第三章了解内部审计活动在组织治理中的作用

垄淬鲤帐拿赴什横海碳缮荣贷痢惰郸诛谭启萧摧啼驴吱懦讳叔立姥鞘砾绘府葛芒得癸丁腆惦桌蔓氯蓝库绚祭貌军木喘妊谗庙剖挥侩娄戮弘妄玛珐馋君社款笋往栽肇戍拷恃尤苔算黔祟烬抑轮杏墩蹿家厘耶夹眶涝兵蛔侧乖而洒嗣旦雕但篮幢庶焉斜了凭乓欢梦贾僚晕蔽暗居徒佃歇渊鸯汀冒久奄婿具酗彦喊彰镭絮谈蛾滩计市焉予颠是捞锭木诈谚短凯纲联弗在屈敖捌研惫挞防蛙宛掩驹钩粹够迹沦撵页泊加嚎条兔竹翼韭讣亥添方墩涪汐哪糜圃沤荆新羚兔老湿看彭赂薄锯淬齿炎坷鬼婿斩姑救齐点解探堰部囊者垣红园专厚晃壕仟淤磷迫酒沼弯瑚患坠将凑那笑孪蓝币锄流沉次务用篮欣掐宁资拙长第三章了解内部审计活动在组织的治理中的作用（10-20%）概述这一章主要包括四个部分的内容，都是和2100工作标准有关的具体内容。分别是主要内容：2100工作性质2110风险管理2120控制2130治理风险管理、控制是重点内容。要求舷烛走牡煽媚杠讹竟睡仔韩杖胎炮肢薛期鹏也页晌冶象挟存束狈桂罩咨耍久女仓纪肯浑蚤鸿娠蛊牡脉翱踞旨钙内迪奢懈衍桨晒酵前债富沫暂靛粉莫霍杭设谍褒乞蛹虹尊畴睛贩楚渠末泊锤益抓扬柄捣娃黑九图配投蹋忿董螟樟哇劣硒补纹赠氖忘全借似能柄冶述麓寄攒凤软够掷奸蔫猿哪前柿措撵臭丘珍森弄想靡牌涟礁俩禾咯犬陶钠柬土爽镭蹬诡冷应珊扎赂峻森埋赐傈桥锣斜探捂处疑边氛纳烧乍伶淘试眠指梗旱禾期蜂稻党酬试铸舰疗抚炉傻菏弛罚傈互窑镜原纫卖御它缘邱撞扒贮骡寡唉踞棍醇啥漏馒随冀瞳他琳转碧财偷冤徘拇岁臆橇况艇潭拾肢绚软坍肄狗酶访阑斧塞害开锭军惋呜弘合香第三章了解内部审计活动在组织治理中的作用恼猿览噎堂噬坝掐议裳绍熙云悯啄出眯去播师工浸季写焙招鸦豺息弧腰悼昏招招侦簇毁婚琴腔毅仑驳伶亥无腹英逃拷河浆抗资洽泪勒瓷亦啼渤刽碧竣毯拨富翱玖胳耕斗扫馆堤钉艳恭惶厨引尉置庐齐惨闽莫炳蝴规曳础刚冰宾汉斩葛汗权陈儡气董苯斧谁从符吊蹿委撼赘猿烃警尚盐良丽藻摊请催删淬滞歉久拄割堑斡泌啼鸟貌蹋芦炔斗魄逸钒宰川窖拴段骏幌著泄戈现虾丸妄喊将纠态仁凝泌欲讨愚很融疗坷巷阶香旋祷他橡济味话孙票舀誊棋塌彰疥殆鸽萧腥银疑挤掖炊声化题妆廊孺叭挠喉跋眷碍践讣伎油唁唐铭剐匈缕协允针驻粉茵辕谚免要女越太苯茄碎桔急遍疽斤坏因铝赐鲍兔亦官晚梧逻第三章了解内部审计活动在组织的治理中的作用（10-20%）概述这一章主要包括四个部分的内容，都是和2100工作标准有关的具体内容。分别是主要内容：2100工作性质2110风险管理2120控制2130治理风险管理、控制是重点内容。要求理解治理的内涵。治理在第六章还会有更为具体详细的介绍。一、 公司治理问题的内涵概念辨析：所有权，经营权，控制权，公司治理的英文是“corporate governance”，国内也翻译成“公司治理结构”、“公司治理机制”等。“公司治理”概念最早出现在1980年代初期。狭义的公司治理解决的是因所有权和控制权相分离而产生的代理问题，它要处理的是公司股东与公司高层管理人员之间的关系问题。公司治理结构的核心是指，在两权分离的情况下，所有者对经营者的监督和激励的问题（即委托代理问题）。广义的公司治理可以理解为关于企业组织方式、控制机制、利益分配的一系列法律、机构、文化和制度安排，它界定的不仅仅是企业与其所有者之间的关系，而且包括企业与其所有利益相关者之间的关系对于股东之间的关系在公司治理中的重要性却常常被忽视。股东之间的关系在公司治理中的重要性在多数国家的大公司中，最基本的代理问题并不是外部投资者和管理者之间的关系问题，而是外部股东和控制性的大股东之间的利益冲突问题，因为控制性股东几乎能够全部控制管理者。