内部控制评价手册(125页PPT).pptx

《内部控制评价手册(125页PPT).pptx》由会员分享，可在线阅读，更多相关《内部控制评价手册(125页PPT).pptx（125页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、演示稿演示稿2A选自内部控制评价手册审计经理全球网络责任人全球网络成员区域经理外部审计师内部控制评价网络总审计师全球战略经营机构（见所附清单）负有责任负责咨询咨询咨询和通知通知全球服务业务（见所附清单）咨询咨询和通知通知区域性内部控制评价亚太地区负有责任/负责咨询咨询和通知通知加拿大负有责任/负责咨询咨询和通知通知欧洲负有责任/负责咨询咨询和通知通知墨西哥负有责任/负责咨询咨询和通知通知南美负有责任/负责咨询咨询和通知通知选择性的内部控制评价工厂通知咨询负责负有责任/负责咨询咨询和通知通知合资企业通知咨询负责负有责任/负责咨询咨询和通知通知地方战略经营机构管理部门通知咨询负责负有责任/负责咨询

2、咨询和通知通知全公司范围的内部控制评价咨询咨询负有责任/负责咨询咨询和通知通知一、内部控制评价的责任一、内部控制评价的责任 内部控制评价的责任和责任机制可用下表来表示：二、内部控制评价报告编制指南二、内部控制评价报告编制指南 评价报告的主要组成部分包括概述、内部控制评价和给管理部门的建议。报告还应有封面、目录。大部分内部控制评价报告还包含审计发现的重要问题、违反职业道德的事项以及内部审计提供的相关信息，可能的话，还包括内部审计计划工作的范围和主要活动。（一）概述（一）概述 篇幅仅一、两页的概述部分应清楚地说明内部控制评价对象的组织特点（战略经营机构/服务业务/合资企业等）、所在的地理位置（地区

3、/国家/位置）和评价所指的期间。战略经营机构/服务业务/合资企业等的规模（如销售总额、投资额、成本和收益等）最好也能在这一部分加以介绍。概述部分应包括如下。1、内部控制评价的定义和范围（组织特点、内部控制评价的定义和范围（组织特点/所在地理位置）所在地理位置）比如：以下是针对某地区战略经营机构的内部控制评价报告的一段内容 “本报告是对在（表示某地区）开展经营的.（代表某地区战略经营机构）当前的内部控制及今后的问题进行的全面评价。这一评价的主要依据下列内部审计工作：内部和外部审计的结果、业务改善活动、系统开发检查、对自我评价的评估、专项调查和我们从内部和外部得到的其他相关信息.”。2、内部控制评

4、价的目的、内部控制评价的目的/目标目标 在上述阐明定义和范围的文字之后可以考虑在报告中包括以下段落：“本报告所包括的评价发现旨在为（某地区战略经营机构/服务业务）的内部控制提供前瞻性视角，同时强调与可能影响其控制环境前进的以往经验有关的问题 ”建议使用的其他用语:“我们提出本报告的意图是激励和支持对需要引起注意的问题提出解决方案、进行积极影响，考虑影响内部控制的关键因素，关注未来和重视公司内外部两方面的因素，以便（战略经营机构）能够不断地改善总体内部控制以适应经营的需要”。3、总体评价、总体评价 建议总体评价应针对内部控制的效果，并辅之以补充说明，以便在适当条件下提供关于公司或区域内部控制薄弱

5、环节和强项的看法。建议表述总体评价时采用下列用语：“.(某战略经营机构)存在有效的内部控制来帮助其实现上述目标.”。1）经营的效果和效率包括业绩目标和盈利目标 2）财务报告的可靠程度包括防止虚假财务报告 3）遵守适当的法律和法规 4）保护资产安全 我们认为，（某战略经营机构）存在有效的内部控制来帮助其实现上述目标.”。如前说述，在总体评价之后，应该提请注意在讨论每项内部控制内容时会详细检查的领域。”.我们注意到，在营运资本和外部承包商的管理方面已得到了重大的改善.。“”但是，由于发生了很多重大的变化，还有一些控制点需要加以强化.。“”尽管如此，我们注意到，在以下领域还有进一步改善的余地.。“在

6、很少见的情况下，也可能发现重要的薄弱环节，而且根据审计师的判断，这些薄弱环节根深蒂固或到处蔓延，则应出具相反的或有保留的评价意见。”根深蒂固“是指这一薄弱环节以前一时期延续下来，或与被出具相反或有保留评价意见的公司其他领域所存在的问题如同一辙。”到处蔓延“则是指薄弱环节的影响严重威胁了资产的安全性以及经营目标、报告和符合性目标的实现。相反评价意见可表述为：”.我们认为，战略经营机构不存在有效的内部控制来帮助其实现经营目标.。“下面是一种有保留评价意见的措辞范例：”.我们认为，战略经营目标存在有效的内部控制帮助其实现有效经营、财务报告可靠和遵守有关法律法规等目标，但却无助于保护资产的安全性.。“

