公司治理、内部审计与控制自我评估(1)
摘要:内部审计引导和推进控制自我评估,控制自我评估是内部审计自身的发展,控制自我评估和内部审计是公司治理的重要手段,并对公司治理产生了至关重要的影响。因此,内部审计人员应掌握和发展控制自我评估,在公司治理中发挥独特的作用。
关键词:控制自我评估;内部审计;公司治理
控制自我评估(control self assess,简称csa)是经理层及其员工对他们设计的、旨在实现其目标和控制相关风险的控制系统进行评估的过程。作为风险和控制专家的内审人员积极促进了控制自我评估的开展。但这带来了新的疑惑:经理和员工参与控制评估,是否会逐渐削弱或取代内审人员在控制评估中的地位?另一方面,公司治理已成为全球关注的热点问题。广义的公司治理,是通过一套正式或非正式的、内部的或外部的制度或机制来协调公司与所有者、利害相关者之间的利益关系,以保证公司决策的科学化,从而最终维护公司各方面的利益。控制自我评估如何能为公司治理作出贡献,为审计师和管理层所共同关注。本文试图立足公司治理,探讨控制自我评估与内部审计和公司治理的内在联系。
一、控制自我评估的概念及内部审计的作用 这一核心概念在界定了控制自我评估的基本规律的同时,还强调内部控制系统既不是内部审计工作的责任,也不仅仅是高级管理层应关心的问题,相反,应该把它看成是所有雇员共同的责任。控制自我评估体现了应该最先询问那些参与了风险评估过程以及执行了整个控制过程的人。它所包含的不断改善与现代的全面质量管理概念非常匹配,与整体协作的概念及群体学习的模式也有相通之处,因而在今天的商业社会中存在着巨大的潜能。
控制自我评估是在进行内部审计的过程中发展起来的,并且今天它仍受内部审计部门的领导。但是,随着时间的推移,控制自我评估是否可能演化成由管理部门或职能单位负责的活动呢?对内部审计在控制自我评估中的作用问题一直存在着不同意见。本文认为,控制自我评估是对传统的内部审计形式的一种补充和发展,是广义的内部审计理论中的一种技术方法,同时又采用了完全不同的手段。控制自我评估可以对一些模糊的东西进行计量,可以对软控制进行评价,这是传统的审计方法所难以做到的,而COSO的研究表明,那些不太定型的部分正是这么多控制失败的关键。
国际内部审计师协会(IIA)1999年将内部审计定义为企业内部一项独立客观的咨询活动,它以增强价值、促进单位经营为基本指导思想,通过系统化、规范化的方法评价和提高单位风险、管理控制和管理过程的效果,帮助其完成目标。在此定义指导下的内部审计,已突破了以往“内部警察”的形象,拓宽了职能范围,在公司治理和企业管理中提升了自身地位。控制自我评估就是这种转变的体现,它的产生和发展源自内部审计重要的推进作用。内部审计人员担负起控制自我评估过程中极其重要的组织和协调工作,以高质量的小组协调推动技术推进控制自我评估的进展和成效。
二、控制自我评估对公司治理的影响分析
1. 控制自我评估使管理层能够进行有效的控制。管理层负责建立和维持有效的控制系统。这意味着管理层必须检查系统的设计是否合理,应用是否有效。为了实现这一目标,管理层及其员工需要足够的工具、方法和时间对控制系统进行检查。由于这些要素的稀缺性,这项工作常常无法完成,或者交由其他人,如内审人员承担。而控制自我评估可帮助经理及其员工完成这项工作,并通过自我评估增强了自我控制。
2.控制自我评估是使对控制系统的连续检查和改进得以进行的简单而有用的方法。换句话说,一旦学会和应用控制自我评估方法,就可用控制自我评估的思维思考,即使没有专门场所,也能考虑和实施对新情况的控制。当职能经理用控制自我评估检查其控制系统时,如果经营“在控制中”,他们获得对控制系统的信心;如果不是,他们也能了解情况并采取有效的措施。在组织中使用控制自我评估也给CEO和董事会提供了保证,以使他们能把信心建立在可靠的信息的基础上,而不只是依靠感觉和希望。
3. 控制自我评估聚焦于管理层有效控制的责任。它提供鼓励内部审计发挥作用的论坛,用公开、开放的讨论代替了一对一的会见和文件搜索。作为风险和控制的专家,内审人员评价与风险有关的控制系统,为组织提供“在控制中”的保证。内审人员在确定改进无效控制系统的必要性和方式时,需要管理层的协助,控制自我评估就是这样的一种理想方法,把获得协助当作改进控制系统和绩效的基础。在以公开和坦诚为主要规则的讨论中,控制自我评估使内部审计和职能管理联系更加紧密。除了改进控制系统之外,控制自我评估还增进了对组织风险和控制的理解。这样,经理和员工在发展和评价控制系统时就变得更自主,也能更有效地实现他们的目标。