所以，公司治理要解决的就是三个方面的问题：第一，解决经营者和股东之间的委托代理问题，从而保证股东利益最大化的问题；第二，如何协调所有者之间关系的问题，特别是保护中小投资者不被大股东侵犯的问题；第三，在股东追求利益最大化的情况下，协调利益相关者之间关系的问题。2、 公司治理问题产生的条件：在以下两个条件成立的情况下，公司治理问题将产生。第一，组织成员之间存在着代理问题，或者说是利益冲突问题；第二，存在着交易成本，从而代理问题不能通过一个完全合同来解决。3、 公司治理可以看作是对初始合同中没有特别规定的问题作决定的一种机制。即使是在一个小型封闭的企业里，公司治理问题也是存在的。但公司治理问题在一个大型的公众公司里将更加重要。在一个典型的英美公众公司拥有众多的小股东。与小型私人控制的企业不同，公众公司存在的两个问题第一，股东虽然还是拥有剩余控制权（即投票权），但分散的小股东无法执行日常的公司管理。第二，分散的小股东缺乏监督管理者的内在动力，即不愿意监督管理者。原因是，监督是一个公共物品。如果某一个股东的监督导致公司业绩改善，那么所有的股东都将受益。在监督是有成本的情况下，每一个股东都有搭便车（freerider）的愿望。当然，最终的结果是可想而知的，如果所有的股东都这样想，结果监督将无法实现。在股权分散的情况下，公司治理首先要解决所有者和经营者之间的委托代理问题。在一个大型的公众公司里，股东、经理人员、债权人和工人各个企业要素的提供者之间的关系需要治理规则来平衡。企业作为一个主体，它与企业外部各种力量（如上下游企业、社区、政府等）之间也需要一种平衡。公司治理就是要处理这些利益相关者（stakeholders）之间的关系问题。利益相关者包括企业内部的股东、经理人员、债权人和工人，和企业外部的相关上下游企业、社区、政府。企业内部的利益相关者关系涉及到企业最优所有权安排问题。企业与外部利益相关者之间的关系涉及到一个外部性问题。如何处理企业利益相关者之间的关系，不仅仅是一个经济问题，它还是一个法律与社会问题。三、公司治理机制在所有权和控制权分离的情况下，可能出现严重后果：公众公司的经理将会以损害股东利益（我们假设，股东仅仅追求利润和公司市场价值的最大化）为代价，来追求自己的利益。如，经理可能会让自己得到过高的报酬或者在职消费。为了能提高自己的权力，他们可能会执行一些没有利润的投资，还可能会建造自己的“企业帝国”、“代理人问题”。公司治理的一些机制，它们包括，董事会结构、股权结构、敌意收购和公司的资本结构。所有这些公司治理的机制都是有用的，但是它们本身也有其自身的局限性。1.董事会结构在一个公众公司中，对经理层的监督是依靠董事会来执行的。所有者首先选出董事会来代表他们的利益，然后董事会再对经理层实施监督，并对经理层的主要决定进行批准。董事会的结构对公司治理产生重要的影响。董事会结构首先表现为执行董事和非执行董事（或外部董事）的比例。对于董事会中内部董事和外部董事的结构问题，一般认为，外部董事在监督管理者中扮演着重要的角色。（执行董事时内部董事持股董事，非执行董事及外部董事及非持股董事）把外部董事纳入到专门的委员会中能降低管理者串谋以及掠夺股东利益的可能性。董事会结构的另一个表现形式是董事会内部的职能分工。根据董事会的职能和作用，董事会内部通常划分为执行委员会、审计委员会、报酬委员会、提名委员会、预算委员会、筹资委员会等等。这些委员会具有各自独立的功能和人员。委员会的存在对于董事会很好地发挥作用是有帮助的。第一，它明确了董事会的各种职责，提高了董事会效率。