李太行

河北工程大學管理工程與商學院

一、當前內(nèi)部審計質(zhì)量控制存在的風險

內(nèi)部審計質(zhì)量在業(yè)界受到極大重視。但當前實踐中內(nèi)部審計質(zhì)量管理還存有一定問題，主要體現(xiàn)如下:

（一）審計實務工作不能很好的圍繞審計目標開展

內(nèi)部審計通常視為組織管理功能和運營控制功能的一個延伸，去檢查和評估同級或下屬單位的經(jīng)營行為和內(nèi)部管理狀況，從而提高企業(yè)價值，推動企業(yè)目標達成。因此，提高內(nèi)部審計質(zhì)量，首先應圍繞審計目標健全內(nèi)審質(zhì)量控制機制。但當前內(nèi)部審計質(zhì)量控制實踐中大多注重于考察審計報告質(zhì)量、檢查審計報告內(nèi)容是否合格，而沒有進一步考察審計任務目標能否與企業(yè)管理目標相契合、能否與企業(yè)文化和管理方式相符合。

（二）系統(tǒng)化管理不夠

內(nèi)部審計質(zhì)量有賴于內(nèi)部審計環(huán)境和技術、內(nèi)部審計人員的專業(yè)勝任能力等多種要素，這些因素互相關聯(lián)，形成一個系統(tǒng)。而當前內(nèi)部審計質(zhì)量控制更多重視的是審計項目的規(guī)范運作，系統(tǒng)、全面的考慮內(nèi)部審計質(zhì)量不夠。

（三）過程管理不夠

內(nèi)部審計工作包括進行審計調(diào)查研究、組織實施、審計評價報告、后續(xù)的審計執(zhí)行等階段，對內(nèi)部審計進行質(zhì)量跟蹤管理則需強調(diào)對內(nèi)部整個項目審計工作過程控制中出現(xiàn)問題的各個階段均進行過程管理，只有能夠控制執(zhí)行好審計過程各個階段問題的工作質(zhì)量，才能最終保證審計的項目整體完成的最終質(zhì)量。而多數(shù)企業(yè)當下真正做到位的更多采用的是事后的檢查及復核，實時監(jiān)控的、過程化運作的內(nèi)審質(zhì)量控制不夠。

（四）內(nèi)部審計人員素質(zhì)參差不齊

當前各個公司越來越重視內(nèi)部審計工作，內(nèi)審監(jiān)督范圍愈加變大，審計業(yè)務不斷增加。而且，內(nèi)部審計人員的流動性不高，也不能及時更新規(guī)章制度，內(nèi)部審計人員很習慣性的使用舊的審計理念、技術與方法，工作效率不能得到保證。由此，再加上大多數(shù)企業(yè)中，內(nèi)審職工的短缺，很難高質(zhì)量的完成任務，這樣惡性循環(huán)下去，使得一些重要的審計流程被省去，得出的結果并不能針對性的去改善問題。長此以往惰性逐漸扎根，工作能力越來越差。至此，不僅是自身水平的下降，還伴隨著的素質(zhì)的變低。這對內(nèi)審人員是危險的，對內(nèi)審業(yè)務也將是致命的。

二、內(nèi)部審計質(zhì)量控制與COSO-ERM 框架

（一）將風險管理框架引入內(nèi)部審計質(zhì)量控制

2017 年，美國反欺詐財務委員會(COSO)正式發(fā)布了新版《企業(yè)風險管理—與戰(zhàn)略和績效整合》(Enterprise Risk Management-Integrating with Strategy and Performance)，這是繼2004 年以來COSO 第一次對ERM 框架進行。新框架以5 個基本要素(治理與文化，戰(zhàn)略與目標設定，運行，審查與修正，信息、溝通和報告)為基礎，從使命和核心價值出發(fā)，通過風險管理與戰(zhàn)略相整合為路徑，強調(diào)價值增值。

內(nèi)部審計隨著審計環(huán)境的變化最終發(fā)展到現(xiàn)在的風險管理審計階段。風險管理審計關鍵在于確定當前風險管理有效性與預期之間的偏離，并了解管理層怎樣在風險容忍限度內(nèi)開展風險管理活動，從而對風險管理過程的合理性做出評價，由此提出審計意見。風險管理審計的審計對象為公司的風險管理活動，將內(nèi)部審計業(yè)務嵌入到企業(yè)的風險管理框架中，從而推動公司健全管理、提高經(jīng)營效益和實現(xiàn)發(fā)展目標。

