CSA:内部控制系统评价的新观念与新方法
作者:佚名; 更新时间:2014-11-08
20世纪末,随着企业外部竞争的加剧和企业内部管理的强化,在公司治理的推动下,内部控制理论从二点论(独立论)发展到三点论(结构论)再到五点论(框架论),体现了内部控制理论的跨时代突破。内部控制系统评价也由传统的审计人员检查单据、实施符合性测试程序为导向,转为在审计人员指引下由管理部门和员工共同研讨,提出了最佳改进措施的“控制自我评估”(control selfassessment,CSA)。CSA体现了内部控制系统评价的崭新观念,是内部控制系统评价方法的新突破。我国在实施《内部会计控制规范——基本规范(试行)》中,可借鉴CSA的合理方法,建立适合我国国情的内部控制系统评价方法。

    一、CSA及其产生背景

    控制自我评估(CSA)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。国际内部审计师协会(IIA)在1996年的研究报告中总结了CSA的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。有人则还把它理解为评估企业内部风险、机遇、强势与弱势的广义概念。CSA也被称为管理自我评估、控制和风险自我评估、经营活动自我评估以及控制/风险自我评估等。其中控制/风险自我评估(CRSA)的提法,在加拿大还得到了加拿大标准协会(Canadian Standards Association)的认同。

    CSA最早在1987年由加拿大海湾(Gulf Canada)公司首次提出。促成该公司实施CSA的环境因素主要有两个:(1)一项法庭判决要求该公司报告内部控制;(2)传统审计程序在解决油和气的计量问题方面碰到了困难。会计人员和审计人员决定召开引导会议(facilitated meeting)来说明双方的问题。他们发现这种方法是一种比一对一审计访谈更为有效的实现其目标的方法。于是,在接下来的十年之中,该组织不断使用CSA来评价和改进它的内部控制系统。

    虽然CSA最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。此后,一些国家发布的有关内部控制的报告,均以COSO报告为模本。我国的《内部会计控制规范》和巴塞尔银行监管委员会的《银行组织的内部控制系统框架》也是以COSO报告为基础的。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理,高层经营理念与管理风格,职业道德,诚实品质,胜任能力,风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSA得到了普遍的信赖。

    如今,世界上越来越多的公司和其他组织已经或正在实施一些成功的CSA计划。例如美国联邦存款保险公司(FDIC)和加拿大存款保险公司(CDIC)要求美加金融机构据以评价内部控制。世界银行专门出版了一本有关CSA实施经验的书。为了适应这种潮流,安永、德勤等会计师事务所也都各自开发了CSA实施软件;国际内部审计师协会也专门成立了CSA中心。可以说,在国际上已经掀起了一股CSA热。

    二、CSA带来内部控制系统评价的革命

    由于CSA一开始便表现出对软控制的强大评价效力,所以,早在1995年8月IIA召开第一届CSA会议时,与会者中就有83%的人认为CSA将给内部审计业带来革命性的变革。CSA所带来的内控评价变革可概括为以下五个方面:

    1.有效进行软控制的评价。可以有效地对软控制进行评价是CSA优越于传统的内部控制评价方法的首要之处。以美国的SEC为例,为了实现其保护投资者利益的目标,诸如员工的职业道德与专业胜任能力等软控制较之硬控制显得重要得多。如果实施CSA,把管理人员和其他员工召集起来讨论职业道德并对其是否可以成功达到目标进行评估,引导小组的成员就可以甄别现存信息沟通过程的成功之处与潜在障碍,并提出相应的改进建议。

