企業(yè)成功運用csa的可行性分析

1、理財２００８年第１１期INTERNALCONTROL內(nèi)部控制企業(yè)成功運用CSA的可行性分析南京財經(jīng)大學朱海濤控制自我評估（controlselfassessment，CSA）是指企業(yè)內(nèi)部為實現(xiàn)目標、控制風險而對內(nèi)部控制系統(tǒng)的有效性和恰當性實施自我評估的方法。國際內(nèi)部審計師協(xié)會（IIA）曾經(jīng)總結(jié)了CSA的三個基本特征：關(guān)注業(yè)務的過程和控制的成效；由管理部門和職員共同進行；用結(jié)構(gòu)化的方法開展自我評估。CSA體現(xiàn)了內(nèi)部控制系統(tǒng)評價的嶄新觀念，

2、是內(nèi)部控制系統(tǒng)評價方法的全新突破。一、CSA所帶來的變革CSA所帶來的變革可概括為以下五個方面：（一）有效進行軟控制的評價可以有效地對軟控制進行評價是CSA優(yōu)越于傳統(tǒng)的內(nèi)部控制評價方法的首要之處。以美國的SEC為例，為了實現(xiàn)其保護投資者利益的目標，諸如員工的職業(yè)道德與專業(yè)勝任能力等軟控制較之硬控制顯得重要得多。通過實施CSA，將管理人員和其他員工召集起來討論職業(yè)道德并對其是否可以成功達到目標進行評估，就可以甄別現(xiàn)存信息溝通過程的成功之處

3、與潛在障礙，并提出相應的改進建議。（二）快速提升內(nèi)部控制環(huán)境按照內(nèi)部控制的最新的理論，內(nèi)審人員不再是內(nèi)部控制的唯一責任主體，企業(yè)的所有成員都對內(nèi)部控制負有相應的責任，利用CSA可以起到有效教育并幫助管理人員明確并愿意承擔其責任的作用。管理人員或工作組其他人員通過參與評價內(nèi)部控制、評估企業(yè)風險，對所發(fā)現(xiàn)的薄弱環(huán)節(jié)提出行動計劃，從而提高其對企業(yè)目標以及內(nèi)部控制在實現(xiàn)這些目標中所起到的作用的認識，激發(fā)其認真設計和執(zhí)行控制程序，并不斷改進控制程

4、序，做到了全員評價、全員控制，實現(xiàn)了內(nèi)部控制的質(zhì)的飛躍。（三）盡快找到并解決問題利用CSA，常?？梢员葌鹘y(tǒng)的內(nèi)部審計更容易找到問題并提出解決問題的方法，特別是那些跨部門的問題和表面上看起來不可能的問題。CSA的主要方式是通過各種CSA討論會來尋找內(nèi)部控制的薄弱點，通過CSA討論會，可以組織包括會計、審計、營銷、信息技術(shù)、生產(chǎn)、供應、人力資源等諸多部門的人員共同討論，所有的參與者都可以提出各種可能的內(nèi)部控制薄弱點，并對主要原因進一步尋找子

5、原因，當找到了原因之所在，解決問題的辦法也就唾手可得。（四）預測并控制企業(yè)風險通過CSA，一個企業(yè)可以提高其各個經(jīng)營單位在設計和保持控制與風險系統(tǒng)中的涉及度，甄別風險暴露情況并決定正確的行動，從而為內(nèi)部控制增加價值。CSA執(zhí)行者可以首先與其員工進行面對面訪談，然后與工作組的成員們詳細討論，將討論結(jié)果諸如目標、成功的障礙、風險、現(xiàn)有的控制與所必需的控制等，形成一個電子數(shù)據(jù)模板，并根據(jù)其發(fā)生的可能性與影響程度對風險進行加權(quán)平均，排成高風險區(qū)

