淺談控制自我評估在內部審計工作中的應用

摘要：本文介紹了控制自我評估內部審計技術的概念、產生的背景及主要方法，并結合國內外幾家大型企業控制自我評估應用的情況，對控制自我評估在內部審計工作中應用提出幾點淺薄的認識。

關鍵詞：內部審計 自我評估 財務

內部審計正從財務型審計向管理型審計、風險導向型審計發展，內部審計人員面對日益復雜的管理環境和控制流程，遇到了真正的挑戰。控制自我評估是一種在西方發達國家廣泛使用的內部審計技術和工具，它是由內審人員和被審單位管理層或業務人員直接參與的考察和評估內部控制效果的過程，其目的是為組織目標的實現提供合理保證。

一、控制自我評估產生和發展的背景

1978年生效的《美國反海外腐敗法》除了禁止對政府官員進行賄賂外，更重要的是該法提出了保持有效內部控制的強制性要求。針對20世紀80年代連續的公司治理失敗，全美反財務舞弊報告委員會及COSO委員會指出“控制環境”在財務報表的編制上有“更普遍深入的影響”。此時，一種能評價包括公司治理、經營理念、職業道德、溝通、人力資源政策和文化的工具已凸顯重要。

1987年，由于法庭判決要求報告內部控制制度以及傳統審計程序對發現公司內部舞弊無能為力，加拿大海灣公司的內部審計部門著手設計一套全新的方法，他們稱之為控制的自我評估。由員工和經理組成的各個小組出席由高級內部審計人員召集的為期一天的專題討論會，在這些討論會上，確認內部控制的運轉情況，并需要采取相應的措施。到1992年已能提供該公司全部活動的可靠且最新的信息。主要的風險經常在剛出現時就會被識別，在損失尚未蔓延前，公司的高級管理層就能采取糾正措施。海灣公司獨創的控制自我評估理念受到國際內部審計協會的贊許和推廣，其工作方法逐步在全球得到廣泛應用。

2002年，針對安然、世通等財務欺詐事件，美國國會出臺了《2002年薩班斯—奧克斯利法案》（簡稱薩班斯法案）。該法案強制要求上市公司年度報告中應包含內部控制報告及其評價，并要求會計師事務所對公司管理層做出的評價出具鑒證報告。由此，自我控制評估技術得到進一步的推廣。

在我國，自我控制評估的概念是在二十一世紀初隨著內審界對管理審計探索中從西方引進的。為規范內部審計人員在審計活動中應用控制自我評估法，提高審計效率，我國內部審計協會在2006年7月頒布實施的《內部審計基本準則》第21條具體準則中引入了控制自我評估的概念方法及原則，規定內部審計人員在實施內部控制審查與評價之前應適當應用控制自我評估法，根據控制自我評估報告考慮審計重點，以提高審計效率，促進內部控制審計目的的實現。

二、控制自我評估的主要方法

控制自我評估技術包括專題討論會形式、問卷調查形式、管理分析法等三種主要方法。內部審計人員可以根據組織的特點及內部控制審計的要求選擇不同的方法。

（一）專題討論會形式

專題討論會是指內部審計人員召集組織相關管理人員就內部控制的特定方面或過程進行討論及評估的一種方法。一個成功的專題研討會具有五個關鍵部分，其中四個部分主要由推動者負責。第一部分：在專題研討會前，推動者要與管理層和其他參與者面談，以便對專題小組的主要目的、當前的目標以及組織的整體戰略的重要性有了初步了解；第二部分：在簡要的介紹后，對業務運作及遇到的主要的障礙和困難進行討論；第三部分：以一種控制框架為指導，會議參與者回答一系列問題，確保所有的控制問題在專題討論會中都得到仔細研究；第四部分：盡快將討論的匯總信息發給參與者；第五部分：也是決定成功的最后一個部分是行動。專題小組根據事件重要性決定采取何種行動，使組織面臨重大風險的發現需報送高層和董事會，其余發現的事件應視小組資源和權限確定輕重緩急。

（二）問卷調查法

問卷調查法是指內部審計人員就內部控制的特定方面或過程以書面問卷的形式向組織相關管理人員收集意見的一種方法。問卷調查形式傾向于提出容易被問卷對象理解的、最為簡單的“是/不是”或“有/沒有”等問題。如果理想的問卷答復人太多，或分布分散，因而無法邀請他們參加研討班時，經常應用問卷調查方法。如果機構文化可能阻止在研討班環境下開展公開坦誠的討論，或者，如果管理人員希望最大限度地減少收集信息所花的時間和成本，應用這種形式也比較可取。

