一、內(nèi)部控制理論的發(fā)展
企業(yè)內(nèi)部控制是企業(yè)發(fā)展和組織效率提高需求的產(chǎn)物,隨著企業(yè)組織形態(tài)進化、社會環(huán)境變化而不斷深化。從公元前3600年以前的美索不達米亞文化時期,到公元后20世紀90年代,內(nèi)部控制理論的初步形式得到不斷地充實、完善,逐步形成成熟的理論體系。1992年9月,美國COSO委員會(CommitteeofSponsoringOrganization)發(fā)布的指導內(nèi)部控制實踐的綱領(lǐng)性文件COSO研究報告——《內(nèi)部控制——整合框架》(InternalControl-IntegratedFramework)堪稱內(nèi)部控制發(fā)展史上的里程碑。COSO委員會指出,內(nèi)部控制是由企業(yè)董事會、經(jīng)理階層以及其他員工實施的,為財務報告的可靠性、經(jīng)營活動的效率和效果、相關(guān)法律法規(guī)的遵循性等目標的實現(xiàn)而提供合理保證的過程。COSO報告提出了內(nèi)部控制整合框架構(gòu)成五個相互要素,即控制環(huán)境(ControlEnvironment)、風險評估(RiskAppraisal)、控制活動(ControlActivity)、信息與溝通(1nformationandCommunication)、監(jiān)控(Monitoring)。
隨后,COSO委員會于2004年9月正式公布的《企業(yè)風險管理——整合框架》(EnterpriseRiskManagement-IntegratedFramework,簡稱ERM框架)又為內(nèi)部控制在超越階段提供了理論創(chuàng)新。ERM框架對內(nèi)部控制的內(nèi)涵進行了拓展,在目標和內(nèi)容上進行提升,特別是與風險管理實現(xiàn)融合。該框架指出,企業(yè)風險管理是一個由企業(yè)的董事會、管理層和其他員工共同參與的,應用于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各個層次和部門的,用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內(nèi)管理風險的,為企業(yè)目標的實現(xiàn)提供合理保證的過程。
內(nèi)部控制以注冊會計師關(guān)注企業(yè)報告真實性、可靠性為發(fā)端,不斷融合企業(yè)管理中的相互牽制、自身糾錯防弊機制以及會計和業(yè)務管理相結(jié)合的企業(yè)營運管理,直至發(fā)展為關(guān)注企業(yè)整體控制體系以及風險管理,進而提高企業(yè)價值的理念體系。
二、內(nèi)部控制自我評價的涵義
隨著企業(yè)的不斷壯大,主體結(jié)構(gòu)或發(fā)展方向、員工人數(shù)及素質(zhì)、生產(chǎn)技術(shù)或流程等方面會相應地變化。企業(yè)風險管理的有效性也受時間的影響,曾經(jīng)有效的風險應對可能會變的不相關(guān)、控制活動可能不太有效甚至不被執(zhí)行。面對這些變化,企業(yè)管理層需要實施必要的監(jiān)督檢查來確保內(nèi)部控制的持續(xù)、有效運行。因此,監(jiān)控這一要素逐漸被理論研究者和實踐工作者所重視。
監(jiān)督控制,是指企業(yè)對其內(nèi)部控制的健全性、合理性和有效性進行監(jiān)督檢查與評估,形成書面檢查報告并作出相應處理的過程,包括日常的管理監(jiān)督活動、內(nèi)部審計及與外部團體進行信息交流。企業(yè)應當利用信息與溝通情況,提高監(jiān)督檢查工作的針對性和時效性;同時,通過實施監(jiān)督檢查,不斷提高信息與溝通的質(zhì)量和效率。
內(nèi)部控制自我評價突破傳統(tǒng)審計的理念,由內(nèi)部審計師和業(yè)務流程的具體操作者共同對其內(nèi)部控制狀況定期進行有效評估,為監(jiān)督控制活動另辟新徑。不少成功的案例的顯著表明,內(nèi)部控制自我評價可以有效改進企業(yè)內(nèi)部控制制度,極大提升風險認知和管理能力,普遍受到管理層和全體員工的好評。因此,對內(nèi)部控制狀況展開全面、系統(tǒng)地評價就成為各大企業(yè)內(nèi)部控制工作之重。
