搜索
内部控制自我评估(CSA)技术与应用第一部分什么是控制自我评估(CSA)第二部分CSA的常用方法第三部分CSA方法的选择与实施第四部分推动型专题讨论会实施的一般流程第五部分推动CSA研讨会成功的关键技巧第六部分收集和报告CSA的结果第七部分CSA应用中的注意事项目录第一部分什么是控制自我评估(CSA)?一控制自我评估(CSA)产生的背景二什么是控制自我评估(CSA)三什么使CSA不同于其他的内部审计方法四控制自我评估(CSA)的益处一控制自我评估(CSA)产生的背景(一)(1)来自监管的声音《美国反海外腐败法》(1978年)带来的影响Treadway报告的重要发现(二十世纪80年代)(2)组织自身发展的需要企业变革——CSA的另一个推动力内部审计旧职能面临企业变革的挑战为什么需要控制自我评估?一控制自我评估(CSA)产生的背景(二)促成该公司实施CSA的两个环境因素尝试CSA后的重要发现经过多次使用并总结后,内部审计师发现:这种评估方法能使主要的风险在刚出现时就被识别,在没有造成重大损失蔓延之前,就能及时地使公司的高级管理层采取纠正措施。审计活动的新工具——加拿大海湾资源公司的贡献一控制自我评估(CSA)产生的背景(三)COSO框架——提供科学的内控框架和评估框架国际内部审计协会(IIA)对COSO框架和CSA的专业认可《萨班斯(SOX)法案》&《PCAOB——ASNO.2》提供了法规认可CSA从幕后走到台前——有效推动CSA的各方力量CSA是一种程序,通过这种程序,内部控制的有效性得到检查和评估。其目标是为实现所有的经营目标提供合理保证。——国际内部审计协会(IIA)1998CSA是一个过程,通过此过程,员工小组和基层的、行政级的管理层可以持续保持对那些影响组织目标实现可能性的因素的了解,从而使他们能够作出适当的调整……——《索耶内部审计》二什么是控制自我评估(CSA)CSA的定义一线员工(而非内部审计师)评估内部控制;不涉及内部审计的情况下也可在组织内进行自我评估;应用新方法、新技术,例如团队推动技术、调查、匿名投票或投影装置;评价非正式控制或“软”控制的更好方法,被审计一方合作与参与;通常情况下,由工作团队或“客户”而不是内部审计师出具CSA报告;可运用专题讨论会向工作团队传授风险评估和内部控制设计的知识;内部审计师的角色是推动者及风险和控制理念的传授者,而客户是具体内容的专家;较之传统审计,大多数客户似乎更偏爱CSA;管理层参与得更多;由于CSA应用参与和合作的方法,因此评估结果得到接受的可能性更大。三什么使CSA不同于其他的内部审计方法(一)CSA与传统审计的区别点三什么使CSA不同于其他的内部审计方法(二)CSA的职责转换职责传统方法CSA方法制定企业目标管理层管理层评估风险管理层管理层内部控制的充分性管理层管理层评估风险和控制审计师工作团队报告审计师工作团队验证对风险和控制的评估审计师审计师所使用的目标审计师的目标管理层的目标1、CSA有助于所有员工更好地理解和承担对有效的内部控制和风险管理的职责和义务。2、参与者“自身拥有”成果,纠正措施可以更富有成效。3、迅速地厘清关键的风险和控制,扩大了重要事项的范围。4、改善了所有层次的沟通。5、有助于提高组织整体的内部控制的自觉性6、改善组织的控制环境7、提高审计工作效率四控制自我评估(CSA)的益处CSA的七大益处第二部分CSA的常用方法一CSA的三种主要方法二专题研讨会法的四种形式三问卷调查法的应用四管理层分析法的应用五处如何使用正确的方法进行CSA?专题讨论会法(推动的团队会议):专题讨论会是进行CSA的最受欢迎的方法。专题讨论会是一种会议,此会议由内部审计师来推动,用来评估既定的目标或过程的风险和内部控制。问卷调查法(即调查):CSA的问卷调查或调查法使用一张调查表,被调查人只需做简单的“是/否”或者“有/没有”的回答。流程负责人使用调查结果来评估他们的控制结构。