学习园地 Organization

学习园地

你现在的位置: 首页 > 学习园地 > 正文

21号准则:《内部审计的控制自我评估法》的解析

发布时间:2007年12月28日 00:00 浏览次数:

21号准则:《内部审计的控制自我评估法》的解析

王光远   严  

一、引言
   内部控制是组织经营活动中必不可少的政策和程序。自从人类有了群体活动,各种形态的内部控制就已存在,并逐渐发展成熟。从内部牵制这一最原始的内部控制形态到内部控制的五要素架构再到COSO委员会新近提出的企业风险管理框架,内部控制的范围及功能日益扩大,同时各类组织的管理层对内部控制的认识也在逐步加深。内部控制是管理层确保风险规避、效益提高、资产安全、信息可靠、目标实现的工具,另一方面管理层也对内部控制的健全和运行负有根本责任。在经历了世界知名企业会计丑闻的震荡及冲击之后,美国政府颁布了《萨班斯-奥克斯利法案》(以下简称SOX法案),其中404条款明确要求上市公司的CEOCFO必须对本企业与财务报告有关的内部控制发表诚信声明,出具评价报告。为保证企业CEOCFO声明的真实可靠,该条款要求注册会计师应对与财务报告有关的企业内部控制系统的有效性进行测试评估。因此,在内部控制系统的构建与评估方面,对企业管理层而言,已不仅是一种管理职责,更成为一种法律的约束。SOX法案颁布后,对上市公司治理水平的要求提高很多,对上市公司信息披露要求也更加严格。这些要求即使对于美国本土上市公司而言也感到了相当的难度,更何况是对刚刚起步的中国企业来说,它们往往还不具备完善的内部控制系统,因而难度也就更大。如何完善组织内部控制系统,如何对其作出客观评价,是管理层面临的新课题。
   在评价并协助组织完善内部控制系统方面,内部审计扮演着重要的角色。内部控制是内部审计传统的对象,内部控制审计是内部审计最基本的业务之一,内部审计人员通过实施审计程序可以对组织内部控制作出客观评价。除了传统的内部控制审计之外,要充分了解内部控制的各个方面,明确关键控制点,客观评价内部控制状况,还可以借助于控制自我评估的方法。这种方法近年来在国外各种类型的企业管理实务中颇为流行。而对于面临SOX法案约束的上市公司管理层而言,控制自我评估更是一种常用的方法。内部审计作为率先开发控制自我评估方法的组织机构,在以各级管理人员(即对内部控制的执行负有责任的人员)作为主体的控制自我评估过程中,发挥着重要的作用。《内部审计具体准则第21号——内部审计的控制自我评估法》(以下简称本准则)就是针对这种方法的具体应用、内部审计人员如何推动其应用加以规范。
    二、控制自我评估的概念与本准则的基本理念
    1、控制自我评估的定义及发展概况
   1987年,加拿大海湾资源有限公司的内部审计人员在常规内部控制审计前设计了一套新方法,他们召集由员工和经理组成的各个小组出席了为期一天的围绕内部控制的专题讨论会,会上各小组畅所欲言,对与他们每天工作直接相关的各项内部控制问题进行了讨论、评价,并提出了改进建议。这一方法就叫做控制自我评估。控制自我评估法的应用带来了意想不到的结果:内部审计由此提高了审计效率;参与控制自我评估的人员由此受到了内部控制方面的教育;内部控制的改进措施由此得到了人们的积极回应;组织管理层对内部控制的了解则更为清晰、深入和及时。
   20世纪90年代中期,控制自我评估法已成为许多企业内部审计实务的一部分,在国际内部审计师协会2002年的调查中,控制自我评估被列作“当前内部审计最佳实务”中的第二位,在“未来将愈加重要的实务”中排名第一。同时,这种方法的应用已从内部审计扩展至其他领域,组织管理层以此为基础发展出风险自我评估、道德自我评估、管理自我评估等新的管理工具。控制自我评估法跨出了内部审计领域,成为一种新型的管理工具。
