控制自我評估（CSA）是指企業(yè)內部為實現(xiàn)目標、控制風險而對內部控制系統(tǒng)的有效性和恰當性實施自我評估的方法。國際內部審計師協(xié)會（IIA）在1996年的研究報告中總結了CSA的三個基本特征：關注業(yè)務的過程和控制的成效；由管理部門和職員共同進行；用結構化的方法開展自我評估。有人則還把它理解為評估企業(yè)內部風險、機遇、強勢與弱勢的廣義概念。CSA也被稱為管理自我評估、控制和風險自我評估、經營活動自我評估以及控制/風險自我評估等。其中控制/風險自我評估（CRSA）的提法，在加拿大還得到了加拿大標準協(xié)會（Canadian Standards Association）的認同。

    CSA最早在1987年由加拿大海灣（Gulf Canada）公司首次提出。促成該公司實施CSA的環(huán)境因素主要有兩個：（1）一項法庭判決要求該公司報告內部控制；（2）傳統(tǒng)審計程序在解決油和氣的計量問題方面碰到了困難。會計人員和審計人員決定召開引導會議（facilitated meeting）來說明雙方的問題。他們發(fā)現(xiàn)這種方法是一種比一對一審計訪談更為有效的實現(xiàn)其目標的方法。于是，在接下來的十年之中，該組織不斷使用CSA來評價和改進它的內部控制系統(tǒng)。

    雖然CSA最早出現(xiàn)在20世紀80年代末期，但其最主要的發(fā)展是在90年代，筆耕文化傳播，特別是在1992年COSO報告公布之后。COSO報告首次把內部控制從原來自上而下財務模式的平面結構發(fā)展為更具彈性的企業(yè)整體模式的立體框架。此后，一些國家發(fā)布的有關內部控制的報告，均以COSO報告為模本。我國的《內部會計控制規(guī)范》和巴塞爾銀行監(jiān)管委員會的《銀行組織的內部控制系統(tǒng)框架》也是以COSO報告為基礎的。傳統(tǒng)的內控評價方法只能用來評價諸如財務報告，資產與記錄的接觸、使用與傳遞，授權授信，崗位分離，數據處理與信息傳遞等的“硬控制”。在新的內部控制模式下，迫切需要評價包括公司治理，高層經營理念與管理風格，職業(yè)道德，誠實品質，勝任能力，風險評估等的“軟控制”。在這種情況下，作為一種既可以用來評價傳統(tǒng)的硬控制，又可以用來評價非正式控制即軟控制的機制，CSA得到了普遍的信賴。

    如今，世界上越來越多的公司和其他組織已經或正在實施一些成功的CSA計劃。例如美國聯(lián)邦存款保險公司（FDIC）和加拿大存款保險公司（CDIC）要求美加金融機構據以評價內部控制。世界銀行專門出版了一本有關CSA實施經驗的書。為了適應這種潮流，安永、德勤等會計師事務所也都各自開發(fā)了CSA實施軟件；國際內部審計師協(xié)會也專門成立了CSA中心�？梢哉f，在國際上已經掀起了一股CSA熱。

    二、CSA帶來內部控制系統(tǒng)評價的革命

    由于CSA一開始便表現(xiàn)出對軟控制的強大評價效力，所以，早在1995年8月IIA召開第一屆CSA會議時，與會者中就有83%的人認為CSA將給內部審計業(yè)帶來革命性的變革。CSA所帶來的內控評價變革可概括為以下五個方面：

    1.有效進行軟控制的評價�？梢杂行У貙�軟控制進行評價是CSA優(yōu)越于傳統(tǒng)的內部控制評價方法的首要之處。以美國的SEC為例，為了實現(xiàn)其保護投資者利益的目標，諸如員工的職業(yè)道德與專業(yè)勝任能力等軟控制較之硬控制顯得重要得多。如果實施CSA，把管理人員和其他員工召集起來討論職業(yè)道德并對其是否可以成功達到目標進行評估，引導小組的成員就可以甄別現(xiàn)存信息溝通過程的成功之處與潛在障礙，并提出相應的改進建議。

