目前，世界經(jīng)濟(jì)已渡過(guò)了國(guó)際金融危機(jī)爆發(fā)以來(lái)最困難的時(shí)期并逐步復(fù)蘇，全球經(jīng)濟(jì)逐步渡過(guò)金融危機(jī)的恐慌而進(jìn)入“后危機(jī)時(shí)代”。在后危機(jī)時(shí)代，世界將掀起新一輪的科技革命、產(chǎn)業(yè)革命，形成新能源、綠色經(jīng)濟(jì)等一系列競(jìng)爭(zhēng)浪潮。后危機(jī)時(shí)代給中國(guó)企業(yè)提供了一個(gè)難得的發(fā)展機(jī)遇，中國(guó)企業(yè)應(yīng)克服障礙，積極應(yīng)對(duì)后危機(jī)時(shí)代的挑戰(zhàn)。
　　加強(qiáng)企業(yè)內(nèi)部控制和強(qiáng)化風(fēng)險(xiǎn)管理已逐步被企業(yè)所認(rèn)可，尤其是經(jīng)歷此次金融危機(jī)后，無(wú)論是國(guó)內(nèi)的企業(yè)，還是國(guó)際上的知名大企業(yè)，都將加強(qiáng)企業(yè)內(nèi)部控制和強(qiáng)化風(fēng)險(xiǎn)管理視為逐步完善公司治理的一項(xiàng)重要內(nèi)容。
　　美國(guó)2002年頒布《薩班斯—奧克斯利法案》(Sarbanes-Oxley Act），其中的404條款要求首席執(zhí)行官和首席財(cái)務(wù)官對(duì)主體財(cái)務(wù)呈報(bào)內(nèi)部控制的有效性進(jìn)行評(píng)價(jià)和報(bào)告。紐約證券交易所則要求所有的上市公司在2004年10月31日前，必須由內(nèi)部審計(jì)部門(mén)向管理當(dāng)局和審計(jì)委員會(huì)提供有關(guān)風(fēng)險(xiǎn)管理程序和內(nèi)部控制系統(tǒng)的評(píng)估。我國(guó)于2006年6月5日出臺(tái)了《上海證券交易所上市公司內(nèi)部控制指引》，同年9月28日出臺(tái)了《深圳證券交易所上市公司內(nèi)部控制指引》，兩個(gè)指引的語(yǔ)言表述雖然略有不同，但是都規(guī)定上市公司應(yīng)設(shè)立專(zhuān)門(mén)負(fù)責(zé)監(jiān)督檢查的內(nèi)部審計(jì)部門(mén)并直接對(duì)董事會(huì)負(fù)責(zé)，內(nèi)部審計(jì)部門(mén)定期檢查公司內(nèi)部控制缺陷，評(píng)估其執(zhí)行的效果和效率，并及時(shí)提出改進(jìn)建議。鑒于此，內(nèi)部控制的評(píng)估在公司治理中愈發(fā)重要，掌握和運(yùn)用科學(xué)的內(nèi)部控制評(píng)估的方法至關(guān)重要。
　　
　　一、企業(yè)風(fēng)險(xiǎn)管理框架對(duì)內(nèi)部控制自我評(píng)估的推動(dòng)
　　
　　傳統(tǒng)對(duì)內(nèi)部控制的測(cè)試與評(píng)價(jià)所遵循的邏輯順序是“控制—風(fēng)險(xiǎn)—評(píng)價(jià)控制目的是否實(shí)現(xiàn)”，更多的是一種事后的反饋，在確認(rèn)內(nèi)部控制薄弱環(huán)節(jié)之后，提供信息以幫助管理層增強(qiáng)和完善內(nèi)部控制，這種事后的評(píng)價(jià)是“亡羊補(bǔ)牢”，而不是“未雨綢繆”，傳統(tǒng)的內(nèi)部控制評(píng)估方法難以滿(mǎn)足現(xiàn)代管理的需要。
