風險評估及內部內部控制案例培訓1報告大綱壹、前言貳、什么是風險管理參、風險評估肆、滾動式風險評估伍、內部稽核陸、內部稽核實作范例柒、內部稽核報告捌、結語內部控制教育訓練2壹、前言一、「風險」無所不在二、「風險」雖不可消除，但可以預防損失的擴大三、透過「內部稽核」，找出「內部控制」可改善之處壹、前言四、內部控制為風險管理之一環未來的世界，唯一不變的就是「變」，唯一確定的就是「不確定」變」與「不確定」可能造成風險，風險未處理可能帶來危機與災難事中的危機處理、事后的復原重建，都不如事前的風險管理企業界已廣泛采用風險管理以求生存發展內部控制做得好，「風險管理」已成功一半以上貳、什么是風險管理一、「風險」定義：潛在影響組織目標達成的事件，及其發生的可能性(機率)及影響程度(沖擊/后果)特性:未來性：與迫在眉睫的危機不同沖擊性：對組織目標達成有影響的隱晦性：風險是部分未知的變化性：風險是隨時變化的內部控制教育訓練6下雨引發土石流民宅淹水防災準備山坡地防護污水道疏通……影響業務目標達成之風險?貳、什么是風險管理二、風險管理定義為有效管理可能發生事件并降低其不利影響，所執行之步驟與過程，即為風險管理。基本架構包括辨識、評估、處理、監控等程序。政府風險管理的目標培養行政院所屬各機關風險管理意識，促使各機關清楚了解與管理施政之主要風險，以形塑風險管理文化，提升風險管理能量，有效降低風險發生之可能性，并減少或避免風險之沖擊，以助達成機關目標，提升施政績效與民眾滿意度內部控制教育訓練8風險管理減少發生機率降低損害之程度增進效能合理確保安全內部控制教育訓練9“SweetSpot”ExpectedEnterpriseValueRiskLevelInsufficientRisk-TakingOptimalRisk-TakingExcessiveRisk-TakingOptimalRisk-Taking資料來源:

ThoughtLeadershipinERM-RiskAssessmentinPractice(COSO,2012)貳、什么是風險管理三、風險管理架構基本模式1.辨識風險2.風險評估3.處理風險4.監控風險貳、什么是風險管理紐澳風險管理架構(我國行政機關目前采用的架構)建立背景系絡1.辨識風險2.1分析風險2.2評量風險3.處理風險監視與檢討溝通與咨詢建立風險管理執行背景體系a風險辨識b風險分析c風險評量d風險處理e監督與審查溝通與協商風險評估a：背景體系包括環境要素、機關要素、風險管理之架構、風險評量之標準b：包括辨認會發生什么？如何、為何、何處、何時發生？c：包括找出事件發生的機率、風險之等級及其影響；須先確認既有控制機制，是既有機制下之機率等級及影響d：指與風險基準比較，設定優先級e：針對風險對策及處理計劃，包括辨認可行對策、評估與選擇對策，以及執行處理計劃典型的風險管理架構(簡化版)資料來源:馬秀如教授講義12內部控制與風險管理之關系

─2004年COSO「企業風險管理─整合架構」資料來源：馬秀如教授講義內部控制包含在風險管理之內，系風險管理不可或缺的一部分。風險管理自內部控制延伸，其涵蓋的范圍比內部控制廣泛，且著重風險觀念。參、風險評估一、風險辨識辨識施政過程當中，影響施政表現及結果之已存在或潛在之風險。風險辨識風險管理及危機處理作業手冊、監察院、審計機關、施政計畫等風險分析「影響程度之敍述分類表」、「發生機率之敍述分類表」

