控制自我评估(Control Self Assessment.CSA)
目录 |
控制自我评估(CSA)也被称为管理自我评估、控制和风险自我评估、经营活动自我评估以及控制/风险自我评估,是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。其有三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。
内部控制自我评估是一种在西方发达国家广泛使用的内部审计技术和工具,它是由管理层或业务人员直接参与的考察和评估内部控制效果的过程,其目的是为组织目标的实现提供合理保证。
1978 年生效的《美国反海外腐败法》除了禁止对政府官员进行贿赂外,更重要的是该法提出了保持有效内部控制的强制性要求。针对20世纪80年代连续的公司治理失败,全美反财务舞弊报告委员会及COSO委员会指出“控制环境”在财务报表的编制上有“更普遍深入的影响”。此时,一种能评价包括公司治理、经营理念、职业道德、沟通、人力资源政策和文化的工具已凸显重要。
1987 年,由于法庭判决要求报告内部控制制度以及传统审计程序对发现公司内部舞弊无能为力,加拿大海湾公司的内部审计部门着手设计一套全新的方法,他们称之为控制的自我评估(CSA)。由员工和经理组成的各个小组出席由高级内部审计人员召集的为期一天的专题讨论会,在这些讨论会上,各小组畅所欲言,确认内部控制的运转情况,并需要采取相应的措施。经过几年尝试,通过这种方式,到1992年已能提供该公司全部活动的可靠且最新的信息。主要的风险经常在刚出现时就会被识别,在损失尚未蔓延前,公司的高级管理层就能采取纠正措施。海湾公司独创的CSA理念受到国际内部审计协会(IIA)的赞许和推广,其工作方法逐步在全球得到广泛应用。
CSA最早在1987年由加拿大海湾公司(Gulf Canada)首次提出。促成该公司实施CSA的环境因素主要有两个:(1)一项法庭判决要求该公司报告内部控制;(2)传统审计程序在解决油和气的计量问题方面碰到了困难。会计人员和审计人员决定召开引导会议(facilitated meeting)来说明双方的问题。他们发现这种方法是一种比一对一审计访谈更为有效的实现其目标的方法。于是,在接下来的十年之中,该组织不断使用 CSA来评价和改进它的内部控制系统。
虽然CSA最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。此后,一些国家发布的有关内部控制的报告,均以COSO报告为模本。我国的《内部会计控制规范》和巴塞尔银行监管委员会的《银行组织的内部控制系统框架》也是以COSO报告为基础的。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理,高层经营理念与管理风格,职业道德,诚实品质,胜任能力,风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSA得到了普遍的信赖。
如今,世界上越来越多的公司和其他组织已经或正在实施一些成功的CSA计划。例如美国联邦存款保险公司(FDIC)和加拿大存款保险公司(CDIC)要求美加金融机构据以评价内部控制。世界银行专门出版了一本有关CSA实施经验的书。为了适应这种潮流,安永、德勤等会计师事务所也都各自开发了CSA实施软件;国际内部审计师协会也专门成立了CSA中心。可以说,在国际上已经掀起了一股CSA热。
由于CSA一开始便表现出对软控制的强大评价效力,所以,早在1995年8月IIA召开第一届CSA会议时,与会者中就有83%的人认为CSA将给内部审计业带来革命性的变革。CSA所带来的内控评价变革可概括为以下五个方面:
1.有效进行软控制的评价。可以有效地对软控制进行评价是CSA优越于传统的内部控制评价方法的首要之处。以美国的SEC为例,为了实现其保护投资者利益 的目标,诸如员工的职业道德与专业胜任能力等软控制较之硬控制显得重要得多。如果实施CSA,把管理人员和其他员工召集起来讨论职业道德并对其是否可以成 功达到目标进行评估,引导小组的成员就可以甄别现存信息沟通过程的成功之处与潜在障碍,并提出相应的改进建议。
2.提升控制环境。按照新的内控理论,内审人员不再是内部控制的唯一责任主体,企业的所有成员都对内部控制负有相应的责任,利用CSA可以起到有效教育并 帮助管理人员明确并愿意承担其责任的作用。对此,美国西雅图市的审计人员Scottie Veinot说:“如果没有CSA,我将不得不寻找一种有效途径来对有关人员进行内部控制培训,现在好了,CSA帮我完成了这一切,它在我的组织当中起到 了角色转换的使者和教育者的作用。”另外,CSA还能通过影响一般员工来对控制环境产生积极的贡献。因为当一般操作人员参与CSA过程时,他们不仅学会了 对内部控制进行持续的日常评估,而且提高了控制意识。管理人员或工作组其他人员参与评价内部控制、评估风险,对所发现的薄弱环节提出行动计划,评估经营目 标完成的可能性。从而提高他们对组织目标以及内部控制在实现这些目标中所起到的作用的认识,激发他们认真设计和执行控制程序,并不断改进控制程序,做到了 全员评价、全员控制,实现了内部控制的质的飞跃。
