1、德勤华永会计师事务所有限公司 2012年2月,内部控制自我评估 操作流程分享,本次培训由德勤华永会计师事务所(以下简称“德勤华永”)提供的所有资料或解释(包括但不限于投影片)(以下统称为“材料”)为内部使用目的而编制的。它仅提供给德勤华永所授权的人士使用。该材料仅供一般指引之用,并非旨在构成任何决策的基础,且不能被解释为德勤华永的建议、意见或推荐。此外,由于德勤华永在编制有关材料时受时间及适用的资料所限,可能并未知悉所有的事实或资料,因此该等材料并不应被视为全面完备的材料。而德勤华永亦不会就材料的准确性、完整性或充分性进行任何陈述。使用者应当自行承担因应用该等材料的内容而产生的风险。本材料为机
2、密文件。除德勤华永所授权的人士外,任何其它人士未经德勤华永事先书面同意,不得以任何方式持有、使用或传播本材料。德勤华永不对任何人承担任何义务和责任(包括但不限于疏忽引起的责任)。德勤华永保留本材料的著作权及其它一切知识产权。,重要声明,1,议程,2,中国内部控制监管要求,3,企业内部控制 基本规范,企业内部控制 应用指引,企业内部控制 评价指引,企业内部控制 审计指引,五部委内部控制规范体系,4,关键用途,适用对象,适用于企业、监管机构、咨询方、鉴证机构,适用于审计师,主要用于公司建立健全内部控制体系,主要用于公司对内部控制体系进行独立评价持续改进,用于审计师对内部控制体系进行外部评价并指导企
3、业持续改进内控缺陷,完善内控等,5,五部委配套企业内部控制评价指引解读章节结构,五部委配套企业内部控制评价指引解读 第一章 总则,内部控制评价定义:是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制评价需要遵循的原则: 全面性原则:评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。 重要性原则:评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。 客观性原则:评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。,五部委配套企业内部控制评价指引解读 第二章:内部控制评价
4、的内容,企业应当根据企业内部控制基本规范、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。内部控制评价工作应当形成工作底稿: 评价要素 主要风险点 采取的控制措施 有关证据资料 认定结果,五部委配套企业内部控制评价指引解读 第三章 内部控制评价的程序,控制缺陷类别认定,形成认定意见,董事会,重大缺陷最终认定,审阅批准内部控制评价报告,内审部/评价部门,9,五部委配套企业内部控制评价指引解读 第三章 内部控制评价的程序,企业实施内部控制评价程序的具体流程,负责对内部控制的有效性进行全
5、面评价、形成结论,出具报告,董事会,负责内部控制评价的具体组织实施工作,控制缺陷的分析、复核、报告及跟踪,内部控制评价部门 (内部审计机构/其他专门机构),领导和监督内控评价工作,审计委员会,向董事会、监视会或者经理层 报告发现的内控缺陷,对内控评价报告 真实性负责,组建,五部委配套企业内部控制评价指引解读 内部控制评价体系中各机构的角色及职责,五部委配套企业内部控制评价指引解读 内部控制评价的测试方法,内部控制缺陷类型:设计缺陷和运行缺陷内部控制缺陷的认定: 重大缺陷:是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标 重要缺陷:是指一个或多个控制缺陷的组合,其严重程度和经济后果低于
6、重大缺陷,但仍有可能导致企业偏离控制目标 一般缺陷:是指除重大缺陷、重要缺陷之外的其他缺陷财务报告内部控制缺陷的认定:一般通过定量的方式予以确定非财务报告内部控制缺陷的认定:定量和定性相结合的方式予以确定 定量:既可以根据缺陷造成直接财产损失的绝对金额制定,也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定 定性:可以根据缺陷潜在负面影响的性质、范围等因素确定,五部委配套企业内部控制评价指引解读 第四章 内部控制缺陷的认定,企业内部控制评价部门应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综
