内部控制评价手册课件.ppt

1、一、内部控制评价的责任一、内部控制评价的责任 内部控制评价的责任和责任机制可用下表来表示：二、内部控制评价报告编制指南二、内部控制评价报告编制指南 评价报告的主要组成部分包括概述、内部控制评价和给管理部门的建议。报告还应有封面、目录。大部分内部控制评价报告还包含审计发现的重要问题、违反职业道德的事项以及内部审计提供的相关信息，可能的话，还包括内部审计计划工作的范围和主要活动。（一）概述（一）概述 篇幅仅一、两页的概述部分应清楚地说明内部控制评价对象的组织特点（战略经营机构/服务业务/合资企业等）、所在的地理位置（地区/国家/位置）和评价所指的期间。战略经营机构/服务业务/合资企业等的规模（如销

2、售总额、投资额、成本和收益等）最好也能在这一部分加以介绍。概述部分应包括如下。1、内部控制评价的定义和范围（组织特点、内部控制评价的定义和范围（组织特点/所在地理位置）所在地理位置）比如：以下是针对某地区战略经营机构的内部控制评价报告的一段内容 “本报告是对在（表示某地区）开展经营的.（代表某地区战略经营机构）当前的内部控制及今后的问题进行的全面评价。这一评价的主要依据下列内部审计工作：内部和外部审计的结果、业务改善活动、系统开发检查、对自我评价的评估、专项调查和我们从内部和外部得到的其他相关信息.”。2、内部控制评价的目的、内部控制评价的目的/目标目标 在上述阐明定义和范围的文字之后可以考虑

3、在报告中包括以下段落：“本报告所包括的评价发现旨在为（某地区战略经营机构/服务业务）的内部控制提供前瞻性视角，同时强调与可能影响其控制环境前进的以往经验有关的问题 ”建议使用的其他用语:“我们提出本报告的意图是激励和支持对需要引起注意的问题提出解决方案、进行积极影响，考虑影响内部控制的关键因素，关注未来和重视公司内外部两方面的因素，以便（战略经营机构）能够不断地改善总体内部控制以适应经营的需要”。3、总体评价、总体评价 建议总体评价应针对内部控制的效果，并辅之以补充说明，以便在适当条件下提供关于公司或区域内部控制薄弱环节和强项的看法。建议表述总体评价时采用下列用语：“.(某战略经营机构)存在有

4、效的内部控制来帮助其实现上述目标.”。1）经营的效果和效率包括业绩目标和盈利目标 2）财务报告的可靠程度包括防止虚假财务报告 3）遵守适当的法律和法规 4）保护资产安全 我们认为，（某战略经营机构）存在有效的内部控制来帮助其实现上述目标.”。如前说述，在总体评价之后，应该提请注意在讨论每项内部控制内容时会详细检查的领域。”.我们注意到，在营运资本和外部承包商的管理方面已得到了重大的改善.。“”但是，由于发生了很多重大的变化，还有一些控制点需要加以强化.。“”尽管如此，我们注意到，在以下领域还有进一步改善的余地.。“在很少见的情况下，也可能发现重要的薄弱环节，而且根据审计师的判断，这些薄弱环节根

5、深蒂固或到处蔓延，则应出具相反的或有保留的评价意见。”根深蒂固“是指这一薄弱环节以前一时期延续下来，或与被出具相反或有保留评价意见的公司其他领域所存在的问题如同一辙。”到处蔓延“则是指薄弱环节的影响严重威胁了资产的安全性以及经营目标、报告和符合性目标的实现。相反评价意见可表述为：”.我们认为，战略经营机构不存在有效的内部控制来帮助其实现经营目标.。“下面是一种有保留评价意见的措辞范例：”.我们认为，战略经营目标存在有效的内部控制帮助其实现有效经营、财务报告可靠和遵守有关法律法规等目标，但却无助于保护资产的安全性.。“如果出具了相反评价意见，在评价意见之后对导致出具相反意见的问题进行详细说明并提

6、出纠正措施就显得尤为重要。之所以重要的原因是，如果接受评价的对象不能理解控制薄弱环节的严重性，没有采取纠正措施的动力，那么内部控制评价就毫无价值。改善控制的所有重大机会应在”对管理部门的建议“部分阐述。概述的最后一段应将本部分与接下来的”内部控制评价“部分联结起来。（二）内部控制评价（二）内部控制评价 手册的这一部分列举了编制内部控制评价报告时应予考虑的各种问题。它分5个段落，分别说明COSO框架下内部控制的每个组成部分。每个段落首先给出了该组成部分的定义，然后给出编制内部控制评价报告时应考虑的因素（或问题）的详细清单。因素清单以COSO框架为基础，也就是说，必要时，内部控制评价报告的编制人员