6、、中風險區(qū)和低風險區(qū)。這樣，各相關(guān)部門便可以根據(jù)此電子數(shù)據(jù)模板有的放矢，采取措施，將來還可以據(jù)此進行持續(xù)重估。（五）提高內(nèi)部審計的效率與效果通過CSA，內(nèi)部審計和經(jīng)營人員合作起來對經(jīng)營活動進行評價。由于依靠經(jīng)營人員在CSA中的活躍參與，減少了收集信息的時間和審計中所需執(zhí)行的驗證程序，參與CSA的人員對經(jīng)營過程能了解得更為徹底。因此，這種合作提高了內(nèi)部審計人員可獲信息的數(shù)量和質(zhì)量，將審計人員從對立者、監(jiān)督者轉(zhuǎn)換為企業(yè)發(fā)展的參與者、推動者。

7、IIA建議通過內(nèi)部職能把審計人員、CSA執(zhí)行者和參與者這三者之間的互動結(jié)果加以綜合利用來為企業(yè)增加較大價值。二、CSA運用方法CSA運用方法包括四種，每種方法都有其正面和負面的影響。我國企業(yè)所采用的方法應該適用其具體情況，以滿足其管理上的具體要求。（一）純粹的CSA純粹的CSA是由企業(yè)內(nèi)部的運營單位負責持續(xù)實施CSA討論會，并將其作為正常運營步驟的組成部分。內(nèi)審部門或外部咨詢師通常設計和開發(fā)CSA方案，以確保該項目在企業(yè)內(nèi)部運用的一致性

8、。內(nèi)部審計師或咨詢師還時常為每個運營單位舉辦最初的CSA討論會，并為運營單位內(nèi)部指定的CSA協(xié)調(diào)者提供培訓。在完成最初的CSA討論會后，運營單位的管理層要負責確保適當?shù)年P(guān)注所識別出的行動事項，之后的CSA討論會要定期舉辦，且其結(jié)果要向企業(yè)內(nèi)適當方面報告。在純粹的CSA方法中，運營單位擁有所有權(quán)，對內(nèi)部控制將會有日益深入的認識，并逐漸了解負責部署適當?shù)膬?nèi)部控制的人員及提供更為有效的解決方案的人員。但是，隨著運營單位內(nèi)部人員的變動，會導致該

9、方法前后不一致；如果運營單位的管理層不重視CSA的過程，將導致不能定期舉辦CSA討論會；運營單位內(nèi)部的CSA協(xié)調(diào)性一般很差，運營單位管理層對新想法會有排斥。（二）中心型CSA中心型CSA是由企業(yè)內(nèi)的內(nèi)審部門或其他指定部門承辦CSA討論會，并將結(jié)果報告發(fā)給運營單位的管理層，運營單位不承擔持續(xù)的CSA討論會協(xié)調(diào)任務。所以，負責CSA討論會的部門必須投入大量資源，以保持有效的CSA進程。因而，CSA就成為適用的審計工具之一，而同時又能對存在重

10、大風險的區(qū)域的控制活動開展傳統(tǒng)的審計測試。中心型CSA使內(nèi)審部門逐漸開發(fā)和實現(xiàn)CSA，且避免了試圖全面實施所帶來的震蕩以及完全失敗的風險；通過運營傳統(tǒng)的審計技術(shù)以及舉辦某些中心型CSA討論會，內(nèi)審部門能夠使其審計方法多樣化，從而使內(nèi)部審計師找出對每一個運營單位最為適用的方法。中心型CSA可能是最為實用的CSA方法，由于其體現(xiàn)出的上級管理下級的特點，可能比較適合我國的國有企業(yè)。但是，在中心型CSA方法中，運營部門處于負責內(nèi)部控制的人員之上

11、，容易造成混亂；對貫穿于企業(yè)的內(nèi)部控制評價可能不一致；在沒有應用CSA的地方將沒有有效的解決方案。（三）目標導向型CSA在以目標為導向的CSA中，內(nèi)審部門開展CSA受到了一定的限制，且不能投入大量的資源來協(xié)調(diào)CSA討論會。該方法最適用于已研究過CSA，且有能力協(xié)調(diào)某些CSA討論會的有關(guān)企業(yè)。盡管不能過于奢望該方法能取得成功，68理財２００８年第１１期INTERNALCONTROL內(nèi)部控制但如果將該將方法運用于高風險領域，且與傳統(tǒng)的審計方