風險評量風險值=影響程度等級*發生機率等級風險評估步驟風險評估步驟1516監察院等外部監督機關所提內部控制缺失，涉及業務推動過程中未能察覺或辨識之風險完整辨識影響整體與作業層級目標（含關鍵策略目標）無法達成之風險涉及人民權利或義務之業務，辨識影響政府公信力之風險施政計劃之先期規劃，就利害關系者意見、成本效益、技術可行性或跨機關業務協調等辨識風險辨識風險參、風險評估內部控制教育訓練陳玉梅風險來源影響商業和法律關系經濟環境人員行為自然事件政治環境科技管理活動及控制資產和資源庫財源和權利活動的直接或間接成本活動的時機和計劃人社區績效環境無形資產機關行為風險類別18影響政府公信力之風險未依「政府服務創新精進方案」積極簡化服務流程、書表及縮短辦理時限，或建立申辦、申請案件公開查詢機制未依「政府信息公開法」第6條及第7條規定主動公開政府信息未依「行政程序法」第51條規定公告處理期間或于所定期間處理終結假借職務上之權力、機會或方法圖本人或其他私人不法利益評估風險采行控制機制影響政府公信力之風險：假借或違背職務舞弊消極不作為行政效率不彰政府透明度不足內部控制教育訓練陳玉梅監察院糾正案件審計機關重要審核意見已檢討并完成改善已檢討但尚未完作全面改善未完成檢討納入內部控制制度設計已完成改善未完成改善敘明改善計劃及期限涉及內控缺失設計面參、風險評估參、風險評估內部控制教育訓練陳玉梅風險辨識范例-網絡資安設備維護目的風險來源風險情境及影響主要風險項目辨識風險的來源、沖擊的范圍、事件所引起原因及其潛在后果參考「風險管理及危機處理作業手冊」辨識出主要風險來源為「科技的運用」網絡資安設備，若遭受破壞或損壞，管理人員又延誤處理時機，恐將影響服務質量，損及機關形象；行政資料若未及存檔，恐將損及民眾權益。網絡資安設備當機參、風險評估二、風險分析作法分析風險發生的可能性及影響程度分析方法：定量分析、定性分析、半定量分析參、風險評估內部控制教育訓練陳玉梅風險分析步驟1.搜集信息2.運用分析法3.畫出風險圖象紀錄經驗專家判斷國內外的應用出版文獻調查與研究模型應用實驗及原型定性分析(質性分析去)定量分析法(量化分析法)半定量分析依分析資料結果畫出風險圖象參、風險評估三、風險評量作法依風險分析的結果，評定風險等級，并與風險判斷基準比較，篩選出重要風險，以進行風險處理實務上之作法機關需評估每一事件之影響程度及發生機率，把兩者整合起來就會形成風險等級，利用風險等級區別出可以接受和重大的風險，依照不同等級列出控制風險之管理方法。參、風險評估內部控制教育訓練陳玉梅影響程度評量標準表等級(I)類別形象民眾抗爭信息服務業務運作財產損失5極為嚴重國際新聞媒體報導負面新聞或國內3家媒體報導負面新聞超過3天大規模游行或抗爭，人數100人以上電子化政府服務系統遭黑客入侵、資料外泄，或停止超過3天以上中斷超過3天500萬元以上4非常嚴重國際新聞媒體報導負面新聞或國內2家媒體報導負面新聞超過2天大規模游行或抗爭，人數20人以上電子化政府服務系統遭黑客入侵、資料外泄，或停止服務2天以上，未達3天中斷2天以上，未達3天300萬元以上，未達500萬元3有點嚴重3家新聞媒體報導負面新聞超過1天4位以上民眾至本會抗爭停止服務1天以上，未達2天中斷1天以上，未達2天100萬元以上，未達300萬元2還算輕微2家新聞媒體報導1次負面新聞3位以下民眾至本會抱怨停止服務1小時（含）以上，未達半天中斷4小時以上，未達1天30萬元以上，未達100萬元1非常輕微1家新聞媒體報導1次負面新聞民眾電話抱怨停止服務未達1小時中斷未達4小時30萬元以下參、風險評估內部控制教育訓練陳玉梅可能性評量標準表等級(L)類別詳細的描述5極有可能1年內絕大部分情況下會發生4非常可能1年內大部分的情況下會發生3有點可能1年內有些情況下會發生2不太可能1年內只會在特殊情況下會發生1極不可能1年內只會在極少的特殊情況下發生參、風險評估內部控制教育訓練陳玉梅風險判斷基準(風險圖象)影響5510152025448121620336912152246810112345I

L12345可能性立即采取行動管理階層需督導所屬研擬計劃，并提供資源，予以處理。需明定管理階層的責任范圍，作必要監視。予以容忍，依現行步驟處理。可容忍的風險否是可容忍的風險否是殘余風險執行處理計劃評估并選擇風險對策列出可行的風險對策評量風險并分類接受接受規避全部或部份轉嫁降低沖擊降低發生的機率規避全部或部份轉嫁降低沖擊降低發生的機率考慮可行性、成本及利益列出可行的風險對策選擇風險對策準備處理計劃準備處理計劃風險處理步驟監督及檢討溝通及協商資料來源：風險管理及危機處理作業手冊(p.38)內部控制所控管之部分，故通常稱內部控制為風險管理之具體措施27參、風險評估內部控制教育訓練陳玉梅發展風險情境，依風險辨識方法，辨識出可能影響目標達成之主要風險項目、風險情境，可能影響之整體及作業層級目標(亦即可能之后果)，填寫風險登錄表。風險登錄表填表單位：項次主要風險項目風險情境(簡述風險事件及其影響可能影響之組織目標補充說明內部控制教育訓練29(示范案例，非機關實況)風險登錄表填表單位：大地OO科項次主要風險項目風險情境(簡述風險事件及其影響)可能影響之整體及作業層級目標補充說明1工程未能達到契約質量要求河川水利工程承包廠商施作品質不佳，監造單位未及時發現導正，致使未能依履約期限完工或施工質量不佳，引發國內媒體廣泛持續報導，嚴重影響本局形象。整體：辦理治山防洪減災治理工程。作業：落實治山防洪減災工程。無內部控制教育訓練30風險項目風險情境現有控制機制現有風險分析殘余風險值(R)=(L)x(I)新增控制機制殘余風險分析殘余風險值(R)=(L)x(I)負責單位可能性(L)影響程度(I)可能性(L)影響程度(I)依據風險登錄表所辨識之風險依據風險登錄表之風險情境應與風險分析過程中所評估出之「沖擊或后果」及「風險情境或影響」之敘述相連結。目前所遵循之法令規章、程序、信息系統設計、人員安排、監督作業等。(包括原已采行之現有控制機制及新增控制機制)經過評估之后所采行增加之控管作業，例如增刪修訂控制作業、人員輪調、采用信息系統控管等。……………………………