7、合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。,五部委配套企业内部控制评价指引解读 第四章 内部控制缺陷的认定,注:内部控制评价部门负责编制,报经董事会或类似权力机构批准,董事会对内部控制评价报告的真实性负责。,五部委配套企业内部控制评价指引解读 第五章 内部控制评价报告,内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出月之
8、间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。企业应当以 12 月 31 日作为年度内部控制评价报告的基准日,内部控制评价报告应于基准日后 4 个月内报出。企业应当建立内部控制评价工作档案管理制度。内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管,五部委配套企业内部控制评价指引解读 第五章 内部控制评价报告,议程,建设内部控制体系的路线图内控自评阶段,内控梳理对标,内控整改固化,内控评价,制定内控评价办法 开展内控评价 跟踪缺陷整改 编制内控评价报告,记录内控缺陷 设计整改方案 完善内控制度 更新内控文件,成立专属部门 确定梳理范围 实施风险评估
9、 整理现有制度 辨识内控环节 对标管理规范,内控审计,进行模拟审计 提供所需证据 出具管理声明 披露审计报告,内部控制应用指引,内部控制评价指引,内部控制审计指引,内部控制基本规范,管理层持续整改/内部监督持续开展,17, 2010德勤华永会计师事务所有限公司版权所有 保留一切权利,信息化建设,各阶段工作解决方案分享内控自评整体工作流,开展内控评价 跟踪缺陷整改 编制内控评价报告,内控自评,18,19,制定评价工作方案基本要素,确定自评范围(包括纳入单位、流程等)确定自评内容(包括执行测试程序、认定内控缺陷、落实整改等)自评人员和时间安排自评工作费用预算其他事项,制定评价工作方案自评范围的确定
10、,以风险评估为基础,结合财务报表从定性,定量两方面进行分析,选择进行内控自我评估的下属板块、公司、相关业务及流程,确定自评范围。,* 机构管理水平分析:根据以往各机构管理水平的了解,以及过往审计发现的多寡,将机构的管理水平分为好(G)、可以接受(A)、弱(W),制定评价工作方案自评范围的确定,确定 不同单位和流程的自评频率示例:,制定评价工作方案自评范围的确定,确定纳入自评范围工作单位/流程底稿模板,纳入单位,纳入流程,制定评价工作方案自评内容的确定,详见后续“实施现场测试”、“认定控制缺陷”、“汇总评价结果”和“编制评价报告”各环节中的有关内容,确定自评工作内容示例:,计算纳入自评范围的分支
11、机构与业务流程预计所需自评人员的人数和工作量。 结合年度其他项目所需人员数量和工作量,检查集团是否有足够的资源开展内控自我评估工作,以判断是否需要调整年度内控自评计划。 根据调整后与现有资源相适应的内控自评计划,安排自评人员和时间。 在安排内控自评人员时应考虑其专业胜任能力。,制定评价工作方案人员和时间安排,制定评价工作方案人员和时间安排,人员安排示例时间安排示例,制定评价工作方案费用预算,企业可以根据自身情况设计自评工作的费用预算(示例如右图),回避原则:相关自评人员应该遵循企业内部控制评价指引第十四条的回避原则(“ 企业内部控制评价部门应当根据经批准的评价方案,组成内部控制评价工作组,具体
12、实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。”) 与外部审计的协调,制定评价工作方案其他事项,企业可以根据自身情况列举所需说明事项,例如:,实施现场测试内控自评测试表,内控自评测试表是实施自评工作的重要底稿之一,控制活动 发生频率: 针对内控手册中列示的控制活动发生频率,结合下页的样本量选取表格,抽取适当数量的样本进行独立测试。发生频率为按需的情况下,须首先计算控制活动在测试期间的发生的总数,再根据选取表格决定样本数量。,控制活动发生频率,实施现场测试内控自评测试样本量,实施现场测试内控自评测试样本量
