革新型审计部门的增值方法

《革新型审计部门的增值方法》由会员分享，可在线阅读，更多相关《革新型审计部门的增值方法（123页珍藏版）》请在金锄头文库上搜索。

1、演示稿演示稿2A选自内部控制评价手册1一、内部控制评价的责任一、内部控制评价的责任 内部控制评价的责任和责任机制可用下表来表示：2二、内部控制评价报告编制指南二、内部控制评价报告编制指南 评价报告的主要组成部分包括概述、内部控制评价和给管理部门的建议。报告还应有封面、目录。大部分内部控制评价报告还包含审计发现的重要问题、违反职业道德的事项以及内部审计提供的相关信息，可能的话，还包括内部审计计划工作的范围和主要活动。3（一）概述（一）概述 篇幅仅一、两页的概述部分应清楚地说明内部控制评价对象的组织特点（战略经营机构/服务业务/合资企业等）、所在的地理位置（地区/国家/位置）和评价所指的期间。战略

2、经营机构/服务业务/合资企业等的规模（如销售总额、投资额、成本和收益等）最好也能在这一部分加以介绍。 概述部分应包括如下。 1、内部控制评价的定义和范围（组织特点、内部控制评价的定义和范围（组织特点/所在地理位置）所在地理位置） 比如：以下是针对某地区战略经营机构的内部控制评价报告的一段内容 “本报告是对在（表示某地区）开展经营的.（代表某地区战略经营机构）当前的内部控制及今后的问题进行的全面评价。这一评价的主要依据下列内部审计工作：内部和外部审计的结果、业务改善活动、系统开发检查、对自我评价的评估、专项调查和我们从内部和外部得到的其他相关信息.”。 2、内部控制评价的目的、内部控制评价的目的

3、/目标目标 在上述阐明定义和范围的文字之后可以考虑在报告中包括以下段落： “本报告所包括的评价发现旨在为（某地区战略经营机构/服务业务）的内部控制提供前瞻性视角，同时强调与可能影响其控制环境前进的以往经验有关的问题 ” 建议使用的其他用语: “我们提出本报告的意图是激励和支持对需要引起注意的问题提出解决方案、进行积极影响，考虑影响内部控制的关键因素，关注未来和重视公司内外部两方面的因素，以便（战略经营机构）能够不断地改善总体内部控制以适应经营的需要”。4 3、总体评价、总体评价 建议总体评价应针对内部控制的效果，并辅之以补充说明，以便在适当条件下提供关于公司或区域内部控制薄弱环节和强项的看法。

4、 建议表述总体评价时采用下列用语： “.(某战略经营机构)存在有效的内部控制来帮助其实现上述目标.”。 1）经营的效果和效率包括业绩目标和盈利目标 2）财务报告的可靠程度包括防止虚假财务报告 3）遵守适当的法律和法规 4）保护资产安全 我们认为，（某战略经营机构）存在有效的内部控制来帮助其实现上述目标.”。 如前说述，在总体评价之后，应该提请注意在讨论每项内部控制内容时会详细检查的领域。 ”.我们注意到，在营运资本和外部承包商的管理方面已得到了重大的改善.。“ ”但是，由于发生了很多重大的变化，还有一些控制点需要加以强化.。“ ”尽管如此，我们注意到，在以下领域还有进一步改善的余地.。“ 在很

5、少见的情况下，也可能发现重要的薄弱环节，而且根据审计师的判断，这些薄弱环节根深蒂固或到处蔓延，则应出具相反的或有保留的评价意见。”根深蒂固“是指这一薄弱环节以前一时期延续下来，或与被出具相反或有保留评价意见的公司其他领域所存在的问题如同一辙。”到处蔓延“则是指薄弱环节的影响严重威胁了资产的安全性以及经营目标、报告和符合性目标的实现。 相反评价意见可表述为： ”.我们认为，战略经营机构不存在有效的内部控制来帮助其实现经营目标.。“ 下面是一种有保留评价意见的措辞范例： ”.我们认为，战略经营目标存在有效的内部控制帮助其实现有效经营、财务报告可靠和遵守有关法律法规等目标，但却无助于保护资产的安全性

6、.。“ 如果出具了相反评价意见，在评价意见之后对导致出具相反意见的问题进行详细说明并提出纠正措施就显得尤为重要。之所以重要的原因是，如果接受评价的对象不能理解控制薄弱环节的严重性，没有采取纠正措施的动力，那么内部控制评价就毫无价值。 改善控制的所有重大机会应在”对管理部门的建议“部分阐述。概述的最后一段应将本部分与接下来的”内部控制评价“部分联结起来。5（二）内部控制评价（二）内部控制评价 手册的这一部分列举了编制内部控制评价报告时应予考虑的各种问题。它分5个段落，分别说明COSO框架下内部控制的每个组成部分。 每个段落首先给出了该组成部分的定义，然后给出编制内部控制评价报告时应考虑的因素（或

7、问题）的详细清单。因素清单以COSO框架为基础，也就是说，必要时，内部控制评价报告的编制人员可参考COSO的有关资料来得到更多的信息和解释。但这并不意味着要将因素清单送交客户以得到后者对每一段落的回复报告。它可以用作从不同内部控制部门搜集信息的模板和组织与战略经营机构或管理部门人员进行会谈的基础。 没有必要为上述每个因素（问题）进行详细的叙述。清单只是为了帮助报告的编制人员理解属于每个组成部分的因素和强调那些被检查部门的运做可能存在会引起人们对内部控制评价报告评论的控制弱点或强项。 建议在向客户散发的内部控制评价文件中对每个组成部分都加以讨论，并给出该组成部分的定义。6（三）控制环境（三）控制

8、环境 COSO对控制环境的定义是： “控制环境是一个公司的基调，它影响着公司内部员工的控制意识。控制环境组成因素包括公司员工的人格、道德价值观和能力，管理理念和经营方式，管理部门分配权力和责任、组织和开发人力资源的方式，以及董事会的注意力和导向等。” 下面是内部控制评价报告编制人员在会谈和资料收集过程中用来确定是否存在积极控制环境时应关注的事项。71、人格和道德价值观、人格和道德价值观 （1）公司向所有员工和外部各方（如供应商和客户）宣传公司经营道德政策和程序的过程是否有效？ （2）公司管理层在建立适当的控制环境和态度（如”高层基调“）并对这些态度进行沟通方面的有效性如何？ （3）管理部门在必

9、要时所采取纪律措施的有效性和恰当性如何？所采取的措施和有关违规情况是否在全公司范围内通报？2、管理理念和经营方式、管理理念和经营方式 （1）管理部门在多大程度上采用或鼓励采用可接受的风险水平？ （2）关键职位的人事变动是否影响了控制环境和实际的内部控制？ （3）经营管理层在多大程度上对内部控制抱有主人翁精神？ （4）高级管理层和中级管理层及普通员工交往的有效性如何？是否存在地理、文化或者其他方面的障碍？ （5）公司政策、会计规定/惯例是否严格一贯地得到应用，从而避免人为操纵或错误地报告记录或结果？ 3、组织结构、组织结构 公司的组织结构是否有助于或有碍于信息向管理部门流动？最近的人员变动或裁员

10、对信息流动产生了何种影响？84、责任分配和授权、责任分配和授权 （1）公司内部的责任分配和授权（即经营、遵纪守法、计算机系统和权力限制）如何进行有效进行？ （2）与控制有关的标准和程序在多大程度上通报了员工并写入职位说明中（如：责任是否得到分配）？ （3）公司是否将适当数量的具有相应技能的人员安排在正确的职位上，与公司的规模、性质和复杂程度相一致？5、人力资源政策和实务、人力资源政策和实务 （1）雇用、培训、提升以及报酬政策及程序是否恰当？ （2）员工们在多大程度上了解其职责及管理部门对他们的期望（个人业绩检查等等）9（四）风险评价（四）风险评价 COSO对风险评价的定义是： “公司面临着来自

11、内部和外部、需加以评价的各种风险。风险评价的前提条件是建立在不同层次发生联系、内部却保持一致的目标。风险评价是确认和分析影响目标实现的相关风险，形成确定如何管理风险的依据。因为经济环境、行业管理和经营条件都在不断变化，必须要有恰当的机制来确认和处理与变化相关的风险。” 在这一组成部分下，有必要将检查分为外部风险因素检查和内部风险因素检查两部分。这就出发点的不同和其他区别，在为地区和全球性公司领导编制内部控制评价报告时尤其如此。 以下列示了内部控制评价报告编制人员在评估管理部门设定目标、分析风险和管理变化等过程时应该考虑的因素，包括它们与经营活动的联系和关联程度。 106、公司目标和业务目标、公

12、司目标和业务目标 （1）确定和沟通公司目标的过程是否有效（同时应考虑所有层次人员的参与程度和对目标的执着程度）？ （2）公司目标多大程度上对公司想要取得的成果提供了概括性的但同时又具体到与目标直接相关的说明和指导？ （3）公司内部目标在多大程度上与战略、经营计划、预算及当前的条件挂钩并保持一致？ （4）在多大程度上确认了达到公司目标的关键成功因素？7、风险、风险 （1）在多大程度上存在用以确认外部风险（供应资源、技术变革、竞争对手的行动、经济环境、政治条件、规章制度和自然事件）的机制？ （2）在多大程度上存在用以确认内部风险（如人力资源、劳资关系、融资和信息系统及其重建等）的机制？ 考虑管理部

