内部控制制度设计范例-人事室.doc

PAGE \* MERGEFORMAT17 附件2 內部控制制度設計範例(草案) 依據內部控制制度設計原則「肆、設計步驟」，以XX機關為例，說明設計內部控制制度之步驟，提供各機關設計內部控制制度之參考。 設定目標 目標分為整體層級目標及作業層級目標，整體層級目標係指各機關依法定職掌所訂之願景、策略及施政目標，該目標明確闡述機關的施政重點及長期展望，並為機關全體人員共同遵循的方向。 各機關可將整體層級目標逐級往下延伸至各單位，並由其依業務職掌或分層負責明細表所訂工作項目，據以設定相連結之作業層級目標，該目標係以作業類別或作業項目為基礎訂定。因此，機關全體人員便有共同的整體層級目標及具體的作業層級目標可資遵循，以達成機關之願景及使命。 各機關設定目標，可參考現行法令規定及機關績效考核等文件，設計內部控制制度時，應加以整理檢視，妥適整合或修正。 「設定目標」之設計結果範例，請參閱附件「XX機關內部控制制度範例」之「壹、機關組織職掌及整體層級目標」、?貳、機關組織圖及作業層級目標?及?參、機關分層負責明細表」。 風險評估 風險係指面對一些事件的發生，可能會影響機關目標的達成，並且極可能會影響對人民所提供的服務，又機關任何業務之推展都可能面臨風險，因此要健全內部控制之前提即是要做好風險評估，以辨識無法達成機關整體層級與作業層級目標之內、外在風險因素，繼而分析風險的影響程度及發生之可能性，考量風險評估的結果及風險容忍度，據以擇定應進行風險處理之作業流程。 行政院已於97年12月8日函頒「行政院所屬各機關風險管理及危機處理作業基準」，並由行政院研究發展考核委員會於98年1月完成「風險管理及危機處理作業手冊」，作為協助各部會推動整合性風險管理及危機處理之參考，引導各部會建立標準作業程序及進行實務操作，故各機關之風險評估程序可參閱上開作業手冊；倘因機關特性而有更適宜之風險評估方法，亦可逕行採用。 「風險評估」之設計結果範例，請參閱附件「XX機關內部控制制度範例」之「肆、風險評估」。 選定作業流程 根據風險評估結果，應就超過機關風險容忍度的主要風險項目，找出對應之相關作業流程，其中有關共通性業務，可參採各權責機關所定之共通性作業範例。 設計控制作業 針對選定作業流程，訂定其應具備之作業程序、應參考之法令規定及應使用之表單，並針對作業程序之重要環節，設計應有之控制重點，如文件是否經適當核准，事件是否經妥善記錄，物品是否定期盤點，狀況是否適時通報，預算或績效是否進行分析比較、職能是否明確劃分等 「設計控制作業」之設計結果範例，請參閱「XX機關內部控制制度範例」之「伍、作業流程」中之作業程序說明及流程圖。 建立檢查機制 風險可能會隨著時間、環境、政策或機關組織變革等因素的變化而有增減，原設計之控制作業流程亦可能已不合時宜或不復需要，因此，機關應建立內部控制制度之檢查機制，定期或不定期評估內部控制制度之妥適性及有效性。 檢查機制包括例行管理、自行檢查及稽核機制等方式。其中有關自行檢查部分，應由各機關內部各單位針對作業流程及其控制重點每年至少檢查一次，並作成紀錄建檔備供主管機關訪查及督導。 機關得就一項作業流程製作一份自行檢查表，亦得將各項作業流程依性質分類，同一類之作業流程合併成一份自行檢查表，其格式可參採行政院主計處網站內部控制專區之?內部控制制度共通性作業範例製作原則?所訂之自行檢查表辦理。 附件 XX機關(機關名稱) 內部控制制度範例 中華民國XX年XX月核定(核定日期) 中華民國XX年XX月修訂版(最新修訂日期) 目錄 機關組織職掌及整體層級目標 機關組織圖及作業層級目標 機關分層負責明細表 風險評估 風險辨識 風險分析 風險評量 風險處理 作業流程 共通性業務 出納業務 財產管理業務 政風業務 … 個別性業務 資訊安全管理業務 資訊安全事故管理作業類別： (1)資訊安全事件通報作業項目 (2)… …(視機關業務職掌，並依重要性、風險性原則，擇業務項目) 自行檢查之表件格式 機關組織職掌及整體層級目標 依據本機關組織條例規定，掌理以下事宜： 各機關申請設置電子計算機之審核事項。 各機關使用電子計算機效率之查核事項。 各機關電子計算機作業設備相互支援之輔導及協調事項。 各機關電子計算機作業有關人員之訓練事項。 共同性程式之設計及研究發展事項。 其他有關電子處理事項。 (…餘略) 本機關長期投入制定政府資訊政策及參與推動電子化政府等工作，依據法定組織職掌，擬定長期策略及主要施政目標： 參與國家資通安全建設，提升政府資安防護能力。 推動政府機關業務資訊化，提升資訊服務效能。 辦理資訊教育訓練，提升政府公務員資訊專業素養。 推動中文交換共通平台機制，促進網路中文資料之流通。 (…餘略) 貳、機關組織圖及作業層級目標 一、機關組織圖 組室