13、,测试程序: 对应每个控制活动的内控设计情况而制定测试程序。若事前了解的企业控制活动现状与内控手册中的关键控制活动有所变化,其测试程序也需相应更新。先执行穿行测试(即用一个样本模拟该流程),只有当穿行测试通过的前提下才获取充足的样本量,并检查其是否符合标准,据此评价该控制活动的有效性。,内控自评测试程序,实施现场测试内控自评测试程序,实施现场测试内控自评测试程序,在穿行测试通过的前提下,应当设置工作底稿以详细记录一定样本量的测试情况;根据充足样本的测试结果对该控制活动的有效性进行评价。,1、对应每个控制活动的内控设计情况而制定测试程序。若通过穿行测试了解到的实际控制活动与原内控手册的关键控制活
14、动有所变化,其测试程序也需相应更新。 2、测试程序应重点针对关键控制活动的4W+1H进行编写,检查内控活动的执行人员、过程、结果、频率、文档的流转和保存等是否如内控活动所述展开。 3、测试方法可以有观察、获取并检查文件资料、访谈、重新测试等选择。 4、样本量的界定需按照频率执行,依照测试样本量选取表格的要求,获取并检查符合标准的样本数量。 5、对所有的测试程序,须建立单独的测试模板页面,注明相关的控制活动编号、样本量、测试程序、测试样本的填写模板等,并做好与内控手册的链接。,实施现场测试 内控自评测试程序编写要点,内控测试程序举例一,控制目标: 企业应当结合采购申请机制建立外购固定资产请购与审
15、批制度,确定归口管理部门,授予相应的请购权,明确相关部门或人员的职责权限及相应的请购和审批程序。控制活动: 在固定资产请购时,由使用部门提出请购申请,填写设备仪器申购单,经申请各部门审批、总经理审批后交采管部进行采购。测试程序: 第一步:从公司固定资产财务账中,估算抽样样本数量,选取样本,取得新增固定资产凭证; 第二步:检查是否附有设备仪器申购单; 第三步:查验设备仪器申购单上申请原因是否合理; 第四步:检查申购单是否经过申请部门经理、总经理审批,并在审批后进行采购。,控制目标: 企业应当综合考虑企业生产经营计划、市场供求等因素,充分利用信息系统,确保存货处于最佳库存状态。控制活动: 仓库主管
16、每月对存储情况进行分析制定存储分析报告,包括存储面积分析、存量与品类分析、存储质量分析、存储改善内容等,以此为依据调整仓储情况。报告由仓库主管编制,采购部负责人审核确认。测试程序: 第一步:从测试期间随机抽取两个月作为样本月,取得当月的存储分析报告作为测试样本; 第二步:检查仓库主管是否每月对存储情况进行分析; 第三步:查验仓库管理人员是否按照分析报告对仓储情况进行调整; 第四步:检查报告是否由采购部负责人审核确认。,内控测试程序举例二,控制目标: 企业在选择客户时,应当充分了解和考虑客户的信用、财务状况等有关情况。控制活动: 在签订合同前,提供服务的分子公司由生产业务部门和财务部门通过外部专
17、业机构、行业协会或者公开信息对客户的资信情况进行调研,形成书面报告,作为是否应该承接业务,与该客户签订合同的依据之一。测试程序: 第一步:按照全年签订合同的数量,估算抽样样本数量,在集团生产业务部随机抽查对应的合同; 第二步:查看对应客户的营业执照等是否齐备,是否符合法律上的资质要求; 第三步:查验对应客户是否经过生产部和财务部的前期信用和财务状况调查,是否有相关调查报告。,内控测试程序举例三,变化后的控制活动: 在签订合同前,提供服务的分子公司由市场部和财务部门通过外部专业机构、行业协会或者公开信息对客户的资信情况进行调研,形成书面报告。该书面报告须提交办公会议讨论,若办公会议讨论决定该客户
