风险评估及内部内部控制案例培训

风险评估及内部内部控制案例培训1报告大纲壹、前言贰、什么是风险管理参、风险评估肆、滚动式风险评估伍、内部稽核陆、内部稽核实作范例柒、内部稽核报告捌、结语内部控制教育训练2壹、前言一、「风险」无所不在二、「风险」虽不可消除，但可以预防损失的扩大三、透过「内部稽核」，找出「内部控制」可改善之处壹、前言四、内部控制为风险管理之一环未来的世界，唯一不变的就是「变」，唯一确定的就是「不确定」变」与「不确定」可能造成风险，风险未处理可能带来危机与灾难事中的危机处理、事后的复原重建，都不如事前的风险管理企业界已广泛采用风险管理以求生存发展内部控制做得好，「风险管理」已成功一半以上贰、什么是风险管理一、「风险」定义：潜在影响组织目标达成的事件，及其发生的可能性(机率)及影响程度(冲击/后果)特性:未来性：与迫在眉睫的危机不同冲击性：对组织目标达成有影响的隐晦性：风险是部分未知的变化性：风险是随时变化的内部控制教育训练6下雨引发土石流民宅淹水防灾准备山坡地防护污水道疏通……影响业务目标达成之风险?贰、什么是风险管理二、风险管理定义为有效管理可能发生事件并降低其不利影响，所执行之步骤与过程，即为风险管理。基本架构包括辨识、评估、处理、监控等程序。政府风险管理的目标培养行政院所属各机关风险管理意识，促使各机关清楚了解与管理施政之主要风险，以形塑风险管理文化，提升风险管理能量，有效降低风险发生之可能性，并减少或避免风险之冲击，以助达成机关目标，提升施政绩效与民众满意度内部控制教育训练8风险管理减少发生机率降低损害之程度增进效能合理确保安全内部控制教育训练9“SweetSpot”ExpectedEnterpriseValueRiskLevelInsufficientRisk-TakingOptimalRisk-TakingExcessiveRisk-TakingOptimalRisk-Taking资料来源:

ThoughtLeadershipinERM-RiskAssessmentinPractice(COSO,2012)贰、什么是风险管理三、风险管理架构基本模式1.辨識風險2.風險評估3.處理風險4.監控風險贰、什么是风险管理纽澳风险管理架构(我国行政机关目前采用的架构)建立背景系络1.辨识风险2.1分析风险2.2评量风险3.处理风险监视与检讨沟通与咨询建立风险管理执行背景体系a风险辨识b风险分析c风险评量d风险处理e监督与审查沟通与协商风险评估a：背景体系包括环境要素、机关要素、风险管理之架构、风险评量之标准b：包括辨认会发生什么？如何、为何、何处、何时发生？c：包括找出事件发生的机率、风险之等级及其影响；须先确认既有控制机制，是既有机制下之机率等级及影响d：指与风险基准比较，设定优先级e：针对风险对策及处理计划，包括辨认可行对策、评估与选择对策，以及执行处理计划典型的风险管理架构(简化版)资料来源:马秀如教授讲义12内部控制与风险管理之关系

─2004年COSO「企业风险管理─整合架构」资料来源：马秀如教授讲义内部控制包含在风险管理之内，系风险管理不可或缺的一部分。风险管理自内部控制延伸，其涵盖的范围比内部控制广泛，且着重风险观念。参、风险评估一、风险辨识辨识施政过程当中，影响施政表现及结果之已存在或潜在之风险。風險辨識風險管理及危機處理作業手冊、監察院、審計機關、施政計畫等風險分析「影響程度之敍述分類表」、「發生機率之敍述分類表」