風險評估及處理表參、風險評估內部控制教育訓練陳玉梅辦理風險評估非機關實況風險項目風險情境

現有控制機制

現有風險分析殘余風險值(R)=(L)x(I)新增控制機制殘余風險分析殘余風險值(R)=(L)x(I)負責單位可能性(L)影響程度(I)可能性(L)影響程度(I)工程未能達到契約質量要求河川水利工程承包廠商施作品質不佳，監造單位未及時發現導正，致使未能依履約期限完工或施工質量不佳，引發國內媒體廣泛持續報導，嚴重影響本局形象。xxxxxxxooooooozzzzzzz

212為合理確保河川水利工程之承作廠商于施工過程皆能依約施工，除目前之規范外，另訂………。212大地OO科……………………………

肆、滾動式風險評估一、采用滾動方式定期辦理風險評估之規定內部控制制度設計原則貳之三之(一)之5各機關應采滾動方式定期辦理風險評估作業，監督可容忍之風險是否仍維持可容忍之程度，并將前期不可容忍之主要風險項目所采行之新增控制機制，滾動納入本期現有控制機制一并檢討及評量其殘余風險值，以決定是否需采行其他新增控制機制因應該等風險。肆、滾動式風險評估一、采用滾動方式定期辦理風險評估之規定政府內部控制觀念架構二之(二)之4滾動檢討風險，以因應對內部控制產生重大影響之改變：透過辨識政策、業務、法令規定或信息系統等產生重大改變之風險，采滾動方式定期辦理風險評估作業，據以檢討及評量各風險項目，以因應內部及外部環境之改變。肆、滾動式風險評估二、滾動式風險評估之方法方法一：重新檢視各單位業務項目之風險，判斷是否增刪方法二：重新檢視各單位業務項目之風險值之組成因子(發生機率*影響程度)>>風險值增加者，考慮增加控制機制方法三：評估(控制)重點有無修正或增減之必要性伍、內部稽核一、定義內部稽核是一項獨立、客觀的確認及咨詢活動，其目的在增加價值及改善組織的營運。內部稽核以系統化及紀律化的方法評估與改善風險管理、控制與治理程序的效果，協助組織達成其目的。(1999年6月，國際內部稽核協會（IIA）的理事會)伍、內部稽核二、內部稽核小組任務依據：機關內部控制制度xx中市政府內部控制監督作業要點目的內部稽核：由內部稽核專責單位或任務編組（以下簡稱內部稽核單位）以客觀公正之立場，協助機關檢查內部控制實施狀況，并適時提供改善建議。伍、內部稽核三、內部稽核辦理單位設立專責內部稽核單位任務編組業務屬性單純或規模較小者，得并由主管機關統籌辦理。四、稽核小組成員調度行政管考、人事考核、政風查核、政府采購稽核、事務管理工作檢核、內部審核、資安稽核及其他稽核職能(以下簡稱稽核評估職能)單位人員及主要核心或高風險業務等單位人員辦理，該等人員不得針對目前承辦業務執行稽核。38例行監督自行評估內部稽核由不同層次人員執行檢查及覆核，除能在第一線實時辨識與改正缺失外，亦透過客觀公正的驗證來確認內部控制有效程度。監督方式—例行監督：由內部各單位主管例行督導各項業務。自行評估：由內部各單位自行評估內部控制制度設計及執行之有效性。內部稽核：由內部稽核專責單位或任務編組檢查及覆核內部控制實施狀況。監督機制之強化管理循環PLANDOACTIONCHECK改善質量繼續改善標準質量控制質量保證伍、內部稽核五、內部稽核人員應有之素養獨立性應本職權中立性、專業性表達對內部控制作業檢查之意見。專業性應熟知主管機關之規定及機關內部控制、各作業活動之流程及稽核技巧。客觀性中立、公正、保密。風險意識。發現異常及缺失時，應本客觀之敘述、表達并提出改善意見。溝通能力進行稽核工作撰寫稽核紀錄幕僚單位匯整稽核紀錄幕僚單位繕寫稽核報告機關首長幕僚單位核示稽核報告結案追蹤未改善情形稽核單位人員必要項目、擇定項目內控小組、幕僚單位六、內部稽核程序事前執行事后送機關首長核定后執行審議內部稽核計劃(內控小組)研擬內部稽核計劃(幕僚單位)內部稽核計劃(含抽樣)由首長核定準備資料(受核單位)內部稽核(內控小組)擇定稽核項目(內控小組)內部稽核實施流程(中科管理局范例)預檢(稽核職能單位)撰寫稽核紀錄、報告(幕僚單位)追蹤改善情形檢討隔年稽核作業事前準備事中執行后續追蹤伍、內部稽核七、稽核計劃之內容稽核項目及目的。稽核期間。單價及總價。稽核工作期程。稽核工作分派。經費來源。伍、內部稽核八、稽核那些項目?必要項目審計處xx中市地方總決算審核報告重要審核意見屬近三年內發生類同內部控制缺失事項，次年復經審計處追蹤查核結果仍待繼續改善，并再綜合研提審核意見者，應稽核其檢討改善情形。內部控制作業。經信息系統處理之作業，經評估存有遭蓄意竊取、竄改或泄漏資料等風險者。