内部控制自我评估CSA技术与应用课件

内部控制自我评估（CSA）技术与应用内部控制自我评估（CSA）技术与应用1第一部分什么是控制自我评估（CSA）

第二部分CSA的常用方法

第三部分CSA方法的选择与实施

第四部分推动型专题讨论会实施的一般流程

第五部分推动CSA研讨会成功的关键技巧

第六部分收集和报告CSA的结果

第七部分CSA应用中的注意事项目录第一部分什么是控制自我评估（CSA）

第二部分C2第一部分什么是控制自我评估（CSA）？控制自我评估（CSA）产生的背景什么是控制自我评估（CSA）什么使CSA不同于其他的内部审计方法控制自我评估（CSA）的益处第一部分什么是控制自我评估（CSA）？控制自我评估（CS3一控制自我评估（CSA）产生的背景（一）（1）来自监管的声音《美国反海外腐败法》（1978年）带来的影响Treadway报告的重要发现（二十世纪80年代）（2）组织自身发展的需要企业变革——CSA的另一个推动力内部审计旧职能面临企业变革的挑战为什么需要控制自我评估？一控制自我评估（CSA）产生的背景（一）为什么需要控制自4一控制自我评估（CSA）产生的背景（二）促成该公司实施CSA的两个环境因素尝试CSA后的重要发现

经过多次使用并总结后，内部审计师发现：这种评估方法能使主要的风险在刚出现时就被识别，在没有造成重大损失蔓延之前，就能及时地使公司的高级管理层采取纠正措施。审计活动的新工具——加拿大海湾资源公司的贡献一控制自我评估（CSA）产生的背景（二）经过多次使5一控制自我评估（CSA）产生的背景（三）COSO框架——提供科学的内控框架和评估框架国际内部审计协会（IIA）对COSO框架和CSA的专业认可《萨班斯（SOX）法案》&《PCAOB——ASNO.2》提供了法规认可CSA从幕后走到台前——有效推动CSA的各方力量一控制自我评估（CSA）产生的背景（三）CSA从幕后走到6CSA是一种程序，通过这种程序，内部控制的有效性得到检查和评估。其目标是为实现所有的经营目标提供合理保证。

——国际内部审计协会（IIA）1998CSA是一个过程，通过此过程，员工小组和基层的、行政级的管理层可以持续保持对那些影响组织目标实现可能性的因素的了解，从而使他们能够作出适当的调整……

——《索耶内部审计》二什么是控制自我评估（CSA）CSA的定义CSA是一种程序，通过这种程序，内部控制的有效性得到检查和评7一线员工（而非内部审计师）评估内部控制；不涉及内部审计的情况下也可在组织内进行自我评估；应用新方法、新技术，例如团队推动技术、调查、匿名投票或投影装置；评价非正式控制或“软”控制的更好方法，被审计一方合作与参与；通常情况下，由工作团队或“客户”而不是内部审计师出具CSA报告；可运用专题讨论会向工作团队传授风险评估和内部控制设计的知识；内部审计师的角色是推动者及风险和控制理念的传授者，而客户是具体内容的专家；较之传统审计，大多数客户似乎更偏爱CSA;管理层参与得更多；由于CSA应用参与和合作的方法，因此评估结果得到接受的可能性更大。什么使CSA不同于其他的内部审计方法(一)

CSA与传统审计的区别点一线员工（而非内部审计师）评估内部控制；什么使CSA不同于其8什么使CSA不同于其他的内部审计方法(二)

CSA的职责转换职责传统方法CSA方法制定企业目标管理层管理层评估风险管理层管理层内部控制的充分性管理层管理层评估风险和控制审计师工作团队报告审计师工作团队验证对风险和控制的评估审计师审计师所使用的目标审计师的目标管理层的目标什么使CSA不同于其他的内部审计方法(二)CSA的职责转换91、CSA有助于所有员工更好地理解和承担对有效的内部控制和风险管理的职责和义务。2、参与者“自身拥有”成果，纠正措施可以更富有成效。3、迅速地厘清关键的风险和控制，扩大了重要事项的范围。4、改善了所有层次的沟通。5、有助于提高组织整体的内部控制的自觉性6、改善组织的控制环境7、提高审计工作效率四控制自我评估（CSA）的益处CSA的七大益处1、CSA有助于所有员工更好地理解和承担对有效的内部控制和风10第二部分CSA的常用方法

CSA的三种主要方法专题研讨会法的四种形式问卷调查法的应用管理层分析法的应用处如何使用正确的方法进行CSA?第二部分CSA的常用方法

CSA的三种主要方法11专题讨论会法（推动的团队会议）：专题讨论会是进行CSA的最受欢迎的方法。专题讨论会是一种会议，此会议由内部审计师来推动，用来评估既定的目标或过程的风险和内部控制。问卷调查法（即调查）：CSA的问卷调查或调查法使用一张调查表，被调查人只需做简单的“是/否”或者“有/没有”的回答。流程负责人使用调查结果来评估他们的控制结构。管理层分析法：

管理结果分析法是指除上述两种方法之外的任何CSA方法。一CSA的三种主要方法CSA的三种主要方法专题讨论会法（推动的团队会议）：专题讨论会是进行CSA的最受12以目标为基础的以风险为基础的以控制为基础的以过程为基础的二专题研讨会法的四种形式（一）专题研讨会法的四种形式以目标为基础的二专题研讨会法的四种形式（一）专题研讨会法的13（1）定义：

以目标为基础的专题讨论会形式，更注重实现目标。讨论会先要确定当前的控制是否满足目标，然后识别剩余风险。讨论会的目的是确定内部控制措施是否充分，最后,剩余风险是否处于一个可以接受的水平（剩余风险是那些无需缓释的风险）。（2）评估顺序：二专题研讨会法的四种形式（二）以目标为基础的专题研讨会法目标控制评估剩余风险（1）定义：二专题研讨会法的四种形式（二）以14（1）定义：

