內(nèi)部控制之妥當建立及有效執(zhí)行，管理階層責無旁貸，惟制度之設計是否妥當，執(zhí)行是否落實。到底應由誰來評估，自從內(nèi)部稽核專業(yè)誕生以后，似乎毫無疑問地被認為應由內(nèi)部稽核人員負責。不過自從20世紀80年代在北美洲有些公司把控制及風險之評估交由各營運單位之管理階層自行負責 [稱為“自我控制評估” （Control Self-Assessment，簡稱CSA）以來，由于其成效顯著，因此自20世紀 90年代中期起，CSA的實際已普受采用自我評估的組織，均有一正式的、有文件記錄的過程，在此一過程里：

　　管理階層及工作團隊直接參與營運機能

　　判斷企業(yè)流程的有效性

　　決定是否能合理保證達成全部或部分之營運目標

　　自我控制評估與品質(zhì)控制稽核或ISO9000的稽核工作，性質(zhì)上極為類似，系由各營運單位組成工作團隊，例如品管圈定期開會，透過腦力激蕩，坦誠溝通，找出作業(yè)流程或控制之問題所在，并提出改善之行動方案。

　　自我控制評估乃是針對企業(yè)經(jīng)營流程與控制風險的一種新的咨詢做法，可以廣泛使用于想獲得集思廣益成效的全員晶管、持續(xù)改善、內(nèi)部稽核及其他領域。

　　CSA的有效采行，可以減低內(nèi)部稽核的成本；內(nèi)部稽核輔以CSA，可以提升內(nèi)部控制資訊及報告的品質(zhì)。

　　CSA 雖然是一種極為優(yōu)良的管理實務，但是其本身并非內(nèi)部稽核，因其缺少稽核所需之獨立性與客觀性。CSA如果加以良好設計及了解，對各營運單位之風險管理及流程改善，是極為有用的。但如想以它取代內(nèi)部稽核，則可能造成一種錯誤的安全感。在組織及人員縮減的情況下，中級管理階層減少而使控制幅距加大，內(nèi)部稽核的功能反而越顯重要。

　　自我控制評估的發(fā)展，著重于利用相互交流討論形式的研討會來評估整個企業(yè)的運作-包括確認目標，認識可影響目標的因素及正確的控制這些因素的程序。一些專家把整個過程稱為“結構性交流”（Structured Conversations）。

　　自我控制評估通常系透過研討會（GSA session or workshop），由與會人員坦誠對控制與風險問題提出檢討。內(nèi)部稽核人員通常會派代表參與并引導如何做好控制評估，因此GSA研討會可以說是一種知識移轉或交流。在此場合，稽核人員會解釋控制之目的及其與被稽核者營運活動之關系。被稽核者透過討論流程相關各單位間的互動，學習更多有關企業(yè)的流程，因此使得流程改善及效率問題

　　可以與控制問題一并列入行動方案。

　　自我控制評估如能有效實施，可以達到下列效果：

　?。浚炕巳藛T順利完成對控制之評估。

　　？？被稽核者了解控制之目的。

　??？？管理階層主動負責維護良好之控制環(huán)境。

　??？？流程改善問題被辨識并加以解決。

　　把控制及風險的評估交由各營運單位自行辦理，為確保其成效，內(nèi)部稽核人員應扮演促進者或引導人（Facilitator）的角色。理想的CSA研討會通常有8到15位來自各部門的中上層干部參與者。為使研討會有效及順利進行，宜有兩位主持人（稱為促進者或引導人），其中一位熟悉研討單位的營運作業(yè)流程，以確保整個討論不會離題，通常擔當這個責任的人兼任研討會的記錄員；另一位是研討會的靈魂人物，操縱著整個研討會。要挑起這份重擔，這位主持人對控制評估概念必須有深厚的知識，最理想的莫過于內(nèi)部稽核人員。

　　CSA成功的關鍵要素之一是主持人的運作技巧。除了解控制評估概念及熟悉各單位的營運活動之外，主持人必須心胸開放，立場超然，能引導與會人員踴躍發(fā)言。他知道如何鼓勵較沉默的參與者發(fā)言，且避免讓較多話者壟斷整個局面。另一方面，主持人的任務在確保有系統(tǒng)的討論并能深人問題的核心，且定時綜合所有的論點。因此，主持人必須接受有關的訓練，在CSA開始階段或過渡時期，許多機構聘請外來的顧問以提供援助。

　　自我控制評估最大的功能是它可啟發(fā)程序教育的作用，把所有與營運活動有關聯(lián)的人員集中在一個會議室中，探討評估整個營運程序。CSA研討會讓每位參與者了解個人在機構中所扮演的角色，同時也了解他人對機構的關鍵作用及貢獻。

