本制度應包括下列組成要素:
一、控制環境:學校法人及學校設計及執行本制度之基礎,包括組織文化、誠信與道德價值、組織結構、權責分派、人力資源政策、績效衡量及獎懲等。
二、風險評估:學校法人及學校主管階層應先確立各項目標,並與不同層級單位相連結,同時需考慮目標之適合性,並考量內外環境改變之影響及可能發生之舞弊情事,透過適當風險管理政策及程序,進行風險辦識、分析及評估。其評估結果可協助學校法人及學校及時設計、修正及執行必要之控制作業。
三、控制作業:學校法人及學校依風險評估結果,採用適當政策及程序之行動,將風險控制在可承受範圍內。控制作業之執行,包括學校法人及學校所有層級、業務流程內各個階段、所有科技環境等範圍之監督及管理。
四、資訊及溝通:學校法人及學校蒐集、產生及使用與校務規劃、執行及監督有關之內外部資訊,以支持內部控制其他組成要素之持續運作,確保資訊之有效溝通,並提供資訊需求者適時取得資訊之機制。
五、監督作業:學校法人及學校進行下列監督作業,以確定本制度之有效性、及時性及確實性:
(一)例行監督:主管階層本於職責,就分層負責授權業務執行持續性常態督導。
(二)自行評估:由相關單位依職責分工,評估各組成要素運作之有效程度。
(三)稽核評估:由內部稽核人員以客觀公正之立場,協助檢核內部控制實施狀況,並適時提供改善建議;發現內部控制制度缺失時,應向適當層級之主管階層、董事會及監察人報告。
學校法人及學校於設計、執行或自行評估本制度時,應綜合考量前項各款組成要素,並得依實際需要自行調整必要之項目。