7、可参考COSO的有关资料来得到更多的信息和解释。但这并不意味着要将因素清单送交客户以得到后者对每一段落的回复报告。它可以用作从不同内部控制部门搜集信息的模板和组织与战略经营机构或管理部门人员进行会谈的基础。没有必要为上述每个因素（问题）进行详细的叙述。清单只是为了帮助报告的编制人员理解属于每个组成部分的因素和强调那些被检查部门的运做可能存在会引起人们对内部控制评价报告评论的控制弱点或强项。建议在向客户散发的内部控制评价文件中对每个组成部分都加以讨论，并给出该组成部分的定义。（三）控制环境（三）控制环境 COSO对控制环境的定义是：“控制环境是一个公司的基调，它影响着公司内部员工的控制意识。控制

8、环境组成因素包括公司员工的人格、道德价值观和能力，管理理念和经营方式，管理部门分配权力和责任、组织和开发人力资源的方式，以及董事会的注意力和导向等。”下面是内部控制评价报告编制人员在会谈和资料收集过程中用来确定是否存在积极控制环境时应关注的事项。1、人格和道德价值观、人格和道德价值观 （1）公司向所有员工和外部各方（如供应商和客户）宣传公司经营道德政策和程序的过程是否有效？（2）公司管理层在建立适当的控制环境和态度（如”高层基调“）并对这些态度进行沟通方面的有效性如何？（3）管理部门在必要时所采取纪律措施的有效性和恰当性如何？所采取的措施和有关违规情况是否在全公司范围内通报？2、管理理念和经营

9、方式、管理理念和经营方式 （1）管理部门在多大程度上采用或鼓励采用可接受的风险水平？（2）关键职位的人事变动是否影响了控制环境和实际的内部控制？（3）经营管理层在多大程度上对内部控制抱有主人翁精神？（4）高级管理层和中级管理层及普通员工交往的有效性如何？是否存在地理、文化或者其他方面的障碍？（5）公司政策、会计规定/惯例是否严格一贯地得到应用，从而避免人为操纵或错误地报告记录或结果？3、组织结构、组织结构 公司的组织结构是否有助于或有碍于信息向管理部门流动？最近的人员变动或裁员对信息流动产生了何种影响？4、责任分配和授权、责任分配和授权 （1）公司内部的责任分配和授权（即经营、遵纪守法、计算机

10、系统和权力限制）如何进行有效进行？（2）与控制有关的标准和程序在多大程度上通报了员工并写入职位说明中（如：责任是否得到分配）？（3）公司是否将适当数量的具有相应技能的人员安排在正确的职位上，与公司的规模、性质和复杂程度相一致？5、人力资源政策和实务、人力资源政策和实务 （1）雇用、培训、提升以及报酬政策及程序是否恰当？（2）员工们在多大程度上了解其职责及管理部门对他们的期望（个人业绩检查等等）（四）风险评价（四）风险评价 COSO对风险评价的定义是：“公司面临着来自内部和外部、需加以评价的各种风险。风险评价的前提条件是建立在不同层次发生联系、内部却保持一致的目标。风险评价是确认和分析影响目标实

11、现的相关风险，形成确定如何管理风险的依据。因为经济环境、行业管理和经营条件都在不断变化，必须要有恰当的机制来确认和处理与变化相关的风险。”在这一组成部分下，有必要将检查分为外部风险因素检查和内部风险因素检查两部分。这就出发点的不同和其他区别，在为地区和全球性公司领导编制内部控制评价报告时尤其如此。以下列示了内部控制评价报告编制人员在评估管理部门设定目标、分析风险和管理变化等过程时应该考虑的因素，包括它们与经营活动的联系和关联程度。6、公司目标和业务目标、公司目标和业务目标 （1）确定和沟通公司目标的过程是否有效（同时应考虑所有层次人员的参与程度和对目标的执着程度）？（2）公司目标多大程度上对公

12、司想要取得的成果提供了概括性的但同时又具体到与目标直接相关的说明和指导？（3）公司内部目标在多大程度上与战略、经营计划、预算及当前的条件挂钩并保持一致？（4）在多大程度上确认了达到公司目标的关键成功因素？7、风险、风险 （1）在多大程度上存在用以确认外部风险（供应资源、技术变革、竞争对手的行动、经济环境、政治条件、规章制度和自然事件）的机制？（2）在多大程度上存在用以确认内部风险（如人力资源、劳资关系、融资和信息系统及其重建等）的机制？考虑管理部门是否考虑了以下方面有关的风险：人力资源，如留住关键的管理人员，或因为职责的变化而影响有关职能的有效发挥。融资，如落实新的提议或继续某个关键项目是否可

13、以获得必要的资金。信息系统，如在系统出现问题的情况下，充分的备份系统可以对业务产生重大的积极的影响。（3）风险分析过程，包括预测风险的严重性、评估风险发生的可能性以及确定所必要的措施等是否彻底、相关？8、对变化进行管理、对变化进行管理 公司对影响其目标实现的事项或业务的变化如何进行有效管理（潜在的变化领域包括：经营环境的改变、新员工、新的或重新设计的信息系统、快速增长、新科技、新生产线/产品/业务和收购、公司重组和国外业务等）？（五）控制活动（五）控制活动 COSO对控制活动的定义是：“控制活动是指确保管理部门指令得到贯彻执行的各项政策及程序。它确保在发现风险后能够采取必要的行动从而保证公司目