4. 控制自我评估可以评价和改进软控制。以前,人们认为控制就是行政控制,以授权和职责分工为主要内容。新的控制架构和模型中一个最主要的发展是认识到软控制的基础作用。软控制是控制中人文的方面,包括领导,团队,文化,价值,交流,责任,预期,弹性和能力。现在用责任代替授权,用信任和监督代替职责分工。由于创造了公开、开放的讨论气氛,控制自我评估可以评价软控制,小组自身在此过程中也变成控制系统一个明显的软性组成部分。通过控制自我评估也可以改进软控制。要求不断改进的控制自我评估作为控制系统的驱动力,使评估小组得到提高,变得更加理解风险和控制,增强了对风险的敏感性和预测能力,而这种预测和适应性可使所需的控制数量更少而效果更佳。
5. 控制自我评估是为CEO和董事会提供组织“在控制中”的普遍保证的主要方式。控制自我评估表格是关于目标、风险和控制的集中记录。但在对组织风险进行全面描述和总体评价时,控制自我评估可以减少不必要或不高效的控制。另外,由于可以按照控制系统有效性的提高程度对经理人员进行排序,控制自我评估可以有效地实现对人员的评估。
三、控制自我评估、内部审计与公司治理的相互关系
内部审计在IIA的质量保证检查手册中被定位为一种公司治理内的内部保证程序。也可以将内部审计描述为“一种通过它组织可获得关于动态变化环境中的风险暴露已得到恰当管理的保证的过程”。这意味着,内部审计不是仅仅提供保证——不能提供保证的地方,内审人员致力于改进。甚至这样也不够,为了加强控制系统的效果,内审人员逐步理解组织的动态环境、风险和控制。这提高了人们预期动态环境的变化,识别将出现的风险,以及在如何控制这些风险方面变得更具适应性和更加灵活的能力。
当推动控制自我评估的进程时,内部审计人员对组织状况的理解得到最佳发展。推动不仅仅是指引导评估过程,还包括促进参与者借以对风险和控制进行自我评估的学习过程。因此,内部审计通过控制自我评估与风险管理相联系,成为公司治理的一部分。内部审计就是通过控制自我评估管理风险的那部分公司治理程序。
另外,由于可以与董事会保持沟通,提供组织 “在控制中”的保证,而内部审计的超然独立地位和专业背景又增强了这些信息的质量和可靠程度,内部审计对董事会的公司治理活动也很重要。一般而言,内部审计站在第三者的立场对现状进行公正、完整、客观的描述。而控制自我评估的结果是参与者自己的语言,内部审计收集这些信息以推动控制自我评估的进展,因此可以说控制自我评估又增加了一种沟通的方式,即向董事会传达控制实施者自己的体会和感想。而且,正是在控制自我评估过程中,绩效目标得到讨论和接受,工作小组承担了有效控制和风险管理的责任。控制自我评估产生了数量更少而效果更好的控制,因而有助于公司治理。
四、结论
控制自我评估是一个职能经理借以检查和提高他们所负责的控制系统有效性的理想程序。这样经理层能更好地对作为目标起点的机遇和可能对目标产生负影响的威胁这两类风险进行管理,有把握地相信他们所负责的职能“在控制中”。控制自我评估能够深化组织对其风险和控制的理解,改善其实现目标的能力。它通过在控制系统中建立人力结构,增强人员能力来达到目标。而人员的敏感性、预测能力和适应性是组织管理其所面对的机遇和威胁的能力中最重要的因素。从这个意义上讲,控制自我评估对公司治理具有重大贡献。
内部审计是公司治理的一个基本组成部分,提供关于风险和控制的保证,有助于改进风险管理和控制系统,拓展对组织情况、风险和控制的理解。这直接增强了控制系统中人的方面,使人们能够对风险更加敏感,能够预期需要加以控制的条件和情况。当内审人员在控制自我评估过程中推进职能小组的学习时,对组织情况、风险和控制的知识就得到了发展和深化。因此,掌握和发展控制自我评估技术,内部审计才能更好地在公司治理中发挥独特作用。
参考文献:
1.王戈编译.控制自我评估简介.审计研究资料.1997,
(11).
2.保罗·马克兹.控制自我评估的几个重要方面.审计研究资料.1997,
(11).
3.Barry S LEithhead.Control Self Assessment’s Contribution to Corporate Governance.Barry S LEIthhead,July 21,1998.