內控設計(參考)

Download Report

Transcript 內控設計(參考) 

政府內部控制種子教師研習班第3期
內部控制制度設計原則
行政院主計處視察室
陳分析師志良
100年12月15日
報告大綱
前言
行政院之推動作法
內部控制制度設計原則簡介
內部控制制度設計注意事項
結語
1
前言
2
COSO組織
 COSO,係美國專門研究內部控制議題的民間組
織,由5個機構贊助成立。
美國財務主管協會
美國會計學會
美國會計師公會
美國管理會計學會
國際內部稽核協會
3
COSO內部控制架構之演進
1992年:內部控制─整體架構
資
訊
與
溝
通
控
制
環
境
監
督
控
制
作
業
內部控制包含
5項組成要素
風
險
評
估
2004年:企業風險管理─整合架構
2006年:財務報導的內部控制
─較小型公開發行公司指引
2009年:內部控制監督指引
4
1992年COSO內部控制—整體架構的適用
外國政府
美國、澳洲、瑞典等國
家及國際最高審計機關
組織(INTOSAI),採用此
架構並配合政府特性,
建立公部門內部控制相
關規制。
我國私部門
我國公開發行公司、金
融、銀行、保險與證券
期貨業及財團法人等內
部控制相關法令規定,
也依此訂立。
1992年COSO內部控制—整體架構,基本上可適用於
國內、外任何大小規模的公、私部門組織。
~我國政府內部控制觀念架構,亦奠基於此~
5
內部控制為管理過程的一部分
管理,涵蓋三構面
管理 = 規劃 +執行 +控制
目標
設定
(屬純規劃)
控制
環境
(屬內部
控制)
風險
評估
(含事項
辨認)
(屬內部
控制)
風險
回應
風險
回應
│
│
業務
活動
控制
作業
(屬純執
行)
(屬內部
控制)
資訊
與溝
通
(屬內部
控制)
內部控制,包括對規劃的控制及對執行的控制
內部控制 = 管理 - 純規劃 - 純執行
風險
回應
│
監督
(屬內部
控制)
風險
回應
│
改正
活動
(屬純
執行)
資料來源:
馬秀如教授講義
6
內部控制與風險管理之關係
─2004年COSO「企業風險管理─整合架構」
 內部控制包含在風險管理之內,係風險管理不可或缺的一
部分。
 風險管理自內部控制延伸,其涵蓋的範圍比內部控制廣泛,
且著重風險觀念。
資料來源:馬秀如教授講義
7
內部控制與內部控制制度之關係
內部控制:為了達成目標、降低風險,透
內部控制
內部控制
制度
過柔性(約定成俗)或剛性(內部控制能形
諸文字,並作成文件的部分)措施,加以
引導及約束
內部控制制度:為系統化、具體化的引
導及約束措施,採文件形式設計,俾供
核定且有助遵循執行
例如:要讓學生乖乖上課
培養其尊重學習環境的態度,即是內部控制
上課前喊「起立」、「敬禮」、「老師好」,屬內部控制之柔性措施
明定在上課公約,屬內部控制之剛性措施,亦是內部控制制度
需含括之文件
8
行政院之
推動作法
9
內部控制推動單位
行政院內控小組之組織圖
召集人
行政院秘書長兼任
副召集人
行政院主計長兼任
委 員 委 員 委 員 委 員 委 員 委 員 委 員 委 員 委 員
財政部 法務部 人事局 經建會 研考會 國科會 工程會 金管會 法規會
部長 部長
局長
主委
主委
主委
主委
主委 主委
由行政院秘書長召集相關機關(單位)首長組成。
10
實施策略及方法
推動作法
逐級分工
 行政院內控小組






組成內部控制推動單位
辦理內部控制宣導訓練
檢討現有內部控制作業
設計有效內部控制制度
檢查評估制度執行情形
逐級督導落實執行方案
 權責機關(含財政部、
法務部、行政院主計處、
人事行政局、經濟建設委
員會、研究發展考核委員
會、國家科學委員會及公
共工程委員會)
 主管機關
 各機關
11
政府內部控制相關規範
 100.02.01健全內部控制實施方案
 100.03.09各機關辦理健全內部控制實施方案100年
度重點工作
 100.04.19一百年度擇定主管機關提報內部控制作
業落實執行情形原則
 100.04.19內部控制制度共通性作業範例製作原則
 100.05.27辦理內部控制宣導及教育訓練應行注意
事項
 100.07.04內部控制制度設計原則
12
取得政府內部控制資訊

