內部控制制度設計範例(草案) - 秘書室 - 國立中正大學.doc

《內部控制制度設計範例(草案) - 秘書室 - 國立中正大學.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

國立中正大學內部控制專案小組第1次會議紀錄開會時間：100年6月29日（星期三）上午10：00—10：45開會地點：行政大樓西棟3樓3B會議室主持人：郝副校長鳳鳴記錄：楊家裕出席者：鄭副校長兼研發長友仁（林組長惠勇代理）、陳主任秘書朝輝（許秘書文孄代理）、黃教務長柏農、楊學務長士隆、樓總務長文達、電算中心李中心主任新林、環安中心敖中心主任仲寧、人事室王主任家韵、會計室胡主任文騏、輔導中心翁中心主任嘉英、管理學院黃院長士銘壹、主席報告：（略）貳、提案討論：討論事項一提案單位：副校長室案由：有關本校內部控制專案小組之作業原則之工作教育宣導內容，提請討論。說明：內部控制教育相關資料，參閱附件一（P.3-4），請討論本小組未來作業原則。決議：一、本專案小組定位為決策單位，建議專案小組下由各委員執掌之單位推派1人另組執行幕僚小組，人選請於6月30日中午前告知副校長室。二、為因應年底前需完成本校內部控制制度說明書並報教育部核定，初期工作擬規劃如下：（一）於秘書室網站下設「內部控制資訊交流平台」網頁，以供各單位提供有關執行內部控制作業相關事項之各種意見等資訊交流之用。（二）請人事室於暑假期間安排有關內部控制的講習及參訪活動。（三）由各單位集思廣益，優先挑選1-2項工作進行試辦，並逐步擴及其他項目。提案討論二提案單位：副校長室案由：有關擬訂「國立中正大學內部控制專案小組設置要點」（草案），提請討論。說明：30 一、依據行政院頒布「健全內部控制實施方案」規定，擬訂「國立中正大學內部控制專案小組設置要點」（草案），組成內部控制專案小組，負責推動及執行相關工作。二、檢附該設置要點（草案）（附件二，P.5）、擬訂說明（附件三，P.6-11）及行政院「健全內部控制實施方案」（附件四，P12-29）供參。三、各單位執掌與配合內部控制工作項目之分配擬定及編派初步規劃詳參附件五（P.30），是否列入設置要點明文規定，亦請委員討論。決議：通過，會後如有其他修正建議，請於7月8日前送交副校長室彙整，以利後續辦理提交行政會議討論事宜。提案討論三提案單位：副校長室案由：簡化「國立中正大學建教合作計畫約用助理人員申請書」行政流程，請討論。說明：一、依據100年6月20日行政會議校長交辦事項。二、有關「國立中正大學建教合作計畫約用助理人員申請書」在學生、兼任學生須檢附學生證影本，請研發處說明相關法規。三、有關在學生學籍之確認－即時、正確性、開放程度，請教務處、電算中心說明。四、有關「國立中正大學建教合作計畫約用助理人員申請書」刪除上項學生證影本後，相關單位審核應負之法令責任，請會計室說明。五、有關專、兼任助理及臨時人員之銀行(郵局)帳號、身分證號、戶籍地址(含鄰里)涉及所得稅法之確認，請總務處出納組說明。六、本案已於6月23日先行召開相關業務承辦人員討論會議，會議紀錄詳參附件六（P.31）。決議：本案另提行政會議報告。壹、臨時動議（無）貳、散會（10：45）30 內部控制教育宣導附件一主講人：郝鳳鳴　副校長一、前言：內部控制為一種管理過程，由管理階層規劃設計，經機關首長核准，據以遵循，係在合法中提昇績效，提高資源運用效能，透過興利、制度管理，消弭弊端於無形的綜合管理制度。二、內部控制五大因素：(一)、控制環境：係用以塑造組織之紀律及內部控制之架構，為其他四項組成要素之基礎。(二)、風險評估：係指組織目標不能達成可能性之評估或推估。(三)、控制活動：係用以確保組織成員確實執行管理階層指令之政策及程序。(四)、資訊與溝通：係指將有關之資訊，以有效之方式或方法，適時予以辨識、蒐集、傳遞予相關人士，使其有效履行責任。(五)、監督：係指內部控制執行成效過程之監督。三、內部控制三大目標：(一)、合理確保可靠之財務報導。(二)、有效率及有效果之營運。(三)、有關法令之遵循。四、內部控制與內部審核之主要比較：項目內部控制內部審核目的有效率及有效果之營運、可靠之財務報導、法令之遵循。