内控控制评估表.docx
《内控控制评估表.docx》由会员分享,可在线阅读,更多相关《内控控制评估表.docx(72页珍藏版)》请在冰豆网上搜索。
内控控制评估表
作业层级部控制评估表(二之二)服务性作业部控制之评估-管理作业(财务管理除外)
假设公司的管理作业包括财务管理作业、企业活动管理作业、外部关系管理作业、提供行政服务作业、信息系统管理作业、风险管理作业、法律事务管理作业及计划作业等八项。
因财务管理作业又进一步划分为控制作业、资金作业、税务作业与审计作业等四项,故另设评估表二之三予以评估。
上述之风险管理中之「风险」并非部控制组成要素风险评估中之风险。
前者之风险指陷于意外事件或其它可保险损失之发生;后者之风险则泛指一切目标不能达成之情况。
作业:
企业活动管理
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
1.订定之策略应配合企业整体目标;执行订定之策略
O
使企业发生变动因素的信息不完整,或不正确。
上项因素如:
竞争对手、产品、顾客偏好及法令等的变动。
制定之策略计划应整合高阶管理阶层的看法。
定期评估高阶管理阶层过去所订定的经营方向及优先级,确保这些方向及顺序现在仍然正确。
把竞争对手、产品、顾客及法令变动之所有有关信息,都告诉相关作业人员。
建立企业部向上、向下及横向沟通的管道,以迅速找出阻碍达成企业策略目标的问题,并予解决。
对影响成功之关键因素缺乏了解
分别自产业及公司之立场,辨认影响成功之关键因素,并进行分析。
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
资源不足或不适当
辨认部资源的来源,取得该等资源;确保外部资源可以取得。
对公司与投资人或其它外部团体间的关系,不够注意
与投资人其它外部团体进行沟通。
2.制定及时得知正确、外部信息的信息系统,并予维持
O,F
资源系统提供之信息,因太特定而不合用
订立供高阶管理阶层使用之报告系统,提供管理企业所需之关键信息。
信息系统过时
定期复核信息系统,确保其持续符合需求。
信息不正确或不及时
须确保制定的信息系统所提供的信息为正确和及时。
3.确保员工知道哪些行为及活动可为本企业所接受
O,C
未制定行为守则
制订行为守则,并予遵循。
员工不了解行为守则
与所有新进员工一起读行为守则;定期与全体员工再读。
员工忽略行为守则
惩罚违反行为守则的员工;清楚传递企业不容忍违反行为守则的讯息。
员工不诚实
雇用员工时,向应征者的介绍人进行查询。
惩戒违反行为守则及法律的员工,并向司法机关提起告诉。
结论∕需采行之改善措施
作业:
外部关系管理
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
1.对会影响企业目标的政府政策及法令,尝试以合法的方式加以影响
O
对政府的政策缺乏了解
聘雇与本企业有关的政府事务有经验之人,为本公司之员工。
注意法令规章及有关之政府信息,并告诉相关人员。
加入游说立法机关或主管机关的产业组织。
2.积极参与制定准则的团体
O
能否参与准则的制订,系系于主管机关的指派
建立本公司为产业领袖的声誉。
能够参与的名额,数目有限
在影响本公司之争议问题上,确定本公司的代表是一位别人看得见,开口说话具份量的人物。
3.参与能增进企业公众形象的社区活动
O
对社区议题缺乏了解,认知不足
鼓励员工参与民间活动。
结论∕需采行之改善措施
作业:
提供行政服务
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
1.以最低的成本及时提供高品质的服务
O
人力不足或过剩
估计所需行政服务的数量,确保员额配置的水准为适当。
规画不足,未能整合不同的行政服务目标
考量是否可以向外界购买某些项目的服务,而不要由公司部来提供。
会计制度分摊的成本不适宜
搜集正确成本,并公平分摊。
结论∕需采行之改善措施
作业:
信息系统管理
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
1.透过信息系统之协助,落实公司之计划
O,F,C
在制订计划时,未充分考量信息系统所提供之财务与营运管理信息
进行策略规画时,考量信息系统所提供之信息。
制订策略计划时,容许信息系统的使用者参与。
成立信息科技指导小组。
2.信息系统衡量、处理及保存之信息,为完整且正确之信息;提供该等信息给适当人员使用