將行政院內部控制推動及督導小組會議紀錄、內部控
制相關規定、違失案例、宣導教材範例及教育訓練資
訊等,登載於行政院主計處網站內部控制專區,供各
機關參用。
http://www.dgbas.gov.tw
13
內部控制制度
設計原則簡介
14
基本概念
衡酌因素:
√業務繁簡
√規模大小
√人員多寡
考量原則:
√成本效益
√重要性
√風險性
設計簡明有
效且具彈性,
並涵蓋各項
業務之內部
控制制度
參考要素:
√控制環境
√風險評估
√控制作業
√資訊與溝通
√監督
15
主要內容
資訊與溝通
整體層級目標及機關組織職掌
得以註明出
處或建立來
源連結之方
式辦理。
作業層級目標及機關組織圖
控制環境
機關分層負責明細表
風險評估
風險評估
控制作業
資
訊
檔案可採紙本、
電子或其他方
式儲存管理,
並建立整體目
錄索引,以進
行溝通。
控制作業
監督
監督
自行檢查之表件格式
得併入作業
流程中設計,
並納為內部
控制制度之
附件。
16
依據風險評估結
果,及審視該業
務之重要性,決
定應納入內部控
制制度設計之業
務項目,共通性
業務部分得參採
共通性作業範例
辦理。
設計步驟
敘明該項業務之監督方
式,並訂定適用機關自
行檢查之表件格式。
針對選定業務項目,設
計控制重點。
參考行政院所屬各機關風險管
理及危機處理作業基準與作業
手冊之觀念、方法評估風險。
依據既有整體層級目標
確認作業層級目標 。
17
設計步驟
已發生內部控制
缺失之業務項目
,應立即修正或
設計控制重點。
18
設計步驟
以財政部為例
整體層級
目標
願景
以財政支援建設
(財政部)
以建設培養財政
作業層級
目標 次願景
(國庫署)
當國庫署視為
財政部業務單
位時。
精進財務管理
提昇財務效能
資料來源:財政部組織管理彙編
19
設計步驟
以財政部為例
整體層級
次願景
目標
當國庫署視
為獨立機關
時。
(國庫署)
作業層級
目標
精進財務管理
提昇財務效能
工作
目標
充實彩券盈餘
促進弱勢就業
運用創新思維,
增裕財源
(彩券管理業務)
(公共建設財務規劃業務)
資料來源:財政部組織管理彙編
20
設計步驟
風險辨識
風
險
評
估
風險分析
風險評量
21
設計步驟
政府採購
業務項目
公告金額採購
作業類別
作業 作業
項目 項目
未達公告
金額採購
作業類別
作業 作業
項目 項目
同質採購
異質採購
小額採購
1、底價訂定
1、底價訂定
1、確認採購
需求
2、採購監辦
2、採購監辦
3、開標審標
3、開標審標
2、採購方式
3、驗收
22
設計步驟
所控制之作業流程
公開發行公司
政府(行政院)
• 對8大交易循環訂定
控制作業。
• 對13項管理作業訂定
控制作業。
• 對資訊處理部門之功
能及職責劃分等11項
訂定控制 作業。(使
用電腦化系統處理者)
• 對個別性業務設計控
制作業。
• 對11項共通性業務設
計控制作業。
23
設計步驟
•比較實際績效與預算及前
期績效。
•比較財務與非財務資訊。
•考核職能或作業績效。
•維護資產實體安全。
•授權存取資料檔案。
•定期盤點並與紀錄比較。
•交 易 之授 權 核 准 、 記 錄
及資產保管,分由不同
人員負責。
績效
考核
職能
分工
實體
控制
驗證
核對
•一般控制,如控管資訊系
統修改權限、網路安全。
•應用控制,如驗證、調節、
覆核及核對。
各機關應針對已發生內部控制設計缺失之業務項目,立即修正應有之控制重點
24
控制類型
以控制的作用區分
預防性控制
偵測(查)性控制
改(矯)正性控制
設計步驟
以控制的時點區分
以控制的方式區分
預防性控制
人工控制
即時性控制
資訊系統控制
回饋性控制
• 一般控制
• 應用控制
指示性控制
補償性控制
25
監督機制
設計步驟
1、例行監督
• 例行業務督導作業
2、自行檢查
• 整體層級自行檢查-內容參考「政府內部控制觀念架構」
• 作業層級自行檢查-格式參考「內部控制制度共通性作
業範例製作原則」
3、稽核評估
• 行政管考
• 人事考核
• 政風查核
‧政府採購稽核
‧事務管理工作檢核
‧內部審核
26
設計步驟
整體層級與作業層級自行檢查
整體層級自行檢查
作業層級自行檢查
• 按內部控制五項組成
要素,逐一檢視、評
估機關整體內部控制
制度之有效性。
• 「控制作業」一項,
並應納入作業層級自
行檢查辦理。
• 就各項業務之作業類
別(項目),逐一檢視、
評估控制作業之有效
性,其中控制重點之
設計及執行,為檢查
之主要重點。
27
設計步驟
控制重點加「是否」文字直接
轉換為檢查重點
作業程序說明表
作業程序說明表
•
•
•
•
•
•
•
項目編號
項目名稱
承辦單位
作業程序說明
控制重點
法令依據
使用表
作業層級自行檢查表
• 檢查重點
28
政府內部控制制度之限制
─合理促使而非「絕對保證」達成目標
成本效益之考量
要求絕對保證達成目標,其成本可能超過所能產生的效益
情況變遷複雜性
正常環境或一般事項之控制,難因應環境變遷或特殊事項
人性面先天限制
人為疏忽或誤解規定
串通舞弊或蓄意偽造
高階主管逾越制度
遵循制度日久鬆懈
29
內部控制制度
設計注意事項
30
注意事項
一. 優先納入內部控制制度之作業項目
 經風險評估,屬高風險性業務。
 屬重要性業務。
 曾發生之內部控制缺失,包括監察院糾正案
件、審計部建議改善事項、外界關注事項及督
導各機關或各機關自行檢查發現等。
31
注意事項
二. 內部控制制度同時兼顧興利及防弊
 各機關內部控制制度除減少錯誤或舞弊之情事
外,針對既有之控制作業,如有設置過多以致
影響機關運作效能的情事,亦可透過自行檢查
機制加以檢討修正,以提高機關業務效能。
vs.
32
內部控制制度同時兼顧興利及防弊
 以「內政部社會福利服務補助作業」為例
社會福利服務為政府之重要政策,為有效提升社會
福利服務補助款執行績效,應著重源頭管理,以降
低控制成本。
 內政部應再強化補助作業要點效益面規範,以及加
強社會福利補助經費核銷訓練,讓社福團體了解政
府核銷之作法及流程,以期社會福利補助經費發揮
最大效能。