協助發揮內部控制之功能。執行人員所有教職員工。主計體系之會計人員。範圍所有校務行政工作。會計法規範之內部審核工作。五、實施內部控制的步驟：只要是組織內為了達到目標，所進行的管理行為都算是內部控制，30 健全內控制度之實施，不保證各項校務之成功，但其具有上下左右之水平及垂直整合特性，使興利與防弊功能均能充分發揮，學校各項制度日趨健全，達成提昇施政績效之目標，至於各單位具體實施內部控制的步驟如下：。(一)、訂定目標。(二)、風險評估。(三)、風險管理。(四)、控制活動：包括授權、核准、驗證、調節、分工、複核等活動，提供下情上達之管道，使同仁知其在內控中所扮演角色及與他人之關聯性。(五)、監督：評估內控之設計及執行、指出問題之所在，俾採取必要之修正措施。例如：(1)訂定管理辦法，如印鑑管理辦法、人員考核辦法、有些單位ISO認證等。(2)管理命令，各階級主管口頭或書面指示，要求部屬如何執行工作等。六、結語：目前本校會計室已彙編「預算及會計業務標準作業流程(SOP)手冊」，作為業務依據，這是內部控制之開始，但這僅是本校一個點，尚須所有單位全面一致推行，始能健全本校內部控制之實施，在座各位同仁在所屬單位尚未推動之前，亦可自行建置，簡單的說，就是對於自己所經辦的業務，建立標準作業流程，再配合校務行政的推動，適時檢討修正即可，達到內部控制的效果。七、參考書目摘錄：1.廖訓銓，「內部審核如何協助推動內部控制」，行政院主計處內部控制與審核研習班第13期講義。2.黃永傳，「會計人員在內部控制體系之角色」，主計月刊第575期。30 國立中正大學內部控制專案小組設置要點（草案）附件二一、國立中正大學（以下簡稱本校）依行政院頒布「健全內部控制實施方案」規定，設「國立中正大學內部控制專案小組」（以下簡稱本小組），並訂定本要點。二、本小組置委員十一至十五人，副校長、主任秘書、總務長、研發長、人事室主任、會計主任及電算中心中心主任為當然委員，其他委員由召集人指定本校相關單位主管擔任。三、本小組置召集人一人，由校長指定副校長擔任；置執行秘書一人，由秘書室人員兼任。四、本小組辦理下列事項：(一)辦理內部控制及內部稽核作業教育訓練。(二)檢討強化現有內部控制作業。(三)整合檢討個別性業務內部控制作業。(四)参採各權責機關所訂內部控制制度共通性作業規範，並審視個別性業務之重要性及風險性，訂定適宜本校內部控制制度及內部稽核作業規定，並報請教育部備查。(五)規劃及執行年度稽核計畫，必要時辦理專案稽核，並作成稽核報告。(六)就內部稽核發現之缺失及改善建議，適時簽報校長核定，並追蹤其改善情形。(七)校長交辦事項或其他經本小組會議決議辦理之事項。五、本小組每學期至少召開會議一次，必要時得召開臨時會。開會時，由召集人擔任主席；召集人未能主持會議時，由出席委員互推一人代理之。六、本小組召開會議時，得請相關單位人員列席說明。七、本小組委員及執行秘書均為無給職。八、本要點經行政會議及校務基金管理委員會通過後實施，修正時亦同。30 內部控制制度設計原則(草案)附件三壹、目的為利行政院及所屬各機關（構）、學校（以下簡稱各機關）設計內部控制制度，特訂定本原則。貳、基本概念各機關應衡酌業務繁簡、規模大小及人員多寡等因素，並考量成本效益、重要性及風險性原則，參考「政府內部控制觀念架構」（如附件），據以設計簡明有效、有彈性且涵蓋財務及非財務構面之內部控制制度，由機關全體人員共同遵循執行。參、主要內容各機關內部控制制度之設計，應包括下列文件，另得視管理需要自行增列必要之控制文件：一、機關組織職掌及整體層級目標。二、機關組織圖及作業層級目標。三、機關分層負責明細表。四、風險評估。五、作業流程。六、自行檢查之表件格式。肆、設計步驟一、設定目標（一）各機關依設立目的、願景、策略及施政目標等既有整體層級目標，透過內部各單位組織架構，據以設定作業層級目標，該等目標應明確、合理並以作業類別或作業項目為基礎訂定，惟已發生內部控制制度缺失者，得逕依本點第四款規定辦理。（二）各機關應定期檢視作業層級目標與既有整體層級目標之一致性，並適時檢討修正。