內控內稽制度辦理經驗分享 報告日期：2013/5/31 報告人：陳照 磐石保險經紀人(股)公司 總經理.

Presentation on theme: "內控內稽制度辦理經驗分享 報告日期：2013/5/31 報告人：陳照 磐石保險經紀人(股)公司 總經理."— Presentation transcript:

1 內控內稽制度辦理經驗分享 報告日期：2013/5/31 報告人：陳照 磐石保險經紀人(股)公司 總經理

2 三個問題 執行內控制度可以為公司增加營收嗎？ 執行內控制度可以得到的效益為何？ 執行內控制度要花費多少成本、費用？

3 目錄 CONTENTS 內控內稽制度辦理經驗分享 內控內稽之辦理項目與目標 壹 貳 磐石內控五大元素 舉例(個資法專案執行) 參 結語 肆
說明依內控實施辦法辦理內控之項目及磐石內控之目標 內控內稽制度辦理經驗分享 貳 磐石內控五大元素 以公司治理為核心，說明磐石內控五大要素 參 舉例(個資法專案執行) 以磐石個資法專案辦理情況為例，說明磐石法令遵循、風險管理等內部控制事項執行情況，及其成本效益說明 肆 結語 「徵員選才」是企業內控中最重要的環節

4 壹、內控內稽之辦理項目與目標 一、內控制度之設計及執行 二、內部控制自評 三、內部稽核之設置與執行 四、會計師查核制度 五、法令遵循作業 內
1.遵守法令 2.發現與控制風險 3.提升營運效能 MIS 經營情報室 2012年4月 正式成立 一、內控制度之設計及執行 二、內部控制自評 三、內部稽核之設置與執行 四、會計師查核制度 五、法令遵循作業 內 控 之 目 標

5 貳.磐石內控五大元素 ~以公司治理為核心 公司治理 政策 組織 程序 執行 改善

6 一、磐石內控制度之設計及執行-遵循PDCA原則
目標： 遵守法令 發現與控制風險 提升營運效能 2012年04月 2012年05/14 2012年 5月起 2012年7/17 2012年7/25 2012年09月 2012年10/2 建立月報系統 建立經營情報室 MIS主辦 「經營管理會議」 簽核實施「風險事件 通報標準作業程序」 試行運作「蹤催機制」 月報管理辦法改版(2nd) 舉行年度計畫工作會議 2012年11月 2012年11/29 2012年12月 2012年12/24 2013年2/12 2013年4/1 2013年4/1 透過「文件管理機制 重行檢視改版月報、 經營管理會議，及風險 通報機制」等有關政策 內控制度「適用法規」及 「使用表單」盤點確認 簽核通過「緊急 應變作業政策」 內控制度「控制重點」及 「作業程序」盤點確認， 「內部稽核手冊」最後確認 經董事會通過「磐石保經 招攬處理制度與程序及 內部控制作業程序」 春節期間辦理 「緊急通訊演練」 簽核實施「蹤催機制」

7 一、磐石內控制度之設計及執行-招攬處理制度及程序(§7)
以公會公版為架構修訂，並增訂「其他招攬及行銷活動管理作業」 循環及管理控制 編號 作業項目 權責單位 招攬處理制度及程序 (實施辦法第7條) IC01-01 業務人員資格、登錄及註銷作業(業務人員資格、權利義務、招攬糾紛) 業務支援部 IC01-02 業務人員教育訓練作業(在職訓練、權利義務、招攬品質) 業務支援部、訓練部 IC01-03 業務人員獎懲作業(獎懲、權利義務、招攬品質、招攬糾紛) IC01-04 業務人員酬佣作業(權利義務、酬金與承受風險及支給時間之連結考核、招攬糾紛) IC02-01 招攬行為管理作業(招攬險種、招攬方式、權利義務、招攬品質、保險商品主要內容與重要權利義務之說明及相關資訊揭露、瞭解並評估要保人或被保險人保險需求及適合度之作業) IC02-02 新契約及保全受理作業(招攬後至送件前之檢核機制與簽署作業) 行政支援部、業務行政部 IC02-03 要保人保險費代繳作業(代繳要保人保險費之作業及管理) 行政支援部 IC02-04 招攬文件管理作業(招攬文件之控管與保存) IC02-05 保戶申訴作業(招攬糾紛、保戶申訴) IC02-06 廣告文宣及營業促銷活動管理作業(招攬方式、權利義務、招攬品質、保險商品主要內容與重要權利義務之說明及相關資訊揭露、廣告、文宣及營業促銷活動及管理) 業務支援部、商品部 IC02-07 其他招攬及行銷活動管理作業