13、门是否考虑了以下方面有关的风险： 人力资源，如留住关键的管理人员，或因为职责的变化而影响有关职能的有效发挥。 融资，如落实新的提议或继续某个关键项目是否可以获得必要的资金。 信息系统，如在系统出现问题的情况下，充分的备份系统可以对业务产生重大的积极的影响。 （3）风险分析过程，包括预测风险的严重性、评估风险发生的可能性以及确定所必要的措施等是否彻底、相关？8、对变化进行管理、对变化进行管理 公司对影响其目标实现的事项或业务的变化如何进行有效管理（潜在的变化领域包括：经营环境的改变、新员工、新的或重新设计的信息系统、快速增长、新科技、新生产线/产品/业务和收购、公司重组和国外业务等）？11（五）

14、控制活动（五）控制活动 COSO对控制活动的定义是： “控制活动是指确保管理部门指令得到贯彻执行的各项政策及程序。它确保在发现风险后能够采取必要的行动从而保证公司目标的实现。控制活动贯穿于公司的各个阶层和职能部门，包括审批、授权、验证、调节、业绩检查、资产护卫及职责分工等。” 评估控制活动是否适当时应着重考虑以下几个方面。129、控制活动、控制活动 （1）为处理风险所确定的控制政策和程序是否适当，包括风险评估所确定的那些组成部分。建议参考内部控制指导手册。 （2）内部控制程序得到遵守的程度，如： 如期应用ELIS标准，即有效地实施职责分离，或存在降低风险的控制措施。 对资产进行实物控制，即存货

15、盘点等。 在可以接受的水平上进行交易复核。 遵守法律法规。 存在和实施了有效的权力限制。 定期及时进行必要的调节。 根据预算和目标对包括业绩指标在内的实际业绩进行了考核（如抽样检查的结果，出票错误等），并采取了纠正措施。 （3）在多大程度上进行定期控制检查和修改，以适应情况的变化？ （4）以前发现的重大审计问题是什么？主要教训是什么？ （5）以前是否存在违反道德规范的情况？如果有，教训是什么？13（六）信息与沟通（六）信息与沟通 COSO对信息与沟通的定义是： “为了以某种形式和在某个时间取得必要的来自内外部两方面的信息并进行沟通，从而使员工能够履行其职责，必须建立信息系统。有效的沟通必须是广

16、义的，它包括公司内部自上而下、自下而上和各平行部门间的全范围的信息流通。” 为确定信息与沟通系统是否适合公司的需要，内部控制评价报告的编制人员应特别关注以下问题。1410、信息、信息 （1）报告机制能否及时有效地向正确的对象提供信息，这些信息是否丰富和详细到能够帮助他们根据既定目标评估经营业绩？ （2）在多大程度上为信息系统建立了战略计划，管理部门是否通过人力和财力等方面资源的投入来表示他们对计划的支持？11、沟通、沟通 （1）人们在多大程度上认识到公司已经建立供大家报告违法嫌疑的沟通渠道？ （2）管理部门是否积极地鼓励员工就生产率、质量或其他类似方面的提高和改善提出建议（比如，建议：将相应的

17、奖励次数和金额与同类单位作比较）。 （3）整个公司是否存在良好的沟通机制（如采购、制造和销售部门之间的沟通），从而使员工们有效的履行职责。 （4）公司在多大程度上建立了反馈机制，从而能够有效地处理与客户、卖方、监管公司和其他外部各方的沟通（建议：确定是否针对客户投诉建立了相关计量制度）？15（七）监测（七）监测 COSO对监测的定义是： “内部控制系统需要得到监测。监测是对内部控制运行质量不断进行评估的过程。它通过管理部门的持续监测和监视活动、年度商业道德的符合性鉴证、综合性内部审计工作、外部监管公司、供应商和客户一起共同完成的。” 在考虑对内部控制持续有效性的监测程度时，内部控制评估报告编制

18、人员应该考虑以下因素。1612、监测、监测 （1）评价员工在履行其职责时是否能够取得有关内部控制系统继续有效运行的证据？ （2）来自外部各方的沟通信息在多大程度上可以与内部产生的信息相互印证？ （3）公司对内部审计部门的建议的反应如何？对外部有关方面的建议又是如何反应的？ （4）公司在多大程度上能够保证所有员工都能理解和遵守公司的经营道德政策和程序？对拥有一定权利的员工是否进行定期的培训，是否理解道德政策？ （5）内部控制系统自我评价的范围是什么、频率有多高？评价过程是否有效？是否有重要的审计结果或发现需要内部控制评价中得到说明？ （6）是否已建立相关机制来获取和报告内部控制的缺陷并在随后采取

19、适当的纠正措施（如，盗窃情况报告和对缺陷的适当报告）？ （7）描述上一年度或前次内部控制评价以来内部审计的审计范围。过去几年的审计结果或违反经营道德的事项是否呈现一定的趋势（A、B、C演示稿都有此方面的信息）？17演示稿演示稿2B杜邦公司的内部审计杜邦公司的内部审计经营管理调查18杜邦公司的内部审计杜邦公司的内部审计经营管理调查经营管理调查 在完成您自己的个人评价后，请考虑（本年度）有哪些控制发生了变化，您最满意的地方是什么，主要关注的是什么领域。 内部控制的5个相互关联的组成部分来自管理部门运营公司的方式并与下面所述的管理过程综合成一体。请利用下面的提纲，以上一年度的评价为起点，来完成对当年

20、内部控制的评价。如果您想取得上一年度的评价结果，可与内部身机联络处联系。19一、控制环境一、控制环境 良好控制环境的基本特点是管理部门为公司定调的方式。控制环境因素包括诚信精神、道德价值观、公司员工的能力、管理理念、运营风格、分配责任以及管理层分配权力责任和发展人力资源的方式。 在控制环境方面，您在本年度遇到了哪些新的问题？ 感觉最好的领域是什么？ 最关注的是什么领域？二、风险评估二、风险评估 每个公司都会面临需要加以评价的各种风险。风险评价的前提条件是建立目标。风险评价就是确认和分析相关风险，以便为管理风险建立基础。 您所在的公司发现了哪些新的风险？哪些风险得到了降低？ 如何评价新风险？ 如

21、何防范新风险，以便使经营目标得到顺利实现？ 在开展风险评价时，主要关注的领域是什么？三、控制活动三、控制活动 控制活动是为了确保管理部门的指令得以贯彻落实的政策和程序。控制活动分布于公司的各个阶层和所有职能部门。 您所在的公司在本年度引入了哪些新的控制活动？ 感觉最好的是哪些？ 感觉最不好的是哪些？20四、信息与沟通 为了以某种方式定期地取得和沟通必要的内外部信息，从而使员工们能够履行其职责，必须建立信息系统。 确认本年重要的变化领域。 感觉最好的是哪些领域？ 最关注的是哪些领域？五、监测 内部控制系统必须得到监测。监测是持续评价系统运行质量的过程。 本年度的监测过程有什么不同之处？如果有，在

22、本年度使用了哪些新的监测过程？ 感觉最好的是哪些领域？ 最关注的是哪些领域？六、总体评价 从信心和感觉方面来说，您怎么描述您所在公司内部控制的总体状况？七、其他评价（什么事情让您晚上难以入睡？） 21演示稿演示稿2C杜邦公司的内部审计杜邦公司的内部审计采购控制培训方案22 采购控制培训方案采购控制培训方案本演示的目的是使大家了解这三个内部控制领域 目目 标标了解采购过程的控制目标介绍控制技术23采购过程是公司经营活动的主要组成部分，公司在采购上花费大量资金，因此在采购过程中建立有效的内部控制是十分重要的。首先，让我们看一下采购流程图。本图起点较高，但包括采购商品和服务的所有步骤。 采采 购购采

23、购过程在经营活动中起着举足轻重的作用,它能确保以最好的价格购入所需的货物和服务,从而有助于控制成本,提高保本底线。24采购过程有四大关键控制领域，即 采购申请 采购定单 验收报告 发票下面将详细讲解每个领域当有人确定了对材料或服务的需求时，整个采购过程就开始了。在这种需求的基础上，应该提出采购申请，并包括所有必要的数据，以方便买方发放定单。采购申请单应该包括采购过程的关键控制点采购过程的关键控制点 采购过程的四大关键控制文件： 采购申请书 采购定单 验收报告 发票 采购申请书采购申请书提出购入货物或服务的申请申请书应清楚的写明： 采购申请人情况介绍 申请采购内容 申请采购原因 何时需要这些货物

24、或服务 应记到谁的帐上 上次的供应商（可能的话）25采购申请单应该由提出采购申请者以外拥有必要授权的其他人审批。采购申请和审批授权的职责分工保证只采购必要的商品和服务。在完成采购申请之后，申请单就发往采购部。我们把这一阶段称为落实阶段，即针对所要求获得的商品或服务将采购单发放给某个卖方。采购定单一般记录所定购的商品或、服务，包括双方同意的价格，付款条件等。但请注意，口头定单也可以发生法律效应！只有得到批准的买方才有权代表杜邦公司做出购买承诺！ 批准采购申请批准采购申请 适当地批准采购申请 适当的职责分工采购定单采购定单 采购是什么? 按照成本效益原则及时地进行 评估、发标和执行采购定单的 过程