12、法相結(jié)合，就會很有效。該方法還可用在管理層沒有有效接受CSA的企業(yè)，如果企業(yè)中有部門具有創(chuàng)新意識的經(jīng)理人員愿意嘗試該方法，內(nèi)部審計師就應充分利用這個機會。如果這些經(jīng)理人員在CSA過程中尋找到價值，審計師將會更容易將CSA過程推薦給其他經(jīng)理。目標導向型CSA相對于其他CSA方法而言，所需資源成本較低，且在CSA過程失敗時風險最小。但是，在確認改善運營的機會方面，有效性會降低；由于在運用該過程時受到一定的限制，致使內(nèi)審部門缺乏工作熱情。（四

13、）混合型CSA混合型CSA是指在企業(yè)的某些領域里開展中心型CSA，而在其他領域開展純粹的CSA。例如，有些企業(yè)審計資源有限，且擁有很多家遠程運營單位。在這樣的情況下，對遠程運營單位運用純粹的CSA，而對企業(yè)內(nèi)的常設部門，如會計、數(shù)據(jù)處理、薪酬管理、應付賬款或客戶服務部門，運用中心型CSA則更為實用。從我國企業(yè)目前對CSA的謹慎態(tài)度角度，混合型CSA是比較合適可選CSA方法之一。三、我國企業(yè)成功運用CSA的可行性分析CSA作為一種新興的內(nèi)

14、部控制評價方法，一種有效的企業(yè)價值增值方法，我國企業(yè)能否成功運用，取決于以下因素。（一）高級管理層的鼓勵與支持CSA最為重要的一點就是需要獲取高級管理層的鼓勵與支持，如果沒有高級管理層的鼓勵和支持，較低層的管理者就不會在任何方面認真實施CSA過程。另一方面，通過有效地論證CSA在運營效率和效果方面的重大潛在收益，以及潛在減少財務、管制及其他重大風險方面的不利影響，就能獲取高層管理者的支持。（二）正確理解內(nèi)部控制目標為了有效說服高層管理者

15、接受CSA，并有效的協(xié)調(diào)CSA討論會，審計師必須對企業(yè)內(nèi)部控制的目標了如指掌。國外關(guān)于內(nèi)部控制的模型或框架中最典型的包括：一是COSO報告，發(fā)起組織委員會（COSO）于1992年發(fā)布了《內(nèi)部控制——整體框架》，將內(nèi)部控制定義為一種受公司董事會、管理層、以及其他員工影響的過程，目的是為以下目標的實現(xiàn)提供合理保證，這些目標包括運營的效率和效果、財務報告的可靠性、遵守適用的法律和規(guī)章。一個企業(yè)的內(nèi)部控制包括控制環(huán)境、風險評估、控制活動、信息與

16、溝通、監(jiān)控五個要素。二是COBIT報告，COBIT是由國際信息系統(tǒng)審計和控制協(xié)會（ISACA）于1996年首次公布的控制框架，主要目的是研究、發(fā)展、宣傳權(quán)威的、最新的國際化的公認信息技術(shù)控制目標以供企業(yè)經(jīng)理、IT專業(yè)人員和審計專業(yè)人員日常使用。三是SAC和eSAC報告，IIA首次于1977年公布的《系統(tǒng)可審性與控制》報告旨在“對信息系統(tǒng)與技術(shù)的審計和控制提供一個合理的指導。該報告專注于信息技術(shù)的業(yè)務維度以及與計劃、實施、自動化應用相關(guān)聯(lián)

17、的風險”。2001年，IIA公布了一個更為現(xiàn)代的信息系統(tǒng)控制模型，稱為“電子系統(tǒng)確認于控制模型（eSAC）”，其帶給執(zhí)行管理層、公司治理機構(gòu)和審計師新的信息，用以理解、監(jiān)控、評估和減緩技術(shù)風險。通過參考上述內(nèi)部控制框架，我國企業(yè)的CSA執(zhí)行者應該明白，每個企業(yè)的董事會、高層人員和其他經(jīng)理主要負責確保有效的控制和風險管理系統(tǒng)的有效運行，而作為CSA執(zhí)行者，內(nèi)部或外部審計師的作用是與上述關(guān)鍵管理人員商議，協(xié)助其更好地實現(xiàn)其內(nèi)部控制目標和責任

