一、內部控制理論的發展
企業內部控制是企業發展和組織效率提高需求的產物,隨著企業組織形態進化、社會環境變化而不斷深化。從公元前3600年以前的美索不達米亞文化時期,到公元后20世紀90年代,內部控制理論的初步形式得到不斷地充實、完善,逐步形成成熟的理論體系。1992年9月,美國COSO委員會(CommitteeofSponsoringOrganization)發布的指導內部控制實踐的綱領性文件COSO研究報告——《內部控制——整合框架》(InternalControl-IntegratedFramework)堪稱內部控制發展史上的里程碑。COSO委員會指出,內部控制是由企業董事會、經理階層以及其他員工實施的,為財務報告的可靠性、經營活動的效率和效果、相關法律法規的遵循性等目標的實現而提供合理保證的過程。COSO報告提出了內部控制整合框架構成五個相互要素,即控制環境(ControlEnvironment)、風險評估(RiskAppraisal)、控制活動(ControlActivity)、信息與溝通(1nformationandCommunication)、監控(Monitoring)。
隨后,COSO委員會于2004年9月正式公布的《企業風險管理——整合框架》(EnterpriseRiskManagement-IntegratedFramework,簡稱ERM框架)又為內部控制在超越階段提供了理論創新。ERM框架對內部控制的內涵進行了拓展,在目標和內容上進行提升,特別是與風險管理實現融合。該框架指出,企業風險管理是一個由企業的董事會、管理層和其他員工共同參與的,應用于企業戰略制定和企業內部各個層次和部門的,用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的,為企業目標的實現提供合理保證的過程。
內部控制以注冊會計師關注企業報告真實性、可靠性為發端,不斷融合企業管理中的相互牽制、自身糾錯防弊機制以及會計和業務管理相結合的企業營運管理,直至發展為關注企業整體控制體系以及風險管理,進而提高企業價值的理念體系。
二、內部控制自我評價的涵義
隨著企業的不斷壯大,主體結構或發展方向、員工人數及素質、生產技術或流程等方面會相應地變化。企業風險管理的有效性也受時間的影響,曾經有效的風險應對可能會變的不相關、控制活動可能不太有效甚至不被執行。面對這些變化,企業管理層需要實施必要的監督檢查來確保內部控制的持續、有效運行。因此,監控這一要素逐漸被理論研究者和實踐工作者所重視。
監督控制,是指企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面檢查報告并作出相應處理的過程,包括日常的管理監督活動、內部審計及與外部團體進行信息交流。企業應當利用信息與溝通情況,提高監督檢查工作的針對性和時效性;同時,通過實施監督檢查,不斷提高信息與溝通的質量和效率。
內部控制自我評價突破傳統審計的理念,由內部審計師和業務流程的具體操作者共同對其內部控制狀況定期進行有效評估,為監督控制活動另辟新徑。不少成功的案例的顯著表明,內部控制自我評價可以有效改進企業內部控制制度,極大提升風險認知和管理能力,普遍受到管理層和全體員工的好評。因此,對內部控制狀況展開全面、系統地評價就成為各大企業內部控制工作之重。
內部控制自我評價(ControlSelfAssessment,簡稱CSA),簡單來說就是企業不定期或定期地對其內部控制系統進行評價,評價內部控制的有效性及其實施的效率效果,以期能更好地實現內部控制的目標。內部控制自我評估是被用來評價企業關鍵經營目標、圍繞該目標實現的風險和為管理該風險而設計的內部控制等的一套新興的審計技術方法體系。
三、內部控制自我評價的基本特征及結構
控制自我評估的核心理念在于“參與了風險評估的過程并進行了全過程的控制的人才有能力對控制做出有效評價”。顯然,進行了全過程的控制的人涵蓋企業所有員工。因此,內部控制自我評價特別強調指出,內部控制系統既不是內部審計工作的責任,也不僅僅是高級管理層應關心的問題,相反,應該把它看作是所有雇員共同的責任。內部控制自我評價的基本特征包括:參與人員從內部審計人員到業務流程具體執行人員,從業務部門到職能部門,從管理層到作業層員工;評價內容關注業務流程和控制成效;評價方法采用系統化的方法。
完整的內部控制自我評價結構包括以下幾個方面:
1.前期計劃和前期審計工作。取得管理層的支持,組織評價小組,并對相關部門中高級管理者和評價小組成員進行講解和培訓。通過訪談和穿行測試,確定了內部控制評價范圍,設計并發放調查問卷;通過反饋的問卷,分析內部控制的薄弱環節,列入研討會討論重點。
2.組織人們在同一時間或同一地點開會,甚至包括有利于交流和活動的座位安排(U字形會議桌)和會議設施,參加人員是管理者--直接涉及檢查中的具體問題的管理人員和其它職員,他們對這些問題最了解,對于適當的程序控制的實施具有重要作用。