8 一、磐石內控制度之設計及執行-內部控制作業規範之處理程序(§8)
以公會公版為架構修訂，並增訂「內控內稽管理作業」 循環及管理控制 作業項目與編號 權責單位 內部控制作業規範之處理程序 實施辦法第8條 IC03-01：總務作業(總務) 人事總務部、內勤各單位、外勤各據點 IC04-01：人員聘雇作業、IC04-02：員工訓練作業、IC04-03：請（休）假作業、IC04-04：考核及獎懲作業、IC04-05：離職、調遷、資遣及退休作業、IC04-06：薪資作業、IC04-07：職工福利作業 (其他各種業務) 人事總務部(內勤人事)、業務支援部(業務人事) IC05-01：出納收付款作業、IC05-02：佣金收支管理作業、IC05-03：開立銷貨發票作業、IC05-04：票據領用管理作業、IC05-05：零用金管理作業、IC05-06：財務報表編制作業(會計) 財務室 IC06-01：資料處理之控制(資訊) 資訊部、應用系統發展部 IC07-01：個人資料保密管理作業(個人資料保密) 內勤各單位，與外勤各據點 IC07-02：金融檢查報告管理作業(金融檢查) IC07-03：法令遵循作業(其他各種業務) 法令遵循人員、經營情報室 IC07-04：內控內稽管理作業(其他各種業務) 經營情報室

9 一、磐石內控制度之設計及執行–以保戶申訴作業為例 (1)
◎公會提供內控參考公版如下：

10 一、磐石內控制度之設計及執行–以保戶申訴作業為例 (2)
◎盤點作業依據之「法令規章、使用表單、控制重點，並修改作業程序」。 1.公司政策： 保戶申訴案件處理作業規範 2.作業流程： 保戶申訴案件處理流程

11 一、磐石內控制度之設計及執行–以保戶申訴作業為例 (3)
◎依公司實際作業情況，整理保戶申訴內控作業，並經董事會通過。

12 二、磐石內部控制自評 (1)自行檢查 一、磐石保經內部控制自行檢查表： ● 每年至少辦理一次定期自行查核 ● 至少留存五年備查
● 每年至少辦理一次定期自行查核 ● 至少留存五年備查 一、磐石保經內部控制自行檢查表： 1.明年起置入各單位年度計畫中，同步進行。

13 二、磐石內部控制自評 (2)改善/建議 二、磐石保經內部控制自行檢查之改善/建議表： 1.明年起置入各單位年度計畫中，同步進行。
● 每年至少辦理一次定期自行查核 ● 至少留存五年備查 二、磐石保經內部控制自行檢查之改善/建議表： 1.明年起置入各單位年度計畫中，同步進行。 2.配合風險事件通報機制，及蹤催機制，使經營階層知悉並持續監控各項作業風險!!