伍、內部稽核八、稽核那些項目?擇定項目施政計劃、核心業務、跨機關整合業務、占機關年度預算比例較高之業務、久未辦理內部、外部稽核或評估之業務、影響政府公信力之潛在風險案件。內部重要會議列管事項、市議會質詢案件、監察院彈劾、糾正（舉）或提出其他調查意見之案件、審計處xx中市地方總決算審核報告重要審核意見、上級與權責機關督導等所列待改善事項、xx中市政府廉政會報及各機關廉政會報所提相關議題及其他外界關注事項等。伍、內部稽核九、稽核技巧?宜于執行稽核計劃前召開會議，就稽核項目之性質及受查單位之特性等選擇稽核方式;及抽查比率取得證據等取得共識，除可避免浪費查核時間及引導查核人員正確查核方向外，亦可適切支持稽核結論。為快速了解所稽查業務，可請受查單位對業務做簡單報告外，亦可設計查核項目請其先行預檢，以節省查核時間。伍、內部稽核十、常用之查核方式?面談、詢問(證言證據)：可以是口頭也可以是書面。復算(Recomputation)：是具有事實、客觀及適切之證據。詳細測試：在于檢查施政作業有關的文件及記錄。最常用的檢查程序是順查及逆查。觀察、檢視(Observation/Inspection)審視(Scanning)：如瀏覽或篩選，其目的在于偵查不尋常項目或事件。統計抽樣(StatisticalSampling)的證據。函證(Confirmation)分析性覆核(Analytical)伍、內部稽核十一、稽核證據與稽核紀錄稽核人員應將其規劃、搜集、分析、解釋及匯總之信息，在稽核紀錄上作成適當之記錄，以作為表示稽核意見之依據。稽核紀錄上記載著稽核風險評估之過程、成本—效益之考量及稽核目的與相關證據之串連。稽核紀錄應將稽核過程中所搜集之證據完整記載，而不須稽核人員做更進一步之解釋。稽核紀錄一旦編制完成，最好由適當人員再加以審慎復核其完整性及連貫性，以做為內部稽核報告之支持依據。伍、內部稽核十二、稽核記錄記載之事項伍、內部稽核十三、稽核報告壹、稽核緣起說明稽核期間、稽核工作背景資料及辦理依據。貳、稽核過程說明實際執行之稽核工作與稽核計劃差異之處等。參、稽核結果得采下列3種方式說明稽核發現之優點、缺失、改善措施或具體興革建議：一、以列表方式說明稽核結果。二、以文字敘述方式說明稽核結果。三、以文字摘述及附表完整說明稽核結果。肆、未來有關管理及績效重大挑戰之預警性意見得敘明對機關形成挑戰之原因、目前因應作為及未來尚待加強之作為。(無則免列)伍、內部稽核十四、后續追蹤內部稽核單位應匯整內部控制缺失事項及具體興革建議，送相關單位填報改善及辦理情形，并至少每半年將追蹤該等缺失事項改善情形及興革建議辦理情形簽報機關首長核定。內部控制缺失應追蹤至改善完成為止，以確認相關單位已采取適當之改善措施；具體興革建議應追蹤至相關單位評估其可行性，以決定是否采納該等建議或采行相關因應作為為止。若涉及需修正內部控制制度者，應由內部控制項目小組督導各單位參照行政院訂定之「政府內部控制制度設計原則」規定修正。陸、內部稽核實作范例實作范例一信息系統單位外開發及維護采購案規劃稽核階段1決定稽核項目2稽核工作分派3擬定稽核計劃4選擇稽核方式5發出稽核通知531決定稽核項目2稽核工作分派3擬定稽核計劃4選擇稽核方式步驟一：決定稽核項目信息系統單位外開發及維護采購案本機關因應業務ｅ化之需要，于xxＯＯ年陸續單位外開發相關信息系統，提供內部單位使用。鑒于目前各項業務對信息依存度甚高，且相關信息系統之建置經費占機關年度預算資本支出比例高達40%以上，維護費用亦占業務費比例達10%，將針對信息系統單位外開發及維護采購案檢視其執行情形及進度，擇定為本次重點稽核項目之一。54步驟二：稽核工作分派

為有效協助檢查內部控制之實施狀況，視業務需要，調度稽核評估職能單位人員及主要核心或高風險業務等單位人員辦理。其中，針對「信息系統單位外開發及維護采購案」稽核項目，指派ＯＯ處副處長ＯＯＯ、政風處專門單位員ＯＯＯ、會計處科長ＯＯＯ及秘書處專員ＯＯＯ共同參與稽核。范例5556

步驟三：擬定稽核計劃(1/6)機關應就年度稽核或項目稽核分類擬定稽核計劃，年度稽核若分次辦理者，則依預計辦理之次數分別列明各項內容，并得以列表方式呈現稽核計劃各項內容。為期稽核工作順利執行，規劃稽核期程時應評估對受查單位執行業務之影響程度，如遇特殊情形，得適時調整稽核期程，以免造成機關業務之困擾。例如：「信息系統單位外開發及維護采購案」稽核項目，原訂本年12月16日至30日，因渠等采購案涉及年底結算驗收，為避免影響機關業務，提前于本年12月1日至15日辦理稽核工作。