風險評量風險值=影響程度等級*發生機率等級风险评估步骤风险评估步骤1516监察院等外部监督机关所提内部控制缺失，涉及业务推动过程中未能察觉或辨识之风险完整辨识影响整体与作业层级目标（含关键策略目标）无法达成之风险涉及人民权利或义务之业务，辨识影响政府公信力之风险施政计划之先期规划，就利害关系者意见、成本效益、技术可行性或跨机关业务协调等辨识风险辨识风险参、风险评估内部控制教育训练陈玉梅风险来源影响商业和法律关系经济环境人员行为自然事件政治环境科技管理活动及控制资产和资源库财源和权利活动的直接或间接成本活动的时机和计划人社区绩效环境无形资产机关行为风险类别18影响政府公信力之风险未依「政府服务创新精进方案」积极简化服务流程、书表及缩短办理时限，或建立申办、申请案件公开查询机制未依「政府信息公开法」第6条及第7条规定主动公开政府信息未依「行政程序法」第51条规定公告处理期间或于所定期间处理终结假借职务上之权力、机会或方法图本人或其他私人不法利益评估风险采行控制机制影响政府公信力之风险：假借或违背职务舞弊消极不作为行政效率不彰政府透明度不足内部控制教育训练陈玉梅监察院纠正案件审计机关重要审核意见已检讨并完成改善已检讨但尚未完作全面改善未完成检讨纳入内部控制制度设计已完成改善未完成改善叙明改善计划及期限涉及内控缺失设计面参、风险评估参、风险评估内部控制教育训练陈玉梅风险辨识范例-网络资安设备维护目的风险来源风险情境及影响主要风险项目辨识风险的来源、冲击的范围、事件所引起原因及其潜在后果参考「风险管理及危机处理作业手册」辨识出主要风险来源为「科技的运用」网络资安设备，若遭受破坏或损坏，管理人员又延误处理时机，恐将影响服务质量，损及机关形象；行政资料若未及存档，恐将损及民众权益。网络资安设备当机参、风险评估二、风险分析作法分析风险发生的可能性及影响程度分析方法：定量分析、定性分析、半定量分析参、风险评估内部控制教育训练陈玉梅风险分析步骤1.搜集信息2.运用分析法3.画出风险图象纪录经验专家判断国内外的应用出版文献调查与研究模型应用实验及原型定性分析(质性分析去)定量分析法(量化分析法)半定量分析依分析资料结果画出风险图象参、风险评估三、风险评量作法依风险分析的结果，评定风险等级，并与风险判断基准比较，筛选出重要风险，以进行风险处理实务上之作法机关需评估每一事件之影响程度及发生机率，把两者整合起来就会形成风险等级，利用风险等级区别出可以接受和重大的风险，依照不同等级列出控制风险之管理方法。参、风险评估内部控制教育训练陈玉梅影响程度评量标准表等级(I)类别形象民众抗争信息服务业务运作财产损失5极为严重国际新闻媒体报导负面新闻或国内3家媒体报导负面新闻超过3天大规模游行或抗争，人数100人以上电子化政府服务系统遭黑客入侵、资料外泄，或停止超过3天以上中断超过3天500万元以上4非常严重国际新闻媒体报导负面新闻或国内2家媒体报导负面新闻超过2天大规模游行或抗争，人数20人以上电子化政府服务系统遭黑客入侵、资料外泄，或停止服务2天以上，未达3天中断2天以上，未达3天300万元以上，未达500万元3有点严重3家新闻媒体报导负面新闻超过1天4位以上民众至本会抗争停止服务1天以上，未达2天中断1天以上，未达2天100万元以上，未达300万元2还算轻微2家新闻媒体报导1次负面新闻3位以下民众至本会抱怨停止服务1小时（含）以上，未达半天中断4小时以上，未达1天30万元以上，未达100万元1非常轻微1家新闻媒体报导1次负面新闻民众电话抱怨停止服务未达1小时中断未达4小时30万元以下参、风险评估内部控制教育训练陈玉梅可能性评量标准表等级(L)类别详细的描述5极有可能1年内绝大部分情况下会发生4非常可能1年内大部分的情况下会发生3有点可能1年内有些情况下会发生2不太可能1年内只会在特殊情况下会发生1极不可能1年内只会在极少的特殊情况下发生参、风险评估内部控制教育训练陈玉梅风险判断基准(风险图象)影响5510152025448121620336912152246810112345I

L12345可能性立即采取行动管理阶层需督导所属研拟计划，并提供资源，予以处理。需明定管理阶层的责任范围，作必要监视。予以容忍，依现行步骤处理。可容忍的风险否是可容忍的风险否是残余风险执行处理计划评估并选择风险对策列出可行的风险对策评量风险并分类接受接受规避全部或部份转嫁降低冲击降低发生的机率规避全部或部份转嫁降低冲击降低发生的机率考虑可行性、成本及利益列出可行的风险对策选择风险对策准备处理计划准备处理计划风险处理步骤监督及检讨沟通及协商资料来源：风险管理及危机处理作业手册(p.38)内部控制所控管之部分，故通常称内部控制为风险管理之具体措施27参、风险评估内部控制教育训练陈玉梅发展风险情境，依风险辨识方法，辨识出可能影响目标达成之主要风险项目、风险情境，可能影响之整体及作业层级目标(亦即可能之后果)，填写风险登录表。风险登录表填表单位：项次主要风险项目风险情境(简述风险事件及其影响可能影响之组织目标补充说明内部控制教育训练29(示范案例，非机关实况)风险登录表填表单位：大地OO科项次主要风险项目风险情境(简述风险事件及其影响)可能影响之整体及作业层级目标补充说明1工程未能达到契约质量要求河川水利工程承包厂商施作品质不佳，监造单位未及时发现导正，致使未能依履约期限完工或施工质量不佳，引发国内媒体广泛持续报导，严重影响本局形象。整体：办理治山防洪减灾治理工程。作业：落实治山防洪减灾工程。无内部控制教育训练30风险项目风险情境现有控制机制现有风险分析残余风险值(R)=(L)x(I)新增控制机制残余风险分析残余风险值(R)=(L)x(I)负责单位可能性(L)影响程度(I)可能性(L)影响程度(I)依据风险登录表所辨识之风险依据风险登录表之风险情境应与风险分析过程中所评估出之「冲击或后果」及「风险情境或影响」之叙述相连结。目前所遵循之法令规章、程序、信息系统设计、人员安排、监督作业等。(包括原已采行之现有控制机制及新增控制机制)经过评估之后所采行增加之控管作业，例如增删修订控制作业、人员轮调、采用信息系统控管等。……………………………