7、如果出具了相反评价意见，在评价意见之后对导致出具相反意见的问题进行详细说明并提出纠正措施就显得尤为重要。之所以重要的原因是，如果接受评价的对象不能理解控制薄弱环节的严重性，没有采取纠正措施的动力，那么内部控制评价就毫无价值。改善控制的所有重大机会应在”对管理部门的建议“部分阐述。概述的最后一段应将本部分与接下来的”内部控制评价“部分联结起来。（二）内部控制评价（二）内部控制评价 手册的这一部分列举了编制内部控制评价报告时应予考虑的各种问题。它分5个段落，分别说明COSO框架下内部控制的每个组成部分。每个段落首先给出了该组成部分的定义，然后给出编制内部控制评价报告时应考虑的因素（或问题）的详细清

8、单。因素清单以COSO框架为基础，也就是说，必要时，内部控制评价报告的编制人员可参考COSO的有关资料来得到更多的信息和解释。但这并不意味着要将因素清单送交客户以得到后者对每一段落的回复报告。它可以用作从不同内部控制部门搜集信息的模板和组织与战略经营机构或管理部门人员进行会谈的基础。没有必要为上述每个因素（问题）进行详细的叙述。清单只是为了帮助报告的编制人员理解属于每个组成部分的因素和强调那些被检查部门的运做可能存在会引起人们对内部控制评价报告评论的控制弱点或强项。建议在向客户散发的内部控制评价文件中对每个组成部分都加以讨论，并给出该组成部分的定义。（三）控制环境（三）控制环境 COSO对控制

9、环境的定义是：“控制环境是一个公司的基调，它影响着公司内部员工的控制意识。控制环境组成因素包括公司员工的人格、道德价值观和能力，管理理念和经营方式，管理部门分配权力和责任、组织和开发人力资源的方式，以及董事会的注意力和导向等。”下面是内部控制评价报告编制人员在会谈和资料收集过程中用来确定是否存在积极控制环境时应关注的事项。1、人格和道德价值观、人格和道德价值观 （1）公司向所有员工和外部各方（如供应商和客户）宣传公司经营道德政策和程序的过程是否有效？（2）公司管理层在建立适当的控制环境和态度（如”高层基调“）并对这些态度进行沟通方面的有效性如何？（3）管理部门在必要时所采取纪律措施的有效性和恰

10、当性如何？所采取的措施和有关违规情况是否在全公司范围内通报？2、管理理念和经营方式、管理理念和经营方式 （1）管理部门在多大程度上采用或鼓励采用可接受的风险水平？（2）关键职位的人事变动是否影响了控制环境和实际的内部控制？（3）经营管理层在多大程度上对内部控制抱有主人翁精神？（4）高级管理层和中级管理层及普通员工交往的有效性如何？是否存在地理、文化或者其他方面的障碍？（5）公司政策、会计规定/惯例是否严格一贯地得到应用，从而避免人为操纵或错误地报告记录或结果？3、组织结构、组织结构 公司的组织结构是否有助于或有碍于信息向管理部门流动？最近的人员变动或裁员对信息流动产生了何种影响？4、责任分配和

11、授权、责任分配和授权 （1）公司内部的责任分配和授权（即经营、遵纪守法、计算机系统和权力限制）如何进行有效进行？（2）与控制有关的标准和程序在多大程度上通报了员工并写入职位说明中（如：责任是否得到分配）？（3）公司是否将适当数量的具有相应技能的人员安排在正确的职位上，与公司的规模、性质和复杂程度相一致？5、人力资源政策和实务、人力资源政策和实务 （1）雇用、培训、提升以及报酬政策及程序是否恰当？（2）员工们在多大程度上了解其职责及管理部门对他们的期望（个人业绩检查等等）（四）风险评价（四）风险评价 COSO对风险评价的定义是：“公司面临着来自内部和外部、需加以评价的各种风险。风险评价的前提条件

12、是建立在不同层次发生联系、内部却保持一致的目标。风险评价是确认和分析影响目标实现的相关风险，形成确定如何管理风险的依据。因为经济环境、行业管理和经营条件都在不断变化，必须要有恰当的机制来确认和处理与变化相关的风险。”在这一组成部分下，有必要将检查分为外部风险因素检查和内部风险因素检查两部分。这就出发点的不同和其他区别，在为地区和全球性公司领导编制内部控制评价报告时尤其如此。以下列示了内部控制评价报告编制人员在评估管理部门设定目标、分析风险和管理变化等过程时应该考虑的因素，包括它们与经营活动的联系和关联程度。6、公司目标和业务目标、公司目标和业务目标 （1）确定和沟通公司目标的过程是否有效（同时

