搜索
附三~34作业层级内部控制评估表(二之二)服务性作业内部控制之评估-管理作业(财务管理除外)假设公司的管理作业包括财务管理作业、企业活动管理作业、外部关系管理作业、提供行政服务作业、信息系统管理作业、风险管理作业、法律事务管理作业及计划作业等八项。因财务管理作业又进一步划分为控制作业、资金作业、税务作业与审计作业等四项,故另设评估表二之三予以评估。上述之风险管理中之「风险」并非内部控制组成要素风险评估中之风险。前者之风险指陷于意外事件或其它可保险损失之发生;后者之风险则泛指一切目标不能达成之情况。作业:企业活动管理目标种类风险控制点书面制度有效说明∕建议内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目1.订定之策略应配合企业整体目标;执行订定之策略O使企业发生变动因素的信息不完整,或不正确。上项因素如:竞争对手、产品、顾客偏好及法令等的变动。制定之策略计划应整合高阶管理阶层的看法。定期评估高阶管理阶层过去所订定的经营方向及优先级,确保这些方向及顺序现在仍然正确。把竞争对手、产品、顾客及法令变动之所有有关信息,都告诉相关作业人员。建立企业内部向上、向下及横向沟通的管道,以迅速找出阻碍达成企业策略目标的问题,并予解决。对影响成功之关键因素缺乏了解分别自产业及公司之立场,辨认影响成功之关键因素,并进行分析。附三~35目标种类风险控制点书面制度有效说明∕建议内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目资源不足或不适当辨认内部资源的来源,取得该等资源;确保外部资源可以取得。对公司与投资人或其它外部团体间的关系,不够注意与投资人其它外部团体进行沟通。2.制定及时得知正确内、外部信息的信息系统,并予维持O,F资源系统提供之信息,因太特定而不合用订立供高阶管理阶层使用之报告系统,提供管理企业所需之关键信息。信息系统过时定期复核信息系统,确保其持续符合需求。信息不正确或不及时须确保制定的信息系统所提供的信息为正确和及时。3.确保员工知道哪些行为及活动可为本企业所接受O,C未制定行为守则制订行为守则,并予遵循。员工不了解行为守则与所有新进员工一起读行为守则;定期与全体员工再读。员工忽略行为守则惩罚违反行为守则的员工;清楚传递企业不容忍违反行为守则的讯息。员工不诚实雇用员工时,向应征者的介绍人进行查询。惩戒违反行为守则及法律的员工,并向司法机关提起告诉。结论∕需采行之改善措施附三~36作业:外部关系管理目标种类风险控制点书面制度有效说明∕建议内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目1.对会影响企业目标的政府政策及法令,尝试以合法的方式加以影响O对政府的政策缺乏了解聘雇与本企业有关的政府事务有经验之人,为本公司之员工。注意法令规章及有关之政府信息,并告诉相关人员。加入游说立法机关或主管机关的产业组织。2.积极参与制定准则的团体O能否参与准则的制订,系系于主管机关的指派建立本公司为产业领袖的声誉。能够参与的名额,数目有限在影响本公司之争议问题上,确定本公司的代表是一位别人看得见,开口说话具份量的人物。3.参与能增进企业公众形象的社区活动O对社区议题缺乏了解,认知不足鼓励员工参与民间活动。结论∕需采行之改善措施附三~37作业:提供行政服务目标种类风险控制点书面制度有效说明∕建议内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目1.以最低的成本及时提供高品质的服务O人力不足或过剩估计所需行政服务的数量,确保员额配置的水准为适当。规画不足,未能整合不同的行政服务目标考量是否可以向外界购买某些项目的服务,而不要由公司内部来提供。会计制度分摊的成本不适宜搜集正确成本,并公平分摊。结论∕需采行之改善措施附三~38作业:信息系统管理目标种类风险控制点书面制度有效说明∕建议内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目1.透过信息系统之协助,落实公司之计划O,F,C在制订计划时,未充分考量信息系统所提供之财务与营运管理信息进行策略规画时,考量信息系统所提供之信息。