目前，世界经济已度过了国际金融危机爆发以来最困难的时期并逐步复苏，全球经济逐步渡过金融危机的恐慌而进入“后危机时代”。在后危机时代，世界将掀起新一轮的科技革命、产业革命，形成新能源、绿色经济等一系列竞争浪潮。后危机时代给中国企业提供了一个难得的发展机遇，中国企业应克服障碍，积极应对后危机时代的挑战。
　　加强企业内部控制和强化风险管理已逐步被企业所认可，尤其是经历此次金融危机后，无论是国内的企业，还是国际上的知名大企业，加强企业内部控制和强化风险管理已成为逐步完善公司治理的一项重要内容。
　　美国2002年颁布《萨班斯——奥克斯利法案》(Sarbanes-Oxley Act)，其中的404条款要求首席执行官和首席财务官对主体财务呈报内部控制的有效性进行评价和报告。纽约证券交易所则要求所有的上市公司在2004年10月31日前，必须由内部审计部门向管理当局和审计委员会提供有关风险管理程序和内部控制系统的评估。我国于2006年6月5日出台了《上海证券交易所上市公司内部控制指引》，同年9月28日出台了《深圳证券交易所上市公司内部控制指引》，两个指引的语言表述虽然略有不同但是都规定上市公司应设立专门负责监督检查的内部审计部门并直接对董事会负责，内部审计部门定期检查公司内部控制缺陷，评估其执行的效果和效率，并及时提出改进建议。鉴于此，内部控制的评估在公司治理中愈发重要，掌握和运用科学的内部控制评估的方法至关重要。
　　
　　一、企业风险管理框架对内部控制自我评估的推动
　　传统对内部控制的测试与评价所遵循的逻辑顺序是“控制—风险—评价控制目的是否实现”，更多的是一种事后的反馈，在确认内部控制薄弱环节之后，提供信息以帮助管理层增强和完善内部控制，这种事后的评价是“亡羊补牢”，而不是“未雨绸缪”，传统的内部控制评估方法难以满足现代管理的需要。
　　2004年10月COSO正式出台《企业风险管理——整合框架》(Enterprise Risk Management Integrated Framework，简称ERM框架)。ERM框架把更多的注意力放到了企业风险管理这一更加宽泛的领域。ERM是对内部控制的扩展，是包含四个目标、八个要素和四个层次的整合框架，完全体现了管理者以企业风险管理为己任的理念。首先，ERM在目标方面增加了战略目标，将对企业的风险关注重点引向了重大的、根本性的战略问题；其次，在内部控制框架五要素的基础上增加了目标设定、事件识别和风险评估三个要素，与原来的风险评估要素一起构成了一个完整的风险管理的基本过程；最后，ERM强调将企业风险管理覆盖所有层次，包括业务单元、子公司、分支机构和公司的整体层次，而业务单元、子公司、分支机构和公司的整体层次正是公司治理和内部控制涉及的全部领域。
　　在ERM的推动下，公司治理领域和包括内部控制环节的风险在内的所有风险成为内部控制自我评估关注的对象。由于企业风险管理是一个多向的、相互作用的过程，几乎其中每一要素均能并且确实会影响其他要素。所以，要求内部控制自我评估要树立全局的观念，从战略层次至上而下地评估企业的固有风险和剩余风险。
　　在ERM框架中，现代内部控制的测试与评价应遵循的逻辑顺序是“目标——风险——控制”，内部控制自我评估紧密联系企业的战略目标，更能体现其增值功能，有利于促进组织目标的实现。
　　
　　二、以风险为导向的内部控制自我评估
　　内部控制自我评估(Control Self—Assessment，简称CSA)，是在内部审计机构的推动下公司不定期或定期地对自己及所属子公司的内部控制系统进行评价，评价内部控制的有效性及其实施的效率效果，以期能更好地实现内部控制的目标。
　　CSA强调内部控制系统既不是内部审计工作的责任，也不仅仅是高级管理层应关心的问题，相反，应该把它看成是所有雇员共同的责任。控制自我评估体现了应该最先询问那些参与了风险评估过程以及执行了整个控制过程的人，它所包含的不断改善的理念与现代的全面质量管理概念非常匹配，与整体协作的概念及群体学习的模式也有相通之处，因而在今天的商业社会中存在着巨大的潜能。
　　1.内部控制自我评估的结构
　　完整的内部控制自我评估结构包括以下几个方面：
　　(1)管理者的支持。内部控制自我评价开始于内部审计部门和其他管理部门间良好的合作关系和相互的理解。内部审计人员应清楚地理解单位的文化、政治和环境，这些知识将有助于确立最适当的评价框架。管理者还要根据需要建立工作小组并了解小组及其成员。
