原创：你所不知道的内控自评工作

原创：你所不知道的内控自评工作 管理层与内部审计师的责任管理层在CEO的领导下，对内部控制的适当的设计及有效的运行负最终责任。管理层要为减轻风险的整体及具体业务流程控制的适当设计及有效运行负责，其中的风险是与实现COSO设计的运营的效率和效果；财务报告的可靠性；法律、法规的合规性三个分类目标相关的。需要明确的是，这些是管理层的责任，而不是内部审计师的责任。 IIA指出，内部审计部门的职责是评估组织的控制（内部控制系统的要素或者是整体），在评估组织控制程序的总体效果时，首席审计执行官应该考虑以下因素：是否存在重大差异或缺陷；发现后是否进行了纠正和改进；是否从这一发现及其潜在的后果中得出一个结论，即无法接受的风险水平（或运行效率）普遍存在。为什么内部控制需要评价古希腊的哲学家曾经说过：“人不能两次踏入同一条河流。”这句话告诉我们一个道理，世界上的任何事物都不是静止的，都处在永不停息的变化发展之中。内部控制也是如此。内部控制不应是设计好便束之高阁的一堆文件，而是一个设计、运行、评价、整改的循环往复的动态过程。其中，评价作为这一动态过程中的枢纽，对于内部控制是否能有效的发挥作用起着及其重要的作用。内部控制自我评价的背景传统的控制像“紧箍咒”一样，试图通过强制性的措施来约束着人们的行动，并将结果与标准相互对比，并及时采取纠正行动。但这种控制是一种消极的行为。自我控制才是一种积极的行为，作为一种有效的方法，内部控制自我评价就是为了鼓励自我控制的，它允许员工参与到发现控制和提出建议的过程中。 CSA最早是由加拿大海湾公司（Gulf Canada）1987年首次提出。海湾公司是加拿大的一个大型石油和天然气生产商，在世界各地均开设公司开展经营。虽然公司规模很大，但内部审计部门却很小，只有十几个人，难以满足对全公司内部控制评价的庞大任务。当时，海湾公司面临着报告其内部控制的法定报告要求以及按照传统的审计程序难以解决对石油天然气考核的两难境地，于是他们开发出了一种叫“协调性自我评估”的方法。这种方法具体是通过将与专门的内部控制问题或流程有关的管理人员、内部审计师和基层员工召集在一起商讨问题，分析经营目标中存在的风险和现有控制措施的缺陷，找到解决的方法、填补漏洞的过程。人们发现，这种方法大大激发了员工们的主动性，大部分的员工都愿意开诚布公、坦诚地发表自己的意见，积极发言，甚至愿意主动的进行自我批评，没有了对内部审计师的敌对态度，这使得内部审计的工作效率有了质的飞跃，CSA因此也成为内部审计工作的重要工具。20世纪90年代后期，当风险管理概念被广泛应用的时候，CSA开始将更多的影响目标实现的外部因素考虑在内，并开始与其他标准体系相互融合，出现了除CSA之外的风险自我评价、质量自我评价、管理自我评价、治理自我评价等不同形式。 对于CSA，有一个经典的比喻:“我们不再使用鱼竿和鱼线去钓出重要的问题，相比较而言，控制自我评估协调会议就像一个深海拖船，它张开如此巨大的网以至于几乎没有什么重要问题被遗漏”。加拿大海湾公司实施的内部控制自我评价的理念，受到了IIA等理论界和实务界的赞许和推广。对此，IIA对于内部控制自我评价的定义为：“内部控制自我评估（CSA）也被称为管理自我评估、控制和风险自我评估、经营活动自我评估以及控制/风险自我评估等，是指组织内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。其有三个基本特征：关注业务的过程和控制的成效；由管理部门和职员共同进行；用结构化的方法开展自我评估。”CSA是企业管理当局为及时、清楚地掌握企业内部控制的设计和运行状况，降低企业风险，定期或不定期地对企业的内部控制系统进行评价，得出合理评价结果，形成内部控制自我评价报告的过程。