风险评估及处理表参、风险评估内部控制教育训练陈玉梅办理风险评估非机关实况风险项目风险情境

现有控制机制

现有风险分析残余风险值(R)=(L)x(I)新增控制机制残余风险分析残余风险值(R)=(L)x(I)负责单位可能性(L)影响程度(I)可能性(L)影响程度(I)工程未能达到契约质量要求河川水利工程承包厂商施作品质不佳，监造单位未及时发现导正，致使未能依履约期限完工或施工质量不佳，引发国内媒体广泛持续报导，严重影响本局形象。xxxxxxxooooooozzzzzzz

212为合理确保河川水利工程之承作厂商于施工过程皆能依约施工，除目前之规范外，另订………。212大地OO科……………………………

肆、滚动式风险评估一、采用滚动方式定期办理风险评估之规定内部控制制度设计原则贰之三之(一)之5各机关应采滚动方式定期办理风险评估作业，监督可容忍之风险是否仍维持可容忍之程度，并将前期不可容忍之主要风险项目所采行之新增控制机制，滚动纳入本期现有控制机制一并检讨及评量其残余风险值，以决定是否需采行其他新增控制机制因应该等风险。肆、滚动式风险评估一、采用滚动方式定期办理风险评估之规定政府内部控制观念架构二之(二)之4滚动检讨风险，以因应对内部控制产生重大影响之改变：透过辨识政策、业务、法令规定或信息系统等产生重大改变之风险，采滚动方式定期办理风险评估作业，据以检讨及评量各风险项目，以因应内部及外部环境之改变。肆、滚动式风险评估二、滚动式风险评估之方法方法一：重新检视各单位业务项目之风险，判断是否增删方法二：重新检视各单位业务项目之风险值之组成因子(发生机率*影响程度)>>风险值增加者，考虑增加控制机制方法三：评估(控制)重点有无修正或增减之必要性伍、内部稽核一、定义内部稽核是一项独立、客观的确认及咨询活动，其目的在增加价值及改善组织的营运。内部稽核以系统化及纪律化的方法评估与改善风险管理、控制与治理程序的效果，协助组织达成其目的。(1999年6月，国际内部稽核协会（IIA）的理事会)伍、内部稽核二、内部稽核小组任务依据：机关内部控制制度xx中市政府内部控制监督作业要点目的内部稽核：由内部稽核专责单位或任务编组（以下简称内部稽核单位）以客观公正之立场，协助机关检查内部控制实施状况，并适时提供改善建议。伍、内部稽核三、内部稽核办理单位设立专责内部稽核单位任务编组业务属性单纯或规模较小者，得并由主管机关统筹办理。四、稽核小组成员调度行政管考、人事考核、政风查核、政府采购稽核、事务管理工作检核、内部审核、资安稽核及其他稽核职能(以下简称稽核评估职能)单位人员及主要核心或高风险业务等单位人员办理，该等人员不得针对目前承办业务执行稽核。38例行监督自行评估内部稽核由不同层次人员执行检查及覆核，除能在第一线实时辨识与改正缺失外，亦透过客观公正的验证来确认内部控制有效程度。监督方式—例行监督：由内部各单位主管例行督导各项业务。自行评估：由内部各单位自行评估内部控制制度设计及执行之有效性。内部稽核：由内部稽核专责单位或任务编组检查及覆核内部控制实施状况。监督机制之强化管理循环PLANDOACTIONCHECK改善质量继续改善标准质量控制质量保证伍、内部稽核五、内部稽核人员应有之素养独立性应本职权中立性、专业性表达对内部控制作业检查之意见。专业性应熟知主管机关之规定及机关内部控制、各作业活动之流程及稽核技巧。客观性中立、公正、保密。风险意识。发现异常及缺失时，应本客观之叙述、表达并提出改善意见。沟通能力进行稽核工作撰写稽核纪录幕僚单位汇整稽核纪录幕僚单位缮写稽核报告机关首长幕僚单位核示稽核报告结案追踪未改善情形稽核单位人员必要项目、择定项目内控小组、幕僚单位六、内部稽核程序事前执行事后送机关首长核定后执行审议内部稽核计划(内控小组)研拟内部稽核计划(幕僚单位)内部稽核计划(含抽样)由首长核定准备资料(受核单位)内部稽核(内控小组)择定稽核项目(内控小组)内部稽核实施流程(中科管理局范例)预检(稽核职能单位)撰写稽核纪录、报告(幕僚单位)追踪改善情形检讨隔年稽核作业事前准备事中执行后续追踪伍、内部稽核七、稽核计划之内容稽核项目及目的。稽核期间。单价及总价。稽核工作期程。稽核工作分派。经费来源。伍、内部稽核八、稽核那些项目?必要项目审计处xx中市地方总决算审核报告重要审核意见属近三年内发生类同内部控制缺失事项，次年复经审计处追踪查核结果仍待继续改善，并再综合研提审核意见者，应稽核其检讨改善情形。内部控制作业。经信息系统处理之作业，经评估存有遭蓄意窃取、窜改或泄漏资料等风险者。