依據(jù)COSO-ERM框架創(chuàng)新內(nèi)部審計質(zhì)量控制模式

(重慶理工大學 重慶 400050)

一、關于內(nèi)部審計質(zhì)量及其控制的相關理論

關于內(nèi)部審計質(zhì)量及其控制的概念，趙曙光(2014)認為作為企業(yè)“自我免疫”的重要工具，內(nèi)部審計是一個不可或缺的構成，也是企業(yè)想在現(xiàn)階段市場經(jīng)濟環(huán)境下降低企業(yè)風險、維持其正常有效運作的一個重要機制。K·H·Spencer Pickett(2004)強調(diào)了內(nèi)部審計部門貫穿于企業(yè)的整體，也貫穿于各個方面。內(nèi)部審計不單單是對項目進行的質(zhì)量控制，也應該為公司的風險管理、戰(zhàn)略對策等方面提供相關的質(zhì)量控制。陳建明(2004)從個人道德約束、事務所內(nèi)部質(zhì)量控制、行業(yè)協(xié)會自律管理體制和政府行政監(jiān)管體制四個層次來建立審計質(zhì)量控制體系。趙保卿(2001)提出內(nèi)部審計質(zhì)量也會受到內(nèi)部審計質(zhì)量控制的影響。

隨著信息社會和知識經(jīng)濟時代的不斷成熟發(fā)展，內(nèi)部審計作為對企業(yè)經(jīng)營活動的一種有效的獨立監(jiān)督手段，對企業(yè)的生存和發(fā)展來說發(fā)揮著越來越重要的作用?，F(xiàn)代風險導向審計模式的核心在于對審計風險的評估和對風險的應對，在對風險的可控范圍內(nèi)提高內(nèi)審質(zhì)量，為審計人員提供了一種新的審計思路。

二、COSO-ERM框架與內(nèi)部審計質(zhì)量控制體系的建立

COSO從廣義的角度把企業(yè)風險管理定義為：“組織的董事會、管理層和其他職員實施的一個過程，它應用于戰(zhàn)略制定并貫穿整個企業(yè)，用來識別可能影響組織的潛在事項、并把風險控制在組織的風險偏好之內(nèi)、為實現(xiàn)組織的目標提供合理保證。”該框架包括八個相互關聯(lián)的構成要素：內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)控。

面對目前內(nèi)部審計質(zhì)量存在的審計計劃與公司戰(zhàn)略不契合、內(nèi)審過程規(guī)范不強、質(zhì)量控制標準不明確等問題，建立有效的內(nèi)審質(zhì)量控制系統(tǒng)是解決這些問題的有效途徑。(見下圖)

COSO-ERM框架的整體風險管理理念與現(xiàn)代風險導向審計的基本精神具有一致性，這為構建內(nèi)部審計質(zhì)量管理框架提供了新思路。因此,在建立質(zhì)量控制機制時，可以應用COSO風險管理框架,融合現(xiàn)行審計模式和現(xiàn)代風險管理理念，并結合自身實際情況，構建風險導向下的內(nèi)部審計質(zhì)量控制機制。

三、基于COSO-ERM框架的內(nèi)部審計質(zhì)量控制分析與構建

(一)內(nèi)部審計環(huán)境。COSO風險管理框架指出，內(nèi)部環(huán)境包含組織的基調(diào)，影響組織中人員的風險意識，是其它所有風險管理要素的基礎，為其它要素提供規(guī)則和結構。其中包括風險管理理念，它代表企業(yè)在處理任何事情時對應對風險的一種整體態(tài)度，有效的指導組織人員對風險的識別和管理；權利和責任的分配，涉及到組織內(nèi)包括CFO和一般職員的每一個成員和團體，對權利和責任的有效分配，將鼓勵成員主動去解決問題并控制他們的施權范圍；組織結構，一個組織需要科學合理的組織結構來維持組織內(nèi)決策、執(zhí)行、監(jiān)督等事項的有效分配和進行。

(二)審計目標設定。COSO框架認為，目標為企業(yè)的經(jīng)營和管理具有戰(zhàn)略性指導的作用，確定目標是風險識別和應對的前提，因此，應當首先關注風險導向下內(nèi)部審計質(zhì)量控制的目標。風險導向模式下的內(nèi)審目標是在保持或提高內(nèi)審質(zhì)量的基礎上，降低或回避內(nèi)審風險。內(nèi)審目標的準確設定，使得審計人員能緊圍目標，對會影響內(nèi)審質(zhì)量的一切可能性事件在可承受的審計風險水平下，采取應對措施，并不斷調(diào)整降低風險水平。同時，相對于審計人員職業(yè)標準，審計目標更能體現(xiàn)審計質(zhì)量。