33
注意事項
三. 控制作業非作業流程
 控制作業可整合至作業流程中,以幫助機關業務
活動達成其目標,惟控制作業與作業流程(如SOP)
並不相同,在設計內部控制制度前應先釐清兩者
差異。
 機關如已建置相關業務活動之作業流程(如SOP),
則可以該流程為基礎,再加入控制作業之設計,
可大幅減少設計內部控制制度之時間及成本。
34
控制作業非作業流程

標準作業流程(SOP)與控制作業之差異
除說明作業流程外,
並無控制作業。
35
控制作業非作業流程

標準作業流程(SOP)與控制作業之差異
除說明作業流程外,
並無控制作業。
36
控制作業非作業流程

標準作業流程(SOP)與控制作業之差異
除說明作業流程外,
有明確之控制作業。
除說明作業流程外,有
明確之控制作業。
37
注意事項
四. 撰寫作業程序說明表應注意事項
承辦單位欄:若以職能別(單位別)設計作業程序,則
本欄應明確表達負責此項作業之單位。
 作業程序說明欄:應列明詳細步驟、作業時程、重要
經驗、注意事項等。
 控制重點欄:應列明不可遺漏之程序、步驟或應予特
別重視之作業或法令規定等重要環節。
 對於關鍵性及重要性之程序或文字可以「加底線」或
「文字加粗」之方式標明