二、風險評估30 （一）各機關得參考行政院所屬各機關風險管理及危機處理作業基準暨作業手冊之觀念與方法，辨識整體層級與作業層級目標不能達成之內、外在因素，分析影響程度及發生的可能性。（二）各機關進行風險評估時，得參考以往經驗或現行作業缺失，透過量化或非量化之分析方式，決定風險之等級。（三）各機關應綜合考量風險評估結果及風險容忍度，就不可接受的風險，及時設計控制作業，以降低該風險程度。三、選定作業流程各機關設計內部控制制度時，應涵蓋內部各單位之業務，並審視各該業務之重要性與風險性，決定應納入內部控制制度之作業流程，其中有關出納與財產管理、政風、主計、人事、公共建設計畫編審、行政管考與社會發展計畫編審、科技發展計畫編審及政府採購等共通性業務部分，得參採財政部、法務部、行政院主計處、行政院人事行政局、行政院經濟建設委員會、行政院研究發展考核委員會、行政院國家科學委員會及行政院公共工程委員會所訂共通性作業範例辦理。四、設計控制作業（一）各機關應針對選定作業流程，由內部各單位就承辦作業應具備之作業程序、應注意之控制重點、應參考之法令規定及應使用之表單進行討論，並將核准、驗證、調節、覆核、定期盤點、記錄核對、職能分工、實體控制、與計畫、預算或前期績效之分析比較等控制活動納入設計考量。（二）各機關應就前項討論所訂事項以文字敘明並作成文件，俟編號後納入內部控制制度，其中有關作業程序部分得輔以流程圖方式敘明。五、建立檢查機制（一）各機關內部各單位應就其承辦作業每年至少自行檢查一次，並作成紀30 錄建檔備供主管機關訪查及督導，其格式可參採行政院主計處網站內部控制專區之「內部控制制度共通性作業範例製作原則」所訂自行檢查表辦理。（二）針對自行檢查結果應敘明結論，倘有重大缺失除應敘明改善措施外，必要時應檢討修正內部控制制度。伍、設計格式各機關內部控制制度原則以A4直式橫書方式表達，其封面應註明核定日期，倘有更新，另加註最新修訂日期，其檔案可採紙本、電子或其他方式儲存管理。另為便於查閱，應就其內容建立整體目錄索引。陸、設計限制各機關設計內部控制制度時，通常考量成本效益原則，且無法完全排除串通舞弊或高層主管踰越之可能，僅能合理確保內部控制目標之達成，無法提供絕對保證。柒、彈性措施各機關如已建置有效之內部控制程序文件，得視為內部控制制度的一部分。30 附件政府內部控制觀念架構（草案）一、內部控制為整合機關內部各種控管及評核措施的管理過程，包括控制環境、風險評估、控制作業、資訊與溝通及監督等五項互有關聯之組成要素，並由機關內部全體人員共同參與，藉以合理確保達成下列四項目標：（一）提升施政效能。（二）遵循法令規定。（三）保障資產安全。（四）提供可靠資訊。二、內部控制制度由機關內部各單位負責設計、執行及維持，應考量下列五項組成要素，經機關首長核定後據以遵循：（一）控制環境：塑造機關文化及影響其人員對內部控制認知的綜合因素，為其他四項組成要素的基礎。包括：1、公務職業操守及倫理價值觀念之建立與維持：強調操守重要性及法制責任觀念，落實執行廉政倫理規範，排除或減少高階主管及員工從事非法行為之環境誘因、壓力或機會。2、高階主管對推動及落實內部控制制度之重視與支持：機關首長全力支持且對內部控制制度的有效運作負責，各單位主管以上人員以身示範將施政理念及行動風格導入正向，為機關設定明確的整體層級目標且避免承受過量風險。3、機關組織架構及授權之適當明確：各單位責任明確分工，授給員工的權力與其擔負之責任相稱。4、人力資源之健全管理：建置適才適所之人員進用、升遷及獎懲措施，定期考核員工及維持擔任重要職務所需之能力。5、專業能力之提升：辦理宣導及訓練、提升員工瞭解及落實執行工作之專業知識、經驗及服務觀念。6、內外部督導單位之聯繫：組設機關內部控制專案小組負責落實執行健全內部控制實施方案各項工作，強化與立法、監察及主管機關之間的聯繫互動。30 （二）風險評估：機關辨識攸關之施政風險、分析該等風險之影響程度與發生可能性，以及評量對風險容忍度的過程，據以決定如何處理或回應相關風險。包括：1、風險辨識：辨識影響目標達成的風險因素(事項)。政策及施政計畫之擬訂，應切合機關整體層級目標，進而辨認作業層級目標，考量可能引發整體層級風險(如導因於時空環境變遷等)與作業層級風險(基於業務特性)的因素、必要之配套措施有無備案及替代方案的可行性等。