伍、内部稽核八、稽核那些项目?择定项目施政计划、核心业务、跨机关整合业务、占机关年度预算比例较高之业务、久未办理内部、外部稽核或评估之业务、影响政府公信力之潜在风险案件。内部重要会议列管事项、市议会质询案件、监察院弹劾、纠正（举）或提出其他调查意见之案件、审计处xx中市地方总决算审核报告重要审核意见、上级与权责机关督导等所列待改善事项、xx中市政府廉政会报及各机关廉政会报所提相关议题及其他外界关注事项等。伍、内部稽核九、稽核技巧?宜于执行稽核计划前召开会议，就稽核项目之性质及受查单位之特性等选择稽核方式;及抽查比率取得证据等取得共识，除可避免浪费查核时间及引导查核人员正确查核方向外，亦可适切支持稽核结论。为快速了解所稽查业务，可请受查单位对业务做简单报告外，亦可设计查核项目请其先行预检，以节省查核时间。伍、内部稽核十、常用之查核方式?面谈、询问(证言证据)：可以是口头也可以是书面。复算(Recomputation)：是具有事实、客观及适切之证据。详细测试：在于检查施政作业有关的文件及记录。最常用的检查程序是顺查及逆查。观察、检视(Observation/Inspection)审视(Scanning)：如浏览或筛选，其目的在于侦查不寻常项目或事件。统计抽样(StatisticalSampling)的证据。函证(Confirmation)分析性覆核(Analytical)伍、内部稽核十一、稽核证据与稽核纪录稽核人员应将其规划、搜集、分析、解释及汇总之信息，在稽核纪录上作成适当之记录，以作为表示稽核意见之依据。稽核纪录上记载着稽核风险评估之过程、成本—效益之考量及稽核目的与相关证据之串连。稽核纪录应将稽核过程中所搜集之证据完整记载，而不须稽核人员做更进一步之解释。稽核纪录一旦编制完成，最好由适当人员再加以审慎复核其完整性及连贯性，以做为内部稽核报告之支持依据。伍、内部稽核十二、稽核记录记载之事项伍、内部稽核十三、稽核报告壹、稽核缘起说明稽核期间、稽核工作背景资料及办理依据。贰、稽核过程说明实际执行之稽核工作与稽核计划差异之处等。参、稽核结果得采下列3种方式说明稽核发现之优点、缺失、改善措施或具体兴革建议：一、以列表方式说明稽核结果。二、以文字叙述方式说明稽核结果。三、以文字摘述及附表完整说明稽核结果。肆、未来有关管理及绩效重大挑战之预警性意见得叙明对机关形成挑战之原因、目前因应作为及未来尚待加强之作为。(无则免列)伍、内部稽核十四、后续追踪内部稽核单位应汇整内部控制缺失事项及具体兴革建议，送相关单位填报改善及办理情形，并至少每半年将追踪该等缺失事项改善情形及兴革建议办理情形签报机关首长核定。内部控制缺失应追踪至改善完成为止，以确认相关单位已采取适当之改善措施；具体兴革建议应追踪至相关单位评估其可行性，以决定是否采纳该等建议或采行相关因应作为为止。若涉及需修正内部控制制度者，应由内部控制项目小组督导各单位参照行政院订定之「政府内部控制制度设计原则」规定修正。陆、内部稽核实作范例实作范例一信息系统单位外开发及维护采购案规划稽核阶段1决定稽核项目2稽核工作分派3拟定稽核计划4选择稽核方式5发出稽核通知531决定稽核项目2稽核工作分派3拟定稽核计划4选择稽核方式步骤一：决定稽核项目信息系统单位外开发及维护采购案本机关因应业务ｅ化之需要，于xxＯＯ年陆续单位外开发相关信息系统，提供内部单位使用。鉴于目前各项业务对信息依存度甚高，且相关信息系统之建置经费占机关年度预算资本支出比例高达40%以上，维护费用亦占业务费比例达10%，将针对信息系统单位外开发及维护采购案检视其执行情形及进度，择定为本次重点稽核项目之一。54步骤二：稽核工作分派

为有效协助检查内部控制之实施状况，视业务需要，调度稽核评估职能单位人员及主要核心或高风险业务等单位人员办理。其中，针对「信息系统单位外开发及维护采购案」稽核项目，指派ＯＯ处副处长ＯＯＯ、政风处专门单位员ＯＯＯ、会计处科长ＯＯＯ及秘书处专员ＯＯＯ共同参与稽核。范例5556

步骤三：拟定稽核计划(1/6)机关应就年度稽核或项目稽核分类拟定稽核计划，年度稽核若分次办理者，则依预计办理之次数分别列明各项内容，并得以列表方式呈现稽核计划各项内容。为期稽核工作顺利执行，规划稽核期程时应评估对受查单位执行业务之影响程度，如遇特殊情形，得适时调整稽核期程，以免造成机关业务之困扰。例如：「信息系统单位外开发及维护采购案」稽核项目，原订本年12月16日至30日，因渠等采购案涉及年底结算验收，为避免影响机关业务，提前于本年12月1日至15日办理稽核工作。