各項稽核評估職能單位依相關法令規定須辦理稽核或評估之事項，得并入年度稽核計劃控管作業時程，惟不重復進行稽核。稽核計劃應于執行前簽報機關首長核定。步驟三：擬定稽核計劃(2/6)

范例項次稽核項目稽核目的預定查核日期預定之稽核人員起迄一、必要項目1審計處xx中市地方總決算審核報告重要審核意見屬近三年內發生類同內部控制缺失事項，次年復經審計處追蹤查核結果仍待繼續改善，并再綜合研提審核意見者，應稽核其檢討改善情形。積極改善審計處所提意見，以強化機關內部控制機制。5/15/15公用建設課ＯＯＯ會計室主任ＯＯＯ人事室主任ＯＯＯ57步驟三：擬定稽核計劃(3/6)

范例項次稽核項目稽核目的預定查核日期預定之稽核人員起迄一、必要項目2(1)公共工程質量周期控制作業檢視各項控制作業之評估重點是否落實6/16/15農業課長ＯＯＯ社會課長ＯＯＯ秘書室主任ＯＯＯ58步驟三：擬定稽核計劃(4/6)

范例項次稽核項目稽核目的預定查核日期預定之稽核人員起迄一、必要項目2OO信息系統之測試遵行測試OO信息系統處理作業，檢視是否有遭蓄意竊取、竄改或泄漏之漏洞。7/17/15政風室主任ＯＯＯ人事室主任ＯＯＯ民政課課長ＯＯＯ59步驟三：擬定稽核計劃(5/6)

范例項次稽核項目稽核目的預定查核日期預定之稽核人員起迄二、擇定項目1信息系統單位外開發及維護采購案檢視采購案執行情形及進度12/1612/30民政課課員ＯＯＯ政風室主任ＯＯＯ農業課課員ＯＯＯ秘書室視導ＯＯＯ………………60步驟三：擬定稽核計劃(6/6)

范例項次稽核項目稽核目的預定查核日期預定之稽核人員起迄三、稽核評估職能單位稽核項目1本年度廉政風險評估為評估機關廉政風險狀況，政風處依其法定職掌辦理。12/2012/31政風室主任ＯＯＯ2本年人事差勤查核為查核機關人員出缺勤情形，人事處依其法定職掌辦理5/315/31人事室主任ＯＯＯ61步驟四：選擇稽核方式(1/3)內部稽核單位得于執行稽核計劃前召開行前會議，依稽核項目之性質及受查單位之特性等選擇稽核方式，包括檢查、觀察、詢問、驗算或查證等，并視需要擇定適宜之抽核比率，以搜集及查核充分且適切之稽核證據，據以支持稽核結論。內部稽核人員執行內部稽核工作，得檢查相關文件、資產，并詢問有關人員，受查單位應全力配合提供稽核所需資料并詳實答覆，無正當理由不得拒絕，內部稽核人員并應就稽核發現與受查單位充分溝通。。62步驟四：選擇稽核方式(2/3)由于本年度信息系統單位外采購案件數計有30件，為搜集充分且適切之稽核證據，爰采取隨機抽樣方式，抽取7件，通知受查單位備妥采購計劃簽準案、采購招標文件、采購契約書、契約變更文件、驗收紀錄、結算證明書及相關往返公文等文件，辦理實地稽核。范例63步驟四：選擇稽核方式(3/3)稽核項目：信息系統單位外開發及維護采購案稽核目的：檢視采購案執行情形及進度。母體范圍：100年1月1日至12月30日信息系統單位外采購案資料抽樣方式：采取隨機抽樣方式(機率抽樣)，抽取7件采購案相關招決標及履約文件，進行檢查驗證。采取判斷抽樣方式(非機率抽樣)，針對資本門預算執行進度相對較落后之7項采購案了解目前辦理情形及落后原因，并進一步檢討相關作業流程，提出管控機制之建議。抽核范例64○○機關函