COSO-ERM企業(yè)風險管理框架與內(nèi)部審計目標一致，二者相互兼容，基于風險管理框架的內(nèi)部審計質(zhì)量控制是當下風險管理內(nèi)部審計的題中應有之義。通過將ERM框架中風險分析思路拓展到內(nèi)部審計領域，以企業(yè)風險為核心，在ERM 框架五要素的基礎上，利用COSO 框架中系統(tǒng)的、標準的風險管理方式，確定和評價風險，并據(jù)此確定審計對象，實施審計業(yè)務，對其執(zhí)行成果加以審查，明確效果，查找問題并作調(diào)整，以持續(xù)改進，對企業(yè)內(nèi)部審計質(zhì)量形成良好控制，COSO-ERM 框架理念能夠滿足內(nèi)部審計質(zhì)量控制的要求。

（二）內(nèi)部審計質(zhì)量控制需以風險控制為基礎，開展系統(tǒng)化、過程化管理

內(nèi)部審計主要是透過檢查并評價公司運營行為和內(nèi)部控制的合法性和有效性來推動組織目標的達成。所以，內(nèi)部審計質(zhì)量控制首要的就是密切圍繞組織目標、內(nèi)部審計目標，相關控制機制應在審計目標引導下成形；而且，企業(yè)內(nèi)審業(yè)務及內(nèi)部控制的相關風險也會增加審計本身的風險，這意味著內(nèi)審質(zhì)量控制既要關注被審計單位風險，也要警惕審計風險；再者，內(nèi)部審計對業(yè)務和管理進行評價，受到內(nèi)外各方面牽涉和制約，這要求內(nèi)審質(zhì)量控制必須系統(tǒng)性進行，不能僅停留在操作層面；最后，由于內(nèi)部審計的復雜性和專業(yè)性，需加強過程監(jiān)控，使得過程可控，才能有更好的質(zhì)量控制，因此，內(nèi)審質(zhì)量控制應以風險控制為基礎，將目標、風險、過程三者結合，進行系統(tǒng)化、過程化管理。

（三）用PDCA 循環(huán)解構風險管理框架

PDCA 循環(huán)在質(zhì)量管理領域早已深入應用，它將質(zhì)量管理分為即計劃(plan)、執(zhí)行(do)、檢查(check)、調(diào)整(Action)四個步驟。不難看出，COSO-ERM 框架其實也是一種PDCA 模式在風險管理領域的表現(xiàn)形式，P-D-C-A 四個階段對應ERM 框架五要素中的戰(zhàn)略與目標設定- 運行- 審查- 修正，而第一個要素“治理和文化”是企業(yè)內(nèi)部審計質(zhì)量控制的基礎，第五個要素“信息、溝通和報告”為企業(yè)的整體運行提供了支撐，促進了PDCA的再循環(huán)。

因此，運用COSO-ERM框架，在風險管理審計模式下，將內(nèi)審質(zhì)量控制與風險管理形成有機整體，建立以風險管理框架五要素為基礎，以PDCA 質(zhì)量環(huán)為內(nèi)在邏輯的嚴謹完備的內(nèi)部審計質(zhì)量控制體系是可行的，也將為我國企業(yè)內(nèi)部審計質(zhì)量的控制提供新思路。

三、基于COSO-ERM 框架的內(nèi)部審計質(zhì)量控制體系

如上述分析，企業(yè)在內(nèi)部審計質(zhì)量控制中運用COSO-ERM框架是可行的。內(nèi)部審計質(zhì)量控制體系可以全面對內(nèi)部審計工作進行管理，以提高審計質(zhì)量?；贑OSO-ERM 框架構建企業(yè)內(nèi)部審計質(zhì)量控制體系，將從以下五個方面入手:

（一）治理與文化

治理與文化確定了內(nèi)部審計工作的整體基調(diào)，為內(nèi)部審計質(zhì)量控制提供了基礎，包括內(nèi)部審計負責人的管理理念和內(nèi)審人員的素質(zhì)等。

1.內(nèi)部審計負責人管理理念

內(nèi)審項目負責人的管理理念，往往能直接影響公司內(nèi)審項目的發(fā)展方向與運行模式。為加強內(nèi)審質(zhì)量，內(nèi)審負責人應確保其管理理念符合組織目標；其次，內(nèi)審負責人應貫徹現(xiàn)代內(nèi)審理念，樹立風險管理觀念，并執(zhí)行以風險管理為基礎的內(nèi)部審計，注重合規(guī)性審計和績效審計融合，并注重將事前、事中、事后審計融合；最后，內(nèi)部審計負責人應以現(xiàn)代內(nèi)部審計理念引導全體內(nèi)審人員。

