Transcript 內部控制理論及觀念架構
政府內部控制 理論及觀念架構 行政院主計總處 黃叔娟 處長 2014年11月18日 報告大綱 前言 政府內部控制觀念架構 政府內部控制實務案例 強化內部控制之作法 機關內部控制種子人員角色 結語 1 前言 2 何謂內部控制? 「Final Destination 3」 如果你是這間店的老闆,… 3 短片 4 如果你是這間店的老闆,… 5 強化內部控制機制的重要性(1/2) 高雄氣爆事件 即時救援 平時檢查 災後重建 6 強化內部控制機制的重要性(2/2) 餿水油事件 7 外界要求強化內部控制機制(1/2) 我國政府機關本存有內部控制機制,透過施政管考、資訊 安全稽核、政風查核、政府採購稽核、人事考核、內部審 核及事務管理工作檢核等7項稽核評估職能執行稽核或評估, 惟缺乏針對機關業務進行稽核,致部分機關未有效控管時 有違失案件發生,如公立大學教授研究費詐領案及公立醫 院器官移植失誤案等。 8 外界要求強化內部控制機制(2/2) 審計部97、98年度中央政府總決算審核報告指出,部分機 關因內部控制機制未臻健全,間有施政效能不彰、投入鉅 資興建設施閒置浪費及未依法制執行預算等,致有重大弊 案陸續發生,顯示強化政府內部控制機制,以防杜違失, 實刻不容緩。 9 政府內部控制 觀念架構 10 內部控制與公共治理及風險管理之關係 內部控制為公共治理、風險管 理、廉政建設與政府效能之基 礎。 有完整的內部控制架構方能有 效管理風險,進而使治理機制 發揮功能,不僅能合理確保達 成施政目標,更有助於發揮興 利防弊功能。 公共治理 風險管理 內部控制 11 內部控制與風險管理之關係 內部控制包含在風險管理之內,係風險管理不可或缺的一部分。 風險管理自內部控制延伸,其涵蓋的範圍比內部控制廣泛,且著重風 險觀念。 資料來源:馬秀如教授講義 12 政府內部控制觀念架構 四項目標: ● ● ● ● 實現施政效能 遵循法令規定 保障資產安全 提供可靠資訊 五項要素: 1.控制環境:機關文化、內部控制認知 2.風險評估:辨識、分析與評量風險 3.控制作業:控制規範及程序 4.資訊與溝通:資訊編製、蒐集與傳達 5.監督作業:評估控制實況 職 控 制 環 境 風 險 評 估 控 制 作 業 資 訊 監 與 溝 督 作 通 業 營 運 部單能 組 位 織門 層 級 與內部 控制有關的 單位或業務 ~政府內部控制整體架構~ 機關各單位及職能,經整合五項組成要素,合理促使達成四項目標 13 政府內部控制的定義及觀念 何謂內部控制: 係由機關全體人員參與 →人人有責 為合理達成機關內部控制目標 →四項目標 共同設計、執行及維持的管理過程 →五項要素 高階主管 (尤其是 首長)對內部控制 制度的有效設計 、 執行及維持 , 負主 要責任 內部控制係一種管理 過程,幫助機關達成 四項目標 內部控制制度有其先 天限制,僅能合理促 使而非絕對保證目標 的達成 透過五項互有關聯 的組成要素,整合 機關內部各種控管 及評核措施,並逐 一檢視、評估內部 控制制度的有效性 14 目標、風險與內部控制 使命/願景 機關目標 單位目標 單位目標 單位目標 風險 風險 風險 風險 風險 風險 控制作業 控制作業 控制作業 控制作業 控制作業 控制作業 控制環境 風險評估 資訊與溝通 監督作業 15 政府內部控制 實務案例 16 內部控制興利案例 所得稅試算便民又經濟(1/3) 財政部為改善並提升稅務 服務品質,營造友善、便捷 且具效率之租稅環境,自 2011年起推行「綜合所得稅 結算申報稅額試算服務」, 主動提供納稅義務人稅額試 算資料及線上稅額試算服務 資訊系統。 17 (圖片來源: 財政部賦稅署) 所得稅試算便民又經濟(2/3) 主計總處以該試算服務為例,製作政府內部控制 宣導短片,提供各機關參考運用。 18 政府內部控制宣導短片 -報稅便民篇 19 所得稅試算便民又經濟(3/3) 透過主動提供綜合所得稅結算申報稅額試算服務,2012 年產出之適用案件數達總申報件數567萬件之56%, 服務採用率達63%,民眾滿意度達98%,2012年實施總 效益達節省新臺幣11億3,100萬元,扣除執行成本新臺 幣9,400萬元,淨效益達新臺幣10億3,700萬元。 20 (圖片來源: http://www.kanchen.com.tw) 內部控制缺失案例 給獎不實,偽造得獎名單(1/7) 101年12月間外界指出某機關辦理網路議 題調查、創意logo設計及願景徵文等三 項活動之得獎名單,民眾未報名參加, 名字卻出現在得獎名單中,且未領到獎 品;得獎名單並與○○大學某學年度入 學名單相同,質疑名單造假。經該機關 核對得獎者名單確有造假情事。 