機關地址：傳真：受文者：如行文單位發文日期：中華xx100年10月2日發文字號：○○字第1000600000號速別：普通件密等及解密條件或保密期限：附件：主旨：○○機關100年度第1次內部稽核將于100年10月間辦理，請貴單位于稽核期間配合○○機關內部控制小組內部稽核工作分組查核需要，備妥稽核所需相關文件等，并于接受稽核人員訪談時詳實答覆，俾利稽核工作順利進行，請查照。說明：請貴單位就信息系統單位外開發及維護采購案等相關書面文件備妥，包括：采購計劃簽準案、采購招標文件、采購契約書、契約變更文件、驗收紀錄、結算證明書及相關往返公文等。正本：○○機關○○單位副本：步驟五：發出稽核通知于執行內部稽核工作前，應通知受查單位備妥稽核所需相關文件、資產或有關人員，以利受查單位配合。范例65執行稽核階段1搜集（查核）佐證資料2撰寫稽核紀錄3作成稽核報告4分送稽核報告66步驟一：搜集（查核）佐證資料稽核人員執行內部稽核工作時，依稽核項目之性質及受查單位之特性等選擇稽核方式，以搜集充分且適切之稽核證據。稽核人員執行內部稽核工作，得查閱或檢視相關文件、資產，并訪談相關人員。受查單位應全力配合提供所需資料并詳實答覆，無正當理由不得拒絕。辦理內部稽核工作時，如稽核項目具有量化或非量化績效目標，得衡量稽核項目之資源使用是否具有效率、業務或計劃執行是否達成預期目標等績效。67步驟一：搜集佐證資料(1/3)1.搜集○○機關100年9月信息預算執行進度(摘錄）范例68計劃名稱決標金額（千元）累計經費支用預定金額(千元)實際金額(千元)實際支用比(%)1.機關檢索系統及數據庫整體單位外服務13,57111,0007,040642.機關公文管理系統1,6101,20048640.53.機關業務信息系統35,00026,25016,42262.56【發現】由上表資料發現，本年度信息系統單位外服務部分案件預算執行進度落后，經費支用比偏低。步驟一：搜集佐證資料(2/3)單位：仟元2.搜集○○機關近4年(97至100年)各項信息系統單位外采購決標金額(摘錄）范例系統名稱97年98年99年100年機關檢索系統及數據庫整體單位外服務12,89013,14611,93513,571差勤電子表單系統1,5021,7891,9992,320機關公文管理系統1,6101,4421,5871,610機關電子閘門系統285280259300機關業務信息系統31,58532,88632,38835,000機關業務統計系統1,7801,7501,9641,888【發現】從上表資料發現，近年來部分信息系統單位外采購決標金額呈現逐年向上增加趨勢。實務上隨系統漸趨穩定，功能增修及維護費用應逐年遞減。69步驟一：搜集佐證資料(3/3)3.依「機關單位托信息服務廠商評選及計費辦法」規定，就信息系統之開發、功能增修及維護等，采用服務成本加公費方式計算各項費用細目（如下表），估算其合理價格。范例項目內容直接薪資直接薪資包括直接從事信息服務工作有關人員之實際薪資，另加30%作為保險費及退休金等費用。管理費用管理費用不得超過直接薪資之100%。公費指廠商提供信息服務所得之報酬（包括風險、利潤及有關稅捐等）。公費不得超過直接薪資及管理費用之合計金額之30％。7071步驟一：查核佐證資料(1/2)范例4.為了解機關各信息系統間各職類別薪資情形，選擇各信息系統采購案所列類型信息人員薪資單價分析指標，作為比較衡量之基準。○類信息人員所需總費用

(包括：直接薪資、管理費用及公費等)○類信息人員薪資單價=-----------------------------------

○類信息人月數量計算公式步驟一：查核佐證資料(2/2)【建議意見】從上表單價分析資料中發現，決標金額較大且較繁復之系統，各類信息人員月薪單價反而較低，故為合理估算信息系統單位外開發及維護采購案之采購金額，撙節經費支出，建議研議機關信息系統費用之合理價格建構模式，作為信息系統采購價格之評估基礎。范例5.運用計算及比對等方式，比較部分系統單價之差異，并了解差異原因及其影響。72步驟二：撰寫稽核紀錄(1/2)內部稽核人員應正確且完整記錄稽核情形并檢附佐證資料，作成稽核紀錄。稽核紀錄得包括下列事項：稽核項目。稽核方式。稽核發現。稽核結論。改善措施或具體興革建議。73步驟二：撰寫稽核紀錄(2/2)

范例項次稽核項目稽核方式稽核發現稽核結論建議意見1信息系統單位外開發及維護采購案1.檢查各信息系統預算執行進度、各階段采購程序及付款過程等。2.就其資源使用是否具有效率及業務計劃執行是否達成預期目標等衡量績效。1.預算執行率偏低。2.采購金額過度依賴廠商估算報價，致決標單價差異大、決標金額未有一致合理之標準。3.系統費用逐年遞增，顯不合理。1.未能參考以往年度信息系統采購案各季實支數，妥適分配預算，致前3季預算執行率偏低。2.未建立合理價格評估模式，致難以估算價格。1.建議參考往年類同信息系統采購案，妥適分配預算，并建立跨單位溝通機制獲取共識，以利預算執行。2.建議信息系統采購案件，于年度開始3個月內（延續性支出則于契約屆期前3個月內）簽奉核定，并移請秘書處辦理后續采購事宜。3.建議針對信息系統費用研議合理價格建構模式，作為采購價格之評估基礎。74步驟三：作成稽核報告(1/4)年度稽核及項目稽核均應作成內部稽核報告，揭露稽核發現之優點、稽核發現與相關自行評估結果不一致等缺失、改善措施或具體興革建議，并依程序簽報機關首長核定后送各受查單位。稽核報告內容，稽核緣起應說明稽核期間、稽核工作背景資料及辦理依據，稽核過程應說明實際執行之稽核工作與稽核計劃差異之處等。稽核結果得以列表、文字敘述、或文字摘述及附表方式說明稽核發現之優點、缺失、改善措施或具體興革建議等。75步驟三：作成稽核報告(2/4)稽核緣起：