  对于内部审计而言,控制自我评估法是内部控制审计活动中十分重要的方法。内部审计应当充分了解、熟悉并掌握此方法的应用。控制自我评估法对于我国大部分组织的管理层而言还较为陌生,内部审计人员应当利用其在内部控制领域的专业知识与技能,帮助组织管理层应用控制自我评估法,同时也利用该方法,提高内部控制审计的效率和效果。
   本准则所称控制自我评估,是指由内部审计人员召集负责制定与执行内部控制的组织相关管理人员对内部控制进行评价的过程。控制自我评估法区别于其他内部控制审计方法的特征所在就是这个“自我”,即评估内部控制的主体不再是内部审计人员,而是内部控制的“主人”——对其制定和执行负有责任的管理人员。这样的过程不同于传统内部控制审计中由内部审计人员向这些管理人员收集相关信息与证据。现代内部控制的范围越来越广,变革的步伐也不断加大,要对内部控制作出相对准确的评价,要求实施此项任务的实施者应具有各类知识和专业技术,因此由对内部控制的制定和执行负有责任的管理人员进行评估,可以提供更多有价值的信息。而内部审计借助这样的信息,在之后审查和评价内部控制的过程中就更加有的放矢,有针对性地进行审查,深入挖掘内部控制薄弱环节,提出更切合实际的改进建议。同时,经过控制自我评估后提出的有关改进内部控制的建议相对于单纯由内部审计通过独立审查的方式而提出的建议而言,更能被组织管理层及员工所认可和接纳,而通过这种特殊方式,组织管理层及员工对内部控制的观念及认识都得以深化及提高。
   2、控制自我评估与内部控制审计的关系
  内部控制审计是内部审计工作的重中之重。在中国内部审计具体准则中,已发布的与内部控制审计有关的准则包括第5号《内部控制审计准则》、第12号《遵循性审计准则》、第16号《风险管理审计准则》以及本准则。内部控制审计准则是内部审计人员对内部控制进行审计方面规范的总纲,涉及内部控制的内容、要素以及内部控制审计的基本方法。而遵循性审计准则是将内部控制的目标之一——对组织各方面是否遵守国家有关法律法规和组织内部章程、计划、预算及其他标准等加以展开,针对各种遵循性标准的遵循情况进行审查和评价。风险管理审计则对内部控制中风险管理要素的具体审查和评价加以规范。本准则是对控制自我评估这种独特的方法以及内部审计人员如何运用这种方法协助管理层评估内部控制进行规范,这为整体内部控制审计奠定了扎实的基础。
   一方面,由于内部控制的复杂程度以及范围不断扩大,要在审计时寻找审计重点,提高审计效率就尤为重要。与传统审计活动相比,控制自我评估以互动方式迅速收集重要信息,它并不旨在深入探究问题,而是为内部审计提供一种快速并且通常是可靠的评估结果。另一方面,内部控制包含了五要素:控制环境、风险管理、控制活动、信息与沟通、监督。在这五个要素中,有体现具体内部控制措施方法的“硬控制”,也有体现控制氛围、组织中的人对内部控制的态度的“软控制”。传统内部控制审计中,大部分审计程序的执行都是针对“硬控制”,特别是控制活动方面的内容。而对于控制环境等“软控制”,用传统的检查文件等方法无法进行有效评价。而在当今的各种组织中,“软控制”相对“硬控制”会给组织内部控制造成更大影响。这就是在许多内部控制的理论和实务中特别强调内部控制过程受到组织董事会、管理层及员工影响的原因。内部控制又是动态的,它并非一成不变,对其评价必须强调动态与互动的评估技术的应用。许多组织在内部控制实务中发现,控制的柔性部分及其所具有的动态特征由于过于主观而无法由外部独立观察者单独进行评估,要对其进行有效衡量的可靠途径来自管理层或员工自身的认识,这就是控制自我评估法能在评估“软控制”方面发挥作用的原因。因此,内部审计人员可以应用控制自我评估法,通过内部控制的制定人与执行人自身的评估,确认内部控制审计重点,同时也借助于这个过程感受组织控制环境、沟通等软控制的状况。因此,本准则所规范的控制自我评估法往往在内部审计进行内部控制审查和评价之前应用,可以作为内部控制审计前的必要步骤。许多国外企业内部审计实务表明,在常规内部控制审计开展之前适当应用控制自我评估法,可以节约未来耗费在内部控制审查和评价上的时间。因此,对于内部审计而言,控制自我评估法可以作为内部控制审计的一种辅助方法。同时,这种方法当然也是管理层进行内部控制评估时采用的重要工具。