以风险为基础的专题讨论会形式，注重实现目标所面临的风险。这种形式首先立足于识别各种可能妨碍目标实现的障碍（固有风险)，然后确定控制措施来确保它们能够有效地控制这些关键的风险。最后，任何一个重要的剩余风险也被识别出来。在讨论会的过程中，以风险为基础的形式会带着工作团队完整地执行“目标——风险——控制”的程序。（2）评估顺序：二专题研讨会法的四种形式（三）以风险为基础的专题研讨会法目标风险评估剩余风险控制（1）定义：二专题研讨会法的四种形式（三）以15（1）定义：

以控制为基础的专题讨论会形式，注重控制如何更好地发挥作用。它与前两种形式的区别是：讨论会之前，在CSA的策划过程中，是由审计师来识别关键的风险和控制的。这更像一个传统的审计过程。这种识别方法可以通过与管理层和员工的面谈、编制流程图等方式来进行。更好的方法是：这种信息将可以从工作团队成员自身已有的文档中直接获得，毕竟这是整个团队的责任之一。（2）评估顺序：二专题研讨会法的四种形式（四）以控制为基础的专题研讨会法对现存风险和控制达成一致意见评估（1）定义：二专题研讨会法的四种形式（四）以16（1）定义：

以过程为基础的专题讨论会形式，既检查公司层面的总体流程，又检查其经营层面的活动。讨论会的目的是评估、修正、确认和/或使得流程更有效率。在这里，“流程”的意思是指一系列看起来是相关的、首尾相连的活动，如采购过程、产品开发、合同准备、收入过程等等。（2）评估顺序：二专题研讨会法的四种形式（五）以过程为基础的专题研讨会法流程目标经营层次目标评估（1）定义：二专题研讨会法的四种形式（五）以17（1）两个核心问题：

什么事情有助于或使你能够实现所在部门的目标？什么事情阻碍了你实现部门的目标？二专题研讨会法的四种形式（六）情景分析式专题研讨会法授权障碍讨论障碍的解决方案（2）评估顺序：（1）两个核心问题：二专题研讨会法的四种形式18（1）注意事项：

尊重管理层的偏好考虑内部审计部门作业方法与行为习惯的承受能力依赖于管理层对内部审计的理解二专题研讨会法的四种形式（七）如何在这些方法中进行选择？（1）注意事项：二专题研讨会法的四种形式（七）如何19通常是在组织的文化不能有效地支持和接受率直的讨论会与会者的反映（此时与会者不会公开地和诚实地讨论问题）时使用。问卷调查法也可用于加大自我评估的范围，节省时间和经费。对调查的回答既可以是匿名的，也可以是实名的。三问卷调查法的应用（一）问卷调查法的应用条件通常是在组织的文化不能有效地支持和接受率直的讨论会与会者的反20三问卷调查法的应用（二）问卷调查法的优缺点优点缺点能够获得更好的覆盖面没有后续跟踪，回答或许不真实对每一个参与者的时间要求少没有机会阐明问题或在现场没有适当的反应可以是匿名的，几乎不增加费用问卷回收率可能低不要求推动技能和会议协调

三问卷调查法的应用（二）问卷调查法的优缺点优点21三问卷调查法的应用（三）什么情形下，问卷调查法比专题讨论会法更好？组织文化管理层意志低成本策略缺乏组织经验时效性要求高三问卷调查法的应用（三）什么情形下，问卷调查法比专题讨论22三问卷调查法的应用（四）进行成功调查的技术在准备调查问卷时，一些有用的提示包括：使用被调查人的语言。每一个问题只关于一个主题。对被调查人使用含义清晰的词。首先问容易回答的问题。保持问题的简短。以个人的名义邮寄问卷。亲自分发和收集问卷调查。在面谈中，使用问卷调查作为一种交流的工具。三问卷调查法的应用（四）进行成功调查的技术23管理层自行开发和实施问卷调查，用以评估合规性。在高级财务管理人员中对本年度拟定的财务报告适当性的讨论，对控制失效或舞弊发生原因的调查一个新开发的系统、或业务单元的合并所牵涉的内部控制评估四管理层分析法的应用管理层分析法的应用样例管理层自行开发和实施问卷调查，用以评估合规性。四管理层分24第三部分控制自我评估（CSA）方法的选择与实施选择正确的方法进行控制自我评估（CSA）组织文化对审计和CSA的影响实施CSA方法的基本步骤推介CSA评估组织文的方法巧示例实施CSA需要的资源示例成功实施CSA的方法示例第三部分控制自我评估（CSA）方法的选择与实施选择正确的25企业文化。行业的性质内部审计部门精通的专业领域和经验管理层态度和支持程度成本内部审计师的适应能力审计活动的资源审计委员会的态度。他们是否认为这种方法有作用？组织中内部审计的历史沿革考虑哪种CSA方法在组织内部更容易推行。一选择正确的方法进行控制自我评估（CSA）选择CSA方法必须考虑的重要因素企业文化。一选择正确的方法进行控制自我评估（CSA）选26如果一个雇员将问题报告给他的上级反而因此受到训斥会怎么样？他将来还会再揭露问题吗？——NO!如果一个雇员建议一种新的比较好的做法，而负责人未加考虑就给否决了，并说“我们不要不务正业”会怎么样？这个雇员下次还会再提出新的建议吗？——NO!如果一个负责人告诉团队成员，希望他们发挥主动和自主决策，但是实际中却每次都予以否决会怎么样？团队成员们将来还会再做决策吗？——NO!二组织文化对审计和CSA的影响（一）关于组织的文化如果一个雇员将问题报告给他的上级反而因此受到训斥会怎么样？他27二组织文化对审计和CSA的影响（二）两种典型的组织形式对审计和CSA的影响组织类型趋势部门差别审计服务审计重点审计类型二组织文化对审计和CSA的影响（二）两种典型的组织形式对28三实施CSA方法的基本步骤CSA实施的基本步骤第一步确定自我评估的目标。为什么你要在你的组织中实施CSA？第二步确定管理层的角色管理人员将最终得到内部控制报告吗？是：所有的关键决策牵涉管理人员。否：保证管理人员知悉全部内部控制战略和政策的变化。第三步评价企业文化文化适合CSA吗？是：选择CSA形式：问卷调查、管理层分析法、推动型会议形式。组织文化长期目标将决定上述选择。）否：CSA是你的组织的长期战略吗？是：继续决策进程否：运用你已经掌握的控制设计技能来改善你的传统审计三实施CSA方法的基本步骤CSA实施的基本步骤第一步确29三实施CSA方法的基本步骤CSA实施的基本步骤第四步选择内部控制框架CSA将使用一种内部控制框架吗？是：选择公认的框架？是：选择满足业务需要的框架否：建立自己的内部框架否：如果需要，确定汇总过程。确定对CSA的完全性控制第五步确定自动化水平，CSA将使用匿名投票吗？是：挑选软件提供商？是：与供应商签订合同否：设计数据收集处理程序否：设计手工数据收集处理程序三实施CSA方法的基本步骤CSA实施的基本步骤第四步选30三实施CSA方法的基本步骤CSA实施的基本步骤第六步选择审计师友好的领域进行试点，或考虑在审计范围内实施CSA试点专题讨论会第七步建立具体实施策略，包括如何推介CSA。第八步实施策略。三实施CSA方法的基本步骤CSA实施的基本步骤第六步选31四推介CSA方法推介CSA必须要回答的问题——为什么要在我们的组织实施CSA?推介CSA方法：CSA演示什么是CSA,为什么要应用CSA？宣导、宣传册……注重管理层关注的领域在管理层找到高层的支持者尝试试点…………四推介CSA方法推介CSA必须要回答的问题——为什么要在32五评估组织文化的方法示例评估组织的文化，为你的组织选择合适的方法（一）分数为0＝强烈反对10＝强烈认同关注要素分数1安全性：高级管理层喜欢及奖励个人和单位，分析和评价他们的业务及质量活动，并向上报告分析评估结果——即使是不好的结果。