14、标的实现。控制活动贯穿于公司的各个阶层和职能部门，包括审批、授权、验证、调节、业绩检查、资产护卫及职责分工等。”评估控制活动是否适当时应着重考虑以下几个方面。9、控制活动、控制活动 （1）为处理风险所确定的控制政策和程序是否适当，包括风险评估所确定的那些组成部分。建议参考内部控制指导手册。（2）内部控制程序得到遵守的程度，如：如期应用ELIS标准，即有效地实施职责分离，或存在降低风险的控制措施。对资产进行实物控制，即存货盘点等。在可以接受的水平上进行交易复核。遵守法律法规。存在和实施了有效的权力限制。定期及时进行必要的调节。根据预算和目标对包括业绩指标在内的实际业绩进行了考核（如抽样检查的结果

15、，出票错误等），并采取了纠正措施。（3）在多大程度上进行定期控制检查和修改，以适应情况的变化？（4）以前发现的重大审计问题是什么？主要教训是什么？（5）以前是否存在违反道德规范的情况？如果有，教训是什么？（六）信息与沟通（六）信息与沟通 COSO对信息与沟通的定义是：“为了以某种形式和在某个时间取得必要的来自内外部两方面的信息并进行沟通，从而使员工能够履行其职责，必须建立信息系统。有效的沟通必须是广义的，它包括公司内部自上而下、自下而上和各平行部门间的全范围的信息流通。”为确定信息与沟通系统是否适合公司的需要，内部控制评价报告的编制人员应特别关注以下问题。10、信息、信息 （1）报告机制能否及

16、时有效地向正确的对象提供信息，这些信息是否丰富和详细到能够帮助他们根据既定目标评估经营业绩？（2）在多大程度上为信息系统建立了战略计划，管理部门是否通过人力和财力等方面资源的投入来表示他们对计划的支持？11、沟通、沟通 （1）人们在多大程度上认识到公司已经建立供大家报告违法嫌疑的沟通渠道？（2）管理部门是否积极地鼓励员工就生产率、质量或其他类似方面的提高和改善提出建议（比如，建议：将相应的奖励次数和金额与同类单位作比较）。（3）整个公司是否存在良好的沟通机制（如采购、制造和销售部门之间的沟通），从而使员工们有效的履行职责。（4）公司在多大程度上建立了反馈机制，从而能够有效地处理与客户、卖方、监

17、管公司和其他外部各方的沟通（建议：确定是否针对客户投诉建立了相关计量制度）？（七）监测（七）监测 COSO对监测的定义是：“内部控制系统需要得到监测。监测是对内部控制运行质量不断进行评估的过程。它通过管理部门的持续监测和监视活动、年度商业道德的符合性鉴证、综合性内部审计工作、外部监管公司、供应商和客户一起共同完成的。”在考虑对内部控制持续有效性的监测程度时，内部控制评估报告编制人员应该考虑以下因素。12、监测、监测 （1）评价员工在履行其职责时是否能够取得有关内部控制系统继续有效运行的证据？（2）来自外部各方的沟通信息在多大程度上可以与内部产生的信息相互印证？（3）公司对内部审计部门的建议的反

18、应如何？对外部有关方面的建议又是如何反应的？（4）公司在多大程度上能够保证所有员工都能理解和遵守公司的经营道德政策和程序？对拥有一定权利的员工是否进行定期的培训，是否理解道德政策？（5）内部控制系统自我评价的范围是什么、频率有多高？评价过程是否有效？是否有重要的审计结果或发现需要内部控制评价中得到说明？（6）是否已建立相关机制来获取和报告内部控制的缺陷并在随后采取适当的纠正措施（如，盗窃情况报告和对缺陷的适当报告）？（7）描述上一年度或前次内部控制评价以来内部审计的审计范围。过去几年的审计结果或违反经营道德的事项是否呈现一定的趋势（A、B、C演示稿都有此方面的信息）？演示稿演示稿2B杜邦公司的

19、内部审计杜邦公司的内部审计经营管理调查杜邦公司的内部审计杜邦公司的内部审计经营管理调查经营管理调查 在完成您自己的个人评价后，请考虑（本年度）有哪些控制发生了变化，您最满意的地方是什么，主要关注的是什么领域。内部控制的5个相互关联的组成部分来自管理部门运营公司的方式并与下面所述的管理过程综合成一体。请利用下面的提纲，以上一年度的评价为起点，来完成对当年内部控制的评价。如果您想取得上一年度的评价结果，可与内部身机联络处联系。一、控制环境一、控制环境 良好控制环境的基本特点是管理部门为公司定调的方式。控制环境因素包括诚信精神、道德价值观、公司员工的能力、管理理念、运营风格、分配责任以及管理层分配权