21 給獎不實,偽造得獎名單(2/7) 內部控制問題: 承辦人與廠商串謀舞弊及行政主管監督不周。 抽獎過程無資訊單位負責稽核,致廠商有機會灌入並 抽取造假名單。 得獎名單核定過程中未要求廠商提供得獎者原始資料 查對。 採購契約書中未訂定要求廠商於驗收時應檢附證明文 件。 22 給獎不實,偽造得獎名單(3/7) 改進作為: 控制環境:本案係該機關多年來委由廠商辦理活動之採購 案件,致使相關人員警覺性較低而疏於督導,應加強主管 督導考核責任,以確保辦理結果已達到原訂目標,並加強 採購專業訓練以提升專業能力及適任性。 風險評估:應評估各項勞務採購可能產生之風險及廠商履 約風險,於契約書中訂定相關驗收證明文件及履約保證金 等規定,以符實需。 23 給獎不實,偽造得獎名單(4/7) 改進作為: 控制作業: 設計標準作業程序時應考量職能分工及相關牽制機制。 加強競賽評審與贈獎作業程序之管控,於評審作業後確 認得獎名單之相關資料,請評審委員確認做成紀錄,避 免不當之誤植,並要求廠商檢附採購獎品之原始憑證影 本及獎品寄送證明文件,併同執行報告相關資料辦理請 款。 採購案件驗收作業,應依政府採購法規定程序辦理,如 作結算驗收證明書。 24 給獎不實,偽造得獎名單(5/7) 改進作為: 資訊與溝通:機關辦理網路抽獎活動,應由資訊單位或 人員針對抽獎資料庫異動歷程及紀錄進行稽核,以防止 人為灌入造假資料;抽獎程式如由廠商開發,應由機關 針對該程式進行檢視及測試,以確保符合隨機抽取之要 求。 25 給獎不實,偽造得獎名單(6/7) 改進作為: 監督: 需求單位應確實加強採購案件履約執行檢核,檢核之工 作項目應符合企劃書及契約等工作事項規定。 勞務採購案件之驗收程序,驗收單位於驗收時,應通知 監辦單位派員監辦,驗收紀錄文件應參照工程會範本設 置監驗人員欄位,俾利監驗單位辦理監驗。 26 給獎不實,偽造得獎名單(7/7) 改進作為: 已就網路抽獎活動之規劃、審查、得獎名單抽籤作業、獎 品購買及寄送等設計相關內部控制制度,並於2013年9月辦 理作業層級自行評估,評估結果皆符合,確認該項作業已 有效設計及執行。 已修訂勞務及財物採購業務及監辦分工表,明訂採購監辦 單位應辦理事項。 已檢討主管機關審議完成採購申訴案件至機關刊登政府採 購公報之時程落差,接獲審議判斷書即可逕行刊登政府採 購公報,以爭取時效,並以電子郵件通知機關全體同仁及 於內部網站公告。 27 強化內部控制 之作法 28 行政院內部控制之推動 具體作法 組成內部控制推動單位 訂頒內部控制相關規範 辦理內部控制宣導訓練 檢討強化內部控制作業 設計維持有效內控制度 檢查評估制度執行情形 逐級督導落實執行方案 試辦簽署內控聲明書 逐級分工 行政院內控小組 權責機關(含財政部、法務 部、科技部、行政院主計 總處、人事行政總處、國 家發展委員會及公共工程 委員會) 各部會 各機關 29 組成內部控制(含內部稽核)推動單位(1/2) 辦理內部控制 (含內部稽核) 作業宣導 備查內部控制 制度共通性作 業範例 諮詢審議依COSO理 論架構研訂之內部 控制相關規範 行政院 內控小組 審議主管機關提報 外部單位所提內控 缺失事項涉及跨部 會業務之權責分工 審議或備查主管機 關提報檢討現有內 控作業落實執行及 重大缺失改善情形 督導各主管機關落實 執行內部控制(含內 部稽核)工作及擇主 管機關進行訪查 30 組成內部控制(含內部稽核)推動單位(2/2) 辦理內部控制(含內 部稽核)作業宣導 主動與相關機關溝通 協調涉及跨部會業務 之內部控制缺失 會同所屬釐清監察 院及審計部所提內 部控制缺失 主管機關 督導所屬訂定內部控制 制度及內部稽核作業規 定 督導所屬落實執行 內部控制(含內部 稽核)工作 彙整內部控制(含內部 稽核)辦理情形,提報 跨部會之內部控制推動 及督導小組 31 各機關推動強化內部控制作業流程 組設內部控制小組及內 部稽核單位 辦理內部控制(含內部稽 核)教育訓練 檢討強化現有內部控制 作業,並就監察院及審 計部等所提內部控制缺 失案件積極檢討 辦理風險評估作業,據 以設計並維持有效內部 控制制度 依政府內部稽核應行 注意事項,擬訂稽核 計畫、辦理內部稽核 工作及出具稽核報告 依各機關內部控制制 度自行評估原則,擬 定自行評估計畫、辦 理自行評估作業 針對自行評估及內 部稽核(含稽核評 估職能)發現之缺 失事項及提出之具 體興革建議,連同 外部稽核所提內部 控制缺失案件等, 至少每半年追蹤其 改善及辦理情形。 涉及制度面缺失部 分,據以修正內部 控制制度,並定期 採滾動方式辦理風 險評估作業 32 檢討強化內部控制作業 各機關應賡續檢討強化現有內部控制作業,並就監察 院彈劾、糾正(舉)或提出其他調查意見之案件、審 計機關總決算審核報告重要審核意見、上級與權責機 關督導、機關辦理內部控制制度自行評估與內部稽核 與近期外界關注事項等,涉及內部控制缺失部分,積 極檢討。 