25、什么是采购定单？ 正式确定采购行为并就价格和 其他条件达成一致意见26审批是指授权发生开支，而落实是指选择卖方以做出采购承诺。只有得到授权的买方才可以落实采、购活动，而且必须经过特殊培训才能这么做。采购定单的执行采购定单的执行批准采购定单和执行采购定单是两回事采购定单的执行采购定单的执行不能适当地执行采购定单可导致以下后果：没有经验的人以没有优惠的条件购入了货物或服务公司可能进行了一次不必要或不明智的采购采购方与供应商的不良关系可能让公司蒙受潜在的欺诈27如果合同和采购定单中没有包括一般的条件，杜邦公司可能会丧失一些具体的权利，并有可能发生更多的债务。卖方的选择可能不是很合理（选择的理由应该毫

26、无例外地得到记录）。如果没有标价的定单得不到监测，就可能发生高于市场价格的价格。确认所收到的商品在内容和数量上都是正确，收到的服务是正确的、合理提供的。验收人必须能够准确核实所收到的商品和/或服务。采购定单的执行采购定单的执行其他潜在风险货物或服务的验收货物或服务的验收货物的实物验收对接受服务的认可28未能准确记录所收到的商品或服务可能会导致为根本没有收到的商品或服务付款。验收文件不足可能导致失控现象的产生，无法解决因部分或没有装货而发生的卖方纠纷。卖方发票必须得到核实以保证发票有效、公司可以支付款项。货物或服务的验收货物或服务的验收哪些地方会出错？没有准确地记录所收到的货物或服务没有保留充分

27、的验收文件发票发票供应商提交了所提供货物或服务的发票需对发票加以审核，并与所附文件相配比29发票的核实是指将发票与商品验收报告和采购定单（打印文本或网上文件）进行配比。上述文件的配比保证卖方给杜邦公司开具的发票内容正确、价格正确并已得到采购批准。在这种情况下，你可能会为从未收到过的项目付款。如果没有将发票与采购定单配比，你就为从未定购的项目付款发票审核发票审核发票审核与所附文件相配比发票审核发票审核哪些地方可能出错？发票与货物验收报告不一致发票与采购定单不一致发票没有按照采购定单开具30案例研究案例研究分组阅读案例研究，并确定：整个过程中哪些地方发生了错误？相关的风险是什么？你认为这一过程中应

28、改善哪些控制？31ORCA方法方法确认经营目标分析面临风险现有控制监测结果制定和实施行动计划影响？效率/效果？O O R RC CA A你为什么要做这份工作？你的工作与经营目标有什么样的联系？哪些事项会影响我目标的实现？重要程度和可能性如何？我做什么来防范风险？确认依然存在的风险？决定如何降低风险和管理控制在实现目标方面，我们做了什么？继续努力32演示稿演示稿2D杜邦公司的内部审计杜邦公司的内部审计“高层基调”培训方案33高层基准培训方案高层基准培训方案高层基准高层基准 Finance University Leaps in learning目标目标再次强调良好经营道德对杜邦公 司的重要性帮助

29、杜邦的领导层在各自组织内 建立和维持明确的“高层基调”. 从而通过维护公司无懈可击的声 誉来提高股东的价值 Finance University Leaps in learning34几种不同的做法：请与会人员提出他们的期望并记录在活动挂图上。活跃气氛：请与会人员进行自我介绍（包括姓名、机构责任领域和对课程的期望），并将期望内容记录在活动挂图上。您的期望您的期望Finance University Leaps in learning专题研讨会概述专题研讨会概述经营道德的组成要素内部控制和经营道德是我们所做工作的一个不可或缺的组成部。领导层的责任对“高层基调”的建议内部审计的支持反馈 Finan

30、ce University Leaps in learning35使命使命“杜邦公司将奉行最高的经济道德标准和孜孜不倦的工作态度力争成为在全世界范围内备受尊重的公司”Finance University Leaps in learning录象录象had Holliday高层基调与首席执行官的谈话Finance University Leaps in learning36思考思考诱导问题诱导问题为什么杜邦公司必须保持：良好的道德价值观和适当的内部控制？Finance University Leaps in learning为什么杜邦需要保持为什么杜邦需要保持良好的道德价值观和适当的内部控制？Fi

31、nance University Leaps in learning公司的声誉运营权利可持续增长对员工和股东的责任竞争优势为客户和供应商提供公平的竞赛场地防止和发现错误防止不道德行为经营效率并不意味着我们不可能成为严肃的生意人（这会削弱竞争力）37高效率有成效的经营环境 Finance University Leaps in learning本专题研讨会的焦点是高层基调，包括道德观念和控制环境。需要强调的是，内部控制不仅能抓贼，而且能在任何暴风骤雨（包括错误和遗漏）降临时成为我们的保护伞。实际上错误和遗漏对资产造成的威胁超过其他任何内容。错误会给公司带来很大经济损失。比如：BRRP（或称杜邦接

32、口）（所输送的数据不完全，以前我们有全职人员追踪遗漏数据，但外部兼职人员没有做这件事）。无效违规灾难舞弊错报和漏记Internal Controls70% 错报和漏记10% 舞弊和恶意 行为10% 灾难 5% 其他 5% 电脑黑客38思考思考诱导问题诱导问题一提到经营道德问题，您首先想到的是什么？Finance University Leaps in learning提到经营道德问题，提到经营道德问题，您首先想到的是什么？您首先想到的是什么？Finance University Leaps in learning不蹲监狱不上报纸不滥用权利无不正当行为为客户和供应商提供公平竞赛场所保护环境安全和

33、健康隐私内部控制良好的声誉遵守法律个人利益和公司利益的权衡对内幕信息保守秘密准确报告护卫资产公平待人诚实39经营行为检查清单经营行为检查清单考虑下列因素：你会违反法律或公司政策吗？你的行为如果在地方、国家和国际性的报纸的头条得到报道上，会使你或你公司感到难堪吗？你会告诉你的老板或单位吗？Finance University Leaps in learning40经营行为指南经营行为指南对价格的尊重工作经营礼反联合控制环境区的貌抵制联合抵制安全比商务出口控制同意竞争限制更国外反腐严重的败实务实务Finance University Leaps in learning经营行为指南经营行为指南保护环

34、境经营个人和公内部控制员工年龄安全和保礼貌司利益报告的完责任种族健：诱导披露整性地区员工因素电子信息肤色客户差旅和娱乐性关系社区内幕信息方向合同方竞争智商性别残疾Finance University Leaps in learning对外部法律和规定的遵守情况反托拉斯环境安全与保健与政府的合同国际贸易法对内部规章制度的遵守情况政治贡献保护和使用资产利益冲突与客户和供应商的关系安全、保健和环境珍惜人力资源多元化41违反道德的案例违反道德的案例从公司偷窃（杜邦hinaGloucester)虚报财务成果（urzweil)内部交易（Waste Management)贿赂和收受礼品（Olivetti)产

35、品负债（Dow Corning)价格操纵（Fujisawa Pharmaceutical Co.)为个人目标虚饰公司业绩（BauschLomb)出错的案例出错的案例付款错误（杜邦BRRP）没有预测到盈利的下降（杜邦1998 年第二季度）由于安装新的计算机系统导致送货阻 塞（Hershey)安装SAP后存货调节出现问题（杜邦 Automotive)10分钟如果杜邦公司领导没有创造恰当的环境，将会发生什么情况呢？42思考题思考题你认为是否存在可能会进一步助 长违反道德行为的经营条件或环 境？你是否存在可能会进一你是否存在可能会进一步助长违反道德行为的步助长违反道德行为的经营条件或环境？经营条件或环

36、境？这些都是早期警告信号只有在尚未开展讨论时才读出这些内容。没有一个人/国家/文化是天生不道德的。不适当的业绩考核指标经济危机成本难题盈利压力进入新市场重大变革改变经营模式新的信息技术压缩规模、裁员员工满腹牢骚43责任责任所有员工必须遵守使用的法律应用杜邦的公司政策报告违规情况提出改善建议.从而使公司得以实现其使命所有领导都必须保证公司适当的工作环境得到:创建 监控 维护 增强在公司内部探究高层基调探究高层基调. Finance University Leaps in learning44思考题思考题“高层基调”对你意味着什么?“高层基调高层基调”对你意味对你意味着什么着什么“王子犯法和庶民同

37、罪”战略经营机构或地区领 导应戴上“公司用以区别职 务的帽子”我们必须是杜邦的道德 权威遵守法律法规不能饶过规则果断提倡建立适当的内部控 制环境以身作则身体力行可接近双向式沟通冠军的核心价值鼓励挑战道德优先用规则来强化道德45思考题思考题何时应展示强有力的高层基调?一些你也可以使用的规一些你也可以使用的规则则.事前 没有发生违规时，我们应采取何种行动？事中 在发生违规的过程中，我们应做些什么？事后 违规事项发生后，我们应做些什么？ 分组集体讨论答案是:任何时候都可以分组讨论。每组讨论一个领域。请每组汇报讨论情况，由其他组成员补充46规则规则事前事前领导者应给出明确的 表明很看重内部控制 指导（