20、力责任和发展人力资源的方式。在控制环境方面，您在本年度遇到了哪些新的问题？感觉最好的领域是什么？最关注的是什么领域？二、风险评估二、风险评估 每个公司都会面临需要加以评价的各种风险。风险评价的前提条件是建立目标。风险评价就是确认和分析相关风险，以便为管理风险建立基础。您所在的公司发现了哪些新的风险？哪些风险得到了降低？如何评价新风险？如何防范新风险，以便使经营目标得到顺利实现？在开展风险评价时，主要关注的领域是什么？三、控制活动三、控制活动 控制活动是为了确保管理部门的指令得以贯彻落实的政策和程序。控制活动分布于公司的各个阶层和所有职能部门。您所在的公司在本年度引入了哪些新的控制活动？感觉最好

21、的是哪些？感觉最不好的是哪些？四、信息与沟通 为了以某种方式定期地取得和沟通必要的内外部信息，从而使员工们能够履行其职责，必须建立信息系统。确认本年重要的变化领域。感觉最好的是哪些领域？最关注的是哪些领域？五、监测 内部控制系统必须得到监测。监测是持续评价系统运行质量的过程。本年度的监测过程有什么不同之处？如果有，在本年度使用了哪些新的监测过程？感觉最好的是哪些领域？最关注的是哪些领域？六、总体评价 从信心和感觉方面来说，您怎么描述您所在公司内部控制的总体状况？七、其他评价（什么事情让您晚上难以入睡？）演示稿演示稿2C杜邦公司的内部审计杜邦公司的内部审计采购控制培训方案 采购控制培训方案采购控

22、制培训方案本演示的目的是使大家了解这三个内部控制领域采购过程简图需求联系取消验收发票付款现场定货验收发票付款成本批准51号授权配比配比53号授权潜在的供应商提出竞标选择供应商评标（技术和商业考虑）52号授权采购过程是公司经营活动的主要组成部分，公司在采购上花费大量资金，因此在采购过程中建立有效的内部控制是十分重要的。首先，让我们看一下采购流程图。本图起点较高，但包括采购商品和服务的所有步骤。采购过程有四大关键控制领域，即 采购申请 采购定单 验收报告 发票下面将详细讲解每个领域当有人确定了对材料或服务的需求时，整个采购过程就开始了。在这种需求的基础上，应该提出采购申请，并包括所有必要的数据，以

23、方便买方发放定单。采购申请单应该包括采购申请单应该由提出采购申请者以外拥有必要授权的其他人审批。采购申请和审批授权的职责分工保证只采购必要的商品和服务。在完成采购申请之后，申请单就发往采购部。我们把这一阶段称为落实阶段，即针对所要求获得的商品或服务将采购单发放给某个卖方。采购定单一般记录所定购的商品或、服务，包括双方同意的价格，付款条件等。但请注意，口头定单也可以发生法律效应！只有得到批准的买方才有权代表杜邦公司做出购买承诺！审批是指授权发生开支，而落实是指选择卖方以做出采购承诺。只有得到授权的买方才可以落实采、购活动，而且必须经过特殊培训才能这么做。如果合同和采购定单中没有包括一般的条件，杜

24、邦公司可能会丧失一些具体的权利，并有可能发生更多的债务。卖方的选择可能不是很合理（选择的理由应该毫无例外地得到记录）。如果没有标价的定单得不到监测，就可能发生高于市场价格的价格。确认所收到的商品在内容和数量上都是正确，收到的服务是正确的、合理提供的。验收人必须能够准确核实所收到的商品和/或服务。未能准确记录所收到的商品或服务可能会导致为根本没有收到的商品或服务付款。验收文件不足可能导致失控现象的产生，无法解决因部分或没有装货而发生的卖方纠纷。卖方发票必须得到核实以保证发票有效、公司可以支付款项。发票的核实是指将发票与商品验收报告和采购定单（打印文本或网上文件）进行配比。上述文件的配比保证卖方给

25、杜邦公司开具的发票内容正确、价格正确并已得到采购批准。在这种情况下，你可能会为从未收到过的项目付款。如果没有将发票与采购定单配比，你就为从未定购的项目付款采购过程简图需求联系取消验收发票付款现场定货验收发票付款成本批准DOA51配比配比DOA53潜在的供应商提出竞标选择供应商评标（技术和商业考虑）52号授权ORCA方法方法确认经营目标分析面临风险现有控制监测结果制定和实施行动计划影响？效率/效果？O O R RC CA A你为什么要做这份工作？你的工作与经营目标有什么样的联系？哪些事项会影响我目标的实现？重要程度和可能性如何？我做什么来防范风险？确认依然存在的风险？决定如何降低风险和管理控制在