3.結構化的議事日程以使參加人員檢查過程的風險和控制。通常這些議事日程都要擬定良好的框架或模型以便確保參加者發現所有的問題。模型可集中于控制和風險上,也可集中于該項目的理論問題上。
4.可以有選擇地聘用一位書記員對各階段的現場工作進行記錄以及處理電子投票的技術問題以使參加人員可以不記名地發表自己的感想。
5.報告和實施行動計劃。因為被審計者要對自己的風險和控制活動進行評估,所以也經常用到讓過程的負責人填制調查表的方式。但是這種方法不如把人們集中起來開會討論風險和控制問題更具創新性。然而,為研究起見,控制自我評估指的是研討會方法或更為便利的方法。其他的一些方法是指以調查為基礎的自我評估(這種區別的目的在于界定研究的主題,而不是肯定或批評一種方法)。
四、內部控制自我評價主要采取的方法
內部控制自我評價主要采取研討會法、問卷調查法和管理層分析法三種方法。
1.研討會法是一種從代表組織不同層次尤其是風險薄弱環節的工作組中收集內部控制信息,召集盡可能多的業務人員共同分享信息、討論問題的方法。研討會法不同于一般的會議,它本身不進行任何決策,只提供評價及改進意見。研討會在具有經驗的引導師(Facilitator,通常由對內部控制有一定認識的人擔任)的引導下,對內部控制、風險等進行評價并提出改進意見。引導師應接受過有關內控制度設計和一般的簡約化技能(facilitationtechniques)的訓練,他并不參與討論或對討論的具體內容表示肯定或否定態度,其角色是引導工作坊的人員圍繞工作目標、內部控制和風險等問題作出討論。引導師只為參與者提供內部控制、風險管理等概念,確定CSA的討論方法,確保參與者均能自由地發表意見。研討會一般沒有高級管理人員參與,避免參與者因為有高級人員在場而怯于發表意見。
2.問卷調查法是一種用于只需簡單回答為是/否或者有/無的調查工具。業務流程的具體操作者使用調查結果去評估他們的控制結構。
3.管理層分析法是任何不使用上述兩種方法的方法。通過該方法,管理層可生成一種業務流程的全員研究。CSA專家(可能是內部審計師)將研究結果與其他經理和關鍵人物收集的信息結合起來。通過綜合這些素材,CSA專家開發出一種業務流程的具體操作者在其CSA中可以運用的分析框架。
國際內部審計師協會(IIA)建議執行一項組織分析來決定如何有效地接受和支持參會者實事求是的發言,如果組織文化屬支持性的,IIA推薦采用研討會法;如果組織文化不屬于支持性的,那么調查問卷的回復和管理層對內控制度分析能夠強化控制環境。
五、研討會法的具體工作形式
CSA研討會主要有基于控制、流程、風險和目標的四種基本形式。在實踐中,企業往往同時使用一種以上的形式組合。
1.基于控制的研討會形式
該形式研討會重點關注內部控制的實際運行狀況,即內部控制執行的有效性。CSA專家從高級管理層的視角決定內部控制的目標、技術和運用的程序與方法。通過研討會,企業管理層可以了解內控制度的實際運行情況,與內控制度設計預期達到的運行效果進行比較分析,確定差異,尋求改進措施。
2.基于風險的研討會形式
該形式研討會重點關注風險識別和風險管理。該形式研討會容易為正確行動識別出顯著的剩余風險,也較其他方法更易做出全面的自我評估。該形式研討會一般遵循以下步驟:首先分析在設定目標中存在哪些風險,然后再探討利用什么內部控制來管理這些風險,最后分析內部控制運行后的重大剩余風險。例如,銷售與收款業務控制目標之一是減少應收賬款壞賬率,研討會重點討論相關風險,即存在什么情況使目標無法達到。在此基礎上,制定相應的內部控制程序。然后,研討會進一步分析在控制程序執行后應收賬款仍無法回收的可能性,即顯著的剩余風險。
3.基于流程的研討會形式
該形式研討會重點檢查所選擇過程內的執行活動情況。該研討會的意圖是評價、更新或改進選擇過程。除確定評估目標外,專家也決定哪些流程能在研討會召開之前很好地滿足關鍵經營目標實現的需要。該研討會形式具有比基于控制的研討會形式更加寬廣的分析幅度,能夠使流程再造的努力或團隊積極的質量行動更加有效。
4.基于目標的研討會形式
該形式研討會重點關注完成目標的最優途徑的選擇方面。目標是否由專家決定不得而知,但來自工作團隊的顯著投入卻是最主要的。研討會的目的是確定是否選擇了最佳的內控技術,是否這些技術在可接受的剩余風險水平下得到有效的運行。
內部控制缺陷報告是監督控制活動的重要組成部分,企業對在監督檢查過程中發現的內部控制缺陷,應當采取適當的形式及時進行報告。內部控制自我評價的意義也正是體現于評價結果向管理層及時、準確的反饋過程。
參考文獻:
[1]嚴復海,黨星,嚴文虎;風險管理發展歷程和趨勢綜述[J];管理百科;2007年02期
[2]張諫忠,吳軼倫;內部控制自我評價在寶鋼的運用[J];會計研究;2005年02期
[3]周志和;控制自我評估(CSA):問題與對策[J];懷化學院學報;2006年06期
[4]陳新寧;內部控制自我評價與公司治理[J];商場現代化;2006年24期
[5]桑向陽;控制自我評價CSA:企業管理新理念[J];中央財經大學學報;2004年01期