14 三、內部稽核之設置與執行–內部稽核手冊(1-10)
內部稽核手冊章節架構(1-2) 手冊章節 法令依據 重要內容摘錄 一、內部稽核之目的及依據 實施辦法§10 協助董事會及管理階層查核及評估內部控制制度是否有效運作，並適時提供改進建議，以確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據 二、內部稽核組織 實施辦法§12 ‧應置適任及適當人數之稽核人員，隸屬於董事會，負責稽核業務，其不得兼任與稽核工作有相互衝突或牽制之職務，並至少每年向公司董事會及監察人報告稽核業務 ‧稽核人員之委任、解任或調職，應經董事會通過，並以主管機關指定之方式申報，且建檔留存確認文件及紀錄 ‧公司應設置內部稽核人員之職務代理人 三、內部稽核職掌 實施辦法§13 至少應包含下列事項：一、現金出納、資產盤點及財務事務之查核。 二、招攬事務及其他業務之查核。三、人事及其他管理事務之查核。 四、負責主管機關派員檢查時之聯繫工作，並提供有關資料及協助檢查工作之進行。五、其他經主管機關指定之事項。 四、內部稽核人員應具備條件 實施辦法§14 積極條件 五、內部稽核人員應注意事項 實施辦法§15 稽核人員執行業務應避免事項 六、年度稽核計畫之作業流程 實施辦法§11 ‧應規劃內部稽核之組織、編制與職掌，並編撰內部稽核工作手冊 ‧內部稽核工作手冊內容至少應包括下列事項：一、年度稽核計畫之作業流程。二、對內部控制制度進行查核、評估，以衡量現行政策、程序之有效性、遵循程度，及其對各項營運活動之影響。三、釐訂稽核項目、時間、程序及方法。四、內部稽核報告之格式內容、處理及保存。 ‧應先督促各單位辦理自行查核，再由內部稽核人員覆核各單位之自行查核報告，併同內部稽核人員所發現之內部控制缺失及異常事項改善情形，以作為董事會、管理階層、稽核人員及法令遵循人員評估整體內部控制制度有效性及出具內部控制制度聲明書之依據

15 三、內部稽核之設置與執行–內部稽核手冊(2-10)
內部稽核手冊章節架構(2-2) 手冊章節 法令依據 重要內容 七、年度稽徵計畫之稽核項目、時間 實施辦法§13 至少應包含下列事項：一、現金出納、資產盤點及財務事務之查核。 二、招攬事務及其他業務之查核。三、人事及其他管理事務之查核。 四、負責主管機關派員檢查時之聯繫工作，並提供有關資料及協助檢查工作之進行。五、其他經主管機關指定之事項。 八、內部稽核報告 實施辦法§§18、19 ‧稽核人員辦理一般查核，其內部稽核報告內容應依受檢單位之性質，分別揭露下列項目：一、查核範圍、綜合評述、財務業務狀況、法令遵循、各項業務作業控制與內部管理、客戶資料保密管理、教育訓練、消費者權益保護措施及自行查核辦理情形，並加以評估。二、對發生重大違法、缺失或弊端之檢查意見及對失職人員之懲處建議。三、對主管機關、會計師、內部稽核人員與自行查核人員所提列之檢查意見或查核缺失事項，及內部控制制度聲明書所列應加強辦理改善事項之未改善情形。 ‧前項之內部稽核報告、工作底稿及相關資料應至少保存五年。 ‧年度稽核計畫應經董事會通過；修正時，亦同。 ‧有第一項第二款之情事者，稽核人員應於查明後函報主管機關。 ‧內部稽核人員對主管機關、會計師、內部稽核人員與自行查核所提列之檢查意見或查核缺失事項及內部控制制度聲明書所列應加強改善事項，應持續追蹤覆查，並將其追蹤考核改善辦理情形，以書面提報管理階層、董事會與監察人查閱，並應列為對各單位獎懲及績效考核之重要項目。 ‧內部稽核報告應交付各監察人查閱，並提董事會報告，另於每年會計年度終了後二個月內，將上年度內部稽核所見異常缺失，併同改善辦理情形彙 送主管機關。但查核發現重大違規或重大異常事項者，應於查核結束日起一個月內將內部稽核報告函送主管機關。 九、附件總表 (詳後述) N/A (一)內部稽核人員名冊(實施辦法§§12、14、15、16；經紀人管理規則§40-1III)、(二)稽核計畫總表(實施辦法§13)、(三)年度稽核計畫暨實際執行情形表、(四)內部稽核報告、(五)改正行動要求表(CAR)、(六)稽核缺失管制(追蹤)報告、(七)內部控制制度缺失及異常事項改善情形申報表、(八)內部控制制度聲明書

