一、CSA及其产生背景
控制自我评估(CSA)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。国际内部审计师协会(IIA)在1996年的研究报告中总结了CSA的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。有人则还把它理解为评估企业内部风险、机遇、强势与弱势的广义概念。CSA也被称为管理自我评估、控制和风险自我评估、经营活动自我评估以及控制/风险自我评估等。其中控制/风险自我评估(CRSA)的提法,在加拿大还得到了加拿大标准协会(Canadian Standards Association)的认同。
CSA最早在1987年由加拿大海湾(Gulf Canada)公司首次提出。促成该公司实施CSA的环境因素主要有两个:(1)一项法庭判决要求该公司报告内部控制;(2)传统审计程序在解决油和气的计量问题方面碰到了困难。会计人员和审计人员决定召开引导会议(facilitated meeting)来说明双方的问题。他们发现这种方法是一种比一对一审计访谈更为有效的实现其目标的方法。于是,在接下来的十年之中,该组织不断使用CSA来评价和改进它的内部控制系统。
虽然CSA最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。此后,一些国家发布的有关内部控制的报告,均以COSO报告为模本。我国的《内部会计控制规范》和巴塞尔银行监管委员会的《银行组织的内部控制系统框架》也是以COSO报告为基础的。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理,高层经营理念与管理风格,职业道德,诚实品质,胜任能力,风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSA得到了普遍的信赖。
如今,世界上越来越多的公司和其他组织已经或正在实施一些成功的CSA计划。例如美国联邦存款保险公司(FDIC)和加拿大存款保险公司(CDIC)要求美加金融机构据以评价内部控制。世界银行专门出版了一本有关CSA实施经验的书。为了适应这种潮流,安永、德勤等会计师事务所也都各自开发了CSA实施软件;国际内部审计师协会也专门成立了CSA中心。可以说,在国际上已经掀起了一股CSA热。
二、CSA带来内部控制系统评价的革命
由于CSA一开始便表现出对软控制的强大评价效力,所以,早在1995年8月IIA召开第一届CSA会议时,与会者中就有83%的人认为CSA将给内部审计业带来革命性的变革。CSA所带来的内控评价变革可概括为以下五个方面:
1.有效进行软控制的评价。可以有效地对软控制进行评价是CSA优越于传统的内部控制评价方法的首要之处。以美国的SEC为例,为了实现其保护投资者利益的目标,诸如员工的职业道德与专业胜任能力等软控制较之硬控制显得重要得多。如果实施CSA,把管理人员和其他员工召集起来讨论职业道德并对其是否可以成功达到目标进行评估,引导小组的成员就可以甄别现存信息沟通过程的成功之处与潜在障碍,并提出相应的改进建议。
2.提升控制环境。按照新的内控理论,内审人员不再是内部控制的唯一责任主体,企业的所有成员都对内部控制负有相应的责任,利用CSA可以起到有效教育并帮助管理人员明确并愿意承担其责任的作用。对此,美国西雅图市的审计人员Scottie Veinot说:“如果没有CSA,我将不得不寻找一种有效途径来对有关人员进行内部控制培训,现在好了,CSA帮我完成了这一切,它在我的组织当中起到了角色转换的使者和教育者的作用。”另外,CSA还能通过影响一般员工来对控制环境产生积极的贡献。因为当一般操作人员参与CSA过程时,他们不仅学会了对内部控制进行持续的日常评估,而且提高了控制意识。管理人员或工作组其他人员参与评价内部控制、评估风险,对所发现的薄弱环节提出行动计划,评估经营目标完成的可能性。从而提高他们对组织目标以及内部控制在实现这些目标中所起到的作用的认识,激发他们认真设计和执行控制程序,并不断改进控制程序,做到了全员评价、全员控制,实现了内部控制的质的飞跃。
3.尽快找到并解决问题。利用CSA,常常可以比传统的内部审计更容易找到问题并提出解决问题的方法,特别是那些跨部门的问题和表面上看起来不可能的问题。多伦多帝国寿险理财公司的高级顾问Michael Pidzamecky举了这方面的典型例子。他曾就职的天然气公用公司利用传统的内部审计方法一直无法找出未能准时支付供应商款项的问题,后来他们采用了CSA技术,组织了一个包括会计、审计、营销、信息技术、燃气控制、燃气供应、人力资源以及其他一些部门共20人的小组,所有的参与者都提出了各种可能的原因:培训的、沟通的、信息系统的、营销的等等,并对主要原因进一步寻找子原因。这样,采取“鱼骨图”(fishbone)模型来分析,当鱼骨图画好之后,他们就找到了问题的根本:公司要求经过五次签字的付款授权政策本身过于耗时。找到了原因所在,解决问题的办法当然也就垂手可得。
