内部控制制度设计范例.pptVIP

預防性控制(前) 藉由「事前」的控制，形成一道屏障來防止特別交易的不當進行或阻止錯誤的發生。例如：承保前之風險評估、對銷貨客戶之徵信、使用經核准之供應商名單 偵查性控制(中) 利用某些程序來偵測已發生之錯誤或不當交易。例如：編製銀行調節表、存貨盤點、與銷貨客戶之定期對帳 矯正性控制(後) 用來矯正偵查性控制所發現之問題或矯正交易之控制。例如：透過電腦對採購單之檢核可以偵測到未經核准之供應商號碼，進而追蹤其原因及時修正交易資料或防止向不適當供應商之採購 補償性控制 用來補償其他控制之不足，使得某些控制弱點不成為問題。例如：未有足夠之人力執行職能分工時，可透過由客戶或管理階層親自監督來彌補此一控制弱點。 指示性控制 由管理階層指示一些行動，以便達成某種結果，產生正面性之結果，相對於預防性、偵查性及矯正性控制重在防止、偵測及更正負面結果。 控制方式說明 安裝防毒軟體 定期掃毒 隔離或刪病毒 採用線上掃毒(VirusTotal) * 設計步驟 * 建立檢查機制 * 目的： 評估內部控制制度設計及執行之有效性 每年至少自行檢查一次，遇有特殊情形，得隨時辦理 作成紀錄建檔備供主管機關訪查及督導 建立檢查機制 本機關為强化資訊安全，目前已導入ISO 27001之資訊安全管理制度(ISMS)，建立資訊安全之檢查機制有： 例行監督：由內部各單位主管例行督導各項資安業務。 自行檢查：每年由內部各單位自行檢查一次內部控制制度設計及執行之有效性。 稽核評估：由政風單位進行內部資訊安全查核。 外部稽核：每年請外部驗證機構至本機關進行資安稽核。 * XX機關內部控制制度整體層級自行檢查表 XXX年度 自行檢查單位： 檢查日期： XXX 年 XX月 XX日 組成要素 評估重點 自行檢查情形 檢查情形說明 符合 未符合 一、控制環境 是否建立及維持公務職業操守與倫理價值觀念? 是否辦理宣導及教育訓練、提升員工瞭解與落實執行工作之專業知識、經驗及服務觀念? (…餘略) 二、風險評估 是否辨識影響目標達成之風險因素(事項)? 是否監督並定期檢討可容忍之風險項目? (…餘略) 三、控制作業 是否訂定對各單位多項業務有廣泛影響之控管措施或控制規範? 是否將各項控制作業納入作業層級自行檢查? (…餘略) 四、資訊與溝通 是否適時有效編製或蒐集資訊，並傳達給相關人員? 是否與內部全體人員及外部人士進行溝通? (…餘略) 五、監督 是否建立對內部控制制度設計及執行成效之例行監督? 是否統合或運用相關稽核評估職能，以協助審視內部控制制度設計及執行之有效性? (…餘略) 結論/需採行之改善措施： 填表人： 複核： 內控召集人： 整體層級自行檢查表 如檢查重點有不適用情形者，應於此欄位中敘明 * 作業層級自行檢查表 * XX機關內部控制制度作業層級自行檢查表 XXX年度 自行檢查單位：業務組D 作業類別(項目)：資訊安全事件通報 檢查日期： XXX 年 XX月 XX日 檢查重點 自行檢查情形 檢查情形說明 符合 未符合 一、作業程序說明表及作業流程圖之製作是否與規定相符。 二、內部控制制度是否有效設計及執行。 資訊安全事件通報 記錄與通知: 業務承辦人員是否有填寫「資訊設備或系統異常狀況處理紀錄表」 業務承辦人員是否通知權責單位資安聯絡人? 判斷資安事件： 資訊安全事件之認定是否經由資安聯絡人與業務相關人員依「資安事件影響等級」共同判斷? 通報資安負責人： 資安聯絡人是否有填寫「資訊安全事件通報單」? 資安聯絡人是否將資訊安全事件通報機關資安負責人? 資安負責人是否確認資安事件影響等級，並陳資訊安全推動小組執行秘書複核? 通報管理階層： 各級資安事件是否通報至資訊安全推動小組執行秘書? 第4級資安事件是否通報至資訊安全推動小組召集人? 若須向外通報，是否依程序通報至國家資通安全會報? 結論/需採行之改善措施： 填表人： 複核： 單位主管： 如檢查重點有不適用情形者，應於此欄位中敘明 附件 (作業流程) * 本機關之作業流程包含內部各單位之業務，所設計之控制作業皆併入作業流程中設計，列舉如下： 一、共通性業務 (一)出納業務 (二)財產管理業務 (三)政風業