16 三、內部稽核之設置與執行-內部稽核手冊 (3-10)
九、附件總表： (一)內部稽核人員名冊 (實施辦法§§12、14、15、16；經紀人管理規則§40-1III) ‧內容舉例說明並非真實資料，格式僅供參考 ‧內容及用途：稽核人員之委任、解任或調職，應經董事會通過，並以主管機關指定之方式申報，且建檔留存確認文件及紀錄。

17 三、內部稽核之設置與執行-內部稽核手冊 (4-10)
九、附件總表： (二)稽核計畫總表(實施辦法§13) ‧內容為部分節錄 ‧內容及用途：內部稽核單位應根據風險評估結果擬訂稽核計畫，釐定每月應稽核之項目，據以檢查公司之內部控制制度。

18 三、內部稽核之設置與執行-內部稽核手冊 (5-10)
九、附件總表： (三)年度稽核計畫暨實際執行情形表 (內容為部分節錄) ‧內容及用途：1、本公司內部稽核單位於每年12月底前擬訂次一年度之稽核計畫，據以檢查及評估本公司各單位之內部控制制度，稽核計畫經董事會核准後實施。2、每年二月底之前將上一年度稽核計畫實際執行情形，包括所見異常現象及應行處理措施或改善計畫，呈董事長及董事會核閱，已完成改善之部份亦應一併陳明。

19 三、內部稽核之設置與執行 -內部稽核手冊(6-10) 九、附件總表： (四)內部稽核報告 ‧內容及用途：
1.『內部稽核報告』於稽核項目完成之次月底前交付監察人查閱。 2、內部稽核人員如發現重大違規情事或公司有受重大損害之虞時，應立即作成報告陳核，並通知監察人。

20 三、內部稽核之設置與執行 -內部稽核手冊 (7-10) 九、附件總表： (五)改正行動要求表（CAR） ‧內容及用途：
2、受稽核部門應於『改正行動要求表』中，擬定矯正措施、預計完成日期及預防措施，經受稽核部門主管簽認後，送稽核室備查；改善完成後亦須將改善成果送稽核室，以利進行改善追蹤。 3、內部稽核應就改善結果進行改善結果確認，若確定不符合事項已經改正，且經一段時間觀察，確定能防範再發生，則內部稽核人員於『改正行動要求表（CAR）』中簽核效果確認，並送監察人結案；若仍無法徹底改善不符合事項，亦應將確認效果送受稽核單位及監察人，且要求繼續回覆矯正措施。 4、內部稽核人員確認矯正預防結果無誤後，於『改正行動要求表』簽核結案。

21 三、內部稽核之設置與執行-內部稽核手冊 (8-10)
九、附件總表： (六)稽核缺失管制（追蹤）報告 ‧內容及用途： 內部稽核人員稽核藉由『稽核缺失管制（追蹤）報告』來管制稽核缺失改善情況，於稽核結束後呈報監察人及董事會。

22 三、內部稽核之設置與執行-內部稽核手冊 (9-10)
九、附件總表： (七)年度內部控制制度缺失及異常事項改善情形申報表 ‧內容及用途：每年會計年度終了後二個月內，將上年度內部稽核所見異常缺失，併同改善辦理情形彙送主管機關。但查核發現重大違規或重大異常事項者，應於查核結束日起一個月內將內部稽核報告函送主管機關。

23 三、內部稽核之設置與執行 -內部稽核手冊 (10-10) 九、附件總表： (八)內部控制制度聲明書 ‧內容及用途：
總經理應督導各單位審慎評估檢討內部控制制度之執行情形，由董事長、總經理、稽核人員及法令遵循人員聯名出具『內部控制制度聲明書』，並提報董事會通過，於每年四月底前，以主管機關指定之方式申報。