13、应考虑所有层次人员的参与程度和对目标的执着程度）？（2）公司目标多大程度上对公司想要取得的成果提供了概括性的但同时又具体到与目标直接相关的说明和指导？（3）公司内部目标在多大程度上与战略、经营计划、预算及当前的条件挂钩并保持一致？（4）在多大程度上确认了达到公司目标的关键成功因素？7、风险、风险 （1）在多大程度上存在用以确认外部风险（供应资源、技术变革、竞争对手的行动、经济环境、政治条件、规章制度和自然事件）的机制？（2）在多大程度上存在用以确认内部风险（如人力资源、劳资关系、融资和信息系统及其重建等）的机制？考虑管理部门是否考虑了以下方面有关的风险：人力资源，如留住关键的管理人员，或因为职

14、责的变化而影响有关职能的有效发挥。融资，如落实新的提议或继续某个关键项目是否可以获得必要的资金。信息系统，如在系统出现问题的情况下，充分的备份系统可以对业务产生重大的积极的影响。（3）风险分析过程，包括预测风险的严重性、评估风险发生的可能性以及确定所必要的措施等是否彻底、相关？8、对变化进行管理、对变化进行管理 公司对影响其目标实现的事项或业务的变化如何进行有效管理（潜在的变化领域包括：经营环境的改变、新员工、新的或重新设计的信息系统、快速增长、新科技、新生产线/产品/业务和收购、公司重组和国外业务等）？（五）控制活动（五）控制活动 COSO对控制活动的定义是：“控制活动是指确保管理部门指令得

15、到贯彻执行的各项政策及程序。它确保在发现风险后能够采取必要的行动从而保证公司目标的实现。控制活动贯穿于公司的各个阶层和职能部门，包括审批、授权、验证、调节、业绩检查、资产护卫及职责分工等。”评估控制活动是否适当时应着重考虑以下几个方面。9、控制活动、控制活动 （1）为处理风险所确定的控制政策和程序是否适当，包括风险评估所确定的那些组成部分。建议参考内部控制指导手册。（2）内部控制程序得到遵守的程度，如：如期应用ELIS标准，即有效地实施职责分离，或存在降低风险的控制措施。对资产进行实物控制，即存货盘点等。在可以接受的水平上进行交易复核。遵守法律法规。存在和实施了有效的权力限制。定期及时进行必要

16、的调节。根据预算和目标对包括业绩指标在内的实际业绩进行了考核（如抽样检查的结果，出票错误等），并采取了纠正措施。（3）在多大程度上进行定期控制检查和修改，以适应情况的变化？（4）以前发现的重大审计问题是什么？主要教训是什么？（5）以前是否存在违反道德规范的情况？如果有，教训是什么？（六）信息与沟通（六）信息与沟通 COSO对信息与沟通的定义是：“为了以某种形式和在某个时间取得必要的来自内外部两方面的信息并进行沟通，从而使员工能够履行其职责，必须建立信息系统。有效的沟通必须是广义的，它包括公司内部自上而下、自下而上和各平行部门间的全范围的信息流通。”为确定信息与沟通系统是否适合公司的需要，内部控

17、制评价报告的编制人员应特别关注以下问题。10、信息、信息 （1）报告机制能否及时有效地向正确的对象提供信息，这些信息是否丰富和详细到能够帮助他们根据既定目标评估经营业绩？（2）在多大程度上为信息系统建立了战略计划，管理部门是否通过人力和财力等方面资源的投入来表示他们对计划的支持？11、沟通、沟通 （1）人们在多大程度上认识到公司已经建立供大家报告违法嫌疑的沟通渠道？（2）管理部门是否积极地鼓励员工就生产率、质量或其他类似方面的提高和改善提出建议（比如，建议：将相应的奖励次数和金额与同类单位作比较）。（3）整个公司是否存在良好的沟通机制（如采购、制造和销售部门之间的沟通），从而使员工们有效的履行

18、职责。（4）公司在多大程度上建立了反馈机制，从而能够有效地处理与客户、卖方、监管公司和其他外部各方的沟通（建议：确定是否针对客户投诉建立了相关计量制度）？（七）监测（七）监测 COSO对监测的定义是：“内部控制系统需要得到监测。监测是对内部控制运行质量不断进行评估的过程。它通过管理部门的持续监测和监视活动、年度商业道德的符合性鉴证、综合性内部审计工作、外部监管公司、供应商和客户一起共同完成的。”在考虑对内部控制持续有效性的监测程度时，内部控制评估报告编制人员应该考虑以下因素。12、监测、监测 （1）评价员工在履行其职责时是否能够取得有关内部控制系统继续有效运行的证据？（2）来自外部各方的沟通信