33 設計(檢修)內部控制制度 機關檢修內部控制制度時,應檢視下列事項: 確認機關整體層級與作業層級目標。 從風險評估角度,辨識影響上開目標不能達成之內、外在風 險項目及分析其風險等級,並定期滾動檢討(請就前次風險 評估結果檢討其可容忍之風險是否仍維持可容忍之程度,以 及前次不可容忍之主要風險項目所採行之新增控制機制滾動 納入本次現有控制機制後一併檢討及評量其風險等級,決定 是否需採行其他新增控制機制因應該等風險)。 就不可容忍之風險項目(高風險或重要性業務),據以檢討修 正控制作業,以確保其有效性。 34 確認整體及作業層級目標 以中低收入老人生活津貼作業為例 整體層級目標 合理分配社會福利資源,加強弱勢基本生活 照顧,建構完善社會安全網 作業層級目標 加強低收入戶及中低收入生活照顧服務,保 障民眾基本生活需求 35 影響之敘述分類表 等 影響程 級 度 機關形象 主管補助業務經媒體 非常嚴 廣泛持續負面報導, 3 重 嚴重損及本處專業形 象及聲譽 主管補助業務經主要 媒體負面報導引發輿 2 嚴重 論討論,損及本處專 業形象及聲譽 主管補助業務經單一 或特定媒體刻意負面 1 輕微 報導,影響本處專業 形象及聲譽 目標達成 溢領補助金額 政策或計畫目標大 部分未能達成,遭 上一年度溢領補助 受外界質疑程度非 金額達50萬元以上 常嚴重 政策或計畫目標部 上一年度溢領補助 分未能達成,遭受 金額1萬元以上未 外界質疑程度嚴重 達50萬元 政策或計畫目標少 部分未能達成,遭 上一年度溢領補助 受外界質疑程度輕 金額未達1萬元 微 36 機率之敘述分類表 等級 發生機率分類 詳細描述 3 幾乎確定 在大部分的情況下可能會發 生 2 可能 有些情況下可能會發生 幾乎不可能 只會在特殊的情況下可能發 生 1 37 風險評估及處理表(第1期) 風險本質分析 風險項 目 受補助 人溢領 中低收 入老人 生活津 貼 … 風險情境 可能 性 (L) 影響 程度 (I) 風險 值 (R)= (L)x( I) 未確實執 行中低收 入老人生 活津貼審 核作業 … 現有風險 分析 現有控 制機制 2 3 6 人工 查比 補助 申請 料與 籍資 、財 資料 審核 否符 資格 … … … … 抽 對 人 資 戶 料 稅 , 是 合 可能性 (L) 影響 程度 (I) 風險值 (R)= (L)x(I) 新增控制 機制 2 2 4 使用社政 資訊系統 ,與戶役 政系統定 期連線校 正比對 … … … … 負 責 單 位 長 青 身 障 福 利 科 … 38 風險評估及處理表(第2期) 現有風險分析 風險項 目 風險情 境 現有控制 機制 … … … 受補助 人溢領 中低收 入老人 生活津 貼 未確實 執行中 低收入 老人生 活津貼 審核作 業 使用社政 資訊系統 ,與戶役 政系統定 期連線校 正比對 可能 性 (L) 影響 程度 (I) 風險 值 (R)= (L)x( I) … … … 2 納入上期新增控制機制以落實 風險評估滾動檢討 2 4 殘餘風險 分析 可能 性 (L) 影響 程度 (I) 風險 值 (R)= (L)x( I) … … … 新增控制機制 撥付津貼前, 媒體資料與其 他補助計畫比 對,控管並檢 視溢領津貼情 形 1 2 納入該作業項目之控制重點 予以控管 2 負 責 單 位 … 長 青 身 障 福 利 科 39 39 主要風險項目彙總表 單位名稱 風險代號 Z1 跨職能業務 主要風險項目 ZZ05 採購作業 … 長青身障福 利科 秘書室 … B1 … C1 控制作業項目代 號 溢發中低收入老人生 活津貼 … 出納業務控管疏漏 … … B01 B02 C01 … 40 40 風險圖像 影響程度 風險分布 非常嚴重(3) 嚴重(2) B2 輕微(1) C1 幾乎不可能(1) B1、Z1 可能(2) 發生機率 幾乎確定(3) 41 41 設計有效控制作業(1/3) 根據風險評估結果,應就超過風險容忍度之主要風險 項目,找出對應之相關業務項目,設計相關控制重點, 納入各項業務活動之作業流程,其中涉及共通性業務, 可參採各權責機關所定之共通性作業範例(如採購業 務、財產管理業務等)。 機關如已建置相關業務活動之作業流程(如SOP),則 可以該流程為基礎,再加入控制作業之設計,可大幅 減少設計內部控制制度之時間及成本。 