　　(2)研讨会。召开研讨会有助于对选题进行交流和探讨。研讨会的基调是双向发现问题和共同分享信息。参加研讨会的对象应尽可能多，与讨论的业务流程相关的人员，特别是风险薄弱环节的工作人员必须到场参加讨论。现场讨论应做到人尽其言，所有的观点都应记录在案。
　　(3)自我评估报告。报告主要有三个部分：本次评价的内部控制范围和评价过程中的特殊情况；内部控制各个环节的风险程度，可用热力图来表示(风险最高的是红色，较高的是黄色，其次是深绿色，再次是浅蓝色，风险最低的为白色)；对标红色和黄色的高风险环节进行具体称述，说明其状况、影响，并提出改进方案和方案的完成时间、责任人。如果对该高风险管理层决定不采取措施，而是承受这一风险，应有管理层的书面承诺。
　　(4)行动计划。行动计划是实施内部控制自我评价的必然结果。内部控制自我评价帮助被评价单位建立一个大家共同认同的目标，所有的问题虽不会立即解决，但能有效地控制风险，使被审计单位向预定目标前进。在制订行动计划时应特别关注控制点和相应的控制措施。不同的控制点，有着不同的业务内容和控制目标，因此需要采取不同的控制措施，才能预防和发现各种错误与舞弊。不同行业、公司为实现控制目标所采取的控制措施也可能相去甚远，不能穷尽。需要审计师根据具体情况，运用职业判断能力进行确认。
　　2.控制自我评估(CSA)的方式
　　CSA方法上有高度行为化模式的(如对流程、控制模型分析)，也有很机械化的(如调查问卷)，通常采用比较多的是引导会议法(Facilitate Meeting，有的也称呼为工作坊法)。
　　引导会议法是聚集有关的人员在具有经验的引导师(Facilitator，通常由对内部控制有一定认识的人担任，可以是审计人员、管理者或员工)的引导下，对内部控制、风险等进行评价并提出改进意见。引导师的角色是引导组织的人员围绕工作目标、内部控制和风险等问题作出讨论，引导师并不参与讨论或对讨论的具体内容表示肯定或否定态度。引导师只为参与者提供内部控制、风险管理等概念，确定CSA的讨论方法，确保参与者均能自由地发表意见。
　　引导会议法不同于一般的会议，它本身不进行任何决策，只提供评价及改进意见。引导会议法应采取以风险为基础的形式，这种形式检查控制活动以确保检查关键的经营风险。这种形式更易于甄别主要剩余风险以便采取纠正行动，这种形式可能带来更全面的自我评价。
　　大多数情况下，研讨会由内部审计人员或高层管理者充当引导者，主持召开一系列的研讨会来完成的。通常包括计划、预备工作、单独的研讨会、系列的联席会议、报告和行为方案的实施等一系列过程。内部审计人员通过引导管理人员及员工参与CSA，可以将现代内部控制的基本框架理念最佳实务等内容传授给所有人员，从而使其更好地履行职责。
　　
　　三、企业实施内部控制评估成功的要点
　　1.保证控制自我评估参与人员的素质。CSA小组成员的素质高低对项目的成功推广很关键。他们具体负责项目的推进，应具备必要的任职条件。成员应拥有丰富的审计经验和扎实的财务知识，有发现问题、分析问题的能力；应具备一定的管理知识，对该项目有认同感；应对业务有深入的了解，能带领同伴提出建设性的改进建议。应对评价小组成员组织有针对性的培训，并对小组成员的工作进行调整以保证他们有能力和精力完成评价工作。
　　2.必须创造一个毫无偏见的研讨会环境。研讨会是内部控制自我评估项目中最主要、最具特色的一种开展方式，集中体现了CSA的核心理念，其也是一个发现问题、分析问题、解决问题和共同分享信息的双向沟通过程。管理者必须树立正确的内部控制意识。内部控制自我评估的顺利进行必须有管理当局的大力支持，否则无法有效地调动全员积极性。
　　3.其次，发挥内审人员作用，形成内控评价合力。在我国现阶段，内部审计是内部控制自我评估的重要推动者之一，通过内部控制自我评估，使内部审计人员不再仅仅是“独立的问题发现者，而成为推动公司改革的使者”，将以前消极的以“发现和评价”为主要内容的内部审计活动向积极“防范和解决方案”的内部审计活动转变，从事后发现内部控制薄弱环节转向事前防范；从单纯强调内部控制转向积极关注利用各种方法来改善公司的经营业绩。内部审计人员广泛接触各部门人员，和各管理部门建立经营伙伴关系，有利于共同采取措施，从整体上防范企业的经营风险。
　　(东北财经大学津桥商学院；佳木斯大学经济管理学院)