內(nèi)部控制自我評價(ControlSelfAssessment,簡稱CSA),簡單來說就是企業(yè)不定期或定期地對其內(nèi)部控制系統(tǒng)進行評價,評價內(nèi)部控制的有效性及其實施的效率效果,以期能更好地實現(xiàn)內(nèi)部控制的目標。內(nèi)部控制自我評估是被用來評價企業(yè)關(guān)鍵經(jīng)營目標、圍繞該目標實現(xiàn)的風險和為管理該風險而設計的內(nèi)部控制等的一套新興的審計技術(shù)方法體系。
三、內(nèi)部控制自我評價的基本特征及結(jié)構(gòu)
控制自我評估的核心理念在于“參與了風險評估的過程并進行了全過程的控制的人才有能力對控制做出有效評價”。顯然,進行了全過程的控制的人涵蓋企業(yè)所有員工。因此,內(nèi)部控制自我評價特別強調(diào)指出,內(nèi)部控制系統(tǒng)既不是內(nèi)部審計工作的責任,也不僅僅是高級管理層應關(guān)心的問題,相反,應該把它看作是所有雇員共同的責任。內(nèi)部控制自我評價的基本特征包括:參與人員從內(nèi)部審計人員到業(yè)務流程具體執(zhí)行人員,從業(yè)務部門到職能部門,從管理層到作業(yè)層員工;評價內(nèi)容關(guān)注業(yè)務流程和控制成效;評價方法采用系統(tǒng)化的方法。
完整的內(nèi)部控制自我評價結(jié)構(gòu)包括以下幾個方面:
1.前期計劃和前期審計工作。取得管理層的支持,組織評價小組,并對相關(guān)部門中高級管理者和評價小組成員進行講解和培訓。通過訪談和穿行測試,確定了內(nèi)部控制評價范圍,設計并發(fā)放調(diào)查問卷;通過反饋的問卷,分析內(nèi)部控制的薄弱環(huán)節(jié),列入研討會討論重點。
2.組織人們在同一時間或同一地點開會,甚至包括有利于交流和活動的座位安排(U字形會議桌)和會議設施,參加人員是管理者--直接涉及檢查中的具體問題的管理人員和其它職員,他們對這些問題最了解,對于適當?shù)某绦蚩刂频膶嵤┚哂兄匾饔谩?br />
3.結(jié)構(gòu)化的議事日程以使參加人員檢查過程的風險和控制。通常這些議事日程都要擬定良好的框架或模型以便確保參加者發(fā)現(xiàn)所有的問題。模型可集中于控制和風險上,也可集中于該項目的理論問題上。
4.可以有選擇地聘用一位書記員對各階段的現(xiàn)場工作進行記錄以及處理電子投票的技術(shù)問題以使參加人員可以不記名地發(fā)表自己的感想。
5.報告和實施行動計劃。因為被審計者要對自己的風險和控制活動進行評估,所以也經(jīng)常用到讓過程的負責人填制調(diào)查表的方式。但是這種方法不如把人們集中起來開會討論風險和控制問題更具創(chuàng)新性。然而,為研究起見,控制自我評估指的是研討會方法或更為便利的方法。其他的一些方法是指以調(diào)查為基礎(chǔ)的自我評估(這種區(qū)別的目的在于界定研究的主題,而不是肯定或批評一種方法)。
四、內(nèi)部控制自我評價主要采取的方法
內(nèi)部控制自我評價主要采取研討會法、問卷調(diào)查法和管理層分析法三種方法。
1.研討會法是一種從代表組織不同層次尤其是風險薄弱環(huán)節(jié)的工作組中收集內(nèi)部控制信息,召集盡可能多的業(yè)務人員共同分享信息、討論問題的方法。研討會法不同于一般的會議,它本身不進行任何決策,只提供評價及改進意見。研討會在具有經(jīng)驗的引導師(Facilitator,通常由對內(nèi)部控制有一定認識的人擔任)的引導下,對內(nèi)部控制、風險等進行評價并提出改進意見。引導師應接受過有關(guān)內(nèi)控制度設計和一般的簡約化技能(facilitationtechniques)的訓練,他并不參與討論或?qū)τ懻摰木唧w內(nèi)容表示肯定或否定態(tài)度,其角色是引導工作坊的人員圍繞工作目標、內(nèi)部控制和風險等問題作出討論。引導師只為參與者提供內(nèi)部控制、風險管理等概念,確定CSA的討論方法,確保參與者均能自由地發(fā)表意見。研討會一般沒有高級管理人員參與,避免參與者因為有高級人員在場而怯于發(fā)表意見。
