内部控制自我评估CSA技术与应用.ppt

内部控制自我评估（CSA）技术与应用 第一部分 什么是控制自我评估（CSA） 第二部分 CSA的常用方法第三部分 CSA方法的选择与实施第四部分 推动型专题讨论会实施的一般流程第五部分 推动CSA研讨会成功的关键技巧第六部分 收集和报告CSA的结果第七部分 CSA应用中的注意事项 上图是客观评估组织文化的一种模版， 为了获得管理层的强力支持，许多审计团队给管理层演示，什么是CSA和为什么CSA是组织中不可或缺的一部分。他们也可以制作一个宣传册，描述CSA工具以及如何使用这些工具。将CSA与管理目标（如提高市场份额、降低费用）而不是与传统的控制目标（如保护财产）相联系，有助于获得管理层的支持。因此，许多成功的审计团队是在管理层感兴趣的领域而不是传统的审计领域开展他们的第一次CSA的。另一个关键策略是从管理层（非审计人员）中找到高层的赞助者或支持者，他们将帮助预先安排CSA、提供有价值的反馈及在首次CSA项目中提供指导。 通过试点获得首次成功也是推介CSA的一种关键技巧，它不仅可以呈现业务流程在组织中是如何运作的，还可帮助建立对审计部门的信任。因此，CSA工作团队的管理层本身即可认识到CSA的价值所在，而不再借助于内部审计部门。许多推动者为首次试点专题讨论会选择对员工授权程度高的领域，这些领域便于CSA工作，有利于管理层看到自我评估工作的价值。当CSA在组织内部获得认可，审计团队就可以在组织内其他较难开展的领域，继续进行CSA，组织也可从中受益。 最后，为了便于学习CSA及其作用，很多审计团队开始在内部审计中对审计目标实施CSA，这为推动者提供了一个安全的学习与实践的场所，并积累了CSA实践经验，同时帮助审计人员实现诸如“保证审计报告的准确”、“确保审计新手在企业内的成功”及“确保CSA的实施是成功的”之类的目标。 0－25分 对历史或传统方法有强烈的归属感和偏好（命令加控制型组织） * 有限而非常小心地运用自我评估的概念和工具； *给管理人员、技术专家和内部审计师提供控制评估与设计培训；* 提供有关控制设计与风险管理的书面政策。* 如果内部各单位进行自我评估，在团队中采用匿名投票，或努力保护雇员免受来自管理层或其他人的惩罚与报复。* 内部审计师明确目标、评价控制与剩余风险状况及提出建议，既可能是审计人员也可能是管理人员决定剩余风险是否可接受。* 为高级管理人员和审计委员会提供有关控制监督和控制模型（COSO、CoCo）的培训。 26－40分 中等程度—尝试转换组织文化 * 为内部各单位或分支机构提供自我评估服务是可以接受并有理由认为是“安全”的（如：人们能够放心地讨论存在的问题）。* 为感兴趣的各单位或经理们提供控制评估与设计技能培训。* 尝试向高级管理人员和董事会推介新思路所能带来的可见益处。* 需要各单位提出有关控制与风险现状的说明，这些必须有证据支持及可被证实。* 如果高级管理人员非常支持组织文化的转变，就可在全组织范围内实施自我评估。此时一定要警惕“历史或传统”形式运转不灵以及治标不治本敷衍了事的倾向。 41－60分 新方式（授权运营组织） * 在组织中全面应用控制和风险自我评估。* 各个单位定期进行自我评估、改进他们的控制设计及向上级报告控制及风险的状态。* 全体员工定期地接受控制、质量评价及改进方法和工具的培训。* 内部审计师提供控制和风险管理培训、指导及质量鉴证服务。* 经理们能够胜任其所在部门推动自我评估各阶段的工作并能为团队成员提供指导。* 基于事实管理被认可和提倡。* 高级员工和审计委员会提供支持和鼓励。* 有关自我评估质量的信息被反馈给各单位以协助他们改进控制评估和设计技能。 上图是一些企业实施CSA的一些成功方法，可供大家借鉴。 为CSA专题讨论会做的准备工作可以在实际会议召开的前几周开始。视讨论会的方式和目的不同，用于计划的时间也是不同的。计划步骤包括： * 与讨论会成员的上级见面，以了解他们的业务、业务目标，并且向他们解释CSA程序。 * 了解工作团队或部门的文化。讨论会参与者之间相互沟通的自由度如何？在公司中存在会对工作团队及其参与的意愿产生重大影响的因素或事件吗？* 选择CSA讨论会中采用的业务目标或程序。这将有助于确定应该参加的人选。你需要的是业务专家来参加会议。通常需要其他部门的人员，甚至还包括顾客或供应商。 * 通过查询以前的审计底稿、参考资料或者其他信息来源来更多地了解业务。最低限度，推动者和记录员需要了解团队通常采用的专业术语和技术术语以及重要的计算机系统或程序的名称。这样，通过了解这些应获得的背景资料，以避免因推动者而拖延讨论会的进程。 * 与尽可能多的讨论会参与者面谈，以了解他们的工作和他们