42 設計有效控制作業(2/3) 以中低收入老人生活津貼作業為例 該作業程序 中已設計有 效之關鍵控 制重點 … 社政資訊系統與戶役 政系統定期連線校正 比對 長青身障福利科 受補助人 是否溢領 津貼 否 辦理補助款撥 款事宜 是 補助檔資料 每月媒體資料與其他補 助計畫比對 發文追繳溢領款項並限期繳回, 及建立溢領名單資料 長青身障福利科 長青身障福利科 補助檔資料 43 設計有效控制作業(3/3) 作業程序說明表 項目編號 B01 項目名稱 中低收入老人生活津貼作業 承辦單位 長青身障福利科 作業程序 說明 ......... 三、管制區公所於每月15日前完成受補助人資料登記。 四、每月16日至21日辦理戶役政系統連線及轉撥款檔。 五、抽查媒體資料檢視受補助戶是否受領其他補助。 ......... 控制重點 ......... 二、撥付津貼前,每月16日至21日辦理戶役政系統連線,透過媒體資料比對,控管並檢視 溢領津貼情形。 三、撥付津貼前,媒體資料與其他補助計畫比對,控管並檢視溢領津貼情形。 ......... 法令依據 一、老人福利法第12條第3項 二、中低收入老人生活津貼發給辦法 三、○○市中低收入老人生活津貼審核作業辦法 使用表單 社政系統之補助檔資料 44 評估整體內部控制制度有效程度 各機關應依內部控制制度自行評估結果、內部稽核報 告及內部控制缺失追蹤改善情形,並參考審計(監察) 等外部單位查核意見,作為評估整體內部控制制度有 效程度之主要依據。 評估整體內部控制制度有效程度 45 內部控制制度自行評估 (一)自行評估目的(效益) 內部控制監督機制第1道防線: 由各單位自行評估。 檢視機關整體作業,檢討現行法規與程序是否適當。 即時發現內部控制之缺失與問題,採取必要改正措施,防 止可能潛在不法情事發生。 促使機關所有人員能瞭解到自己在機關中所扮演的角色, 進而提升風險危機意識。 透過評估過程增進對內部控制的認知,並強化各單位與層 級間之溝通與合作。 對於內部控制制度之有效性提供驗證。 46 (二)自行評估架構 評估總表 (內部控制制度自行評估結果) 整 體 層 級 評估明細表 評估明細表 (控制環境) (風險評估) 作 業 層 級 自行評估表 評估明細表 評估明細表 評估明細表 (控制作業) (資訊與溝通) (監督) 自行評估 統計表 未符合項目 一覽表 47 (三)整合理論與實務 經參考2013年美國COSO新修正「內部控制-整合架 構」所列17項原則及其關注點,並研析實際發生之 內部控制違失案例、參酌政府機關特性及相關法令 等,訂定「各機關內部控制制度自行評估原則」, 將自行評估作業分整體及作業2個層級進行評估。 48 (圖片來源:http://jpdog.pixnet.net/blog) 1.借鏡實際違失案例 ○○局某清潔隊員藉由兼辦加班費等業務之便浮報加班 費時數,自2005年起至案發之2013年4月,共詐取公帑 約新台幣1,955萬元。 案情分析 該員同時兼辦加班費、負責核對點名紀錄表、加 班請示單及製作加班費印領清冊等業務。 影印偽造前開文件後浮報加班費時數。 製作不實加班費轉帳明細表等,以植入該員及其 親屬之金融機構帳號,送交金融機構劃帳。 主要內部控制問題為機關未落實職能分工,以致欠缺 複核機制。 49 2.整體層級自行評估 按內部控制5項組成要素訂定17項判斷參考項目(如附 件),以利各機關自整體層級評估其內部控制制度之有效 性。 其中判斷參考項目1.3,即是借鏡前開違失案例,依 COSO「內部控制-整合架構」中「控制環境」組成要素之 原則所訂定。 原則 關注點 判斷參考項目 管理階層在董事會監 定 義 、 分 派 1 . 3 機 關 內 部 高 風 險 業 務 是 否 有 明 督之下,建立達成各 及 限 制 權 限 確 職 能 分 工 及 制 衡 機 制 ? 例 如 : 項目標之結構、報導 與責任 出納與會計分工、機關承辦採 體系,以及適當權限 購單位之人員不得為所辦採購 與責任。 之主驗人或樣品及材料之檢驗 人。 50 3.作業層級自行評估 各機關依據其內部控制制度所訂之作業層級自行評估 表,針對各項作業評估控制重點設計及執行之有效性, 進而作為評估整體層級控制作業之參據。 經借鏡前開違失案例,製作「加班申請與費用核發作 業」跨職能整合範例,提供機關依風險評估結果納入 內部控制制度設計,並辦理作業層級自行評估(詳附錄 1)。 51 (圖片來源: http://www.dreamstime.com) (四)自行評估發現 1.作業層級自行評估 評估結果 某機關未建立審核加班人員時數及其金融機構帳號 正確性之控制作業,以確認是否有時數異常或非屬加班 人員帳號之情形,因此本項作業內部控制制度之設計未 能有效降低潛在風險。 改善措施 建議於申請單位提出加班費申請後,應由人事單位 審核加班時數是否逾規定時數,並與差勤系統資料比對, 另建立金融機構帳號之檢核機制,以符合COSO「內部控 制-整合架構」中「控制作業」組成要素之原則,方能有 效降低潛在風險。 