19、息在多大程度上可以与内部产生的信息相互印证？（3）公司对内部审计部门的建议的反应如何？对外部有关方面的建议又是如何反应的？（4）公司在多大程度上能够保证所有员工都能理解和遵守公司的经营道德政策和程序？对拥有一定权利的员工是否进行定期的培训，是否理解道德政策？（5）内部控制系统自我评价的范围是什么、频率有多高？评价过程是否有效？是否有重要的审计结果或发现需要内部控制评价中得到说明？（6）是否已建立相关机制来获取和报告内部控制的缺陷并在随后采取适当的纠正措施（如，盗窃情况报告和对缺陷的适当报告）？（7）描述上一年度或前次内部控制评价以来内部审计的审计范围。过去几年的审计结果或违反经营道德的事项是否

20、呈现一定的趋势（A、B、C演示稿都有此方面的信息）？演示稿演示稿2B杜邦公司的内部审计杜邦公司的内部审计经营管理调查杜邦公司的内部审计杜邦公司的内部审计经营管理调查经营管理调查 在完成您自己的个人评价后，请考虑（本年度）有哪些控制发生了变化，您最满意的地方是什么，主要关注的是什么领域。内部控制的5个相互关联的组成部分来自管理部门运营公司的方式并与下面所述的管理过程综合成一体。请利用下面的提纲，以上一年度的评价为起点，来完成对当年内部控制的评价。如果您想取得上一年度的评价结果，可与内部身机联络处联系。一、控制环境一、控制环境 良好控制环境的基本特点是管理部门为公司定调的方式。控制环境因素包括诚信

21、精神、道德价值观、公司员工的能力、管理理念、运营风格、分配责任以及管理层分配权力责任和发展人力资源的方式。在控制环境方面，您在本年度遇到了哪些新的问题？感觉最好的领域是什么？最关注的是什么领域？二、风险评估二、风险评估 每个公司都会面临需要加以评价的各种风险。风险评价的前提条件是建立目标。风险评价就是确认和分析相关风险，以便为管理风险建立基础。您所在的公司发现了哪些新的风险？哪些风险得到了降低？如何评价新风险？如何防范新风险，以便使经营目标得到顺利实现？在开展风险评价时，主要关注的领域是什么？三、控制活动三、控制活动 控制活动是为了确保管理部门的指令得以贯彻落实的政策和程序。控制活动分布于公司

22、的各个阶层和所有职能部门。您所在的公司在本年度引入了哪些新的控制活动？感觉最好的是哪些？感觉最不好的是哪些？四、信息与沟通 为了以某种方式定期地取得和沟通必要的内外部信息，从而使员工们能够履行其职责，必须建立信息系统。确认本年重要的变化领域。感觉最好的是哪些领域？最关注的是哪些领域？五、监测 内部控制系统必须得到监测。监测是持续评价系统运行质量的过程。本年度的监测过程有什么不同之处？如果有，在本年度使用了哪些新的监测过程？感觉最好的是哪些领域？最关注的是哪些领域？六、总体评价 从信心和感觉方面来说，您怎么描述您所在公司内部控制的总体状况？七、其他评价（什么事情让您晚上难以入睡？）演示稿演示稿2

23、C杜邦公司的内部审计杜邦公司的内部审计采购控制培训方案 采购控制培训方案采购控制培训方案本演示的目的是使大家了解这三个内部控制领域 采采 购购 目目 标标了解采购过程的控制目标介绍控制技术采购过程是公司经营活动的主要组成部分，公司在采购上花费大量资金，因此在采购过程中建立有效的内部控制是十分重要的。首先，让我们看一下采购流程图。本图起点较高，但包括采购商品和服务的所有步骤。采采 购购采购过程在经营活动中起着举足轻重的作用,它能确保以最好的价格购入所需的货物和服务,从而有助于控制成本,提高保本底线。采购过程有四大关键控制领域，即 采购申请 采购定单 验收报告 发票下面将详细讲解每个领域当有人确定

24、了对材料或服务的需求时，整个采购过程就开始了。在这种需求的基础上，应该提出采购申请，并包括所有必要的数据，以方便买方发放定单。采购申请单应该包括采购过程的关键控制点采购过程的关键控制点 采购过程的四大关键控制文件：采购申请书 采购定单 验收报告 发票 采购申请书采购申请书提出购入货物或服务的申请申请书应清楚的写明：采购申请人情况介绍 申请采购内容 申请采购原因 何时需要这些货物或服务 应记到谁的帐上 上次的供应商（可能的话）采购申请单应该由提出采购申请者以外拥有必要授权的其他人审批。采购申请和审批授权的职责分工保证只采购必要的商品和服务。在完成采购申请之后，申请单就发往采购部。我们把这一阶段称