2真实性：单位成员适合讨论和处理难点，包括个人表现、商业道德及工作单位中的困难。

3授权：决策在尽可能的范围内由内在最佳位置的人做出，而不是基于职位或先例。

4培训：全体人员定期接受有关成功完成业务及质量目标的知识和技能的提高培训。

5创造和革新：在业务及质量系统持续改进的探索中，鼓励全体人员创造发明。

6严格：工作单位定期检查和评价他们的工作表现，并持续寻找新的更好的方法，衡量他们的表现和成功满足股东们的期望。

总分（0—60）

给组织文化客观打分五评估组织文化的方法示例评估组织的文化，为你的组织选择合33五评估组织文化的方法示例评估组织的文化，为你的组织选择合适的方法（二）0－25分对历史或传统方法有强烈的归属感和偏好（命令加控制型组织）26－40分中等程度—尝试转换组织文化41－60分新方式（授权运营组织）组织文化评估结果应用五评估组织文化的方法示例评估组织的文化，为你的组织选择合34六实施CSA需要的资源CSA实施的资源安排示例项目估计备注CSA基础培训2天对于一个有经验的审计人员专题讨论会推动者初始培训10天将包括演示技能、处理人际关系、推动练习、录像及练习CSA数据记录专题讨论会成员工作前会议0.5小时推动者进行工作前面谈每个专题讨论会推动者的工作时间5天每种CSA各有差异每个专题讨论会参与者的时间2－4小时每个目标的时间每个专题讨论会领导的人数21个推动者、1个记录员每个专题讨论会成员的人数6-16人应用决策步骤六实施CSA需要的资源CSA实施的资源安排示例项35七成功实施CSA的方法示例CSA实施的具体示例组织一对全体审计人员进行CSA的基本培训，而后培训一部分审计人员的推动技巧，再雇用一名外部咨询人员指导两次专题讨论会。组织二雇用一名外部咨询人员计划并指导一个试点的专题讨论会，而后就CSA的基本概念及推动技巧对部分审计人员进行培训。组织三购买匿名投票的硬件和软件并指导一个试点专题讨论会使用投票工具。组织四实施对全体审计人员的CSA的基本培训，而后培训一部分审计人员的推动技巧，再让使用培训过的审计人员在审计部门内指导他们的首次专题讨论会。组织五派一个人接受CSA的基本概念及推动技能培训，并由这个人指导一个首次试点专题讨论会。组织六实施对全体审计人员的基础CSA的培训，而后培训一部分审计人员的推动技巧，再雇用一名咨询人员提供有关CSA咨询方法的特定培训。咨询人员推动若干个试点专题讨论会。组织七派一个人接受CSA的基本概念及推动技能培训，并由这个人使用推动型专题讨论会来收集后续两次审计所需的信息，以此作为练习，然后指导一个首次CSA试点专题讨论会。七成功实施CSA的方法示例CSA实施的具体示例组织一对全36第四部分推动型专题研讨会实施的一般流程进一步认识推动型专题研讨会为CSA专题研讨会做准备CSA专题研讨会的基本议程CSA试点第四部分推动型专题研讨会实施的一般流程进一步认识推动型专37一进一步认识推动型专题研讨会内部审计师必须知道的会议的组织者：内部审计师（推动者、记录员）会议的参与者：业务部门的管理者、专家、直线员工会议的人数规模：6-15人会议的持续时间：2-4小时会议的目的：确定和评估控制的充分性和目标、流程和部门所面临的风险一进一步认识推动型专题研讨会内部审计师必须知道的会议的组38二为CSA专题研讨会做准备CSA专题研讨会准备工作步骤与讨论会成员的上级见面了解工作团队或部门的文化选择CSA讨论会中采用的业务目标或程序通过查询以前的审计底稿、参考资料与尽可能多的讨论会参与者面谈安排和确认会议后勤工作派发讨论会前期阅读材料。二为CSA专题研讨会做准备CSA专题研讨会准备工作步骤与39CSA专题研讨会的基本议程（一）CSA专题研讨会基本议程开场白破冰游戏（Icebreakers）基本原则解释CSA程序采用CSA方法中的一种，开始进行自我评估分发CSA报告的草稿给参与者CSA专题研讨会的基本议程（一）CSA专题研讨会基本议程开场40CSA专题研讨会的基本议程（二）制定CSA研讨会的基本原则每个人都参与没有人垄断讨论会不允许进行单边沟通尊重异己观点对提出供团队分享的信息的人要进行保密要有效地管理时间：讨论会准时开始，结束后每个人按时返回CSA专题研讨会的基本议程（二）制定CSA研讨会的基本原则41四CSA试点选择成功的试点时内部审计适应考虑的组织文化适合CSA吗？组织有具体的目标且他们清楚这些目标吗？你需要业务流程方面的专家吗？