   3、内部审计人员在控制自我评估中的责任
   本准则第五条及第七条明确说明了内部审计人员在控制自我评估中的责任。归纳起来,就是十个字:召集、组织、协调、记录、督导。
   虽然控制自我评估的主体不是内部审计人员,但内部审计人员在该过程中承担了非常重要的职责:事前的计划、召集以及准备工作;评估过程中的组织、协调、督导以及记录所有相关信息;事后整理工作底稿,提交内部控制自我评估报告,这些工作关系着控制自我评估的成败。内部审计人员首先要确定内部控制评估的主题以及所采用的自我评估方法,做好控制自我评估的计划,在此基础上召集与该主题相关的管理人员进行控制自我评估。召集工作旨在为控制自我评估做好准备,包括内容、主题以及方式,更需要为参与者消除心理上的顾虑,因此需要内部审计人员就控制自我评估方法的应用向参与者做事先的宣传。在控制自我评估进行的过程中,内部审计人员需要组织好整个过程,如果是用专题讨论会,需要确定适当的时间及地点,并安排好会议议程。由于内部控制自我评估过程涉及不同管理人员从自身角度出发对内部控制发表意见,因此该过程中难免会出现意见相左的情况,此时需内部审计人员进行协调,以避免可能导致的冲突。另外,内部审计人员应当做好控制自我评估过程中的记录工作,这是出具控制自我评估报告的依据,同时也是在此之后进行内部控制审计的重要参考。本准则第七条还对内审机构负责人在控制自我评估中的职责作了规定:内部审计机构负责人应当担任控制自我评估的召集人,并加强对控制自我评估过程的督导。由于控制自我评估涉及到组织其他职能部门的管理人员,因此内审机构负责人应当在控制自我评估的召集中承担领导责任,协调多方关系,确保控制自我评估的顺利进行。虽然控制自我评估的主体是管理人员,但内部审计机构负责人必须在内容、形式、主题等方面对此过程进行必要的监督和指导,以实现控制自我评估的目的。
   三、控制自我评估的内容、程序及方法
  1、控制自我评估的内容
  控制自我评估的对象是内部控制,这是个很大的范围,包含很多方面。既可以针对某个职能部门具体控制措施进行,也可以针对整个组织范围的控制环境因素进行。在此之外还可以延伸到更大的范围,例如:风险的识别分析、流程的简化与设计等。本准则第六条列示了控制自我评估的主要内容:确定组织整体或职能部门的目标,识别其主要风险;评估组织内部控制的适当性、合法性及有效性;确认内部控制重大缺陷或存在严重风险的业务环节;评估组织非正式的控制及其有效性;评估组织的业务流程及其运作效率;对控制自我评估中发现的问题提出改进建议。
   上述内容归纳起来,主要涉及:目标的确定、风险的识别、现有内部控制的评估、流程的评估以及问题的改进。这些内容从逻辑上是前后贯穿的一条线,表明了组织自上而下,从抽象到具体的管理过程。首先确定目标,可以针对组织整体目标或具体目标评估目标的现实性与适当性,是否需要调整;其次根据确定的目标识别各种风险,评估风险的严重程度;接着评估现有内部控制的设计及运行的适当性、合法性和有效性,包括正式的控制(组织以制度方式作出规范的控制)及非正式的控制(组织没有正式规范,但是在经营过程中自然形成的惯例),确认控制薄弱环节,关键控制点;还可以评估为实现该目标而设计的业务流程的运作效率。在此基础上集思广益,考虑改进弱点和低效率环节的措施及建议。控制自我评估可以针对上述全过程展开,也可以针对任一环节具体展开。