各项稽核评估职能单位依相关法令规定须办理稽核或评估之事项，得并入年度稽核计划控管作业时程，惟不重复进行稽核。稽核计划应于执行前签报机关首长核定。步骤三：拟定稽核计划(2/6)

范例项次稽核项目稽核目的预定查核日期预定之稽核人员起迄一、必要项目1审计处xx中市地方总决算审核报告重要审核意见属近三年内发生类同内部控制缺失事项，次年复经审计处追踪查核结果仍待继续改善，并再综合研提审核意见者，应稽核其检讨改善情形。积极改善审计处所提意见，以强化机关内部控制机制。5/15/15公用建设课ＯＯＯ会计室主任ＯＯＯ人事室主任ＯＯＯ57步骤三：拟定稽核计划(3/6)

范例项次稽核项目稽核目的预定查核日期预定之稽核人员起迄一、必要项目2(1)公共工程质量周期控制作业检视各项控制作业之评估重点是否落实6/16/15农业课长ＯＯＯ社会课长ＯＯＯ秘书室主任ＯＯＯ58步骤三：拟定稽核计划(4/6)

范例项次稽核项目稽核目的预定查核日期预定之稽核人员起迄一、必要项目2OO信息系统之测试遵行测试OO信息系统处理作业，检视是否有遭蓄意窃取、窜改或泄漏之漏洞。7/17/15政风室主任ＯＯＯ人事室主任ＯＯＯ民政课课长ＯＯＯ59步骤三：拟定稽核计划(5/6)

范例项次稽核项目稽核目的预定查核日期预定之稽核人员起迄二、择定项目1信息系统单位外开发及维护采购案检视采购案执行情形及进度12/1612/30民政课课员ＯＯＯ政风室主任ＯＯＯ农业课课员ＯＯＯ秘书室视导ＯＯＯ………………60步骤三：拟定稽核计划(6/6)

范例项次稽核项目稽核目的预定查核日期预定之稽核人员起迄三、稽核评估职能单位稽核项目1本年度廉政风险评估为评估机关廉政风险状况，政风处依其法定职掌办理。12/2012/31政风室主任ＯＯＯ2本年人事差勤查核为查核机关人员出缺勤情形，人事处依其法定职掌办理5/315/31人事室主任ＯＯＯ61步骤四：选择稽核方式(1/3)内部稽核单位得于执行稽核计划前召开行前会议，依稽核项目之性质及受查单位之特性等选择稽核方式，包括检查、观察、询问、验算或查证等，并视需要择定适宜之抽核比率，以搜集及查核充分且适切之稽核证据，据以支持稽核结论。内部稽核人员执行内部稽核工作，得检查相关文件、资产，并询问有关人员，受查单位应全力配合提供稽核所需资料并详实答覆，无正当理由不得拒绝，内部稽核人员并应就稽核发现与受查单位充分沟通。。62步骤四：选择稽核方式(2/3)由于本年度信息系统单位外采购案件数计有30件，为搜集充分且适切之稽核证据，爰采取随机抽样方式，抽取7件，通知受查单位备妥采购计划签准案、采购招标文件、采购契约书、契约变更文件、验收纪录、结算证明书及相关往返公文等文件，办理实地稽核。范例63步骤四：选择稽核方式(3/3)稽核项目：信息系统单位外开发及维护采购案稽核目的：检视采购案执行情形及进度。母体范围：100年1月1日至12月30日信息系统单位外采购案资料抽样方式：采取随机抽样方式(机率抽样)，抽取7件采购案相关招决标及履约文件，进行检查验证。采取判断抽样方式(非机率抽样)，针对资本门预算执行进度相对较落后之7项采购案了解目前办理情形及落后原因，并进一步检讨相关作业流程，提出管控机制之建议。抽核范例64○○机关函