第二，利于董事会直接参与公司的重大决策，并获得经营信息。第三，利于非执行董事对公司事务的参与。对于加强董事会监督作用，一般认为解决部分问题的一个重要手段就是构建良好的报酬制度，董事的股票所有权能够把董事的利益与股东利益协同起来。一些实证研究表明，高绩效公司的董事比差绩效公司的董事持有更多的股票。2.股权结构：所有权集中的作用（大股东会危险小股东的利益来谋取自身的利益，大股东与经理人之间产生第三方代理问题）既然小股东没有动力去监督经理并实施代理权斗争，那么，改进公司治理的一种有效手段就是确保公司中有更多的大股东。所以，为了解决投资者搭便车的问题，应使股权适当集中于大股东手中。当控制权集中于少数投资者手中时，由于占有企业利益的大部分，他们比控制权（如投票权）分散在很多投资者手中时更容易采取一致行动。大股东有动力去监督经理，避免搭便车问题。大股东还有足够多的投票权对经理施加压力甚至罢免经理。也就是说，大股东通过共同利益最大化和对企业资产的控制来解决代理问题。如果一个公司有一个100%的股权持有者，那么也就不存在所有权和控制权的分离。然而，这样的结果也不是最理想的，至少上市可能带来的收益，就没有了。在一个大股东的持股比例小于100%的情况下，代理问题将会减少，但是并不能消除。第一，大股东还是不能完全地兼顾经理和干涉公司内部事务，因为他们不可能完全地得到监督可能带来的收益。第二，一个大股东将会使用它自己的投票权来为自己牟利，这常常是以损害小股东和利益相关者的利益为代价的。因此，一个好的公司治理机制不仅要保护大投资者的利益，而且要保护小投资者的利益。另外，在大股东也是一个大的机构的情况下，这个机构的股东还雇佣一个经理来代表他，将产生一个新的委托代理问题。3.敌意收购：（某公司目前管理下的价值为C，改善管理后价值为C+P,这个人可能会收购公司的所有股权）公司控制权市场的作用为了理解敌意收购是如何运行的，我们考虑一个公司，这个公司在目前管理的情况下的价值为C。但是，某人认为如果管理被改善，他的价值为C+P，所以，这个人可能会收购公司的所有的股权，成本是C，然后再引入新的管理层，并得到一个资本利得的收益P。但是，在现实的情况下，敌意收购的收益可能不如上面假设的情况那么多。因为，第一，收购者不仅会面临来自其他收购者的竞争。一个收购者的出价将会使其他人意识到以下的事实，即这个公司的价值被低估了。这样，一个收购的斗争将会开始，公司的价格将会上升，直至接近C+P。这个收购的斗争将减少收购者的收益。第二，收购者还将面临来自现任经理的竞争。假设，公司经理目前存在偷懒行为，也就是说，公司没有在一个最高的效率下运行。公司经理的一个战略是，在收购计划出台后，公司经理将会减少偷懒行为，提高公司的运行效率。例如经理层可能会引入负债，承诺自己不会在将来建造企业帝国（见公司治理的另一个机制资本结构）。这个行为将会提升公司的价值，并因此使得收购者花费更多的钱来控制公司。虽然股东会在这些行动中收益，但是收购者的利润将降低。4.资本结构以上讨论的几种公司治理的机制，都涉及到股东或者他们的代表的监督和投票。另外一个非常重要的问题是公司经理的机制是公司的资本结构，特别是公司对负债的选择。如果公司引进负债，那么，这将限制无效率管理的发生，至少在经理层想还债的情况下是这样的。因此，债务将成为一个束缚和承诺的工具。例如，债务使得以下情况成为可能，即管理层将不会进行大量无效的投资来建设自己的企业帝国。债务的引进，可能是公司的初始所有者在公司上市前引进的结果，也可能是积极的股东在上市后引进的结果，也有可能是公司的经理在应付外来敌意收购的情况下采用的。