　　當所有相關的人員同時在一起評估整個流程時，他們多半能共同意識到機構內(nèi)部單位唇齒相依的天性。更重要的是，他們可共同探討現(xiàn)行的程序是否適當。因此，  CSA最適于流程改造。由于企業(yè)性質(zhì)、環(huán)境、科技的改變而造成的落伍、多余、或不適用的程序，都可在研討會中或會后刪除及改善。CSA的另一邊際效用在于每個人員都參與整個評估過程，無形中形成一股認同感，使這些部門主管、經(jīng)理能較認真地執(zhí)行他們的職責及與其他部門主管合作。利用CSA可讓稽核人員同時與機構內(nèi)的主要干部溝通，也使主要營運程序同時得到全體人員的仔細審查和匯總。如此一來，稽核人員能有全面反映現(xiàn)實的報告，并且更有效、更恰當?shù)倪\用有限的稽核資源。CSA也能搜集在傳統(tǒng)稽核程序中無法取得的有關于“柔性控制”（soft control）（例如：員工的正直性、品德及相互信任的程度）的寶貴資料。

　　有效的自我控制評估至少應有下列條件的配合：

　　1.決定如何引進CSA；一年舉辦幾次CSA研討會（通常一年10次比較理想）及由誰主持。

　　2.資深管理階層對CSA的支持、指引及了解。

　　3.正式的風險分析及評估。

　　4.優(yōu)秀的CSA主持人。

　　5.對控制的優(yōu)缺點及風險坦誠討論及揭露。

　　6.對自我評估所欲達成的結果有明確界定并取得共識。

　　7.有效的報告及追蹤，并取得參與人員的回顧意見。

　　自我控制評估的過程，可分為下列五個階段： .

　　1，取得管理階層的承諾與支持。如果沒有做好事先的行銷計劃，可能得不到各單位管理階層對CSA的認知、承諾與支持。

　　2.適當?shù)囊?guī)劃。CSA的工作團隊與管理階層共同制定營運單位的主要目標及為達成主要目標的8～12項支持性目標。規(guī)劃尚包括針對支持性目標準備研討會的問題，遴選及通知參與人員，決定日期，安排場所及設備，編制研討會之資料及電子投票機器等。

　　3.進行研討會。研討會是自我控制評估的重要工作，通常每次4～8小時，以不超過兩天為原則。研討會的氣氛必須使參與人員均能公開、坦誠及彼此信任，以收集思廣益之效。

　　4.報告研討的結果。在CSA研討會結束后，工作團隊應根據(jù)討論的工作底稿，包括CSA成員對于成功，阻礙及建議的回饋，盡速加以匯總整理，送參與人員復核。然后分析共同的問題及改善的困難與機會，提出報告初稿，連同參與人員的建議及詳細的工作底稿，于兩星期內(nèi)送請單位管理階層。

　　5.提出行動計劃。CSA的最后階段是協(xié)助管理階層針對研討會的報告所提出之問題，與該單位的最高管理階層再開會討論（時間可能2～5小時），由管理階層決定優(yōu)先順序，擬訂行動方案，以改善CSA團隊所發(fā)現(xiàn)的重大問題。在會后兩周內(nèi)，將正式的報告分送所有的營運單位管理階層及CSA參與人員。， 自我控制評估在當今的經(jīng)營環(huán)境中存在著巨大的潛能，GSA所概括的不斷改善的精神與現(xiàn)代的全員品管（TQM）概念非常匹配，GSA與整體運作的概念及群體學習的模式亦有相互吻合之處。最重要的是，CSA提供了一個從基層往上的溝通資訊管道，這個管道能協(xié)助資深管理階層及稽核人員設計一個有效率的營運系統(tǒng)，加強內(nèi)部控制以降低營運風險，并激發(fā)所有相關人員坦誠合作的精神及利害與共的意識。

　　自我控制評估除利用工作研討會方式進行外，也有些公司采用問卷調(diào)查。問卷調(diào)查又可分為兩種：（1）一般的問卷設計（Questionnaire），填答“是”“否”，或“滿意”或“不滿意”的程度（例如分為 1～7分尺度）；

（2）風險／控制矩陣（Risk／Control Matrix），列出目的；風險、相關控制，并以文字敘述方式評估其有效性。

　　問卷的設計必須小心，提供明確的指示，俾能正確回答。其次，問題的措詞必須明確，避免語意不清。還有，必要時由專家參與解釋問卷回收的結果。

　　問卷調(diào)查與工作研討會兩種方式各有優(yōu)缺點。前者之優(yōu)點在于不具名（可以放心填答）、有效率及避免“團體思考”；缺點則為對問題的探討不夠深入，且易流于形式。后者之優(yōu)點則為集思廣益，增進公開溝通及每一位參與者幫助研擬行動方案；缺點則為需要投入較多的人力物力。

　　依照中國臺灣地區(qū)證券及期貨管理委員會之《公開發(fā)行公司建立內(nèi)部控制制度實施要點》規(guī)定，公開發(fā)行公司應確實執(zhí)行內(nèi)部控制制度，并隨時自行評估，以因應內(nèi)外在環(huán)境之變化。依“實施要點”規(guī)定，自行評估系由內(nèi)部各單位定期自行查核其內(nèi)部控制制度，另由稽核單位考核其成效，以作為評估公司整體內(nèi)部控制制度有效性之依據(jù)。中國臺灣地區(qū)《金融機構內(nèi)部控制及稽核制度實施辦法》亦規(guī)定金融機構應建立自行查核制度，由各營業(yè)、財務保管及資訊單位每半年至少辦理一次一般自行查核，每月至少辦理一次專案自行查核。此一自行查核的精神與前述內(nèi)控自我評估極為類似，雖然做法容或有不同。