24 肆、會計師查核制度 (實施辦法§§24-27)： 伍、法令遵循制度 (實施辦法§28)
‧公司年度財務報表依規定或已辦理委由會計師辦理查核簽證時，應委託該會計師辦理內部控制制度之查核 ‧公司年度財務報表無須會計師辦理查核簽證者，主管機關於必要時得令公司委託會計師辦理其內部控制制度之專案查核 ‧公司委託會計師辦理第二十四條規定之查核，應於每年四月底前出具上一年度會計師查核報告函報主管機關或其指定機構 伍、法令遵循制度 (實施辦法§28) ‧依保險代理人管理規則或保險經紀人管理規則辦理。

25 舉例：個資法專案執行 個資政策 因應計劃 因應小組 風險管理計劃 工作排程 溝通計劃 個資管理辦法 個資專案監控計劃 溝通管理計劃
P D C A ‧政策 ‧計畫 ‧工作項目 ‧流程 ‧執行監控 ‧辦法修正 ‧持續改善 ‧持續監控 個資政策 因應計劃 因應小組 風險管理計劃 工作排程 溝通計劃 個資管理辦法 個資專案監控計劃 溝通管理計劃 變更管理計劃 盤點系統 單位自盤 個資清冊 認知宣導及訓練 個資安全RACI矩陣 風險登記冊 風險之應急計劃 風險之備用計劃 風險之權變對策 法令及政策告知 個資考試/政策簽署 個資管理小組 更新 實施風險監控 記錄、軌跡資料及證據保存 定期檢視相關政策定期檢討相關作法 定期辦理相關宣導 專案執行 2013/05/03 結案交接 持續運作

26 一、專案執行流程圖 初步範圍說明書 工作分解 工作分解詞彙表 工作排程表 溝通管理計劃

27 使公司同仁知悉個資法令規定，及公司有關政策與作業之調整
二、1.個資法教育訓練 使公司同仁知悉個資法令規定，及公司有關政策與作業之調整

28 二、2.個資法教育訓練統計 註、僅提供空白執行紀錄表單做為參考
二、2.個資法教育訓練統計 註、僅提供空白執行紀錄表單做為參考

29 三、個資盤點流程 各主管溝通 訊息公告 個資提報 個資編碼 個資描述 個資BIF 個資風險層級 個資清冊 個資因應策略

30 三、1.個資提報 ‧公司同仁填寫 ‧擁有哪些個人資料? ‧各項個資檔案類型為何?

31 三、2.個資提報統計 註、僅提供空白執行紀錄表單做為參考
三、2.個資提報統計 註、僅提供空白執行紀錄表單做為參考

32 三、3.個資描述 ‧描述個資來源、類別、使用目的等資訊 ‧指派個資管理人 ‧提出對各項個資的初步處理建議

33 三、4.個資風險評估 ‧評估各項個資發生風險之頻率與幅度 ‧設定各項風險發生時回應及處理模式 ‧各部門製訂個資風險清冊

34 四、政策/管理辦法制定 依法令及個資盤點結果訂定相關政策、辦法，明定個人資料保護制度 管理辦法 負責人 個人資料保護管理辦法 楊〇法
資料庫管理辦法 陳〇熙 資料庫異動管理辦法 資料庫申請作業管理辦法 個資外流暨個資客訴處理辦法 資訊作業委外管理辦法 周〇利 資訊安全事件處理辦法 應用系統上線管理辦法 宋〇翰 資訊系統委外開發辦法 資料庫備份管理辦法 據點辦公室網路管理辦法 桌面清空管理政策辦法 個人擁有個人資料保護管理政策辦法 電子郵件使用管理辦法 行動裝置使用管理辦法 員工上網管理辦法 帳號密碼管理辦法 政策 負責人 個資政策總則 楊〇法 隱私權政策 資訊安全政策 陳〇熙 電子資料交換政策 客戶資料調閱政策 系統安全技術規範 應用系統發展安全規範 資訊安全內部稽核政策 資訊設備使用規範 宋〇翰

