基于COSO- ERM框架的內部審計質量控制研究

李太行

河北工程大學管理工程與商學院

一、當前內部審計質量控制存在的風險

內部審計質量在業界受到極大重視。但當前實踐中內部審計質量管理還存有一定問題，主要體現如下:

（一）審計實務工作不能很好的圍繞審計目標開展

內部審計通常視為組織管理功能和運營控制功能的一個延伸，去檢查和評估同級或下屬單位的經營行為和內部管理狀況，從而提高企業價值，推動企業目標達成。因此，提高內部審計質量，首先應圍繞審計目標健全內審質量控制機制。但當前內部審計質量控制實踐中大多注重于考察審計報告質量、檢查審計報告內容是否合格，而沒有進一步考察審計任務目標能否與企業管理目標相契合、能否與企業文化和管理方式相符合。

（二）系統化管理不夠

內部審計質量有賴于內部審計環境和技術、內部審計人員的專業勝任能力等多種要素，這些因素互相關聯，形成一個系統。而當前內部審計質量控制更多重視的是審計項目的規范運作，系統、全面的考慮內部審計質量不夠。

（三）過程管理不夠

內部審計工作包括進行審計調查研究、組織實施、審計評價報告、后續的審計執行等階段，對內部審計進行質量跟蹤管理則需強調對內部整個項目審計工作過程控制中出現問題的各個階段均進行過程管理，只有能夠控制執行好審計過程各個階段問題的工作質量，才能最終保證審計的項目整體完成的最終質量。而多數企業當下真正做到位的更多采用的是事后的檢查及復核，實時監控的、過程化運作的內審質量控制不夠。

（四）內部審計人員素質參差不齊

當前各個公司越來越重視內部審計工作，內審監督范圍愈加變大，審計業務不斷增加。而且，內部審計人員的流動性不高，也不能及時更新規章制度，內部審計人員很習慣性的使用舊的審計理念、技術與方法，工作效率不能得到保證。由此，再加上大多數企業中，內審職工的短缺，很難高質量的完成任務，這樣惡性循環下去，使得一些重要的審計流程被省去，得出的結果并不能針對性的去改善問題。長此以往惰性逐漸扎根，工作能力越來越差。至此，不僅是自身水平的下降，還伴隨著的素質的變低。這對內審人員是危險的，對內審業務也將是致命的。

二、內部審計質量控制與COSO-ERM 框架

（一）將風險管理框架引入內部審計質量控制

2017 年，美國反欺詐財務委員會(COSO)正式發布了新版《企業風險管理—與戰略和績效整合》(Enterprise Risk Management-Integrating with Strategy and Performance)，這是繼2004 年以來COSO 第一次對ERM 框架進行。新框架以5 個基本要素(治理與文化，戰略與目標設定，運行，審查與修正，信息、溝通和報告)為基礎，從使命和核心價值出發，通過風險管理與戰略相整合為路徑，強調價值增值。

內部審計隨著審計環境的變化最終發展到現在的風險管理審計階段。風險管理審計關鍵在于確定當前風險管理有效性與預期之間的偏離，并了解管理層怎樣在風險容忍限度內開展風險管理活動，從而對風險管理過程的合理性做出評價，由此提出審計意見。風險管理審計的審計對象為公司的風險管理活動，將內部審計業務嵌入到企業的風險管理框架中，從而推動公司健全管理、提高經營效益和實現發展目標。

COSO-ERM企業風險管理框架與內部審計目標一致，二者相互兼容，基于風險管理框架的內部審計質量控制是當下風險管理內部審計的題中應有之義。通過將ERM框架中風險分析思路拓展到內部審計領域，以企業風險為核心，在ERM 框架五要素的基礎上，利用COSO 框架中系統的、標準的風險管理方式，確定和評價風險，并據此確定審計對象，實施審計業務，對其執行成果加以審查，明確效果，查找問題并作調整，以持續改進，對企業內部審計質量形成良好控制，COSO-ERM 框架理念能夠滿足內部審計質量控制的要求。

（二）內部審計質量控制需以風險控制為基礎，開展系統化、過程化管理

內部審計主要是透過檢查并評價公司運營行為和內部控制的合法性和有效性來推動組織目標的達成。所以，內部審計質量控制首要的就是密切圍繞組織目標、內部審計目標，相關控制機制應在審計目標引導下成形；而且，企業內審業務及內部控制的相關風險也會增加審計本身的風險，這意味著內審質量控制既要關注被審計單位風險，也要警惕審計風險；再者，內部審計對業務和管理進行評價，受到內外各方面牽涉和制約，這要求內審質量控制必須系統性進行，不能僅停留在操作層面；最后，由于內部審計的復雜性和專業性，需加強過程監控，使得過程可控，才能有更好的質量控制，因此，內審質量控制應以風險控制為基礎，將目標、風險、過程三者結合，進行系統化、過程化管理。