38、例如在每次会 不时请求开展审计 议上用一定时间讨论 现场访问时询问内部控 安全问题） 制的情况（如询问最近维护和公布道德方面 的审计意见，对前次审 的统计数据 计发现问题的跟踪情况）与公司一起分享和处 理（经营道德公告）分享和处理审计报告 或统计数据规则规则事前事前保证公司知道在实现 如果发生违反道德的 财务目标时你的行为 行为，应有具体的计 处事不会出格 划和政策去处置奖励做对了的事项 公开将内部审计作为 你的经营伙伴或联盟 拥抱你的审计师分享审计报告的范例（NIB审计）47规则规则事中事中明确领导的立场 始终介入“毫不忍让“ 全面披露对调查持公开合 支持调查者 作态度 适当沟通果断 拥抱你

39、的审计师及时反映规则规则事后事后惩罚肇事者 沟通”王子犯法与庶民同罪“ 发布公告照顾幸存者 设立目标重建组织凝聚力 修复不完善的程序领导应发现正确 追回公司资产 行事的员工 再次拥抱你的审计师内部审计如何起帮助内部审计如何起帮助作用作用内部审计为公司增值内部审计为公司增值经营风险管理*对内部控制的状况进行独立评估*内部控制教育*防范性方法和工具*特别调查*参与MA业务（应尽的职责、综合)经营效率*找出并减少不足之处*知识库和分享模范实务的催化剂经营效果*参与经营程序改善*培训和开发未来的领导*改善信息技术的资源48思考题思考题在高层基调方面内部审计还能够做些什么?在高层基调方面内部审在高层基调

40、方面内部审计还能够做些什么计还能够做些什么?提供关于审计意见、审计报告和不 道德行为方面的统计资料每月或每季出版总审计师公告 包括介绍杜邦公司以外发生的不道 德行为的文章 其他主题，如成功的故事、会计问 题等工具包工具包“外卖外卖”规则范例内部审计联系清单关于经营行为的短小演说 可用于与员工一起召开的会议热线号码 774-1300 800号码 第个地区的号码内部审计的网址增长领导能力的研究成果反映反映 Finance University Leaps in learning49演示稿演示稿2E杜邦公司的内部审计杜邦公司的内部审计经营程序改善50经营程序的改善经营程序的改善 本演示稿详细的讨论了

41、经营程序改善问题，读者可把它作为自己所在公司程序改善项目的一种模式。该方法的全面配套细节不是本书的讨论范围。如若讨论，必须得到RummlerRrache 公司的许可。 杜邦公司灵活的进行经营程序改善，而不是机械地遵循每一个步骤。同样，全盘照搬地使用该方法在实践上是行不通的，但其中的某些经营程序改善工具或技术却是有用的。 这一程序的有关步骤包括： 1、确认关键的经营问题（CBI） 2、选择关键的程序 3、挑选经营程序改善小组的成员和组长 4、对小组进行培训 5、设计“信息系统”图 6、找出“断线部分” 7、分析断线部分 8、设计“应该”图 9、确定衡量标准 10、提出变革建议 11、实施变革51

42、下面我们来逐一详细说明这些步骤。 （1）确认关键的经营问题（CBI）：通过战略经营机构网络与行政管理部门进行讨论来做到这一点。 （2）选择关键的程序：对经营问题有重要影响而且可能是造成业绩不良原因的程序。 （3）挑选经营程序改善小组的成员和组长：组长必须具有良好的沟通 能力和团队工作技巧，同时还应处于适当的管理层。小组应包括来自所有职能部门的、拥相关领域丰富知识的代表。以下高层“关系图”有助于识别这些领域：HR制造营销销售与分销客户原材料员工员工产品新产品规格需求产品促销定单市场位置52（4）对小组进行培训：这是一个很容易被忽视的重要步骤。杜邦公司所进行的培训是非常正规的。培训内容包括概念模式

43、、对概念的讨论和练习。培训涵盖经营程序改善分析性过程的所有阶段。还包括十分重要的“软技能”： 会议效果 如何设计、计划和召开成功的会议小组效果 帮助了解团队活力的理论模式 可在小组使用的实践工具 提供和接受反馈改变管理部门抵触管理部门小组用来定义作用和责任的工具之一是“RACI”矩阵。“RACI”是一个英语首字母缩写词，分别代表：职责（Responsibility R )行为者责任（Accountability A )到此为止咨询（Consult C )在决策前或采取行动前应进行咨询通知（Inform I )决策后或采取行动时应通知有关方面例如，差旅费报告程序第一步的简单RACI矩阵可能如下表

44、所示：53 为了保证不会在不经意间忘了通知小组以外的有关方面，他们设计了一个”沟通战略矩阵“，并随着项目的进展而不断更新。54（5）设计”信息系统“图。为方便对程序的理解，小组运用了几项工具。 如上述的“关系图”。”RACI矩阵“（如上述所述）。小组针对被审查的过程运用这一工具，这么做有助于他们识别和记录： 跨部门程序中的职能领域、关键行动和决策点； 每项功能在落实这些行动和决策中的作用。 ”直线程序图“或简单的程序图。例如：” 跨部门程序图“。例如：调度处理组装检查制定进度表已雕刻部件已拉压的部件已压制完的部件已检查部件已组装部件已检查组装件行吗？行吗？进度表完工部件不不行行55（6）找出”

45、断线部分“断线部分是所有对程序有负作用的事项。断线部分可能来源于各个层次： 单位层次（战略、政策和结构） 程序（信息流、程序流、投入/供应商） 岗位层（执行情况和人员业绩） 典型的断线部分有： 缺乏投入或产出（包括反馈） 投入或产出过多或不足 瓶颈、不合理流动或不增值活动（7）分析断线部分包括以下4个分步骤： 列出问题和假设。小组对程序改善前必须解决的问题和”信息系统“程序下的种种假设进行集体讨论。 收集业绩数据。主要是一些度量或可量化的结果，通常与时间、成本和质量有关。小组把这些数据覆盖进”信息系统“图中，进而确定怎样才能让程序运行得更好。 断线部分按优先次序排列。小组对断线部分按层次（单位

46、、程序、岗位或执行者）加以分类，并衡量它们对关键经营问题、关键程序问题，以及项目目标的影响。 编制对未来状态的设计规格说明书。重新设计的程序必须满足的标准 包括： 产出要求（未来的理想业绩） 投入要求 程序运行特色和特点（源于断线部分）56 (8)设计”应该“图。从当前状态、小组集体智慧和已制定的行业基准开始对未来状态的设计。这种设计包括3个阶段。 未来状态原则。小组应首先确定重新设计的基本原则。这些原则为他们进行详细计提供了共识。为保持一致性，他们将根据这些原则对各种设计方案进行测试。未来状态原则应该是： 方向性的（对问题和状况提供明确的指导） 挑战性的（说明必须存在而目前可能不存在的行为和

47、活动） 综合性的（适用于所有情况） 不可侵犯的（在所有情况下都能防范违规意图） 可修整的（本身并非目标，而是引导实现目标的手段） 绝对的（不是权宜之计，所有时间均应遵守，不得例外）以下是杜邦公司内部审计针对自身进行的某个经营程序改善项目”信息系统审计更新“有关原则的范例： 信息系统审计是审计程序和业务不可分割的一部分 我们将平衡杜邦公司的外部业务提供者间的现有关系 对信息系统审计的领导水平与其他各种审计活动保持一致 我们对风险的评价和资源的运用将是全球性的 杜邦公司将负责计划和实施信息系统审计活动（即我们不可能完全依赖外部资源） 我们将以客户为中心，努力对不同地区实施一致的审计程序 我们的客户

48、不会看到不同审计师或审计组在审计思路和结果上存在严重差异 我们将有效地运用各种技术来实现我们的目标 我们将与内部信息系统业务提供者保持有效的工作关系 领导阶层应保证所有审计员工得到适当的工具、培训和支持 及时处理对支持的请求 我们将与信息系统有关机构紧密合作以进行职业计划和职责分配 我们将不断评估和更新我们的能力，认识技术领域的快速变化 我们所有的针对信息系统的审计活动都不会脱离内部审计的前景展望57 未来状态设计规范：未来状态应遵守高标准。规范应与下列事项相关： 产出要求（在许多情况下，产出应与现有程序提供的产出相同，但质量、时效性、成本或者其他对产出的规模要求可能不大相同） 投入要求 程序

49、特点，如： * 程序运行（成本、时效性、规则、质量和能力） * 适应性和灵活性（与其他程序、客户和操作者的交互作用） * 可管理性（监督和解决刺手问题） 假设和约束 为制定这些规范，小组应运用一种结构化的集体讨论技术。首先，他们应分成规模差不多的几个分组（每个分组3至6人）。每个分组的任务是设计一个或多个高水平的“可以达到状态”。对每项设计，分组应开发： 一幅“可以达到状态”图 一个名称（和必要的简短说明） 一份利益清单 一份固有风险清单 假设 这一阶段的重点是画出“宏伟蓝图”，而不是具体的解决方案。 一旦各分组已完成此项工作，他们应向其他组出示他们的“可以达到状态”设想。在每次发言时，整个小