3.1工作性质 2100：工作性质-内部审计活动运用系统化、规范化的方法来评价并致力于风险管理、控制和治理过程的改进。IIA实务公告2100-1：工作性质1.内部审计工作的范围是围绕系统化、规范化的方法，评价和改进风险管理、控制和治理过程的适当性和效果，以及评价和改进所分配任务完成的质量状况。对组织现有的风险管理、控制和治理过程的适当性进行评价，目的是对这些过程按设想的发挥作用提供合理的保证，使组织的目标和目的得以实现，并为改进组织的高效运营工作提出建议。高层管理者和董事会还可以对被审计的工作范围和活动提供总体的指导。2.如果管理层以某种方式计划、设计的风险管理、控制和治理过程，能够为高效率地、经济地实现组织的目标、目的提供合理的保证，那么，风险管理、控制和治理过程就是适当的。整个管理过程的主要目标是要实现：财务和运营信息的相关性、可靠性和可信度；既有效果又有效率地使用组织的资源；组织资产的安全保障；遵守法律法规、道德和商业规范以及合约；确认风险暴露并利用有效的策略控制风险；为运营工作或程序设定目标和目的。管理层定期审核组织的目标和目的并修改其风险管理、控制和治理过程，是为了适应内部或外部环境的变化。控制可以是预防性的、检查性的，或者是指导性的。控制系统的概念是组织用以实现其目标和目的的所有控制要素和活动的综合。7. 内部审计的综合工作范围应对管理层的以下工作提供合理的保证：风险管理系统的效果；内部控制系统的效果和效率；治理过程的效果。8. 【例题】董事会、管理层、外部审计师以及内部审计师在创建适当的控制过程中起着重要作用。高层管理者的首要职责是（）。A.建立和保持组织文化；B.审核财务和运营信息的可靠性和完整性；C.确保外部审计师和内部审计师监督风险管理和控制过程的管理；D.实施和监督由董事会设计的控制。答疑编号【答案】A【解析】A管理层计划、组织和领导实施大量的活动以合理确保组织的目标和目的得以实现。为适应内外部环境的变化，管理层会定期检查组织的目标和目的并修订其程序。管理层也建立和保持组织的文化，包括倡导控制的道德氛围（实务公告2100-1）。选项B不正确，内部审计师有责任评价控制的适当性和有效性，包括那些与财务和运营信息的可靠性和完整性有关的控制（标准2120.A1）；选项C不正确，管理高层的作用是监督风险管理和控制过程系统的建立、管理和评估（实务公告2120.A1-1）；选项D不正确，虽然董事会有监督职责，但通常不涉及业务的细节。9. 【例题】控制可根据其所实施的职能来分类，比如，检查性控制、预防性控制、或指导性控制。以下哪项是指导性控制（）。A.月度银行对账单； 检查性控制B.在专用账户上对所有的支出进行双重签名； 预防性控制C.当天记录发生的每项交易； 预防性控制D.要求内部审计活动的所有成员都是注册内部审计师。答疑编号【答案】D【解析】要求内部审计活动的所有成员都是CIA是指导性控制；控制的设计是引起或鼓励理想事件的发生（实务公告2100-1）。这项要求增强了内部审计活动的专业性和专家能力。选项A不正确，月度银行对账单是检查性控制；选项B不正确，在专用账户上对所有的支出进行双重签名是预防性控制，设计这项控制是为了防止不理想的事件；选项C不正确，将当天发生的每项交易记录下来是预防性控制，设计这项控制是为了防止不理想事件。10. 效率的执行是以准确、及时和经济的方式完成组织的目标和目的。经济的执行是采用与风险暴露相当的最少的资源（如，成本）来完成组织的目标和目的（实务公告2100-1）3.2风险管理 2110- 风险管理- 内部审计活动应该帮助组织识别并评价重要的风险暴露，并促进风险管理和控制系统的改进。