2.內(nèi)審人員的道德價值觀及專業(yè)勝任能力

要注重對內(nèi)審人員的素質(zhì)培養(yǎng)。既要樹立正確的道德價值觀，又要有一定的專業(yè)勝任能力，培養(yǎng)內(nèi)審人員風險預警意識和把握審計風險的能力。同時，應該加強對內(nèi)審人員業(yè)務能力的考核，對內(nèi)審人員的定期培訓，以提高其專業(yè)素養(yǎng)，企業(yè)人才選拔時設定高標準錄用門檻，從而篩選出高素質(zhì)的人員；也可采用輪崗制來減少徇私舞弊情況的發(fā)生。

（二）內(nèi)部審計戰(zhàn)略與目標設定—P 階段

在治理和為文化要素的環(huán)境下，依據(jù)內(nèi)部審計風險管理，明確內(nèi)部審計質(zhì)量控制的戰(zhàn)略目標。根據(jù)內(nèi)審部門確定的任務或預期，相關管理者制定內(nèi)部審計工作的戰(zhàn)略目標，內(nèi)審部門管理層必須在評估自身優(yōu)勢與劣勢的基礎上，綜合運用各種專業(yè)知識，深入分析當前內(nèi)外部環(huán)境、機會和挑戰(zhàn)，制定戰(zhàn)略目標。還應該對戰(zhàn)略目標進行分解，將目標層層分解到具體內(nèi)部審計人員，使各內(nèi)審人員對整個內(nèi)審戰(zhàn)略有清晰的了解，同時也能明確個人工作目標。另外，設定戰(zhàn)略目標應與企業(yè)的風險容量水平相協(xié)調(diào)，內(nèi)審部門負責人應在設定的風險容量限額下去制定戰(zhàn)略目標，將相關風險控制在可接受范圍內(nèi)。

（三）風險導向?qū)徲嫷膶嵤┖瓦\行—D 階段

實施與運行要結合風險偏好，對風險進行識別與評估，并采取相應措施。

1.內(nèi)部審計風險評估

(1)外部風險。外部風險一般可分為業(yè)務風險和控制風險。業(yè)務風險多是由管理層誠信缺失，無法適應外部環(huán)境變化，重要崗位人員變動頻繁等所產(chǎn)生的，是受內(nèi)在因素、外部影響而存在的風險?？刂骑L險多是因運營系統(tǒng)、財務與業(yè)務系統(tǒng)間銜接機制不暢通所形成的，是被審計單位內(nèi)部控制出現(xiàn)重大問題或未有效執(zhí)行所形成的風險。業(yè)務風險和控制風險客觀存在，一般采取主動詢問相關崗位人員、查閱公司有關財務資料等合規(guī)程序進行評價。

(2)內(nèi)部風險。內(nèi)部風險主要是內(nèi)審部門開展審計業(yè)務時來自本身的風險，內(nèi)部風險多由信息不對稱所致。這使得內(nèi)審人員不僅面向財務，還需面向業(yè)務、面向管理。因此，內(nèi)審人員在限定的時間內(nèi)施行審計活動需要對陌生領域加以了解和測試，并進行評價和建議，這會產(chǎn)生一定的風險。這需要內(nèi)部審計人員提高專業(yè)勝任能力、采用合理審計方式、全面收集信息來管控內(nèi)部風險。

2.實施風險導向?qū)徲?/p>

風險導向型內(nèi)部審計要求內(nèi)審人員應參與到公司風險管理的各環(huán)節(jié)中，獨立客觀的為管理層提出有意義的建議，以提高企業(yè)風險管理水平。開展風險導向內(nèi)部審計，能夠?qū)撅L險管理過程進行再監(jiān)控，以及時查明和減少風險問題，將風險危害遏制在萌芽階段。另外，風險導向的內(nèi)部審計也可以發(fā)揮防范風險和風險警示的功能，企業(yè)在事前監(jiān)控可能發(fā)生的風險，并在風險發(fā)生且造成危害時，及時分析原因并采取相應措施。

（四）審查與修正—C&A 階段

審查與修正是對內(nèi)審工作進行監(jiān)督以及對于內(nèi)審工作的持續(xù)改進。

1.強化內(nèi)部審計問責制度

為保證內(nèi)部審計質(zhì)量，要不斷強化內(nèi)部審計問責制，發(fā)揮問責制應有的用處，明確內(nèi)審人員的責任與權利，以崗定人定責。這樣在執(zhí)行工作時，才能明確責任，有效落實獎懲措施。對于公司內(nèi)部審計工作過程實施中發(fā)現(xiàn)因內(nèi)審人員個人主觀故意所致而未能解決的有關重大差錯以及已出現(xiàn)的嚴重不利于企業(yè)內(nèi)部審計質(zhì)量控制的相關情況，需客觀追究相應責任。