50、组可以提问。“我们觉得这种情况怎么样？我们对未来状态的想法是什么”。这些想法应写进程序规格中。 直线流程图。小组现在可以着手画出程序未来状态的高层次图（第410步）。每一步都规定产出、产出要求和假设。然后再进入分程序步骤。同样，他们应规定每个分步骤的产出、产出要求和假设。58（9）确定衡量标准建立考核指标：小组应在两个层次上确定考核指标（质量、时效性、成本和价格）： 在程序层次，他们应分别确定内部指标（从程序角度）和外部指标（从客户角度）。 在子程序层次，他们应开发作为预警系统和能够在客户发现潜在错误/缺陷前发这些错误/缺陷的考核指标。此外，对一个或更多子程序内部的关键步骤可能也有必要设置计量

51、器和触发点。（10）提出变革建议：为了有效实施建议，建议不可仅限于程序本身，而必须针对岗位层次和整个公司层次所需要的变革。具体来说，建议应包括： 整个公司层次： 结构 战略和政策 目标和奖励 价值和行为变化 整个公司层次/程序层次 工作程序 投入程序要求 支持系统要求 衡量指标 岗位层次： 作用和责任 岗位和运行系统59(11) 实施变革:因为建议不能针对所有三个层次的关键问题,或者由于以下某项后续”经营改善陷阱”,实施工作失败的概率是相当高的。如： 程序改善工作没有与经营业务面临的战略问题想联系。 程序改善工作没有以正确的方式吸引正确的人员，尤其是最高管理人员。 程序改善小组没有得到明确、适

52、当的章程，却必须负责完成任务。 最高管理人员认为，不摧毁现有组织（改组），就不可能实现重大改善。 程序设计者没有充分考虑变革对将在新程序下工作的人们的影响。 公司更为关心的是重新设计而不是实施。 小组没有留下衡量系统或持续程序改善所需的其他基础设施。 改善工作没有强调为客户增加价值。60演示稿演示稿2F杜邦公司的内部审计杜邦公司的内部审计审计部营销宣传手册61总裁兼首席执行官致辞总裁兼首席执行官致辞 作为一个多元化实业发展和能源公司，杜邦公司在充满活力和日常经营不断发生变化的环境中开展经营。我们有责任为股东遵守最高道德标准和适用的法律和法规。而且，杜邦公司的股东还依赖我们在安全、高效率、有成效

53、地进行经营的同时，准确地报告财务状况和护卫资产。如果我们想取得和保持当今市场所要求的竞争优势，在所有程序中建立适当的内部控制是至关重要的。杜邦公司内部审计部门的作用不仅要评价现在内部控制的运行状况，而且主要是帮助确认公司面临的最大风险，并支持经营部门设计良好的经营实务来防范这些风险。为发挥这一作用，内部审计得到公司管理部门和董事会内部审计委员会的全力支持。为了有效地开展工作，内部审计在接触审计工作所必需的所有记录、信息和人力的方面不受任何限制。在公司的成长过程中，我们将不断有机会重新策划我们的核心程序。作为杜邦公司的雇员，你们中间的每一位都处于了解所在领域工作程序的最佳位置。内部审计以其特有的

54、经验处于一个非常独特的位置，他们是你们在现有经营业务和新的经营实务中嵌入内部控制的好伙伴。依赖我们的核心能力开展合作是我们公司成功的一大关键因素。我们希望你们每个人都能够与内部审计共同工作，应用手头的资源在你们的程序和实践中建立内部控制，保证我们继续在顶级业绩水平上开展运做。62副总裁兼总审计师致辞副总裁兼总审计师致辞本文件说明了杜邦公司内部审计部门的章程和使命。编制本手册的目的在于说明内部审计在评价和改善内部控制方面的作用，这种作用被我们视作内部审计的“独特经营特许权”。随着杜邦公司日益全球化，内部审计已经从只强调一个地区、一个客户和一种产品逐步演变成一个工作领域比过去广泛得多的公司。我们运

55、用经营和职能的全球网络评价风险，和客户一起来制定每年的风险领域计划。过去，我们的产品组合中只有发现性产品。如今，我们更加积极地致力于综合性防范和提供解决方案，如：经营程序审计、系统开发审查和自我评价等。这些控制改善产品的目的是在独立发挥内部审计在公司治理方面的作用的同时，增加股东价值并为公司创造竞争优势。和过去一样，我们根据内部审计专业实务准则来设计内部审计方案。同时，虽然我们的新方法已得到非常有效的运用，我们需要您持续的伙伴关系来运用和改善我们的产品和服务组合。请仔细阅读本手册，并与我们联系讨论如何能够为您的经营业务增添更多的价值。63经营道德行为经营道德行为杜邦公司在各种不同的竞争条件下在

56、世界所有地区经营不同的业务。为了保证利润水平的持续增长，我们必须革新、灵活和反应迅速。而且，在这种环境下，我们必须坚定地遵守使杜邦公司成为当今世界性大公司的核心价值观念。经营道德和内部控制是构成核心价值观念的重要部分。我们内部控制系统的基石是杜邦公司的经营道德政策和经营行为指南。它要求员工们在处理公司事务时保持最高的道德标准。员工们每年度应完成由内部审计监督进行的“经营道德政策遵循情况调查”。员工必须按照公司道德标准从事经营活动，并报告可能发生的利益冲突。为了该政策的贯彻，在所有地区都设立了热线电话，以便在员工不愿意直接通过其直线管理部门反映情况时举报可能存在的不道德行为。64内部审计的作用内

57、部审计的作用保证建立充分的内部控制并保持运行的效果和效率是经营和职能部门管理层的责任。作为内部审计师，我们的受托责任在内部审计职业实务准则中作了定义，即：审查、核实和评价内部控制是否充分保护了公司及其委托人的利益。除此之外，我们的责任还拓展到促进内部控制改善领域，内部审计可用本手册说明的多种途径来发挥其作用。我们的主要作用并没有随着时间推移而发生变化，但我们达到目标的方法却发生了显著变化。我们所做的全部工作都是以与某项活动的相对风险及其对公司的潜在影响为基础的。所带来的风险可以是舞弊、亏损、错误、无效，或违反法律和经营无效。一旦发现风险领域，我们的处理方法多种多样。对不同问题我们将使用不同工具

58、来处理，但无论如何，其重点是降低风险和提高效率与效果。我们利用全球网络来评价经营风险，并在全球基础上确认内部审计活动领域。实际上，我们自己的组织就是根据我们的客户来设置的。网络成员与客户保持联系以建立当前风险档案，确定防范内部控制风险的最有效途径。以下是内部审计的组织结构图。本手册的结尾有内部审计联络清单。杜邦内部审计行政副总裁（主管财务）行政副总裁兼总审计师一般审计经理审计委员会普华会计公司垂直管理情况战略经营单位职能部门网络范例：战略经营单位职能部门网络范例：获得原料来源战略经营单位职能部门网络范例：上游石化其他战略经营单位职能部门网络地区范例：欧洲地区范例：亚太地区其他地区操作情况65内

59、部审计的作用内部审计的作用为帮助经营活动适应未来的挑战，内部控制方法必须有助于在维护和改善内部审计的同时提高经营业绩。一方面应着重于现实状况，用发现和机会象限活动来纠正内部控制和经营中不足之处，另一方面应更加致力于有发展前景的防范性和提供解决方案式的活动。防范性和提供解决方案式的活动是降低现在与未来风险，提高内部控制效果和效益的途径。通过运用诸如系统开发审查、内部控制培训、自我评价之类的工具，内部审计可以在风险直接影响经营业绩之前大大增加经营程序中的股东价值。这样，内部审计就能够让每个经营和业务部门达到业绩高峰，使经营业绩随时间不断提高。发现提出意见不断进行审计严格保持独立符合性测试事后机会专

60、项确认对接受建议缺乏诚意没有意见内部控制检查（或试点）的副产品消极做法解决方案章程中规定的使命实施建议促进伙伴关系的建立和变革的进行从管理层的命令链中吸收内容积极做法防止内部控制教育和建立内部控制意识系统开发检查，自我评价和新的定点检查查询促使变革没有意见建立伙伴关系从管理层的命令链中吸收内容66杜邦公司内部审计产品轮杜邦公司内部审计产品轮内部审计使用各种不同工具，这些工具主要集中于如何通过降低风险，提高效果和效益，以及保证遵守法律来改善内部控制内部审计产品轮风险自我评价内部控制培训内部控制评价咨询程度审计调查系统开发审查经营程序改善67 程序审计（程序审计（Process Audit)内部审

61、计对经营活动进行综合分析和评估，并就审查内容向管理部门提供适当的建议。这一产品包括评估会计、财务和经营控制的适当性和效益性的经营程序审计，还包括着重于信息系统审计活动的信息系统审计、系统开发和运用审查、前沿技术审查，在运行前期进行的新现场审查，以及为保证存在具有成本效益内部控制的收购与合并审查。 经营程度改善（经营程度改善（Business Process Improvement BPI)内部审计可能针对与经营程序改善活动有关的内部控制。利用经营程序改善可以发现和减少经营程序中的控制薄弱环节，帮助单位对程序作出修改，强化内部控制和达到最佳运行效果。 系统开发审查（系统开发审查（System D