25、为落实阶段，即针对所要求获得的商品或服务将采购单发放给某个卖方。采购定单一般记录所定购的商品或、服务，包括双方同意的价格，付款条件等。但请注意，口头定单也可以发生法律效应！只有得到批准的买方才有权代表杜邦公司做出购买承诺！批准采购申请批准采购申请 适当地批准采购申请 适当的职责分工采购定单采购定单 采购是什么?按照成本效益原则及时地进行 评估、发标和执行采购定单的 过程什么是采购定单？正式确定采购行为并就价格和 其他条件达成一致意见审批是指授权发生开支，而落实是指选择卖方以做出采购承诺。只有得到授权的买方才可以落实采、购活动，而且必须经过特殊培训才能这么做。采购定单的执行采购定单的执行批准采购

26、定单和执行采购定单是两回事采购定单的执行采购定单的执行不能适当地执行采购定单可导致以下后果：没有经验的人以没有优惠的条件购入了货物或服务公司可能进行了一次不必要或不明智的采购采购方与供应商的不良关系可能让公司蒙受潜在的欺诈如果合同和采购定单中没有包括一般的条件，杜邦公司可能会丧失一些具体的权利，并有可能发生更多的债务。卖方的选择可能不是很合理（选择的理由应该毫无例外地得到记录）。如果没有标价的定单得不到监测，就可能发生高于市场价格的价格。确认所收到的商品在内容和数量上都是正确，收到的服务是正确的、合理提供的。验收人必须能够准确核实所收到的商品和/或服务。采购定单的执行采购定单的执行其他潜在风险

27、货物或服务的验收货物或服务的验收货物的实物验收对接受服务的认可未能准确记录所收到的商品或服务可能会导致为根本没有收到的商品或服务付款。验收文件不足可能导致失控现象的产生，无法解决因部分或没有装货而发生的卖方纠纷。卖方发票必须得到核实以保证发票有效、公司可以支付款项。货物或服务的验收货物或服务的验收哪些地方会出错？没有准确地记录所收到的货物或服务没有保留充分的验收文件发票发票供应商提交了所提供货物或服务的发票需对发票加以审核，并与所附文件相配比发票的核实是指将发票与商品验收报告和采购定单（打印文本或网上文件）进行配比。上述文件的配比保证卖方给杜邦公司开具的发票内容正确、价格正确并已得到采购批准。

28、在这种情况下，你可能会为从未收到过的项目付款。如果没有将发票与采购定单配比，你就为从未定购的项目付款发票审核发票审核发票审核与所附文件相配比发票审核发票审核哪些地方可能出错？发票与货物验收报告不一致发票与采购定单不一致发票没有按照采购定单开具案例研究案例研究分组阅读案例研究，并确定：整个过程中哪些地方发生了错误？相关的风险是什么？你认为这一过程中应改善哪些控制？ORCA方法方法确认经营目标分析面临风险现有控制监测结果制定和实施行动计划影响？效率/效果？O O R RC CA A你为什么要做这份工作？你的工作与经营目标有什么样的联系？哪些事项会影响我目标的实现？重要程度和可能性如何？我做什么来防

29、范风险？确认依然存在的风险？决定如何降低风险和管理控制在实现目标方面，我们做了什么？继续努力演示稿演示稿2D杜邦公司的内部审计杜邦公司的内部审计“高层基调”培训方案高层基准培训方案高层基准培训方案高层基准高层基准 Finance University Leaps in learning目标目标再次强调良好经营道德对杜邦公 司的重要性帮助杜邦的领导层在各自组织内 建立和维持明确的“高层基调”.从而通过维护公司无懈可击的声 誉来提高股东的价值 Finance University Leaps in learning几种不同的做法：请与会人员提出他们的期望并记录在活动挂图上。活跃气氛：请与会人员进行

30、自我介绍（包括姓名、机构责任领域和对课程的期望），并将期望内容记录在活动挂图上。您的期望您的期望Finance University Leaps in learning专题研讨会概述专题研讨会概述经营道德的组成要素内部控制和经营道德是我们所做工作的一个不可或缺的组成部。领导层的责任对“高层基调”的建议内部审计的支持反馈 Finance University Leaps in learning使命使命“杜邦公司将奉行最高的经济道德标准和孜孜不倦的工作态度力争成为在全世界范围内备受尊重的公司”Finance University Leaps in learning录象录象had Holliday高

31、层基调与首席执行官的谈话Finance University Leaps in learning思考思考诱导问题诱导问题为什么杜邦公司必须保持：良好的道德价值观和适当的内部控制？Finance University Leaps in learning为什么杜邦需要保持为什么杜邦需要保持良好的道德价值观和适当的内部控制？Finance University Leaps in learning公司的声誉运营权利可持续增长对员工和股东的责任竞争优势为客户和供应商提供公平的竞赛场地防止和发现错误防止不道德行为经营效率并不意味着我们不可能成为严肃的生意人（这会削弱竞争力）高效率有成效的经营环境 Fina