    2.提升控制環(huán)境。按照新的內控理論，內審人員不再是內部控制的唯一責任主體，企業(yè)的所有成員都對內部控制負有相應的責任，利用CSA可以起到有效教育并幫助管理人員明確并愿意承擔其責任的作用。對此，美國西雅圖市的審計人員Scottie Veinot說：“如果沒有CSA，我將不得不尋找一種有效途徑來對有關人員進行內部控制培訓，現(xiàn)在好了，CSA幫我完成了這一切，它在我的組織當中起到了角色轉換的使者和教育者的作用。”另外，CSA還能通過影響一般員工來對控制環(huán)境產生積極的貢獻。因為當一般操作人員參與CSA過程時，他們不僅學會了對內部控制進行持續(xù)的日常評估，而且提高了控制意識。管理人員或工作組其他人員參與評價內部控制、評估風險，對所發(fā)現(xiàn)的薄弱環(huán)節(jié)提出行動計劃，評估經營目標完成的可能性。從而提高他們對組織目標以及內部控制在實現(xiàn)這些目標中所起到的作用的認識，激發(fā)他們認真設計和執(zhí)行控制程序，并不斷改進控制程序，做到了全員評價、全員控制，實現(xiàn)了內部控制的質的飛躍。

    3.盡快找到并解決問題。利用CSA，常�？梢员葌鹘y(tǒng)的內部審計更容易找到問題并提出解決問題的方法，特別是那些跨部門的問題和表面上看起來不可能的問題。多倫多帝國壽險理財公司的高級顧問Michael Pidzamecky舉了這方面的典型例子。他曾就職的天然氣公用公司利用傳統(tǒng)的內部審計方法一直無法找出未能準時支付供應商款項的問題，后來他們采用了CSA技術，組織了一個包括會計、審計、營銷、信息技術、燃氣控制、燃氣供應、人力資源以及其他一些部門共20人的小組，所有的參與者都提出了各種可能的原因：培訓的、溝通的、信息系統(tǒng)的、營銷的等等，并對主要原因進一步尋找子原因。這樣，采取“魚骨圖”（fishbone）模型來分析，當魚骨圖畫好之后，他們就找到了問題的根本：公司要求經過五次簽字的付款授權政策本身過于耗時。找到了原因所在，解決問題的辦法當然也就垂手可得。

    4.預測并控制風險。通過CSA，一個組織還可以提高某經營單位在設計和保持控制與風險系統(tǒng)中的涉及度，甄別風險暴露情況并決定正確的行動，從而為內部控制增加價值。CSA執(zhí)行者可以首先與其員工進行面對面訪談，然后與工作組的成員們詳細討論，把討論結果諸如目標、成功的障礙、風險、現(xiàn)有的控制與所必需的控制等，形成一個電子數據模板，并根據其發(fā)生的可能性與影響程度對風險進行加權平均，排成高風險區(qū)、中風險區(qū)和低風險區(qū)。這樣，各相關部門便可以根據此電子數據模板有的放矢，采取措施，將來還可以據此進行持續(xù)重估。加拿大安大略省布蘭登市的審計人員David Young總結了這方面的經驗：管理人員及員工學習并掌握了CSA對風險的排序，他們便會提高責任心，在他們的部門中分配資源以減少最危險的風險。

    5.使內審更具效率與效果。通過CSA，內部審計和經營人員合作起來對經營活動進行評價。由于依靠經營人員在CSA中的活躍參與，減少了收集信息的時間和審計中所需執(zhí)行的驗證程序，參與CSA的人員對經營過程能了解得更為徹底。因此，這種合作提高了內部審計人員可獲信息的數量和質量，把審計人員從對立者、監(jiān)督者轉換為企業(yè)發(fā)展的參與者、推動者。IIA建議通過內部職能把審計人員、CSA引導者和參與者這三者之間的互動結果加以綜合利用，來為組織增加較大價值。它支持用CSA來：（1）擴大給定年度中內部控制報告的覆蓋范圍；（2）通過對在CSA結果中注意到的高風險和非正常項目進行復核來確定審計工作目標；（3）通過把糾錯行動從所有者方面向雇員方面轉移的辦法來提高糾錯行動的有效性。