2、風險分析：分析風險因素一旦發生對機關的影響程度(如財物損失、政務停擺或形象受損等衝擊的嚴重性)，及其發生的可能性(機率)，綜合兩者據以估計風險等級。3、風險評量：評量對風險的容忍度並依據風險等級，決定需優先處理的風險因素。4、風險處理(回應)：對於不可接受之風險因素，選擇可行的風險處理方式(如減輕影響程度或降低發生機率等），逐步設計必要之控制作業，以降低該等風險。（三）控制作業：為了合理確保機關達成目標、降低風險，且有助於落實執行機關決策，所訂定的控制規範及程序。包括：1、整體層級控制：針對機關各單位多項業務有廣泛影響的控管措施，設計機關整體層級之控制規範(如各類制度）。2、作業層級控制：依據機關各單位個別業務職掌所設定的作業層級目標與風險評估結果，選定作業流程，秉持化繁為簡原則，逐項設計重要作業程序(如SOP）與關鍵控制重點。並配合業務調整及作業變動，適時檢討修訂。（四）資訊與溝通：適時有效編製及管理資訊，並傳達予相關人員，使其有效履行職責。1、所稱資訊，包括與機關目標有關，且完整、及時與可靠的財務及非財務資訊，可由內部產生或自外部取得，以供決策及監督之用。30 2、所稱溝通，包括：(1)內部溝通：告知機關全體人員在內部控制所扮演的角色及責任，確保機關上下或跨單位資訊充分傳達，建立通報異常情事的管道。(2)外部溝通：告知外部人士（如社會大眾）機關依法須公開或提供的資訊，對外界提出的意見及時處理與追蹤，以供各界瞭解政府相關責任履行情形。3、內部控制制度的文件化品質，為機關能否落實的基礎。透過資訊處理作業，將內部控制制度設計及執行相關資訊，以紙本、電子或其他文件化方式儲存、管理及傳達，有利連貫與支援下列四項組成要素：(1)宣達機關職掌及設定之目標等，以營造機關控制環境。(2)進行風險評估時，得將文件化的品質納入考量。(3)將各項業務的控制作業，整合形諸於文件，使機關人員可瞭解、易遵循，並掌握控制重點。(4)監督時，依此檢視內部控制制度是否有效設計及執行，而相關評估結果、建議及後續改善之紀錄，可供回饋或追蹤辦理情形。（五）監督：機關評估內部控制制度設計及執行成效的過程，藉以管控內部控制制度是否有效設計及執行，並適時修正改善。監督方式包括：1、例行管理：由各項業務承辦人及其主管，經常執行的一般控管及督導作業。2、自行檢查：由機關內部各單位，就內部控制制度設計及執行的有效性加以評估，並及時補救或改正，且作成紀錄建檔。3、稽核機制：統合或運用相關稽核職能，複核內部各單位的內部控制制度自行檢查結果，據以客觀評估機關整體內部控制制度是否有效運作，就稽核所發現之缺失及改善建議，提報機關內部控制專案小組，並追蹤改善情形。30 附件四內部控制制度設計範例(草案)依據內部控制制度設計原則「肆、設計步驟」，以XX機關為例，說明設計內部控制制度之步驟，提供各機關設計內部控制制度之參考。一、設定目標目標分為整體層級目標及作業層級目標，整體層級目標係指各機關依法定職掌所訂之願景、策略及施政目標，該目標明確闡述機關的施政重點及長期展望，並為機關全體人員共同遵循的方向。各機關可將整體層級目標逐級往下延伸至各單位，並由其依業務職掌或分層負責明細表所訂工作項目，據以設定相連結之作業層級目標，該目標係以作業類別或作業項目為基礎訂定。因此，機關全體人員便有共同的整體層級目標及具體的作業層級目標可資遵循，以達成機關之願景及使命。各機關設定目標，可參考現行法令規定及機關績效考核等文件，設計內部控制制度時，應加以整理檢視，妥適整合或修正。「設定目標」之設計結果範例，請參閱附件「XX機關內部控制制度範例」之「壹、機關組織職掌及整體層級目標」、｢貳、機關組織圖及作業層級目標｣及｢參、機關分層負責明細表」。二、風險評估風險係指面對一些事件的發生，可能會影響機關目標的達成，並且極可能會影響對人民所提供的服務，又機關任何業務之推展都可能面臨風險，因此要健全內部控制之前提即是要做好風險評估，以辨識無法達成機關整體層級與作業層級目標之內、外在風險因素，繼而分析風險的影響程度及發生之可能性，考量風險評估的結果及風險容忍度，據以擇定應進行風險處理之作業流程。