(一)明确工作目的,制定工作计划和评估方案
首要任务是要确定一个明确的工作目的,根据企业的行业特点、战略目标和风险管理策略、主要业务环节和内部控制重点,明确是要对哪些IT目标、业务目标、业务需求和IT过程进行评估,根据目的制定出工作计划和评估方案。CSA的总体实施方案一般由内审部门或审计委员会负责。
(二)进行审前准备,做好培训和沟通工作
首先要做好和被评价过程的管理层的沟通,通过沟通确定要评估过程的业务目标。要顺利实施CSA,首先必须取得管理层的支持和员工的帮助,因此和管理层的沟通显得非常重要。其次,要对参与评估的工作人员和被评估部门的员工进行相关知识的培训,尤其强调的是高级管理层要参加培训并通过培训真正了解到企业的内部控制目的和CSA的意义。在具体实施评估之前,CSA小组成员需通过对高层管理者访谈,发放调查问卷以及与业务经理、关键员工座谈等方式了解部门业务运行模式、职能设置、业务流程及关键环节等情况,采用一定的技术手段,根据风险程度依次排序,确定专题讨论会的重点。在评估前发出邀请函,并把所有预先准备的资料发送至与会人员。
(三)实施CSA工作
CSA实施可以分为评估措施确定、实施现场工作、形成评估报告上报三个步骤。第一,评估措施确定阶段,首先要通过COBIT框架找到支撑工作目的的IT过程,然后通过COBIT框架找到支持这个IT过程落实的控制管理目标、度量方法和标准,根据控制管理目标和度量方法标准,设计出适用的评估问卷或者调查表格供现场工作阶段使用。这个阶段和实施准备阶段的工作在时间上常常是有交叉的,和管理层沟通的结果也可能反馈到评估措施的确定上。第二,实施现场工作阶段,可以通过召开专题讨论会、问卷调查和研究分析等方法来开展,由于专题讨论会可以根据现场产生的数据进行互动沟通,一般现场工作都采用这一模式。CSA的主持人员在会议一开始就应让与会者明确此次会议的主题,会议过程中要耐心倾听,保持中立,提炼与会者发言的中心意思;维持积极的、建设性的会议氛围,掌握会议节奏和进度,最终促进与会人员达成一致意见和承诺。专题讨论会过程中会产生大量信息,记录员要及时准确地记录并归纳汇总,通过电子投票、网络记分等技术,加强与会人员的直观的感受和互动。第三,形成评估报告阶段。CSA专题讨论会的最终成果通过自我评估报告呈现。专题讨论会按照主题逐一进行,形成CSA报告取得认定后,就重点结论进行必要的复核性测试。为谨慎起见也可采用匿名再次确认与会人员对报告结论的认同程度。报告的征求意见稿在规定时间内送达相关部门和人员,限期反馈意见,结合反馈意见,拟定正式报告。
(四)CSA成功实施应注意的几个问题
CSA的成功实施应具备以下几个条件,首先是取得高级管理层的鼓励和支持,第二要使高级管理层对本单位内部控制的目标有很好的理解,第三,推进人员应该有必备的用于协调CSA的技能,第四,评估小组应由所评估领域的成员组成,而不包括监督人员或者是经理人员,第五,要有合适的工具,如培训室、投影仪、电子记分软件如OptionFinder等,第六,应该避免占用大量的时间。
作者:刘晓东 单位:广东省烟草专卖局(公司)审计处