依據COSO-ERM框架創新內部審計質量控制模式

(重慶理工大學 重慶 400050)

一、關于內部審計質量及其控制的相關理論

關于內部審計質量及其控制的概念，趙曙光(2014)認為作為企業“自我免疫”的重要工具，內部審計是一個不可或缺的構成，也是企業想在現階段市場經濟環境下降低企業風險、維持其正常有效運作的一個重要機制。K·H·Spencer Pickett(2004)強調了內部審計部門貫穿于企業的整體，也貫穿于各個方面。內部審計不單單是對項目進行的質量控制，也應該為公司的風險管理、戰略對策等方面提供相關的質量控制。陳建明(2004)從個人道德約束、事務所內部質量控制、行業協會自律管理體制和政府行政監管體制四個層次來建立審計質量控制體系。趙保卿(2001)提出內部審計質量也會受到內部審計質量控制的影響。

隨著信息社會和知識經濟時代的不斷成熟發展，內部審計作為對企業經營活動的一種有效的獨立監督手段，對企業的生存和發展來說發揮著越來越重要的作用。現代風險導向審計模式的核心在于對審計風險的評估和對風險的應對，在對風險的可控范圍內提高內審質量，為審計人員提供了一種新的審計思路。

二、COSO-ERM框架與內部審計質量控制體系的建立

COSO從廣義的角度把企業風險管理定義為：“組織的董事會、管理層和其他職員實施的一個過程，它應用于戰略制定并貫穿整個企業，用來識別可能影響組織的潛在事項、并把風險控制在組織的風險偏好之內、為實現組織的目標提供合理保證。”該框架包括八個相互關聯的構成要素：內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。

面對目前內部審計質量存在的審計計劃與公司戰略不契合、內審過程規范不強、質量控制標準不明確等問題，建立有效的內審質量控制系統是解決這些問題的有效途徑。(見下圖)

COSO-ERM框架的整體風險管理理念與現代風險導向審計的基本精神具有一致性，這為構建內部審計質量管理框架提供了新思路。因此,在建立質量控制機制時，可以應用COSO風險管理框架,融合現行審計模式和現代風險管理理念，并結合自身實際情況，構建風險導向下的內部審計質量控制機制。

三、基于COSO-ERM框架的內部審計質量控制分析與構建

(一)內部審計環境。COSO風險管理框架指出，內部環境包含組織的基調，影響組織中人員的風險意識，是其它所有風險管理要素的基礎，為其它要素提供規則和結構。其中包括風險管理理念，它代表企業在處理任何事情時對應對風險的一種整體態度，有效的指導組織人員對風險的識別和管理；權利和責任的分配，涉及到組織內包括CFO和一般職員的每一個成員和團體，對權利和責任的有效分配，將鼓勵成員主動去解決問題并控制他們的施權范圍；組織結構，一個組織需要科學合理的組織結構來維持組織內決策、執行、監督等事項的有效分配和進行。

(二)審計目標設定。COSO框架認為，目標為企業的經營和管理具有戰略性指導的作用，確定目標是風險識別和應對的前提，因此，應當首先關注風險導向下內部審計質量控制的目標。風險導向模式下的內審目標是在保持或提高內審質量的基礎上，降低或回避內審風險。內審目標的準確設定，使得審計人員能緊圍目標，對會影響內審質量的一切可能性事件在可承受的審計風險水平下，采取應對措施，并不斷調整降低風險水平。同時，相對于審計人員職業標準，審計目標更能體現審計質量。

(三)審計事件識別。這里的事件是指可能會影響內審質量目標實現的一系列可能帶來風險的內部或者外部因素。包括可能帶來負面影響的潛在事項和可以把握的機會。比如，新技術帶來的沖擊、審計人員的流失和專業能力、政治政策的廢除和頒布等。審計人員應掌握事項識別技術對可控事項進行識別區分和防范應對。

(四)審計風險評估。風險評估不到位可能會給企業帶來巨大的損失。審計人員在對審計事件進行識別時，應區分出可能帶來風險的潛在重大事項和非關鍵事項并進行評估。對潛在重大事項應投入更多的精力進行關注和應對。審計人員應熟練掌握評估技術，并制定相應的評估計劃，根據評估風險采取相應措施。

(五)審計風險應對。在對審計風險進行評估以后，就要對風險采取相應的應對措施，以提高內審質量，實現內審目標。應對策略包括：風險回避、降低、分擔和承受。在考慮應對風險的過程中，審計人員評估風險的可能性和影響程度，以及相應應對措施的成本效益，選擇企業可承受風險水平之內并與主體風險容量相協調的應對策略。另外,需要采取一定的程序來確保這些措施有效地執行,這些程序就是控制活動。

(六)審計控制活動。COSO框架認為控制活動時有助于保證管理者的風險反應方案得到正確執行的相關政策和程序。本文將控制活動按發生時間劃分，分為審前、審中、審后控制。審前控制包括對環境、目標及人員的控制；審中控制指對審計程序及標準的控制；而審后控制則包括對績效評估和檔案管理的控制。

(七)審計信息與溝通。COSO認為，信息存在于企業的各個層面，利用內部生成的數據和外部渠道獲取的信息，有助于為風險評估和應對提供重要決策幫助。有效的信息溝通連通組織上中下級，及時有效的信息系統是企業提高內審質量不可或缺的。隨著計算機技術廣泛的應用在審計工作上，信息管理系統和傳遞系統的建立很有必要，不僅使大量繁瑣的工作得以簡化，數據方便儲存和查找，各級人員的溝通效率也得以提升。

(八)審計監控。對企業風險管理的監控，即隨時對其構成要素的存在和運行進行評估。體現了持續改進的思想，審計人員對與審計目標及內部要素有關的風險管理活動進行評估，管理層對內審質量控制體系的有效執行進行評估，監控有助于審計人員向合理設計并有效執行內審質量控制的方向努力,最終實現內審質量控制的目標。

本文通過運用COSO企業風險管理整合框架，在現代風險導向審計模式下，構建以內部審計風險控制為目標的內部審計質量控制體系，希望能為企業更好地進行風險管理和質量控制提供參考。

[1]王雷,雷洋昆.借鑒COSO內部控制理念構建內部審計質量管理框架[J].中國內部審計,2013(08).

[2]席龍勝.基于COSO風險管理框架的審計質量控制分析[J].商丘師范學院學報,2011,27(02).

[3]馮友蓮.對COSO內部控制新框架在工會審計中應用的幾點思考[J].中國工會財會,2014(04).

[4]程永泉,馮義秀.風險導向內部審計及其在企業構建風險管理框架中的應用[J].北京工商大學學報(社會科學版),2009,24(02).

[5]肖智平.淺議如何加強內部審計在COSO內控框架中的作用[J].新疆金融,2009(11).