O,F,C
信息系统之设计,未考量使用者之需求;信息系统之使用不适当
落实制订信息系统的生命周期之观念。
制订信息系统的生命周期,分为以下八个阶段:
1.提出信息设计系统之请求
2.进行可行性研究
3.进行信息系统之基本设计
4.订定信息系统之细部规格
5.编写程序及测试程序进行系统测试
6.进行转换
7.使用者接受,并核准信息系统
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
采用项目管理程序,确保设置信息系统的作业经适当管理。
在核准信息系统时,让使用者参与,以确保信息系统之设计符合其需求。
修正信息及程序之作法欠当
信息系统及计算机程序之变更须妥为控制。
变更信息系统计算机程序的程序,包括:
‧提出信息系统或计算机程序变更之申请,份经适当核准。
‧在变更过程中,全程追踪记录。
‧使用部门核准变更后的新设计。
‧测试所有的变更,包括在数据处理时所发生之变更;使用部门及数据处理部门核准测试之结果。
‧提出变更请求之部门核准经测试的变更。
‧把因变更而生的影响通知数据处理部门。
‧编写或更新系统与程序的手册,例如:
操作手册、使用者手册、程序说明及系统介绍等。
目标
种类
风险
控制点
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
计算机作业使用错误的程序、档案及计算机作业的程序不正确
事先制订计算机工作排程表,并予遵循;任何未遵循排程表的情事,均应经核准,且须加记录。
制订下列作业执行之程序:
1.准备批次作业
2.加载应用系统
3.加载系统软件
在处理数据时所使用的控制指令及参数,须与已核准者相同。
有违反既定准备及执行程序之必要时,须先取得书面核准;核准人可能须包括使用部门在。
订立适当程序,俾在下列情况发生时,能够辨认作业员之行动,而且,报导及核准其行动。
例如:
1.初次加载系统软件及应用软件
2.系统软件发生故障
3.重新开机及复原
4.紧急状况或其它不寻常状况
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
数据文件在未经核准的情况下,亦被取阅
订立企业保护信息安全之政策;高层主管明述其对保护信息安全之承诺,并以行动表示落实承诺之决心。
将上述信息保全政策转化为准则和程序,针对下列项目作成规定:
1.信息分类之标准:
包括信息之类别(例如:
研究、会计或行销等)及其安全层级(例如:
极、、限部使用,或非之一般数据等)
2.各种数据、其使用人(含单位),以及保护数据安全的控制
3.性信息所面临的威胁与需要的保护。
4.管理阶层、信息(数据或程序)安全维护人员、信息所有人、计算机操作员、系统使用人及部稽核人员,对于下列项目负担的责任:
信息的所有权
取得信息的程序
订立使用者得取得信息之程序
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
授权之要求
监督信息安全之程序
未遵循准则及程序的后果或若有必要,执行保全之计划
未经核准,程序可能即遭修改
考虑评估信息安全之风险。
使用保护信息安全之软件包,保护数据、系统及库。
适当控制系统软件,确保其执行及维护为适当,及不致在XX情况下被修改。
设置保护计算机软件、软件及数据,实体安全之措施。
3.在需要使用信息系统时,即可使用
O,F,C
未维持信息系统保持运作之办法
高层主管承诺将妥为处理信息系统所遭遇的意外事项。
订定并维持一套信息系统保持运作计划。
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
新订信息系统时,评估其对系统持续运作之影响;修正时亦同。
规画信息处理之替代方案。
备份及复原程序不良
定期备置重要数据文件、系统及程序之备份,储存于计算机房以外之处所。
信息资源之防护措施欠当
定期测试防止营业中断计划之有效性。
结论∕需采行之改善措施
作业:
风险管理
本段之风险系指意外事件或其它可保险之损失,而非目标不能达成之可能。
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
1.防止意外事件的发生,或降低其发生之机率
O
某些工作、活动或场所,本质上,具危险性
辨认危险的工作、活动及场所。
制订提醒工人注意其安全之政策、程序,并予执行。
对保险赔偿给付之金额进行监督;与同业平均数(绩效指针)比较。
