实务公告 2120.A1—2：应用控制自我评估对控制过程的健全性进行评价

解释《国际内部审计专业实务标准》中的第2120.A1条标准

本实务公告性质

管理人员和内部审计师应该应用控制自我评估方法对组织风险管理和控制过程的健全性进行评价。内部审计师可以应用控制自我评估项目收集关于风险和控制的相关信息，在审计计划中强调高风险的异常领域，并加强与经营部门的管理人员和工作小组的合作。

1．高级管理层负责监督风险管理和控制过程的建立、管理和评价。经营部门的管理人员 负责评价所在部门的风险和控制。内部和外部审计师则为整个组织风险管理和控制过程的有效性提供各种程度的确认。管理人员和审计师都有兴趣应用技术和工具来突出对现有风险管理和控制过程进行评价的工作重点，拓展这种评价工作，并寻找改进效果的方式。

2．控制自我评估是一种包括自我评估调查和协调研讨的方法，是管理人员和内部审计师合作评价控制程序有效性的有用方法。在最简单的形式上，控制自我评估综合了业务目标和控制过程的风险。有时也把控制自我评估称为控制／风险自我评估。虽然控制自我评估的实际应用者应用一系列的不同技术和格式，但大多数已经实施的项目具有共同的关键特征 和目标。应用自我评估的组织拥有正式的、得到文件记录的程序，允许直接参与业务部门工作或有关程序的管理人员和工作小组以规范化方式参与以下工作：

确认风险； 评价减少或管理风险的控制过程； 开发用以将风险减少到可接受水平的行动计划； 确定实现业务目标的可能性。

3．通过控制自我评估可以达到的结果包括：

业务部门的人员在评价风险和将控制过程与管理风险、改善实现业务目标的机会等内容相联系方面得到培训并获得经验； 更容易得到发现和评价非正式的、“软”的控制； 能够掌管本部门的控制过程使人们获得动力驱动，而工作小组所采取的纠正性行动经常更为有效及时； 组织的整个目标一风险一控制基础能够得到更多的监督和持续的改善； 通过为工作小组充当协调员、文书和报告人员，并为控制自我评估提供关于风险和控制概念的培训，内部审计师参与了控制自我评估过程，并获得关于此过程的深入了解； 内部审计部门可以从组织内部获取关于控制过程的更多信息，而且可以在分配其稀有资源时对额外的信息进行衡量，以便花更多的精力调查并测试存在严重控制薄弱环节或高度 剩余风险的业务部门； 管理人员在组织风险管理和控制过程中的责任得到了加强，而减弱了管理人员对于将这些管理活动转让给审计师等专家的意愿； 内部审计活动的首要作用是通过开展测试并发表关于整个风险管理和控制系统健全性和有效性的专业判断意见，持续地对评价过程进行验证。转自:考试网 - [PPkao.Com]

4．组织控制自我评估所应用的各种不同方法反映了行业、地理、结构、组织文化、雇员得到授权的程度、主流管理风格以及制定战略和政策方式等的区别。这种情况也表明，某种控制自我评估项目在一个组织获得了成功，并不意味着同样的项目肯定会在另一组织获得成功。控制自我评价过程应该适应每个组织的独特特征。而且，这种情况也表明，控制自我评估方法必须灵活，能够随着组织的持续发展而不断发生变化。

5．控制自我评估项目的三大主要形式是：协调小组研讨、调查和管理人员分析。一般组织都综合这几种形式，而不是单纯应用某一种形式。

6．协调小组研讨从代表业务部门或职能部门不同层次的工作小组成员中收集信息。研讨的形式以相关目标、风险、控制或过程为基础。

1/3    1 2 3 下一页 尾页