041_強化政府內(nèi)部控制實作篇ppt

1、強化政府內(nèi)部控制實作篇,行政院內(nèi)部控制推動及督導小組幕僚單位,更新日期： 100.8.31,教材範例,1,1,報告大綱,前言內(nèi)部控制制度設計範例簡介結語,1,2,2,前 言,2,緣起,健全內(nèi)部控制實施方案(100年2月1日)研訂內(nèi)部控制制度共通性作業(yè)範例之權責機關內(nèi)部控制制度共通性作業(yè)範例製作原則(100年4月19日)內(nèi)部控制制度自行檢查表格式內(nèi)部控制制度設計原則(100年7月4日)主要內(nèi)容及設計步驟附件-政

2、府內(nèi)部控制觀念架構內(nèi)部控制制度設計範例(100年7月4日)「XX機關內(nèi)部控制制度範例」,3,3,,設計步驟,4,範例設計步驟說明,內(nèi)部控制制度設計範例內(nèi)容,,,5,6,6,內(nèi)部控制制度設計範例,6,內(nèi)部控制制度設計範例,依據(jù)內(nèi)部控制制度設計原則「四、設計步驟」，以XX機關為例，說明設計內(nèi)部控制制度之步驟,7,XX機關內(nèi)部控制制度中華民國XXX年XX月XX日核定(核定日期)中華民國XXX年XX月XX日修訂(最新修訂

3、日期),目 次壹、整體層級目標及機關組織職掌貳、作業(yè)層級目標及機關組織圖參、機關分層負責明細表肆、風險評估一、風險辨識二、風險分析三、風險評量伍、控制作業(yè)陸、監(jiān)督柒、自行檢查之表件格式附件,設計步驟,8,目標,9,年度計畫與目標,http://www.rdec.gov.tw/sp.asp?xdurl=plan40.htm&ctNode=12992&mp=100,10,確認目標-整體層級目標,11,

4、確認目標-機關組織職掌,12,組織法、組織條例、組織通則、組織規(guī)程…,確認目標-作業(yè)層級目標,遵循機關整體層級目標，並參考業(yè)務職掌，據(jù)以辨識相連結之作業(yè)層級目標本機關各業(yè)務項目之作業(yè)層級目標完成政府機關電腦效率查核促進政府共通性軟體之發(fā)展落實公務人員資訊訓練計畫強化資訊安全管理防護能量(業(yè)務組D) (…餘略),13,確認目標-機關組織圖,,14,,確認目標-機關分層負責明細表,註:得以註明出處或建立來源連結之方式辦理,15,

5、設計步驟,16,17,目標與風險,風險評估,風險係指面對一些事件的發(fā)生，可能會影響機關目標的達成機關任何業(yè)務之推展都可能面臨風險，因此要強化內(nèi)部控制之前提即是要做好風險評估，以辨識無法達成目標之內(nèi)、外在風險因素繼而分析風險的影響程度及發(fā)生之可能性，考量風險評估的結果及風險容忍度，據(jù)以擇定應進行風險處理之業(yè)務項目風險評估程序得參考「行政院所屬各機關風險管理及危機處理作業(yè)基準」及「風險管理及危機處理作業(yè)手冊」辦理因應機關特性有適宜之

6、風險評估方法，亦可逕行採用,18,19,資料來源：風險管理及危機處理作業(yè)手冊(98年1月),風險管理架構,風險辨識,20,風險分析,目的：藉由判定影響、發(fā)生機率及風險屬性以分析風險參考「風險管理及危機處理作業(yè)手冊」附錄二之風險評估工具考量機關業(yè)務特性，訂定適用於本機關用以衡量風險影響程度及發(fā)生機率之標準風險=影響x機率,21,註：各機關應依業(yè)務特性，自行訂定妥適之影響及機率等級評量標準。,影響及機率之敘述分類表,22,影響之敘述分

7、類表,機率之敘述分類表,定性,定量,註：各機關應依業(yè)務特性，自行擇用妥適的風險評量標準,風險評量,23,目的：依據(jù)風險分析結果以判定需優(yōu)先執(zhí)行的風險經(jīng)過風險分析，考量本機關人力、資源、組織環(huán)境等因素風險容忍範圍：,,影響程度：「輕微(1)」發(fā)生機率：「幾乎不可能(1)」或「可能(2)」,影響程度：「輕微(1)」或「嚴重(2)」發(fā)生機率：「幾乎不可能(1)」,超出此範圍之風險項目，皆優(yōu)先納入風險處理註：各機關應自行評估風險容忍