32、nce University Leaps in learning本专题研讨会的焦点是高层基调，包括道德观念和控制环境。需要强调的是，内部控制不仅能抓贼，而且能在任何暴风骤雨（包括错误和遗漏）降临时成为我们的保护伞。实际上错误和遗漏对资产造成的威胁超过其他任何内容。错误会给公司带来很大经济损失。比如：BRRP（或称杜邦接口）（所输送的数据不完全，以前我们有全职人员追踪遗漏数据，但外部兼职人员没有做这件事）。无效违规灾难舞弊错报和漏记Internal Controls70%错报和漏记10%舞弊和恶意 行为10%灾难 5%其他 5%电脑黑客思考思考诱导问题诱导问题一提到经营道德问题，您首先想到的是什

33、么？Finance University Leaps in learning提到经营道德问题，提到经营道德问题，您首先想到的是什么？您首先想到的是什么？Finance University Leaps in learning不蹲监狱不上报纸不滥用权利无不正当行为为客户和供应商提供公平竞赛场所保护环境安全和健康隐私内部控制良好的声誉遵守法律个人利益和公司利益的权衡对内幕信息保守秘密准确报告护卫资产公平待人诚实经营行为检查清单经营行为检查清单考虑下列因素：你会违反法律或公司政策吗？你的行为如果在地方、国家和国际性的报纸的头条得到报道上，会使你或你公司感到难堪吗？你会告诉你的老板或单位吗？Finan

34、ce University Leaps in learning经营行为指南经营行为指南对价格的尊重工作经营礼反联合控制环境区的貌抵制联合抵制安全比商务出口控制同意竞争限制更国外反腐严重的败实务实务Finance University Leaps in learning经营行为指南经营行为指南保护环境经营个人和公内部控制员工年龄安全和保礼貌司利益报告的完责任种族健：诱导披露整性地区员工因素电子信息肤色客户差旅和娱乐性关系社区内幕信息方向合同方竞争智商性别残疾Finance University Leaps in learning对外部法律和规定的遵守情况反托拉斯环境安全与保健与政府的合同国际贸易

35、法对内部规章制度的遵守情况政治贡献保护和使用资产利益冲突与客户和供应商的关系安全、保健和环境珍惜人力资源多元化违反道德的案例违反道德的案例从公司偷窃（杜邦hinaGloucester)虚报财务成果（urzweil)内部交易（Waste Management)贿赂和收受礼品（Olivetti)产品负债（Dow Corning)价格操纵（Fujisawa Pharmaceutical Co.)为个人目标虚饰公司业绩（BauschLomb)出错的案例出错的案例付款错误（杜邦BRRP）没有预测到盈利的下降（杜邦1998 年第二季度）由于安装新的计算机系统导致送货阻 塞（Hershey)安装SAP后存货

36、调节出现问题（杜邦 Automotive)10分钟如果杜邦公司领导没有创造恰当的环境，将会发生什么情况呢？思考题思考题你认为是否存在可能会进一步助 长违反道德行为的经营条件或环 境？你是否存在可能会进一你是否存在可能会进一步助长违反道德行为的步助长违反道德行为的经营条件或环境？经营条件或环境？这些都是早期警告信号只有在尚未开展讨论时才读出这些内容。没有一个人/国家/文化是天生不道德的。不适当的业绩考核指标经济危机成本难题盈利压力进入新市场重大变革改变经营模式新的信息技术压缩规模、裁员员工满腹牢骚责任责任所有员工必须遵守使用的法律应用杜邦的公司政策报告违规情况提出改善建议.从而使公司得以实现其使

37、命所有领导都必须保证公司适当的工作环境得到:创建 监控 维护 增强在公司内部探究高层基调探究高层基调.Finance University Leaps in learning思考题思考题“高层基调”对你意味着什么?“高层基调高层基调”对你意味对你意味着什么着什么“王子犯法和庶民同罪”战略经营机构或地区领 导应戴上“公司用以区别职 务的帽子”我们必须是杜邦的道德 权威遵守法律法规不能饶过规则果断提倡建立适当的内部控 制环境以身作则身体力行可接近双向式沟通冠军的核心价值鼓励挑战道德优先用规则来强化道德思考题思考题何时应展示强有力的高层基调?一些你也可以使用的规一些你也可以使用的规则则.事前 没有发

38、生违规时，我们应采取何种行动？事中 在发生违规的过程中，我们应做些什么？事后 违规事项发生后，我们应做些什么？分组集体讨论答案是:任何时候都可以分组讨论。每组讨论一个领域。请每组汇报讨论情况，由其他组成员补充规则规则事前事前领导者应给出明确的 表明很看重内部控制 指导（例如在每次会 不时请求开展审计 议上用一定时间讨论 现场访问时询问内部控 安全问题）制的情况（如询问最近维护和公布道德方面 的审计意见，对前次审 的统计数据 计发现问题的跟踪情况）与公司一起分享和处 理（经营道德公告）分享和处理审计报告 或统计数据规则规则事前事前保证公司知道在实现 如果发生违反道德的 财务目标时你的行为 行为，