实务中通行的实施方法是内部审计师与被评价单位管理人员组成一个小组，管理人员在内部审计师的帮助下，对本部门内部控制的恰当性和有效性进行评价，然后根据评价和集体讨论来提出改进建议、出具评价报告。CSA作为一种新型的评价方法，它与传统的内部控制审计方法的区别就在于它强调“全员参与”，上至高级管理层下至基层的员工，都是内部控制的“主人”，他们应该是内部控制评价的主要力量。这种方法让普通员工认识到，内部控制不只是内部审计工作人员的责任，也不只是高级管理层应关心的问题，相反，应该把它看作是组织内部所有成员的事。设计内部控制自我评价的目的是为了使员工了解哪里存在缺陷以及可能导致的后果，然后让他们自己采取行动改进这种状况，而不是等内部审计师发现并指出问题。相应的，评价风险和控制以及报告结果的责任也由内部审计师转移给了审计业务客户的工作小组。内部控制自我评价的具体方法俗话说：“巧妇难为无米之炊。”只有我们掌握了CSA的方法和具体流程才能让它为我们所用，发挥它的作用。现在就让我们来看看CSA到底是如何运用的吧！从其基本形式来看，常用的自我评估的方法主要有三种：推动小组研讨班法、调查法和管理部门分析法。 （1）推动小组研讨法。推动小组研讨法是进行CSA的最受欢迎的方法，它通过把不同层次不同级别的管理者和员工召集起来，就特定问题进行的讨论的头脑风暴法。通常讨论小组会有一个推动者，这个推动者可以是内部审计师，也可以是普通员工。在小组讨论中，每个人都可以畅所欲言地表达自己的观点，自由地发表自己的意见，在讨论结束后小组成员要出具一个报告来反映整个研讨的过程。（2）问卷调查法。它是通过调查问卷来收集信息的控制自我评价的方法，通常被调查人只需要做简单的“是/否”或者“有/没有”的回答，管理层通过分析调查结果来评估内部控制系统。（3）管理部门分析法。管理部门分析法涵盖了很多管理小组产生和收集信息的方法，通常泛指除了上述两种方法之外的方法。这种方法通常趋向于对控制程序具体特征进行判断，例如在高级财务管理人员中对本年度拟定的财务报告适当性的讨论、对控制失效或舞弊发生原因的调查、一个新开发的系统所涉及的内部控制评估。 以上三种方法各有其适用情况，企业可以根据自身的特点单独或者综合使用三种方法。内部控制自我评价的具体流程（1）拟定评价方案。评价方案包括具体工作计划、人员组织、进度安排和费用预算等相关内容。（2）组织培训。CSA是一个全员参与的过程，但并不是每一个人都是内部控制评价的专家，他们也许并不了解自身在内部控制评价中的作用和职责，不知道如何有效地沟通和表达自己的观点，这些都需要在正式的讨论前对员工进行培训。（3）组建评价工作小组。开展内部控制自我评价应当组建评价工作小组，作为内部控制评价的“指挥中心”。小组的成员应当吸收组织内部熟悉情况的业务骨干参加，例如企业的高级管理人员、内部审计师、引导人员、关键控制点的工作人员等等。（4）召开研讨会。在拟定评价方案、组织完相关培训以及组建好评估小组后，管理层开始在内部审计师的帮助下召开研讨会，对内部控制的恰当性和有效性进行评价。（5）出具报告。研讨会之后，评价小组要编制报告以反映整个研讨的过程。内部控制自我评价报告是一个成果性的文件，它是由评价小组成员根据研讨会的结果，针对发现的问题和解决措施而编制的书面报告。在报告中应写明控制的缺陷、相关的责任人以及改进时间。（6）执行改进措施。对控制进行评价的最终目的是为了发现问题，进而改进问题。在评估报告中指明了控制缺陷、相关的责任人以及改进时间后，内部审计师就要充分发挥其监督的作用，跟进控制的改进过程，真正把问题的解决落到实处。内部审计师推动自我评价应该具备的素质内部审计师必须认识到，虽然掌握一定的技术对于推动内部控制自我评价具有重要的意