政府內部控制觀念架構及設計

一、政府內部控制觀念架構

我國主計總處應用美國 COSO 之「內部控制-整合架構」於政府，將政府內 部控制視為是一種管理過程，該過程係整合政府機關內部各種控管及評核措施，

並由機關全體人員共同參與，藉以合理促使達成「確保施政效能、遵循法令規定、

保障資產安全、提供可靠資訊」四項目標。內部控制包含控制環境、風險評估、

控制作業、資訊與溝通及監督等五項組成要素，機關各單位有關人員於設計其內 部控制制度時，應綜合考量前述要素及其彼此間之關係。茲以圖 2-4 呈現政府內 部控制之目標、各組成要素及其關係。

圖 2-4 政府內部控制觀念架構

資料來源：本研究

12

茲說明內部控制各組成要素及其關係如下。

（一）控制環境

塑造機關文化及影響其人員對內部控制認知之綜合因素，為其他四項組成要 素之基礎。控制環境之相關重點包括公務職業操守與倫理價值觀念之建立與維持、

首長與高階主管對推動及落實內部控制制度之重視與支持、機關組織架構及授權 之適當明確、人力資源之妥適管理，以及專業能力之提升。茲略述如下：

1. 公務職業操守與倫理價值觀念之建立與維持

強調操守、法制責任觀念及風險意識，落實執行廉政倫理規範，排除或減 少高階主管及員工從事非法行為之環境誘因、壓力或機會。

2. 首長與高階主管對推動及落實內部控制制度之重視與支持

機關首長全力支持且對內部控制制度之有效運作負責，各單位主管以上人 員以身示範，將施政理念及行動風格導入正向，確認目標且避免承受過量 風險。

3. 機關組織架構及授權之適當明確

各單位責任明確分工，授給員工之權力與其擔負之責任相稱。

4. 人力資源之妥適管理

建置適才適所之人員進用、升遷及獎懲措施，定期考核員工及維持擔任重 要職務所需之能力。

5. 專業能力之提升

辦理宣導及教育訓練、提升員工瞭解與落實執行工作之專業知識、經驗及 服務觀念。

（二）風險評估

風險評估係指機關辨識攸關之施政風險、分析該等風險之影響程度與發生可 能性，及評量對風險容忍度之過程，據以決定採取控制作業或監督等方式，俾處 理或回應相關風險。風險評估之相關重點包括風險之辨識、分析與評量。茲略述 如下：

1. 風險辨識

辨識影響目標達成之風險因素（事項）。政策及施政計畫之擬訂，應切合

13

機關整體層級目標，進而辨認作業層級目標，考量可能引發整體層級風險

（如導因於時空環境變遷等）與作業層級風險（基於業務特性）之因素、

必要之配套措施及替代方案之可行性等。

2. 風險分析

分析風險因素一旦發生對機關之影響程度（如財物損失、政務停擺或形象 受損等衝擊之嚴重性），及其發生之可能性（機率），綜合兩者據以估計風 險等級。

3. 風險評量

評量對風險之容忍度，並依據風險等級決定需優先處理之風險因素。

（三）控制作業

為了合理促使機關達成目標、降低風險，且有助於落實執行機關決策，所訂 定之控制規範及程序。控制作業之相關重點包括整體及作業層級控制：

1. 整體層級控制

對機關各單位多項業務有廣泛影響之控管措施或控制規範。

2. 作業層級控制

機關各單位經依個別業務職掌已確認之作業層級目標，所評估風險之結果，

選定業務項目，秉持化繁為簡原則，設計控制重點，並配合業務調整及作 業變動，適時檢討修訂。

（四）資訊與溝通

適時有效編製或蒐集資訊，並傳達予相關人員，使其有效履行職責或瞭解責 任履行情形。所稱資訊，包括與機關目標有關之財務及非財務資訊，可由內部產 生或自外部取得，以供決策及監督之用。所稱溝通，則包括內部溝通與外部溝通：

1. 內部溝通

告知機關全體人員在內部控制所扮演之角色及責任，並建立通報異常情事 之管道，促使機關上下或跨單位資訊充分傳達。

14

2. 外部溝通

依法對外部人士（如監督機關、主管機關及社會大眾）公開或提供資訊，

並對外界提出之意見及時處理與追蹤。

將內部控制制度以紙本、電子或其他方式儲存、管理與傳達，有利連貫及 支援四項組成要素：

(1) 對機關全體人員宣達組織職掌及已確認之目標等，以營造良好的控制 環境。

(2) 進行風險評估時，得將內部控制制度之品質納入考量。

(3) 各項業務之控制作業得以書面文件訂定，使機關全體人員可瞭解、易 遵循，並掌握控制重點。

(4) 監督時，依各項文件檢視內部控制制度是否有效設計及執行；而相關 評估結果、建議及後續改善之紀錄，可供回饋或追蹤辦理情形。

（五） 監督

機關評估內部控制制度設計及執行成效之過程，藉以適時修正及改善內部控 制制度。監督之相關重點包括例行監督、自行評估與稽核評估：

1. 例行監督

由機關內部各項業務承辦單位主管人員，執行督導作業。

2. 自行評估

由機關內部各單位，就其內部控制制度設計及執行之有效性加以評估，並 及時補救或改正，且作成紀錄備供主管機關訪查及督導。自行評估分為下 列二類：

(1) 整體層級自行評估

按內部控制五項組成要素，逐一檢視、評估內部控制制度之有效性。

(2) 作業層級自行評估

就各項業務之作業類別（項目）逐一檢視、評估控制作業之有效性。

3. 稽核評估

15

統合或運用相關稽核評估職能，客觀檢視內部控制制度設計及執行是否有 效，並就發現之缺失與相關建議，及時改善與追蹤，必要時檢討修正內部 控制制度。

從內部控制組成要素之定義與內容，可以進一步說明內部稽核、內部控制、

風險管理與治理間存在之關係如圖 2-5。圖 2-5 顯示，內部控制是治理的基石，

且內部控制包含在風險管理之內，係風險管理不可或缺的一部分。風險管理著重 風險觀念，自內部控制延伸，其涵蓋範圍比內部控制廣泛（馬秀如 2005）。內部 稽核則協助各層級機關管理者評估及覆核內部控制制度之缺失、評量施政效能與 效率，並適時提供改進建議，確保內部控制制度得以持續有效實施及作為檢討修 正內部控制制度之依據。

圖 2-5 內部稽核、內部控制、風險管理與治理過程之關係

資料來源：參考王怡心、周靜幸（2010, P.13）

二、政府內部控制制度之設計

美國及企業的內部控制係以交易循環別為基礎，針對每個環節進行評估，最 後由交易結果，即財務面的報表，評估內部控制。國內政府則是採用職能別，與 循環別有所不同，其中跨職能別的部分，是內部控制最容易產生問題之處，也是 內部控制的關鍵點，值得深度關切。因此，本研究建議，各機關執行業務之流程 應考量安全與效率，依各單位之實際情況與需要，在安全與效率中取得均衡，將

16

內部控制融入於各作業流程之訂定與檢討，透過作業流程建置內部控制機制，辨 識、分析與評量主要風險。

政府目前所採按職能別設計內部控制之作法，宜參採內建控制於作業流程之 建議。以作業作為業務流程之分析基礎，可以透過內部作業與外部作業之連結概 念，讓作業流程改善有更寬廣之空間，並提供資源投入與產出間流程績效之因果 關係，可提供作業基礎管理之架構。

17