李太行

河北工程大学管理工程与商学院

一、当前内部审计质量控制存在的风险

内部审计质量在业界受到极大重视。但当前实践中内部审计质量管理还存有一定问题，主要体现如下:

（一）审计实务工作不能很好的围绕审计目标开展

内部审计通常视为组织管理功能和运营控制功能的一个延伸，去检查和评估同级或下属单位的经营行为和内部管理状况，从而提高企业价值，推动企业目标达成。因此，提高内部审计质量，首先应围绕审计目标健全内审质量控制机制。但当前内部审计质量控制实践中大多注重于考察审计报告质量、检查审计报告内容是否合格，而没有进一步考察审计任务目标能否与企业管理目标相契合、能否与企业文化和管理方式相符合。

（二）系统化管理不够

内部审计质量有赖于内部审计环境和技术、内部审计人员的专业胜任能力等多种要素，这些因素互相关联，形成一个系统。而当前内部审计质量控制更多重视的是审计项目的规范运作，系统、全面的考虑内部审计质量不够。

（三）过程管理不够

内部审计工作包括进行审计调查研究、组织实施、审计评价报告、后续的审计执行等阶段，对内部审计进行质量跟踪管理则需强调对内部整个项目审计工作过程控制中出现问题的各个阶段均进行过程管理，只有能够控制执行好审计过程各个阶段问题的工作质量，才能最终保证审计的项目整体完成的最终质量。而多数企业当下真正做到位的更多采用的是事后的检查及复核，实时监控的、过程化运作的内审质量控制不够。

（四）内部审计人员素质参差不齐

当前各个公司越来越重视内部审计工作，内审监督范围愈加变大，审计业务不断增加。而且，内部审计人员的流动性不高，也不能及时更新规章制度，内部审计人员很习惯性的使用旧的审计理念、技术与方法，工作效率不能得到保证。由此，再加上大多数企业中，内审职工的短缺，很难高质量的完成任务，这样恶性循环下去，使得一些重要的审计流程被省去，得出的结果并不能针对性的去改善问题。长此以往惰性逐渐扎根，工作能力越来越差。至此，不仅是自身水平的下降，还伴随着的素质的变低。这对内审人员是危险的，对内审业务也将是致命的。

二、内部审计质量控制与COSO-ERM 框架

（一）将风险管理框架引入内部审计质量控制

2017 年，美国反欺诈财务委员会(COSO)正式发布了新版《企业风险管理—与战略和绩效整合》(Enterprise Risk Management-Integrating with Strategy and Performance)，这是继2004 年以来COSO 第一次对ERM 框架进行。新框架以5 个基本要素(治理与文化，战略与目标设定，运行，审查与修正，信息、沟通和报告)为基础，从使命和核心价值出发，通过风险管理与战略相整合为路径，强调价值增值。

内部审计随着审计环境的变化最终发展到现在的风险管理审计阶段。风险管理审计关键在于确定当前风险管理有效性与预期之间的偏离，并了解管理层怎样在风险容忍限度内开展风险管理活动，从而对风险管理过程的合理性做出评价，由此提出审计意见。风险管理审计的审计对象为公司的风险管理活动，将内部审计业务嵌入到企业的风险管理框架中，从而推动公司健全管理、提高经营效益和实现发展目标。

COSO-ERM企业风险管理框架与内部审计目标一致，二者相互兼容，基于风险管理框架的内部审计质量控制是当下风险管理内部审计的题中应有之义。通过将ERM框架中风险分析思路拓展到内部审计领域，以企业风险为核心，在ERM 框架五要素的基础上，利用COSO 框架中系统的、标准的风险管理方式，确定和评价风险，并据此确定审计对象，实施审计业务，对其执行成果加以审查，明确效果，查找问题并作调整，以持续改进，对企业内部审计质量形成良好控制，COSO-ERM 框架理念能够满足内部审计质量控制的要求。

（二）内部审计质量控制需以风险控制为基础，开展系统化、过程化管理

内部审计主要是透过检查并评价公司运营行为和内部控制的合法性和有效性来推动组织目标的达成。所以，内部审计质量控制首要的就是密切围绕组织目标、内部审计目标，相关控制机制应在审计目标引导下成形；而且，企业内审业务及内部控制的相关风险也会增加审计本身的风险，这意味着内审质量控制既要关注被审计单位风险，也要警惕审计风险；再者，内部审计对业务和管理进行评价，受到内外各方面牵涉和制约，这要求内审质量控制必须系统性进行，不能仅停留在操作层面；最后，由于内部审计的复杂性和专业性，需加强过程监控，使得过程可控，才能有更好的质量控制，因此，内审质量控制应以风险控制为基础，将目标、风险、过程三者结合，进行系统化、过程化管理。