　　2004年10月COSO正式出臺(tái)《企業(yè)風(fēng)險(xiǎn)管理——整合框架》(Enterprise Risk Management Integrated Framework，簡(jiǎn)稱(chēng)ERM框架)。ERM框架把更多的注意力放到了企業(yè)風(fēng)險(xiǎn)管理這一更加寬泛的領(lǐng)域。ERM是對(duì)內(nèi)部控制的擴(kuò)展，是包含四個(gè)目標(biāo)、八個(gè)要素和四個(gè)層次的整合框架，完全體現(xiàn)了管理者以企業(yè)風(fēng)險(xiǎn)管理為己任的理念。首先，ERM在目標(biāo)方面增加了戰(zhàn)略目標(biāo)，將對(duì)企業(yè)的風(fēng)險(xiǎn)關(guān)注重點(diǎn)引向了重大的、根本性的戰(zhàn)略問(wèn)題；其次，在內(nèi)部控制框架五要素的基礎(chǔ)上增加了目標(biāo)設(shè)定、事件識(shí)別和風(fēng)險(xiǎn)評(píng)估三個(gè)要素，與原來(lái)的風(fēng)險(xiǎn)評(píng)估要素一起構(gòu)成了一個(gè)完整的風(fēng)險(xiǎn)管理的基本過(guò)程；最后，ERM強(qiáng)調(diào)將企業(yè)風(fēng)險(xiǎn)管理覆蓋所有層次，包括業(yè)務(wù)單元、子公司、分支機(jī)構(gòu)和公司的整體層次，而業(yè)務(wù)單元、子公司、分支機(jī)構(gòu)和公司的整體層次正是公司治理和內(nèi)部控制涉及的全部領(lǐng)域。
　　在ERM的推動(dòng)下，公司治理領(lǐng)域和包括內(nèi)部控制環(huán)節(jié)的風(fēng)險(xiǎn)在內(nèi)的所有風(fēng)險(xiǎn)成為內(nèi)部控制自我評(píng)估關(guān)注的對(duì)象。由于企業(yè)風(fēng)險(xiǎn)管理是一個(gè)多向的、相互作用的過(guò)程，幾乎其中每一要素均能并且確實(shí)會(huì)影響其他要素。所以，要求內(nèi)部控制自我評(píng)估要樹(shù)立全局的觀念，從戰(zhàn)略層次至上而下地評(píng)估企業(yè)的固有風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn)。
　　在ERM框架中，現(xiàn)代內(nèi)部控制的測(cè)試與評(píng)價(jià)應(yīng)遵循的邏輯順序是“目標(biāo)—風(fēng)險(xiǎn)—控制”，內(nèi)部控制自我評(píng)估緊密聯(lián)系企業(yè)的戰(zhàn)略目標(biāo)，更能體現(xiàn)其增值功能，有利于促進(jìn)組織目標(biāo)的實(shí)現(xiàn)。
　　
　　二、以風(fēng)險(xiǎn)為導(dǎo)向的內(nèi)部控制自我評(píng)估
　　
　　內(nèi)部控制自我評(píng)估(Control Self-Assessment，簡(jiǎn)稱(chēng)CSA)，是在內(nèi)部審計(jì)機(jī)構(gòu)的推動(dòng)下，公司不定期或定期地對(duì)自己及所屬子公司的內(nèi)部控制系統(tǒng)進(jìn)行評(píng)價(jià)，評(píng)價(jià)內(nèi)部控制的有效性及其實(shí)施的效率效果，以期能更好地實(shí)現(xiàn)內(nèi)部控制的目標(biāo)。
　　CSA強(qiáng)調(diào)內(nèi)部控制系統(tǒng)既不是內(nèi)部審計(jì)工作的責(zé)任，也不僅僅是高級(jí)管理層應(yīng)關(guān)心的問(wèn)題，相反，應(yīng)該把它看成是所有雇員共同的責(zé)任?？刂谱晕以u(píng)估體現(xiàn)了應(yīng)該最先詢(xún)問(wèn)那些參與了風(fēng)險(xiǎn)評(píng)估過(guò)程以及執(zhí)行了整個(gè)控制過(guò)程的人，它所包含的不斷改善的理念與現(xiàn)代的全面質(zhì)量管理概念非常匹配，與整體協(xié)作的概念及群體學(xué)習(xí)的模式也有相通之處。因而在今天的商業(yè)社會(huì)中存在著巨大的潛能。
　　1.內(nèi)部控制自我評(píng)估的結(jié)構(gòu)
　　完整的內(nèi)部控制自我評(píng)估結(jié)構(gòu)包括以下幾個(gè)方面：
