設計篇 - 行政院主計總處

download report

Transcript 設計篇 - 行政院主計總處

教材範例
強化政府內部控制
設計篇
行政院內部控制
推動及督導小組
幕僚單位
更新日期:
100.11.16
報告大綱
前言
內部控制相關設計規範簡介
政府內部控制觀念架構簡介
內部控制制度設計原則簡介
結語
1
前 言
2
COSO組織
 COSO,係美國專門研究內部控制議題的民間組
織,由5個機構贊助成立。
美國財務主管協會
美國會計學會
美國會計師公會
美國管理會計學會
國際內部稽核協會
3
COSO內部控制架構之演進
1992年:內部控制─整體架構
資
訊
與
溝
通
控
制
環
境
監
督
控
制
作
業
內部控制包含
5項組成要素
風
險
評
估
2004年:企業風險管理─整合架構
2006年:財務報導的內部控制
─較小型公開發行公司指引
2009年:內部控制監督指引
4
1992年COSO內部控制—整體架構的適用
外國政府
美國、澳洲、瑞典等國
家及國際最高審計機關
組織(INTOSAI),採用此
架構並配合政府特性,
建立公部門內部控制相
關規制。
我國私部門
我國公開發行公司、金
融、銀行、保險與證券
期貨業及財團法人等內
部控制相關法令規定,
也依此訂立。
1992年COSO內部控制—整體架構,基本上可適用於
國內、外任何大小規模的公、私部門組織。
~我國政府內部控制觀念架構,亦奠基於此~
5
內部控制為管理過程的一部分
管理,涵蓋三構面
管理 = 規劃 +執行 +控制
目標
設定
(屬純規劃)
控制
環境
(屬內部
控制)
風險
評估
(含事項
辨認)
(屬內部
控制)
風險
回應
風險
回應
│
│
業務
活動
控制
作業
(屬純執
行)
(屬內部
控制)
資訊
與溝
通
(屬內部
控制)
內部控制,包括對規劃的控制及對執行的控制
內部控制 = 管理 - 純規劃 - 純執行
風險
回應
│
監督
(屬內部
控制)
風險
回應
│
改正
活動
(屬純
執行)
資料來源:
馬秀如教授講義
6
內部控制與風險管理之關係
─2004年COSO「企業風險管理─整合架構」
 內部控制包含在風險管理之內,係風險管理不可或缺的一
部分。
 風險管理自內部控制延伸,其涵蓋的範圍比內部控制廣泛,
且著重風險觀念。
資料來源:馬秀如教授講義
7
內部控制與內部控制制度之關係
內部控制:為了達成目標、降低風險,透
內部控制
內部控制
制度
過柔性(約定成俗)或剛性(內部控制能形
諸文字,並作成文件的部分)措施,加以
引導及約束
內部控制制度:為系統化、具體化的引
導及約束措施,採文件形式設計,俾供
核定且有助遵循執行
例如:要讓學生乖乖上課
培養其尊重學習環境的態度,即是內部控制
上課前喊「起立」、「敬禮」、「老師好」,屬內部控制之柔性措施
明定在上課公約,屬內部控制之剛性措施,亦是內部控制制度
需含括之文件
8
內部控制相關
設計規範簡介
9
內部控制相關設計規範關係圖
政府內部
控制觀念
架構
內部控制
制度設計
原則
健全內部
控制實施
方案
行政院推動內部控
制之原則性規範
各機關設計內部
控制制度之依據
內部控制制
度共通性作
業範例製作
原則
各機關設計內部
控制制度之參考
內部控制
制度設計
範例
各機關設計內部
控制制度之參考
各權責機關研訂內部控制制
度共通性作業範例之依據
10
內部控制相關設計規範簡介(1/5)
健全內部控制實施方案~
為行政院推動內部控制之上位原則性規範
強化內部控制機制為行政院當前重要政策,行政