8、範圍並適時檢討,,風險分布,24,發(fā)生機率,,風險評估結果,25,經(jīng)風險評估後，主要風險項目其發(fā)生機率等級為1，影響程度等級為3，屬高度風險(如黃色區(qū)域)，超出可容忍之風險範圍，應即進行風險處理，以降低風險,註：各機關應依業(yè)務特性，自行擇用妥適的風險評量標準，並依風險容忍度，選定低度、中度、高度及極度危險風險之範圍，以利各機關適性、彈性地決定風險等級。,設計步驟,26,選定業(yè)務項目,,業(yè)務項目,作業(yè)類別,作業(yè)項目,依據(jù)風險評估結果，發(fā)現(xiàn)

9、主要風險項目「網(wǎng)頁檔案遭病毒感染未落實通報」，係屬於本機關資訊安全管理業(yè)務之事件管理類別,註：其他業(yè)務項目視機關業(yè)務職掌，並依重要性、風險性原則選定,27,設計步驟,28,設計控制作業(yè),29,根據(jù)風險評估結果，應就超過風險容忍度之主要風險項目，找出對應之相關業(yè)務項目，其中有關共通性業(yè)務，可參採各權責機關所定之共通性作業(yè)範例。控制作業(yè)，係為確保各項業(yè)務活動皆已有效運作，相關控制重點已併入各項業(yè)務活動之作業(yè)流程中設計。各機關應針對選定業(yè)

10、務項目之重要環(huán)節(jié)，設計相關之控制重點，如文件是否經(jīng)適當核準，事件是否經(jīng)妥善記錄，物品是否定期盤點，狀況是否適時通報，預算或績效是否進行分析比較、職能是否明確劃分等。,控制作業(yè)得併入各項作業(yè)流程中設計，並納為內(nèi)部控制制度之附件,控制重點,30,預防性控制(前)藉由「事前」的控制，形成一道屏障來防止特別交易的不當進行或阻止錯誤的發(fā)生。例如：承保前之風險評估、對銷貨客戶之徵信、使用經(jīng)核準之供應商名單偵查性控制(中)利用某些程序來偵測已

11、發(fā)生之錯誤或不當交易。例如：編製銀行調(diào)節(jié)表、存貨盤點、與銷貨客戶之定期對帳矯正性控制(後)用來矯正偵查性控制所發(fā)現(xiàn)之問題或矯正交易之控制。例如：透過電腦對採購單之檢核可以偵測到未經(jīng)核準之供應商號碼，進而追蹤其原因及時修正交易資料或防止向不適當供應商之採購補償性控制用來補償其他控制之不足，使得某些控制弱點不成為問題。例如：未有足夠之人力執(zhí)行職能分工時，可透過由客戶或管理階層親自監(jiān)督來彌補此一控制弱點。指示性控制由管理階層指示一

12、些行動，以便達成某種結果，產(chǎn)生正面性之結果，相對於預防性、偵查性及矯正性控制重在防止、偵測及更正負面結果。,控制方式說明,安裝防毒軟體,定期掃毒,隔離或刪病毒,採用線上掃毒(VirusTotal),http://www.virustotal.com,31,設計步驟,32,建立檢查機制,33,目的：評估內(nèi)部控制制度設計及執(zhí)行之有效性,每年至少自行檢查一次，遇有特殊情形，得隨時辦理作成紀錄建檔備供主管機關訪查及督導,建立檢查機制,本機關

13、為強化資訊安全，目前已導入ISO 27001之資訊安全管理制度(ISMS)，建立資訊安全之檢查機制有：例行監(jiān)督：由內(nèi)部各單位主管例行督導各項資安業(yè)務。自行檢查：每年由內(nèi)部各單位自行檢查一次內(nèi)部控制制度設計及執(zhí)行之有效性?；嗽u估：由政風單位進行內(nèi)部資訊安全查核。外部稽核：每年請外部驗證機構至本機關進行資安稽核。,34,整體層級自行檢查表,如檢查重點有不適用情形者，應於此欄位中敘明,35,,,作業(yè)層級自行檢查表,36,如檢查重點有

14、不適用情形者，應於此欄位中敘明,附件 (作業(yè)流程),37,本機關之作業(yè)流程包含內(nèi)部各單位之業(yè)務，所設計之控制作業(yè)皆併入作業(yè)流程中設計，列舉如下：一、共通性業(yè)務(一)出納業(yè)務(二)財產(chǎn)管理業(yè)務(三)政風業(yè)務(四)…二、個別性業(yè)務(一)資訊安全管理業(yè)務 1. 資訊安全事故管理作業(yè)類別 (1)資訊安全事件通報作業(yè)項目(…餘略),XX機關資訊安全事件通報作業(yè)程序說明表,38,第1碼：延續(xù)共通性