（三）用PDCA 循环解构风险管理框架

PDCA 循环在质量管理领域早已深入应用，它将质量管理分为即计划(plan)、执行(do)、检查(check)、调整(Action)四个步骤。不难看出，COSO-ERM 框架其实也是一种PDCA 模式在风险管理领域的表现形式，P-D-C-A 四个阶段对应ERM 框架五要素中的战略与目标设定- 运行- 审查- 修正，而第一个要素“治理和文化”是企业内部审计质量控制的基础，第五个要素“信息、沟通和报告”为企业的整体运行提供了支撑，促进了PDCA的再循环。

因此，运用COSO-ERM框架，在风险管理审计模式下，将内审质量控制与风险管理形成有机整体，建立以风险管理框架五要素为基础，以PDCA 质量环为内在逻辑的严谨完备的内部审计质量控制体系是可行的，也将为我国企业内部审计质量的控制提供新思路。

三、基于COSO-ERM 框架的内部审计质量控制体系

如上述分析，企业在内部审计质量控制中运用COSO-ERM框架是可行的。内部审计质量控制体系可以全面对内部审计工作进行管理，以提高审计质量。基于COSO-ERM 框架构建企业内部审计质量控制体系，将从以下五个方面入手:

（一）治理与文化

治理与文化确定了内部审计工作的整体基调，为内部审计质量控制提供了基础，包括内部审计负责人的管理理念和内审人员的素质等。

1.内部审计负责人管理理念

内审项目负责人的管理理念，往往能直接影响公司内审项目的发展方向与运行模式。为加强内审质量，内审负责人应确保其管理理念符合组织目标；其次，内审负责人应贯彻现代内审理念，树立风险管理观念，并执行以风险管理为基础的内部审计，注重合规性审计和绩效审计融合，并注重将事前、事中、事后审计融合；最后，内部审计负责人应以现代内部审计理念引导全体内审人员。

2.内审人员的道德价值观及专业胜任能力

要注重对内审人员的素质培养。既要树立正确的道德价值观，又要有一定的专业胜任能力，培养内审人员风险预警意识和把握审计风险的能力。同时，应该加强对内审人员业务能力的考核，对内审人员的定期培训，以提高其专业素养，企业人才选拔时设定高标准录用门槛，从而筛选出高素质的人员；也可采用轮岗制来减少徇私舞弊情况的发生。

（二）内部审计战略与目标设定—P 阶段

在治理和为文化要素的环境下，依据内部审计风险管理，明确内部审计质量控制的战略目标。根据内审部门确定的任务或预期，相关管理者制定内部审计工作的战略目标，内审部门管理层必须在评估自身优势与劣势的基础上，综合运用各种专业知识，深入分析当前内外部环境、机会和挑战，制定战略目标。还应该对战略目标进行分解，将目标层层分解到具体内部审计人员，使各内审人员对整个内审战略有清晰的了解，同时也能明确个人工作目标。另外，设定战略目标应与企业的风险容量水平相协调，内审部门负责人应在设定的风险容量限额下去制定战略目标，将相关风险控制在可接受范围内。

（三）风险导向审计的实施和运行—D 阶段

实施与运行要结合风险偏好，对风险进行识别与评估，并采取相应措施。

1.内部审计风险评估

(1)外部风险。外部风险一般可分为业务风险和控制风险。业务风险多是由管理层诚信缺失，无法适应外部环境变化，重要岗位人员变动频繁等所产生的，是受内在因素、外部影响而存在的风险。控制风险多是因运营系统、财务与业务系统间衔接机制不畅通所形成的，是被审计单位内部控制出现重大问题或未有效执行所形成的风险。业务风险和控制风险客观存在，一般采取主动询问相关岗位人员、查阅公司有关财务资料等合规程序进行评价。

(2)内部风险。内部风险主要是内审部门开展审计业务时来自本身的风险，内部风险多由信息不对称所致。这使得内审人员不仅面向财务，还需面向业务、面向管理。因此，内审人员在限定的时间内施行审计活动需要对陌生领域加以了解和测试，并进行评价和建议，这会产生一定的风险。这需要内部审计人员提高专业胜任能力、采用合理审计方式、全面收集信息来管控内部风险。