管理层分析法:管理结果分析法是指除上述两种方法之外的任何CSA方法。一CSA的三种主要方法CSA的三种主要方法以目标为基础的以风险为基础的以控制为基础的以过程为基础的二专题研讨会法的四种形式(一)专题研讨会法的四种形式(1)定义:以目标为基础的专题讨论会形式,更注重实现目标。讨论会先要确定当前的控制是否满足目标,然后识别剩余风险。讨论会的目的是确定内部控制措施是否充分,最后,剩余风险是否处于一个可以接受的水平(剩余风险是那些无需缓释的风险)。(2)评估顺序:二专题研讨会法的四种形式(二)以目标为基础的专题研讨会法目标控制评估剩余风险(1)定义:以风险为基础的专题讨论会形式,注重实现目标所面临的风险。这种形式首先立足于识别各种可能妨碍目标实现的障碍(固有风险),然后确定控制措施来确保它们能够有效地控制这些关键的风险。最后,任何一个重要的剩余风险也被识别出来。在讨论会的过程中,以风险为基础的形式会带着工作团队完整地执行“目标——风险——控制”的程序。(2)评估顺序:二专题研讨会法的四种形式(三)以风险为基础的专题研讨会法目标风险评估剩余风险控制(1)定义:以控制为基础的专题讨论会形式,注重控制如何更好地发挥作用。它与前两种形式的区别是:讨论会之前,在CSA的策划过程中,是由审计师来识别关键的风险和控制的。这更像一个传统的审计过程。这种识别方法可以通过与管理层和员工的面谈、编制流程图等方式来进行。更好的方法是:这种信息将可以从工作团队成员自身已有的文档中直接获得,毕竟这是整个团队的责任之一。(2)评估顺序:二专题研讨会法的四种形式(四)以控制为基础的专题研讨会法对现存风险和控制达成一致意见评估(1)定义:以过程为基础的专题讨论会形式,既检查公司层面的总体流程,又检查其经营层面的活动。讨论会的目的是评估、修正、确认和/或使得流程更有效率。在这里,“流程”的意思是指一系列看起来是相关的、首尾相连的活动,如采购过程、产品开发、合同准备、收入过程等等。(2)评估顺序:二专题研讨会法的四种形式(五)以过程为基础的专题研讨会法流程目标经营层次目标评估(1)两个核心问题:什么事情有助于或使你能够实现所在部门的目标?什么事情阻碍了你实现部门的目标?二专题研讨会法的四种形式(六)情景分析式专题研讨会法授权障碍讨论障碍的解决方案(2)评估顺序:(1)注意事项:尊重管理层的偏好考虑内部审计部门作业方法与行为习惯的承受能力依赖于管理层对内部审计的理解二专题研讨会法的四种形式(七)如何在这些方法中进行选择?通常是在组织的文化不能有效地支持和接受率直的讨论会与会者的反映(此时与会者不会公开地和诚实地讨论问题)时使用。问卷调查法也可用于加大自我评估的范围,节省时间和经费。对调查的回答既可以是匿名的,也可以是实名的。三问卷调查法的应用(一)问卷调查法的应用条件三问卷调查法的应用(二)问卷调查法的优缺点优点缺点能够获得更好的覆盖面没有后续跟踪,回答或许不真实对每一个参与者的时间要求少没有机会阐明问题或在现场没有适当的反应可以是匿名的,几乎不增加费用问卷回收率可能低不要求推动技能和会议协调三问卷调查法的应用(三)什么情形下,问卷调查法比专题讨论会法更好?组织文化管理层意志低成本策略缺乏组织经验时效性要求高三问卷调查法的应用(四)进行成功调查的技术在准备调查问卷时,一些有用的提示包括:使用被调查人的语言。每一个问题只关于一个主题。对被调查人使用含义清晰的词。首先问容易回答的问题。保持问题的简短。以个人的名义邮寄问卷。亲自分发和收集问卷调查。在面谈中,使用问卷调查作为一种交流的工具。管理层自行开发和实施问卷调查,用以评估合规性。在高级财务管理人员中对本年度拟定的财务报告适当性的讨论,对控制失效或舞弊发生原因的调查一个新开发的系统、或业务单元的合并所牵涉的内部控制评估四管理层分析法的应用管理层分析法的应用样例第三部分控制自我评估(CSA)方法的选择与实施一选择正确的方法进行控制自我评估(CSA)二组织文化对审计和CSA的影响三实施CSA方法的基本步骤四推介CSA五评估组织文的方法巧示例六实施CSA需要的资源示例七成功实施CSA的方法示例企业文化。