内部控制与风险评估实务及案例.pptx

1内部控制与风险评估实务及案例

2设计步骤確認目標風險評估選定業務項目設計控制作業建立檢查機制取自强化政府内部控制-实作篇(100.11.3)p16内部控制与风险评估

3机关目标内部流程人员系统风险风险控制控制单位目标愿景/使命监督风险风险控制控制单位目标风险风险控制控制单位目标目标、风险与控制取自强化政府内部控制-实作篇(100.11.3)p17

4风险评估风险系指面对一些事件的发生，可能会影响机关目标的达成机关任何业务之推展都可能面临风险，因此要强化内部控制之前提即是要做好风险评估，以辨识无法达成目标之内、外在风险因素继而分析风险的影响程度及发生之可能性，考量风险评估的结果及风险容忍度，据以择定应进行风险处理之业务项目风险评估程序得参考「某某院所属各机关风险管理及危机处理作业基准」及「风险管理及危机处理作业手册」办理因应机关特性有适宜之风险评估方法，亦可迳行采用取自强化政府内部控制-实作篇(100.11.3)p18

5建立风险管理执行背景体系--建立环境要素--建立机关要素--风险管理架构--发展风险评量标准--定义风险分析对象风险辨识--会发生什么?--如何、为何、何处、何时发生?风险分析--确认既有控制机制--找出发生的机率--找出事件的影响--评估风险等级沟通与协商风险处理--列出可行风险对策--评估风险对策--选择风险对策准备处理计划--执行处理计划监督与审查风险评估风险评量与风险基准比较，设定优先级风险?是否--资料来源：风险管理及危机处理作业手册(98年1月)风险管理架构取自强化政府内部控制-实作篇(100.11.3)p19

6风险辨识目的：辨識風險的來源、衝擊的範圍、事件所引起原因及其潛在的後果風險來源：參考「風險管理及危機處理作業手冊」中所列之風險來源辨識出主要風險來源為「科技之應用」風險情境及影響：「本機關之網頁檔案，若遭病毒感染，承辦人員未落實通報機制，將延誤處理時機，影響服務品質，損及機關形象」主要風險項目：「網頁檔案遭病毒感染未落實通報」风险的来源说明影响商业和法律关系(B)指的是机关与其他机关之间的关系，如其他机关、非政府机关、法人、学校、供应商、承包商、承租者等机关的资产和资源库财源和权力活动的直接和间接成本人社区绩效活动的时机和计划环境无形的资产，如声誉、信用、生活质量机关行为经济环境(E)指的是机关本身、国家或国际的经济环境，以及会影响经济环境的因素，如汇率、利率、股市、法人评等、外汇存底、劳工市场人才招募与聘雇、区域经济合作、自由贸易协定、两岸关系等人员行为(H)包括参与机关活动及未参与机关活动的人及行为，如民众、媒体；舞弊、贪污、泄露信息、恐怖攻击等自然事件(N)包括地理环境与自然变迁，地震、台风、火山、沙尘暴、温室效应等政治环境(P)包括立法上的改变，以及会影响其他风险来源的因素，如政权的移转、政策的修改、政府机关再造等科技(S)包括机关内外的科技导入与运作，如过时的预测系统、信息系统等管理活动及控制(M)机关运作之全部，包括服务或产品未达标准、无法准时履行、未依照预算履行、员工能力/技能/招募/维系人才、灾难恢复能力等风险管理及危机处理作业手册(P14、87)/【风险辨识】/【发展风险情境】风险来源及影响取自强化政府内部控制-实作篇(100.11.3)p20

7风险分析目的：藉由判定影响、发生机率及风险属性以分析风险参考「风险管理及危机处理作业手册」附录二之风险评估工具考量机关业务特性，订定适用于本机关用以衡量风险影响程度及发生机率之标准风险=影响x机率注：各机关应依业务特性，自行订定妥适之影响及机率等级评量标准。「影響之敘述分類表」「機率之敘述分類表」取自强化政府内部控制-实作篇(100.11.3)p21

8影响及机率之叙述分类表等级冲击或后果形象目标达成3非常严重机关形象受损经费/时间大量增加2严重跨部门形象受损经费/时间中度增加1轻微部门形象受损经费/时间轻微增加等级可能性分类详细的描述3几乎确定每月发生一次之可能性2可能每季发生一次之可能性1几乎不可能每年发生一次之可能性影响之叙述分类表机率之叙述分类表定性定量注：各机关应依业务特性，自行择用妥适的风险评量标准取自强化政府内部控制-实作篇(100.11.3)p22

9风险评量目的：依据风险分析结果以判定需优先执行的风险经过风险分析，考量本机关人力、资源、组织环境等因素风险容忍范围：超出此范围之风险项目，皆优先纳入风险处理注：各机关应自行评估风险容忍范围并适时检讨影响程度：「轻微(1)」发生机率：「几乎不可能(1)」或「可能(2)」影响程度：「轻微(1)」或「严重(2)」发生机率：「几乎不可能(1)」取自强化政府内部控制-实作篇(100.11.3)p23

10风险分布影响程度风险分布非常严重(3)3