行政院已於97年12月8日函頒「行政院所屬各機關風險管理及危機處理作業基準」，並由行政院研究發展考核委員會於98年1月完成「風險管理及危機處理作業手冊30 」，作為協助各部會推動整合性風險管理及危機處理之參考，引導各部會建立標準作業程序及進行實務操作，故各機關之風險評估程序可參閱上開作業手冊；倘因機關特性而有更適宜之風險評估方法，亦可逕行採用。「風險評估」之設計結果範例，請參閱附件「XX機關內部控制制度範例」之「肆、風險評估」。一、選定作業流程根據風險評估結果，應就超過機關風險容忍度的主要風險項目，找出對應之相關作業流程，其中有關共通性業務，可參採各權責機關所定之共通性作業範例。二、設計控制作業針對選定作業流程，訂定其應具備之作業程序、應參考之法令規定及應使用之表單，並針對作業程序之重要環節，設計應有之控制重點，如文件是否經適當核准，事件是否經妥善記錄，物品是否定期盤點，狀況是否適時通報，預算或績效是否進行分析比較、職能是否明確劃分等「設計控制作業」之設計結果範例，請參閱「XX機關內部控制制度範例」之「伍、作業流程」中之作業程序說明及流程圖。三、建立檢查機制風險可能會隨著時間、環境、政策或機關組織變革等因素的變化而有增減，原設計之控制作業流程亦可能已不合時宜或不復需要，因此，機關應建立內部控制制度之檢查機制，定期或不定期評估內部控制制度之妥適性及有效性。檢查機制包括例行管理、自行檢查及稽核機制等方式。其中有關自行檢查部分，應由各機關內部各單位針對作業流程及其控制重點每年至少檢查一次，並作成紀錄建檔備供主管機關訪查及督導。機關得就一項作業流程製作一份自行檢查表，亦得將各項作業流程依性質分類，同一類之作業流程合併成一份自行檢查表，其格式可參採行政院主計處網站內部控制專區之｢內部控制制度共通性作業範例製作原則｣所訂之自行檢查表辦理。30 附件XX機關(機關名稱)內部控制制度範例中華民國XX年XX月核定(核定日期)中華民國XX年XX月修訂版(最新修訂日期)30 目錄壹、機關組織職掌及整體層級目標貳、機關組織圖及作業層級目標參、機關分層負責明細表肆、風險評估一、風險辨識二、風險分析三、風險評量四、風險處理伍、作業流程一、共通性業務(一)出納業務(二)財產管理業務(三)政風業務(四)…二、個別性業務(一)資訊安全管理業務1.資訊安全事故管理作業類別：(1)資訊安全事件通報作業項目(2)…(二)…(視機關業務職掌，並依重要性、風險性原則，擇業務項目)陸、自行檢查之表件格式30 機關組織職掌及整體層級目標依據本機關組織條例規定，掌理以下事宜：一、各機關申請設置電子計算機之審核事項。二、各機關使用電子計算機效率之查核事項。三、各機關電子計算機作業設備相互支援之輔導及協調事項。四、各機關電子計算機作業有關人員之訓練事項。五、共同性程式之設計及研究發展事項。六、其他有關電子處理事項。(…餘略)本機關長期投入制定政府資訊政策及參與推動電子化政府等工作，依據法定組織職掌，擬定長期策略及主要施政目標：一、參與國家資通安全建設，提升政府資安防護能力。二、推動政府機關業務資訊化，提升資訊服務效能。三、辦理資訊教育訓練，提升政府公務員資訊專業素養。四、推動中文交換共通平台機制，促進網路中文資料之流通。(…餘略)30 貳、機關組織圖及作業層級目標一、機關組織圖組室業務職掌30 二、各單位作業層級目標：1.業務組A：略2.業務組B：略3.業務組C：略4.業務組D：本組遵循機關整體層級目標，並依業務職掌所訂事項，據以設定作業層級目標，其中資訊安全管理作業為本機關核心業務之一，任何資訊安全上的風險，皆可能影響各項(整體或作業層級)目標之達成，鑑此，將｢保護本機關相關資料、資訊系統、設備及網路之安全，達成資訊資產之機密性、完整性與可用性｣訂為資訊安全管理之作業層級目標，以提升資訊服務效能與效率，並據以發展風險評估作業。…餘略5.人事室：略6.秘書室：略7.會計室：略8.政風室：略30 參、機關分層負責明細表XX機關分層負責明細表單位工作項目權責區分備考第一層第二層第三層主任副主任主任秘書各組室主管各單位共同事項一、本機關法規之制（訂）定、修正及廢止事項。