(三)審計事件識別。這里的事件是指可能會影響內(nèi)審質(zhì)量目標實現(xiàn)的一系列可能帶來風險的內(nèi)部或者外部因素。包括可能帶來負面影響的潛在事項和可以把握的機會。比如，新技術帶來的沖擊、審計人員的流失和專業(yè)能力、政治政策的廢除和頒布等。審計人員應掌握事項識別技術對可控事項進行識別區(qū)分和防范應對。

(四)審計風險評估。風險評估不到位可能會給企業(yè)帶來巨大的損失。審計人員在對審計事件進行識別時，應區(qū)分出可能帶來風險的潛在重大事項和非關鍵事項并進行評估。對潛在重大事項應投入更多的精力進行關注和應對。審計人員應熟練掌握評估技術，并制定相應的評估計劃，根據(jù)評估風險采取相應措施。

(五)審計風險應對。在對審計風險進行評估以后，就要對風險采取相應的應對措施，以提高內(nèi)審質(zhì)量，實現(xiàn)內(nèi)審目標。應對策略包括：風險回避、降低、分擔和承受。在考慮應對風險的過程中，審計人員評估風險的可能性和影響程度，以及相應應對措施的成本效益，選擇企業(yè)可承受風險水平之內(nèi)并與主體風險容量相協(xié)調(diào)的應對策略。另外,需要采取一定的程序來確保這些措施有效地執(zhí)行,這些程序就是控制活動。

(六)審計控制活動。COSO框架認為控制活動時有助于保證管理者的風險反應方案得到正確執(zhí)行的相關政策和程序。本文將控制活動按發(fā)生時間劃分，分為審前、審中、審后控制。審前控制包括對環(huán)境、目標及人員的控制；審中控制指對審計程序及標準的控制；而審后控制則包括對績效評估和檔案管理的控制。

(七)審計信息與溝通。COSO認為，信息存在于企業(yè)的各個層面，利用內(nèi)部生成的數(shù)據(jù)和外部渠道獲取的信息，有助于為風險評估和應對提供重要決策幫助。有效的信息溝通連通組織上中下級，及時有效的信息系統(tǒng)是企業(yè)提高內(nèi)審質(zhì)量不可或缺的。隨著計算機技術廣泛的應用在審計工作上，信息管理系統(tǒng)和傳遞系統(tǒng)的建立很有必要，不僅使大量繁瑣的工作得以簡化，數(shù)據(jù)方便儲存和查找，各級人員的溝通效率也得以提升。

(八)審計監(jiān)控。對企業(yè)風險管理的監(jiān)控，即隨時對其構成要素的存在和運行進行評估。體現(xiàn)了持續(xù)改進的思想，審計人員對與審計目標及內(nèi)部要素有關的風險管理活動進行評估，管理層對內(nèi)審質(zhì)量控制體系的有效執(zhí)行進行評估，監(jiān)控有助于審計人員向合理設計并有效執(zhí)行內(nèi)審質(zhì)量控制的方向努力,最終實現(xiàn)內(nèi)審質(zhì)量控制的目標。

本文通過運用COSO企業(yè)風險管理整合框架，在現(xiàn)代風險導向審計模式下，構建以內(nèi)部審計風險控制為目標的內(nèi)部審計質(zhì)量控制體系，希望能為企業(yè)更好地進行風險管理和質(zhì)量控制提供參考。

[1]王雷,雷洋昆.借鑒COSO內(nèi)部控制理念構建內(nèi)部審計質(zhì)量管理框架[J].中國內(nèi)部審計,2013(08).

[2]席龍勝.基于COSO風險管理框架的審計質(zhì)量控制分析[J].商丘師范學院學報,2011,27(02).

[3]馮友蓮.對COSO內(nèi)部控制新框架在工會審計中應用的幾點思考[J].中國工會財會,2014(04).

[4]程永泉,馮義秀.風險導向內(nèi)部審計及其在企業(yè)構建風險管理框架中的應用[J].北京工商大學學報(社會科學版),2009,24(02).

[5]肖智平.淺議如何加強內(nèi)部審計在COSO內(nèi)控框架中的作用[J].新疆金融,2009(11).