52 (圖片來源: http://www.brightideasteaching.co.uk) 2.整體層級自行評估 評估結果 某機關人事費用業務分工表規定,由總務單位負責 核對加班時數之正確性並製作劃帳檔案送交金融機構, 與審核加班時數之正確性應由人事單位負責,而製作並 送交金融機構劃帳檔案為總務單位權責之規定不符。 改善措施 檢修機關之人事費用業務分工表,並函請各單位確 實依相關法令落實職能分工。 53 (圖片來源: http://www.intelligentphilanthropy.com/) 內部稽核 (一)內部稽核之目的 內部控制監督機制第2道防線: 由內部稽核專責單位或任務編組(包括由稽核評估職能及主 要核心或高風險業務單位人員組成)實施內部稽核。但稽核 評估職能單位已辦理之事項,得不重複納入稽核。 以客觀公正之觀點,協助機關檢查內部控制之實施狀況 ,並適時提供改善建議,以合理確保內部控制得以持續 有效運作,促使機關達成施政目標。 54 (二)「政府內部稽核應行注意事項」主要內容 各機關應成立內部稽核單位,以整合原有各項稽核評估 職能及其他業務之稽核,但業務屬性單純者得併由上級機 關統籌辦理。 各機關辦理稽核工作時,如稽核項目具有量化或非量化 績效目標,則應衡量稽核項目之資源使用是否具有效率、 業務或計畫執行是否達成預期目標等績效,強化業務層面 之稽核,促使機關達成施政目標。 針對內部控制缺失事項或具體興革建議,內部稽核單位 應彙整並追蹤其改善或辦理情形。 55 (三)內部稽核實例-資訊系統委外費用之合理性(1/3) 決定稽核項目:某機關因應業務e化之需要,委外開發 相關資訊系統,提供內部單位使用。鑒於目前各項業務對 資訊依存度甚高,相關資訊系統之建置經費占機關年度預 算資本支出比例高達35.6%以上,維護費用亦占業務費比 例達5.7%,將資訊系統委外費用之合理性,擇定為本次重 點稽核項目之一。 稽核工作分派:為避免稽核人員稽核目前服務單位或承 辦業務,採交叉稽核方式辦理,例如指派OO處副處長O OO、政風處專門委員OOO、會計處科長OOO及秘書 處專員OOO共同參與稽核。 56 (三)內部稽核實例-資訊系統委外費用之合理性(2/3) 稽核發現: 調閱5案資訊系統採購相關文件,其資訊系統委外採購價 格均依「機關委託資訊服務廠商評選及計費辦法」所列採 用「服務成本加公費法」之服務費用組成項目,並參考中 華民國資訊軟體協會公布「資訊委外服務人員計價參考要 點」所列計算方式,計算各類型資訊人員薪資水準。 比較本機關與他機關資訊系統費用之合理價格估算方式, 其中差異之處在於直接薪資、管理費用比例、公費及後續 年度維護費用比例等服務費用項目之計算方式各有不同所 致。 57 (三)內部稽核實例-資訊系統委外費用之合理性(3/3) 稽核結論: 1. 現行資訊系統委外維護費用之 費率雖以不高於前一年度為原 則,建議可依系統穩定度,採 逐年遞減方式。 2. 資訊系統委外費用合理價格之 估算過程中「投入人月」之估 算因子尚未建立參考準據。 建議意見: 1. 建議資訊處評估維護費用比 例採逐年遞減之可行性。 2. 為精進投入人月數量估算, 建議評估設計「投入人月數 量估算原則」之可行性。 3. 為增進政府機關資訊系統經 費編列之合理性,建議評估 資訊系統經費估算方式應用 於審查各機關資訊系統經費 之可行性。 58 (四)建立資訊整合平台以強化稽核功能(1/3) 政府機關每年編列龐大經費補(捐)助民間團體,惟民 間團體以同一計畫向多個機關重複申請補助情形時有所 聞,爰開發跨機關(構)之資訊整合平台,以強化補(捐) 助經費之內部控制機制。 機關在核定補(捐)助案件前,可透過前開整合平台查 詢民間團體是否有重複申請,或者申請金額合計超過計 畫所需總經費之情形,俾妥適配置政府有限資源。 59 (圖片來源: http://www.tomahawk.co.nz/the-buzz/) (四)建立資訊整合平台以強化稽核功能(2/3) 補(捐)助案件跨機關(構)跨職能資訊共享機制示意圖 總歸戶查詢模式 進行源頭管理與核銷稽核 批次登載 A機關受理與查詢 同ㄧ民間團體向多機 關提出申請 B機關受理與查詢 登載與查詢案件 登載案件 登載與查詢案件 民間團體申請及結報補(捐) 助案件跨機關查詢服務 查詢核銷狀態 C機關受理與查詢 登載與查詢案件 主計人員 60 (四)建立資訊整合平台以強化稽核功能(3/3) 該系統已於2014年初建置完成,目前進行系統測, 預計於2014年底正式上線供機關使用。 未來規劃增加補(捐)助異常之警示功能,或者產製 異常情形報表,以提供機關更為及時且有用之管理資 訊。 61 (圖片來源: http://blog.mindjet.com ) 試辦簽署內控聲明書 透過各機關首長簽署內控聲明書促使合理確認機關整 體內部控制制度之有效性,以落實課責。 