内部控制自我评估之浅探
摘要:内部控制自我评估(CSA)是新兴的审计技术和方法,在西方发达国家公司内部控制管理领域广泛运用。在介绍内部控制自我评估(CSA)的含义与意义的基础上,探讨了其方法,并结合企业的实际情况指出了实施内部控制自我评估(CSA)的要点以及应注意的问题,以使企业更好地实施内部控制。
关键词:内部控制;CSA;方法;要点
内部控制自我评估(CSA)是指企业内部为实现目标、控制风险面,定期或不定期地对内部控制系统的有效性和恰当性实施自我评估的方法。CSA的基本特征是:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展评估活动。设计CSA的目的是使企业管理者了解内部控制存在的缺陷以及可能引致的后果,然后让他们自己采取行动改进这种状况。研究表明,实施CSA对于一个企业加强管理,提高劳动生产率,改进内部稽核程序和业务经营程序以及控制风险等都有积极的作用。
一、内部控制自我评估的作用
(一)内部控制自评为企业提供了一个管理控制风险的工具,保证内部审计人员和管理人员共同对风险进行控制。内部控制自评,对企业而言,这是综合地控制企业的各方面,包括相关的社会效益,使企业对内部控制有一个更全面的了解。不仅要考虑对发现的问题如何改进,促进各部门更有效地履行责任,还要使控制措施便于理解,使董事会更了解管理的情况以及风险。同时,也降低了审计成本,使内部审计达到更好的效果。
(二)通过内部控制自我评估,使内部审计人员不再仅仅是“独立的问题发现者,而成为推动公司改革的使者”, 将以前消极的以“发现和评价”为主要内容的内部审计活动向积极“防范和解决方案”的内部审计活动转变,从事后发现内部控制薄弱环节转向事前防范,从单纯强调内部控制转向积极关注,利用各种方法来改善公司的经营业绩。同时,利用控制自评可以让审计师获得更多内部控制方面的信息,从而提供更全面、更客观的审计报告,以利于有效地运用有限的审计资源。审计师利用控制自评方法还能提高审计效率和质量,并且能收到在传统审计程序中无法取得的信息。
(三)通过内部控制自我评估,可以发挥管理人员的积极性。他们可以学到风险管理、控制的知识,熟悉本部门的控制过程,发现当前管理控制中存在的问题,也向高层管理部门表明他们对现存内部控制的态度,明确管理责任,保证企业内部有良好的人员分工,使其更好地履行职责;同时,也让管理部门了解到对内部控制的责任。这样,使风险更易于发现和监控,纠正措施更易于落实,业务目标的实现更有保证。内部审计人员广泛接触各部门人员,和各管理部门建立经营伙伴关系,有利于共同采取措施防止内部控制薄弱。
二、内部控制自我评估的方法及其适用性
(一)研讨会法
研讨会法是指把管理当局和员工召集起来就特定的问题或过程进行面谈和讨论的一种方法。通过这种形式可以使组织中不同层次的成员都了解内部控制系统的哪些环节存有缺陷以及可能产生的后果,然后让他们自己主动采取行动去改进这种状况,而不是被动地坐等会计人员来检查。实施控制自评的方法对于一个企业加强管理、提高劳动生产率、改善控制环境、改进业务流程以及控制风险等都有着积极的作用。
(二)问卷调查方法
问卷调查表是调查者根据被调查单位的业务类型、经营类型、交易循环状况、内部控制制度情况等,把内部控制制度中的必要事项,特别是与确保会计记录的正确性和可信性以及确保资产的安全完整有关的一切事项作为调查项目,系统地列示出来,并反映在一种表格上,这种表格就是内部控制调查表。在该表中应设置“是”、“否”或“有”、“无”、“不适合”、“备注”等栏目。调查者利用问卷调查表要求受访者按照表格的要求填写回答的内容;或根据调查项目,直接要求受访者回答问题;最后,利用调查结果来评价他们的内部控制系统。这种方法既是调查内部控制制度,获取必要信息资料的重要工具,也是评价内部控制的重要方法。
(三)管理结果分析法
管理结果分析法是指除上述两种方法之外的任何CSA方法。通过这种方法,管理当局布置工作人员学习经营过程。CSA引导者(可以是一个内审人员)把员工的学习结果与他们从其他方面如其他经理和关键人员收集到的信息加以综合。通过综合分析这些材料,CSA引导者提出一种分析方法,使得控制程序执行者能在他们为CSA做出努力时利用这种分析方法。
三、实施内部控制自我评估的要点
内部控制是由内部环境、风险评估、控制活动、信息与沟通、内部监督这五大要素构成的。企业在开展内部控制自我评估时就应该对应这五大构成要素进行全面系统、有针对性的评估。
(一)内部环境评估
内部环境是企业实施内部控制的基础。任何企业的内部控制都是在特定的内部环境中实施的,内部环境不但直接影响内部控制的建立,还直接决定内部控制实施的效果。内部环境一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
内部控制自我评估在进行内部环境评估时重点关注治理结构是否形同虚设,机构设置是否重叠,权责分配是否明晰,人力资源政策和激励约束机制是否科学合理,企业文化是否促进员工勤勉尽责等。
(二)风险评估评价
风险是指对企业达到自身经营目标和执行战略产生不利影响的威胁,通常由发生的可能性和产生影响的程度两个要素组成。企业面临风险会对其实现既定目标产生影响。风险评估是企业为及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
内部控制自我评估关注风险识别的充分性;风险分析的恰当性;风险应对策略的充分性、有效性。
(三)控制活动评估
控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
控制措施的实施就形成了内部控制制度,这是内部控制自我评估的重要内容。评价不相容职务分离控制的实施,内部控制自我评估应当系统分析业务流程中的控制点,关注企业内岗位职责的设定,是否存在相互制约的控制点被安排在同一岗位的职责中;评价授权审批控制的实施,内部控制自我评估对企业编制的常规授权权限指引进行审查,看企业的各项业务流程是否都合理安排授权、审批程序;对会计系统控制的评价一直就是内部控制自我评估的基本内容之一;内部审计通过对财产的记录、盘点资料、报表等定期或不定期进行重点抽查,审查相关手续、记录是否完整,账务处理是否及时正确来评价企业财产保护措施实施情况;内部控制自我评估关注企业预算控制的有效性,一方面是预算编制的可行性、准确性,另一方面是可行准确的预算得到了切实的执行;内部控制自我评估营运情况分析制度的有效运行,关注其是否能合理分析企业获取的各类信息,改善企业运营状况,将风险控制在可承受度之内;人是内部控制自我评估制度的主体,各种控制措施都需要具有相应素质的人员来执行,如果人员素质不符合要求,控制措施就会失效,因此,内部控制自我评估要关注企业是否建立科学有效的绩效考评制度,是否以考评结果为依据决定企业员工的岗位安排。
(四)信息与沟通评价
信息与沟通是企业及时、准确地收集、传递与内部控制自我评估相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。信息是企业的资源,是企业各种经营管理行为的依据,信息的质量对管理层能否作出恰当的经营管理决策具有重大影响。充分、及时的沟通有助于管理当局了解经营活动存在的问题,客观地评价各部门的工作。迅速采取有效的管理措施来保证企业经营活动的健康运行。
信息与沟通评价主要包括企业获取及处理信息的能力。内部控制自我评估要对企业信息系统的健全性、有效性和安全性进行审查与评价,关注反舞弊机制的有效运行,举报投诉制度和举报人保护制度的建立健全。
(五)内部监督评估
内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。内部控制是一个动态管理过程,随着时间的推移和环境的变化,曾经有效的内部控制可能会变得无效,因此,对内部控制的制定、执行及效果需要进行跟踪式的监督与评价,以便满足管理当局根据环境变化适时调整内部控制系统的需要,确保内部控制系统完整、有效。内部监督评估主要就是评价监督机制是否执行并有效。
四、企业进行内部控制自我评估时应注意的问题
(一)评估组织文化,适当选择CSA方法
作为一种发展中的新方法,CSA方法的成功与员工的有效参与直接相关。员工的反应与接受能力在很大程度上是一个企业组织文化的函数。企业组织文化反映了管理当局对CSA指导原则的态度。只有在一个结构化的环境中,CSA过程才能得到充分彻底的支持并得到不断重复以求改进。CSA执行者应该基于对组织文化的分析结果来选择CSA的方法。在公司文化不支持参与式CSA方法的情况下,问卷调查和内部控制分析会有助于改善控制环境。另外,在选择实施CSA时执行者还应当就以下问题进行决策:组织中实施CSA的分部;需要考虑的职能或目标;评价过程具体应当包含的层次(车间、分区、分部等)。
(二)发挥内部审计人员的作用,形成内部控制评价合力
虽然内部控制评价结果可以指导确定审计的范围、重点和方法,但这种指导仅限于质的方面,也就是帮助审计人员确定审计项目的范围和重点。在具体项目的审计中,评价结果无法从量上指导审计人员确定审计范围。目前,我国审计人员处理这种情况还只能依靠自身的经验判断和制约判断,这样必然会导致审计风险的扩大,与内部控制评价的初衷相违背。因此,为了充分利用评价结果、发挥内部审计人员的作用,不论CSA 过程是由内部审计部门还是管理经营当局来实施,内部审计人员都应当持续监控并参与CSA,使内外部审计和CSA在内部控制评价方面形成合力。
综上所述,CSA是适应新控制模式的评审方法,它既是内部控制的一部分,又是内部控制的再控制。通过CSA的执行,企业相应的控制程序和政策得到体现与强化,员工对流程运作更加熟悉,开始强调顾客服务、产品质量、安全性、环境等非财务领域的重要性与质量控制与内部控制整合成一个体系,组织各部门员工加强沟通等,这一切帮助实现内部控制的整体增值。
参考文献:
[1] 陈红。内部控制评估在会计报表审计中的运用[J].中国乡镇企业会计,2009,(3)。
[2] 周涛。论CSA在内部控制三维立体框架评估中的作用[J].交通会计,2009,(3)。
[3] 陈吉东。如何实施内部控制的自我评估[J].财会月刊(理论),2007,(12)。
[4] 刘素珍。关于企业内部控制的自我评估的思考[J].现代商贸工业,2008,(7)。
[5] 孙曼丽,杨明。控制自我评估[J].企业管理, 2007,(5)。
[6] 林新岳。浅析我国上市公司内部控制的自我评估[J].中国集体经济,2009,(3)。
[7] 张国昀。美国萨班斯法案框架下的内部控制的自我评估体系的探讨[J]财会学习,2007,(11)。
[8] 李玉环。内部控制中的风险评估[J].会计之友,2008,(10)。
[9] 杨有红,胡燕。试论公司治理与内部控制的对接[J].会计研究,2009,(10)。
[10] 林朝华,唐予华。CSA:内部控制系统评价的新观念与新方法[J].上海会计,2009,(1)。