62、evelopment Review SDR)系统开发审查是内部审计产品四象限中防范象限中的一部分。系统开发审查可以促进在事前将具有成本效益的控制嵌入系统之中，保证控制能够在实施如期运行。 内部控制评价（内部控制评价（Internal Contorl Assessment ICA)该产品向客户提供对内部控制现状和未来风险的总体意见。内部控制控制对公司、地区、经营分部和职能部门定期进行。COSO模式是进行此项评价的方法 内部控制培训（内部控制培训（Internal Contorl Education ICE)该业务旨在通过强化对内部控制和经营道德的理解来帮助客户降低风险。内部审计可能自行或帮助客户

63、举办培训会。 咨询（咨询（Consulting)这一内部审计活动通常是应管理部门要求而进行的。其目的在于就内部控制问题提供专家意见。咨询可能是回答某一个问题，也可能是为某一问题提供解决方案，或提供建议和形成某项意见。咨询还可能与审查某项内部控制程序有关。 自我评价（自我评价（Self Assessment)自我评价是由客户根据内部审计提供的框架进行的。自我评价活动是对所审业务和职能的风险与控制活动进行的评价，内部审计积极参与其中。 专项调查（专项调查（Special Investigation)该业务是对某一事实和情况相关的一系列事件进行独立审查，以便向管理部门提供适当解决方案的建议。调查通常

64、与已知的或可疑的错误、浪费、滥用公司资产或者其他违反经营道德及严重管理错误有关。 68内部控制模型内部控制模型COCO内部控制模型内部控制模型 广义的内部控制是由单位的董事会、管理部门和其他人员决定予以实施的一项程序，其目的在于保证在具有效果和效益的经营中实现其目标，保证财务报告的可靠性，遵守适用的法律与法规，以及维护有形和无形资产的安全性。 尽管内部控制是一种程序，但其效果则是在某个或某几个时点上的一种状态或状况。 内部控制包括5个相互关联的要素。控制环境是员工们在其中从事经营活动履行控制职责的一种气氛。他是其他要素的基础。在这种气氛下，管理部门评价影响实现具体目标的经营风险。控制活动的实施

65、是为了确保管理部门知道对风险的防范。同时，应捕捉相关信息并在全单位进行沟通。对全部过程应进行监督，并根据情况的变化进行修改。监测控制活动风险评价控制控制环境环境信息与交流信息与交流69演示稿演示稿3A朗讯科技公司朗讯科技公司在COSO基础上进行的存货自我评价70内部控制：国内制造厂存货余额内部控制：国内制造厂存货余额自我评价综合框架自我评价综合框架 内部控制是指为合理保证实现下列目标而在单位内部建立的政策和程序、会计和报告系统、人事、管理理念和价值观的总体运行框架： 1、经营的效果和效率 2、财务报告的可靠性 3、对适用法律法规的遵守 为达到这些目标，综合控制框架应包含以下要素： 1、控制环境

66、（机构文化） 2、风险评价（目的和目标） 3、控制活动（政策和程序） 4、信息和交流（系统和交流） 5、监督（评价和反馈）71 内部控制是管理部门的责任，这些要素是构成有效控制的标准。为了让管理部门就存货分类帐余额的准确表达取得合理保证，所有这五个要素必须同时具备和有效。 把以下综合控制框架自我评价指南作为工具，评价保证存货余额正确性的控制是否健全和有效。对于发现的控制薄弱环节和缺少控制的领域，应向管理部门提出相应改进建议。 对于每项控制评价可采用以下分级方法加以评级： 1控制结构健全，可能存在一些进一步改善的机会 2除了一项或更多的控制薄弱环节外，控制结构是可以接受的 3控制结构不适当，存在

67、严重控制薄弱环节 4实际上不存在控制结构存货余额的 完整性受影响72 控制环境评价控制环境评价 为机构定下基调，影响其员工的控制意识。它是内部控制所有其他要素的基础，为其他要素提供了秩序和结构。它包括员工的诚信精神、道德价值观和能力，管理部门的理念和经营方式，管理部门分派权力和责任，以及组织和发展其员工的方式。该要素总体得分=73 风险评价风险评价即识别和分析相关风险以实现目标。风险评价过程应考虑影响目标实现的外部因素和内部因素，应对风险加以分析，并为风险管理提供基础。74该要素总体得分=75 控制活动控制活动包括有助于保证实施于存货有关的管理指令和采取防范风险的必要措施的各种政策和程序。76

68、777879该要素总体得分=80信息与沟通为使员工履行其职责，必须以一定的形式及时地识别、获取和传达相关信息。该要素总体得分=81 监督发生于日常业务过程中，包括定期的管理、监督活动和员工们在履行其职责时开展的其他活动，其目的在于评价内部控制系统的运行质量。该要素总体得分=82自我评价审核结果汇总表自我评价审核结果汇总表83演示稿演示稿4A安大略司法部门安大略司法部门服务菜单COCO控制模型风险管理程序控制活动84审计业务服务于司法部门审计业务服务于司法部门司法部司法惩治部检察院 服 务 菜 单 独立建议： 对部委倡导的活动提供独立、客观和前端建议。评估现有控制系统的效果和效率。控制和风险评估

69、培训：对风险管理程序进行实际可行的培训，这种管理程序可用来确保建立具有成本效益的系统来支持部委目标的实现。控制和风险评估专题讨论会：专题讨论会上有员工和管理部门参加，他们在会上评估风险和控制系统，作出接受风险决策，制定 防范风险的行动计划。开发自我评估工具：以客户为基础的用以评估关键控制程序有效性的自我评估工具。随时支持帮助对控制问题的分析和行动计划的制定。舞弊知识培训：进行入门培训，以提高对舞弊“警示信号”、管理部门在减少舞弊可能性方面的 责任以及具有成本效益的控制系统的认识。对培训进行专门设计，以反映每个分部的具体风险情况。对审计业务的提供进行管理：为了补充其现有的业务资源，审计部门有的从

70、其他部门借调人员参加其项目工作的开展，需要对这些人员进行管理。代表客户获取外部审计服务，并管理外部审计服务的提供者。85Coco模型模型1、目的：知道做什么提供对组织未来的方向感针对目标、风险政策、计划和业绩的目标与指标3、能力：能够做成这些事情提供组织的能力针对知识、技能和工具、沟通程序、信息、协调和控制活动2、致着性：希望做这些事情提供组织的身份感和价值感。针对道德价值观、人力资源政策、权力、责任机制以及相互信任2、监督学习：做的更好提供组织的发展演变感监督内外环境、监测业绩、挑战假设、再评估信息需求和系统、后续程序等，并评价控制的有效性86你的目标是什么？哪些部分会出错？错误发生的可能性

71、有多大？会产生什么影响？你有什么能力来控制它们当前有哪些控制有助于实现目标？在现有控制下还有哪些地方仍然会出错？控制是否为实现你的目标提供了合理保证?是否能接受剩余的风险是否为管理部门编写了一份说明这一程序结果的报告（包括你的风险承受决策）？组织目标确认和评估风险现有控制程序剩余风险记录接受风险决策行动计划可以接受吗？是不风险管理程序87控制活动控制活动目的：目的：公司展望和使命已确定并得到理解。组织目标已确定并得到传达。各部门目标已确定。实现目标的风险已得到确认和评估。用于支持目标和风险管理的政策和程序已确立、并得到宣传和实施。员工们了解公司对自己的期望。政策和岗位说明对权力作出了限制。战略

72、、行动计划和经营预算的制定以目标和风险为基础。确定了所需资源，并对资源进行了分配。建立了可衡量的业绩目标以及目标和计划指标。承诺：承诺：道德价值观得到了确立、沟通、分享和实施。公正的人力资源政策和实务，并与以下价值观和目标保持一致，包括： 岗位说明 业绩管理程序 招聘、挑选和雇用政策报酬非货币性奖励 纪律、惩罚和解雇 培训和发展 健康与安全员工关系对权力作了清楚的规定，并得到沟通。对职责作了清楚的规定，并得到沟通。对责任机制做了清楚的规定，并得到沟通。相互信任的气氛： 公开的、双向式沟通。 合作、委托、信息分享和学习反映了高度的 信任关系。错误是学习的源泉，而非责备的依据。88控制活动控制活动

73、监督与学习：监督与学习：根据预定目标和指标监督经营业绩。内外部环境得到了监督，比如： 趋势和周期分析 状况报告 统计和财务分析 行业基准考核 客户和员工调查、焦点团体、反馈机制 员工的不满情绪 政治意识机制根据通过监督获得的信息对目标和控制活动进行再评估。员工得到可靠的结果信息。对控制活动进行监督，并在内容过时或成本过高时对之进行调整。质疑目标背后的假设。当目标发生变化时对信息需要进行再评估。为确保按照计划采取了措施而实施后续行动。对组织控制的有效性进行定期评估，评估结果向有关责任方报告。能力：能力：员工掌握了必要的知识、技能、工具和技术。发现差距，并拥有解决计划：建立训练、培训和增添技能程序

74、。沟通工作及时、相关、可靠。征求受决策影响者的意见并应用这些意见。机构内不同部门的决策和行动得到协调。员工从全单位的立场来考虑其决定和行动的影响。机构内各单位间有充分的咨询和沟通。作出增加控制活动决策时考虑了风险、成本和利益。工作单位间的控制活动是一致综合的。机构内的每个人都意识到自己对控制的责任。适当水平的直接控制活动，如： 监督检查/授权 职责分离 实物安全/限制性接触 观察、比较、报告和跟踪89演示稿演示稿4B安大略司法部门安大略司法部门COCO和风险管理程序培训90培训培训控制的自我评价：风险管理程序和COCO控制模型 1999年5月培训目标培训目标风险管理程序培训 风险管理程序 控制