內部控制制度聲明書(以下簡稱內控聲明書)依政府特性, 區分為「有效」、「部分有效」及「少部分有效」等3 種格式,由機關首長及副首長共同簽署(詳附錄2)。 62 (一)完成第一階段試辦 經擇定6個機關依下圖之流程完成試辦作業,該等機 關均已於2014年8月簽署「有效」類型之2013年度內控 聲明書,且公開揭露於各該機關網站。 擬定內部控制制度自行評估計畫 及內部稽核計畫 於2013年度終了日前完成內部控制 制度自行評估及內部稽核,並作成 自行評估結果及內部稽核報告 辦理內部控制制度自行評估及內 部稽核 於2014年8月底前,就2013年度內部控制制度自行評估及內部稽核所發現之 缺失,連同監察院等外部意見涉及內部控制缺失部分作成追蹤改善表,並 確認應揭露之重大缺失項目。 綜合判斷整體內部控制制度之有效程度,由機關首長及副首長簽署2013 年度內控聲明書。 63 (二)啟動第二階段試辦 經參考第一階段試辦計畫及推動經驗,業已研訂 「第二階段試辦簽署內部控制制度聲明書推動計 畫 」 , 擴 大 擇 定 16個 機 關 於 2 0 15 年 6月 底 前 簽署 2014年度之內控聲明書,以期發揮簽署內控聲明 書之實質效益。 64 機關內部控制 種子人員角色 65 加強宣導機關全體同仁內部控制觀念 「人」是內部控制成敗的關鍵,種子人員應透過教育訓練, 使同仁瞭解在內部控制應有的角色及責任,並反覆提醒同仁 正確內部控制觀念。 機關首長與高階主管對推動落實內部控制制度之重視及支持 至關重要,種子人員應適時提醒各單位主管以上人員以身作 則,將施政理念及行動風格導入正向。 種子人員實施教育訓練時,可透過機關實際案例互動研討或 帶領同仁實作演練,加強同仁對內部控制之瞭解。 (圖片來源:http://home.life.com.tw) 積極協助機關推動內部控制工作(1/2) 種子人員主動協助各單位設計有效內部控制制度、辦理自 行評估與內部稽核等工作,適時提供建議意見,並提醒各 單位應自我監督落實執行,以維持其制度有效性。 若機關發生內部控制與內部稽核小組幕僚單位業務分工等 爭議,種子人員主動協助橫向溝通協調,仍無法解決時, 應尋求上級長官裁決或提報會議討論。 種子人員執行內部控制或內部稽核工作之權責可透過機關 內部控制或內部稽核小組召集人裁決或會議決議賦予,以 利順利推行。 積極協助機關推動內部控制工作(2/2) 種子人員可建議針對機關內部單位執行內部控制成效良好 或主動發現內部控制缺失並經檢討改善有具體成效者,對 相關參與人員給予適當獎勵。 種子人員可建議機關組成內部控制或內部稽核工作圈,彼 此分享辦理內部控制或內部稽核之經驗或技巧,以提升專 業知能。 種子人員應協助機關同仁採滾動方式辦理風險評估,依評 估結果檢修內部控制制度,以因應內外在環境之變遷。 結語 69 設計以風險導向內部控制制度 各機關應針對各項施政作為於不同階段落實風險評估檢討 機制,並就不可容忍風險或重要性原則訂定相關管控措施 或控制作業,強化機關內部控制機制及因應潛在風險。 有效之內部控制制度仍需各機關積極推動,避免流於文書 形式,應真正內化於組織文化中,俾落實自主管理機制。 70 落實內部控制監督機制 各機關透過自行評估提出之改善措施或具體興革建議,由內 部控制小組督導各單位確實檢討改善,形成PDCA管理循環, 以有效發揮內部控制機制。 各機關應妥為規劃及執行內部稽核工作,確實檢查內部控制 之實施狀況,並適時提供改善建議,以合理確保內部控制得 以持續有效運作,俾使機關達成施政目標。 為改善各機關各項施政品質,應加強各機關重要業務或計畫 績效之稽核工作,協助提升施政效率與效果,以合理達成機 關施政目標。 輔導機關運用持續性監控及持續性稽核,以有效發揮監督功 能。 71 推動政府內部控制考評獎勵機制 為鼓勵各機關落實執行內部控制相關工作,研訂內部控 制考評及獎勵要點,給予執行成效良好機關適當獎勵。 針對受評機關採納具體興革建議並納入內部控制制度設 計情形,擇選重大績效案例供各機關進行標竿學習,以 強化內部控制之興利功能。 72 (圖片來源: http://www.les-coccinelles.fr) 試辦簽署內控聲明書 為提升機關首長對於內部控制之重視並強化自我課責, 推動試辦簽署內控聲明書,期促使各機關全體人員從上 到下強化內部控制觀念,針對缺失癥結澈底檢討改善, 讓內部控制相關工作更加落實推動。 73 附錄 74 附錄1:COSO內部控制-整合架構17項原則 與各機關內部控制制度整體層級有效性判斷參考項目對照表 各機關內部控制制度整體層級有效性判斷 參考項目 原則 關注點 指引 參考項目 機構展現對於誠信與道德 及時處理 1.1遵循公務倫理 機關針對違反公務員廉政倫 價值之承諾。 