3.尽快找到并解决问题。利用CSA,常常可以比传统的内部审计更容易找到问题并提出解决问题的方法,特别是那些跨部门的问题和表面上看起来不可能的问题。多伦多帝国寿险理财公司的高级顾问Michael Pidzamecky举了这方面的典型例子。他曾就职的天然气公用公司利用传统的内部审计方法一直无法找出未能准时支付供应商款项的问题,后来他们采用了 CSA技术,组织了一个包括会计、审计、营销、信息技术、燃气控制、燃气供应、人力资源以及其他一些部门共20人的小组,所有的参与者都提出了各种可能的 原因:培训的、沟通的、信息系统的、营销的等等,并对主要原因进一步寻找子原因。这样,采取鱼骨图模型(fish bone)来分析,当鱼骨图画好之后,他们就找到了问题的根本:公司要求经过五次签字的付款授权政策本身过于耗时。找到了原因所在,解决问题的办法当然也就垂手可得。
4.预测并控制风险。通过CSA,一个组织还可以提高某经营单位在设计和保持控制与风险系统中的涉及度,甄别风险暴露情况并决定正确的行动,从而为内部控制增加价值。CSA执行者可以首先与其员工进行面对面访谈,然后与工作组的成员们详细讨论,把讨论结果诸如目标、成功的障碍、风险、现有的控制与所必需的控制等,形成一个电子数据模板,并根据其发生的可能性与影响程度对风险进行加权平均,排成高风险区、中风险区和低风险区。这样,各相关部门便可以根据此电 子数据模板有的放矢,采取措施,将来还可以据此进行持续重估。加拿大安大略省布兰登市的审计人员David Young总结了这方面的经验:管理人员及员工学习并掌握了CSA对风险的排序,他们便会提高责任心,在他们的部门中分配资源以减少最危险的风险。
5.使内审更具效率与效果。通过CSA,内部审计和经营人员合作起来对经营活动进行评价。由于依靠经营人员在CSA中的活跃参与,减少了收集信息的时间和审计中所需执行的验证程序,参与CSA的人员对经营过程能了解得更为彻底。因此,这种合作提高了内部审计人员可获信息的数量和质量,把审计人员从对立者、 监督者转换为企业发展的参与者、推动者。IIA建议通过内部职能把审计人员、CSA引导者和参与者这三者之间的互动结果加以综合利用,来为组织增加较大价 值。它支持用CSA来:(1)扩大给定年度中内部控制报告的覆盖范围;(2)通过对在CSA结果中注意到的高风险和非正常项目进行复核来确定审计工作目标;(3)通过把纠错行动从所有者方面向雇员方面转移的办法来提高纠错行动的有效性。
西方国家在实践中已经发展了多至20余种的CSA方法,但从其基本形式来看,主要有三种,即:引导会议法、问卷调查法和管理结果分析法。
引导会议法是指把管理当局和员工召集起来就特定的问题或过程进行面谈和讨论的一种方法。CSA引导会议法又有四种主要形式:以控制为基础的、以程序为基础的、以风险为基础的和以目标为基础的。
问卷调查方法利用问卷工具使得受访者只要做出简单的“是/否”或“有/无”的反应,控制程序的执行者则利用调查结果来评价他们的内部控制系统。
管理结果分析法是指除上述两种方法之外的任何CSA方法。通过这种方法,管理当局布置工作人员学习经营过程。CSA引导者(可以是一个内审人员)把员工的学习结果与他们从其他方面如其他经理和关键人员收集到的信息加以综合。通过综合分析这些材料,CSA引导者提出一种分析方法,使得控制程序执行者能在他们为CSA做出努力时利用这种分析方法。
在现代经济生活中,控制结构的非正式性和灵活性已经越来越高,这就要求大部分组织采取更强有力的控制监控技术。CSA作为一种有助于管理当局和内部审计人员判断内部控制质量的方法,也许是一种能达到这种目标的工具。在我国,公司内部控制不如人意已是不争的的事实,红光、琼民源、郑百文、深华源、银广厦等业已暴露的上市公司违规事件几乎都与内部控制特别是控制环境弱有着千丝万缕的联系。所以,现阶段我国企业界在建立公司治理、强化内部控制建设中,应当适时引进CSA方法,既加强对软控制的评价,也不断促进控制环境的提升。然而,在具体实施时,应当注意以下几个方面的问题:
评估组织文化,适当选择CSA方法。作为一种相对比较新的发展中的方法,CSA的成功与员工的有效参与直接相关。他们的反应和接受能力在很大程度上是一个企业组织文化的函数,组织文化反映了管理当局对CSA指导原则的态度。在一个结构化的环境(structured environment)中,CSA过程才能得到充分彻底的支持并得到不断的重复以求不断改进。CSA执行者应基于对组织文化的分析结果来选择CSA方法 和形式。在公司文化不支持一种参与式CSA方法的情况下,问卷调查和内部控制分析会有助于提升控制环境。另外,在选择实施CSA时,执行者还应当就以下问题进行决策:
发挥内审人员作用,形成内控评价合力。关于内审人员在CSA中的作用问题,有两种不同的看法。有些CSA参与者认为,CSA应包含内部审计,视内部审 计为CSA的恰当驱动者;还有一些CSA参与者则认为,CSA只能由经营管理当局或工作小组来有效执行。我们认为,在我国现阶段,为了确保各相关集团的利 益得到保护,不论CSA过程是由内部审计还是经营管理当局来驱动,内审人员都应持续监控并参与CSA,使内、外部审计和CSA在内控评价方面形成的合力。
借鉴西方经验,避免有关陷阱。尽管CSA在西方已经广受欢迎,然而,在实践中,人们同样积累了很多经验教训。安达信公司的研究人员 R.P.Tritter和D.S.Zittnan总结出CSA的五大陷阱,它们是: