企业内部控制管理系统评估方法的新发展

内容摘要： 近年来，在中美等国上市公司监管部门不断完善财务信息披露制度的情况下，一种较之传统评估方法更加全面新颖的企业内部控制评估方法—控制自我评估逐渐引起了企业界和监管部门的关注。本文全面介绍了控制自我评估最具特色的研讨会法，并以台湾光宝集团为案例进行了分析，提出了在实践过程中需注意的一些问题。

关键词：内部控制、控制自我评估（csa）、csa研讨会、引导者

2001年底到2002年发生的安然、世通事件等一系列财务丑闻，暴露了美国核查体系的严重缺陷，上述核查体系原本是用来保护公众公司的股东、养老金受益人和雇员的利益，并保护美国公众对资本市场的稳定、公正的信心的，而安然、世通等一系列事件无疑严重动摇了公众对会计师行业的信心。针对上述事件，美国国会在2002年出台了《萨班斯－奥克斯利法案》，该法案为上市公司的外部审计创建了一个广泛的、新的监督体制，并将对财务报告的内部控制作为关注的具体内容，进一步完善了相关的信息披露制度。尤其是该法案的404条款明确要求上市公司在年度报告中包括一个内部控制报告，在报告中需要说明管理层建立和维护与财务报告相关的内控框架及流程的责任，并对内控系统的有效性做出评估。而且要求外部审计师证实上市公司内部控制报告的准确性。

2004年末到2005年初，国内上市公司也相继出现了诸多内控失效的典型案例，如公司存款不翼而飞、子公司拒绝提交财务报告、套期交易出现巨额亏损等。这些涉案公司普遍存在的问题是内控制度形同虚设。因此，上海证券交易所于2005年四月推出的《上市公司内部控制制度指引（征求意见稿）》（简称《内控指引》）不啻为一场及时雨。《内控指引》借鉴了萨奥法案，同时也结合了中国的实际情况，旨在帮助上市公司理解内控概念、搭建内控框架、提高内控水平，以实现健康的可持续发展。《内控指引》要求稽核部门每季度向专门委员会提交内控报告，董事会的审计委员会应对内控运行情况做出评价，从相对的外部来督促制度的良好运行。

中美两国适时推出的内控报告制度虽然给上市公司带来了成本的提高，同时增大了经营压力。但无疑，通过对内部控制的评估，继而不断改善的过程，上市公司得到的将是一个健全内部控制系统、提高管理水平、提升公司形象和投资者信心的契机。对公司自身而言，尽快找到一种适应经济发展的内控评估方法堪称当务之急。在当今企业发展条件下，传统的内部控制评估方法如内审人员检查单据、实施符合性测试程序等已不能满足公司治理的需求，内控评估方法应逐步转化为在内部稽核人员指引下由管理部门和员工共同参与研讨，提出最佳改进措施的“控制自我评估”。

一、 控制自我评估方法较之传统评估方法的优势

控制自我评估（control self assessment,简称 csa）是指企业定期或不定期地对自己的内部控制系统进行评估，评估内部控制系统的有效性及其实施的效率效果，以期能更好地达成内部控制的目标。csa的基本特征是：关注业务的过程和控制的成效；由管理部门和职员共同进行；用结构化的方法开展评估活动。csa是为提高组织内部控制的自我意识所作的努力，这种评估方法经常以研讨会的形式进行。设计csa的目的是使企业管理者了解内部控制哪里存有缺陷以及可能引至的后果，然后让他们自己采取行动改进这种状况，而不是坐等内部稽核人员站出来。研究表明，实施csa的方法对于一个企业加强管理、提高劳动生产率、改进内部稽核程序和业务经营程序以及控制风险等都有着积极的作用。虽然csa最早出现在20世纪80年代末期，但其最主要的发展是在90年代，特别是在1992年美国coso（美国国家虚假财务报告委员会赞助机构研究小组）报告公布之后。coso报告首次把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。此后，一些国家的有关内部控制的报告，均以coso报告为模本。

传统的内控评估是由内部审计部门来完成的，只能用来评价诸如财务报告，资产与记录的接触、使用与传递，授权授信，岗位分离，数据处理与信息传递等的“硬控制”。在新的内部控制模式下，迫切需要评价包括公司治理，高层经营理念与管理风格，职业道德，诚实品质，胜任能力，风险评估等的“软控制”。在这种情况下，作为一种既可以用来评价传统的硬控制，又可以用来评价非正式控制即软控制的机制，csa得到了普遍的信赖和应用。csa与内部审计的区别在于：内部审计具有一定的独立性与客观性，csa作为一种优良的管理实务，是在内部审计工作的基础上，针对控制流程和控制风险，在企业各个部门集思广益，从而取得一定成效的管理方法。

二、控制自我评估的方法

目前csa有较多的使用方法，如：研讨会法、问卷调查法、管理结果分析法等。这些方法可由企业根据自身规模、环境等因素选择实施一种或多重交叉实施。其中研讨会法是csa最具代表性的方法，且引起了企业界和监管部门较多的关注。

csa研讨会是利用相互交流讨论的形式来评估整个企业的内部控制状况，包括确认目标、认识可影响目标的因素及正确控制这些因素的流程。研讨会的形式按照发展过程分为两类，即控制模型研讨会（又被称为控制设计研讨会）与控制评估研讨会。

（一）控制模型研讨会

控制模型研讨会主要是通过设计控制模型，使参与研讨的员工进行知识交流，使他们在评价、管理和报告内部控制等方面的认识和能力有所提高。控制模型研讨会的一个重要前提是会议引导人员须将必要的内控方面的知识传达给与会者，以保证参与研讨会的人员能够完成评估控制与风险的工作。这种方法要达到的目标是：建立评估知识、设计控制系统和评估风险。因此，该方法涉及的工作主要有两个方面：学习相关知识与内部控制设计。通过研讨，引导人员将解释控制的目的及其与企业营运活动的关系，与会人员通过讨论控制流程及其相互之间的关系，能够学习到更多的控制流程，进而使得流程得到改善，提高工作效率。

控制模型研讨会最大的功能是启发教育的作用，通过把所有与企业营运活动有关的人员集中在一起探讨评估整个营运控制流程，使每位参与者了解了个人、部门在企业整体中所扮演的角色，同时也了解到他人、其他部门对企业的作用及贡献。更重要的是，与会者在这种条件下可共同探讨现行的程序是否适当。由于企业性质、环境、科技的改变而造成的落伍、不适用的流程，都可在研讨会中或会后得到废除和改善。另外，每位与会者在参与研讨的过程中会形成一种认同感，使这些部门主管能够认真执行他们的职责以及与其他部门主管合作。csa也为内部稽核人员与企业其他部门的管理人员的沟通创造了条件，使得主要控制流程能够得到全体人员的仔细审查和汇总，从而更有效、更恰当的运用有限的审计资源。此外，在研讨过程中，员工的正直性、品德及相互信任程度等“软控制”指标也能得到反映。

（二）控制评估研讨会

控制评估研讨会主要是通过管理层和员工对内部控制的状况进行讨论，从而发现问题，并使之得到改善。控制评估研讨会的重要前提是公司具备相应的内部控制管理制度，管理层希望通过控制评估研讨会来发现控制运行中存在的问题。这种方法与控制模型研讨会的区别在于：

1.控制评估研讨会对引导技巧的要求更高一些，尤其是有关控制流程的讨论；

2.控制评估研讨会的时间较控制模型研讨会短，因其不再需要进行培训与学习；

3.如果说控制模型研讨会是传统内审的替代，那么控制评估研讨会则是传统内审的补充。

一般情况下，研讨会由两名稽核工作人员担任引导者，通常是内部稽核部门经理和一名稽核部门员工。准备工作包括：创造一种相互信任的气氛，使参加讨论者能够坦率、自由地进行交流；促进对csa 目标的共同理解。研讨内容包括对内控系统的优缺点的分析及如何帮助相关部门进行改进，以取得预期目标。

由于研讨形式所具有的不确定性，引导者所具有的素质和引导技巧成为csa成功的关键要素。为使研讨会顺利有效进行，引导人必须熟悉公司的营运作业流程，且对控制评估概念有深厚的知识，因此最理想的人选莫过于内部稽核部门的人员。此外，引导人一方面要能够引导与会人员踊跃发言，知道如何鼓励较沉默的参与者发言，且避免让较多话者垄断整个局面。另一方面，引导人要确保有系统的讨论并能深入问题的核心，且定时综合所有的论点。

（三）研讨会的实施过程

csa研讨会的过程具体可分为下列五个阶段：

1.获取企业管理层的支持。csa涉及的部门、人员较多，如果不能够得到企业管理层的支持，csa的实施者就会陷入被动；

2.适当的规划。csa的实施者应与企业的管理层共同制定企业的主要目标及为实现主要目标的支持性目标。规划应尽量的细致，包括准备研讨的问题、参与人员、实施日期、所需场所、资料等；

3.进行研讨会。研讨会的时间不宜过长，必须使与会人员能够相互信任、畅所欲言、坦诚地彼此交流，以收集思广益之效。

4.汇总研讨成果。csa研讨会结束后，内审部门应根据讨论的工作底稿尽快进行分析汇总，送参与人员复核，提出报告初稿，送管理层审阅。

5.拟定改善方案。csa的最后阶段是针对研讨会提出的问题，与最高管理层再开会讨论改善方案。由管理层决定优先顺序、改善方案。待正式报告出台后，分送所有的部门与csa参与人员。

三、控制自我评估在实践中的运用

csa作为一种管理方法，在实践中取得了较好的效果。台湾光宝集团在公司治理中加强风险管理及内部控制管理的经验就是最好的例证。台湾光宝集团是台湾第一家生产电子产品的上市公司。作为一家私人企业，其资金的取得来自大众的投资，因此，公司治理受到空前关注。光宝集团提出公司最大的责任是为股东创造最大利润，诚信为本是进入国际市场的一个重要条件。与世界上许多跨国公司一样，光宝集团的内部审计也经历了五个阶段的转变：从传统的审核交易、单独稽核、与管理层互动、以流程为重点，发展到支持管理层自我评估。因而，内部稽核的角色也从公司的警察向管理的顾问转变。尤其是他们提出的“预防胜于治疗”的工作方针，适应了公司发展的需要。光宝集团在实践中运用csa的主要经验有：

（一）内部稽核部门成为公司治理中的重要力量，具有较高的地位

光宝集团的内部稽核部门设立的层次在董事会之下，总裁之上。在公司对外年报的主要部门组织职能披露中，内部稽核部门排列在所有部门的首位，内部稽核部门的主要职责是评估及查核公司内控制度的设计与执行所能达到的运营上的效率效果、财务报告的可靠性及相关法令遵守情况，并适时提供改进建议。

光宝集团有30名稽核人员，全部是专职，并有较丰富的专业背景。内部稽核部门在公司的地位保证了他们的权威性与独立性，从而有效避免了传统内审中得不到被审部门配合与支持情况的发生，十分有利于csa在公司内部的组织与开展。内部稽核部门与高层保持着畅通的信息通道。从制定计划到讨论改善经营的各种方案，都会请稽核主管参加会议，听取稽核发现的问题及建议。每季度的董事会，稽核部门都进行业务汇报。

（二）内部稽核计划与风险管理相结合

内部稽核部门每年都要申报全年的稽核计划。计划的重点围绕公司关注的风险。计划执行大致体现以下特征：①注重项目的知识积累，实现资源共享；②考虑由点带面的机动性，以节约稽核成本；③体现全面性，注意稽核的覆盖面；④事先预警，防患于未然；⑤加强通力合作，实现互动；⑥编制书面化的教学手册，加强自身的教育和训练，以提高稽核人员的素质；⑦注意对稽核对象的培训和沟通，以减少内耗、冲突，降低稽核风险；⑧回归自主管理，发挥系统的整体效益。通过详细的计划工作，光宝集团既能够最大限度地利用内部稽核资源，又能够最大程度地降低风险。