偏差行為 型塑廉政文化 理規範案件,是否建立及時 處理該偏差行為之機制? 董事會展現其獨立於管理 對內部控 1.2支持內部控制 機關是否定期召開內部控制 階層,並對內部控制之建 制制度進 督導工作執行 及內部稽核小組會議,督導 立與成效行使監督。 行監督 內部控制制度設計及執行情 形並落實會議決議? 管理階層在董事會監督之 定義、分 1.3授予權限責任 機關內部高風險業務是否有 落實職能分工 明確職能分工及制衡機制?例 控制 下,建立達成各項目標之 派及限制 結構、報導體系,以及適 權限與責 如:出納與會計分工、機關 環境 當權限與責任。 任 承辦採購單位之人員不得為 所辦採購之主驗人或樣品及 材料之檢驗人。 機構為配合目標而展現延 延攬、培 1.4培育訓練 人才 機關執行重要或高風險業務 攬、培育及留用適任人才 育及留用 落實職務輪調 人員是否皆已依內外部規定 之承諾。 人才 進行職務輪調? 機構要求各級人員在達成 評估績效 1.5落實考核獎懲 機關是否落實考核同仁工作 各項目標的過程中,應擔 及獎懲個 強化人事管理 績效,並覈實予以獎懲? 負其內部控制之責任。 別人員 75 內部控 制要素 COSO內部控制-整合架構17項原則 COSO內部控制-整合架構17項 各機關內部控制制度整體層級有效性判斷參考項目 原則 原則 關注點 指引 參考項目 機構具體指明適合目 營運目 2.1確認施政目標 機關是否依據公部門施政方針訂定 標,以辨識及評估與 標 辨識相關風險 其施政目標並召開會議以辨識施政 目標相關的風險。 目標無法達成之風險,且於內部控 制制度風險登錄表等表件,記錄主 要風險項目? 機構辨識達成其目標 決定如 2.2落實風險分析 機關是否分析風險,並於內部控制 之風險,並分析各項 何回應 決定回應方式 制度風險分析表及風險圖像等表件, 風險,以作為應如何 風險 記錄風險分析結果,俾就不可容忍 管理該等風險之基礎。 之風險決定因應對策? 控制 環境 機構評估達成目標之 考量各 2.3評估政風狀況 機關是否掌握可能涉及貪腐風險事 風險時,考量可能發 種舞弊 加強風險預防 件之動態資料,定期辦理廉政風險 生的舞弊。 類型 評估,並將評估結果簽報機關首長 或提報廉政會報? 機構辨識及評估可能 評估外 2.4因應重大改變 機關是否辨識法令規定、政策及或 對內部控制制度產生 部環境 滾動檢討風險 資訊系統產生重大改變之風險,並 重大影響之各項改變。 的改變 採滾動方式定期辦理風險評估作業 與製作風險評估及處理表等表件, 據以更新風險項目,以因應內部及 外部環境之改變? 內部控 制要素 76 內部控 制要素 控制 作業 資訊與 溝通 COSO內部控制-整合架構17項 原則 原則 關注點 機 構 選 擇 及 建 立 控 決定攸關 制 作 業 , 用 以 降 低 的業務流 達成目標之相關風 程 險至可接受水準。 機 構 選 擇 及 建 立 科 建立攸關 技之一般控制 作業 , 安全管理 以支持目標之 達成 。 過程的控 制作業 機 構 透 過 制 定 各 項 重新評估 政 策 與 程 序 , 以 建 政策與程 置其控制作業。政 序 策係指建立欲達成 之項目,程序則係 將政策付諸行動。 機 構 蒐 集 或 產 生 及 在整個處 使 用 攸 關 、 具 品 質 理過程中 資 訊 , 以 支 持 內 部 維持品質 控制之持續運作。 各機關內部控制制度整體層級有效性判斷參考項目 指引 參考項目 3.1落實控制作業 機關內部控制制度作業層級自行評 確保有效管控 估統計表是否顯示各項控制作業已 有效設計及執行,以利各項作業達 成其原訂目標? 3.2建立一般控制 機關發生資安事件時,是否落實資 強化安全管理 安事件通報作業? 3.3檢討內部程序 機關既定政策、目標及計畫等改變 更新控制作業 時,各單位是否據以檢討作業流程 各項控制重點之有效性及合理性, 該增減就增減、該簡化就簡化,並 檢討修正內部控制制度? 4.1確保資訊品質 機關資訊系統是否具備可用等特性, 支援管理決策 且產生之資訊符合機關需求,足以 支持內部控制持續運作? 77 COSO內部控制-整合架構17項 各機關內部控制制度整體層級有效性判斷參考項目 原則 原則 關注點 指引 參考項目 機構向內部溝通支持 溝通內 4.2建立內部溝通 機關對於涉及內部控制之資訊,是否 內部控制持續運作之 部控制 履行內控職責 皆已透過內部網站、公文、電子郵件、 必要資訊,包括內部 資訊 會議、訓練等方式向內部人員溝通, 資訊與 控制之目標與責任。 使其瞭解並履行其內部控制責任? 溝通 機構向外部人士溝通 向外部 4.3建立外部溝通 機關是否設有專責單位或人員負責處 影響內部控制持續運 人士溝 促進多方交流 理追蹤外界提出之意見,並針對執行 作之相關事項。 