為強化本機關內部控制機制，并就信息系統開發及維護費用進行檢視，適時提供改善建議，依據「政府內部稽核應行注意事項」及本機關年度稽核計劃，由本機關內部控制小組內部稽核工作分組（以下簡稱稽核分組）負責執行年度內部稽核工作，俾協助檢查內部控制之實施狀況。稽核過程：

本年度稽核所決定稽核項目均依計劃預定期程辦理，惟「信息系統單位外開發及維護采購案」稽核項目，渠等采購案涉及年底結算驗收，為避免影響機關業務，提前于本年12月1日至15日辦理稽核工作。稽核人員于實地稽核時，針對稽核過程中所發現之問題業與受查單位主管進行面對面雙向討論，以進一步了解與厘清。范例76步驟三：作成稽核報告(3/4)稽核結果：茲就本次「信息系統單位外開發及維護采購案」稽核結果（如附表)摘述如次：稽核發現及結論：信息系統采購案未能妥適分配預算，致前3季預算執行率偏低，且未建立合理價格評估模式，致難以估算價格。建議意見：針對信息系統單位外開發及維護采購案，建議爾后年度妥適分配預算，并于年度開始3個月內簽奉核定，移請秘書處辦理后續采購事宜。另建議針對信息系統費用研議合理價格建構模式，作為采購價格之評估基礎。77步驟三：作成稽核報告(4/4)

范例項次稽核項目稽核發現稽核結論建議意見1信息系統單位外開發及維護采購案1.預算執行率偏低。2.采購金額過度依賴廠商估算報價，致決標單價差異大、決標金額未有一致合理之標準。3.系統費用逐年遞增，顯不合理。1.未能參考以往年度信息系統采購案各季實支數，妥適分配預算，致前3季預算執行率偏低。2.未建立合理價格評估模式，致難以估算價格。1.建議參考往年類同信息系統采購案，妥適分配預算，并建立跨單位溝通機制獲取共識，以利預算執行。2.建議信息系統采購案件，于年度開始3個月內（延續性支出則于契約屆期前3個月內）簽奉核定，并移請秘書處辦理后續采購事宜。3.建議針對信息系統費用研議合理價格建構模式，作為采購價格之評估基礎。○○機關○○年度稽核結果表附表78步驟四：分送稽核報告分送內部稽核報告，請相關單位就內部控制缺失確實檢討改善，以利后續追蹤改善情形。79○○機關函

機關地址： 傳真：

受文者：如行文單位發文日期：中華xx100年12月11日發文字號：○○字第1000600001號速別：普通件密等及解密條件或保密期限：附件：如主旨主旨：檢送○○機關本（100）年度第1次稽核報告，請就所列內部控制缺失確實檢討改善，以利后續追蹤改善情形，請查照。正本：○○機關○○單位副本：范例追蹤結果階段1匯整內控缺失2確認缺失改善3追蹤興革建議80步驟一：匯整內控缺失(1/2)內部稽核單位應就內部控制缺失事項及具體興革建議，送相關單位填報改善及辦理情形，包括辦理自行評估結果及內部稽核報告所列缺失及建議、稽核評估職能單位依其主管法令規定辦理之稽核或評估所發現之缺失及所提建議、監察院彈劾與糾正(舉)案件、審計處xx中市地方總決算審核報告重要審核意見、上級與權責機關督導所提待改善事項，涉及內部控制缺失部分等，以及上次追蹤尚未完成改善之缺失予以匯整追蹤。審計部所提年度審核意見，機關可于接獲通知時透過聲復辦理情形或主動洽詢等方式，就重要審核意見改善完成之認定等與審計部溝通。81內部控制制度自行評估結果所發現缺失

有關采購案件保證金收取及退還審核作業，依據出納管理手冊規定，會計處應核對出納單位所送現金結存日報表，惟目前出納單位所送報表為現金結存周報表，與規定不符。2.內部稽核報告所列缺失

有關信息系統單位外開發及維護采購案，經查信息系統采購案未能參考以往年度信息系統采購案各季實支數，妥適分配預算，致前3季預算執行率較偏低。3.………步驟一：匯整內控缺失(2/2)范例82步驟二：確認缺失改善(1/3)內部稽核單位應匯整內部控制缺失事項及具體興革建議，送相關單位填報改善及辦理情形，并至少每半年將追蹤該等缺失事項改善情形及興革建議辦理情形簽報機關首長核定。內部控制缺失應追蹤至改善完成為止，以確認相關單位已采取適當之改善措施；具體興革建議應追蹤至相關單位評估其可行性，以決定是否采納該等建議或采行相關因應作為為止。內部稽核單位于稽核報告所列缺失如與監察院彈劾與糾正（舉）案件、審計處xx中市地方總決算審核報告重要審核意見、上級與權責機關督導所提缺失、稽核評估職能單位及內部控制制度自行評估結果所發現缺失等重復時，得擇一填列并附注說明。。83步驟二：確認缺失改善(1/3)本次內部稽核所發現之缺失部分，應納入追蹤改善表中「本次新增之缺失」項目予以追蹤改善；上次追蹤尚未完成改善之缺失部分，仍納入追蹤改善表中「上次追蹤尚未改善完成之缺失」項目，持續追蹤至改善完成為止。84步驟二：確認缺失改善(2/2)范例○○機關○○年○○月內部控制缺失事項追蹤改善表