    2、应用控制自我评估法的程序
   控制自我评估在实务中应用一般按照以下程序进行:计划——沟通——执行——反馈。
控制自我评估法的应用需要有详细的预先计划,这一计划的内容包括:评估的主题、内容、采用的方法及形式、参与的对象、控制自我评估的时间和地点等。凡事预则立,不预则废。在内部审计中运用控制自我评估法时,评估的主题和内容应当根据内部控制审计的需要加以确定。而管理层自身进行具体的控制自我评估时,内部审计人员可根据管理的需要,法规的要求等帮助其确认评估主题和内容。然后根据控制自我评估的主题、内容,结合组织行业特性、组织文化、管理风格、员工素质等灵活选用适当的方法,确定参与的对象,并选择适当时间及地点做出完整的控制自我评估计划,其内容涉及:需要管理人员讨论并作出判断的具体问题清单、评估时间地点安排、评估过程的步骤和程序及相应花费的时间、详细的参与对象名单、评估过程中需要配备的设施等。计划是否充分、适当是控制自我评估成败的关键因素。评估的主题、内容、采用的方法和形式不恰当,将会使控制自我评估失去意义,无法提供高级管理层与内部审计人员相关、可靠的信息,浪费组织资源。参与评估的人员不合适则会导致评估结果与实际的情况不相符合,会误导高级管理层及内部审计人员。控制自我评估的时间和地点的选择也非常重要,要选择对于所有参与人员而言都较为便利的时间,不能选择参与人员事务非常繁忙的时候进行,同时不能占用太长时间,否则会影响参与人员在进行评估时的心态。如果采用的是专题讨论会法,那么地点的选择也很重要,要选择便于进行集体讨论的不受干扰的会议场所,该场所的座位布置应当让每一个参与讨论会的人员都能在比较轻松、方便的状态下参与讨论及表达意见。
   在控制自我评估开始之前,控制自我评估的组织者或内部审计人员应当积极与参与评估的相关管理人员进行沟通和交流,以便其了解控制自我评估的目的、内容及程序。如果这些管理人员从未参与过控制自我评估,则事前的沟通就尤为重要。它可以让参与人员解除顾虑,有助于营造轻松、坦诚的氛围,从而推动未来的控制自我评估的顺利进行,促进其效果的提高。必要时,需要在组织第一次进行控制自我评估前进行比较长时间的宣传、推介,甚至需要对参与人员进行适当的培训。总之,沟通的目的是为了提高控制自我评估的效果和效率,也是希望管理人员能够对控制自我评估法树立比较正确的认识,以积极、坦诚、合作的态度参与这个过程。
   在控制自我评估的过程中,组织者应当按照计划召集相关管理人员进行评估,并组织好全过程。如果采用专题讨论会方法,组织者应当制定会议议程,分发给与会人员,在会议中承担好三种职责:主持人、协调人、记录人。会议的主持人在开始时需要简要介绍此次会议的议程,并就控制自我评估的目的、内容、程序向与会人员做简要说明,主持人需要营造较为轻松、坦诚、开放式的氛围,鼓励与会者畅所欲言。简要介绍后,专题讨论即开始,此时组织者应当充当听众及记录员,耐心聆听并记录任何参与人员的讨论,不应对任何发言进行评论或限制,以充分激发管理人员的思维。在讨论过程中,如果出现严重跑题或由于观点的不同有冲突的倾向时,组织者应当出面协调,避免造成不愉快,影响会议氛围。在这个过程中,如果是内部审计组织的控制自我评估,那么主持人、协调人及记录人就应当由内部审计人员担任。如果管理层自行组织进行控制自我评估,内部审计应当凭借其在控制方面的知识与控制自我评估方法方面的熟练技能协助其开展,并根据管理层需要承担相应职责。
