控制自我評估
控制自我評估
控制自我評估(CSA)也被稱為管理自我評估、控制和風險自我評估、經營活動自我評估以及控制/風險自我評估,是指企業內部為實現目標、控制風險而對內部控制系統的有效性和恰當性實施自我評估的方法。其有三個基本特徵:關注業務的過程和控制的成效;由管理部門和職員共同進行;用結構化的方法開展自我評估。
控制自我評估(Control Self Assessment.CSA)
內部控制自我評估是一種在西方發達國家廣泛使用的內部審計技術和工具,它是由管理層或業務人員直接參與的考察和評估內部控制效果的過程,其目的是為組織目標的實現提供合理保證。
1978 年生效的《美國反海外腐敗法》除了禁止對政府官員進行賄賂外,更重要的是該法提出了保持有效內部控制的強制性要求。針對20世紀80年代連續的公司治理失敗,全美反財務舞弊報告委員會及COSO委員會指出“控制環境”在財務報表的編製上有“更普遍深入的影響”。此時,一種能評價包括公司治理、經營理念、職業道德、溝通、人力資源政策和文化的工具已凸顯重要。
1987 年,由於法庭判決要求報告內部控制制度以及傳統審計程序對發現公司內部舞弊無能為力,加拿大海灣公司的內部審計部門著手設計一套全新的方法,他們稱之為控制的自我評估(CSA)。由員工和經理組成的各個小組出席由高級內部審計人員召集的為期一天的專題討論會,在這些討論會上,各小組暢所欲言,確認內部控制的運轉情況,並需要採取相應的措施。經過幾年嘗試,通過這種方式,到1992年已能提供該公司全部活動的可靠且最新的信息。主要的風險經常在剛出現時就會被識別,在損失尚未蔓延前,公司的高級管理層就能採取糾正措施。海灣公司獨創的CSA理念受到國際內部審計協會(IIA)的讚許和推廣,其工作方法逐步在全球得到廣泛應用。
CSA最早在1987年由加拿大海灣公司(Gulf Canada)首次提出。促成該公司實施CSA的環境因素主要有兩個:(1)一項法庭判決要求該公司報告內部控制;(2)傳統審計程序在解決油和氣的計量問題方面碰到了困難。會計人員和審計人員決定召開引導會議(facilitated meeting)來說明雙方的問題。他們發現這種方法是一種比一對一審計訪談更為有效的實現其目標的方法。於是,在接下來的十年之中,該組織不斷使用 CSA來評價和改進它的內部控制系統。
雖然CSA最早出現在20世紀80年代末期,但其最主要的發展是在90年代,特別是在1992年COSO報告公布之後。COSO報告首次把內部控制從原來自上而下財務模式的平面結構發展為更具彈性的企業整體模式的立體框架。此後,一些國家發布的有關內部控制的報告,均以COSO報告為模本。我國的《內部會計控制規範》和巴塞爾銀行監管委員會的《銀行組織的內部控制系統框架》也是以COSO報告為基礎的。傳統的內控評價方法只能用來評價諸如財務報告,資產與記錄的接觸、使用與傳遞,授權授信,崗位分離,數據處理與信息傳遞等的“硬控制”。在新的內部控制模式下,迫切需要評價包括公司治理,高層經營理念與管理風格,職業道德,誠實品質,勝任能力,風險評估等的“軟控制”。在這種情況下,作為一種既可以用來評價傳統的硬控制,又可以用來評價非正式控制即軟控制的機制,CSA得到了普遍的信賴。
如今,世界上越來越多的公司和其他組織已經或正在實施一些成功的CSA計劃。例如美國聯邦存款保險公司(FDIC)和加拿大存款保險公司(CDIC)要求美加金融機構據以評價內部控制。世界銀行專門出版了一本有關CSA實施經驗的書。為了適應這種潮流,安永、德勤等會計師事務所也都各自開發了CSA實施軟體;國際內部審計師協會也專門成立了CSA中心。可以說,在國際上已經掀起了一股CSA熱。