　?、殴芾碚叩闹С?。內(nèi)部控制自我評(píng)價(jià)開(kāi)始于內(nèi)部審計(jì)部門(mén)和其他管理部門(mén)間良好的合作關(guān)系和相互的理解。內(nèi)部審計(jì)人員應(yīng)清楚地理解單位的文化、政治和環(huán)境，這些知識(shí)將有助于確立最適當(dāng)?shù)脑u(píng)價(jià)框架。管理者還要根據(jù)需要建立工作小組并了解小組及其成員。
　?、蒲杏憰?huì)。召開(kāi)研討會(huì)有助于對(duì)選題進(jìn)行交流和探討。研討會(huì)的基調(diào)是雙向發(fā)現(xiàn)問(wèn)題和共同分享信息。參加研討會(huì)的對(duì)象應(yīng)盡可能多，與討論的業(yè)務(wù)流程相關(guān)的人員，特別是風(fēng)險(xiǎn)薄弱環(huán)節(jié)的工作人員必須到場(chǎng)參加討論。現(xiàn)場(chǎng)討論應(yīng)做到人盡其言，所有的觀點(diǎn)都應(yīng)記錄在案。
　?、亲晕以u(píng)估報(bào)告。報(bào)告主要有三個(gè)部分：本次評(píng)價(jià)的內(nèi)部控制范圍和評(píng)價(jià)過(guò)程中的特殊情況；內(nèi)部控制各個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)程度，可用熱力圖來(lái)表示(風(fēng)險(xiǎn)最高的是紅色，較高的是黃色，其次是深綠色，再次是淺藍(lán)色，風(fēng)險(xiǎn)最低的為白色)；對(duì)標(biāo)紅色和黃色的高風(fēng)險(xiǎn)環(huán)節(jié)進(jìn)行具體稱(chēng)述，說(shuō)明其狀況、影響，并提出改進(jìn)方案和方案的完成時(shí)間、責(zé)任人。如果對(duì)該高風(fēng)險(xiǎn)管理層決定不采取措施，而是承受這一風(fēng)險(xiǎn)，應(yīng)有管理層的書(shū)面承諾。
　　⑷行動(dòng)計(jì)劃。行動(dòng)計(jì)劃是實(shí)施內(nèi)部控制自我評(píng)價(jià)的必然結(jié)果。內(nèi)部控制自我評(píng)價(jià)幫助被評(píng)價(jià)單位建立一個(gè)大家共同認(rèn)同的目標(biāo)，所有的問(wèn)題雖不會(huì)立即解決，但能有效地控制風(fēng)險(xiǎn)，使被審計(jì)單位向預(yù)定目標(biāo)前進(jìn)。在制訂行動(dòng)計(jì)劃時(shí)應(yīng)特別關(guān)注控制點(diǎn)和相應(yīng)的控制措施。不同的控制點(diǎn)，有著不同的業(yè)務(wù)內(nèi)容和控制目標(biāo)，因此需要采取不同的控制措施，才能預(yù)防和發(fā)現(xiàn)各種錯(cuò)誤與舞弊。不同行業(yè)、公司為實(shí)現(xiàn)控制目標(biāo)所采取的控制措施也可能相去甚遠(yuǎn)，不能窮盡。需要審計(jì)師根據(jù)具體情況，運(yùn)用職業(yè)判斷能力進(jìn)行確認(rèn)。
　　2.控制自我評(píng)估(CSA)的方式
　　CSA方法上有高度行為化模式的(如對(duì)流程、控制模型分析)，也有很機(jī)械化的(如調(diào)查問(wèn)卷)，通常采用比較多的是引導(dǎo)會(huì)議法(Facilitate Meeting，有的也稱(chēng)呼為工作坊法)。
　　引導(dǎo)會(huì)議法是聚集有關(guān)的人員在具有經(jīng)驗(yàn)的引導(dǎo)師(Facilitator，通常由對(duì)內(nèi)部控制有一定認(rèn)識(shí)的人擔(dān)任，可以是審計(jì)人員、管理者或員工)的引導(dǎo)下，對(duì)內(nèi)部控制、風(fēng)險(xiǎn)等進(jìn)行評(píng)價(jià)并提出改進(jìn)意見(jiàn)。引導(dǎo)師的角色是引導(dǎo)組織的人員圍繞工作目標(biāo)、內(nèi)部控制和風(fēng)險(xiǎn)等問(wèn)題作