经理们和员工将一起参与讨论会吗？专题讨论会的成员最多6－15人。注意控制会议时间考虑在内部审计部门内部组建第一个专题讨论会。情景或部门专题讨论会是在CSA实施初期，更容易做到的讨论会形式。四CSA试点选择成功的试点时内部审计适应考虑的组42第五部分推动CSA研讨会成功的关键技巧明确推动者的责任沟通技巧演讲技巧人际关系处理技巧在CSA研讨会上的把控能力推动者不应该做的事第五部分推动CSA研讨会成功的关键技巧明确推动者的责任43一明确推动者的责任（一）推动者的一般责任后勤准备会议进程的干预以及人群控制工作一明确推动者的责任（一）推动者的一般责任后勤准备44一明确推动者的责任（二）推动者的特殊责任---向团队解释CSA通常由内部审计团队将CSA介绍给组织解释自我评估与其他审计工作的关系专题讨论会的结果有何用处参与者能够从专题讨论会中得到什么一明确推动者的责任（二）推动者的特殊责任---向团45一明确推动者的责任（三）推动者的特殊责任---采用特殊的术语和工具CSA可能包含电视投影组合设备和投票技术关于控制框架的采用尽量避免使用特定的审计术语在讨论会之前，进一步明确会议的范围和目标一明确推动者的责任（三）推动者的特殊责任---采用46一明确推动者的责任（四）推动者的特殊责任---你必须回答的问题下面是一部分问题清单：什么是CSA，以及为什么要在组织中进行CSA？会议结果有何用处？为什么值得我花时间参加讨论会？内部控制是什么？风险是什么？目标是什么？*CSA仅仅是将工作从审计部门转移到工作团队吗？一明确推动者的责任（四）推动者的特殊责任---你必47二沟通技能CSA推动者应具备的能力*聪明*博学多才*具备有机整合各种概念的能力*善谈*善于应对模棱两可的意思二沟通技能CSA推动者应具备的能力48三演讲技巧CSA推动者应该记住的演讲技巧对CSA充满热情和真诚了解你要说的有关CSA的事情和你如何回应可能被问到的常见问题。通过生动的演讲和在会场四处走动展现活力，不要坐下来。如果可以，让眼睛保持与听众的接触说话要抑扬顿挫，吐字清晰，并且使用适当的语气。准时。有效地使用直观教具和其他设备。保持微笑，有一些幽默感。……三演讲技巧CSA推动者应该记住的演讲技巧对CSA充满热49四人际关系处理技巧（一）与不同个性的人打交道安静的受训者焦躁的恶劣情绪活跃型受训者狙击手处于重要地位的管理者观察者爱开玩笑的人经验丰富的推动者外星人（ET）开小会的人四人际关系处理技巧（一）与不同个性的人打交道安静的受训者50四人际关系处理技巧（二）四项重要的交际能力观察倾听和提问赋予活力保持冷静四人际关系处理技巧（二）四项重要的交际能力观察51五在CSA研讨会上的把控能力寻找特定的答案发现现在真正发生的事情在记录结论过程中寻求意见一致遵循你自己的CSA推动程序观察其他人是沉默还是同意利用“停车场”来保存偏离目标的主意不要马上开始记录数据不要将你的个人观点强加给团队研讨会上的把控能力五在CSA研讨会上的把控能力寻找特定的答案研讨会上的把控52六推动者不应该做的事（一）不应做的事回答自己提出的问题代述他人的意见显得退缩或冷漠将自己的观点强加于人六推动者不应该做的事（一）不应做的事回答自己提出的问题53六推动者不应该做的事（二）不应做的事忽视未参与讨论的人忽视想要发表意见的人表现得对该领域一无所知显得对该领域无所不知当倾听参与者的反应和意见时，精力不集中批评与会者或对待与会者简单粗暴六推动者不应该做的事（二）不应做的事忽视未参与讨论的人54第六部分收集和报告CSA结果专题讨论会记录行动项目CSA结果的验证分发报告最终报告告诉董事会的审计委员会的内容。第六部分收集和报告CSA结果专题讨论会记录55一记录专题研讨会记录员的职责在推动者的帮助下，需要倾听和捕捉讨论的精华部分，然后快速地概括收集到的信息以供参与者复核。也可以承担对概要复核的指导工作，这样可以给推动者观察和准备专题讨论会下一部分内容的机会。在概括和记录讨论的过程中，需要通过追踪和提醒推动者其可能忘记的主题或要点来参与讨论，以支持推动者。为帮助推动者，也可以通过观察与会人员的反应、肢体语言和行为来协助解决他或她可能忘记的潜在问题。一记录专题研讨会记录员的职责在推动者的帮助下，需要倾听和56二行动项目CSA促成的改进机会“行动项目”或“行动计划”应被确认下来行动项目与行动计划二行动项目CSA促成的改进机会“行动项目”或“行动计划”57三