38
撰寫作業程序說明表應行注意事項
•第1碼:延續共通性作業代號
•第2碼:為內部製作單位代號,
後兩碼:為流水編號
項目編號 KD03
項目名稱 資訊安全事件通報
承辦單位 業務組D
作業程序 一 業務承辦人員自行發現,或接獲通報資安事件或異常事件時,應填寫「資訊
說明
設備或系統異常狀況處理紀錄表」,並通報權責單位資安聯絡人。(參考資訊
安全聯絡人員名冊)
二 資安聯絡人接獲通知後,應與業務相關人員共同判斷是否為資訊安全事件。
(參考資訊安全事件管理程序書之資安事件等級說明)
三 若為資訊安全事件,資安聯絡人應依狀況評估事件影響等級,並填寫「資訊
安全事件通報單」後通報機關資安負責人。
四 資安負責人於收到「資訊安全事件通報單」後,依狀況確認事件影響等級,
並陳資訊安全推動小組執行秘書複核後依程序進行通報。
(一)對內通報
各級資安事件均應通報至執行秘書,並通知權責人員進行事件處理;若為
第4級則另須通報至資訊安全推動 小組召集人。
(二)對外通報
若影響等級為4級或由外部單位反應之資安事件,由資訊安全推動小組召集人判
斷,決定是否向國家資通安全會報通報。
詳細步驟
作業時程
重要經驗
注意事項
39
撰寫作業程序說明表應行注意事項
控制重點
記錄與通知:業務承辦人員應填寫「資訊設備或系統異常狀況處理紀錄表」,
並立即通知權責單位資安聯絡人。
二 判斷資安事件:資安聯絡人應與業務相關人員共同判斷是否為資訊安全事件,
並做先期處置。
三 通報資安負責人:資安聯絡人評估資安等級,並填寫「資 訊安全事件通報
單」,(依規定時限內)通報機關資安負責人,由資安負責人確認後陳資訊安
全推動小組執行秘書複核。
四 通報管理階層:
各級資安事件均應通報至執行秘書,第4級另應(依規定時限內)通報至資訊安全
推動小組召集人,由其決定是否向國家資通安全會 報通報。
一
法令依據 資訊安全事件管理程序書
使用表單 資訊安全聯絡人員名冊
資訊設備或系統異常狀況處理紀錄表
資訊安全事件通報單
資訊安全推動小組組織圖
不可遺漏之程序
不可遺漏之步驟
應予特別重視之作業
法令規定
40
注意事項
五. 繪製作業流程圖應注意事項

作業程序說明表為主,作業流程圖為輔,作業流
程簡單者,可不另繪製流程圖。
繪製流程圖的優點:





一目了然,掌握全貌。
新手上路,按圖索驥。
缺失檢討,鎖定關鍵。
繪製流程圖的原則:簡單、明瞭、扼要
41
繪製作業流程圖注意事項
符
號
名
稱
準備作業(Start)
意
義
流程圖開始
決策(Decision)
處理程序,圖示上半
部表示工作內容,下
半部表示執行單位或
人員
不同方案選擇
終止(END)
流程圖終止
路徑(Path)
指示路徑方向
處理(Process)
42
繪製作業流程圖注意事項
符
號
名
稱
意
義
文件(Document)
輸入或輸出文件
多重文件
(multiple Document)
輸入或輸出數件文件
已定義處理
(Predefined Process)
連接(Connector)
註解(Comment)
使用某一已定義之處
理程序
流程圖向另一流程圖
之出口;或從另一地
方之入口
表示附註說明之用
43
繪製作業流程圖注意事項
DB01
所屬00基金分期實施計畫及收支估計表核定作業(簡明案例)
各基金函送實施計畫及
收支估計表8份至本部
(會、署)(第一期1月20
日 前 , 第 二 期 7 月 20 日
前,重大變動則隨時修
正陳報)。
會計處(室)於基金陳
報後20日內(第一期2
月10日前、第二期8月
10日前)核定分期實施
計畫及收支估計表,
並轉送行政院主計
處、審計部及財政部
備查。
準備
核對各表並審核分析各項
估計數與預算目標差異原因
會計處(室)
是否正
確合理
是
否
洽請基金修正或補充說明
會計處(室)
核定分期實施計畫及收支估計表
會計處(室)
結束
44
繪製作業流程圖注意事項
(待商榷的案例)
45
繪製作業流程圖注意事項
46
繪製作業流程圖注意事項
討論問題:
1.以誰的立場繪製作業流程圖?
2.符號的意義與用法?
3.清楚的作業流程?
4.簡明扼要的敘述? [(單位+)動詞+名詞(+時間等副詞)]
47
注意事項
六. 製作自行檢查表注意事項

檢查重點應包含





作業流程有效性之檢查。
作業程序說明表之控制重點之檢查。
自行檢查表應依檢查單位分別製作並執行檢查。
一張自行檢查表對應一項作業項目為原則,但若
屬相同業務項目(或作業類別)且由相同單位負責
之作業項目,則可選擇合併製作於同一張自行檢
查表。
「結論/需採行之改善措施」不可預先寫上「無重
大缺失」等結論,需待檢查完畢後才有結論。
48
結語
49
結語
成本效益
人人有責
實質重於形式
50
感謝您
的聆聽
敬請指教
51