   控制自我评估结束后的反馈是很重要的一项程序。记录人员应当将控制自我评估过程中相关管理人员对内部控制的意见、建议以及评估结论等记录于工作底稿中。为及时收集信息,在专题讨论会上还可以采取电子投票等方式及时汇总专题讨论会上的投票情况及讨论意见。国外许多企业专门为控制自我评估安排了有表决装置的会议场所,并将表决装置与计算机程序直接连通,这样就能实时在讨论会的投影仪上显示经过汇总后的表决结果。有些企业根据该实时的结果再次展开下一步的有针对性的讨论,再次表决形成结果。讨论会后根据这些汇总的意见,内部审计人员可以提出有针对性的内部控制改进措施,编制控制自我评估报告,并及时反馈给参与内部控制评估的相关管理人员。必要时,也可提交给董事会或最高管理层,以便其及时采取有效措施改善经营活动和内部控制。反馈信息给全体参与者是对参与者的尊重,也体现了内部审计建立良好人际关系的要求。另外,控制自我评估报告的反馈必须是在控制自我评估结束后及时进行,这样可以延续参与者在执行控制自我评估过程中被激发的积极性和主动性,使其能够开始对关键问题采取纠正措施。
   3、控制自我评估的主要方法
  控制自我评估主要有三种方法:专题讨论会法、问卷调查法和管理分析法。从方法应用的效果上看,专题讨论会法是最好的,最能够达到目的。但是要成功应用该法的成本和可能会遇到的困难也是最大的。
  三种方法的选择主要应依据行业特性、组织文化、管理风格、员工素质等进行。专题讨论会法对这些方面的要求最高。应用专题讨论会法时,组织文化应当具备鼓励员工坦诚进行开放式交流的氛围。如果组织中没有这样的氛围,专题讨论会由于参与者的顾虑或随大流的心态而失去广泛收集意见的意义,得出的评估结果也没有太大价值。同时,组织的管理风格也要求是注重民主意见型的,如果过于强调权威,那么这种方法也会失效。另外,专题讨论会法对参与人的素质要求是比较高的,要求能够充分熟悉自己所在岗位的经营活动及内部控制,并具备思考、分析以及表达能力。因此,在选择专题讨论会法时必须充分考虑这些条件和因素是否具备。
   采用专题讨论会法时,还必须考虑其形式。一般有四种情况:分别以目标、风险、控制及流程为基础展开讨论。这四种形式与前面讲述过的控制自我评估的主要内容是相对应的,具体采用何种形式需要内部审计人员根据控制自我评估的主题与目的来选择。以目标为基础的形式围绕实现目标的最佳方式展开讨论,并评价现有内部控制是否能促进组织目标的实现,这种形式一般用于新领域、新部门、新业务的评估,例如:对新建立的事业部进行以目标为基础的控制自我评估。以风险为基础的形式强调对影响目标实现的各种风险进行识别,并确定现有风险管理过程是否适当、有效,这种形式也叫风险自我评估,通常用于风险管理中的风险识别步骤。这种风险识别可以针对整个组织层面的风险,也可仅针对某个职能部门、某项业务甚至是某个岗位。以控制为基础的形式,是对现有内部控制的运行情况进行讨论,评估其有效性,这是目前比较常用的控制自我评估形式,通过这种形式可以为管理层评估内部控制提供信息,也可以为内部控制审计提供有用信息。以过程为基础的形式,是对组织业务流程的各个环节进行讨论和分析,以提出改善或简化流程的建议。为提高组织的核心竞争力,根据企业再造理论,需要重新审视流程,进行彻底变革。这种形式的控制自我评估对于组织的流程再造过程有很大的帮助。
  问卷调查法是指就内部控制的特定方面或过程以书面问卷的形式向组织相关管理人员收集意见的一种方法。相比专题讨论会,调查问卷能在节约时间和成本的基础上收集到管理人员对内部控制的意见等相关有用信息。为确保该方法的效果,采用调查问卷法时同样也需要进行事先的计划、沟通以及事后的反馈。事先计划的关键在于调查问卷的设计,要确保其科学合理性,必要的沟通能够促使管理人员以认真的态度对待问卷,确保问卷结果能切实反映管理人员对内部控制的看法,问卷结果汇总并整理之后,同样需要将结果以及对内部控制的改进建议反馈给相关人员。调查问卷法存在的局限性主要在于:评估的内部控制会受限于问题的设计;问卷结果的可靠性很有可能会由于管理人员填写时的敷衍态度而打折扣;各分公司或职能部门的负责人会隐瞒现有的内部控制问题。