由於CSA一開始便表現出對軟控制的強大評價效力,所以,早在1995年8月IIA召開第一屆CSA會議時,與會者中就有83%的人認為CSA將給內部審計業帶來革命性的變革。CSA所帶來的內控評價變革可概括為以下五個方面:
可以有效地對軟控制進行評價是CSA優越於傳統的內部控制評價方法的首要之處。以美國的SEC為例,為了實現其保護投資者利益 的目標,諸如員工的職業道德與專業勝任能力等軟控制較之硬控制顯得重要得多。如果實施CSA,把管理人員和其他員工召集起來討論職業道德並對其是否可以成 功達到目標進行評估,引導小組的成員就可以甄別現存信息溝通過程的成功之處與潛在障礙,並提出相應的改進建議。
按照新的內控理論,內審人員不再是內部控制的唯一責任主體,企業的所有成員都對內部控制負有相應的責任,利用CSA可以起到有效教育並 幫助管理人員明確並願意承擔其責任的作用。對此,美國西雅圖市的審計人員Scottie Veinot說:“如果沒有CSA,我將不得不尋找一種有效途徑來對有關人員進行內部控制培訓,現在好了,CSA幫我完成了這一切,它在我的組織當中起到 了角色轉換的使者和教育者的作用。”另外,CSA還能通過影響一般員工來對控制環境產生積極的貢獻。因為當一般操作人員參與CSA過程時,他們不僅學會了 對內部控制進行持續的日常評估,而且提高了控制意識。管理人員或工作組其他人員參與評價內部控制、評估風險,對所發現的薄弱環節提出行動計劃,評估經營目 標完成的可能性。從而提高他們對組織目標以及內部控制在實現這些目標中所起到的作用的認識,激發他們認真設計和執行控制程序,並不斷改進控制程序,做到了 全員評價、全員控制,實現了內部控制的質的飛躍。
利用CSA,常常可以比傳統的內部審計更容易找到問題並提出解決問題的方法,特別是那些跨部門的問題和表面上看起來不可能的問題。多倫多帝國壽險理財公司的高級顧問Michael Pidzamecky舉了這方面的典型例子。他曾就職的天然氣公用公司利用傳統的內部審計方法一直無法找出未能準時支付供應商款項的問題,後來他們採用了 CSA技術,組織了一個包括會計、審計、營銷、信息技術、燃氣控制、燃氣供應、人力資源以及其他一些部門共20人的小組,所有的參與者都提出了各種可能的 原因:培訓的、溝通的、信息系統的、營銷的等等,並對主要原因進一步尋找子原因。這樣,採取魚骨圖模型(fish bone)來分析,當魚骨圖畫好之後,他們就找到了問題的根本:公司要求經過五次簽字的付款授權政策本身過於耗時。找到了原因所在,解決問題的辦法當然也就垂手可得。
通過CSA,一個組織還可以提高某經營單位在設計和保持控制與風險系統中的涉及度,甄別風險暴露情況並決定正確的行動,從而為內部控制增加價值。CSA執行者可以首先與其員工進行面對面訪談,然後與工作組的成員們詳細討論,把討論結果諸如目標、成功的障礙、風險、現有的控制與所必需的控制等,形成一個電子數據模板,並根據其發生的可能性與影響程度對風險進行加權平均,排成高風險區、中風險區和低風險區。這樣,各相關部門便可以根據此電 子數據模板有的放矢,採取措施,將來還可以據此進行持續重估。加拿大安大略省布蘭登市的審計人員David Young總結了這方面的經驗:管理人員及員工學習並掌握了CSA對風險的排序,他們便會提高責任心,在他們的部門中分配資源以減少最危險的風險。
