1.2.1 控制自我评估

控制自我评估（Centrol Self-Assessment，CSA）是由单位或相关单位的员工和管理层对控制做出的评估。它是向利益相关方、客户和其他方确保组织内部控制系统可靠的管理技术，也可保证员工知悉业务风险并主动定期审查控制。此方法通过书面的正式协作流程来审查关键业务目标；评估实现业务目标所涉及的风险；以及确保内部控制旨在管理业务风险。

信息系统审计师扮演协助者的角色，帮助业务流程所有者定义和评估适当的控制，并根据业务流程的风险帮助他们了解控制需求。实施各流程的流程所有者和相关人员运用业务职能相关知识以及各自对业务职能的理解，根据确定的控制目标评估控制的有效性，同时还要将组织的风险偏好考虑在内。流程所有者是确定恰当控制的最佳人选，因为他们更了解流程目标。

CSA计划可通过问卷调查、引导式研讨会和非正式同行评审等方法来实施。对于组织内部的小型业务部门，CSA计划可采用引导式研讨会的形式实施，在会上，职能部门的管理层和信息系统审计师可以聚到一起，商讨如何更好地改进业务部门的控制结构。在研讨会中，协助者的任务是推动决策过程。协助者可营造一个支持性的氛围，帮助参与者深入了解自己及他人的经验；确定控制的优势和弱势，并分享自己的知识、想法和顾虑。除推动想法和经验交流之外，必要时，协助者也可以贡献自身的专业知识。

CSA的目标

CSA计划的主要目标是将部分控制监控职责转移到各职能领域，从而利用内部审计职能。这并不是要取代审计的责任，而是加强责任的落实。受审方（如部门经理）对各自环境中的控制负责；经理应负责监控这些控制。CSA计划必须让管理层了解控制设计和监控，尤其应注重高风险领域。

采用CSA计划时，应制定保证各阶段（规划、实施和监控）顺利进行的措施，以确保从CSA及其未来的使用中获益。其中一个关键性成功因素（Critical Sucess Factor，CSF）即为与业务部门代表（包括对应或相关的员工及管理层）进行一次会议来明确业务部门的主要目标，并确定内部控制系统的可靠性。应明确有助于提高主要目标实现可能性的措施。

CSA的优势

CSA具备以下优势：

• 及早检测风险。

• 改进内部控制，提高内部控制的有效性。

• 通过员工参与计划建立具有凝聚力的团队。

• 培养员工和流程所有者对于控制的主人翁意识，减少他们对控制改进举措的抗拒。

• 提高员工对组织目标的认识。

• 提高员工对风险和内部控制的认识。

• 增进运营经理和高级管理层之间的交流。

• 提高员工的积极性。

• 改进审计等级评定流程。

• 降低控制成本。

• 为利益相关方和客户提供保证。

• 向高级管理层提供必要的保证，确保内部控制符合法规和法律的要求。

CSA的劣势

CSA有一些劣势，包括：

• 可能被误认为是审计职能的替代品。

• 可能被视为额外的工作负担（例如需要向管理层多提交一份报告）。

• 如果未能实施改进建议，可能会降低员工士气。

• 如果缺乏审计知识，可能降低薄弱控制检测的有效性。

信息系统审计师在CSA中的角色

制订好CSA计划之后，审计师便成为内部控制专业人员和评估的协助者。当管理层通过控制结构中的流程改进（包括主动监控要素）承担与其管制之下的内部控制系统相关的所有权和责任时，这些角色的价值显而易见。

要有效起到促进和创新的作用，信息系统审计师必须了解所评估的业务流程。信息系统审计师还必须牢记，在CSA流程中，自己只是协助者，客户管理层才是真正的参与者。例如，在CSA研讨会上，信息系统审计师并不执行详细的审计程序，而是基于风险评估提供指导，并对控制目标提出见解，从而引导受审方评估自己的环境。注重提高流程效率的管理人员可能会建议替换掉预防性控制。在这种情况下，信息系统审计师是解释此等变更可能带来哪些风险的最佳人选。

为了提供更高质量的审计并使用内部和/或外部审计或主题专业知识，采用整合审计方法对运营、流程或实体的内部控制进行基于风险的评估。