“CSA”技术在审计资源配置中的运用,本文主要内容关键词为:资源配置论文,技术论文,CSA论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
CSA(Control Seff-Assessment)即控制的自我评估,是企业为实现其目标,控制其经营风险而对内部控制系统的有效性和恰当性实施自我评估的方法。通过“CSA”可以检验和评估内部控制的效率,为所有经营目标的实现提供合理的保证。风险导向审计时期,“CSA”可以作为审计主体评价企业经营目标实现的风险以及围绕关键风险制定审计规划、根据风险程度合理配置审计资源的系统方法。
“CSA”技术的功能
审计规划的制定,体现审计主体的审计资源配置方式。现阶段我国企业在建立公司治理、强化内部控制建设中,应当适时引进“CSA”技术方法,既加强对软控制的评价,也不断促进控制环境的提升。但并没有论及怎样进行项目风险评估,同时也未把风险管理纳入内部审计的过程。审计主体将“CSA”技术作为风险评估方法,引入审计规划的制定中,对于审计域的确定和审计资源分配意义重大。
在审计风险评估与审计资源分配中,与传统方法相比,“CSA”具有以下功能:
首先,在“软控制”及其风险评估方面“CSA”更为优越。现代风险导向审计迫切需要评价包括公司治理、高层经营理念与管理风格、沟通的效率、对内部控制的态度、职业道德、诚实品质、胜任能力和风险评估等在内的非正式控制,即“软控制”。
“软控制”的优劣,对于审计域的确定及审计资源分配的影响重大。“CSA”方法正迎合了这种需要。
其次,在发现现实与未来重大风险领域方面“CSA”更为优越。在审计风险评价中,“CSA”关注团队众多个体的贡献和相应的协调,一般采取协调会议和咨询方式并运用协调会议的行动,提高审计风险评价结果的准确性,从而提高审计实效,节约审计资源。
再次,“CSA”能够改善控制环境。在审计风险评估中,通过“CSA”程序(如咨询会议等),一方面能够使被审计单位的员工在内部控制过程中明确各自的职责,增强对组织的责任感,使员工了解控制的存在是为了实现企业的经营目标,激发员工认真设计和执行控制程序,并不断改进控制程序,使员工对控制环境有一个全面的理解。同时,可使审计人员树立全新的审计理念,通过“CSA”的应用,与被审计单位之间成为新型的“伙伴关系”,为企业增值作出贡献。
最后,“CSA”程序,能够成为一种有效的培训工兵。在实施该程序的过程中,审计主体与被审计主体双方的参加者都能够对内部控制的内涵、构成、功能和企业风险形成与管理有更深刻地理解,更有利于审计重点的确定和审计资源的利用。
常用的“CSA”方法
目前,“CSA”最常用的方法有:专题讨论会法、问卷调查法、流程图法和管理结果分析法。
1.专题讨论会法。即协调性咨询会议法,是把管理当局和员工召集起来就特定的问题或过程进行面谈和讨论的一种方法,它是以协调为基础的评估与咨询方法。具体实施过程如下:
(1)组建一个较小的咨询团队,该团队应包括一个协调领导者;一个联合协调员负责制订会议计划,以及会议记录和操作投票系统;若干名咨询员,帮助协调员设计问题的框架(可选择的);一名主题方面的专家,用于高技术问题的讨论的需要(可选择的)。
(2)团队与关键客户会面,应了解所要解决的问题,并确定开发最终解决方案的关键优先权顺序(例如盈利能力、安全性、商业流程的恶简易性等)。
(3)由利益相关者会议产生的计划由咨询人员撰写,并向客户展示介绍。
(4)然后根据会议通过的客户的一致意见实施计划。
2.问卷调查法。通过设计调查问卷,对内部控制及企业风险的特定方面或过程向组织相关管理人员收集意见的一种方法。与专题讨论会法相比,问卷调查法更能节约时间和成本,但评估的结果会受到问卷设计的限制,还可能由于管理人员填写的态度和可能存在隐瞒内部控制现存的问题而影响结果的可靠性。