4.预测并控制风险。通过CSA,一个组织还可以提高某经营单位在设计和保持控制与风险系统中的涉及度,甄别风险暴露情况并决定正确的行动,从而为内部控制增加价值。CSA执行者可以首先与其员工进行面对面访谈,然后与工作组的成员们详细讨论,把讨论结果诸如目标、成功的障碍、风险、现有的控制与所必需的控制等,形成一个电子数据模板,并根据其发生的可能性与影响程度对风险进行加权平均,排成高风险区、中风险区和低风险区。这样,各相关部门便可以根据此电子数据模板有的放矢,采取措施,将来还可以据此进行持续重估。加拿大安大略省布兰登市的审计人员David Young总结了这方面的经验:管理人员及员工学习并掌握了CSA对风险的排序,他们便会提高责任心,在他们的部门中分配资源以减少最危险的风险。
5.使内审更具效率与效果。通过CSA,内部审计和经营人员合作起来对经营活动进行评价。由于依靠经营人员在CSA中的活跃参与,减少了收集信息的时间和审计中所需执行的验证程序,参与CSA的人员对经营过程能了解得更为彻底。因此,这种合作提高了内部审计人员可获信息的数量和质量,把审计人员从对立者、监督者转换为企业发展的参与者、推动者。IIA建议通过内部职能把审计人员、CSA引导者和参与者这三者之间的互动结果加以综合利用,来为组织增加较大价值。它支持用CSA来:(1)扩大给定年度中内部控制报告的覆盖范围;(2)通过对在CSA结果中注意到的高风险和非正常项目进行复核来确定审计工作目标;(3)通过把纠错行动从所有者方面向雇员方面转移的办法来提高纠错行动的有效性。
三、CSA方法及其选择
西方国家在实践中已经发展了多至20余种的CSA方法,但从其基本形式来看,主要有三种,即:引导会议法、问卷调查法和管理结果分析法。
引导会议法是指把管理当局和员工召集起来就特定的问题或过程进行面谈和讨论的一种方法。它从代表一个组织多种层次的工作组(work teams ofworkshop)中收集有关内部控制的信息。CSA引导会议法又有四种主要形式:以控制为基础的、以程序为基础的、以风险为基础的和以目标为基础的。(1)控制基础形式主要关注已有的控制的实际执行情况,也可能包括在工作组之外的内控设计决策。在这种形式下,CSA引导者可以结合高层管理当局的主要意图确定目标和控制技术,并对控制的执行情况与管理当局关于内控执行方面的意图之间存在的差距进行分析。而且,这种形式在检查软控制如管理当局的诚实性等方面是比较有效的。(2)程序基础形式是对所选程序的业务执行情况进行检查,这种工作组的意图是评价、更新所选取程序或使所选程序呈流水线性。除确定评价目标之外,CSA引导者还要在引导会议之前确定最能实现关键经营目标的程序。程序基础形式可能比控制基础形式具有更宽的分析范围,而且可以被有效地用来与质量行动小组的倡议联合行动。(3)风险基础形式注重甄别与管理风险。这种形式检查控制活动以确保其控制关键的经营风险。这种形式更易于甄别主要剩余风险以便采取纠正行动,而且,与其他方法相比较,这种形式可能带来更全球化的自我评价。(4)目标基础形式关注实现目标的最好方法。目标可能由引导者确定,也可能不由引导者确定,重要的是要从工作组那边获得重要的输入信号。工作组的目的是弄清最好的控制方法是否已被选用,这种方法是否有效运行,以及所产生的剩余风险是否在可接受的水平之下。
问卷调查方法利用问卷工具使得受访者只要做出简单的“是/否”或“有/无”的反应,控制程序的执行者则利用调查结果来评价他们的内部控制系统。
管理结果分析法是指除上述两种方法之外的任何CSA方法。通过这种方法,管理当局布置工作人员学习经营过程。CSA引导者(可以是一个内审人员)把员工的学习结果与他们从其他方面如其他经理和关键人员收集到的信息加以综合。通过综合分析这些材料,CSA引导者提出一种分析方法,使得控制程序执行者能在他们为CSA做出努力时利用这种分析方法。
以上三种CSA方法各有其适用情况,目前西方用得比较多的是引导会议法。在该方法下,引导人员(facilitator)应受到一般的引导技巧和内部控制系统设计方面的培训,具有高素质的软性能力,以便引导参与人员研讨、分析,并写出评估报告,提出改进措施。引导人员还应对企业外部的机遇与风险进行分析,以决定采取最为恰当形式的引导会议或结合使用多种形式。然而,引导会议法的效果在一定程度上取决于企业的组织文化是否支持和鼓励员工的诚实反应。
四、在我国运用CSA应注意的几个问题