院經參考COSO委員會所提「內部控制-整體架構
」及國際最高審計機關組織(INTOSAI)對於內部控
制的定義等,並兼顧政府機關特性,於「健全內
部控制實施方案」提出政府內部控制之4項目標。
該方案同時要求各機關組成內部控制推動單位,
辦理內部控制宣導訓練,檢討現有內部控制作業
,設計有效內部控制制度等多項具體作法,並採
逐級分工方式,推動政府內部控制各項工作。
11
內部控制相關設計規範簡介(2/5)
內部控制制度設計原則~
規範內部控制制度之主要內容及設計步驟
訂定目的:供各機關設計內部控制制度。
適用範圍:行政院所屬各機關(構)、學校。
設計範圍:涵蓋各項業務,包括個別性業務及
共通性業務項目。
12
內部控制相關設計規範簡介(3/5)
政府內部控制觀念架構~
建立內部控制整體架構,為強化內部控制制度之基礎
訂定目的:建立適合我國政府機關之內部控制整體
架構,供各機關瞭解內部控制定義,並
以該架構為基礎,設計內部控制制度。
訂定參據:參酌我國審計準則第48號公報及公開發
行公司內部控制法令規定暨先進國家規
制等。
13
內部控制相關設計規範簡介(4/5)
內部控制制度共通性作業範例製作原則~
供各權責機關研訂內部控制制度共通性作業範例
訂定目的:使各權責機關研訂作業明確及一致。
適用範圍:健全內部控制實施方案所列各權責機關
。
設計範圍:包括出納與財產管理、政風、主計、
人事、公共建設計畫編審、行政管考
與社會發展計畫編審、科技發展計畫
編審及政府採購等共通性業務項目。
14
內部控制相關設計規範簡介(5/5)
內部控制制度設計範例~
以資訊安全管理業務為例,說明設計步驟及結果
訂定目的:協助各機關設計內部控制制度。
適用範圍:行政院所屬各機關(構)、學校。
設計範圍:資訊安全管理業務項下之資訊安全事件
通報作業。
15
政府內部控制
觀念架構簡介
16
政府內部控制的定義及觀念
何謂內部控制:
係由機關全體人員參與
→人人有責
為合理達成機關內部控制目標
→四項目標
共同設計、執行及維持的管理過程
→五項要素
高 階 主 管 ( 尤 其
是首長)對內部控
制制度的有效設
計、執行及維持,
負主要責任
內部控制係一種管理
過程,幫助機關達成
四項目標
內部控制制度有其先
天限制,僅能合理促
使而非絕對保證目標
的達成
透過五項互有關聯
的組成要素,整合
機關內部各種控管
及評核措施,並逐
一檢視、評估內部
控制制度的有效性
17
政府內部控制整體架構圖(1/3)
四項目標:
提升施政效能
● 遵循法令規定
● 保障資產安全
● 提供可靠資訊
●
五項要素:
1.控制環境:機關文化、內部控制認知
2.風險評估:辨識、分析與評量風險
3.控制作業:控制規範及程序
4.資訊與溝通:資訊編製、蒐集與傳達
5.監督:評估內部控制制度有效性
監
資
督
訊 與 溝
通
控
制
作
業
風
險
評
估
控
制
環
境
與內部
控制有關的
單位或業務
~政府內部控制整體架構~
機關各單位及業務,經整合五項組成要素,合理促使達成四項目標
18
政府內部控制整體架構圖(2/3)
資 訊 與 溝 通
資
控
風
控
監
督
訊 與 溝
制 作
險 評
制 環
通
業
估
境
控 制
作 業
為達成四項目標
,單位或業務之
各類內部控制,
均須資訊。
控制作業之設計
及執行,係為落
實執行機關決策
,同樣與所有四
項目標都有關。
內部控制每一項要素適用於所有的目標類別
資料來源:COSO內部控制-整體架構報告
19
政府內部控制整體架構圖(3/3)
對提升施政效能目標