2.实施风险导向审计

风险导向型内部审计要求内审人员应参与到公司风险管理的各环节中，独立客观的为管理层提出有意义的建议，以提高企业风险管理水平。开展风险导向内部审计，能够对公司风险管理过程进行再监控，以及时查明和减少风险问题，将风险危害遏制在萌芽阶段。另外，风险导向的内部审计也可以发挥防范风险和风险警示的功能，企业在事前监控可能发生的风险，并在风险发生且造成危害时，及时分析原因并采取相应措施。

（四）审查与修正—C&A 阶段

审查与修正是对内审工作进行监督以及对于内审工作的持续改进。

1.强化内部审计问责制度

为保证内部审计质量，要不断强化内部审计问责制，发挥问责制应有的用处，明确内审人员的责任与权利，以岗定人定责。这样在执行工作时，才能明确责任，有效落实奖惩措施。对于公司内部审计工作过程实施中发现因内审人员个人主观故意所致而未能解决的有关重大差错以及已出现的严重不利于企业内部审计质量控制的相关情况，需客观追究相应责任。

2.内部审计质量监控

(1)内部监控。一方面，内审部门应当持续监控，对审计项目从审前准备到审计结束进行跟踪监测。监控范围要涉及如何确定审计目标、审计程序和审计报告的合理性，审计建议的有用性等。内部监控需注意相关人员是否掌握了相关知识和技能、是否遵循相关工作规范要求、项目是否存在尚未克服的重大困难。有效的持续监控不是对全部事项的监控，而是对关键控制、治理与管理层关注事项等有重点地进行监控。

(2)外部评估。外部评估可以是会计师事务所等专业机构的外部检查，也可以是同业检查以及企业客户的评价等。外部评估能够更加客观的对企业内部审计质量进行评价，也能使得内审部门与外部评价机构有更深入的交流学习机会，从而提高内部审计的质量。

（五）审计信息、沟通与报告

在信息爆炸的今天，如何更有效的处理和传递信息对内部审计质量控制至关重要，内部审计信息的沟通与报告又会促进基于COS-ERM框架的、以PDCA 质量环为内在逻辑的内部审计质量控制体系的再循环。

1.构建辅助审计系统

随着公司内部信息化审计管理环境成熟及审计业务环境越来越多变，近年来，基于现代ERP 企业系统建设的辅助信息审计应用系统逐渐在我国企业开展内部审计实践中得到应用。辅助审计系统可以减少传统手工审计项目底稿表格的复杂编制录入工作，方便审计部门人员无纸化审计业务的施行；而且，由于辅助的审计系统是对接着各有关业务部门，这使得内审人员可以实时地获取各被审计部门的数据信息。辅助审计系统的构建，要注重信息辅助审计系统预警功能，识别实际情况与预期值的差异；要侧重依托于系统的分析和识别能力，对潜在风险进行判断和评估，确定风险等级；还要利用好辅助审计系统的数据处理功能，及时检查发现审计数据信息的异常，督促相关负责人迅速整改。

2.内部审计质量管理信息与沟通

内部审计质量控制信息与沟通是获取、传达有关信息，实现信息在组织内部、组织内外之间的顺畅交换。内审部门应积极地组织搜集、汇总有效的内审质量控制信息，让审计信息能在本部门及整个组织内进行有效交流。本部门内的沟通有助于形成一致的内审理念，使内审人员定位清晰，明确本身工作与其他部门业务的联系。部门内沟通应建立顺畅的信息传递途径，营造良性的研讨气氛。而且，内审负责人应适时与组织管理层沟通内部审计的相关事宜，提出意见和忠告。

四、总结

COSO-ERM 框架在风险管理领域已深耕多年，风险管理体系构建上有着重要作用，但内审业务与COSO-ERM框架的结合却非常罕见。而内部审计质量控制的目标，与COSO-ERM框架的目标本质上是一致的，借鉴COSO-ERM框架理念，用于加强内部审计质量的控制，将COSO-ERM框架引入内部审计质量控制，同时又与PDCA 循环理论相契合，建立起以治理和文化、审计战略与目标设定、风险导向审计的执行、审查和修正及审计信息、沟通和报告五要素为基础，以PDCA 质量环为内在逻辑的科学全面的内部审计质量控制体系，将更好的发挥内部审计的监督和增值作用。