   管理分析法是指内部审计人员就内部控制的特定方面或过程向相关管理人员收集信息,并将之与其他来源的信息一起进行综合分析的一种方法。管理分析法在应用时往往由内部审计人员通过询问、面谈等方式向管理人员收集其对内部控制评估的相关信息,将这些信息与内审人员通过观察、检查书面文件等方式得到的信息一并综合分析。这种方式介于传统的内部控制审计与完全以管理人员为主体的专题讨论会两种之间,也是一种比较节约成本的控制自我评估方法。但由于这种方法相对于专题讨论会而言,管理人员显得比较被动和消极,因此无法提供太多的有用信息,特别是内部审计人员意料之外的有价值的信息。
  如果组织文化不太适合进行开放式的集体讨论,员工素质还不足以能够参与专题讨论并在认真思考基础上发表意见,那么内部审计人员在考虑控制自我评估时就只适合采用这两种方式。但是,只有专题讨论会法才能最大限度发挥控制自我评估的优点,这也是内审实务发展的趋势。
   4、控制自我评估的时间
   本准则对控制自我评估应用的时间进行了规范。内部审计人员应当根据组织特点及内部控制审计的需要适当应用控制自我评估法,一般每季度进行一次,以便对内部控制进行持续的监督。
《内部审计具体准则第5号——内部控制审计》规范了内部控制要素所包含的内容。其中,监督要素包括内部审计机构实施的独立监督以及管理层对内部控制进行的自我评估。因此,控制自我评估应当发挥内部控制监督要素的作用,对内控其他要素进行持续的监督。在管理层的自我评估过程中不断发现问题、解决问题。内部审计人员应当推动控制自我评估的应用,以确保其作用的发挥。我国大部分企业内部控制发展不够顺畅,借助控制自我评估过程能够实现对管理人员的内部控制教育,同时对于内部控制的改进有较及时的辅助作用,因此本准则要求一个季度至少要进行一次控制自我评估是符合我国企业实际状况的。另外,由于控制自我评估应用的成本相对较小,每次所需要的时间也不会很长,因此一个季度组织一次控制自我评估也是一个合理的期限。
    四、结束语
    我国的内部审计、内部控制理论与实务研究的开展相比西方国家要落后几十年。但随着经济的发展,在我国的企业管理实务中,内部控制已成为组织管理层日益关注的对象。1999年新修订的《公司法》从法律的角度要求各单位必须建立健全内部控制制度。从20016月起,财政部发布了《内部会计控制规范》的系列内容,这是解决一些单位内部管理松弛、控制弱化的重要创举,也是适应我国加入WTO的客观要求。我国已发布的法规对内部控制着重于从会计控制的角度进行规范,主要着眼于内部控制在查错防弊上的传统功能。20066月,国务院国有资产监督管理委员会制定了《中央企业全面风险管理指引》,要求中央企业根据自身实际情况贯彻执行,开展全面风险管理工作。由此可见,内部控制与风险管理已是我国各级监管层关注的热点。随着我国企业海外上市步伐的加大,建立符合国际惯例的公司治理结构及内部控制制度,按照国际资本市场要求提供有关内部控制方面的信息并承诺对内部控制的责任,成为摆在企业高级管理层面前的现实问题。因此,在企业管理的实践中关注内部控制,建立系统的内部控制与风险管理框架,是我国企业迫切要解决的。内部审计应当充分利用自身在内部控制上的优势,通过采用控制自我评估法,激发管理人员对内部控制的积极性和责任感,同时对内部控制进行持续监督和改进,服务于各类组织的内部控制建设。通过控制自我评估法的应用,与被审计单位之间成为新型的“伙伴关系”。

                              摘自:《中国内部审计》