（三）管理分析法

管理分析法是指內部審計人員就內部控制的特定方面或過程向相關管理人員收集信息，并將之與其他來源的信息一起進行綜合分析的一種方法。這種方法目的在于能夠得出關于控制程序具體特點的及時、知情的判斷意見，一般由工作人員或輔助人員小組編制。內部審計師可以將這種分析與其他信息進行綜合，從而加強對控制程序的理解，并與業務或職能部門的管理人員一起分享這些知識。

三、國內外實施控制自我評估成功案例給我們的啟示

（一）新時代的審計——國際商業機器公司（IBM）

IBM公司2005年的全球雇員是30萬，收入884億美元。利潤81億美元。IBM的審計團隊以及使用的審計和控制工具是一流的，但是其最與眾不同的是審計與控制、系統與流程的結合。IBM公司從機構設置上把內審和控制緊密聯系在一起，其內審機構又稱為內部審計與業務控制部門（Internal Audit Business Controls）。該審計團隊中，有一部分是控制專家，他們負責提供控制培訓和推進控制實踐，著眼于電子商務、流程再造和效率改進建議相關的控制措施，他們與分布在全球的業務部門保持很好的溝通，又能給內部審計師提供建議和咨詢。IBM主要采用問卷調查法實施控制自我評估，一般半年實行一次，并得出業務流程評估和控制報告。內審機構提出一系列調查問卷，包含8個基本問題，各個業務部門可以對這些問卷進行個性化更改。問卷回答的結果按照矩陣式方式交叉對比，看存在哪些交叉問題。這種方法可以從不同角度關注重要問題。內審機構根據問卷調查的結果，按照重要性程度對控制存在的問題進行排名，作為內部審計工作的重點。

內部審計和業務控制的結合是IBM公司內審成功的關鍵，內審人員和業務部門實時保持著良好的溝通，使得控制自我評估內審技術得到充分的發揮。

（二）自我控制評估在寶鋼國際公司的應用

上海寶鋼國際經濟貿易有限公司（簡稱寶鋼國際）是上海寶鋼集團公司的全資子公司，1993年成立，注冊資本14.5億元人民幣。寶鋼國際作為寶鋼集團的三大產業支柱之一，負責寶鋼股份和集團內其他公司的購銷、進出口業務，經營的業務涵蓋鋼鐵、礦石、汽車、成套設備貿易，廢鋼加工回收業務，招標，電子商務及物流服務等。作為試點，寶鋼國際公司在寶鋼集團中率先使用控制自我評估技術。由審計部人員與被評估業務單元的管理人員共同組成控制自我評估項目評價小組，在外部咨詢顧問——德勤會計師事務所的指導下，協同事業部管理部，從內部控制特別是控制環境和業務流程入手關注崗位設置有無牽制、業務模式有無缺陷、執行者是否了解遵循制度、有沒有超越授權范圍、有沒有不在會計報告和公開的業務臺賬上反映的違規違法業務等高風險環節，幫助各業務單元自發提出切實可行的改善建議，并明確責任人和改善時間。

寶鋼國際是按以下步驟實施控制自我評估的：

（1）前期計劃工作。在取得管理層的支持后，公司選擇了德勤會計師事務所的風險管理部作為合作方，由其在工作方法和智庫方面提供幫助。組織了評價小組，并對中高級管理者和評價小組成員做了關于控制自我評估知識的講解和培訓。

（2）風險初步確定。通過訪談和穿行測試，確定了內部控制評價范圍，設計并發放調查問卷。通過反饋的問卷，分析內部控制的薄弱環節，列入研討會討論重點。

（3）研討會的組織與召開。確定參加人員和會議時間，提前通知參加人員并提供討論大綱。使用獨立的會議室，使用電子投票設備或其他匿名投票方式以最大限度保證與會人員的意見不受他人影響。每次研討會，評價小組都指定一位會議主席，主持研討會，并安排記錄員及時記錄。所提的問題和討論應緊緊圍繞高風險的內部控制的薄弱環節。會議主席應激發所有與會人員充分發表意見，獨立思考，并針對內部控制的缺失提出建設性的改善建議。會議主席還應控制會議進程，避免跑題和陷入互相指責、爭吵的混亂局面。

（4）出具內部控制自我評估報告。評價小組把討論的問題歸類整理，認真分析，適當做出中肯的評論，并以打分的形式列出評價對象的風險程度。在每個高風險點后都有集體討論后提出的內部控制完善措施和責任人、完成時間。內審人員運用風險控制矩陣（Risk Control Matrix，簡稱RCM）模型，列出一個矩陣式的表單，包括流程環節、控制點、控制措施、風險程度、改善措施、責任人、完成時間。

（5）落實整改措施。落實整改是內部控制持續完善的關鍵一步，也是開展內部控制評價的最終目的。

審計部在業務人員實施整改后安排后續追蹤。同時，還運用調查問卷的方法了解員工對控制自我評估的認知度，以及對本次內控評價的看法和建議，以便于在下次評價活動中進一步完善工作方法。

