1999年6月，国际内部审计师协会(或简称“IIA”)颁布了其自1941年以来发表的第七个，也是最新的一个针对内部审计的定义，即：“内部审计是一种独立、客观的鉴证和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。”
　　该定义非常清晰地明确了内部审计(或简称“内审”)的两大职能，鉴证和咨询。
　　鉴证即鉴别和论证，通常是指内审工作人员通过独立的测试，基于测试的客观结果，评价企业某项活动是否符合预期的标准或要求的过程，比如经济责任审计，离任审计，工程造价审计和内部控制审计等。可以说，鉴证工作是目前国内绝大多数企业内审的主要工作。伴随着我国改革开放的不断深入，国有企业现代化治理结构也日趋完善。近年来，国内大多数大型国有企业的内审鉴证工作都逐步实现了体系化、规范化和常态化，并正朝着专业化的方向持续发展。比如，很多企业开始在内审中建立了计算机审计的职能，从而应对信息化给企业风险管理和内部控制带来的新问题。毫不夸张地说，内审的鉴证活动在完善我国国有企业内部控制体系的过程中发挥着巨大的作用。每次鉴证活动就好比给企业做了一次体检，以内部控制审计为例，审计师先通过审计发现问题识别病症，再通过提出的专业整改建议来开具药方，最终使得企业内部控制的肌体更加健康，也为企业的可持续发展做出了特定贡献。
　　然而，企业内审应该如何在做好鉴证工作的同时，进一步发挥内审的咨询职能，从而为企业的发展带来更多的价值开始成为当前越来越多国企内审领导所思考的一个问题。在这个问题上，我们首先需要考虑的就是内审如何在不违反独立性的前提下履行自身的咨询职能。众所周知，内审的一切活动应该是独立的，这点也在IIA关于内部审计的定义中得到了明确，某种程度上来说，独立性就是内审的生命，因为只有拥有了科学的独立性，内审的工作才是公正的，而一个公正的内审结论是内审所有价值的基础。实务中，内审部经常会收到业务部门的询问，咨询某项工作该如何做才能满足内部审计的要求，通常，我们只能告诉业务部门，内审的独立性导致我们无法回答这样的问题，因为回答这样的问题无疑会破坏内审在进行鉴证工作中的独立性，因为内审不应该即是裁判员又是运动员的教练。可是，近年来，在工作中，我们越来越明显地感受到了企业的业务部门，乃至管理者，对内审咨询职能的强烈期望。随着资本市场对企业内部控制要求的逐步提高，企业管理者和业务操作人员迫切地希望从企业内审这里了解内部控制和风险管理的知识，包括监管要求，行业最佳实践等。毫无疑问，如何在满足这种期望和确保内审的独立性之间取得一个平衡，成为了摆在内审工作人员面前的一个新的挑战。
　　经过多方面的专业交流和自身的调研，我们认为开展内控自我评估工作完全可以帮助内审部门迎接这个挑战。内控自我评估(或简称“CSA”)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。CSA具有三个基本特征：关注业务的过程和控制的成效；由业务管理部门及其员工共同进行；用结构化的方法开展自我评估。从该定义可以看到，CSA的主体是业务管理部门及其员工，也就说该项工作的主体是非内审人员，而该项工作的目标又是评价企业内部控制的有效性。因此，内审人员完全可以以专家的身份参与到这项工作中去，如此，即展现了内审的咨询职能，又完全没有独立性的问题。
　　CSA最早在1987年由加拿大海湾公司(Gulf Canada)首次提出。促成该公司实施CSA的环境因素主要有两个：
　　(1)一项法庭判决要求该公司报告内部控制；
　　(2)传统审计程序在解决油和气的计量问题方面碰到了困难。会计人员和审计人员决定召开引导会议(facilitated meeting)来说明双方的问题。他们发现这种方法是一种比一对一审计访谈更为有效的实现其目标的方法。于是，在接下来的十年之中，该组织不断使用 CSA来评价和改进它的内部控制系统。