行业的性质内部审计部门精通的专业领域和经验管理层态度和支持程度成本内部审计师的适应能力审计活动的资源审计委员会的态度。他们是否认为这种方法有作用?组织中内部审计的历史沿革考虑哪种CSA方法在组织内部更容易推行。一选择正确的方法进行控制自我评估(CSA)选择CSA方法必须考虑的重要因素如果一个雇员将问题报告给他的上级反而因此受到训斥会怎么样?他将来还会再揭露问题吗?——NO!如果一个雇员建议一种新的比较好的做法,而负责人未加考虑就给否决了,并说“我们不要不务正业”会怎么样?这个雇员下次还会再提出新的建议吗?——NO!如果一个负责人告诉团队成员,希望他们发挥主动和自主决策,但是实际中却每次都予以否决会怎么样?团队成员们将来还会再做决策吗?——NO!二组织文化对审计和CSA的影响(一)关于组织的文化二组织文化对审计和CSA的影响(二)两种典型的组织形式对审计和CSA的影响组织类型趋势部门差别审计服务审计重点审计类型三实施CSA方法的基本步骤CSA实施的基本步骤为什么你要在你的组织中实施CSA?第二步确定管理层的角色管理人员将最终得到内部控制报告吗?是:所有的关键决策牵涉管理人员。否:保证管理人员知悉全部内部控制战略和政策的变化。文化适合CSA吗?是:选择CSA形式:问卷调查、管理层分析法、推动型会议形式。组织文化长期目标将决定上述选择。)否:CSA是你的组织的长期战略吗?是:继续决策进程否:运用你已经掌握的控制设计技能来改善你的传统审计三实施CSA方法的基本步骤CSA实施的基本步骤CSA将使用一种内部控制框架吗?是:选择公认的框架?是:选择满足业务需要的框架否:建立自己的内部框架否:如果需要,确定汇总过程。确定对CSA的完全性控制第五步确定自动化水平,CSA将使用匿名投票吗?是:挑选软件提供商?是:与供应商签订合同否:设计数据收集处理程序否:设计手工数据收集处理程序三实施CSA方法的基本步骤CSA实施的基本步骤第六步CSA试点专题讨论会第七步建立具体实施策略,包括如何推介CSA。第八步实施策略。四推介CSA方法推介CSA必须要回答的问题——为什么要在我们的组织实施CSA?推介CSA方法:CSA演示什么是CSA,为什么要应用CSA?宣导、宣传册……注重管理层关注的领域在管理层找到高层的支持者尝试试点…………五评估组织文化的方法示例评估组织的文化,为你的组织选择合适的方法(一)分数为0=强烈反对10=强烈认同关注要素分数1安全性:高级管理层喜欢及奖励个人和单位,分析和评价他们的业务及质量活动,并向上报告分析评估结果——即使是不好的结果。2真实性:单位成员适合讨论和处理难点,包括个人表现、商业道德及工作单位中的困难。3授权:决策在尽可能的范围内由内在最佳位置的人做出,而不是基于职位或先例。4培训:全体人员定期接受有关成功完成业务及质量目标的知识和技能的提高培训。5创造和革新:在业务及质量系统持续改进的探索中,鼓励全体人员创造发明。6严格:工作单位定期检查和评价他们的工作表现,并持续寻找新的更好的方法,衡量他们的表现和成功满足股东们的期望。总分(0—60)给组织文化客观打分五评估组织文化的方法示例评估组织的文化,为你的组织选择合适的方法(二)0-25分对历史或传统方法有强烈的归属感和偏好(命令加控制型组织)26-40分中等程度—尝试转换组织文化41-60分新方式(授权运营组织)组织文化评估结果应用六实施CSA需要的资源CSA实施的资源安排示例项目估计备注CSA基础培训2天对于一个有经验的审计人员专题讨论会推动者初始培训10天将包括演示技能、处理人际关系、推动练习、录像及练习CSA数据记录专题讨论会成员工作前会议0.5小时推动者进行工作前面谈每个专题讨论会推动者的工作时间5天每种CSA各有差异