18、。（三）適當培訓審計師的信息系統(tǒng)知識與CSA協(xié)調(diào)技能長久以來，審計師與客戶成員及管理層的相互影響都是建立在一對一溝通的基礎上或是通過小組會議來實現(xiàn)的。通常，并不需要審計師同其他小組進行協(xié)調(diào)性討論。然而，隨著CSA在更多企業(yè)的運用，對擁有CSA協(xié)調(diào)技能的信息系統(tǒng)審計師和其他審計人員的需求都會明顯增加。審計師不僅需要掌握會計、審計、定量分析、商法、內(nèi)部控制等方面的知識，還應懂得電子數(shù)據(jù)處理方面的知識；不僅需要具備相關(guān)領域的專業(yè)知識，還必須具

19、備高超的推動技巧和組織能力。因此，我國企業(yè)在運用CSA之前，對信息系統(tǒng)審計師和其他審計人員需要就各方面的知識進行詳細培訓。（四）恰當?shù)腃SA成員組成評估小組應該由所評估領域的成員組成，而非由監(jiān)督人員或是經(jīng)理人員組成，如果要協(xié)調(diào)一個管理團隊，那么就應在CSA小組中排除更高級別的管理人員。通過CSA管理層的目的是在專題討論會上識別出所討論的控制目標，那么，其就不應該過多的在意下屬的言論。相反，其應對下屬能夠為每個具體的控制目標制定出可行的解

20、決辦法持樂觀態(tài)度。在我國，獨特的東方文化及儒家中庸思想很難讓會議的參加者冒著招致批評甚至損害其職業(yè)生涯的風險暢所欲言，而且這些批評或損害往往來自其上級、同事或缺乏經(jīng)驗的CSA推動者。因此，排除高級別管理人員的恰當CSA成員組成顯得的更加重要。（五）合適的工具配備及時間限制合適的工具配備會提高效率和效果，這些工具包含一間配有活動掛圖、作記號用的筆、白板或黑板以及其他一些常用培訓資料的專用會議室或培訓室，外加可記錄CSA方案成功、失敗和行動

21、事項的自動化工具，如配備可視投影儀的筆記本電腦。在我國，如果企業(yè)列出的預算較少，可以有效地利用白紙和計算器。在很多CSA討論班中，由于缺乏管理層和員工之間的良好溝通，或是對所評估的運營領域和該領域之外的部門的良好溝通，或這些部門所運營的領域之間的良好溝通，導致會議陷入互相指責、爭吵的局面。我國企業(yè)的CSA組織者應認識到這一事實，盡管這些領域之間的溝通很重要，但整個CSA討論會不應完全針對這類問題。在對CSA討論會進行規(guī)劃時，CSA組織者

22、應該控制好會議節(jié)奏，避免因為跑題而浪費時間。（六）CSA過程中的風險意識安然事件以后，COSO于2004年又發(fā)布了《企業(yè)風險管理———整體框架》，定義企業(yè)風險管理是一個由企業(yè)的董事會、管理層和其他員工共同參與的，應用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門的，用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內(nèi)管理風險的，為企業(yè)目標的實現(xiàn)提供合理保證的過程。企業(yè)風險管理包括戰(zhàn)略目標、運營目標、報告目標和合規(guī)目標四個目標，包括內(nèi)部環(huán)境、

23、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通、監(jiān)控八個要素。COSO已將內(nèi)部控制延伸至更為全面的風險管理。我國企業(yè)在運用CSA的過程中，應該關(guān)注風險管理的最新發(fā)展，強化小組成員乃至全體員工的風險意識。CSA的推動者及小組成員除在研討會中除應盡量采用成熟的風險評估工具對企業(yè)現(xiàn)存的風險及控制不足進行分析并采取適當行動外，更應探索建立符合本企業(yè)的風險管理制度并予持續(xù)跟進。參考文獻：［１］王光遠、嚴暉：《內(nèi)部審計具體準則第２１號