2.問卷調(diào)查法是一種用于只需簡單回答為是/否或者有/無的調(diào)查工具。業(yè)務流程的具體操作者使用調(diào)查結(jié)果去評估他們的控制結(jié)構(gòu)。
3.管理層分析法是任何不使用上述兩種方法的方法。通過該方法,管理層可生成一種業(yè)務流程的全員研究。CSA專家(可能是內(nèi)部審計師)將研究結(jié)果與其他經(jīng)理和關(guān)鍵人物收集的信息結(jié)合起來。通過綜合這些素材,CSA專家開發(fā)出一種業(yè)務流程的具體操作者在其CSA中可以運用的分析框架。
國際內(nèi)部審計師協(xié)會(IIA)建議執(zhí)行一項組織分析來決定如何有效地接受和支持參會者實事求是的發(fā)言,如果組織文化屬支持性的,IIA推薦采用研討會法;如果組織文化不屬于支持性的,那么調(diào)查問卷的回復和管理層對內(nèi)控制度分析能夠強化控制環(huán)境。
五、研討會法的具體工作形式
CSA研討會主要有基于控制、流程、風險和目標的四種基本形式。在實踐中,企業(yè)往往同時使用一種以上的形式組合。
1.基于控制的研討會形式
該形式研討會重點關(guān)注內(nèi)部控制的實際運行狀況,即內(nèi)部控制執(zhí)行的有效性。CSA專家從高級管理層的視角決定內(nèi)部控制的目標、技術(shù)和運用的程序與方法。通過研討會,企業(yè)管理層可以了解內(nèi)控制度的實際運行情況,與內(nèi)控制度設計預期達到的運行效果進行比較分析,確定差異,尋求改進措施。
2.基于風險的研討會形式
該形式研討會重點關(guān)注風險識別和風險管理。該形式研討會容易為正確行動識別出顯著的剩余風險,也較其他方法更易做出全面的自我評估。該形式研討會一般遵循以下步驟:首先分析在設定目標中存在哪些風險,然后再探討利用什么內(nèi)部控制來管理這些風險,最后分析內(nèi)部控制運行后的重大剩余風險。例如,銷售與收款業(yè)務控制目標之一是減少應收賬款壞賬率,研討會重點討論相關(guān)風險,即存在什么情況使目標無法達到。在此基礎(chǔ)上,制定相應的內(nèi)部控制程序。然后,研討會進一步分析在控制程序執(zhí)行后應收賬款仍無法回收的可能性,即顯著的剩余風險。
3.基于流程的研討會形式
該形式研討會重點檢查所選擇過程內(nèi)的執(zhí)行活動情況。該研討會的意圖是評價、更新或改進選擇過程。除確定評估目標外,專家也決定哪些流程能在研討會召開之前很好地滿足關(guān)鍵經(jīng)營目標實現(xiàn)的需要。該研討會形式具有比基于控制的研討會形式更加寬廣的分析幅度,能夠使流程再造的努力或團隊積極的質(zhì)量行動更加有效。
4.基于目標的研討會形式
該形式研討會重點關(guān)注完成目標的最優(yōu)途徑的選擇方面。目標是否由專家決定不得而知,但來自工作團隊的顯著投入?yún)s是最主要的。研討會的目的是確定是否選擇了最佳的內(nèi)控技術(shù),是否這些技術(shù)在可接受的剩余風險水平下得到有效的運行。
內(nèi)部控制缺陷報告是監(jiān)督控制活動的重要組成部分,企業(yè)對在監(jiān)督檢查過程中發(fā)現(xiàn)的內(nèi)部控制缺陷,應當采取適當?shù)男问郊皶r進行報告。內(nèi)部控制自我評價的意義也正是體現(xiàn)于評價結(jié)果向管理層及時、準確的反饋過程。
參考文獻:
[1]嚴復海,黨星,嚴文虎;風險管理發(fā)展歷程和趨勢綜述[J];管理百科;2007年02期
[2]張諫忠,吳軼倫;內(nèi)部控制自我評價在寶鋼的運用[J];會計研究;2005年02期
[3]周志和;控制自我評估(CSA):問題與對策[J];懷化學院學報;2006年06期
[4]陳新寧;內(nèi)部控制自我評價與公司治理[J];商場現(xiàn)代化;2006年24期
[5]桑向陽;控制自我評價CSA:企業(yè)管理新理念[J];中央財經(jīng)大學學報;2004年01期