（三）用PDCA 循環解構風險管理框架

PDCA 循環在質量管理領域早已深入應用，它將質量管理分為即計劃(plan)、執行(do)、檢查(check)、調整(Action)四個步驟。不難看出，COSO-ERM 框架其實也是一種PDCA 模式在風險管理領域的表現形式，P-D-C-A 四個階段對應ERM 框架五要素中的戰略與目標設定- 運行- 審查- 修正，而第一個要素“治理和文化”是企業內部審計質量控制的基礎，第五個要素“信息、溝通和報告”為企業的整體運行提供了支撐，促進了PDCA的再循環。

因此，運用COSO-ERM框架，在風險管理審計模式下，將內審質量控制與風險管理形成有機整體，建立以風險管理框架五要素為基礎，以PDCA 質量環為內在邏輯的嚴謹完備的內部審計質量控制體系是可行的，也將為我國企業內部審計質量的控制提供新思路。

三、基于COSO-ERM 框架的內部審計質量控制體系

如上述分析，企業在內部審計質量控制中運用COSO-ERM框架是可行的。內部審計質量控制體系可以全面對內部審計工作進行管理，以提高審計質量?；贑OSO-ERM 框架構建企業內部審計質量控制體系，將從以下五個方面入手:

（一）治理與文化

治理與文化確定了內部審計工作的整體基調，為內部審計質量控制提供了基礎，包括內部審計負責人的管理理念和內審人員的素質等。

1.內部審計負責人管理理念

內審項目負責人的管理理念，往往能直接影響公司內審項目的發展方向與運行模式。為加強內審質量，內審負責人應確保其管理理念符合組織目標；其次，內審負責人應貫徹現代內審理念，樹立風險管理觀念，并執行以風險管理為基礎的內部審計，注重合規性審計和績效審計融合，并注重將事前、事中、事后審計融合；最后，內部審計負責人應以現代內部審計理念引導全體內審人員。

2.內審人員的道德價值觀及專業勝任能力

要注重對內審人員的素質培養。既要樹立正確的道德價值觀，又要有一定的專業勝任能力，培養內審人員風險預警意識和把握審計風險的能力。同時，應該加強對內審人員業務能力的考核，對內審人員的定期培訓，以提高其專業素養，企業人才選拔時設定高標準錄用門檻，從而篩選出高素質的人員；也可采用輪崗制來減少徇私舞弊情況的發生。

（二）內部審計戰略與目標設定—P 階段

在治理和為文化要素的環境下，依據內部審計風險管理，明確內部審計質量控制的戰略目標。根據內審部門確定的任務或預期，相關管理者制定內部審計工作的戰略目標，內審部門管理層必須在評估自身優勢與劣勢的基礎上，綜合運用各種專業知識，深入分析當前內外部環境、機會和挑戰，制定戰略目標。還應該對戰略目標進行分解，將目標層層分解到具體內部審計人員，使各內審人員對整個內審戰略有清晰的了解，同時也能明確個人工作目標。另外，設定戰略目標應與企業的風險容量水平相協調，內審部門負責人應在設定的風險容量限額下去制定戰略目標，將相關風險控制在可接受范圍內。

（三）風險導向審計的實施和運行—D 階段

實施與運行要結合風險偏好，對風險進行識別與評估，并采取相應措施。

1.內部審計風險評估

(1)外部風險。外部風險一般可分為業務風險和控制風險。業務風險多是由管理層誠信缺失，無法適應外部環境變化，重要崗位人員變動頻繁等所產生的，是受內在因素、外部影響而存在的風險?？刂骑L險多是因運營系統、財務與業務系統間銜接機制不暢通所形成的，是被審計單位內部控制出現重大問題或未有效執行所形成的風險。業務風險和控制風險客觀存在，一般采取主動詢問相關崗位人員、查閱公司有關財務資料等合規程序進行評價。

(2)內部風險。內部風險主要是內審部門開展審計業務時來自本身的風險，內部風險多由信息不對稱所致。這使得內審人員不僅面向財務，還需面向業務、面向管理。因此，內審人員在限定的時間內施行審計活動需要對陌生領域加以了解和測試，并進行評價和建議，這會產生一定的風險。這需要內部審計人員提高專業勝任能力、采用合理審計方式、全面收集信息來管控內部風險。