    2.提升控制环境。按照新的内控理论,内审人员不再是内部控制的唯一责任主体,企业的所有成员都对内部控制负有相应的责任,利用CSA可以起到有效教育并帮助管理人员明确并愿意承担其责任的作用。对此,美国西雅图市的审计人员Scottie Veinot说:“如果没有CSA,我将不得不寻找一种有效途径来对有关人员进行内部控制培训,现在好了,CSA帮我完成了这一切,它在我的组织当中起到了角色转换的使者和教育者的作用。”另外,CSA还能通过影响一般员工来对控制环境产生积极的贡献。因为当一般操作人员参与CSA过程时,他们不仅学会了对内部控制进行持续的日常评估,而且提高了控制意识。管理人员或工作组其他人员参与评价内部控制、评估风险,对所发现的薄弱环节提出行动计划,评估经营目标完成的可能性。从而提高他们对组织目标以及内部控制在实现这些目标中所起到的作用的认识,激发他们认真设计和执行控制程序,并不断改进控制程序,做到了全员评价、全员控制,实现了内部控制的质的飞跃。

    3.尽快找到并解决问题。利用CSA,常常可以比传统的内部审计更容易找到问题并提出解决问题的方法,特别是那些跨部门的问题和表面上看起来不可能的问题。多伦多帝国寿险理财公司的高级顾问Michael Pidzamecky举了这方面的典型例子。他曾就职的天然气公用公司利用传统的内部审计方法一直无法找出未能准时支付供应商款项的问题,后来他们采用了CSA技术,组织了一个包括会计、审计、营销、信息技术、燃气控制、燃气供应、人力资源以及其他一些部门共20人的小组,所有的参与者都提出了各种可能的原因:培训的、沟通的、信息系统的、营销的等等,并对主要原因进一步寻找子原因。这样,采取“鱼骨图”(fishbone)模型来分析,当鱼骨图画好之后,他们就找到了问题的根本:公司要求经过五次签字的付款授权政策本身过于耗时。找到了原因所在,解决问题的办法当然也就垂手可得。

    4.预测并控制风险。通过CSA,一个组织还可以提高某经营单位在设计和保持控制与风险系统中的涉及度,甄别风险暴露情况并决定正确的行动,从而为内部控制增加价值。CSA执行者可以首先与其员工进行面对面访谈,然后与工作组的成员们详细讨论,把讨论结果诸如目标、成功的障碍、风险、现有的控制与所必需的控制等,形成一个电子数据模板,并根据其发生的可能性与影响程度对风险进行加权平均,排成高风险区、中风险区和低风险区。这样,各相关部门便可以根据此电子数据模板有的放矢,采取措施,将来还可以据此进行持续重估。加拿大安大略省布兰登市的审计人员David Young总结了这方面的经验:管理人员及员工学习并掌握了CSA对风险的排序,他们便会提高责任心,在他们的部门中分配资源以减少最危险的风险。

    5.使内审更具效率与效果。通过CSA,内部审计和经营人员合作起来对经营活动进行评价。由于依靠经营人员在CSA中的活跃参与,减少了收集信息的时间和审计中所需执行的验证程序,参与CSA的人员对经营过程能了解得更为彻底。因此,这种合作提高了内部审计人员可获信息的数量和质量,把审计人员从对立者、监督者转换为企业发展的参与者、推动者。IIA建议通过内部职能把审计人员、CSA引导者和参与者这三者之间的互动结果加以综合利用,来为组织增加较大价值。它支持用CSA来:(1)扩大给定年度中内部控制报告的覆盖范围;(2)通过对在CSA结果中注意到的高风险和非正常项目进行复核来确定审计工作目标;(3)通过把纠错行动从所有者方面向雇员方面转移的办法来提高纠错行动的有效性。

    三、CSA方法及其选择

    西方国家在实践中已经
核心期刊快速发表
Copyright@2000-2030 论文期刊网 Corporation All Rights Reserved.
《中华人民共和国信息产业部》备案号:ICP备07016076号;《公安部》备案号:33010402003207
本网站专业、正规提供职称论文发表和写作指导服务,并收录了海量免费论文和数百个经国家新闻出版总署审批过的具有国内统一CN刊号与国际标准ISSN刊号的合作期刊,供诸位正确选择和阅读参考,免费论文版权归原作者所有,谨防侵权。联系邮箱:256081@163.com