虽然CSA最早出现在20世纪80年代末期，但其最主要的发展是在90年代。 如今，世界上越来越多的公司和其他组织已经或正在实施一些成功的CSA计划。例如美国联邦存款保险公司(FDIC)和加拿大存款保险公司(CDIC)要求美加金融机构据以评价内部控制。世界银行专门出版了一本有关CSA实施经验的书。为了适应这种潮流，国际内部审计师协会专门成立了CSA中心，德勤等国际会计师事务所也已经形成了体系化的内控自我评估方法论。可以说，在国际上已经掀起了一股CSA热。
　　因此，2009年，上海移动内审部开展了首个内控自我评估项目。该项目的目标就是帮助各业务部门能基于一种结构化的方法，来定期对相关的内部控制进行测试和评估。在设计项目方案前，我们对项目的环境进行了基本的评估。我们认为，上海移动从2006年开展SOX合规审计，今年已经是第三个年头了，三年来，通过SOX内控项目，公司各部门的风险防范意识和内控意识得到了很大的提升，风险、控制目标、控制活动等专业术语开始为绝大多数业务部门所理解和接受，很多业务部门从对内部控制的不了解到积极学习内部控制，甚至已经产生了能定期进行内部控制自我测试的想法。因此，在上海移动实施CSA具有非常好的环境。其次，多年的SOX合规审计和各类内控鉴证工作，已经使得内审部建立了一个与内控工作相关的知识库，包括各类控制矩阵，各类测试模板和报告模板等，这些文档使得CSA工作的开展具备了更扎实的基础。在进行了这番初步评估后，我们马上明确了项目的实施方，可分为以下3个阶段：
　　1.确定范围——2.编制风险手册——3.全面推广
　　首先，上海移动选取了一个业务流程作为首次实施CSA的范围，在选择该流程的时候，我们评估了该流程对公司业务运作的重要性，流程本身的复杂性和流程的成熟度。通过这3个方面的评估，不但确保在这个流程实施的CSA项目容易取得成功，而且可以为公司带来更多的价值。
　　其次，我们决定通过风险手册这一形式作为本次CSA的核心成果。本项目中，我们为该流程的每个相关部门，都编制了一份风险手册。而我们认为，各业务部门能定期进行内控自我评估应该具备以下几个条件：
　　1．对评估目标的明确；
　　2．对评估范围的明确；
　　3．对评估方法的明确；
　　因此，我们对风险手册的架构和内容也做了相应的设计和编写。对于评估的目标，我们在风险手册中通过“手册简介”这个章节进行了介绍，如上文所提到的，由于整个上海移动具备良好的内控氛围，且该流程相对成熟，业务部门对评估目标的理解和认同基本不存在什么障碍。
　　而对于业务部门来说，当准备开展CSA的时候，如何确定评估或测试范围是他们所面临的第一个难点，因此，我们在风险手册中通过“流程简介”和“内控职责”两个章节对评估范围进行了描述。在流程简介中，我们通过流程图这种可视化的形式，将整个流程中和各部门相关的工作进行了展示，并对每个工作步骤进行了编号，然后，我们在内控职责章节中通过矩阵的形式列示了和该部门相关的所有控制活动。因此，通过流程简介和内控职责这两个段落，业务部门可以快速地、清晰地了解自身部门在该流程中所处的位置以及所有自己所需要履行的控制点。并且，业务部门可以自行决定评估的控制点范围，比如，业务部门可以进行一次全面的控制点自我评估，或者可以根据业务的变化和各种风险因素，来定制评估范围，例如，仅针对某几个控制点进行评估测试。
　　在明确了评估目标和评估范围后，业务部门的主要困难就在于评估方法。对此，我们通过“自查手册”这个章节对评估方法进行了直观的、清晰的介绍。在这个章节中，我们首先引入了一套规范化、体系化的自查程序，包括：1)如何确定自评范围，2)如何执行自我评估，3)如何汇报自评结果。我们对这套程序的每个阶段中的步骤都进行了详细的描述，且对每个步骤所需要用到的文档都在手册最后提供了模板，使得业务部门不但对具体的评估步骤有了明确的了解，在执行评估的时候，也可以通过这些模板使得整个评估过程更标准化、规范化。
　　最后，我们召集各相关部门的负责人，就风险手册的内容和使用方法进行了详细的培训，以确保各部门负责该流程CSA的工作人员对工作方法有完整的了解。
　　以上，我们通过上海移动内审部的一个具体案例，介绍了CSA这种可以展现内审咨询价值的形式。希望通过这种探索，能为内审行业的发展带来一些新的思维方式，也为内审跨出传统的鉴证服务领域，更深入地发挥咨询职能提供一种实务上可操作的工作模式！

（作者：上海移动内审部 王菲 周蒙婕 ）