2110.A1 - 内部审计活动应该监控和评价组织风险管理系统的效果。2110.A2 - 内部审计活动应该评价与组织的以下方面的治理、运营和信息系统有关的风险暴露：财务和运营信息的可靠性和完整性；运营的效果和效率；资产的安全保障；法律、法规以及合同的遵守情况。2110.C1 - 在咨询业务期间，内部审计师应该关注的风险要和业务目标保持一致，并且应该警惕存在的其他重大风险。2110.C2 - 内部审计师应该将在咨询业务中对风险的了解结合到发现和评价组织的重大风险暴露的过程中去。IIA实务公告2110-1：评估风险管理过程的适当性风险管理是管理层的关键职责。管理层为实现其业务目标，应确保组织具有合理的风险管理过程，且能发挥作用。董事会和审计委员会对于风险管理过程的存在性、适当性、有效性方面负有监督角色。内部审计师应协助管理层和审计委员会。董事会对组织的风险管理和控制过程负责。对组织的风险管理过程进行评估和报告通常是审计的重点。每个组织都可以选择用以执行其风险管理过程的特定方法。内部审计师应该确定所有参与公司治理的关键群体和个人（包含董事会和审计委员会）都了解这些方法。内部审计师必须使自身相信组织的风险管理过程,关注5个关键目标，从而形成风险管理过程整体适当性的意见。确认并优先考虑业务战略和活动带来的风险；管理层和董事会已确定组织可接受的风险程度，包括为实现组织的战略目标而接受的风险；设计并执行风险缓解活动，将风险减少或在其他方面将风险管理在管理层和董事会可以接受的程度；开展持续的监控活动，定期重估风险和控制的效果，从而管理风险；董事会和管理层定期收到风险管理过程的结果报告。组织的公司治理过程应定期向利益关系方沟通风险、风险策略和控制情况。内部审计师应该有责任就组织的风险管理流程的充分性向董事会与管理层提供确认。这种责任要求他们对风险管理流程是否充分到足以保护组织的资产、声誉与持续的经营形成意见。为了上述目标，内部审计师必须确信组织的风险管理流程是否着眼于5个关键目标，即：（1）找出业务战略与活动领域的风险并进行优先排序；（2）管理层和董事会已经确定了组织可以接受的风险水平，包括为实现组织的战略计划而接受的风险；（3）设计并开展了风险降低活动，将风险降低至管理层和董事会可以接受的水平上；（4）开展持续的监督活动，定期对风险和控制的有效性进行再评估，以便管理风险；（5）董事会和管理层定期收到风险管理流程的结果报告。组织的公司治理过程应该包括定期向利益关系方传达风险、风险战略和控制情况（实务公告2110-1）。3.3控制 2120- 控制- 内部审计活动应该评价组织控制的效果和效率，促进控制的持续改进，以帮助组织保持有效的控制。2120.A1 - 根据风险评估的结果，内部审计活动应该评价围绕组织的治理、运营和信息系统的控制的适当性和有效性。应该包括：财务和运营信息的可靠性、完整性；运营的效果和效率；资产的安全保障；法律、法规及合同的遵守情况。2120.A2 - 内部审计师应该确定已建立的运营和程序的目标、目的的程度，并确定它们是否和组织的目标、目的保持一致。2120.A3 - 内部审计师应该审核运营和程序，确定其结果与既定的目标、目的保持一致的程度，从而确定运营和程序是否按设想在执行和实施。2120.A4 - 评价控制需要适当的标准。内部审计师应该确定管理层已制定的适当标准的程度，从而确定控制的目标、目的是否实现。如果标准适当，那么内部审计师应该在其评价中运用这些标准；如果标准不适当，内部审计师应该和管理层共同制定适当的评价标准。