通過CSA,內部審計和經營人員合作起來對經營活動進行評價。由於依靠經營人員在CSA中的活躍參與,減少了收集信息的時間和審計中所需執行的驗證程序,參與CSA的人員對經營過程能了解得更為徹底。因此,這種合作提高了內部審計人員可獲信息的數量和質量,把審計人員從對立者、監督者轉換為企業發展的參與者、推動者。IIA建議通過內部職能把審計人員、CSA引導者和參與者這三者之間的互動結果加以綜合利用,來為組織增加較大價 值。它支持用CSA來:(1)擴大給定年度中內部控制報告的覆蓋範圍;(2)通過對在CSA結果中注意到的高風險和非正常項目進行複核來確定審計工作目標;(3)通過把糾錯行動從所有者方面向僱員方面轉移的辦法來提高糾錯行動的有效性。
西方國家在實踐中已經發展了多至20餘種的CSA方法,但從其基本形式來看,主要有三種,即:引導會議法、問卷調查法和管理結果分析法。
引導會議法是指把管理當局和員工召集起來就特定的問題或過程進行面談和討論的一種方法。CSA引導會議法又有四種主要形式:以控制為基礎的、以程序為基礎的、以風險為基礎的和以目標為基礎的。
問卷調查方法利用問卷工具使得受訪者只要做出簡單的“是/否”或“有/無”的反應,控制程序的執行者則利用調查結果來評價他們的內部控制系統。
管理結果分析法是指除上述兩種方法之外的任何CSA方法。通過這種方法,管理當局布置工作人員學習經營過程。CSA引導者(可以是一個內審人員)把員工的學習結果與他們從其他方面如其他經理和關鍵人員收集到的信息加以綜合。通過綜合分析這些材料,CSA引導者提出一種分析方法,使得控制程序執行者能在他們為CSA做出努力時利用這種分析方法。
在現代經濟生活中,控制結構的非正式性和靈活性已經越來越高,這就要求大部分組織採取更強有力的控制監控技術。CSA作為一種有助於管理當局和內部審計人員判斷內部控制質量的方法,也許是一種能達到這種目標的工具。在我國,公司內部控制不如人意已是不爭的的事實,紅光、瓊民源、鄭百文、深華源、銀廣廈等業已暴露的上市公司違規事件幾乎都與內部控制特別是控制環境弱有著千絲萬縷的聯繫。所以,現階段我國企業界在建立公司治理、強化內部控制建設中,應當適時引進CSA方法,既加強對軟控制的評價,也不斷促進控制環境的提升。然而,在具體實施時,應當注意以下幾個方面的問題:
評估組織文化,適當選擇CSA方法。作為一種相對比較新的發展中的方法,CSA的成功與員工的有效參與直接相關。他們的反應和接受能力在很大程度上是一個企業組織文化的函數,組織文化反映了管理當局對CSA指導原則的態度。在一個結構化的環境(structured environment)中,CSA過程才能得到充分徹底的支持並得到不斷的重複以求不斷改進。CSA執行者應基於對組織文化的分析結果來選擇CSA方法 和形式。在公司文化不支持一種參與式CSA方法的情況下,問卷調查和內部控制分析會有助於提升控制環境。另外,在選擇實施CSA時,執行者還應當就以下問題進行決策:
要在組織的哪一分部實行CSA
需要考慮哪些職能或目標
評價過程具體應包含哪個層次(車間、分區、分部等等)
發揮內審人員作用,形成內控評價合力。關於內審人員在CSA中的作用問題,有兩種不同的看法。有些CSA參與者認為,CSA應包含內部審計,視內部審 計為CSA的恰當驅動者;還有一些CSA參與者則認為,CSA只能由經營管理當局或工作小組來有效執行。我們認為,在我國現階段,為了確保各相關集團的利 益得到保護,不論CSA過程是由內部審計還是經營管理當局來驅動,內審人員都應持續監控並參與CSA,使內、外部審計和CSA在內控評價方面形成的合力。
借鑒西方經驗,避免有關陷阱。儘管CSA在西方已經廣受歡迎,然而,在實踐中,人們同樣積累了很多經驗教訓。安達信公司的研究人員 R.P.Tritter和D.S.Zittnan總結出CSA的五大陷阱,它們是:
CSA引導人員選擇失當
策劃過程過於簡單化
在發動CSA的過程當中好大喜功
缺乏管理人員的支持
限定CSA的實施範圍從而使其潛力受限