2.實施風險導向審計

風險導向型內部審計要求內審人員應參與到公司風險管理的各環節中，獨立客觀的為管理層提出有意義的建議，以提高企業風險管理水平。開展風險導向內部審計，能夠對公司風險管理過程進行再監控，以及時查明和減少風險問題，將風險危害遏制在萌芽階段。另外，風險導向的內部審計也可以發揮防范風險和風險警示的功能，企業在事前監控可能發生的風險，并在風險發生且造成危害時，及時分析原因并采取相應措施。

（四）審查與修正—C&A 階段

審查與修正是對內審工作進行監督以及對于內審工作的持續改進。

1.強化內部審計問責制度

為保證內部審計質量，要不斷強化內部審計問責制，發揮問責制應有的用處，明確內審人員的責任與權利，以崗定人定責。這樣在執行工作時，才能明確責任，有效落實獎懲措施。對于公司內部審計工作過程實施中發現因內審人員個人主觀故意所致而未能解決的有關重大差錯以及已出現的嚴重不利于企業內部審計質量控制的相關情況，需客觀追究相應責任。

2.內部審計質量監控

(1)內部監控。一方面，內審部門應當持續監控，對審計項目從審前準備到審計結束進行跟蹤監測。監控范圍要涉及如何確定審計目標、審計程序和審計報告的合理性，審計建議的有用性等。內部監控需注意相關人員是否掌握了相關知識和技能、是否遵循相關工作規范要求、項目是否存在尚未克服的重大困難。有效的持續監控不是對全部事項的監控，而是對關鍵控制、治理與管理層關注事項等有重點地進行監控。

(2)外部評估。外部評估可以是會計師事務所等專業機構的外部檢查，也可以是同業檢查以及企業客戶的評價等。外部評估能夠更加客觀的對企業內部審計質量進行評價，也能使得內審部門與外部評價機構有更深入的交流學習機會，從而提高內部審計的質量。

（五）審計信息、溝通與報告

在信息爆炸的今天，如何更有效的處理和傳遞信息對內部審計質量控制至關重要，內部審計信息的溝通與報告又會促進基于COS-ERM框架的、以PDCA 質量環為內在邏輯的內部審計質量控制體系的再循環。

1.構建輔助審計系統

隨著公司內部信息化審計管理環境成熟及審計業務環境越來越多變，近年來，基于現代ERP 企業系統建設的輔助信息審計應用系統逐漸在我國企業開展內部審計實踐中得到應用。輔助審計系統可以減少傳統手工審計項目底稿表格的復雜編制錄入工作，方便審計部門人員無紙化審計業務的施行；而且，由于輔助的審計系統是對接著各有關業務部門，這使得內審人員可以實時地獲取各被審計部門的數據信息。輔助審計系統的構建，要注重信息輔助審計系統預警功能，識別實際情況與預期值的差異；要側重依托于系統的分析和識別能力，對潛在風險進行判斷和評估，確定風險等級；還要利用好輔助審計系統的數據處理功能，及時檢查發現審計數據信息的異常，督促相關負責人迅速整改。

2.內部審計質量管理信息與溝通

內部審計質量控制信息與溝通是獲取、傳達有關信息，實現信息在組織內部、組織內外之間的順暢交換。內審部門應積極地組織搜集、匯總有效的內審質量控制信息，讓審計信息能在本部門及整個組織內進行有效交流。本部門內的溝通有助于形成一致的內審理念，使內審人員定位清晰，明確本身工作與其他部門業務的聯系。部門內溝通應建立順暢的信息傳遞途徑，營造良性的研討氣氛。而且，內審負責人應適時與組織管理層溝通內部審計的相關事宜，提出意見和忠告。

四、總結

COSO-ERM 框架在風險管理領域已深耕多年，風險管理體系構建上有著重要作用，但內審業務與COSO-ERM框架的結合卻非常罕見。而內部審計質量控制的目標，與COSO-ERM框架的目標本質上是一致的，借鑒COSO-ERM框架理念，用于加強內部審計質量的控制，將COSO-ERM框架引入內部審計質量控制，同時又與PDCA 循環理論相契合，建立起以治理和文化、審計戰略與目標設定、風險導向審計的執行、審查和修正及審計信息、溝通和報告五要素為基礎，以PDCA 質量環為內在邏輯的科學全面的內部審計質量控制體系，將更好的發揮內部審計的監督和增值作用。