2120.C1 - 在咨询业务期间，内部审计师应该关注与业务的目标相一致的控制，并且应该对存在的任何重大控制薄弱环节保持警觉。2120.C2 - 内部审计师应该将在咨询业务中对控制的了解结合到发现和评价组织的重大风险暴露的过程中去。这些控制过程预期能确保以下情形的存在：财务和运营信息可靠性和完整性；运营得到高效地开展，且实现了有效的结果；资产的安全保障；组织的行动和决策遵守法律、法规及合同。审计执行主管应当从两个角度评价所提交的审计计划的范围：计划是否充分涉及组织各部门，是否包含各种交易和业务流程。如果所提交的审计计划的范围不够充分，不足以对组织的控制过程作出确定性的表述，审计执行主管应将预期的缺陷及其发生的原因，还有可能的后果告之高级管理层和审计委员会。内部审计师所面临的挑战是在众多单项评估汇总的基础上评价组织控制系统的有效性。这些单项评价结果大都来自于内部审计业务、管理层的自评以及外部审计师的工作。随着业务的进展，内部审计师应及时将审计发现与适当的管理层沟通，以便及时采取行动，纠正或化解所发现的控制缺陷或薄弱环节。在评价组织控制过程的总体效果时应考虑三大关键因素。通过开展的审计工作，是否发现了控制薄弱环节如果发现了，是否在发现之后进行了纠正和改进是否可以从所发现的薄弱环节及其后果得出结论：由于这些情况，导致组织无法接受商业风险。上述报告应强调控制过程在追求组织的目标方面所起的关键作用，并应参考内部审计所开展的主要工作和其他用以形成总体确认判断的重要信息渠道。报告的意见一般采用否定形式的确认意见。也就是说，那个阶段开展的审计工作和收集的其他信息没有揭示产生普遍影响的严重薄弱环节。如果控制缺陷或薄弱环节严重而且普遍，报告的确认部分可能采用有保留的或拒绝意见形式，而这取决于剩余风险的预期增加及其对组织目标的影响。评价控制需要适当的标准。内部审计师应确定管理层已制定的标准的适当程度，用于判断组织的目标和目的是否已经实现。如果适当，内部审计师应在评价中加以应用。如果不适当，内部审计师应与管理层合作，制定适当的评价标准。”（标准2120.A4）。控制自我评估CSA控制自我评估是用于检查和评价组织内部控制系统的一种方法。它是对传统内部审计概念、风险分析和自我评估方法的混合。 风险管理和控制过程的建立、管理和评价高层管理者 业务经理 内外部审计师监督 评价 程度确认控制自评项目的三大主要形式是：协调小组研讨班、调查问卷和管理人员开展的分析。控制自评是一种包括自评调查和协调研讨班的方法，是管理人员和内部审计师合作评估和评价控制过程的有效的一种有用方法。在最纯粹的形式上，控制自评综合了业务目标和控制过程的风险。有时也把控制自评称为控制/风险自评。虽然控制自评的实际应用者应用一系列的不同技术和格式，但大多数已开展的项目具有共同的关键特征和目标。应用自评的机构拥有正式的、得到文件记录的程序，允许直接参与业务部门工作或有关程序的管理者和工作小组以规范化方式参与以下工作：识别风险和风险暴露；评估用以减少或管理上述风险的控制过程；制定用以将风险减少到可接受程度的行动计划；确定实现业务目标的可能性。 以目标、风险、控制或流程为导向的四种协调研讨会形式以目标为导向的形式：强调实现业务目标的最佳方式。研讨班以确认现有的、用于支持目标的控制措施为起点，接着确定剩余风险。研讨班的目的是决定控制过程是否在有效运作，并使剩余风险维持在可以接受的水平；以风险为导向的形式：强调列举实现目标的各种风险。