通 進度落後部分提報內部會議列管? 機構選擇、建立及執 客觀地 5.1落實監督機制 機關辦理內部稽核工作,是否依「政 行持續性及(或)個別 評估 強化內控制度 府內部稽核應行注意事項」採下列方 評估,以確定內部控 式辦理: 制各要素是否存在及 (1)稽核項目如具有量化或非量化績效 持續運作。 目標,是否依該規定第五點第七項 辦理? (2)稽核項目如未具有量化或非量化績 效目標,是否依該規定第五點第二 監督 項辦理? 機構評估並及時與負 監督改 5.2檢討追蹤缺失 機關針對當年度自行評估、內部稽核 責採取改正行動者溝 正行動 落實改善作為 連同公部門提出之內部控制缺失,是 通內部控制缺失;必 否提報相關會議審議並追蹤內部控制 要時,包含高階主管 缺失檢討改善情形?其中涉及制度面缺 及董事會。 失部分應由內部控制小組幕僚單位檢 討修正內部控制制度。 內部控 制要素 78 附錄2:試辦機關內部控制制度聲明書範例 【範例一】表示整體內部控制制度之設計及執行有效 (機關名稱) 內部控制制度聲明書 本機關民國○○○年度之內部控制制度,依據評估及稽核之結果,謹聲明如下: 一、本機關確知設計、執行及維持有效的內部控制制度係由機關全體人員共同參與,並已建立此一制 度,其目的係在對實現施政效能、遵循法令規定、保障資產安全及提供可靠資訊等目標之達成,提供 合理的確認,但不包括機關內部控制無法掌握之外部風險。 二、內部控制制度有其先天限制,不論設計如何完善,有效之內部控制制度僅能對相關目標之達成提 供合理的確認,另環境、情況之改變,內部控制制度之有效性亦可能隨之改變,惟本機關之內部控制 制度設有監督機制,針對內部控制缺失進行追蹤改善。 三、本機關依○○○年度之內部控制制度設計及執行情形辦理評估及稽核之結果,認為本機關於 ○○○年12月31日整體內部控制制度之設計及執行係屬有效,其能合理確保上述目標之達成。 四、本機關首長於○○○年○○月○○日就職,未就任前之○○○年度(1月至○○月)內部控制制度 係由前任首長○○○推動及督導相關工作。 機關首長: 內控(內稽)召集人: 簽署日期: 年 簽章 簽章 月 日 79 【範例二】表示整體內部控制制度之設計及執行部分有效 (機關名稱) 內部控制制度聲明書 本機關民國○○○年度之內部控制制度,依據評估及稽核之結果,謹聲明如下: 一、本機關確知設計、執行及維持有效的內部控制制度係由機關全體人員共同參與,並已建立此一制 度,其目的係在對實現施政效能、遵循法令規定、保障資產安全及提供可靠資訊等目標之達成,提供 合理的確認,但不包括機關內部控制無法掌握之外部風險。 二、內部控制制度有其先天限制,不論設計如何完善,有效之內部控制制度僅能對相關目標之達成提 供合理的確認,另環境、情況之改變,內部控制制度之有效性亦可能隨之改變,惟本機關之內部控制 制度設有監督機制,針對內部控制缺失進行追蹤改善。 三、本機關依○○○年度之內部控制制度設計及執行情形辦理評估及稽核之結果,認為本機關於 ○○○年12月31日整體內部控制制度之設計及執行係部分有效,尚能合理確保部分上述目標之達成。 四、本機關首長於○○○年○○月○○日就職,未就任前之○○○年度(1月至○○月)內部控制制度 係由前任首長○○○推動及督導相關工作。 機關首長: 內控(內稽)召集人: 簽署日期: 年 簽章 簽章 月 日 80 【範例三】表示整體內部控制制度之設計及執行少部分有效 (機關名稱) 內部控制制度聲明書 本機關民國○○○年度之內部控制制度,依據評估及稽核之結果,謹聲明如下: 一、本機關確知設計、執行及維持有效的內部控制制度係由機關全體人員共同參與,並已建立此一制 度,其目的係在對實現施政效能、遵循法令規定、保障資產安全及提供可靠資訊等目標之達成,提供 合理的確認,但不包括機關內部控制無法掌握之外部風險。 二、內部控制制度有其先天限制,不論設計如何完善,有效之內部控制制度僅能對相關目標之達成提 供合理的確認,另環境、情況之改變,內部控制制度之有效性亦可能隨之改變,惟本機關之內部控制 制度設有監督機制,針對內部控制缺失進行追蹤改善。 三、所發現之內部控制重大缺失(詳附表)嚴重影響本機關之運作,認為本機關於○○○年12月31日整 體內部控制制度之設計及執行僅少部分有效,尚難以合理確保上述目標之達成。 四、本機關首長於○○○年○○月○○日就職,未就任前之○○○年度(1月至○○月)內部控制制度 係由前任首長○○○推動及督導相關工作。 機關首長: 內控(內稽)召集人: 簽署日期: 年 簽章 簽章 月 日 81 【範例三】(機關名稱)內部控制重大缺失及其改善計畫 內部控制重大缺失說明 預計(已)採行之改善措 施 預定(完成)改善時間 82