CSA结果的验证CSA结果的验证“谁来验证怎样验证验证什么何时验证三CSA结果的验证CSA结果的验证“谁来验证58四递交报告递交报告的注意事项什么应该反映在报告中报告的形式和递交方式取决于分析目的发挥报告的效用，督促行动项目实现让管理层了解报告四递交报告递交报告的注意事项什么应该反映在报告中59五最终报告完成报告的两种方法CSA结果在审计中的应用必须保持CSA报告的客观公正性五最终报告完成报告的两种方法60六告知董事会审计委员会的内容应该告诉董事会审计委员会的事可以不告诉董事会审计委员会的事六告知董事会审计委员会的内容应该告诉董事会审计委员会的61第七部分CSA应用中的注意事项CSA的关注点对CSA的争议不适用的CSA的情况CSA应用中的五大陷阱第七部分CSA应用中的注意事项CSA的关注点62一CSA的关注点人们通常会抵制变革管理层可能不相信员工应该或能够对有效的内部控制和风险管理负责如果专题讨论会揭示出违法行为、违背道德政策的行为或其他类似事项，那么开诚布公的讨论就可能使公司面临法律风险由于CSA的参加者并非知识渊博之人许多组织文化不是公开透明的控制和风险管理能力会涉及对员工进行额外的培训内部审计师不是有经验的推动者或培训师那些全面质量体系、战略发展和人力资源部门的人员在工作中也会运用专题讨论会内部审计或客户谁对CSA负责？一CSA的关注点人们通常会抵制变革63二CSA的争议CSA方法内部控制框架的应用内部审计的作用CSA报告管理层出席质量保证与内部审计的关系二CSA的争议64三不适用CSA的情况以下情况下，可能不适合应用CSA，或可能需要给予特殊考虑。（这并不完全是定论）：员工不是某个特定领域的专家有可能存在不诚实的行为公司即将发生重大改变组织文化不支持管理层未对员工参加识别风险和控制活动给予明确支持。审计部门的权限仅限于实施合规性审计首席审计执行官认为员工不具备实施CSA所要求的足够资源和技能三不适用CSA的情况65四CSA应用中的五大陷阱依赖高级管理层推介CSA未能成功解释为什么要进行CSA在一个“困难的”领域里试点CSA选择错误的目标过度分析现状四CSA应用中的五大陷阱依赖高级管理层推介CSA66内部控制自我评估（CSA）技术与应用内部控制自我评估（CSA）技术与应用67第一部分什么是控制自我评估（CSA）

第二部分CSA的常用方法

第三部分CSA方法的选择与实施

第四部分推动型专题讨论会实施的一般流程

第五部分推动CSA研讨会成功的关键技巧

第六部分收集和报告CSA的结果

第七部分CSA应用中的注意事项目录第一部分什么是控制自我评估（CSA）

第二部分C68第一部分什么是控制自我评估（CSA）？控制自我评估（CSA）产生的背景什么是控制自我评估（CSA）什么使CSA不同于其他的内部审计方法控制自我评估（CSA）的益处第一部分什么是控制自我评估（CSA）？控制自我评估（CS69一控制自我评估（CSA）产生的背景（一）（1）来自监管的声音《美国反海外腐败法》（1978年）带来的影响Treadway报告的重要发现（二十世纪80年代）（2）组织自身发展的需要企业变革——CSA的另一个推动力内部审计旧职能面临企业变革的挑战为什么需要控制自我评估？一控制自我评估（CSA）产生的背景（一）为什么需要控制自70一控制自我评估（CSA）产生的背景（二）促成该公司实施CSA的两个环境因素尝试CSA后的重要发现

经过多次使用并总结后，内部审计师发现：这种评估方法能使主要的风险在刚出现时就被识别，在没有造成重大损失蔓延之前，就能及时地使公司的高级管理层采取纠正措施。审计活动的新工具——加拿大海湾资源公司的贡献一控制自我评估（CSA）产生的背景（二）经过多次使71一控制自我评估（CSA）产生的背景（三）COSO框架——提供科学的内控框架和评估框架国际内部审计协会（IIA）对COSO框架和CSA的专业认可《萨班斯（SOX）法案》&《PCAOB——ASNO.2》提供了法规认可CSA从幕后走到台前——有效推动CSA的各方力量一控制自我评估（CSA）产生的背景（三）CSA从幕后走到72CSA是一种程序，通过这种程序，内部控制的有效性得到检查和评估。其目标是为实现所有的经营目标提供合理保证。

——国际内部审计协会（IIA）1998CSA是一个过程，通过此过程，员工小组和基层的、行政级的管理层可以持续保持对那些影响组织目标实现可能性的因素的了解，从而使他们能够作出适当的调整……

——《索耶内部审计》二什么是控制自我评估（CSA）CSA的定义CSA是一种程序，通过这种程序，内部控制的有效性得到检查和评73一线员工（而非内部审计师）评估内部控制；不涉及内部审计的情况下也可在组织内进行自我评估；应用新方法、新技术，例如团队推动技术、调查、匿名投票或投影装置；评价非正式控制或“软”控制的更好方法，被审计一方合作与参与；通常情况下，由工作团队或“客户”而不是内部审计师出具CSA报告；可运用专题讨论会向工作团队传授风险评估和内部控制设计的知识；内部审计师的角色是推动者及风险和控制理念的传授者，而客户是具体内容的专家；较之传统审计，大多数客户似乎更偏爱CSA;管理层参与得更多；由于CSA应用参与和合作的方法，因此评估结果得到接受的可能性更大。什么使CSA不同于其他的内部审计方法(一)