39、应有具体的计 处事不会出格 划和政策去处置奖励做对了的事项 公开将内部审计作为 你的经营伙伴或联盟 拥抱你的审计师分享审计报告的范例（NIB审计）规则规则事中事中明确领导的立场 始终介入“毫不忍让“全面披露对调查持公开合 支持调查者 作态度 适当沟通果断 拥抱你的审计师及时反映规则规则事后事后惩罚肇事者 沟通”王子犯法与庶民同罪“发布公告照顾幸存者 设立目标重建组织凝聚力 修复不完善的程序领导应发现正确 追回公司资产 行事的员工 再次拥抱你的审计师内部审计如何起帮助内部审计如何起帮助作用作用内部审计为公司增值内部审计为公司增值经营风险管理*对内部控制的状况进行独立评估*内部控制教育*防范性方法

40、和工具*特别调查*参与MA业务（应尽的职责、综合)经营效率*找出并减少不足之处*知识库和分享模范实务的催化剂经营效果*参与经营程序改善*培训和开发未来的领导*改善信息技术的资源思考题思考题在高层基调方面内部审计还能够做些什么?在高层基调方面内部审在高层基调方面内部审计还能够做些什么计还能够做些什么?提供关于审计意见、审计报告和不 道德行为方面的统计资料每月或每季出版总审计师公告 包括介绍杜邦公司以外发生的不道 德行为的文章 其他主题，如成功的故事、会计问 题等工具包工具包“外卖外卖”规则范例内部审计联系清单关于经营行为的短小演说 可用于与员工一起召开的会议热线号码 774-1300 800号码

41、 第个地区的号码内部审计的网址增长领导能力的研究成果反映反映 Finance University Leaps in learning演示稿演示稿2E杜邦公司的内部审计杜邦公司的内部审计经营程序改善经营程序的改善经营程序的改善 本演示稿详细的讨论了经营程序改善问题，读者可把它作为自己所在公司程序改善项目的一种模式。该方法的全面配套细节不是本书的讨论范围。如若讨论，必须得到RummlerRrache 公司的许可。杜邦公司灵活的进行经营程序改善，而不是机械地遵循每一个步骤。同样，全盘照搬地使用该方法在实践上是行不通的，但其中的某些经营程序改善工具或技术却是有用的。这一程序的有关步骤包括：1、确认关

42、键的经营问题（CBI）2、选择关键的程序 3、挑选经营程序改善小组的成员和组长 4、对小组进行培训 5、设计“信息系统”图 6、找出“断线部分”7、分析断线部分 8、设计“应该”图 9、确定衡量标准 10、提出变革建议 11、实施变革下面我们来逐一详细说明这些步骤。（1）确认关键的经营问题（CBI）：通过战略经营机构网络与行政管理部门进行讨论来做到这一点。（2）选择关键的程序：对经营问题有重要影响而且可能是造成业绩不良原因的程序。（3）挑选经营程序改善小组的成员和组长：组长必须具有良好的沟通 能力和团队工作技巧，同时还应处于适当的管理层。小组应包括来自所有职能部门的、拥相关领域丰富知识的代表。

43、以下高层“关系图”有助于识别这些领域：HR制造营销销售与分销客户原材料员工员工产品新产品规格需求产品促销定单市场位置活动职能员工老板秘书编写报告ARR打印报告AR审批报告RAR报告归档AR（4）对小组进行培训：这是一个很容易被忽视的重要步骤。杜邦公司所进行的培训是非常正规的。培训内容包括概念模式、对概念的讨论和练习。培训涵盖经营程序改善分析性过程的所有阶段。还包括十分重要的“软技能”：会议效果 如何设计、计划和召开成功的会议小组效果 帮助了解团队活力的理论模式 可在小组使用的实践工具 提供和接受反馈改变管理部门抵触管理部门小组用来定义作用和责任的工具之一是“RACI”矩阵。“RACI”是一个英

44、语首字母缩写词，分别代表：职责（Responsibility R)行为者责任（Accountability A)到此为止咨询（Consult C)在决策前或采取行动前应进行咨询通知（Inform I)决策后或采取行动时应通知有关方面例如，差旅费报告程序第一步的简单RACI矩阵可能如下表所示：与谁沟通沟通原因沟通内容沟通方式沟通时间谁负责沟通 为了保证不会在不经意间忘了通知小组以外的有关方面，他们设计了一个”沟通战略矩阵“，并随着项目的进展而不断更新。（5）设计”信息系统“图。为方便对程序的理解，小组运用了几项工具。如上述的“关系图”。”RACI矩阵“（如上述所述）。小组针对被审查的过程运用这一