75、的要素培训练习总结91什么是风险管理程序（什么是风险管理程序（RMP）？）？组群程序系统性以更为全面的控制定义为基础 “RMP是一种以事实为重点的应用成素，目的是发现何处存在问题，如何改善业绩，并提高生产率和效率”“员工组成小组（并选出小组协调员）在控制匡架内分析影响其实现部门目标的有利因和不利因素，并确定采取的适当行动”组织目标风险的确认与评价确认现有控制确认和评价剩余的风险是否可接受记录接受风险的决策行动否是风险风险管理管理程序程序92目标应该：目标应该： S 具体 M 可衡量 A 可达到 R 现实 T 有时间表 组织目标风险的确认与评价确认现有控制确认和评价剩余的风险是否可接受记录接受风

76、险的决策行动否是你的目标你的目标是什么？是什么？这些目标 是程序的 基础小组需要对此有共识93什么是风险？什么是风险？“阻碍实现目标的一切事项”风险评估风险评估=可能性X后果X影响力94小组练习小组练习场景 选择一种场景情况，如，汽车维护，圣诞采购和你孩子的生日舞会作计划。目标 确认和评价风险 确认和评价组织目标风险的确认与评价确认现有控制确认和评价剩余的风险是否可接受记录接受风险的决策行动否是哪些地方可能哪些地方可能发生错误？发生错误？可能妨碍目标实现 的事项障碍/陷阱/堡垒风险发生的可能性 有多大？风险发生可能产生 什么影响？我们有什么能力影 响结果？95组织目标风险的确认与评价确认现有控

77、制确认和评价剩余的风险是否可接受记录接受风险的决策行动否是翻新轮胎翻新轮胎确定目标用SMART来评价 目标确认风险评价风险组织目标风险的确认与评价确认现有控制确认和评价剩余的风险是否可接受记录接受风险的决策行动否是实现目标的现有实现目标的现有控制是什么？控制是什么？不只是监督、责任 分工和实物保管96什么是控制什么是控制“组织内部有助于人们实现组织目标的所有因素”“提高目标实现可能性的所有行动”你的生活中有什么样的你的生活中有什么样的“控制控制”?97控制的要素控制的要素能力承诺目的管理和学习行动能力承诺目的管理和学习行动知道应该做什么知道应该做什么!任务/规划/目标风险和机会政策计划目标98

78、能力承诺目的管理和学习行动希望做这件事希望做这件事!道德人事政策(即奖励、 认可和公平对待）授权责任机制信任能力承诺目的管理和学习行动能够做这件事能够做这件事!知识、技能和能力工具沟通信息团队精神直接控制（监督、职 责分工和实物保管）99小组练习小组练习目的 “保证保管好宫廷展品、在任何时都不让任何未经授权的人接触”任务 确定控制的类别能力承诺目的管理和学习行动你已经做了什么你已经做了什么和如何改进？和如何改进？外部和内部事项 （立法、其他强制 机构和网络）业绩挑战假设再评价信息需求100控制的要素控制的要素谁对控制负责？谁对控制负责？“大多数人讨厌被控制，但如果把控制视作管理业务和取得积极效

79、果的途径，对控制的态度会变得比较积极”谁对控制负责？谁对控制负责？每个人每个人能力承诺目的管理和学习行动101有效的内部控制系统起有效的内部控制系统起哪些作用？哪些作用？为实现为实现目标目标提供提供合理保证合理保证对控制的结论对控制的结论控制是达到目标的一种手段控制是达到目标的一种手段控制控制=风险管理风险管理风险管理是每个人的工作风险管理是每个人的工作102剩余风险剩余风险 风险风险 控制控制 剩余风险剩余风险组织目标风险的确认与评价确认现有控制确认和评价剩余的风险是否可接受记录接受风险的决策行动否是在现有控制条件在现有控制条件下。哪些地方仍下。哪些地方仍然可能出错？然可能出错？检查你的风险

80、和 现有控制，确认 是否有差距103组织目标风险的确认与评价确认现有控制确认和评价剩余的风险是否可接受记录接受风险的决策行动否是你能够忍受你能够忍受剩余的风险吗？剩余的风险吗？现在控制是否 可为实现目标提供合理保证？接受风险决策 取决于组织的 文化组织目标风险的确认与评价确认现有控制确认和评价剩余的风险是否可接受记录接受风险的决策行动否是行动计划行动计划如果不受控制 的风险太多或 不可接受，则 应制定行动计划 来降低剩余风险你对本部门的建议104结论结论风险管理程序 一种评价风险和控制对实现经营目标影响的程序COCO 控制模式 在风险管理程序中用来评价控制的工具组织目标风险的确认与评价确认现有

81、控制确认和评价剩余的风险是否可接受记录接受风险的决策行动否是风险风险管理管理程序程序 105演示稿演示稿4C安大略司法部门安大略司法部门财务控制原则培训106处理现金和银行业务的健全处理现金和银行业务的健全内部控制系统原则内部控制系统原则什么是原则？什么是原则？已确认的行为或经营模式已确认的行为或经营模式公认的真理公认的真理指南指南107原则不是：原则不是：你在青少年时代所畏惧的某个人不能违背的规则 （条件是你有相应的控制和/或了解并接受风险）第一项原则第一项原则清楚确定了员工的职责 一致的做法明确的沟通 岗位说明 组织结构图108第二项原则第二项原则当保管的现金出现差额时，应在两当保管的现金

82、出现差额时，应在两人都在场的情况下进行核实人都在场的情况下进行核实第三项原则第三项原则保持良好的记录保证可靠准确的记保持良好的记录保证可靠准确的记录录准确和可靠=完整的审计线索准确和可靠=收取正确的价款，使所用客户都得 到公平的对待准确和可靠=每个人都清楚谁做了什么，得到了 多少报酬，何时做的工作109第三项原则第三项原则保持良好的记录保持良好的记录如何保持可靠准确的记录用机械化的和计算机化的设备来减少人为错误尽可能多地使用支票（对少量备用现金和小金 额的交易不必如此）保持最新记录，不要发生积存现象连贯一致地 遵循程序，不要走捷径第四项原则第四项原则每项交易都应开具发票鼓励客户领取发票，通过现

83、金登记薄旁作记号的方式观察现金总额110发票发票发票是向客户和客户服务人员提供的付款证明就所涉及交易保护双方的权益第五项原则第五项原则在员工中进行职责分工，以便互相监督制衡111职责分工职责分工负责定期进行银行对帐的人不能 同时负责签发发票、处理日常收 支和交易记录应由不参加现金收入的人员将现 金清点数与现金收入数加以对照 调节任何人都不得独自处理一项交易 的全过程第六项原则第六项原则尽可能集中处理现金收入可以提高效率。减少处理现金的地点112第七项原则第七项原则尽快完成涉及现金的业务尽快完成涉及现金的业务第八项原则第八项原则备用金少了，有谁知道原因？立即记录收入收到支票后立即 在支票上背书在

84、收款的同日将 款项如数存入银 行提高记录的准确性和 完整性降低因失误或偷盗带来 损失的可能性为保证责任机制的有 效运做，对现金的 流动和收入的保管 与控制以及对现金 抽屉的接触应仅限 于一个人113第九原则：安全存放第九原则：安全存放保证空白发票和支票、在途存款、现金抽屉、保险柜和现金登记簿的存放、地点和接触权在任何时间都仅限于经过授权的员工第十项原则第十项原则监督人员和管理人员定期进行独立审核114第十项原则第十项原则案例案例最后一项原则最后一项原则所有人员（经理、监管、柜员和后勤人员）有责 任了解控制，并帮助采取纠正行动 每个人都应该意识到没有得到遵守的程序、正 在发生的错误和不合法的行为

85、 每个人都有责任努力通过识别薄弱环节来纠正 错误，并发生改善工作的新方法突击清点现金审核银行对帐单审核付款及其支 持性文件走访现场无效、撤消和修正必须 得到监督或经理的签名 批准监管、经理和小组负责 人应接受舞弊知识培训115演示稿演示稿5AJCPenney公司公司内部审计的未来变革观点综述116内部审计的未来内部审计的未来变革观点综述变革观点综述 1、内部审计将远程监控总的经营和控制环境。技术的运用是这一过程的关键，审计界必须进行必要的技术和人力投资，以有效应用科技。 2、内部审计必须拥有可以自主决定的资源。影响单位和管理部门的因素日新月异。为内部审计部门每年开展几项审计工作而编制固定预算的

86、做法已经落伍。如果审计提供的确实是增值服务，它就应满足短线审计要求，而且必须在所规定的时限内出色的完成工作。做到这点的唯一途径是拥有可以自主决定的资源。 3、正式的审计报告将继续趋于淡出。如果审计与管理部门合作、发现问题、提供相应数据并为研究委员会工作，那么形式上的讲究就不再那么突出。与其出具针对已经落实问题的正式报告，不如努力让问题一次性落实正确。形式主义有碍团队工作。 4、内部审计结构将发生变化。管理级别会减少，职能会更交叉。管理部门的成员可能会参加一些审计组。一个主要的变化可能是一些内部审计师将离开研究小组，转而帮助指导实施结构。 5、诊断式的审查和例外分析将作为竞争优势得到保留。 6、