核轉或核定審核擬辦二、根據院頒施政方針擬訂本機關各單位年度施政計畫。…餘略核定審核擬辦業務組A一、各機關設置及應用電腦計畫之審議事項。核定審核擬辦重大事項由第一層核定二、中央政府各機關年度資訊概算之審議事項。核定審核擬辦…餘略核定業務組B一、各項應用作業系統之可行性研究事項。核定重大事項由第一層核定二、各項應用作業系統之規劃事項。核定…餘略業務組C一、資訊技術應用研究計畫之核定事項。核定審核擬辦重大事項由第一層核定二、資訊技術應用研究工作之執行事項。核定…餘略業務組D一、電腦硬軟體系統更新計畫核定事項。核定審核擬辦重大事項由第一層核定二、電腦主機、工作站及伺服器等管理及維護事項。…餘略核定秘書室一、本機關年度施政計畫之編報與管制事項。核定擬辦二、本機關應向行政院、立法院、監察院提供之相關資料。核定擬辦…餘略會計室一、年度概（預）算之彙編事項。核定審核擬辦二、分配預算之籌編、執行控制、申請修改分配預算及經費之審核動支事項。…餘略核定審核擬辦人事室一、本機關人員之派免遷調事項。核定審核擬辦二、職務歸系作業案件之核辦事項。核定擬辦30 …餘略政風室一、本機關政風工作業務之綜合規劃事項。核定審核擬辦二、本機關政風督導小組工作推行事項。核定審核擬辦…餘略30 肆、風險評估一、風險辨識依據本機關業務特性，考量欲達成機關整體層級目標，可能遭遇之風險來源及其影響類別。本機關採用「風險管理及危機處理作業手冊」中之風險分析框架模型，進行風險辨識，辨識結果如下表：風險來源影響類別A.財務B.資產C.人力資源D.服務E.聲譽F.法律責任與義務G.營運環境科技的應用損失損失中斷受損責任與義務中斷…(餘略)備註：風險來源：1.天然災害：伴隨自然災害而來的風險，包括洪水、森林大火、地震、颶風、暴風雨或暴風雪。2.合約與法令：伴隨法律或合約關係而來的風險。3.財政狀況：伴隨財政操作而來的風險，包括收稅、付款費用及所有內部與外部的財務安全程序。4.公務員瀆職：因公務員違法或處置錯誤而產生的風險。5.第三者的行為或疏失：因本機關以外之機關(構)的行為或疏失而產生的風險。6.景氣狀況：國內外的經濟狀況所產生的風險。7.對外界的依賴性：對本機關以外供應商之商品、服務及公用設施產生依賴性，而帶來的風險。8.資產損失：因業務活動而遭受財產損失時所產生的風險（自有、租借）。9.科技的應用：因業務活動而使用電腦及其他技術時。10.執行人力：為維持執行力在人力上產生的風險。影響類別：1.財務：事件對財務穩定性及保有對關鍵性業務穩定的財源之影響。2.資產：事件對資產的影響，例如用於執行關鍵性業務所需的資產。3.人力資源：事件對執行人力的影響。4.服務：事件衝擊服務能力的影響。5.聲譽：大眾對本機關的觀感，以及大眾配合本機關進行所需工作意願的影響。30 1.法律責任與義務：事件衝擊本機關與第三者間法律責任的影響。2.營運環境：事件對環境及使用人的影響。由上述風險分析框架模型，辨識本機關在整體層級可能遭遇之風險來源及其影響類別，再由機關各單位逐級往下進行作業層級的風險辨識。業務組D提出為達成「推動政府機關業務資訊化，提升資訊服務效能」之機關整體層級目標，本機關開發共通性套裝軟體供政府各機關使用等計畫，如會計系統、薪資系統等之開發及維運等，在系統維運過程，將配合相關法規或機關需求進行系統功能增修，進而發行更新版本。由於現今電腦病毒肆虐，為確保上傳之系統更新版本之「可用性」，應加強控制其掃毒機制及一旦發生中毒之通報及處理措施，以降低風險。業務組D填寫風險登錄表如下：主要風險項目風險情境及影響風險處理現有措施新增對策負責單位應用網站技術，由機關同仁上傳供使用者下載之檔案遭病毒感染接獲外界通知，本機關之網頁檔案，疑似遭病毒感染，承辦人員未落實通報機制，以致延誤處理時機，影響服務品質，損及機關形象。1.已設有異常狀況紀錄表及通報單供承辦人記錄與通報2.業務承辦人上傳檔案前應通過防毒軟體掃毒。業務組D…(餘略)一、風險分析(一)影響嚴重程度分析主要風險項目嚴重程度應用網站技術，由機關同仁上傳供使用者下載之檔案遭病毒感染非常嚴重…(餘略)…(餘略)30 註：此表之嚴重程度為定性敘述，以「非常嚴重」、「嚴重」及「輕微」三項表示後果嚴重程度之高、中、低。