依据COSO-ERM框架创新内部审计质量控制模式

(重庆理工大学 重庆 400050)

一、关于内部审计质量及其控制的相关理论

关于内部审计质量及其控制的概念，赵曙光(2014)认为作为企业“自我免疫”的重要工具，内部审计是一个不可或缺的构成，也是企业想在现阶段市场经济环境下降低企业风险、维持其正常有效运作的一个重要机制。K·H·Spencer Pickett(2004)强调了内部审计部门贯穿于企业的整体，也贯穿于各个方面。内部审计不单单是对项目进行的质量控制，也应该为公司的风险管理、战略对策等方面提供相关的质量控制。陈建明(2004)从个人道德约束、事务所内部质量控制、行业协会自律管理体制和政府行政监管体制四个层次来建立审计质量控制体系。赵保卿(2001)提出内部审计质量也会受到内部审计质量控制的影响。

随着信息社会和知识经济时代的不断成熟发展，内部审计作为对企业经营活动的一种有效的独立监督手段，对企业的生存和发展来说发挥着越来越重要的作用。现代风险导向审计模式的核心在于对审计风险的评估和对风险的应对，在对风险的可控范围内提高内审质量，为审计人员提供了一种新的审计思路。

二、COSO-ERM框架与内部审计质量控制体系的建立

COSO从广义的角度把企业风险管理定义为：“组织的董事会、管理层和其他职员实施的一个过程，它应用于战略制定并贯穿整个企业，用来识别可能影响组织的潜在事项、并把风险控制在组织的风险偏好之内、为实现组织的目标提供合理保证。”该框架包括八个相互关联的构成要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。

面对目前内部审计质量存在的审计计划与公司战略不契合、内审过程规范不强、质量控制标准不明确等问题，建立有效的内审质量控制系统是解决这些问题的有效途径。(见下图)

COSO-ERM框架的整体风险管理理念与现代风险导向审计的基本精神具有一致性，这为构建内部审计质量管理框架提供了新思路。因此,在建立质量控制机制时，可以应用COSO风险管理框架,融合现行审计模式和现代风险管理理念，并结合自身实际情况，构建风险导向下的内部审计质量控制机制。

三、基于COSO-ERM框架的内部审计质量控制分析与构建

(一)内部审计环境。COSO风险管理框架指出，内部环境包含组织的基调，影响组织中人员的风险意识，是其它所有风险管理要素的基础，为其它要素提供规则和结构。其中包括风险管理理念，它代表企业在处理任何事情时对应对风险的一种整体态度，有效的指导组织人员对风险的识别和管理；权利和责任的分配，涉及到组织内包括CFO和一般职员的每一个成员和团体，对权利和责任的有效分配，将鼓励成员主动去解决问题并控制他们的施权范围；组织结构，一个组织需要科学合理的组织结构来维持组织内决策、执行、监督等事项的有效分配和进行。

(二)审计目标设定。COSO框架认为，目标为企业的经营和管理具有战略性指导的作用，确定目标是风险识别和应对的前提，因此，应当首先关注风险导向下内部审计质量控制的目标。风险导向模式下的内审目标是在保持或提高内审质量的基础上，降低或回避内审风险。内审目标的准确设定，使得审计人员能紧围目标，对会影响内审质量的一切可能性事件在可承受的审计风险水平下，采取应对措施，并不断调整降低风险水平。同时，相对于审计人员职业标准，审计目标更能体现审计质量。

(三)审计事件识别。这里的事件是指可能会影响内审质量目标实现的一系列可能带来风险的内部或者外部因素。包括可能带来负面影响的潜在事项和可以把握的机会。比如，新技术带来的冲击、审计人员的流失和专业能力、政治政策的废除和颁布等。审计人员应掌握事项识别技术对可控事项进行识别区分和防范应对。

(四)审计风险评估。风险评估不到位可能会给企业带来巨大的损失。审计人员在对审计事件进行识别时，应区分出可能带来风险的潜在重大事项和非关键事项并进行评估。对潜在重大事项应投入更多的精力进行关注和应对。审计人员应熟练掌握评估技术，并制定相应的评估计划，根据评估风险采取相应措施。

(五)审计风险应对。在对审计风险进行评估以后，就要对风险采取相应的应对措施，以提高内审质量，实现内审目标。应对策略包括：风险回避、降低、分担和承受。在考虑应对风险的过程中，审计人员评估风险的可能性和影响程度，以及相应应对措施的成本效益，选择企业可承受风险水平之内并与主体风险容量相协调的应对策略。另外,需要采取一定的程序来确保这些措施有效地执行,这些程序就是控制活动。

(六)审计控制活动。COSO框架认为控制活动时有助于保证管理者的风险反应方案得到正确执行的相关政策和程序。本文将控制活动按发生时间划分，分为审前、审中、审后控制。审前控制包括对环境、目标及人员的控制；审中控制指对审计程序及标准的控制；而审后控制则包括对绩效评估和档案管理的控制。

(七)审计信息与沟通。COSO认为，信息存在于企业的各个层面，利用内部生成的数据和外部渠道获取的信息，有助于为风险评估和应对提供重要决策帮助。有效的信息沟通连通组织上中下级，及时有效的信息系统是企业提高内审质量不可或缺的。随着计算机技术广泛的应用在审计工作上，信息管理系统和传递系统的建立很有必要，不仅使大量繁琐的工作得以简化，数据方便储存和查找，各级人员的沟通效率也得以提升。

(八)审计监控。对企业风险管理的监控，即随时对其构成要素的存在和运行进行评估。体现了持续改进的思想，审计人员对与审计目标及内部要素有关的风险管理活动进行评估，管理层对内审质量控制体系的有效执行进行评估，监控有助于审计人员向合理设计并有效执行内审质量控制的方向努力,最终实现内审质量控制的目标。

本文通过运用COSO企业风险管理整合框架，在现代风险导向审计模式下，构建以内部审计风险控制为目标的内部审计质量控制体系，希望能为企业更好地进行风险管理和质量控制提供参考。

[1]王雷,雷洋昆.借鉴COSO内部控制理念构建内部审计质量管理框架[J].中国内部审计,2013(08).

[2]席龙胜.基于COSO风险管理框架的审计质量控制分析[J].商丘师范学院学报,2011,27(02).

[3]冯友莲.对COSO内部控制新框架在工会审计中应用的几点思考[J].中国工会财会,2014(04).

[4]程永泉,冯义秀.风险导向内部审计及其在企业构建风险管理框架中的应用[J].北京工商大学学报(社会科学版),2009,24(02).

[5]肖智平.浅议如何加强内部审计在COSO内控框架中的作用[J].新疆金融,2009(11).