CSA与传统审计的区别点一线员工（而非内部审计师）评估内部控制；什么使CSA不同于其74什么使CSA不同于其他的内部审计方法(二)

CSA的职责转换职责传统方法CSA方法制定企业目标管理层管理层评估风险管理层管理层内部控制的充分性管理层管理层评估风险和控制审计师工作团队报告审计师工作团队验证对风险和控制的评估审计师审计师所使用的目标审计师的目标管理层的目标什么使CSA不同于其他的内部审计方法(二)CSA的职责转换751、CSA有助于所有员工更好地理解和承担对有效的内部控制和风险管理的职责和义务。2、参与者“自身拥有”成果，纠正措施可以更富有成效。3、迅速地厘清关键的风险和控制，扩大了重要事项的范围。4、改善了所有层次的沟通。5、有助于提高组织整体的内部控制的自觉性6、改善组织的控制环境7、提高审计工作效率四控制自我评估（CSA）的益处CSA的七大益处1、CSA有助于所有员工更好地理解和承担对有效的内部控制和风76第二部分CSA的常用方法

CSA的三种主要方法专题研讨会法的四种形式问卷调查法的应用管理层分析法的应用处如何使用正确的方法进行CSA?第二部分CSA的常用方法

CSA的三种主要方法77专题讨论会法（推动的团队会议）：专题讨论会是进行CSA的最受欢迎的方法。专题讨论会是一种会议，此会议由内部审计师来推动，用来评估既定的目标或过程的风险和内部控制。问卷调查法（即调查）：CSA的问卷调查或调查法使用一张调查表，被调查人只需做简单的“是/否”或者“有/没有”的回答。流程负责人使用调查结果来评估他们的控制结构。管理层分析法：

管理结果分析法是指除上述两种方法之外的任何CSA方法。一CSA的三种主要方法CSA的三种主要方法专题讨论会法（推动的团队会议）：专题讨论会是进行CSA的最受78以目标为基础的以风险为基础的以控制为基础的以过程为基础的二专题研讨会法的四种形式（一）专题研讨会法的四种形式以目标为基础的二专题研讨会法的四种形式（一）专题研讨会法的79（1）定义：

以目标为基础的专题讨论会形式，更注重实现目标。讨论会先要确定当前的控制是否满足目标，然后识别剩余风险。讨论会的目的是确定内部控制措施是否充分，最后,剩余风险是否处于一个可以接受的水平（剩余风险是那些无需缓释的风险）。（2）评估顺序：二专题研讨会法的四种形式（二）以目标为基础的专题研讨会法目标控制评估剩余风险（1）定义：二专题研讨会法的四种形式（二）以80（1）定义：

以风险为基础的专题讨论会形式，注重实现目标所面临的风险。这种形式首先立足于识别各种可能妨碍目标实现的障碍（固有风险)，然后确定控制措施来确保它们能够有效地控制这些关键的风险。最后，任何一个重要的剩余风险也被识别出来。在讨论会的过程中，以风险为基础的形式会带着工作团队完整地执行“目标——风险——控制”的程序。（2）评估顺序：二专题研讨会法的四种形式（三）以风险为基础的专题研讨会法目标风险评估剩余风险控制（1）定义：二专题研讨会法的四种形式（三）以81（1）定义：

以控制为基础的专题讨论会形式，注重控制如何更好地发挥作用。它与前两种形式的区别是：讨论会之前，在CSA的策划过程中，是由审计师来识别关键的风险和控制的。这更像一个传统的审计过程。这种识别方法可以通过与管理层和员工的面谈、编制流程图等方式来进行。更好的方法是：这种信息将可以从工作团队成员自身已有的文档中直接获得，毕竟这是整个团队的责任之一。（2）评估顺序：二专题研讨会法的四种形式（四）以控制为基础的专题研讨会法对现存风险和控制达成一致意见评估（1）定义：二专题研讨会法的四种形式（四）以82（1）定义：

以过程为基础的专题讨论会形式，既检查公司层面的总体流程，又检查其经营层面的活动。讨论会的目的是评估、修正、确认和/或使得流程更有效率。在这里，“流程”的意思是指一系列看起来是相关的、首尾相连的活动，如采购过程、产品开发、合同准备、收入过程等等。（2）评估顺序：二专题研讨会法的四种形式（五）以过程为基础的专题研讨会法流程目标经营层次目标评估（1）定义：二专题研讨会法的四种形式（五）以83（1）两个核心问题：

什么事情有助于或使你能够实现所在部门的目标？什么事情阻碍了你实现部门的目标？二专题研讨会法的四种形式（六）情景分析式专题研讨会法授权障碍讨论障碍的解决方案（2）评估顺序：（1）两个核心问题：二专题研讨会法的四种形式84（1）注意事项：

尊重管理层的偏好考虑内部审计部门作业方法与行为习惯的承受能力依赖于管理层对内部审计的理解二专题研讨会法的四种形式（七）如何在这些方法中进行选择？（1）注意事项：二专题研讨会法的四种形式（七）如何85通常是在组织的文化不能有效地支持和接受率直的讨论会与会者的反映（此时与会者不会公开地和诚实地讨论问题）时使用。问卷调查法也可用于加大自我评估的范围，节省时间和经费。对调查的回答既可以是匿名的，也可以是实名的。三问卷调查法的应用（一）问卷调查法的应用条件通常是在组织的文化不能有效地支持和接受率直的讨论会与会者的反86三问卷调查法的应用（二）问卷调查法的优缺点优点缺点能够获得更好的覆盖面没有后续跟踪，回答或许不真实对每一个参与者的时间要求少没有机会阐明问题或在现场没有适当的反应可以是匿名的，几乎不增加费用问卷回收率可能低不要求推动技能和会议协调