制订策略计划时,容许信息系统的使用者参与。成立信息科技指导小组。2.信息系统衡量、处理及保存之信息,为完整且正确之信息;提供该等信息给适当人员使用O,F,C信息系统之设计,未考量使用者之需求;信息系统之使用不适当落实制订信息系统的生命周期之观念。制订信息系统的生命周期,分为以下八个阶段:1.提出信息设计系统之请求2.进行可行性研究3.进行信息系统之基本设计4.订定信息系统之细部规格5.编写程序及测试程序进行系统测试6.进行转换7.使用者接受,并核准信息系统附三~39目标种类风险控制点书面制度有效说明∕建议内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目采用项目管理程序,确保设置信息系统的作业经适当管理。在核准信息系统时,让使用者参与,以确保信息系统之设计符合其需求。修正信息及程序之作法欠当信息系统及计算机程序之变更须妥为控制。变更信息系统计算机程序的程序,包括:‧提出信息系统或计算机程序变更之申请,份经适当核准。‧在变更过程中,全程追踪记录。‧使用部门核准变更后的新设计。‧测试所有的变更,包括在数据处理时所发生之变更;使用部门及数据处理部门核准测试之结果。‧提出变更请求之部门核准经测试的变更。‧把因变更而生的影响通知数据处理部门。‧编写或更新系统与程序的手册,例如:操作手册、使用者手册、程序说明及系统介绍等。附三~40目标种类风险控制点内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目计算机作业使用错误的程序、档案及计算机作业的程序不正确事先制订计算机工作排程表,并予遵循;任何未遵循排程表的情事,均应经核准,且须加记录。制订下列作业执行之程序:1.准备批次作业2.加载应用系统3.加载系统软件在处理数据时所使用的控制指令及参数,须与已核准者相同。有违反既定准备及执行程序之必要时,须先取得书面核准;核准人可能须包括使用部门在内。订立适当程序,俾在下列情况发生时,能够辨认作业员之行动,而且,报导及核准其行动。例如:1.初次加载系统软件及应用软件2.系统软件发生故障3.重新开机及复原4.紧急状况或其它不寻常状况附三~41目标种类风险控制点书面制度有效说明∕建议内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目数据文件在未经核准的情况下,亦被取阅订立企业保护信息安全之政策;高层主管明述其对保护信息安全之承诺,并以行动表示落实承诺之决心。将上述信息保全政策转化为准则和程序,针对下列项目作成规定:1.信息分类之标准:包括信息之类别(例如:研究、会计或行销等)及其安全层级(例如:极机密、机密、限内部使用,或非机密之一般数据等)2.各种数据、其使用人(含单位),以及保护数据安全的控制3.机密性信息所面临的威胁与需要的保护。4.管理阶层、信息(数据或程序)安全维护人员、信息所有人、计算机操作员、系统使用人及内部稽核人员,对于下列项目负担的责任:信息的所有权取得信息的程序订立使用者得取得信息之程序附三~42目标种类风险控制点书面制度有效说明∕建议内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目授权之要求监督信息安全之程序未遵循准则及程序的后果或若有必要,执行保全之计划未经核准,程序可能即遭修改考虑评估信息安全之风险。使用保护信息安全之软件包,保护数据、系统及链接库。适当控制系统软件,确保其执行及维护为适当,及不致在未经授权情况下被修改。设置保护计算机软件、软件及数据,实体安全之措施。3.在需要使用信息系统时,即可使用O,F,C未维持信息系统保持运作之办法高层主管承诺将妥为处理信息系统所遭遇的意外事项。订定并维持一套信息系统保持运作计划。附三~43目标种类风险控制点书面制度有效说明∕建议内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目新订信息系统时,评估其对系统持续运作之影响;修正时亦同。规画信息处理之替代方案。备份及复原程序不良定期备置重要数据文件、系统及程序之备份,储存于计算机房以外之处所。信息资源之防护措施欠当定期测试防止营业中断计划之有效性。