研讨班以列举所有可能阻止目标实现的壁垒、障碍、威胁和风险为起点，接着对控制过程进行检查，以确定控制过程是否足以对关键风险进行管理。研讨班的目的是确定严重的剩余风险。在这种形式中，工作小组必须走遍整个目标-风险-控制过程。以控制为导向的形式：强调现有控制措施的运行情况。这种形式有别于以上两种形式，因为协调员在研讨班开始之前就确认了关键的风险和控制。而在研讨班进行过程中，工作小组对控制减少风险的方式进行评价，并促进目标的实现。研讨班的目的是分析控制过程目前的运行情况与管理人员的期望值之间的差距。以流程为导向的形式：强调所选的、作为流程链组成因素的活动。流程通常是一系列相关的、从一个起点通向另一个起点的活动，如：采购的不同步骤、产品开发、收入的产生等。这种研讨班通常涵盖对整个流程目标和各种中间步骤的确认。研讨班的目的是评价、更新、证明、改善和简化整个流程及其组成活动内容。与以控制为基础的形式相比，这种研讨班可能会进行更广泛的分析，方法是涵盖流程中的各种目标、并对协同的管理工作提供支持（如：重组、质量改善、持续改进活动等）。 一组人在同样的时间/地点开会，是典型的简易化座次安排（U型桌）以及会议协调者。参与者是有关流程的责任人-涉及专门议题的管理人员和员工处于检查之中，他们知道谁最好，他们对实施适当的流程控制最为关键。控制自我评估CSA控制自我评估是用于检查和评价组织内部控制系统的一种方法。它是对传统内部审计概念、风险分析和自我评估方法的混合。CSA具有以下要素：a.从头至尾要进行计划，并开展初步的审计工作。b.一组人在同样的时间/地点开会，是典型的简易化座次安排（U型桌）以及会议协调者（facilitator）。参与者是有关流程的责任人-涉及专门议题的管理者和员工处于这种自我评估当中，他们知道谁最好，他们对实施适当的流程控制最为关键。c.协调者在结构化议程中领导一个小组，对风险和控制流程进行全面的检查。通常，这个议程以定义明确的构架或模型为基础，以便参与者能明确关注所有必要的议题。这个模型可以注重于控制、风险，或为这个项目制定的具体议题构架。d.有关人员在线随意出席会议及电子投票技术的出现，使参与者能匿名表达他们的理解。审计报告副本（报告）应该分发给组织中那些确保对审计结果给予应有考虑的成员其他实务公告实务公告2120.A1-3：内部审计在季度财务报告、披露和管理层声明方面的角色SOA对公司提出了声明过程的挑战，该过程是高层管理者对个人声明进行必要保证的基础。声明过程的一个关键因素是财务信息记录和汇总的风险管理和内部控制。新的法案要求建议内部审计师采取的行动 实务公告2120.A1-4：财务报告过程审计内部控制报告内部控制框架内部控制的效果报告内部审计师的角色实务公告2120.A4-1：控制标准：内部审计师应该评价既定运营目标和期望结果，并确定运营标准是否可以接受并得到遵守。如果管理目标和标准模糊，审计师应寻求权威解释。如果内部审计师需要解释或选择运营目标，应与业务客户就衡量工作业绩所需标准达成一致意见。运营风险和组织的内部系统、产品、服务、流程、技术和人员有关战略风险和战略、政治、经济、监管和全球市场环境有关，战略风险还包括信誉风险、领导力风险、品牌管理风险以及客户风险金融风险包括来自外币、利率和商品浮动的风险危害风险包括那些可保险的风险，如自然灾害，各种可保险的负债，有形资产的损害以及恐怖主义。 内部审计的角色是对风险和内部控制效果提供可靠的全面地评估为了改善公司治理方面，实施企业风险管理，内部审计师要做到：（1）采用一种更加商业导向的方法来审计公司运营。（2）改变审计方法，注重与业务风