三问卷调查法的应用（二）问卷调查法的优缺点优点87三问卷调查法的应用（三）什么情形下，问卷调查法比专题讨论会法更好？组织文化管理层意志低成本策略缺乏组织经验时效性要求高三问卷调查法的应用（三）什么情形下，问卷调查法比专题讨论88三问卷调查法的应用（四）进行成功调查的技术在准备调查问卷时，一些有用的提示包括：使用被调查人的语言。每一个问题只关于一个主题。对被调查人使用含义清晰的词。首先问容易回答的问题。保持问题的简短。以个人的名义邮寄问卷。亲自分发和收集问卷调查。在面谈中，使用问卷调查作为一种交流的工具。三问卷调查法的应用（四）进行成功调查的技术89管理层自行开发和实施问卷调查，用以评估合规性。在高级财务管理人员中对本年度拟定的财务报告适当性的讨论，对控制失效或舞弊发生原因的调查一个新开发的系统、或业务单元的合并所牵涉的内部控制评估四管理层分析法的应用管理层分析法的应用样例管理层自行开发和实施问卷调查，用以评估合规性。四管理层分90第三部分控制自我评估（CSA）方法的选择与实施选择正确的方法进行控制自我评估（CSA）组织文化对审计和CSA的影响实施CSA方法的基本步骤推介CSA评估组织文的方法巧示例实施CSA需要的资源示例成功实施CSA的方法示例第三部分控制自我评估（CSA）方法的选择与实施选择正确的91企业文化。行业的性质内部审计部门精通的专业领域和经验管理层态度和支持程度成本内部审计师的适应能力审计活动的资源审计委员会的态度。他们是否认为这种方法有作用？组织中内部审计的历史沿革考虑哪种CSA方法在组织内部更容易推行。一选择正确的方法进行控制自我评估（CSA）选择CSA方法必须考虑的重要因素企业文化。一选择正确的方法进行控制自我评估（CSA）选92如果一个雇员将问题报告给他的上级反而因此受到训斥会怎么样？他将来还会再揭露问题吗？——NO!如果一个雇员建议一种新的比较好的做法，而负责人未加考虑就给否决了，并说“我们不要不务正业”会怎么样？这个雇员下次还会再提出新的建议吗？——NO!如果一个负责人告诉团队成员，希望他们发挥主动和自主决策，但是实际中却每次都予以否决会怎么样？团队成员们将来还会再做决策吗？——NO!二组织文化对审计和CSA的影响（一）关于组织的文化如果一个雇员将问题报告给他的上级反而因此受到训斥会怎么样？他93二组织文化对审计和CSA的影响（二）两种典型的组织形式对审计和CSA的影响组织类型趋势部门差别审计服务审计重点审计类型二组织文化对审计和CSA的影响（二）两种典型的组织形式对94三实施CSA方法的基本步骤CSA实施的基本步骤第一步确定自我评估的目标。为什么你要在你的组织中实施CSA？第二步确定管理层的角色管理人员将最终得到内部控制报告吗？是：所有的关键决策牵涉管理人员。否：保证管理人员知悉全部内部控制战略和政策的变化。第三步评价企业文化文化适合CSA吗？是：选择CSA形式：问卷调查、管理层分析法、推动型会议形式。组织文化长期目标将决定上述选择。）否：CSA是你的组织的长期战略吗？是：继续决策进程否：运用你已经掌握的控制设计技能来改善你的传统审计三实施CSA方法的基本步骤CSA实施的基本步骤第一步确95三实施CSA方法的基本步骤CSA实施的基本步骤第四步选择内部控制框架CSA将使用一种内部控制框架吗？是：选择公认的框架？是：选择满足业务需要的框架否：建立自己的内部框架否：如果需要，确定汇总过程。确定对CSA的完全性控制第五步确定自动化水平，CSA将使用匿名投票吗？是：挑选软件提供商？是：与供应商签订合同否：设计数据收集处理程序否：设计手工数据收集处理程序三实施CSA方法的基本步骤CSA实施的基本步骤第四步选96三实施CSA方法的基本步骤CSA实施的基本步骤第六步选择审计师友好的领域进行试点，或考虑在审计范围内实施CSA试点专题讨论会第七步建立具体实施策略，包括如何推介CSA。第八步实施策略。三实施CSA方法的基本步骤CSA实施的基本步骤第六步选97四推介CSA方法推介CSA必须要回答的问题——为什么要在我们的组织实施CSA?推介CSA方法：CSA演示什么是CSA,为什么要应用CSA？宣导、宣传册……注重管理层关注的领域在管理层找到高层的支持者尝试试点…………四推介CSA方法推介CSA必须要回答的问题——为什么要在98五评估组织文化的方法示例评估组织的文化，为你的组织选择合适的方法（一）分数为0＝强烈反对10＝强烈认同关注要素分数1安全性：高级管理层喜欢及奖励个人和单位，分析和评价他们的业务及质量活动，并向上报告分析评估结果——即使是不好的结果。

