《控制自我评估(csa)相关知识点》由会员分享,可在线阅读,更多相关《控制自我评估(csa)相关知识点(6页珍藏版)》请在金锄头文库上搜索。
1、控制自我评估(CSA)相关知识点(教案)1控制系统的评价包括对控制系统本身的制度评价、控制效果和效率的评价和参与控制的人员资格、工作程序和工作表现的评价。而控制自我评价(CAS)包括对整个系统的评价和对某些项目、机构或事件的控制过程的评价。有时也成为控制/风险自我的评价。2内审实务标准第2120.A1条:内审活动风险评估内容(1)财务与运营信息的可靠性与完整性(2)运营的效率与效果(3)资产的保护情况(4)遵守法律、法规、合同的情况。内审部门的责任:在风险评估的基础上,评价组织与治理、运营、信息系统有关的控制程序的健全性和有效性。3内审实务标准第2120.A2条:内审师应审定查明已确定的运营、
2、项目目标的内容与其组织目标的一致程度。4实务公告2120.A1-1控制过程的评价和报告:首先应了解在此环节上的相关人员的职责分工董事会的任务是建立并维护组织的治理程序,并获取关于风险管理和控制过程有效性的保证;高级管理层的任务(作用)是监督风险管理和控制系统地的建立、管理和评价。组织的高级管理层和审计委员会一般希望首席审计执行官开展充分的审计工作,并收集其他可以获取的信息,以便就控制过程的健全性和有效性形成判断意见。组织的管理人员任务(责任)是评价所在领域的控制过程。主要由首席审计执行官执行。其主要任务是制定下一年审计计划草案,保证获取充分证据,对控制过程的有效性进行评价,并将关于组织的控制系
3、统的总体判断意见向组织的高级管理层和审计委员会报告。报告的意见部分一般采用否定形式的确认意见,重点关注主要改进建议、关于现行控制问题和趋势信息,并将报告变成协调不同期望的手段。内审师和外审师的任务是为所选活动和部门的风险管理和控制过程的有效性提供不同程度的确认。其次,了解产生不同期望的原因:高级管理层和审计委员会和内审师在围绕内审活动对评价控制和对控制过程的运作状况提供确认方面存在期望差距。一般是由于高级管理层和审计委员会对内审服务的价值期望过高,而内审师可能受到审计范围的实际限制以及主观迟疑态度(不能确信肯定能产生足够的证据或为形成客观知情的判断意见提供支持),所以其所持期望值适度。所以需要
4、首席审计执行官通过报告来建议改进组织的能力并减少审计师在获取信息和实现审计效果方面受到的限制。5实务公告2120.A1-2应用控制自我评估对控制过程的健全性进行评价:首先,管理人员(主要指首席审计执行官)和内审师应用控制自我评估方法对组织风险管理和控制过程的健全性进行评价。内审师亦可通过应用控制自我评估项目收集关于风险和控制的相关信息(有关控制程序是否运行良好、剩余风险严重程度等方面),充分与被审计人员沟通,加强与经营部门管理人员和工作小组的合作。也可以协助管理部门建立和执行风险管理和控制程序,评价系统的适应性,强化内审活动的传统作用。6CAS是对内部控制制度进行评估的工作过程,它可以作为一项
5、专门工作来进行,也可伴随其他业务同时展开,它涉及到所有员工而不仅仅是少人员和高层管理人员,一方面鼓励员工完成任务,另一方面可帮助管理人员从员工处获取反馈信息。这里的 “评价”有别于部门业绩和个人业绩的评价。7CAS的适用范围:可以用于商业活动和财务状况的风险审查、控制活动、道德价值和控制效果等方面的控制,也可用于考察、了解各项控制活动和政策的执行情况。而追踪不良行为、例行检查和实现复杂或不明确的目标不适用。8CAS的特点:CAS是一种包括自我调查和研讨的方法,是组织内部管理人员和内审师评价和确认风险管理和控制过程适当性的有效方法,它可减少在收集有关控制程序信息方面的花费时间,也可减少一些测试工
6、作,有利于内审工作集中于对高风险活动和不正常状况的检查,收集来自全组织内方方面面的信息,对控制进行全面评价。9CAS的目的:(1)确认存在的风险和漏洞;(2)评价管理或降低风险的控制过程;(3)编制将风险降至可接受程度的行动计划;(4)确定实现业务目标的前景。10CAS作用:(1)使组织内部人员通过评估风险,在将管理风险和提高组织目标实现机率与控制过程相结合中,得到锻炼;(2)较容易识别和评价非正规的“软”控制;(3)鼓励职员以主人翁的态度对待控制程序,使团队能够及时有效地采取纠正行动; (4)使一个组织的全部“目标风险控制”基础都能起到有效的监督和持续的促进作用;(5)通过参与,有利于内审人
7、员充分了解自我评价过程;(6)使内审活动获得更多的有关控制程序的信息,并能够促进审计师更加关注存在重大控制弱点或高风险的单位或职能部门;(7)增强组织内部对风险管理和控制过程的管理责任。11CAS过程:(1)预先计划、初步审查;(2)收集所有员工的情况,主要通过会议收集每个岗位人员情况;(3)审查风险及其控制情况,应以企业组织结构为线索对整体控制系统进行评价;(4)准确记录每个人的观点和最后表决的结果;(5)报告结果,制定改进方案。12CAS主要方法;主要区别是收集信息或资料的方式或来源:(1)促进小组研讨班信息来源于组织内部、代表不同层次经营单位或职能部门的工作小组;(2)调查法:一般采用调
8、查问卷的形式进行。预计能回答问卷的人很多或分布分散,不能参加研讨班,通常采用此方法。(3)管理部门分析法。它利用管理部门小组,应用很多方法来形成和收集有关被选择的业务程序、风险管理活动和控制程序的信息资料。这种分析通常趋向于对控制程序特殊特征进行作出及时、有见解的判断。内审师可充分利用这些信息。以上方法既可单独使用也可组合使用。13CAS的形式:依据基础类型区分为目标、风险、控制、过程等形式。(1)以目标为基础:强调实现业务目标的最佳方式。过程为:确认现有的、用于支持目标的控制措施确定剩余风险通过CAS确认控制程序是否在有效运作维持剩余风险在可接受的水平。(2)以风险为基础:强调列举实现目标的各种风险。过程为:列举所有可能阻止目标实现的障碍、威胁和风险检查控制程序,已确定控制过程是否足以对关键风险进行管理确定重要的剩余风险维持剩余风险在可接受的水平。(3)以控制为基础:强调现有控制措施的运作情况。过程为:确认关键的风险和控制工作小组对控制减少风险并促进目标实现的方式进行评价分析控制程序目前的运作情况与管理人员的期望值之间的差距。(4)以过程为基础:强调所挑选的、作为过程链组成因素的活动。过程是一系列相关的、从一个起点通向一个终点的活动。内容覆盖对整个过程目标和各种中间步骤的确认,最终要评价、更新、证明、改善和简化整个过程及其组成活动的内容。