35 五、個資宣導統計(專案期間) ~取相關時事案例針對不同人員進行發佈、宣導，共計44篇 日期 事件 內容 2012/9/18
個資法說明會(法務部、金管會保險局) 個資法令宣導 2012/12/27 個資時事-遊戲橘子：顧客分級管理，非必要個資減量蒐集 網路文章copy至 ，寄送給個資小組成員(含總經理、法令遵循人員、內部稽核人員) 2012/9/24 個資法令簡報(個資小組會議) 2013/1/3 保經商會轉發金管會及保險局公文：「法務部已建置「個人資料保護專區」網頁(網址： 公會來函宣導「法務部個資保護專區」：將 轉寄給個資小組成員(含總經理、法令遵循人員、內部稽核人員) 2012/10/4 保險公司「蒐集、處理及利用個人資料告知暨同意書」檢視 1.檢視表製作、2.保經主體載明之要求、3.金控關係企業共同行銷條款的排除 【個資法即時通】公務或非公務機關可否將員工資料提供予其他內部員工查詢使用？ 法務部個資保護專區資訊copy至 ，寄送給個資小組成員(含總經理、法令遵循人員、內部稽核人員) 2012/10/9 法令修正 「個人資料保護法之特定目的及個人資料之類別」修正條文 2013/1/16 【個資專業文章】屏東縣府個資外洩非故意？ 公務機關應找出法源、從流程思考 2012/10/19 保經公會個資問題調查回覆 保經業個資作業建議 【個資專業文章】管好紙本個資文件 從前、中、後端並進 2012/10/24 保經公會來文 1.告知個資法10/1上路。2.檢送「個資法」、「個人資料保護法施行細則」、與「個人資料保護法之特定目的及個人資料之類別」 2013/1/21 公司對所屬業務員個人資料之「蒐集、處理及利用個人資料告知暨同意書」 公會來函提供公司對所屬業務員個人資料之「蒐集、處理及利用個人資料告知暨同意書」：將 轉寄給個資小組成員(含總經理、法令遵循人員、內部稽核人員) 2012/10/31 個資時事：2012個資法企業因應現況大調查_ 網路新聞copy至Word檔，寄送給個資小組成員 2013/1/23 【個資專業文章】如何避免離職員工利用客戶個資？ 個資法訊息：2011/06/14保險法修法排除個資法之新聞彙報&分析 網路新聞copy至 ，並附上解析，寄送給個資小組成員 【個資時事】台灣個人資料保護被批矯枉過正 問政查稅都遇阻 網路新聞copy至 ，寄送給個資小組成員(含總經理、法令遵循人員、內部稽核人員) 2012/11/1 KPMG個資研討會 參考KPMG個資法研討會結論而增加當事人選擇問卷內容自由權 2013/1/28 【個資專業文章】PDCA：個資法中小企業必備準則 2012/11/5 全球人壽個資法說明會 檢陳 全球人壽【個資法宣導】及「網路推廣業務(MDS)」與「員工招募(HR)」使用之【告知暨同意書】予個資小組 【個資時事】個資法主管機關定案，各產業管理辦法3月底前應出爐 2012/11/6 客戶個資委外應注意事項(提供給個資小組) 1.資法施行細則第8條規定；2.KPMG委外合約上應注意之事項要點 2013/2/20 【個資專業文章】紙本個資防護做好了嗎？強化列印控管，做好個資法要求 網路文章copy至 ，寄送給磐石保經暨其子公司內外勤個資權責部門主管 (含總經理、法令遵循人員、內部稽核人員) 2012/11/8 專家傳真－新個資法上路 企業有3大法律義務 網路新聞copy至 ，寄送給個資小組成員(含總經理、法令遵循人員) 【個資時事】老闆公司門前貼員工解雇公告觸個資法起訴 網路新聞copy至 ，寄送給磐石金融服務集團內各公司經理人，與內、外勤及個資權責部門主管 個資時事：個資大綁辦案沒資料、善款發不出 2013/2/21 保經商會發文：請確實遵守個資法規定 個資法令宣導。下載非公務機關如何適用個資法，同保經商會公函，寄給個資小組成員 (含總經理、法令遵循人員、內部稽核人員) 2012/11/30 個資時事-個資法上路已破月 逾六成蒐集告知不清 2013/2/27 【個資時事】律師：Nokia百萬個資外洩案已可提告求償，恐成個資團訟首例 個資時事-「個資法上路，安石國際準備好了!!」(企業形象加分措施) 2013/3/4 【個資時事】個資法衝擊 南山人壽不做電話行銷了 2012/12/4 個資時事-法務部個人資料保護專區，請多加利用 法務部個資保護專區宣導，網址寄送給個資小組成員(含總經理、法令遵循人員) 【個資時事】金管會：南山撤電銷無關個資法 個人資料保護法宣導動畫 (教育部、法務部) 【個資時事】遵循個資法成本 學者：金管會應協助解決 2012/12/11 個資時事-個人資料保護法上路 企業人資當心了！ 2013/3/12 【個資時事】委外惹的禍!! 台灣Nokia外洩150萬筆個資 2012/12/12 保經商會發文-法務部個人資料保護法宣傳摺頁 法務部宣導資料，轉寄給個資小組成員，含法令遵循人員、內部稽核人員) 【個資時事】步上Nokia後塵 Zendesk用戶個資外洩 2012/12/17 蒐集個資受限保險業求解套 個資同意書包山包海問題多 現代保險健康+理財雜誌, 2012年12月號, NO.288, P.84~P.86。掃描轉寄給個資小組成員，及總經理、法令遵循人員、內部稽核人員) 【個資時事】知名手機業者個資外洩，良善因應程序可避免二次違法 中華數位提供事件因應建議 (企業對個資委外機構的管理措施，及對於個資外洩事件之緊急應變措施) 個資時事-運用個資遮罩，為重要個資穿上金鐘罩──既保護個資，也讓作業流程不打結 2013/4/17 【個資時事】硬是要學/ 個資外洩 廠商難逃個資法 個資時事-防範個資外洩：2012最新封鎖USB 13招 【個資時事】個資法修正 「同意」規定擬放寬

