企业控制与审计作用.pdfVIP

第一部分第六讲：控制与内审(4)

3.审计在控制中的作用

审计活动应该评价组织控制的效果和效率，促进控制的持续改进，以

帮助组织保持有效的控制。

根据风险评估的结果，审计活动应该评价围绕组织的治理、运营和信

息系统的控制的适当性和有效性。应该包括：财务和运营信息的可靠性、完整性；运

营的效果和效率；资产的安全保障；法律、及合同的遵守情况。

典型的控制系统包括手工控制和自动化控制。这两种类型的控制均需

要评价，以确定业务风险是否得到有效管理。审计师特别需要评价是否存在

适当的控制组合，包括IT相关的控制可以将业务风险降低到组织限度内。

审计师需要考虑引入程序来评估并确认可度是实时和适当的。

1.机构对企业控制的要求

作为非的指导性，早在1992年COSO就发布了《

控制整合框架》。2002年国会出台的《萨班斯法案》，真正把对企业的内

部控制要求上升到法律层面。该法案404条款要求：上市公司在年度报告中包含

管理层对控制的评价。

就我国来说，2008年6月28日部联合、、银监会、保

监会等五大部委共同出台《企业控制基》，自2009年7月1日起在

上市公司范围内施行，并鼓励非上市的大中型企业执行。作为《萨班斯法案》404条

款和COSO《控制整合框架》的结合体，《企业控制基》要求上

市公司根据规范控制框架，以持续保证控制设计的有效性和执行的

有效性，在公司年报披露的同时，披露控制自我评估报告。

2.审计人员在控制中的作用

审计师应该确定已建立的运营和程序的目标、目的的程度，并确定它

们是否和组织的目标、目的保持一致。

审计师应该审核运营和程序，确定其结果与既定的目标、目的保持一

致的程度，从而确定运营和程序是否按设想在执行和实施。

在评估组织控制程序的总体效果时，首席审计执行官应该考虑：是否发现

重大差异或，发现后是否进行了纠正或改进，能否从这一发现及其潜在

中得出“无法接受的风险水平普遍存在”这个结论。当然，重大差异或的存

在不一定必然得出类似情形普遍存在且将为组织带来无法接受的风险的结论。因

为审计师应该清楚风险不单要考虑风险发现的性质和范围，还要考虑潜在后

果的大小。

首席审计执行官通常每年向高级管理层和董事会提交关于组织控制程序

的报告。

在业务期间，审计师应该关注与业务的目标相一致的控制，并且

应该对存在的任何重大控制薄弱环节保持警觉。审计师应该将在业务中

对控制的了解结合到发现和评价组织的重大风险的过程中去。

3.控制的我评估

控制自我评估（CSA）也被称为管理自我评估、控制和风险自我评估、

经营活动自我评估以及控制／风险自我评估等，是一种检查和评估组织风险管理和

控制系统有效性的方法，它将传统审计概念与风险分析、自我评估方法结合

起来。

CSA有三个基本特征：

1.关注业务的过程和控制的成效；

2.由管理部门和职员共同进行；

3.用结构化的方法开展自我评估。这个“自我”就是控制自我评估法区

别于其他控制审计方法的特征所在，即评估控制的主体不再是审计

师，而是控制的“主人”——对其制定和执行负有责任的管理人员和雇

员。控制的责任在于组织中的每个人，要求在经营过程中工作的人，包括一般雇

员和管理人员，都要对其所在经营过程中的风险和控制进行评估。在一定程度上，内

部控制自我评估将审计师的一些责任转移给其他人，这是风险和控制自我评估

与其传统方法的主要区别。

控制自我评估是一种在西方发达国家广泛使用的审计技术和工

具，它是由管理层或业务人员直接参与的考察和评估控制效果的过程，其目

的是为组织目标的实现合理保证。

组织控制自我评估所应用的各种不同方法反映了行业、地理、结构、

组织文