87、内部审计与管理部门盘根错节、互不分离。内部审计主要是向管理部门报告，然后才是向审计委员会报告。约翰逊认为让审计委员会成为内部审计的主要用户只会导致从外部采办内部审计资源。 7、内部审计不可能同时提高经验水平和增加审计师数量。约翰逊正在努力让审计师重新找正他们的位置。希望审计师得到提升和成为管理人员是一个通病。他正在想办法留住为公司作出很大贡献的审计人员。 8、内部审计将会涉及更多学科。内部审计将继续从其他领域招募人才。将在一定的期间与其他部门进行岗位轮换，比如，从审计部门选出三名杰出的年轻人与商品部或信贷部的三名年轻人进行短期岗位轮换，然后再调回原来的岗位。117演示稿演示稿5AJCPenne

88、y公司公司做到与众不同118做到与众不同做到与众不同 1900年创立列奥内尔模式培训公司的耶叔华？列奥内尔？科文先生满腔热枕地为其客户服务。在培训销售人员如何与客户打交道时，他从来不忘强调其职业座右铭“使你的服务出类拔萃”。其意思是全神贯注地服务于你的客户，让你的客户感到他是你商店里最重要的人，倾听客户的诉说。如果做到了这点，他们会指导你应该把营销重点放在何处。 作为列奥内耳式培训的推崇者和内部审计师，我已逐渐领悟到科文名言的智慧所在。长期以来，我一直感觉科文的理念概括了我们对审计客户应采取的态度。如果我们倾听客户的诉说，倾注我们的精力，让他们感觉到他们对我们的重要性，那么，我们就给客户提供了

89、与众不同的内部审计体验。如此一来，只要遇到问题，他们就会来找我们。而且，他们会热心地阅读我们的审计报告，会征求我们的建议，并将建议落实于行动当中。 事实上，我非常相信我们审计职业是可以借鉴列奥内尔案例的，因此，在我担任国际内部审计师协会主席的那些年里，我一直把科文的口号作为我的工作主题。当今商业世界对内部审计有着强烈的需求，而提供内部审计业务的人员也不胜枚举。因此，我们唯一的理智做法是集中精力为我们的审计客户（即所在机构的管理部门）提供出类拔萃的服务。 如果整个职业界在下个年度把客户放在首位，我想我们就会在提高管理部门和整个商业界对内部审计业务的评价方面受益匪浅。说到底，我们是为了帮助我们所在

90、的机构而存在的，当我们采取客户至上的工作方式时，管理部门就只能把内部审计列入机构内部最为重要的职能部门的清单。在JCPenney，在向审计客户提供出类拔萃服务方面有六项原则是非常有用的，它们是：了解情况、主动出击、灵活机智、公正行事、训练有素和不拘礼形式。根据“在分享中进步”的精神，我来说明我们是如何在工作中落实这些原则的。119了解情况了解情况 很明显，了解机构业务是至关重要的，对每个被审计领域，我们必须了解其与公司整体业务的联系。我们必须学会说客户的“语言”，要象熟悉内部审计界的最新词汇一样掌握他们的行话和缩略语。 此外，通过自愿到机构的不同业务部门工作可以证明我们非常愿意切实了解机构的经

91、营业务，这点也是非常重要的。在JCPenney，我们在节假日期间常常这样做。谁愿意在购物高峰季节、商店里挤满消费者的时候看见内部审计师在商店里工作两周呢？没有人会愿意，除非我们是在那里帮助他们按现金储存期或叠毛衣。 在掌握分析数据所需的技术方面超过机构内部其他人也很重要。内部审计师“工具包”的一个基本组成部分就是能够整理数据，而我们的审计师认为以公司数据分析专家而享誉全公司是审计师的专业职责。我们甚至从JCPenney的审计人员中分出一批人组成“审计技术小组”。该小组专门向审计部门的其他成员和业务管理部门提供数据分析工具、技术和其他相关帮助，以保证他们顺利有效地开展工作。这个小组是我们内审部门

92、最知名的内容之一，他们在向客户提供及时有效服务方面享有盛誉。120主动出击主动出击 我们不是等待他人的召唤才加入某个可能给我们带来丰厚回报的项目，而是从现在开始，积极出击。在当今瞬息万变的商业世界，审计人员稍有懈怠就会丧失绝佳机会。 我常常告诉我的部下：“我们不做，别人就会做！”。每当外部咨询顾问或公司其他领域的人开展了我们已经意识到该做但却犹犹豫豫没有采取行动的项目时，我都会感到很难受。谁都不在乎其中涉及的一定风险。因为主动出击而偶然失误是可以原谅的。内部审计的责任是管理风险，而不是规避风险。灵活机智灵活机智 在我们的审计部，在新年度开始前几个月就详细制定下一年度工作计划的做法已经成为了老皇

93、历。为了处于动态商业环境的前沿，我们采用即时方法来制定我们的审计计划。 我们不对过去进行解剖，而是把大部分的内部审计工作重点放在现在和未来。如果我们要审视影响现在和未来经营活动的业务重点，那么，我们就必须在时间安排上有一定的灵活性。 在JCPenney，我们在审计时间表上留出充分的空间，以满足客户对我们提出的特别服务要求。我们必须有求必应。如果我们不能及时向审计客户提供所需服务，那我们还不如关门大吉。公正行事公正行事 我们必须对组织“只说我们看到的”。尽管我们永远不可能向在某个领域工作的业务人员那样了解该领域的工作，但我们对公司充分内部控制的组成内容的技术了解是最高层次的。我们必须确保在这方面

94、明确表明我们的观点，这也是我们挣钱的看家本领。同时，我们还必须力求公正。例如，如果存在问题，那么，我们对问题所带来的各种影响的程度作出准确的概括是非常有益的。另一方面，如果每件事都做的很漂亮，我们就应该趁机对杰出工作予以赞扬。请相信，在适当的时候提供正面的评价有益于加强与管理部门的关系。 最后，与管理部门打交道时应注意不要搞突然袭击。让管理部门知道我们工作的进展是非常重要的。没有多少信息值得保留。让管理部门知道我们发现的问题使他们得以在审计过程中采取行动和解决问题。在发送审计报告时发现所有审计发现的问题都已得到解决是最让我高兴不过的事。但这种只有提前补救的情况只有在我们提出问题时管理部门就和我

95、们合作解决问题时才会出现。这种情况也真正表明，内部审计与管理部门为了公司的利益结成了真正的工作伙伴关系。121训练有素训练有素 我们曾经向高级管理层和审计委员会成员调查他们在评估内部审计工作有效性时所考虑的因素。当时，他们提到的一个决定性因素涉及内部审计人员对审计职业发展情况和发展趋势的认识。尽管这些人并不真正熟悉内部审计师是如何开展工作的，但从他们的回答中可以清楚地看到，他们期望我们的审计人员了解当前审计的重点以及如何最好地履行审计职责。 我们所在的机构在内部审计部门上投入了大量的资源。因为这些投资，我们必须提供给他们专业的、训练有素的审计人员。从这一点上讲，国际内部审计师协会及其地方性分会

96、和国家分会屎内部审计行业发展的一个自然信息源。此外，国际内部审计师协会还提供注册内部审计师考试和资格认证项目：这是内部审计职业公认的优秀技术标准。目前，在掌握内部审计行业最新动态方面，我还想不出比通过内部审计师协会了解情况和参加内部审计师考试更好的方法。不拘泥于形式不拘泥于形式 董事会和管理部门评估审计部门工作是否有效时考虑的另一个因素是审计人员如何与管理部门合作开展工作。从这方面来讲，我非常希望能够与我们的客户建立一种不拘形式的关系。 我知道，如今我们内部审计师所做的是一项非常严肃的工作。但这并不意味着我们在履行审计职责时必须如履薄冰。 本年度我们审计部门的目标之一是在工作中找到更多的乐趣。

97、在我们与管理部门建立关系（即让他们在需要帮助时能够想到我们）的过程中，我们得到了很多乐趣。这种不拘形式的关系带来的投入远远超过传统方式。在传统方式下，我们与管理部门召开正式的进点会、出点会，要求管理部门对审计计划提意见的会议。我相信，有时候，人们是在走廊里碰到对方或一起喝咖啡时进行最重要的会谈。说到底，人们通常愿意彼此感觉舒服的地方进行谈话。122做到与众不同做到与众不同 根据我的经验，当内审部门落实了上述6大原则后，它将受到全公司的尊敬，将会与管理部门建立绝好的关系，将被视为合作伙伴，将会公正简洁地与客户沟通。其他内审部门可能也创立了其他让客户感觉审计经验有独到之处的战略。我希望，我们会想方设法在来年分享这些革新男女成果。如果内部审计界真正想在未来站住脚跟并大获成功，我们必须致力于发现并满足审计客户的需求。如果我们能够帮助审计客户实现其目标，我们，作为内部审计师，就会在公司活动的主流活动中占有牢固的一席之地，就会获得管理层对我们活动的鼎力支持。123