辨认意外发生之原因,并执行保全措施。
生产设备过时
编制资本支出预算时,已考虑安全的目标。
安全计划及员工训练计划效果欠缺
新进员工须参加安全讲习。
现任员工须定期参加更新的安全讲习。
设备维修不当或设备不适合
订定设备维修计划,确保设备经适当维修,对员工提报的设备功能不良事件,进行调查并予解决。
员工忽略安全政策
处罚违反安全政策之员工。
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
2.确保员工遵守职业安全相关法令之规定
C
员工缺乏职业安全法令之知识
聘请法律顾问,就职业安全法令之规定,提出建议;确定法律顾问定期检查职业安全之相关政策、程序及措施。
3.在投保金额适当之前提下,尽量减低保险理赔及其它与风险有关的成本
O
与风险有关之成本、意外或其它可能导致保险理赔事件的信息,不正确、不充分或不及时
确定所有的意外及其它可能导致保险理赔的事件,均向适当人员报告。
确定信息系统所提供的信息,涵盖所有相关之风险成本。
上述成本包括:
保险费、自保之损失等。
确定凡有关的重大风险,均已辨明,而且,已加考量。
上述风险包括:
产品责任、财产及意外、营业中断与丧失重要营业人员等。
评估投保金额是否适当,并考虑是否采用抑减保险成本的机会。
员工缺乏风险管理技术的知识
聘请具备风险管理知识的人员或顾问。
结论∕需采行之改善措施
作业:
法律事务管理
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
1.确保公司遵循所有应遵守的法律与规章
C
管理阶层不知道法规之规定
聘请具备相关产业知识的法律顾问。
法律顾问定期把法令之规定告诉管理阶层。
法律顾问不知道公司部发生的全部活动
法律顾问须复核公司签订的所有重大契约与协议。
法律顾问须复核各子公司、部门或单位的年度营运计划。
法律顾问须参加管理阶层的会议、参观各营业场所,或与子公司、部门或单位经理沟通,取得对整个企业的活动之全盘了解。
鼓励法律顾问定期与部稽核人员、独立会计师、董事沟通。
法令规定经常改变
法律顾问注意新的法规判例,及影响本企业的其它事项。
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
2.确保签订之合约与协议为清楚、公平且在法律上可执行
O
法律顾问未复核合约与协议
所有重大的契约与协议皆须经法律顾问的复核。
只有适当层级的主管,在经授权的情况下,才可签订合约与协议。
3.使诉讼及和解成本为最低
O
一般员工非法律专业,不知道可能会导致诉讼之情况
指派员工参加训练,使其了解须通知法律顾问的情况。
在所有契约和协议中均订定下列条款︰「凡与本公司就法律事项进行联系时,通知文件请寄交本公司之法律顾问」。
有关诉讼成本、预期和解的信息或估计不正确
追踪现在及以前发生的诉讼成本。
收集类似讼案最近和解或赔偿之信息。
结论∕需采行之改善措施
作业:
计划
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
1.依照企业整体目标,拟订长期及短期计划
O
对公司之整体目标缺乏了解
建立一套计划拟订方法,以企业整体目标作为拟订计划之基础。
把公司整体目标告诉拟订计划的人员。
不知道有可利用机会
加入产业与贸易组织。
参加外部团体所举办的研讨会,或其它可提供信息的会议。
聘请有经验且适任的人员担任管理阶层。
2.制定一种可让管理阶层及时管理营运及衡量进度的计划
O
管理信息系统欠当
建立可以同时呈现可比较历史数据与计划数据的信息系统。
因计划表达形式不当,而使计划不能作为评估绩效的指标
评估计划的有效性;改善计划之表达方式,强调关键成功因素。
3.拟订计划的方法为有效率的方法
O
规划制度欠当及过时
先对公司整体目标取得共识,然后,才拟订个别计划;分配资源之优先级,应与公司整体目标相一致。
制定规划之制度,宣誓落实之决心;必要时,举办训练。
目标
种类
风险
控制点
书面制度
有效
说明∕建议
部控制
部稽核
其他
Y
N
代号
作业程序
控制重点
代号
稽核项目
按照营运重点,收集规划所需信息。
订定收集、分析、整合规划所需信息的时间表,并予遵循。
4.拟订之计划应属可行
O
信息不正确;假设亦不确实
复核并测试假设的可靠性。
拟订计划时,考虑所有的支持营运之活动。
由适当幕僚人员参与计划之拟订。
结论∕需采行之改善措施
升级会员 