机关地址：传真：受文者：如行文单位发文日期：中华xx100年10月2日发文字号：○○字第1000600000号速别：普通件密等及解密条件或保密期限：附件：主旨：○○机关100年度第1次内部稽核将于100年10月间办理，请贵单位于稽核期间配合○○机关内部控制小组内部稽核工作分组查核需要，备妥稽核所需相关文件等，并于接受稽核人员访谈时详实答覆，俾利稽核工作顺利进行，请查照。说明：请贵单位就信息系统单位外开发及维护采购案等相关书面文件备妥，包括：采购计划签准案、采购招标文件、采购契约书、契约变更文件、验收纪录、结算证明书及相关往返公文等。正本：○○机关○○单位副本：步骤五：发出稽核通知于执行内部稽核工作前，应通知受查单位备妥稽核所需相关文件、资产或有关人员，以利受查单位配合。范例65执行稽核阶段1搜集（查核）佐证资料2撰写稽核纪录3作成稽核报告4分送稽核报告66步骤一：搜集（查核）佐证资料稽核人员执行内部稽核工作时，依稽核项目之性质及受查单位之特性等选择稽核方式，以搜集充分且适切之稽核证据。稽核人员执行内部稽核工作，得查阅或检视相关文件、资产，并访谈相关人员。受查单位应全力配合提供所需资料并详实答覆，无正当理由不得拒绝。办理内部稽核工作时，如稽核项目具有量化或非量化绩效目标，得衡量稽核项目之资源使用是否具有效率、业务或计划执行是否达成预期目标等绩效。67步骤一：搜集佐证资料(1/3)1.搜集○○机关100年9月信息预算执行进度(摘录）范例68计划名称决标金额（千元）累计经费支用预定金额(千元)实际金额(千元)实际支用比(%)1.机关检索系统及数据库整体单位外服务13,57111,0007,040642.机关公文管理系统1,6101,20048640.53.机关业务信息系统35,00026,25016,42262.56【发现】由上表资料发现，本年度信息系统单位外服务部分案件预算执行进度落后，经费支用比偏低。步骤一：搜集佐证资料(2/3)单位：仟元2.搜集○○机关近4年(97至100年)各项信息系统单位外采购决标金额(摘录）范例系统名称97年98年99年100年机关检索系统及数据库整体单位外服务12,89013,14611,93513,571差勤电子表单系统1,5021,7891,9992,320机关公文管理系统1,6101,4421,5871,610机关电子闸门系统285280259300机关业务信息系统31,58532,88632,38835,000机关业务统计系统1,7801,7501,9641,888【发现】从上表资料发现，近年来部分信息系统单位外采购决标金额呈现逐年向上增加趋势。实务上随系统渐趋稳定，功能增修及维护费用应逐年递减。69步骤一：搜集佐证资料(3/3)3.依「机关单位托信息服务厂商评选及计费办法」规定，就信息系统之开发、功能增修及维护等，采用服务成本加公费方式计算各项费用细目（如下表），估算其合理价格。范例项目内容直接薪资直接薪资包括直接从事信息服务工作有关人员之实际薪资，另加30%作为保险费及退休金等费用。管理费用管理费用不得超过直接薪资之100%。公费指厂商提供信息服务所得之报酬（包括风险、利润及有关税捐等）。公费不得超过直接薪资及管理费用之合计金额之30％。7071步骤一：查核佐证资料(1/2)范例4.为了解机关各信息系统间各职类别薪资情形，选择各信息系统采购案所列类型信息人员薪资单价分析指标，作为比较衡量之基准。○类信息人员所需总费用

(包括：直接薪资、管理费用及公费等)○类信息人员薪资单价=-----------------------------------

○类信息人月数量计算公式步骤一：查核佐证资料(2/2)【建议意见】从上表单价分析资料中发现，决标金额较大且较繁复之系统，各类信息人员月薪单价反而较低，故为合理估算信息系统单位外开发及维护采购案之采购金额，撙节经费支出，建议研议机关信息系统费用之合理价格建构模式，作为信息系统采购价格之评估基础。范例5.运用计算及比对等方式，比较部分系统单价之差异，并了解差异原因及其影响。72步骤二：撰写稽核纪录(1/2)内部稽核人员应正确且完整记录稽核情形并检附佐证资料，作成稽核纪录。稽核纪录得包括下列事项：稽核项目。稽核方式。稽核发现。稽核结论。改善措施或具体兴革建议。73步骤二：撰写稽核纪录(2/2)

范例项次稽核项目稽核方式稽核发现稽核结论建议意见1信息系统单位外开发及维护采购案1.检查各信息系统预算执行进度、各阶段采购程序及付款过程等。2.就其资源使用是否具有效率及业务计划执行是否达成预期目标等衡量绩效。1.预算执行率偏低。2.采购金额过度依赖厂商估算报价，致决标单价差异大、决标金额未有一致合理之标准。3.系统费用逐年递增，显不合理。1.未能参考以往年度信息系统采购案各季实支数，妥适分配预算，致前3季预算执行率偏低。2.未建立合理价格评估模式，致难以估算价格。1.建议参考往年类同信息系统采购案，妥适分配预算，并建立跨单位沟通机制获取共识，以利预算执行。2.建议信息系统采购案件，于年度开始3个月内（延续性支出则于契约届期前3个月内）签奉核定，并移请秘书处办理后续采购事宜。3.建议针对信息系统费用研议合理价格建构模式，作为采购价格之评估基础。74步骤三：作成稽核报告(1/4)年度稽核及项目稽核均应作成内部稽核报告，揭露稽核发现之优点、稽核发现与相关自行评估结果不一致等缺失、改善措施或具体兴革建议，并依程序签报机关首长核定后送各受查单位。稽核报告内容，稽核缘起应说明稽核期间、稽核工作背景资料及办理依据，稽核过程应说明实际执行之稽核工作与稽核计划差异之处等。稽核结果得以列表、文字叙述、或文字摘述及附表方式说明稽核发现之优点、缺失、改善措施或具体兴革建议等。75步骤三：作成稽核报告(2/4)稽核缘起：