（三）内部控制从被动监管到自我评估，由组织整体对管理控制和治理负责

csa是组织监督和评估内部控制系统的主要工具，它将运行和维持内部控制的主要责任赋予公司管理层，同时使员工和内部审计与管理层共同承担对内部控制评估的责任。这使以往由内部审计对控制的充足性及有效性进行独立验证发展到全新的阶段，即通过设计、规划和运行内部控制自我评估程序，由组织整体对管理控制和治理负责。

光宝集团的稽核人员在对项目稽核之前，往往对被稽核部门做一些告知。主管去现场之前，也要做一些沟通，认真听取被稽核单位的意见。有时被稽核单位主管还会指点稽核部门应该关注的重点事项，这样的互动为双方都带来了益处，被稽核部门对工作中的控制和风险情况得到了进一步的认识，稽核部门的工作也常常得到受审单位的配合，保证了稽核工作的全面有效性。在日常工作中、在稽核的事前、事中和事后，受审单位该提供哪些自检表，都有一定的程序规定。稽核结束之后，常常举行一个通报会。当地的主管要求中层干部参加，听取稽核人员的问题发现，然后陈述改进方案的时间表，由稽核部门进行跟踪，以达到最终完善目的。

四、实施控制自我评估应注意的问题

尽管csa在西方已经广受欢迎，然而，在实践中，人们同样积累了很多经验教训。在实施过程中应注意以下几个方面：

第一，做好前期的准备工作。做好大量的前期准备工作对csa的引导者来说非常重要。因为成功的csa不是简单的把大家召集起来讨论问题，而是要求大量的策划、组织、宣传、总结以及一些后续的实施工作等，如在会议前和与会者进行简单交流能够帮助引导者了解部门的工作目标、关键控制因素以及与会者的个性特征等信息，这样更有利于研讨会的顺利进行。

第二，选择合适的与会者。如果不能合理地选择与会者，csa的成效将大打折扣。因为缺少了企业关键控制流程的人员的参与，就会影响对控制风险和控制环境的理解，进而影响重要控制的改善。

第三，必要时引入专家。csa的引导者应该提前考虑是否需要某方面的专家来解决部分争议，有时引导会也需要请人来做笔录和技术支持等方面的工作。

第四，记录会议要点并尽快出台报告。对研讨会讨论的问题做详细的记录，及时总结，尽快形成报告。

第五，仅仅评估是不够的。csa仅仅对内部控制系统进行评估是不够的，必须以最低的成本带来控制环境的改善。许多可能产生的风险根源于同一问题，因此适当改善某一控制或许能够替代几项成本更高的控制。

第六，关注参与者对控制的改进。研讨的参与者不仅能要能够对识别的风险提出改进计划，并且要在规定的日期实施完善计划。csa的引导者要对其进行关注，以保证csa后续工作的成功完成。

第七，选择恰当的引导者。这是csa成功最重要的因素。对于一名合格的引导者来说，除了需要对企业的内部控制系统具有全面深刻的了解，具有突出的审计能力和知识背景，还应具备较高的综合素质，如：良好的面谈技巧、善于与人合作、善于担任一个良好的听众以及较好的分析总结能力等。

参考文献：

1 larry hubbard, “control self assesment: a practical guide”, the institute of internal auditors, 2000

2 risk management & internal control /china/">中国三峡出版社，2003

4 唐予华、林朝华，《内部控制系统评价的新观念与新方法》，卡博网，2005.2

5 张菱、陈继瑾，《内部控制特别报告》[j]，北京：《财务总监》，2005.5

6上海证券交易所上市公司内部控制制度指引（征求意见稿）2005.4

7 谭丽丽，“台湾光宝集团内审在公司治理、风险管理中的经验”,中内协网