26、实现目标方面，我们做了什么？继续努力演示稿演示稿2D杜邦公司的内部审计杜邦公司的内部审计“高层基调”培训方案高层基准培训方案高层基准培训方案几种不同的做法：请与会人员提出他们的期望并记录在活动挂图上。活跃气氛：请与会人员进行自我介绍（包括姓名、机构责任领域和对课程的期望），并将期望内容记录在活动挂图上。公司的声誉运营权利可持续增长对员工和股东的责任竞争优势为客户和供应商提供公平的竞赛场地防止和发现错误防止不道德行为经营效率并不意味着我们不可能成为严肃的生意人（这会削弱竞争力）本专题研讨会的焦点是高层基调，包括道德观念和控制环境。需要强调的是，内部控制不仅能抓贼，而且能在任何暴风骤雨（包括错误和

27、遗漏）降临时成为我们的保护伞。实际上错误和遗漏对资产造成的威胁超过其他任何内容。错误会给公司带来很大经济损失。比如：BRRP（或称杜邦接口）（所输送的数据不完全，以前我们有全职人员追踪遗漏数据，但外部兼职人员没有做这件事）。无效违规灾难舞弊错报和漏记Internal Controls70%错报和漏记10%舞弊和恶意 行为10%灾难 5%其他 5%电脑黑客不蹲监狱不上报纸不滥用权利无不正当行为为客户和供应商提供公平竞赛场所保护环境安全和健康隐私内部控制良好的声誉遵守法律个人利益和公司利益的权衡对内幕信息保守秘密准确报告护卫资产公平待人诚实对外部法律和规定的遵守情况反托拉斯环境安全与保健与政府的合

28、同国际贸易法对内部规章制度的遵守情况政治贡献保护和使用资产利益冲突与客户和供应商的关系安全、保健和环境珍惜人力资源多元化10分钟如果杜邦公司领导没有创造恰当的环境，将会发生什么情况呢？只有在尚未开展讨论时才读出这些内容。没有一个人/国家/文化是天生不道德的。不适当的业绩考核指标经济危机成本难题盈利压力进入新市场重大变革改变经营模式新的信息技术压缩规模、裁员员工满腹牢骚“王子犯法和庶民同罪”战略经营机构或地区领 导应戴上“公司用以区别职 务的帽子”我们必须是杜邦的道德 权威遵守法律法规不能饶过规则果断提倡建立适当的内部控 制环境以身作则身体力行可接近双向式沟通冠军的核心价值鼓励挑战道德优先用规则

29、来强化道德答案是:任何时候都可以分组讨论。每组讨论一个领域。请每组汇报讨论情况，由其他组成员补充分享审计报告的范例（NIB审计）演示稿演示稿2E杜邦公司的内部审计杜邦公司的内部审计经营程序改善经营程序的改善经营程序的改善 本演示稿详细的讨论了经营程序改善问题，读者可把它作为自己所在公司程序改善项目的一种模式。该方法的全面配套细节不是本书的讨论范围。如若讨论，必须得到RummlerRrache 公司的许可。杜邦公司灵活的进行经营程序改善，而不是机械地遵循每一个步骤。同样，全盘照搬地使用该方法在实践上是行不通的，但其中的某些经营程序改善工具或技术却是有用的。这一程序的有关步骤包括：1、确认关键的经

30、营问题（CBI）2、选择关键的程序 3、挑选经营程序改善小组的成员和组长 4、对小组进行培训 5、设计“信息系统”图 6、找出“断线部分”7、分析断线部分 8、设计“应该”图 9、确定衡量标准 10、提出变革建议 11、实施变革下面我们来逐一详细说明这些步骤。（1）确认关键的经营问题（CBI）：通过战略经营机构网络与行政管理部门进行讨论来做到这一点。（2）选择关键的程序：对经营问题有重要影响而且可能是造成业绩不良原因的程序。（3）挑选经营程序改善小组的成员和组长：组长必须具有良好的沟通 能力和团队工作技巧，同时还应处于适当的管理层。小组应包括来自所有职能部门的、拥相关领域丰富知识的代表。以下高

31、层“关系图”有助于识别这些领域：HR制造营销销售与分销客户原材料员工员工产品新产品规格需求产品促销定单市场位置（4）对小组进行培训：这是一个很容易被忽视的重要步骤。杜邦公司所进行的培训是非常正规的。培训内容包括概念模式、对概念的讨论和练习。培训涵盖经营程序改善分析性过程的所有阶段。还包括十分重要的“软技能”：会议效果 如何设计、计划和召开成功的会议小组效果 帮助了解团队活力的理论模式 可在小组使用的实践工具 提供和接受反馈改变管理部门抵触管理部门小组用来定义作用和责任的工具之一是“RACI”矩阵。“RACI”是一个英语首字母缩写词，分别代表：职责（Responsibility R)行为者责任（