18、的财务、信用状况符合公司要求后方可签订合同。更新后的测试程序: 第一步:按照全年签订合同的数量,估算抽样样本数量,在集团生产业务部随机抽查对应的合同; 第二步:查看对应客户的营业执照等是否齐备,是否符合法律上的资质要求; 第三步:查验对应客户是否经过市场部和财务部的前期信用和财务状况调查,是否有相关调查报告; 第四步:检查办公会议的会议纪要,是否对该客户及其调研报告进行讨论。,内控测试程序举例三(续) 内控活动改变后,如何编写测试程序?,控制目标: 企业应建立选聘人员试用期和岗前培训考核制度,确保选聘员工全面了解岗位职责,掌握岗位基本技能,适应工作要求。控制活动: 当员工完成了试用期的工作后,
19、需由员工本人填制员工试用期考核表,在表当中对于试用期的表现情况进行自评,随后该表单交直接上级及人力资源部经理进行评审。从而确保员工全面掌握了岗位基本技能,适应岗位要求。测试程序: 第一步:按照全年员工试用期考核表的数量,估算抽样样本数量,在人力资源部随机抽查对应的员工试用期考核表 ; 第二步:查看员工在试用期结束后,是否均由本人填制该表单并作出自评 ; 第三步: 检查直接上级及人力资源部经理是否在表单中对员工进行了评估 ; 第四步: 查看评估结果是否表明员工能胜任相关岗位。,内控测试程序举例四,内控测试程序举例四 内控活动改变后,如何编写测试程序?,变化后的控制活动: 当员工完成了试用期的工作
20、后,需由员工本人填制员工试用期考核表,在表当中对于试用期的表现情况进行自评,随后该表单交直接上级、部门经理及人力资源部经理进行评审。从而确保员工全面掌握了岗位基本技能,适应岗位要求。更新后的测试程序: 第一步:按照全年员工试用期考核表的数量,估算抽样样本数量,在人力资源部随机抽查对应的员工试用期考核表 ; 第二步:查看员工在试用期结束后,是否均由本人填制该表单并作出自评 ; 第三步: 检查直接上级、部门经理及人力资源部经理是否在表单中对员工进行了评估 ; 第四步: 查看评估结果是否表明员工能胜任相关岗位。,认定内部控制缺陷缺陷的表述方法,- 问题描述:描述内部控制缺陷的客观事实,即企业现有的控
21、制举措及其与五部委应用指引要求或行业最佳实践间的差异所在;- 风险/影响:该内部缺陷可能为企业带来的风险/影响。可以结合定性或定量的方法,从财务、声誉、安全等多个角度进行表述;- 整改建议:内部审计针对该内部控制缺陷提出的可行的整改建议。,认定内部控制缺陷缺陷的认定标准,财务报告相关内控缺陷的认定标准示例:,认定内部控制缺陷缺陷的认定标准,非财务报告相关内控缺陷的认定标准示例:,认定内部控制缺陷缺陷的认定标准,非财务报告相关内控缺陷的认定标准示例(续):,企业常见的内部控制缺陷,常见内控缺陷1:公司治理结构设置有待完善,具体表现问题为: 企业未建立审计委员会; 审计委员会中缺乏具有专业胜任能力
22、的人员; 审计委员会及其成员缺乏独立性; 审计委员会缺乏充分的职权履行职责; 审计委员会会议流于表面; 内部审计机构不具备相应的独立性或缺乏地位使得其无法有效发挥作用; 内部审计机构对审计过程中发现的重大问题由于人为限制无法直接向审计委员会或者董事会报告。,45,审计委员会会议应发挥其监管作用,不应流于表面形式。同时,应发挥独立董事的监督优势,具有监督职能的审计委员会主席应由独立董事担任。,背景介绍,2003年3月南方保健的财务舞弊丑闻浮出水面,创下了上市公司财务舞弊涉案人员最多的纪录(11名高管人员涉案),25亿美元的虚假利润更使其成为仅次于世界通信的第二大“会计造假大王”。,失败原因:审计
23、委员会未发生应有效用,早在2001年,美国联邦政府和美国司法部因南方保健的频繁关联交易和诈骗Medicare 保险金就起诉过南方保健,但是公司审计委员会对于上述重大事件不闻不问。根据南方保健董事会会议记录,在2001年发生重大事件的当年,审计委员会仅开过一次例会。更有甚者,南方保健审计委员会中的两名成员所拥有的私人公司与南方保健之间竟存在着密切的关联交易。南方保健的审计委员会未尽勤勉责任也未信守诚信义务,从而为会计造假滋生温床。,内控省思,常见内控缺陷1:公司治理结构设置有待完善,案例(一),46,由具备独立性的外部董事担任审计委员会发挥有效的制衡的功能。,背景介绍,宝钢集团有限公司董事会设有
24、9个董事,其中有5位外部董事,成为中央企业中第一家外部董事全部到位且超过半数的董事会。作为中央企业建立和完善国有独资公司董事会第一批试点企业。,成功的内控措施,通过对外部董事资格的严格要求,避免董事与经理人员的高度重合,真正实现决策权与执行权的分权制衡 。同时,董事会都被赋予足够的职权,包括重大投融资决策权、挑选经理人员、考核经理人员、决定经理人员薪酬的权利。董事会设立董事会办公室和董事会秘书,并在董事会下设战略委员会、薪酬与考核委员会、提名委员会、内部审计委员会等专门委员会。,借鉴意义,常见内控缺陷1:公司治理结构设置有待完善,案例(二),47,企业应设内部审计部门,直接由审计委员会负责。内
25、部审计的主要人员应由审计委员会任命,并向审计委员会汇报工作,首席执行官或高层财务官员不能直接介入审计委员会的工作 。审计委员会应不时与内部审计部门沟通,并进行有效的督导。内部审计部门应制定全面的年度内审计划,并采用系统的方法评估和确定需要内审的重点部门和重点领域,以确保会计信息的真实性,防范财务舞弊产生。,背景介绍,世通公司是美国第二大通信公司,因负债400万美元并爆出财务造假丑闻,成为美国历史上迄今为止最大的破产案。,失败原因,世通公司弊案的曝光,最初是由一个内部审计员在一次例行审计中发现公司财务中有故意造假行为后向当时的首席财务官报告,而首席财务官其实就是参与欺诈的人员之一,于是他让内部审
26、计员立即停止审计调查。但该内部审计员越过高管层将内幕报告给审计委员会主席,最终发现了超过三十亿美元的假账。,内控省思,常见内控缺陷1:公司治理结构设置有待完善,案例(三),48,内控的重心要从细节控制转向风险管理。要求董事会与管理层特别重视可能产生重大风险的环节,且将风险管理作为内控的最主要内容。,背景介绍,失败原因:未有效建立风险评估体系,2002年下半年,在中航油进行石油期权交易时,其决策者风险意识淡薄,判断、控制和驾驭风险的能力明显较弱,同时对所面临机会与风险缺乏一套有效的体系去识别和评估。,内控省思,中航油新加坡公司于2001年底获批在新加坡上市,在取得中国航油集团公司授权后,自200
27、3年开始做油品套期保值业务。但在此期间,公司总裁擅自扩大业务范围,从事石油衍生品期权交易。2004年12月,中航油新加坡公司因从事投机性石油衍生品交易,亏损5.54亿美元,不久就向新加坡证券交易所申请停牌,并向当地法院申请破产保护,成为继巴林银行破产以来最大的投机丑闻。,常见内控缺陷2: 缺乏完善的风险评估和内控自评流程,案例(一),49,企业应当建立风险识别、评估和应对体系,并将结果应用于实际工作中。在进行日常业务审核过程中,切忌审核流于形式,应确保审核人具备充分的胜任能力、且审核范围应当足够充分。,背景介绍,失败原因:对保险合同的审核缺乏有效性,- 未对风险进行系统评估,没有考虑对各类重大
28、风险进行识别和评估,从而没有明确保险范围 - 业务部门、法律部门等未对保险合同进行严格审核,没有及时发现保险公司删减了其中“雪灾、冰凌”的保险责任条款,内控省思,2008年1月,宜宾兴文县遭遇百年不遇的特大冰雪灾害,其中电力也受损。事后,兴文电力公司多次向其投保的中华联合财产保险公司宜宾支公司提出理赔未果,遂向法院提起诉讼,称中联保险用删减后的财险条款与之签订保险协议(事先未告知),回避“雪灾、冰凌”的灾害责任范围,请求法院判令中联保险赔偿因保险事故造成的财产损失800余万元及利息。2009年12月25日,此案经宜宾市中院一审判决,驳回兴文电力的诉讼请求。,常见内控缺陷4: 各类授权审核的充分
29、性、有效性有待提高,案例(一),50,常见内控缺陷5: 未能在岗位设置上保证恰当的职责分离,财务岗位的设置与安排,讲究的是相互制衡,比如出纳与会计的相互牵制,会计各岗位的相互监督等等。,失败原因:没有形成有效的职责分工和相互监督机制,挪用公司资金的问题,本来完全可以通过出纳依据每月或每季的银行对账单查明,或者子公司财务人员可以通过编制月报或季报甚至是年报发现问题,从这点上可以看出公司财务岗位的设置与安排失衡。 公司财务部门与其他部门间缺乏相互监督机制。作为一家房地产发展有限公司,财务部、工程部、客户部以及材料采购部之间本应相互监督,材料的采购与款项的收回,不单单是财务部的事情,相关部门均有责任
