CSA(Control Self-Assessment)即控制的自我评估,是企业为实现其目标,控制其经营风险而对内部控制系统的有效性和恰当性实施自我评估的方法。通过“CSA”可以检验和评估内部控制的效率,为所有经营目标的实现提供合理的保证。风险导向审计时期,“CSA”可以作为审计主体评价企业经营目标实现的风险以及围绕关键风险制定审计规划、根据风险程度合理配置审计资源的系统方法。 “CSA”技术的功能 审计规划的制定,体现审计主体的审计资源配置方式。现阶段我国企业在建立公司治理、强化内部控制建设中,应当适时引进“CSA”技术方法,既加强对软控制的评价,也不断促进控制环境的提升。但并没有论及怎样进行项目风险评估,同时也未把风险管理纳入内部审计的过程。审计主体将“CSA”技术作为风险评估方法,引入审计规划的制定中,对于审计域的确定和审计资源分配意义重大。 在审计风险评估与审计资源分配中,与传统方法相比,“CSA”具有以下功能: 首先,在“软控制”及其风险评估方面“CSA”更为优越。现代风险导向审计迫切需要评价包括公司治理、高层经营理念与管理风格、沟通的效率、对内部控制的态度、职业道德、诚实品质、胜任能力和风险评估等在内的非正式控制,即“软控制”。 “软控制”的优劣,对于审计域的确定及审计资源分配的影响重大。“CSA”方法正迎合了这种需要。 其次,在发现现实与未来重大风险领域方面“CSA”更为优越。在审计风险评价中,“CSA”关注团队众多个体的贡献和相应的协调,一般采取协调会议和咨询方式并运用协调会议的行动,提高审计风险评价结果的准确性,从而提高审计实效,节约审计资源。 再次,“CSA”能够改善控制环境。在审计风险评估中,通过“CSA”程序(如咨询会议等),一方面能够使被审计单位的员工在内部控制过程中明确各自的职责,增强对组织的责任感,使员工了解控制的存在是为了实现企业的经营目标,激发员工认真设计和执行控制程序,并不断改进控制程序,使员工对控制环境有一个全面的理解。同时,可使审计人员树立全新的审计理念,通过“CSA”的应用,与被审计单位之间成为新型的“伙伴关系”,为企业增值作出贡献。 最后,“CSA”程序,能够成为一种有效的培训工具。在实施该程序的过程中,审计主体与被审计主体双方的参加者都能够对内部控制的内涵、构成、功能和企业风险形成与管理有更深刻地理解,更有利于审计重点的确定和审计资源的利用。 常用的“CSA”方法 目前,“CSA”最常用的方法有:专题讨论会法、问卷调查法、流程图法和管理结果分析法。 1.专题讨论会法。即协调性咨询会议法,是把管理当局和员工召集起来就特定的问题或过程进行面谈和讨论的一种方法,它是以协调为基础的评估与咨询方法。具体实施过程如下: (1)组建一个较小的咨询团队,该团队应包括一个协调领导者;一个联合协调员负责制订会议计划,以及会议记录和操作投票系统;若干名咨询员,帮助协调员设计问题的框架(可选择的);一名主题方面的专家,用于高技术问题的讨论的需要(可选择的)。 (2)团队与关键客户会面,应了解所要解决的问题,并确定开发最终解决方案的关键优先权顺序(例如盈利能力、安全性、商业流程的恶简易性等)。 (3)由利益相关者会议产生的计划由咨询人员撰写,并向客户展示介绍。 (4)然后根据会议通过的客户的一致意见实施计划。 2.问卷调查法。通过设计调查问卷,对内部控制及企业风险的特定方面或过程向组织相关管理人员收集意见的一种方法。与专题讨论会法相比,问卷调查法更能节约时间和成本,但评估的结果会受到问卷设计的限制,还可能由于管理人员填写的态度和可能存在隐瞒内部控制现存的问题而影响结果的可靠性。 3.流程图法。利用流程图,通过控制流程的描述,分析和评价内部控制及企业风险强弱的方法。 4.管理分析法。管理当局布置工作人员学习经营过程,“CSA”引导者把员工的学习结果与他们从其他方面收集到的信息加以综合分析的方法。 “CSA”技术的拓展及运用 1.层次分析法在“CSA”中的运用。 层次分析法(APH)是系统工程中经常使用的一种评价与决策方法,它特别适用于处理那些多目标、多层次复杂的系统问题,可以将人们的主观判断用数量形式来表达和处理,是一种定性和定量相结合的决策分析方法。 在审计风险评估和审计资源配置中,运用该方法对“CSA”中发现的控制缺失及弱项的推理过程进行量化的描述,可以避免审计域的确定在结构复杂和项目较多时逻辑推理上的失误。使用层次分析法的关键问题,需要掌握审计风险存在的背景和条件,发生的可能性和所产生的影响,以及要达到的审计目标、涉及的因素和降低审计风险的途径与方案等。因此,需要将审计风险概念化,构成概念之间的逻辑结构关系,即层次结构模型,然后通过建立判断矩阵,进行审计风险排序计算,最后确定审计域并合理配制审计资源。