结论∕需采行之改善措施附三~44作业:风险管理本段之风险系指意外事件或其它可保险之损失,而非目标不能达成之可能。目标种类风险控制点书面制度有效说明∕建议内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目1.防止意外事件的发生,或降低其发生之机率O某些工作、活动或场所,本质上,具危险性辨认危险的工作、活动及场所。制订提醒工人注意其安全之政策、程序,并予执行。对保险赔偿给付之金额进行监督;与同业平均数(绩效指针)比较。辨认意外发生之原因,并执行保全措施。生产设备过时编制资本支出预算时,已考虑安全的目标。安全计划及员工训练计划效果欠缺新进员工须参加安全讲习。现任员工须定期参加更新的安全讲习。设备维修不当或设备不适合订定设备维修计划,确保设备经适当维修,对员工提报的设备功能不良事件,进行调查并予解决。员工忽略安全政策处罚违反安全政策之员工。附三~45目标种类风险控制点书面制度有效说明∕建议内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目2.确保员工遵守职业安全相关法令之规定C员工缺乏职业安全法令之知识聘请法律顾问,就职业安全法令之规定,提出建议;确定法律顾问定期检查职业安全之相关政策、程序及措施。3.在投保金额适当之前提下,尽量减低保险理赔及其它与风险有关的成本O与风险有关之成本、意外或其它可能导致保险理赔事件的信息,不正确、不充分或不及时确定所有的意外及其它可能导致保险理赔的事件,均向适当人员报告。确定信息系统所提供的信息,涵盖所有相关之风险成本。上述成本包括:保险费、自保之损失等。确定凡有关的重大风险,均已辨明,而且,已加考量。上述风险包括:产品责任、财产及意外、营业中断与丧失重要营业人员等。评估投保金额是否适当,并考虑是否采用抑减保险成本的机会。员工缺乏风险管理技术的知识聘请具备风险管理知识的人员或顾问。结论∕需采行之改善措施附三~46作业:法律事务管理目标种类风险控制点书面制度有效说明∕建议内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目1.确保公司遵循所有应遵守的法律与规章C管理阶层不知道法规之规定聘请具备相关产业知识的法律顾问。法律顾问定期把法令之规定告诉管理阶层。法律顾问不知道公司内部发生的全部活动法律顾问须复核公司签订的所有重大契约与协议。法律顾问须复核各子公司、部门或单位的年度营运计划。法律顾问须参加管理阶层的会议、参观各营业场所,或与子公司、部门或单位经理沟通,取得对整个企业的活动之全盘了解。鼓励法律顾问定期与内部稽核人员、独立会计师、董事沟通。法令规定经常改变法律顾问注意新的法规判例,及影响本企业的其它事项。附三~47目标种类风险控制点书面制度有效说明∕建议内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目2.确保签订之合约与协议为清楚、公平且在法律上可执行O法律顾问未复核合约与协议所有重大的契约与协议皆须经法律顾问的复核。只有适当层级的主管,在经授权的情况下,才可签订合约与协议。3.使诉讼及和解成本为最低O一般员工非法律专业,不知道可能会导致诉讼之情况指派员工参加训练,使其了解须通知法律顾问的情况。在所有契约和协议中均订定下列条款︰「凡与本公司就法律事项进行联系时,通知文件请寄交本公司之法律顾问」。有关诉讼成本、预期和解的信息或估计不正确追踪现在及以前发生的诉讼成本。收集类似讼案最近和解或赔偿之信息。结论∕需采行之改善措施附三~48作业:计划目标种类风险控制点书面制度有效说明∕建议内部控制内部稽核其他YN代号作业程序控制重点代号稽核项目1.依照企业整体目标,拟订长期及短期计划O对公司之整体目标缺乏了解建立一套计划拟订方法,以企业整体目标作为拟订计划之基础。把公司整体目标告诉拟订计划的人员。不知道有可利用机会加入产业与贸易组织。参加外部团体所举办的研讨会,或其它可提供信息的会议。聘请有经验且适任的人员担任管理阶层。2.制定一种可让管理阶层及时管理营运及衡量进度的计划O管理信息系统欠当建立可以同时呈现可比较历史数据与计划数据的信息系统。因计划表