32、Accountability A)到此为止咨询（Consult C)在决策前或采取行动前应进行咨询通知（Inform I)决策后或采取行动时应通知有关方面例如，差旅费报告程序第一步的简单RACI矩阵可能如下表所示：为了保证不会在不经意间忘了通知小组以外的有关方面，他们设计了一个”沟通战略矩阵“，并随着项目的进展而不断更新。（5）设计”信息系统“图。为方便对程序的理解，小组运用了几项工具。如上述的“关系图”。”RACI矩阵“（如上述所述）。小组针对被审查的过程运用这一工具，这么做有助于他们识别和记录：跨部门程序中的职能领域、关键行动和决策点；每项功能在落实这些行动和决策中的作用。”直线程序图“或

33、简单的程序图。例如：”跨部门程序图“。例如：调度处理组装检查制定进度表已雕刻部件已拉压的部件已压制完的部件已检查部件已组装部件已检查组装件行吗？行吗？进度表完工部件不不行行（6）找出”断线部分“断线部分是所有对程序有负作用的事项。断线部分可能来源于各个层次：单位层次（战略、政策和结构）程序（信息流、程序流、投入/供应商）岗位层（执行情况和人员业绩）典型的断线部分有：缺乏投入或产出（包括反馈）投入或产出过多或不足 瓶颈、不合理流动或不增值活动（7）分析断线部分包括以下4个分步骤：列出问题和假设。小组对程序改善前必须解决的问题和”信息系统“程序下的种种假设进行集体讨论。收集业绩数据。主要是一些度量

34、或可量化的结果，通常与时间、成本和质量有关。小组把这些数据覆盖进”信息系统“图中，进而确定怎样才能让程序运行得更好。断线部分按优先次序排列。小组对断线部分按层次（单位、程序、岗位或执行者）加以分类，并衡量它们对关键经营问题、关键程序问题，以及项目目标的影响。编制对未来状态的设计规格说明书。重新设计的程序必须满足的标准 包括：产出要求（未来的理想业绩）投入要求 程序运行特色和特点（源于断线部分）(8)设计”应该“图。从当前状态、小组集体智慧和已制定的行业基准开始对未来状态的设计。这种设计包括3个阶段。未来状态原则。小组应首先确定重新设计的基本原则。这些原则为他们进行详细计提供了共识。为保持一致性

35、，他们将根据这些原则对各种设计方案进行测试。未来状态原则应该是：方向性的（对问题和状况提供明确的指导）挑战性的（说明必须存在而目前可能不存在的行为和活动）综合性的（适用于所有情况）不可侵犯的（在所有情况下都能防范违规意图）可修整的（本身并非目标，而是引导实现目标的手段）绝对的（不是权宜之计，所有时间均应遵守，不得例外）以下是杜邦公司内部审计针对自身进行的某个经营程序改善项目”信息系统审计更新“有关原则的范例：信息系统审计是审计程序和业务不可分割的一部分 我们将平衡杜邦公司的外部业务提供者间的现有关系 对信息系统审计的领导水平与其他各种审计活动保持一致 我们对风险的评价和资源的运用将是全球性的

36、杜邦公司将负责计划和实施信息系统审计活动（即我们不可能完全依赖外部资源）我们将以客户为中心，努力对不同地区实施一致的审计程序 我们的客户不会看到不同审计师或审计组在审计思路和结果上存在严重差异 我们将有效地运用各种技术来实现我们的目标 我们将与内部信息系统业务提供者保持有效的工作关系 领导阶层应保证所有审计员工得到适当的工具、培训和支持 及时处理对支持的请求 我们将与信息系统有关机构紧密合作以进行职业计划和职责分配 我们将不断评估和更新我们的能力，认识技术领域的快速变化 我们所有的针对信息系统的审计活动都不会脱离内部审计的前景展望 未来状态设计规范：未来状态应遵守高标准。规范应与下列事项相关：

37、产出要求（在许多情况下，产出应与现有程序提供的产出相同，但质量、时效性、成本或者其他对产出的规模要求可能不大相同）投入要求 程序特点，如：*程序运行（成本、时效性、规则、质量和能力）*适应性和灵活性（与其他程序、客户和操作者的交互作用）*可管理性（监督和解决刺手问题）假设和约束 为制定这些规范，小组应运用一种结构化的集体讨论技术。首先，他们应分成规模差不多的几个分组（每个分组3至6人）。每个分组的任务是设计一个或多个高水平的“可以达到状态”。对每项设计，分组应开发：一幅“可以达到状态”图 一个名称（和必要的简短说明）一份利益清单 一份固有风险清单 假设 这一阶段的重点是画出“宏伟蓝图”，而不是