寶鋼國際公司對自我控制評估技術使用非常完整，它采用調查問卷和專題討論會相結合的方法，并借助了中介專家的力量，給國內企業首次使用自我評估控制技術的內審人員提供了豐富的、可操作性很強的經驗。

四、對控制自我評估在內部審計中應用的幾點思考

（一）控制自我評估要做好充分的前期準備

無論采取哪種形式的控制自我評估方法，都要做好充分的前期準備。首先，要取得公司領導的理解和支持，只有取得公司領導的重視，才有可能在公司上下形成良好的控制氛圍，才能順利地開展自我評估控制；其次，要對參與控制評估的相關人員進行溝通和培訓，控制自我評估的過程實質上是一種自發的自我評估運營程序，它把傳統的只由內部審計人員從事的內控評價轉由公司各部門參與作業的人員親自評估，內審人員要使他們認識到內部控制不只是內部審計工作的責任，也不僅僅是高級管理層應關心的問題，應該把它看做是組織所有成員的事，充分調動參與人員的積極性和創造性；最后，內審人員要具備充分的能力和有效的工作方法開展控制自我評估，如果內審資源缺乏，在條件允許的情況下，可適當借助內外部專家的力量。

（二）有效整理控制自我評估報告，推進評估成果應用

實施自我控制評估的目的就是集思廣益，解決企業在各個業務流程中存在的缺陷，有效化解企業存在的風險。一份高質量的控制自我評估報告不僅包括企業當前控制流程存在的薄弱點，還要包括解決這些薄弱點應采取的控制措施和改善措施。改善措施要有明確的人員負責實施，要有實施的時間，反饋的方式等，使自我控制評估成果在實際工作得到應用，真正解決企業控制問題。內審人員把自我控制評估報告列示的重點問題作為審計工作的重點。在業務較為單一的集團公司下，如電力公司，各個基層單位的控制自我評估報告可以互相交流，并可作為編制內部審計實務指南手冊的參考。

（三）控制自我評估要和風險評估工具相結合

風險導向審計的概念傳統上是以對控制的觀察和分析開始的，繼而對經營相關的風險進行確認，最后確認審計活動是否與組織的目標一致。在現代內部審計中，風險和控制有著緊密的關系，二者是分不開的。風險評估工具是西方廣為采用的審計工具，它適用于柔性與硬性控制，促使組織內部審計工作由整體到個別貫徹風險評估的思考過程，并能彌補傳統問卷記錄控制方法的不足?？刂谱晕以u估和風險評估工具相結合，能夠使控制自我評估達到更好的效果。內審人員可以根據風險評估的結果，按照風險程度大小，選擇開展控制自我評估的對象，使企業可能存在的重大風險及時得到規避或轉移。

近年來，不少國內大中型國有企業陸續成立風險管理委員會，作為公司的一個高級專業委員會，委員會負責對公司及所屬子公司的風險進行評價、建立預警機制。風險管理的發展為控制自我評估的使用提供良好的控制氛圍和技術支持。

（四）控制自我評估要與信息化管理結合

隨著信息技術的日益發展，一些大中型企業的業務流程逐漸由計算機軟件自動化代替手工操作。業務流程的效率得到提高，同時也給內審人員提出新的課題。管理信息系統作為企業內部控制和管理的重要子系統，也在評價范圍之內。把內部控制審計和信息系統審計結合能為企業提供更多的增值服務，也是內部審計的發展方向。內部審計人員可考慮在信息系統研發階段，利用信息系統和計算機網絡的建設，在系統中加入自動控制點和各種自動評價機制，可以是定期的，也可以是在特殊情況出現時。

（五）內審人員日常與業務部門保持良好的溝通是推進自我控制評估的潤滑劑

實施控制自我評估是一種自發的自我評估運營程序，內審人員應使業務部門認識到，控制自我評估不單是審計人員的事，也不是管理人員才要思考的事，而是對全公司經營目標服務的，人人有責。內審人員要調動業務部門人員的積極性，日常與其保持良好的溝通是非常重要的。內審人員在日常工作中，盡可能地向業務部門提供控制咨詢，讓他們認識到，控制自我評估技術實際上為業務部門搭建了一個平臺，通過這樣的平臺，業務部門能夠利用集體的智慧持續改進本部門的業務流程，而不是內審人員雞蛋里頭挑骨頭，給業務部門出難題、找麻煩。

參考文獻：

[1]《內部審計實物標準》實務公告2020A1，由國際內部審計協會頒布

[2]《世界領先公司的內部審計》——會計視野網

[3]《內部控制自我評價在寶鋼的運用》——會計研究

[4]《索耶內部審計》作者：Lawrence B.Sawyer， Mortimer A.Dittenhofer等