2真实性：单位成员适合讨论和处理难点，包括个人表现、商业道德及工作单位中的困难。

3授权：决策在尽可能的范围内由内在最佳位置的人做出，而不是基于职位或先例。

4培训：全体人员定期接受有关成功完成业务及质量目标的知识和技能的提高培训。

5创造和革新：在业务及质量系统持续改进的探索中，鼓励全体人员创造发明。

6严格：工作单位定期检查和评价他们的工作表现，并持续寻找新的更好的方法，衡量他们的表现和成功满足股东们的期望。

总分（0—60）

给组织文化客观打分五评估组织文化的方法示例评估组织的文化，为你的组织选择合99五评估组织文化的方法示例评估组织的文化，为你的组织选择合适的方法（二）0－25分对历史或传统方法有强烈的归属感和偏好（命令加控制型组织）26－40分中等程度—尝试转换组织文化41－60分新方式（授权运营组织）组织文化评估结果应用五评估组织文化的方法示例评估组织的文化，为你的组织选择合100六实施CSA需要的资源CSA实施的资源安排示例项目估计备注CSA基础培训2天对于一个有经验的审计人员专题讨论会推动者初始培训10天将包括演示技能、处理人际关系、推动练习、录像及练习CSA数据记录专题讨论会成员工作前会议0.5小时推动者进行工作前面谈每个专题讨论会推动者的工作时间5天每种CSA各有差异每个专题讨论会参与者的时间2－4小时每个目标的时间每个专题讨论会领导的人数21个推动者、1个记录员每个专题讨论会成员的人数6-16人应用决策步骤六实施CSA需要的资源CSA实施的资源安排示例项101七成功实施CSA的方法示例CSA实施的具体示例组织一对全体审计人员进行CSA的基本培训，而后培训一部分审计人员的推动技巧，再雇用一名外部咨询人员指导两次专题讨论会。组织二雇用一名外部咨询人员计划并指导一个试点的专题讨论会，而后就CSA的基本概念及推动技巧对部分审计人员进行培训。组织三购买匿名投票的硬件和软件并指导一个试点专题讨论会使用投票工具。组织四实施对全体审计人员的CSA的基本培训，而后培训一部分审计人员的推动技巧，再让使用培训过的审计人员在审计部门内指导他们的首次专题讨论会。组织五派一个人接受CSA的基本概念及推动技能培训，并由这个人指导一个首次试点专题讨论会。组织六实施对全体审计人员的基础CSA的培训，而后培训一部分审计人员的推动技巧，再雇用一名咨询人员提供有关CSA咨询方法的特定培训。咨询人员推动若干个试点专题讨论会。组织七派一个人接受CSA的基本概念及推动技能培训，并由这个人使用推动型专题讨论会来收集后续两次审计所需的信息，以此作为练习，然后指导一个首次CSA试点专题讨论会。七成功实施CSA的方法示例CSA实施的具体示例组织一对全102第四部分推动型专题研讨会实施的一般流程进一步认识推动型专题研讨会为CSA专题研讨会做准备CSA专题研讨会的基本议程CSA试点第四部分推动型专题研讨会实施的一般流程进一步认识推动型专103一进一步认识推动型专题研讨会内部审计师必须知道的会议的组织者：内部审计师（推动者、记录员）会议的参与者：业务部门的管理者、专家、直线员工会议的人数规模：6-15人会议的持续时间：2-4小时会议的目的：确定和评估控制的充分性和目标、流程和部门所面临的风险一进一步认识推动型专题研讨会内部审计师必须知道的会议的组104二为CSA专题研讨会做准备CSA专题研讨会准备工作步骤与讨论会成员的上级见面了解工作团队或部门的文化选择CSA讨论会中采用的业务目标或程序通过查询以前的审计底稿、参考资料与尽可能多的讨论会参与者面谈安排和确认会议后勤工作派发讨论会前期阅读材料。二为CSA专题研讨会做准备CSA专题研讨会准备工作步骤与105CSA专题研讨会的基本议程（一）CSA专题研讨会基本议程开场白破冰游戏（Icebreakers）基本原则解释CSA程序采用CSA方法中的一种，开始进行自我评估分发CSA报告的草稿给参与者CSA专题研讨会的基本议程（一）CSA专题研讨会基本议程开场106CSA专题研讨会的基本议程（二）制定CSA研讨会的基本原则每个人都参与没有人垄断讨论会不允许进行单边沟通尊重异己观点对提出供团队分享的信息的人要进行保密要有效地管理时间：讨论会准时开始，结束后每个人按时返回CSA专题研讨会的基本议程（二）制定CSA研讨会的基本原则107四CSA试点选择成功的试点时内部审计适应考虑的组织文化适合CSA吗？组织有具体的目标且他们清楚这些目标吗？你需要业务流程方面的专家吗？经理们和员工将一起参与讨论会吗？专题讨论会的成员最多6－15人。注意控制会议时间考虑在内部审计部门内部组建第一个专题讨论会。情景或部门专题讨论会是在CSA实施初期，更容易做到的讨论会形式。四CSA试点选择成功的试点时内部审计适应考虑的组108第五部分推动CSA研讨会成功的关键技巧明确推动者的责任沟通技巧演讲技巧人际关系处理技巧在CSA研讨会上的把控能力推动者不应该做的事第五部分推动CSA研讨会成功的关键技巧明确推动者的责任109一明确推动者的责任（一）推动者的一般责任后勤准备会议进程的干预以及人群控制工作一明确推动者的责任（一）推动者的一般责任后勤准备110一明确推动者的责任（二）推动者的特殊责任---向团队解释CSA通常由内部审计团队将CSA介绍给组织解释自我评估与其他审计工作的关系专题讨论会的结果有何用处参与者能够从专题讨论会中得到什么一明确推动者的责任（二）推动者的特殊责任---向团111一明确推动者的责任（三）推动者的特殊责任---采用特殊的术语和工具CSA可能包含电视投影组合设备和投票技术关于控制框架的采用尽量避免使用特定的审计术语在讨论会之前，进一步明确会议的范围和目标一明确推动者的责任（三）推动者的特殊责任---采用112一明确推动者的责任（四）推动者的特殊责任---你必须回答的问题下面是一部分问题清单：什么是CSA，以及为什么要在组织中进行CSA？会议结果有何用处？为什么值得我花时间参加讨论会？内部控制是什么？风险是什么？目标是什么？*CSA仅仅是将工作从审计部门转移到工作团队吗？一明确推动者的责任（四）推动者的特殊责任---你必113二沟通技能CSA推动者应具备的能力*聪明*博学多才*具备有机整合各种概念的能力*善谈*善于应对模棱两可的意思二沟通技能CSA推动者应具备的能力114三演讲技巧CS