36 六、專案執行歷程 專案結案 個資法因應 個資管理 專案團隊解散 待辦事項交接 個資盤點 定期檢視 風險通報 專案小組正式啟動 先期教育訓練
個資政策/管理辦法擬定 個資提報 專案初步計劃 個資描述/單項風險表/個資清冊 考試命題、簽署政策匯整 個資考試、政策簽署 2012/ 10/17 09/26 10/03 09/18 12/26 2013/ 03/01 05/03 05/？ 持續推動、風險監控

37 七、個資法令遵循成本費用概算 457.5 1 專案企劃 5 2 專案會議 23 0.4 9.2 3 專案執行 32 1.2 38.4 4
序號 工作 數量 單次成本(萬) 總成本(萬) 說明 1 專案企劃 5 專案負責人花了近120小時訪談、溝通、規劃出相關專案企劃 2 專案會議 23 0.4 9.2 每次開會約6位主管參與，每次1.5小時 3 專案執行 32 1.2 38.4 從專案執行到結案經過32周，每周6位主管撥出4.5個小時，做為提報推動、政策制定 4 教育訓練 500 0.2 100 約500多位同仁需接受1~2個小時的教育訓練課程，花1個小時進行個資提報，花3個小時理解公司定的政策及管理辦法 外訓課程及研討會 1.3 29.9 參加23場次研討會，平均每次1人，平均每次5小時 6 考試贈品 1000 0.01 10 購買100元7-11禮券1000做為參加考試的贈品 7 ISO 27001自評 資訊部與系統部針對ISO27001控制項進行自評及討論 8 IBM APPSCAN 購買IBM APPSCAN做為系統開發後的黑箱檢測系統 9 Qradar 155 購買IBM Qradar做為系統log management使用；因為要執行Qradar又買了一台IBM的高階SERVER 457.5

38 你想要哪一種? 10%業務開發 90%內控成本 90%業務開發 10%內控成本

39 肆、結語 企業的核心價值在「人」 「徵員選才」更是企業內控中重點中的重點!!

40 3 Questions 個問題 內控 Internal Control 營收? 利益? 成本?

41 Q&A 謝謝指教， 歡迎提問交流。