(一)發生機率分析主要風險項目發生機率應用網站技術，由機關同仁上傳供使用者下載之檔案遭病毒感染可能…(餘略)…(餘略)註：此表之發生機率為定性敘述，以「幾乎確定」、「可能」及「幾乎不可能」三項表示發生可能性之高、中、低。一、風險評量經過風險分析結果，考量本機關人力、資源、組織環境等因素，擬將發生風險時影響程度「輕微(低)」或「嚴重(中)」，但「幾乎不可能(低)」發生，及發生風險時影響程度「輕微(低)」，但「可能(中)」發生之「中」、「低」風險圖象區域(如下表灰色區域)，定為本機關之風險容忍範圍，超出此範圍之風險項目，皆應納入風險處理。本例XX機關主要風險項目經評估後，其發生機率為中，影響程度為高，屬高度風險，應進行風險處理，以期降低其風險。影響程度風險分布非常嚴重(高)高高極高嚴重(中)中高高輕微(低)低中高幾乎不可能(低)可能(中)發生機率幾乎確定(高)二、風險處理本機關運用風險管理及危機處理作業手冊之方法，進行風險評估，已辨識科技之應用將造成相關資訊安全危害等X項風險項目，30 並經過風險分析及評量過程，決定優先處理之作業流程，設計其控制作業，以降低風險。業務組D會商相關業務承辦單位，研擬降低風險之新增對策如下表，期有效將風險項目由高風險降為低風險。主要風險項目風險情境及影響風險處理現有措施新增對策負責單位由機關同仁上傳網站供使用者下載之檔案遭病毒感染接獲外界通知，本機關之網頁檔案，疑似遭病毒感染，承辦人員未落實通報機制，以致延誤處理時機，影響服務品質，損及機關形象。1.已設有異常狀況紀錄表及通報單供承辦人記錄與通報2.業務承辦人上傳檔案前應通過防毒軟體掃毒。1.制定標準化通報流程2.業務承辦人上傳檔案前應通過至少二套防毒軟體掃毒。(使用目前已購置的二套較具口碑、信譽良好之防毒軟體)3.建立檔案版本控管及回復機制4.建立使用者清單及通知機制業務組D、上傳檔案相關業務之承辦單位30 伍、作業流程一、共通性業務(請參考各權責機關所訂共通性作業範例)二、個別性業務(一)資訊安全管理業務1.資訊安全事故管理作業類別：(1).資訊安全事件通報作業項目XX機關資訊安全事件通報作業程序說明表項目編號DB03項目名稱資訊安全事件通報承辦單位業務組D作業程序說明一、業務承辦人員自行發現，或接獲通報資安事件或異常事件時，應填寫「資訊設備或系統異常狀況處理紀錄表」，並通報權責單位資安聯絡人。(參考資訊安全聯絡人員名冊)二、資安聯絡人接獲通知後，應與業務相關人員共同判斷是否為資訊安全事件。(參考資訊安全事件管理程序書之資安事件等級說明)三、若為資訊安全事件，資安聯絡人應依狀況評估事件影響等級，並填寫「資訊安全事件通報單」後通報機關資安負責人。四、資安負責人於收到「資訊安全事件通報單」後，依狀況確認事件影響等級，並陳資訊安全推動小組執行秘書複核後依程序進行通報。4.1對內通報各級資安事件均應通報至執行秘書，並通知權責人員進行事件處理；若為第4級則另須通報至資訊安全推動小組召集人。4.2對外通報若影響等級為4級或由外部單位反應之資安事件，由資訊安全推動小組召集人判斷，決定是否向國家資通安全會報通報。30 控制重點1.記錄與通知：業務承辦人員應填寫「資訊設備或系統異常狀況處理紀錄表」，並通知權責單位資安聯絡人。2.判斷資安事件：資安聯絡人應與業務相關人員共同判斷是否為資訊安全事件。3.通報資安負責人：資安聯絡人評估資安等級，並填寫「資訊安全事件通報單」，通報機關資安負責人，由資安負責人確認後陳資訊安全推動小組執行秘書複核。4.通報管理階層：各級資安事件均應通報至執行秘書，第4級另應通報至資訊安全推動小組召集人，由其決定是否向國家資通安全會報通報。