38、具体的解决方案。一旦各分组已完成此项工作，他们应向其他组出示他们的“可以达到状态”设想。在每次发言时，整个小组可以提问。“我们觉得这种情况怎么样？我们对未来状态的想法是什么”。这些想法应写进程序规格中。直线流程图。小组现在可以着手画出程序未来状态的高层次图（第410步）。每一步都规定产出、产出要求和假设。然后再进入分程序步骤。同样，他们应规定每个分步骤的产出、产出要求和假设。（9）确定衡量标准建立考核指标：小组应在两个层次上确定考核指标（质量、时效性、成本和价格）：在程序层次，他们应分别确定内部指标（从程序角度）和外部指标（从客户角度）。在子程序层次，他们应开发作为预警系统和能够在客户发现潜在

39、错误/缺陷前发这些错误/缺陷的考核指标。此外，对一个或更多子程序内部的关键步骤可能也有必要设置计量器和触发点。（10）提出变革建议：为了有效实施建议，建议不可仅限于程序本身，而必须针对岗位层次和整个公司层次所需要的变革。具体来说，建议应包括：整个公司层次：结构 战略和政策 目标和奖励 价值和行为变化 整个公司层次/程序层次 工作程序 投入程序要求 支持系统要求 衡量指标 岗位层次：作用和责任 岗位和运行系统(11)实施变革:因为建议不能针对所有三个层次的关键问题,或者由于以下某项后续”经营改善陷阱”,实施工作失败的概率是相当高的。如：程序改善工作没有与经营业务面临的战略问题想联系。程序改善工作

40、没有以正确的方式吸引正确的人员，尤其是最高管理人员。程序改善小组没有得到明确、适当的章程，却必须负责完成任务。最高管理人员认为，不摧毁现有组织（改组），就不可能实现重大改善。程序设计者没有充分考虑变革对将在新程序下工作的人们的影响。公司更为关心的是重新设计而不是实施。小组没有留下衡量系统或持续程序改善所需的其他基础设施。改善工作没有强调为客户增加价值。演示稿演示稿2F杜邦公司的内部审计杜邦公司的内部审计审计部营销宣传手册总裁兼首席执行官致辞总裁兼首席执行官致辞 作为一个多元化实业发展和能源公司，杜邦公司在充满活力和日常经营不断发生变化的环境中开展经营。我们有责任为股东遵守最高道德标准和适用的法

41、律和法规。而且，杜邦公司的股东还依赖我们在安全、高效率、有成效地进行经营的同时，准确地报告财务状况和护卫资产。如果我们想取得和保持当今市场所要求的竞争优势，在所有程序中建立适当的内部控制是至关重要的。杜邦公司内部审计部门的作用不仅要评价现在内部控制的运行状况，而且主要是帮助确认公司面临的最大风险，并支持经营部门设计良好的经营实务来防范这些风险。为发挥这一作用，内部审计得到公司管理部门和董事会内部审计委员会的全力支持。为了有效地开展工作，内部审计在接触审计工作所必需的所有记录、信息和人力的方面不受任何限制。在公司的成长过程中，我们将不断有机会重新策划我们的核心程序。作为杜邦公司的雇员，你们中间的

42、每一位都处于了解所在领域工作程序的最佳位置。内部审计以其特有的经验处于一个非常独特的位置，他们是你们在现有经营业务和新的经营实务中嵌入内部控制的好伙伴。依赖我们的核心能力开展合作是我们公司成功的一大关键因素。我们希望你们每个人都能够与内部审计共同工作，应用手头的资源在你们的程序和实践中建立内部控制，保证我们继续在顶级业绩水平上开展运做。副总裁兼总审计师致辞副总裁兼总审计师致辞本文件说明了杜邦公司内部审计部门的章程和使命。编制本手册的目的在于说明内部审计在评价和改善内部控制方面的作用，这种作用被我们视作内部审计的“独特经营特许权”。随着杜邦公司日益全球化，内部审计已经从只强调一个地区、一个客户和

43、一种产品逐步演变成一个工作领域比过去广泛得多的公司。我们运用经营和职能的全球网络评价风险，和客户一起来制定每年的风险领域计划。过去，我们的产品组合中只有发现性产品。如今，我们更加积极地致力于综合性防范和提供解决方案，如：经营程序审计、系统开发审查和自我评价等。这些控制改善产品的目的是在独立发挥内部审计在公司治理方面的作用的同时，增加股东价值并为公司创造竞争优势。和过去一样，我们根据内部审计专业实务准则来设计内部审计方案。同时，虽然我们的新方法已得到非常有效的运用，我们需要您持续的伙伴关系来运用和改善我们的产品和服务组合。请仔细阅读本手册，并与我们联系讨论如何能够为您的经营业务增添更多的价值。经