項次缺失事項改善情形追蹤結果一、本次新增之缺失內部控制制度自行評估結果所發現缺失內部稽核報告所列缺失1信息系統單位外開發及維護采購案（前三季預算執行率偏低；未建立合理價格評估模式）信息處已就涉及其他業務單位部分，主動與相關單位溝通機制獲取共識，并參考往年類同采購案支用情形，妥適分配本年度預算經費。已依102年度內部稽核建議意見完成改善。…………二、上次追蹤尚未改善完成之缺失85內部稽核單位亦應就具體興革建議至少每半年追蹤相關單位之辦理情形，并同追蹤改善表簽報機關首長核定。內部控制缺失應追蹤至改善完成為止，以確認相關單位已采取適當之改善措施；具體興革建議應追蹤至相關單位評估其可行性，以決定是否采納該等建議或采行相關因應作為為止。步驟三：追蹤興革建議(1/2)86步驟三：追蹤興革建議(2/2)○○機關○○年○○月內部控制具體興革建議追蹤情形表項次具體興革建議辦理情形追蹤結果一、本次新增之建議內部控制制度自行評估結果所列建議內部稽核報告所列建議1建議針對信息系統費用研議合理價格建構模式，作為采購價格之評估基礎。信息處已搜集信息人員直接薪資、信息系統管理費用及公費等相關信息，完成數據庫之建立與合理價格分析模式之設計，并將該模式納入內部控制機制。經檢視近3個月信息系統采購案，均已參考「信息系統費用之合理價格建構模式」，提供作為訂定合理建議底價之基礎，本項建議之內部控制機制已建立完成。…………二、上次追蹤尚未辦理完成之建議1………范例871.引用主計總處100年9月公布之「信息人員平均每月經常性薪資概況-按行業別分」之信息及傳播業各類職務人員平均月薪資料（101年后改采勞動部職類別薪資調查中「信息及通訊傳播業各業員工人數、平均每人月薪資」統計經常性薪資資料）。單位：元職稱平均薪資監督管理人員61,000系統分析師48,000程序設計師42,000系統管理師40,000機器操作員38,000范例信息系統費用之合理價格建構模式(1/9)882.建立信息系統直接薪資及管理費用計算參考信息系統費用之合理價格建構模式(2/9)范例機關信息系統每月平均薪資計算參考標準表職稱平均薪資直接薪資(平均薪資*1.3)第1級第2級第3級第1級第2級第3級監督管理人員61,00050,83048,06079,30066,07962,478系統分析師48,00042,89038,81062,40055,75750,453程序設計師42,00038,00036,00054,60049,40046,800系統管理師40,00036,19034,28552,00047,04744,571

機器操作員38,00036,00035,00049,40046,80045,500(1)直接薪資：引用主計總處100年9月公布之「信息人員平均每月經常性薪資概況—按行業別分」之信息及傳播業各類職務人員平均月薪資料，并依信息系統之規模、難易及繁簡等情形，細分1至3級薪資等級，另加30%作為保險費及退休金等計算。

89信息系統費用之合理價格建構模式(3/9)上表所列信息系統開發及維護之適用級數條件標準：第1級：業務性質屬整體規劃、系統整合、系統管理、網絡管理、軟件驗證及系統稽核等項目，其作業復雜度極高，具復雜數據庫規劃及網絡管理或總人月超過100人月者。第2級：業務性質屬多元化之應用作業系統或中大型主機之軟硬件操作（含數據庫系統）等，具數據庫設計及在線處理者或總人月超過25至100（含）人月者。第3級：單一應用作業或一般信息設備之軟硬件操作，總人月在24（含）人月以下者。范例90信息系統費用之合理價格建構模式(4/9)信息系統管理費用占直接薪資比例表12345678910~1415年以上軟件開發100保固軟件開發

后續維護9595909085807570656050功能增修95保固功能增修

后續維護909085807570656050注：依《機關單位托信息服務廠商評選及計費辦法》第十六條第二項第一款規定，不得超過直接薪資之100%，按系統維護的時間年期逐年遞減，以符合公平比例原則。范例(2)管理費用：考量系統漸趨穩定，可適度減少部分管理費用(包括：降低系統維護費用)，故按系統維護時間年期逐年遞減，以符合公平比例原則。單位：％91年期項目3.以○○系統開發為例，模擬試算預估采購金額。信息系統費用之合理價格建構模式(5/9)范例(1)有關「投入人月」欄，由信息人員或單位協助評估并制作分析計算表（如下表），以估算人月數量。機關○○系統所需程序清單及人力需求分析計算表(時間計算：8小時/天、22天/月)程序編號程序名稱程序內容人力分析（單位：工作時數）監督管理人員系統分析師程序設計師系統管理師…(1)主系統名稱：A系統

01○○程序XXX2001,6002,0001,502…(2)主系統名稱：B系統

01○○程序XXX160960720302…

…………(1)+(2)+(3)+…合計880