之達成,所有五項要
素都適用,而且也都
重要。
監
督
資 訊 與 溝 通
控 制 作 業
風 險 評 估
控 制 環 境
監督
資訊與溝通
控制作業
風險評估
控制環境
控制環境
1、代表單位A其與提
升施政效能目標相關
的控制環境。
2 、 內 部控制 議 題 ,
得以單一立體方塊為
基礎,進行分析探討。
內部控制每一項目標皆與五項要素有關
資料來源:COSO內部控制-整體架構報告
20
政府內部控制五項要素關係圖
控制環境係內部控制的基礎,位於金字塔底部
配合控制環境及已確認之目標,據以評估風險
針對風險有效設計及執行控制作業
充分溝通資訊,及時連貫與支援各項要素
監督評核各項要素,並追蹤改善情形
21
政府內部控制觀念架構之運用
1、運用觀念架構五項要素檢討內部控制缺失
• 運用內部控制五項要素觀念,分析內部控制缺失,並以五項
要素架構為基礎檢討改進缺失。
2、運用整體觀念架構設計內部控制制度
• 參考觀念架構,由機關內部各單位設計涵蓋內部控制五項要
素之內部控制制度,以合理達成四項內部控制目標,已發生
內部控制缺失部分,經檢討完成改善後,應納入內部控制制
度。
22
政府內部控制五項要素—控制環境
塑造機關文化及影響其人員對內部控制認知之綜合
因素,為其他四項組成要素之基礎。包括:
 公務職業操守與倫理價值觀念之建立及維持;
 首長與高階主管對內部控制制度之重視及支持
,確認目標且避免過量風險;
 組織架構及授權之適當明確;
控制環境
 人力資源管理(含進用、考核與獎懲);
資訊與溝通
 專業能力提升(含宣導訓練)。
風險評估
控制作業
監 督
23
控
制
環
境
運用觀念架構檢討控制缺失
以政府內部控制網站專區中,採購作業違失編號第11案為例
檢討策進作為:
 控制環境:立即撤換相關涉案人員;檢討所屬醫
院院長與副院長任期、考評、輪調與遴選之相關
規定;進行醫院管理委員會之改組,遴聘公共衛
生、醫療、管理、護理等領域專家學者及社會賢
達等25人擔任醫院管理委員會委員,有效發揮該
會功能;加強所屬醫院採購人員專業訓練,提升
採購人員專業能力。
24
政府內部控制五項要素—風險評估
辨識攸關之施政風險、分析風險之影響程度與發生
可能性,及評量對風險容忍度之過程,據以決定採
取控制作業或監督等方式,處理或回應相關風險。
包括:
風險辨識:辨識影響目標達成之風險因素;
風險分析:分析風險因素之影響程度及發生可能
性,綜合估計風險等級;
風險評量:評量對風險之容忍度並依據
風險等級,決定需優先處理之風險因素。
25
風
險
評
估
運用觀念架構檢討控制缺失
以政府內部控制網站專區中,採購作業違失編號第11案為例
檢討策進作為:
 風險評估:本案之主要風險來源為醫院與廠商之
關係,而所屬醫院院長可自行決定運作業務外包
採購事務,致使廠商有機會對醫事人員進行利益
輸送,嚴重影響醫療服務品質,並損及機關形象
。因此將廠商重利引誘及業務外包列為本案主要
風險項目。
26
政府內部控制五項要素—控制作業
為了合理促使機關達成目標、降低風險,且有助於
落實機關決策,所訂定之控制規範及程序。包括:
整體層級控制:對機關各單位多項業務有廣泛影
響之控管措施或控制規範。
作業層級控制:機關各單位經依個別業務之作業
層級目標,所評估風險之結果,秉持化繁為簡原
則,設計控制重點;配合業務調整及
整體層級
作業變動,適時檢討修訂。
作業層級
27
控
制
作
業
運用觀念架構檢討控制缺失
以政府內部控制網站專區中,採購作業違失編號第11案為例
檢討策進作為:

控制作業:檢討所屬醫院採購之權限與程序,訂頒該主
管機關對所屬醫院辦理重大採購案件應行注意事項,明
確規定所屬醫院辦理 500萬元以上 之儀器採購,以及
1,000萬元以上之財物、勞務、工程、業務外包、儀器租
賃或合作經營採購案件,於採購規劃階段均需函報該主
管機關,送請外部專家評估審查,並提交醫院管理委員
會審議通過,始得據以辦理。另針對採購各階段(如採
購決策、招標作業及履約管理)之關鍵作業事項,均訂
有嚴格而明確之規範,期以嚴謹之作業程序,防杜流弊
再度發生。
28
控
制
作
業
運用觀念架構檢討控制缺失
以政府內部控制網站專區中,採購作業違失編號第11案為例
檢討策進作為:
 控制作業:禁止醫療核心業務外包,並責由各醫
院成立委外業務管理小組,定期召開會議,執行
履約管理、品質監測,以及協調處理履約中之各
項疑義,並於每年辦理執行效益評估,作為契約
期滿之後,檢討是否繼續委外或收回自營之決策
依據;強化內部控制作業,加強底價建議分析,
嚴謹底價核定程序。
29
常見控制作業種類
控制重點釋例
•比較實際績效與預算及
前期績效。
•比較財務與非財務資訊。
•考核職能或作業績效。
•維護資產實體安全。
•授權存取資料檔案。
•定期盤點並與紀錄比較。
•交易之授權核准、記錄
及資產保管,分由不同
人員負責。
績效
考核
職能
分工
實體
控制
驗證
核對
‧符合相關法令及契約
規定。
•一般控制,如控管資訊系
統修改權限、網路安全。
•應用控制,如驗證、調節、
覆核及核對。
30
政府內部控制五項要素—資訊與溝通
適時有效編製或蒐集資訊,並傳達予相關人員,使
其有效履行職責或瞭解責任履行情形。包括:
 資訊:含財務及非財務資訊,可由內部產生或自外
部取得,供決策及監督之用。
 溝通:
 內部溝通:告知機關人員在內部控制所扮演之角
色及責任,並建立通報異常情事之管道,促使機
關上下或跨單位資訊充分傳達。
 外部溝通:依法對外部人士公開或提供資訊,對
外界意見及時處理及追蹤。
31
資
訊
與
溝
通
運用觀念架構檢討控制缺失
以政府內部控制網站專區中,採購作業違失編號第11案為例
檢討策進作為:
 資訊和溝通:加強資訊透明公開,主動公開醫療
業務外包情形,並且提供民眾意見反映管道;蒐
集公私立醫院之相關案件決標價格,建立醫療儀
器價格採購之資料庫,充分掌握價格資訊,避免
少數不當之人為操控;提供揭弊檢舉管道,揭發
弊端行為。
32
政府內部控制五項要素—監督
機關評估內部控制制度設計及執行成效之過程,藉
以適時修正改善內部控制制度。包括:
 例行監督:由各項業務承辦單位主管人員,經常執
行之督導作業。
 自行檢查:由機關內部各單位評估內部控制制
度設計及執行之有效性,並及時補救或改正,
且作成紀錄備供主管機關訪查及督導。
 稽核評估:統合或運用相關稽核評估職能,客觀檢
視內部控制制度設計及執行是否有效,並就發現之
缺失及相關建議,及時改善與追蹤
,必要時檢討修正內部控制制度。
33
監
督
運用觀念架構檢討違失案例
以政府內部控制網站專區中,採購作業違失編號第11案為例
檢討策進作為:

監督:成立所屬醫院體檢小組,進行全面性輔導及改造
;強化內部控制監督工作,加強監辦單位之審核,針對
辦理重大採購案件,醫院之會計及政風監辦單位應派員
實地監辦,如有發現違反相關法令之情事時,主動通知
政風單位瞭解查察;針對檢舉或篩選之異常案件加強稽
核作為;主動強化行政監督及稽查作為,涉及犯罪者皆
將積極配合檢調單位,展開各項偵查作業;督導所屬醫
院政風單位辦理醫院醫療儀器採購(合作)案件專案清
查。
34
內部控制制度
設計原則簡介
35
基本概念
考量原則:
√成本效益
衡酌因素:
√業務繁簡
√規模大小
√人員多寡
設計簡明有
效且具彈性,
並涵蓋各項
業務之內部
控制制度
參考要素:
√控制環境
√風險評估
√控制作業
√資訊與溝通
√監督
36
主要內容
資訊與溝通
整體層級目標及機關組織職掌
得以註明出
處或建立來
源連結之方
式辦理。
作業層級目標及機關組織圖
控制環境
機關分層負責明細表
風險評估
風險評估
控制作業
資
訊
檔案可採紙本、
電子或其他方
式儲存管理,
並建立整體目
錄索引,以進
行溝通。
控制作業
監督
監督
自行檢查之表件格式
得併入作業
流程中設計,
並納為內部
控制制度之
附件。
37
內部控制五項要素與設計步驟關係圖
控制環境
(含確認目標)
資
訊
與
溝
通
風
險
評
估
風險辨識
監
風險分析
督
風險評量
控制
作業
風
險
處
理
或
回
應
︵
不
含
純
規
劃
、
純
執
行
部
分
︶
38
依據風險評估結
果,及審視該業
務之重要性,決
定應納入內部控
制制度設計之業
務項目,共通性
業務部分得參採
共通性作業範例
辦理。
設計步驟
敘明該項業務之監督方
式,並訂定適用機關自
行檢查之表件格式。
針對選定業務項目,設
計控制重點。
參考行政院所屬各機關風險管
理及危機處理作業基準與作業
手冊之觀念、方法評估風險。
依據既有整體層級目標
確認作業層級目標 。
39
設計步驟
已發生內部控制
缺失之業務項目
,應立即修正或
設計控制重點。
40
設計步驟
以財政部為例
整體層級
目標
願景
以財政支援建設
(財政部)
以建設培養財政
作業層級
目標 次願景
(國庫署)
當國庫署視為
財政部業務單
位時。
精進財務管理
提昇財務效能
資料來源:財政部組織管理彙編
41
設計步驟
以財政部為例
整體層級
次願景
目標
當國庫署視
為獨立機關
時。
(國庫署)
作業層級
目標
工作
目標
(彩券管理業務)
精進財務管理
提昇財務效能
充實彩券盈餘
促進弱勢就業
運用創新思
維,增裕財
源
(公共建設財務規劃業務)
資料來源:財政部組織管理彙編
42
設計步驟
風險辨識
風
險
評
估
風險分析
風險評量
43
設計步驟
政府採購
業務項目
公告金額採購
作業類別
作業 作業
項目 項目
未達公告
金額採購
作業類別
作業 作業
項目 項目
同質採購
異質採購
小額採購
1、底價訂定
1、底價訂定
1、確認採購
需求
2、採購監辦
2、採購監辦
3、開標審標
3、開標審標
2、採購方式
3、驗收
44
控制類型
以控制的作用區分
預防性控制
偵測(查)性控制
改(矯)正性控制
設計步驟
以控制的時點區分
以控制的方式區分
預防性控制
人工控制
即時性控制
資訊系統控制
回饋性控制
• 一般控制
• 應用控制
指示性控制
補償性控制
45
設計步驟
所控制之作業流程
公開發行公司
政府(行政院)
• 對8大交易循環訂定
控制作業。
• 對13項管理作業訂定
控制作業。
• 對資訊處理部門之功
能及職責劃分等11項
訂定控制 作業。(使
用電腦化系統處理者)
• 對個別性業務設計控
制作業。
• 對10項共通性業務設
計控制作業。
46
控制重點簡介
設計步驟
職能分工:

重點在「分工」,主要目的在預防與及時發現在執
行所分派職務時產生之錯誤或舞弊行為,是一項基
本而且重要的控制活動。
常見的職能分工控制如下:
資產保管人員與會計人員分開。
交易授權與資產的保管分開。
營運責任與資料處理責任分開。
系統分析師、程式設計師不能兼辦資料輸入或
電腦操作。
47
控制重點簡介
設計步驟
與計畫、預算或前期績效之分析比較:
通常與覆核相結合,主要運用在高階主管對
於機關內部各單位計畫與預算之管控,因為計畫
和預算本身即可作為衡量標準,因此所採取的補
救動作與追蹤措施,即為一種控制作業。
 常見的與計畫、預算或前期績效之分析比較控制如
下:
比較本期與上期計畫及預算資訊。
比較財務資訊與非財務資訊。
比較計畫、預算間之關係。
48
控制重點簡介
設計步驟
驗證及紀錄核對:

驗證本身為一種證實的動作,將事項有關資
訊加以紀錄核對,並加以驗證,即為一種控制作
業,適當的憑證及紀錄係達成健全內部控制實施
方案「提供可靠資訊」目標的基礎。
常見的驗證及紀錄核對控制如下:
對收入事項的驗證及紀錄核對。
對支出事項的驗證及紀錄核對。
對非財務事項的驗證及紀錄核對。
49
控制重點簡介
設計步驟
實體控制及定期盤點:

實體控制主要係保護不動產、動產、有價證券、
現金等,及已印妥但未使用之重要表單及其他重
要紀錄的安全設施與防衛方法,定期盤點亦能達
成保護上開資產的目標。
常見的實體控制及定期盤點控制如下:
存入銀行、保險箱或雇用警衛看守。
藉由抵押權或其他權利設定以確保債權。
定期對現金及固定資產進行盤點及抽查。
50
設計步驟

標準作業流程(SOP)與控制作業之差異
除說明作業流程外,
並無控制作業。
51
設計步驟

標準作業流程(SOP)與控制作業之差異
除說明作業流程外,
並無控制作業。
52
設計步驟

標準作業流程(SOP)與控制作業之差異
除說明作業流程外,
有明確之控制作業。
除說明作業流程外,有
明確之控制作業。
53
監督機制
設計步驟
1、例行監督
• 例行業務督導作業
2、自行檢查
• 整體層級自行檢查-內容參考「政府內部控制觀念架構」
• 作業層級自行檢查-格式參考「內部控制制度共通性作
業範例製作原則」
3、稽核評估
• 行政管考
• 人事考核
‧政府採購稽核
‧事務管理工作檢核
• 政風查核
‧內部審核
54
設計步驟
整體層級與作業層級自行檢查
整體層級自行檢查
作業層級自行檢查
• 按內部控制五項組成
要素,逐一檢視、評
估機關整體內部控制
制度之有效性。
• 「控制作業」一項,
並應納入作業層級自
行檢查辦理。
• 就各項業務之作業類
別(項目),逐一檢視、
評估控制作業之有效
性,其中控制重點之
設計及執行,為檢查
之主要重點。
55
設計步驟
控制重點加「是否」文字直接
轉換為檢查重點
作業程序說明表
作業程序說明表
• 項目編號
• 項目名稱
• 承辦單位
作業層級自行檢查表
• 檢查重點
• 作業程序說明
• 控制重點
• 法令依據
• 使用表
56
政府內部控制制度之限制
─合理促使而非「絕對保證」達成目標
成本效益之考量
要求絕對保證達成目標,其成本可能超過所能產生的效益
情況變遷複雜性
正常環境或一般事項之控制,難因應環境變遷或特殊事項
人性面先天限制
人為疏忽或誤解規定
串通舞弊或蓄意偽造
高階主管逾越制度
遵循制度日久鬆懈
57
結 語
58
結
語
控制作業非作業流程

控制作業可整合至作業流程中,以幫助各機關業務活動達
成其目標,惟控制作業與作業流程(如SOP)並不相同,在
設計內部控制制度前應先釐清兩者差異,如各機關已建置
相關業務活動之作業流程(如SOP),則可以該流程為基礎,
再加入控制作業之設計,可大幅減少設計內部控制制度之
時間及成本。
內部控制制度同時兼顧興利及防弊

各機關內部控制制度除減少錯誤或舞弊之情事外,針對既
有之控制作業,如有設置過多以致影響機關運作效能的情
事,亦可透過自行檢查機制加以檢討修正,以提高機關業
務效能。
59
感謝您
的聆聽
敬請指教
60