30、。会计凭证也是根据原始凭证填列的,而原始凭证可能来自采购部、工程部,要想通过更改会计凭证来挪用公款是很容易被发现的,但却在在四五年的时间内都无人发觉。,内控省思,背景介绍,浦东金桥的子公司上海全桥出口加工区房地产发展有限公司(“金桥房地产发展有限公司”)约1500万左右的银行存款不翼而飞。,案例(一),51,常见内控缺陷8: 财务报表编制与信息披露程序有待完善,52,案例(一),背景介绍,某年11月20日,乐山电力3000吨/年的新光硅业二期项目的投资意向已经敲定,21日该股既未公布这一消息也未向交易所提出停牌申请,并在开盘后大幅上涨被交易所紧急停牌,但迟至28日,乐山电力才发布了这份投资意向
31、书。对此,杭萧钢构虚假陈述民事赔偿案代理律师认为,乐山电力未及时披露重大投资意向,已经可能涉嫌信息虚假了;加上出现股价异动,公司可能涉嫌泄密甚至内幕交易。 此事已经引起监管当局关注,上交所也已开始着手调查。,失败原因,企业缺乏恰当的信息披露机制,在重大项目产生的时候,没有任何部门及人员提出披露需求并启动披露程序,说明企业该方面的内部控制存在薄弱之处。,公司应当建立恰当的信息披露程序,严格按照有关法律法规的规定,及时识别需要进行信息披露的情形,并启动恰当的披露程序,确保企业的行为合法合规,避免不必要的诉讼事件。,内控省思,企业应当建立充分的应急预案,对于预计产生重大影响的突发事件做好充分的应对准
32、备,并且这些应急预案应当得到适当演练,企业对应急预案需要定期复核和更新,确保预案能够在突发事件发生时起到应有的作用,减少企业的损失。,背景介绍,失败原因,电力公司的相关部门没有建立较为完善的应急预案,对重要突发事件的应急演练不够,导致无法及时处理相关事件。,内控省思,福建省是自然灾害多发的省份,台风、洪涝等频繁的自然灾害给电力安全带来了严峻的挑战。1995年5月9日福建电网发生“5.9”事故,电网振荡,损失发电功率84.5万千瓦,约占全省发电功率296.6万千瓦负荷的28.5,造成电网事故。自1999年以来,又先后经历了1999年10月8日厦门全岛停电、2002年“飞燕”台风福州市区大面积停电
33、事故(事故造成福州长乐机场停电)、2005年“龙王”台风和2006年“桑美”台风引发的大面积停电等II级事故,电力公司因此遭受巨大损失。,案例(一),常见内控缺陷13: 未能建立各类应急预案、并进行恢复演练,53,中国平安按照ITIL标准和原则建立了职责分工明确、定位清晰的基础架构体系,并在实际运作过程中发挥着越来越大的作用,为公司的持续增长与扩展提供了有力的支持 。 ITIL项目提高了我们IT管理水平与质量,有效弥补和预防了管理机制中出现的漏洞,也为各项业务的顺利实施提供了保障。,背景介绍,成功的内控措施,中国平安引入ITIL(信息技术基础设施库)来保障并提高IT系统的服务管理水平。惠普按照
34、ITIL管理体系为平安保险建立运行管理平台、管理制度和流程,设计相应人员职责角色,优化管理组织结构,提出有助于管理的工具方案,通过人员、技术和流程的有机结合,有效实现上述管理流程,并形成一个整体的IT运营管理系统,从而实现IT运维管理标准化和规范化,有效提高IT运营的整体水平。,借鉴意义,早在2001年,中国平安就开始着手进行合并所有IT基础架构的项目,彻底实现系统的集中化及标准化,并且选择了惠普帮助其进行风险评估及灾难恢复演习项目。,案例(一),常见内控缺陷15:用户系统权限管理有待加强,54,内部控制自我评估报告报告要素,管理层声明段,管理层责任段,内控固有局限性,参考要素段,内部控制自我评估报告报告要素(续),重大缺陷描述段,整改措施描述段,内部控制自我评估报告报告要素(续),尚未整改缺陷描述段,总体评价段,管理层授权段,内部控制的目标,公司可根据自身情况进行调整,企业可根据自身建立内控的实际情况,披露公司内控的基本要素。,内部控制自我评估报告其他说明,企业应如实披露内控自评中发现的重大缺陷,内部控制自我评估报告其他说明,列示截止报告前数日,尚未整改完毕的重大缺陷及预计完成时间,报告须经管理层审议通过,并由总经理或同等级别授权人签字盖章,内部控制自我评估报告其他说明,