法令依據資訊安全事件管理程序書使用表單資訊安全聯絡人員名冊資訊設備或系統異常狀況處理紀錄表資訊安全事件通報單資訊安全推動小組組織圖30 圖1、XX機關資安事件通報作業流程圖DB03A開始自行發現或接獲通報異常狀況業務承辦人資訊安全事件通報單通報至資訊安全推動小組召集人資安負責人填寫紀錄表並通報資安聯絡人業務承辦人是否須對外通報否資訊設備或系統異常狀況處理紀錄表是由資安聯絡人及業務承辦人共同判斷是否為資安事件依程序對外通報資安負責人否是結束評估資安事件等級並填寫通報單以通報資安負責人資安聯絡人資訊安全事件通報單資安負責人確認資安事件等級各級事件通報至執行秘書並通知權責人員進行事件處理資安負責人等級4事件A30 陸、自行檢查之表件格式以XX機關為例，掌理資訊安全之業務組D針對資訊安全事件通報之作業，設計自行檢查表，以利檢視實際作業是否依程序執行及有無疏漏重要環節，自行檢查表設計舉例如后。XX機關內部控制制度自行檢查表XXX年度自行檢查單位：業務組D作業類別(項目)：資訊安全事件通報檢查日期：XXX年XX月XX日檢查重點自行檢查情形檢查情形說明符合未符合一、作業流程有效性(一)作業程序說明表及作業流程圖之製作是否與規定相符。(二)內部控制制度是否有效設計及執行。二、資訊安全事件通報(一)記錄與通知:1.業務承辦人員是否有填寫「資訊設備或系統異常狀況處理紀錄表」2.業務承辦人員是否通知權責單位資安聯絡人?(二)判斷資安事件：資訊安全事件之認定是否經由資安聯絡人與業務相關人員共同判斷?(三)通報資安負責人：1.資安聯絡人是否有填寫「資訊安全事件通報單」?2.資安聯絡人是否將資訊安全事件通報機關資安負責人?3.資安負責人是否確認資安事件影響等級，並陳資訊安全推動小組執行秘書複核?(四)通報管理階層：1.各級資安事件是否通報至資訊安全推動小組執行秘書?2.第4級資安事件是否通報至資訊安全推動小組召集人?3.若須向外通報，是否依程序通報至國家資通安全會報?結論/需採行之改善措施：填表人：複核：單位主管：30 附件五國立中正大學各單位執掌與內控項目配置規劃（暫訂）內控項目人事教務處學務處總務處會計研發處秘書研考校長遴選、續任教師新聘、續聘、升等、不續聘公務員新進、升遷、考績、輪調教職員退休、撫卹專案人員新進、續聘、升遷、輪調差勤管理（含國內、國外、大陸地區出差）體育活動費（含教職員工社團）在職專班研究生獎勵金學雜費收、退費選課、加退選1/2退學機制超支鐘點費調、補課學生社團學生工讀學生獎勵金導師優良導師公勛子女減免學雜費身心障礙弱勢學生學生宿舍各項（含圖書）採購管理（含招標履約驗收等）物品管理財產管理宿舍管理場地管理財務調度車輛管理文書管理收入、支出流程控管工友新進、考績、退休、撫卹預（概）算、決算分配預算內部審核建教合作人員聘用、變更、差勤管理技轉、專利權教師各項獎勵年輕學者內控稽核公文稽核捐贈政風預警機制運動教練清江中心輔導環安推廣教育30 國立中正大學內部控制專案小組第一次會議附件六提案事項相關單位承辦人員討論會會議紀錄時間：100年6月23日下午2時—3時地點：行政大樓2F副校長室會議室主持人：楊家裕秘書出席人員：出納組羅國瑞先生、會計室張組長幸蕙、研發處黃湘玲小姐、教學組李組長金甘、事務組湯慧玲小姐（依簽到序排列）討論事由：簡化「國立中正大學建教合作計畫約用助理人員申請書」行政流程，請討論。說明：1.依據100年6月20日行政會議校長交辦事項。2.有關「國立中正大學建教合作計畫約用助理人員申請書」在學生、兼任學生須檢附學生證影本，請研發處說明相關法規。3.有關在學生學籍之確認－即時、正確性、開放程度，請教務處、電算中心說明。4.有關「國立中正大學建教合作計畫約用助理人員申請書」刪除上項學生證影本後，相關單位審核應負之法令責任，請會計室說明。5.有關專、兼任助理及臨時人員之銀行(郵局)帳號、身分證號、戶籍地址(含鄰里)涉及所得稅法之確認，請總務處出納組說明。綜合意見彙整：一、目前申請行政流程應屬最簡化的狀態，如取消檢附學生證影本，改採其他方式檢核查驗學生學籍（例如：進學籍系統勾稽等），反而會增加作業時間；以及需請教學組提供子系統供研發處使用，如此亦會增加承辦人員工作量。同時根據過往國科會會計處到本校查帳的經驗，檢附學生證影本對於查帳的作業流程相對簡易，不須再額外舉證或補調資料等其他程序，可減少查帳作業之繁瑣程序。二、建議可簡化流程部分在核銷程序部分：校內人員之專兼任助理印領清冊原為2張，建議可減為1張即可；校外學生部分因所得稅扣繳問題，故須維持2張。30