2.內(nèi)部審計質(zhì)量監(jiān)控

(1)內(nèi)部監(jiān)控。一方面，內(nèi)審部門應當持續(xù)監(jiān)控，對審計項目從審前準備到審計結束進行跟蹤監(jiān)測。監(jiān)控范圍要涉及如何確定審計目標、審計程序和審計報告的合理性，審計建議的有用性等。內(nèi)部監(jiān)控需注意相關人員是否掌握了相關知識和技能、是否遵循相關工作規(guī)范要求、項目是否存在尚未克服的重大困難。有效的持續(xù)監(jiān)控不是對全部事項的監(jiān)控，而是對關鍵控制、治理與管理層關注事項等有重點地進行監(jiān)控。

(2)外部評估。外部評估可以是會計師事務所等專業(yè)機構的外部檢查，也可以是同業(yè)檢查以及企業(yè)客戶的評價等。外部評估能夠更加客觀的對企業(yè)內(nèi)部審計質(zhì)量進行評價，也能使得內(nèi)審部門與外部評價機構有更深入的交流學習機會，從而提高內(nèi)部審計的質(zhì)量。

（五）審計信息、溝通與報告

在信息爆炸的今天，如何更有效的處理和傳遞信息對內(nèi)部審計質(zhì)量控制至關重要，內(nèi)部審計信息的溝通與報告又會促進基于COS-ERM框架的、以PDCA 質(zhì)量環(huán)為內(nèi)在邏輯的內(nèi)部審計質(zhì)量控制體系的再循環(huán)。

1.構建輔助審計系統(tǒng)

隨著公司內(nèi)部信息化審計管理環(huán)境成熟及審計業(yè)務環(huán)境越來越多變，近年來，基于現(xiàn)代ERP 企業(yè)系統(tǒng)建設的輔助信息審計應用系統(tǒng)逐漸在我國企業(yè)開展內(nèi)部審計實踐中得到應用。輔助審計系統(tǒng)可以減少傳統(tǒng)手工審計項目底稿表格的復雜編制錄入工作，方便審計部門人員無紙化審計業(yè)務的施行；而且，由于輔助的審計系統(tǒng)是對接著各有關業(yè)務部門，這使得內(nèi)審人員可以實時地獲取各被審計部門的數(shù)據(jù)信息。輔助審計系統(tǒng)的構建，要注重信息輔助審計系統(tǒng)預警功能，識別實際情況與預期值的差異；要側重依托于系統(tǒng)的分析和識別能力，對潛在風險進行判斷和評估，確定風險等級；還要利用好輔助審計系統(tǒng)的數(shù)據(jù)處理功能，及時檢查發(fā)現(xiàn)審計數(shù)據(jù)信息的異常，督促相關負責人迅速整改。

2.內(nèi)部審計質(zhì)量管理信息與溝通

內(nèi)部審計質(zhì)量控制信息與溝通是獲取、傳達有關信息，實現(xiàn)信息在組織內(nèi)部、組織內(nèi)外之間的順暢交換。內(nèi)審部門應積極地組織搜集、匯總有效的內(nèi)審質(zhì)量控制信息，讓審計信息能在本部門及整個組織內(nèi)進行有效交流。本部門內(nèi)的溝通有助于形成一致的內(nèi)審理念，使內(nèi)審人員定位清晰，明確本身工作與其他部門業(yè)務的聯(lián)系。部門內(nèi)溝通應建立順暢的信息傳遞途徑，營造良性的研討氣氛。而且，內(nèi)審負責人應適時與組織管理層溝通內(nèi)部審計的相關事宜，提出意見和忠告。

四、總結

COSO-ERM 框架在風險管理領域已深耕多年，風險管理體系構建上有著重要作用，但內(nèi)審業(yè)務與COSO-ERM框架的結合卻非常罕見。而內(nèi)部審計質(zhì)量控制的目標，與COSO-ERM框架的目標本質(zhì)上是一致的，借鑒COSO-ERM框架理念，用于加強內(nèi)部審計質(zhì)量的控制，將COSO-ERM框架引入內(nèi)部審計質(zhì)量控制，同時又與PDCA 循環(huán)理論相契合，建立起以治理和文化、審計戰(zhàn)略與目標設定、風險導向?qū)徲嫷膱?zhí)行、審查和修正及審計信息、溝通和報告五要素為基礎，以PDCA 質(zhì)量環(huán)為內(nèi)在邏輯的科學全面的內(nèi)部審計質(zhì)量控制體系，將更好的發(fā)揮內(nèi)部審計的監(jiān)督和增值作用。