44、营道德行为经营道德行为杜邦公司在各种不同的竞争条件下在世界所有地区经营不同的业务。为了保证利润水平的持续增长，我们必须革新、灵活和反应迅速。而且，在这种环境下，我们必须坚定地遵守使杜邦公司成为当今世界性大公司的核心价值观念。经营道德和内部控制是构成核心价值观念的重要部分。我们内部控制系统的基石是杜邦公司的经营道德政策和经营行为指南。它要求员工们在处理公司事务时保持最高的道德标准。员工们每年度应完成由内部审计监督进行的“经营道德政策遵循情况调查”。员工必须按照公司道德标准从事经营活动，并报告可能发生的利益冲突。为了该政策的贯彻，在所有地区都设立了热线电话，以便在员工不愿意直接通过其直线管理部门反

45、映情况时举报可能存在的不道德行为。内部审计的作用内部审计的作用保证建立充分的内部控制并保持运行的效果和效率是经营和职能部门管理层的责任。作为内部审计师，我们的受托责任在内部审计职业实务准则中作了定义，即：审查、核实和评价内部控制是否充分保护了公司及其委托人的利益。除此之外，我们的责任还拓展到促进内部控制改善领域，内部审计可用本手册说明的多种途径来发挥其作用。我们的主要作用并没有随着时间推移而发生变化，但我们达到目标的方法却发生了显著变化。我们所做的全部工作都是以与某项活动的相对风险及其对公司的潜在影响为基础的。所带来的风险可以是舞弊、亏损、错误、无效，或违反法律和经营无效。一旦发现风险领域，我

46、们的处理方法多种多样。对不同问题我们将使用不同工具来处理，但无论如何，其重点是降低风险和提高效率与效果。我们利用全球网络来评价经营风险，并在全球基础上确认内部审计活动领域。实际上，我们自己的组织就是根据我们的客户来设置的。网络成员与客户保持联系以建立当前风险档案，确定防范内部控制风险的最有效途径。以下是内部审计的组织结构图。本手册的结尾有内部审计联络清单。杜邦内部审计行政副总裁（主管财务）行政副总裁兼总审计师一般审计经理审计委员会普华会计公司垂直管理情况战略经营单位职能部门网络范例：战略经营单位职能部门网络范例：获得原料来源战略经营单位职能部门网络范例：上游石化其他战略经营单位职能部门网络地区

47、范例：欧洲地区范例：亚太地区其他地区操作情况内部审计的作用内部审计的作用为帮助经营活动适应未来的挑战，内部控制方法必须有助于在维护和改善内部审计的同时提高经营业绩。一方面应着重于现实状况，用发现和机会象限活动来纠正内部控制和经营中不足之处，另一方面应更加致力于有发展前景的防范性和提供解决方案式的活动。防范性和提供解决方案式的活动是降低现在与未来风险，提高内部控制效果和效益的途径。通过运用诸如系统开发审查、内部控制培训、自我评价之类的工具，内部审计可以在风险直接影响经营业绩之前大大增加经营程序中的股东价值。这样，内部审计就能够让每个经营和业务部门达到业绩高峰，使经营业绩随时间不断提高。发现提出意

48、见不断进行审计严格保持独立符合性测试事后机会专项确认对接受建议缺乏诚意没有意见内部控制检查（或试点）的副产品消极做法解决方案章程中规定的使命实施建议促进伙伴关系的建立和变革的进行从管理层的命令链中吸收内容积极做法防止内部控制教育和建立内部控制意识系统开发检查，自我评价和新的定点检查查询促使变革没有意见建立伙伴关系从管理层的命令链中吸收内容杜邦公司内部审计产品轮杜邦公司内部审计产品轮内部审计使用各种不同工具，这些工具主要集中于如何通过降低风险，提高效果和效益，以及保证遵守法律来改善内部控制内部审计产品轮风险自我评价内部控制培训内部控制评价咨询程度审计调查系统开发审查经营程序改善 程序审计（程序审

49、计（Process Audit)内部审计对经营活动进行综合分析和评估，并就审查内容向管理部门提供适当的建议。这一产品包括评估会计、财务和经营控制的适当性和效益性的经营程序审计，还包括着重于信息系统审计活动的信息系统审计、系统开发和运用审查、前沿技术审查，在运行前期进行的新现场审查，以及为保证存在具有成本效益内部控制的收购与合并审查。经营程度改善（经营程度改善（Business Process Improvement BPI)内部审计可能针对与经营程序改善活动有关的内部控制。利用经营程序改善可以发现和减少经营程序中的控制薄弱环节，帮助单位对程序作出修改，强化内部控制和达到最佳运行效果。系统开发审

50、查（系统开发审查（System Development Review SDR)系统开发审查是内部审计产品四象限中防范象限中的一部分。系统开发审查可以促进在事前将具有成本效益的控制嵌入系统之中，保证控制能够在实施如期运行。内部控制评价（内部控制评价（Internal Contorl Assessment ICA)该产品向客户提供对内部控制现状和未来风险的总体意见。内部控制控制对公司、地区、经营分部和职能部门定期进行。COSO模式是进行此项评价的方法 内部控制培训（内部控制培训（Internal Contorl Education ICE)该业务旨在通过强化对内部控制和经营道德的理解来帮助客户降低