 單位主管:

32 作業流程(附件) 本機關之作業流程包含內部各單位之業務,所設計之控制作業皆併入作業流程中設計,列舉如下: 一、共通性業務 二、個別性業務
(一)出納業務 (二)財產管理業務 (三)政風業務 二、個別性業務 (一)資訊安全管理業務 1. 資訊安全事故管理作業類別 (1)資訊安全事件通報作業項目

33 XX機關資訊安全事件通報作業程序說明表 KD03 資訊安全事件通報 業務組D
項目編號 KD03 項目名稱 資訊安全事件通報 承辦單位 業務組D 作業程序說明 一、業務承辦人員自行發現,或接獲通報資安事件或異常事件時,應填寫「資訊設備或系統異常狀況處理紀錄表」,並通報權責單位資安聯絡人。(參考資訊安全聯絡人員名冊) 二、資安聯絡人接獲通知後,應與業務相關人員共同判斷是否為資訊安全事件。(參考資訊安全事件管理程序書之資安事件等級說明) 三、若為資訊安全事件,資安聯絡人應依狀況評估事件影響等級,並填寫「資訊安全事件通報單」後通報機關資安負責人。 四、資安負責人於收到「資訊安全事件通報單」後,依狀況確認事件影響等級,並陳資訊安全推動小組執行秘書複核後依程序進行通報。 4.1對內通報 各級資安事件均應通報至執行秘書,並通知權責人員進行事件處理;若為第4級則另須通報至資訊安全推動小組召集人。 4.2對外通報 若影響等級為4級或由外部單位反應之資安事件,由資訊安全推動小組召集人判斷,決定是否向國家資通安全會報通報。 控制重點 記錄與通知:業務承辦人員應填寫「資訊設備或系統異常狀況處理紀錄表」,並通知權責單位資安聯絡人。 判斷資安事件:資安聯絡人應與業務相關人員共同判斷是否為資訊安全事件。 通報資安負責人:資安聯絡人評估資安等級,並填寫「資訊安全事件通報單」,通報機關資安負責人,由資安負責人確認後陳資訊安全推動小組執行秘書複核。 通報管理階層:各級資安事件均應通報至執行秘書,第4級另應通報至資訊安全推動小組召集人,由其決定是否向國家資通安全會報通報。 法令依據 資訊安全事件管理程序書 使用表單 資訊安全聯絡人員名冊 資訊設備或系統異常狀況處理紀錄表 資訊安全事件通報單 資訊安全推動小組組織圖

34 XX機關資安事件通報作業流程圖

35 報告大綱 內部控制制度設計範例簡介 前言 結語 35 35

36 PDCA循環架構 規劃 Plan 勿憚改 謀定 矯正 Action 達成目標 執行 Do 有過 而後動 檢查 Check

37 管理制度

38 補充-導入資訊安全管理制度(ISMS)歷程
Information Security Management System , ISO/CNS 27001 CA:控制作業 建立文件架構體系 11領域、39項控目標、133項控制措施、矯正預防措施 I&C:資訊與溝通 文件發行公告與傳達(包含利害關係者) 每月宣導條款(分職務階層) 每季推動團隊會議 M:監督 持續、個別監督 第1~3方稽核 每月(季、半年、年)有效性量測 每年外部稽核 CE:控制環境 成立推動小組、啟始會議 制定政策 定期會議(每月)、管理審查 宣導與訓練(定期、不定期) RA:風險評估 建立資訊資產與風險管理程序 資產清查 威脅來源外在因素 弱點所在內在因素 風險辨識、風險分析、風險評量 風險處理

39 威脅、弱點、風險之間的關係(例) 我家裡現金10萬元,因為出門忘了上鎖,被小偷偷走了,搞得隔天要跑三點半 屋漏徧逢連夜雨 資產:房屋
兩個變數的影響 資產=10萬元 弱點=忘了上鎖 威脅=小偷偷竊 風險= 錢被偷走 影響=隔天要跑三點半 資產:房屋 弱點:會漏水 威脅:連夜雨 風險:資產受損 影響:生活起居

40 ISMS文件架構 資訊安全政策 1階 ISMS政策 風險管理程序書 2階 資安稽核程序書 3階 機房管理作業 網路作業管理 4階
資安事件通報單 資產管理清冊

41 敬請指教 感謝您 的聆聽 41


Download ppt "報告大綱 前言 內部控制制度設計範例簡介 結語 1 1."

Similar presentations


Ads by Google