为强化本机关内部控制机制，并就信息系统开发及维护费用进行检视，适时提供改善建议，依据「政府内部稽核应行注意事项」及本机关年度稽核计划，由本机关内部控制小组内部稽核工作分组（以下简称稽核分组）负责执行年度内部稽核工作，俾协助检查内部控制之实施状况。稽核过程：

本年度稽核所决定稽核项目均依计划预定期程办理，惟「信息系统单位外开发及维护采购案」稽核项目，渠等采购案涉及年底结算验收，为避免影响机关业务，提前于本年12月1日至15日办理稽核工作。稽核人员于实地稽核时，针对稽核过程中所发现之问题业与受查单位主管进行面对面双向讨论，以进一步了解与厘清。范例76步骤三：作成稽核报告(3/4)稽核结果：兹就本次「信息系统单位外开发及维护采购案」稽核结果（如附表)摘述如次：稽核发现及结论：信息系统采购案未能妥适分配预算，致前3季预算执行率偏低，且未建立合理价格评估模式，致难以估算价格。建议意见：针对信息系统单位外开发及维护采购案，建议尔后年度妥适分配预算，并于年度开始3个月内签奉核定，移请秘书处办理后续采购事宜。另建议针对信息系统费用研议合理价格建构模式，作为采购价格之评估基础。77步骤三：作成稽核报告(4/4)

范例项次稽核项目稽核发现稽核结论建议意见1信息系统单位外开发及维护采购案1.预算执行率偏低。2.采购金额过度依赖厂商估算报价，致决标单价差异大、决标金额未有一致合理之标准。3.系统费用逐年递增，显不合理。1.未能参考以往年度信息系统采购案各季实支数，妥适分配预算，致前3季预算执行率偏低。2.未建立合理价格评估模式，致难以估算价格。1.建议参考往年类同信息系统采购案，妥适分配预算，并建立跨单位沟通机制获取共识，以利预算执行。2.建议信息系统采购案件，于年度开始3个月内（延续性支出则于契约届期前3个月内）签奉核定，并移请秘书处办理后续采购事宜。3.建议针对信息系统费用研议合理价格建构模式，作为采购价格之评估基础。○○机关○○年度稽核结果表附表78步骤四：分送稽核报告分送内部稽核报告，请相关单位就内部控制缺失确实检讨改善，以利后续追踪改善情形。79○○机关函

机关地址： 传真：

受文者：如行文单位发文日期：中华xx100年12月11日发文字号：○○字第1000600001号速别：普通件密等及解密条件或保密期限：附件：如主旨主旨：检送○○机关本（100）年度第1次稽核报告，请就所列内部控制缺失确实检讨改善，以利后续追踪改善情形，请查照。正本：○○机关○○单位副本：范例追踪结果阶段1汇整内控缺失2确认缺失改善3追踪兴革建议80步骤一：汇整内控缺失(1/2)内部稽核单位应就内部控制缺失事项及具体兴革建议，送相关单位填报改善及办理情形，包括办理自行评估结果及内部稽核报告所列缺失及建议、稽核评估职能单位依其主管法令规定办理之稽核或评估所发现之缺失及所提建议、监察院弹劾与纠正(举)案件、审计处xx中市地方总决算审核报告重要审核意见、上级与权责机关督导所提待改善事项，涉及内部控制缺失部分等，以及上次追踪尚未完成改善之缺失予以汇整追踪。审计部所提年度审核意见，机关可于接获通知时透过声复办理情形或主动洽询等方式，就重要审核意见改善完成之认定等与审计部沟通。81内部控制制度自行评估结果所发现缺失

有关采购案件保证金收取及退还审核作业，依据出纳管理手册规定，会计处应核对出纳单位所送现金结存日报表，惟目前出纳单位所送报表为现金结存周报表，与规定不符。2.内部稽核报告所列缺失

有关信息系统单位外开发及维护采购案，经查信息系统采购案未能参考以往年度信息系统采购案各季实支数，妥适分配预算，致前3季预算执行率较偏低。3.………步骤一：汇整内控缺失(2/2)范例82步骤二：确认缺失改善(1/3)内部稽核单位应汇整内部控制缺失事项及具体兴革建议，送相关单位填报改善及办理情形，并至少每半年将追踪该等缺失事项改善情形及兴革建议办理情形签报机关首长核定。内部控制缺失应追踪至改善完成为止，以确认相关单位已采取适当之改善措施；具体兴革建议应追踪至相关单位评估其可行性，以决定是否采纳该等建议或采行相关因应作为为止。内部稽核单位于稽核报告所列缺失如与监察院弹劾与纠正（举）案件、审计处xx中市地方总决算审核报告重要审核意见、上级与权责机关督导所提缺失、稽核评估职能单位及内部控制制度自行评估结果所发现缺失等重复时，得择一填列并附注说明。。83步骤二：确认缺失改善(1/3)本次内部稽核所发现之缺失部分，应纳入追踪改善表中「本次新增之缺失」项目予以追踪改善；上次追踪尚未完成改善之缺失部分，仍纳入追踪改善表中「上次追踪尚未改善完成之缺失」项目，持续追踪至改善完成为止。84步骤二：确认缺失改善(2/2)范例○○机关○○年○○月内部控制缺失事项追踪改善表