在现代经济生活中,控制结构的非正式性和灵活性已经越来越高,这就要求大部分组织采取更强有力的控制监控技术。CSA作为一种有助于管理当局和内部审计人员判断内部控制质量的方法,也许是一种能达到这种目标的工具。在我国,公司内部控制不如人意已是不争的的事实,红光、琼民源、郑百文、深华源、银广厦等业已暴露的上市公司违规事件几乎都与内部控制特别是控制环境弱有着千丝万缕的联系。所以,现阶段我国企业界在建立公司治理、强化内部控制建设中,应当适时引进CSA方法,既加强对软控制的评价,也不断促进控制环境的提升。然而,在具体实施时,应当注意以下几个方面的问题:
1.评估组织文化,适当选择CSA方法。作为一种相对比较新的发展中的方法,CSA的成功与员工的有效参与直接相关。他们的反应和接受能力在很大程度上是一个企业组织文化的函数,组织文化反映了管理当局对CSA指导原则的态度。在一个结构化的环境(structured environment)中,CSA过程才能得到充分彻底的支持并得到不断的重复以求不断改进。CSA执行者应基于对组织文化的分析结果来选择CSA方法和形式。在公司文化不支持一种参与式CSA方法的情况下,问卷调查和内部控制分析会有助于提升控制环境。另外,在选择实施CSA时,执行者还应当就以下问题进行决策:(1)要在组织的哪一分部实行CSA;(2)需要考虑哪些职能或目标;(3)评价过程具体应包含哪个层次(车间、分区、分部等等)。
2.发挥内审人员作用,形成内控评价合力。关于内审人员在CSA中的作用问题,有两种不同的看法。有些CSA参与者认为,CSA应包含内部审计,视内部审计为CSA的恰当驱动者;还有一些CSA参与者则认为,CSA只能由经营管理当局或工作小组来有效执行。我们认为,在我国现阶段,为了确保各相关集团的利益得到保护,不论CSA过程是由内部审计还是经营管理当局来驱动,内审人员都应持续监控并参与CSA,使内、外部审计和CSA在内控评价方面形成如下图所示的合力。
3.借鉴西方经验,避免有关陷阱。尽管CSA在西方已经广受欢迎,然而,在实践中,人们同样积累了很多经验教训。安达信公司的研究人员R.P.Tritter和D.S.Zittnan总结出CSA的五大陷阱,它们是:CSA引导人员选择失当;策划过程过于简单化;在发动CSA的过程当中好大喜功;缺乏管理人员的支持;限定CSA的实施范围从而使其潜力受限。
为了避免这些陷阱,我们应当注意以下几个方面:(1)选择恰当的人员来充当CSA的引导者,这是关键的一步。对于这样的人来说,光有拔尖的审计能力和良好的一对一访谈技巧是不够的,他还应当乐于与别人合作,善于言谈,并且善于担任一个良好的听众;他应当是充当一个“教练”而不是“警察”。(2)成功的CSA不是简单地把大家召集起来讨论问题,而是要求大量的策划、组织、宣传、总结以及其他一些后续工作;因此,CSA引导者需要做大量的前期工作,并应当事先在工作组中进行“推销”。(3)不要在一开始就希望实施一个大而复杂的CSA计划,一步到位的奢望是不现实的,它只会徒增CSA初始结果不满意的风险;只有脚踏实地,一步一步做起,才会在逐步学习与积累中不断拓展事业。(4)为了成功实施CSA,引导人员不仅要极力说服高级管理层的支持,而且要获得中层和低层管理人员甚至一般员工的支持,因为他们最熟悉情况,在CSA中扮演着关键角色。所以,引导人员的策划与“推销”工作显得尤为重要。(5)CSA引导者不应受到历史上只关注硬控制的惯性影响,而应当充分发挥其潜能,注重对软控制的评价,使有关人员广泛识别组织的优势与劣势,从而有效实施内部控制以不断改进和提高经营的效率。
主要参考文献:
1.Foh,Noreen,Control Self-Assessment:A NewApproach to Auditing,Ivey Business Journal,Sep/Oct 2000,Vol.65.
2.Roth,Jim,Control Model Implementation:BestPractice,The Institute of Internal Auditors Research Foundation,1997.
3.The Institute of Internal Auditors,A Perspective on Control Self-Assessment,1998.
4.Tritter,Richard P.& Daniel S.Zittnan,Control SelfAssessment:Experience,Current Thining and BestPractice,The Institute of Internal Auditors Research Foundation,1997.