3.流程图法。利用流程图,通过控制流程的描述,分析和评价内部控制及企业风险强弱的方法。
4.管理分析法。管理当局布置工作人员学习经营过程,“CSA”引导者把员工的学习结果与他们从其他方面收集到的信息加以综合分析的方法。
“CSA”技术的拓展及运用
1.层次分析法在“CSA”中的运用。
层次分析法(APH)是系统工程中经常使用的一种评价与决策方法,它特别适用于处理那些多目标、多层次复杂的系统问题,可以将人们的主观判断用数量形式来表达和处理,是一种定性和定量相结合的决策分析方法。
在审计风险评估和审计资源配置中,运用该方法对“CSA”中发现的控制缺失及弱项的推理过程进行量化的描述,可以避免审计域的确定在结构复杂和项目较多时逻辑推理上的失误。使用层次分析法的关键问题,需要掌握审计风险存在的背景和条件,发生的可能性和所产生的影响,以及要达到的审计目标、涉及的因素和降低审计风险的途径与方案等。因此,需要将审计风险概念化,构成概念之间的逻辑结构关系,即层次结构模型,然后通过建立判断矩阵,进行审计风险排序计算,最后确定审计域并合理配制审计资源。
层次分析法用于审计风险评估与审计资源配置的基本步骤如下:
(1)建立层次结构分析模型。
在分析审计主体所面临的审计风险中,应将风险所包含的因素划分为若干层次,如审计目标层、财务报表层、报表项目指标层、交易事项层、采取措施层等。
(2)构造判断矩阵。
判断矩阵是层次分析法的计算基础,判断矩阵元素的值反映了人们对各因素相对重要性的认识,并且直接影响审计资源配置决策的效果。
(3)层次单排序及其一致性检验。所谓单排序是指本层各因素对上层某一因素的重要性次序。它由判断矩阵的特征向量表示。
(4)层次总排序。
计算同一层次所有风险因素对于上层相对重要性的排序权值,称为总排序,这一过程是由最高层次到最低层次逐层进行的。
(5)层次总排序的一致性检验。
与层次单排序的一致性检验一样,这一步骤也是从高到低逐层进行的。
2.风险评估工具在“CSA”中的运用。
风险评估工具是被广泛采用的审计工具,自动化的风险评估工具不仅可以将分析人员从繁重的手工操作中解脱出来,更重要的是它能够将专家知识进行集中,使专家的经验知识被广泛地应用。风险评估辅助工具在风险评估过程中不可缺少,它用来收集评估所需要的数据和资料,帮助完成现状分析和趋势分析,包括调查问卷、检查列表、人员访谈、漏洞扫描器、渗透测试等。
由于实施“CSA”需要相当大的付出,而风险评估工具能使审计人员集中于高风险领域,并非仅凭主观的控制抽查,使得审计的实施更有效果与效率。况且风险评估工具与“CSA”有着相同的风险评估过程。因此,对于大多数内部审计人员来讲,风险评估工具较为实用。当针对整个组织范围的控制环境因素进行分析时,实施“CSA”技术会比较困难,这时可以应用风险评估工具针对某个职能部门具体控制措施进行评估,从而能够更容易地应用“CSA”技术。
3.信息化管理方法在“GSA”中的运用。
随着互联网和电子商务的兴起,对信息系统的审计业务已经超出了为传统财务报表审计提供服务的范围,管理信息系统作为企业内部控制和管理的重要子系统,也在评价范围之内,因而与信息安全相关的防火墙检测、安全诊断、信息技术认证以及ERP相关的审计技术不断涌现。同时,也产生了大量的财务软件、销售管理软件、库存管理软件、采购管理软件、生产管理软件和集大成的ERP管理软件等。将“CSA”技术与信息系统审计结合能为企业提供更多的增值服务,内部审计人员可以考虑在信息管理系统中加入自动控制点和各种自动评价机制,来简化控制过程。
“CSA”技术可以有多种形式,审计主体在审计规划制定中,运用多元化“CSA”技术评估审计风险,确定审计域,按照风险优先策略分配审计资源,才能满足审计效用最大化的目标。
标签:风险评估论文; 审计风险论文; 审计软件论文; 审计计划论文; 审计目标论文; 审计流程论文; 审计方法论文; 内部控制论文;