45、工具，这么做有助于他们识别和记录：跨部门程序中的职能领域、关键行动和决策点；每项功能在落实这些行动和决策中的作用。”直线程序图“或简单的程序图。例如：”跨部门程序图“。例如：调度处理组装检查制定进度表已雕刻部件已拉压的部件已压制完的部件已检查部件已组装部件已检查组装件行吗？行吗？进度表完工部件不不行行（6）找出”断线部分“断线部分是所有对程序有负作用的事项。断线部分可能来源于各个层次：单位层次（战略、政策和结构）程序（信息流、程序流、投入/供应商）岗位层（执行情况和人员业绩）典型的断线部分有：缺乏投入或产出（包括反馈）投入或产出过多或不足 瓶颈、不合理流动或不增值活动（7）分析断线部分包括以下

46、4个分步骤：列出问题和假设。小组对程序改善前必须解决的问题和”信息系统“程序下的种种假设进行集体讨论。收集业绩数据。主要是一些度量或可量化的结果，通常与时间、成本和质量有关。小组把这些数据覆盖进”信息系统“图中，进而确定怎样才能让程序运行得更好。断线部分按优先次序排列。小组对断线部分按层次（单位、程序、岗位或执行者）加以分类，并衡量它们对关键经营问题、关键程序问题，以及项目目标的影响。编制对未来状态的设计规格说明书。重新设计的程序必须满足的标准 包括：产出要求（未来的理想业绩）投入要求 程序运行特色和特点（源于断线部分）(8)设计”应该“图。从当前状态、小组集体智慧和已制定的行业基准开始对未来

47、状态的设计。这种设计包括3个阶段。未来状态原则。小组应首先确定重新设计的基本原则。这些原则为他们进行详细计提供了共识。为保持一致性，他们将根据这些原则对各种设计方案进行测试。未来状态原则应该是：方向性的（对问题和状况提供明确的指导）挑战性的（说明必须存在而目前可能不存在的行为和活动）综合性的（适用于所有情况）不可侵犯的（在所有情况下都能防范违规意图）可修整的（本身并非目标，而是引导实现目标的手段）绝对的（不是权宜之计，所有时间均应遵守，不得例外）以下是杜邦公司内部审计针对自身进行的某个经营程序改善项目”信息系统审计更新“有关原则的范例：信息系统审计是审计程序和业务不可分割的一部分 我们将平衡杜

48、邦公司的外部业务提供者间的现有关系 对信息系统审计的领导水平与其他各种审计活动保持一致 我们对风险的评价和资源的运用将是全球性的 杜邦公司将负责计划和实施信息系统审计活动（即我们不可能完全依赖外部资源）我们将以客户为中心，努力对不同地区实施一致的审计程序 我们的客户不会看到不同审计师或审计组在审计思路和结果上存在严重差异 我们将有效地运用各种技术来实现我们的目标 我们将与内部信息系统业务提供者保持有效的工作关系 领导阶层应保证所有审计员工得到适当的工具、培训和支持 及时处理对支持的请求 我们将与信息系统有关机构紧密合作以进行职业计划和职责分配 我们将不断评估和更新我们的能力，认识技术领域的快速

49、变化 我们所有的针对信息系统的审计活动都不会脱离内部审计的前景展望 未来状态设计规范：未来状态应遵守高标准。规范应与下列事项相关：产出要求（在许多情况下，产出应与现有程序提供的产出相同，但质量、时效性、成本或者其他对产出的规模要求可能不大相同）投入要求 程序特点，如：*程序运行（成本、时效性、规则、质量和能力）*适应性和灵活性（与其他程序、客户和操作者的交互作用）*可管理性（监督和解决刺手问题）假设和约束 为制定这些规范，小组应运用一种结构化的集体讨论技术。首先，他们应分成规模差不多的几个分组（每个分组3至6人）。每个分组的任务是设计一个或多个高水平的“可以达到状态”。对每项设计，分组应开发：

50、一幅“可以达到状态”图 一个名称（和必要的简短说明）一份利益清单 一份固有风险清单 假设 这一阶段的重点是画出“宏伟蓝图”，而不是具体的解决方案。一旦各分组已完成此项工作，他们应向其他组出示他们的“可以达到状态”设想。在每次发言时，整个小组可以提问。“我们觉得这种情况怎么样？我们对未来状态的想法是什么”。这些想法应写进程序规格中。直线流程图。小组现在可以着手画出程序未来状态的高层次图（第410步）。每一步都规定产出、产出要求和假设。然后再进入分程序步骤。同样，他们应规定每个分步骤的产出、产出要求和假设。（9）确定衡量标准建立考核指标：小组应在两个层次上确定考核指标（质量、时效性、成本和价格）：