项次缺失事项改善情形追踪结果一、本次新增之缺失内部控制制度自行评估结果所发现缺失内部稽核报告所列缺失1信息系统单位外开发及维护采购案（前三季预算执行率偏低；未建立合理价格评估模式）信息处已就涉及其他业务单位部分，主动与相关单位沟通机制获取共识，并参考往年类同采购案支用情形，妥适分配本年度预算经费。已依102年度内部稽核建议意见完成改善。…………二、上次追踪尚未改善完成之缺失85内部稽核单位亦应就具体兴革建议至少每半年追踪相关单位之办理情形，并同追踪改善表签报机关首长核定。内部控制缺失应追踪至改善完成为止，以确认相关单位已采取适当之改善措施；具体兴革建议应追踪至相关单位评估其可行性，以决定是否采纳该等建议或采行相关因应作为为止。步骤三：追踪兴革建议(1/2)86步骤三：追踪兴革建议(2/2)○○机关○○年○○月内部控制具体兴革建议追踪情形表项次具体兴革建议办理情形追踪结果一、本次新增之建议内部控制制度自行评估结果所列建议内部稽核报告所列建议1建议针对信息系统费用研议合理价格建构模式，作为采购价格之评估基础。信息处已搜集信息人员直接薪资、信息系统管理费用及公费等相关信息，完成数据库之建立与合理价格分析模式之设计，并将该模式纳入内部控制机制。经检视近3个月信息系统采购案，均已参考「信息系统费用之合理价格建构模式」，提供作为订定合理建议底价之基础，本项建议之内部控制机制已建立完成。…………二、上次追踪尚未办理完成之建议1………范例871.引用主计总处100年9月公布之「信息人员平均每月经常性薪资概况-按行业别分」之信息及传播业各类职务人员平均月薪资料（101年后改采劳动部职类别薪资调查中「信息及通讯传播业各业员工人数、平均每人月薪资」统计经常性薪资资料）。单位：元职称平均薪资监督管理人员61,000系统分析师48,000程序设计师42,000系统管理师40,000机器操作员38,000范例信息系统费用之合理价格建构模式(1/9)882.建立信息系统直接薪资及管理费用计算参考信息系统费用之合理价格建构模式(2/9)范例机关信息系统每月平均薪资计算参考标准表职称平均薪资直接薪资(平均薪资*1.3)第1级第2级第3级第1级第2级第3级监督管理人员61,00050,83048,06079,30066,07962,478系统分析师48,00042,89038,81062,40055,75750,453程序设计师42,00038,00036,00054,60049,40046,800系统管理师40,00036,19034,28552,00047,04744,571

机器操作员38,00036,00035,00049,40046,80045,500(1)直接薪资：引用主计总处100年9月公布之「信息人员平均每月经常性薪资概况—按行业别分」之信息及传播业各类职务人员平均月薪资料，并依信息系统之规模、难易及繁简等情形，细分1至3级薪资等级，另加30%作为保险费及退休金等计算。

89信息系统费用之合理价格建构模式(3/9)上表所列信息系统开发及维护之适用级数条件标准：第1级：业务性质属整体规划、系统整合、系统管理、网络管理、软件验证及系统稽核等项目，其作业复杂度极高，具复杂数据库规划及网络管理或总人月超过100人月者。第2级：业务性质属多元化之应用作业系统或中大型主机之软硬件操作（含数据库系统）等，具数据库设计及在线处理者或总人月超过25至100（含）人月者。第3级：单一应用作业或一般信息设备之软硬件操作，总人月在24（含）人月以下者。范例90信息系统费用之合理价格建构模式(4/9)信息系统管理费用占直接薪资比例表12345678910~1415年以上软件开发100保固软件开发

后续维护9595909085807570656050功能增修95保固功能增修

后续维护909085807570656050注：依《机关单位托信息服务厂商评选及计费办法》第十六条第二项第一款规定，不得超过直接薪资之100%，按系统维护的时间年期逐年递减，以符合公平比例原则。范例(2)管理费用：考量系统渐趋稳定，可适度减少部分管理费用(包括：降低系统维护费用)，故按系统维护时间年期逐年递减，以符合公平比例原则。单位：％91年期项目3.以○○系统开发为例，模拟试算预估采购金额。信息系统费用之合理价格建构模式(5/9)范例(1)有关「投入人月」栏，由信息人员或单位协助评估并制作分析计算表（如下表），以估算人月数量。机关○○系统所需程序清单及人力需求分析计算表(时间计算：8小时/天、22天/月)程序编号程序名称程序内容人力分析（单位：工作时数）监督管理人员系统分析师程序设计师系统管理师…(1)主系统名称：A系统

01○○程序XXX2001,6002,0001,502…(2)主系统名称：B系统

01○○程序XXX160960720302…

…………(1)+(2)+(3)+…合计880