|
借鉴COSO内部控制理念 构建内部审计质量管理框架 王雷 雷洋昆 内部审计质量管理旨在通过合理确定审计目标、准确划定审计路径、严格规范审计操作,来掌控和降低审计风险,提高审计质量和效率,以增加组织价值、促进组织目标实现。本文在分析当前内部审计质量管理现状和局限性的基础上,借鉴COSO内部控制理念,构建内部审计质量管理框架,以期突破局限,深化内部审计质量管理。 一、当前内部审计质量管理的现状和局限性 内部审计质量作为内部审计的安身立命之本,一直受到极大重视。IIA曾于2001年和2002年连续两届年会把内部审计质量问题作为大会的中心议题之一。近年来,IIA致力于在全球范围内推广内部审计质量评估,出台并不断修订《质量评估手册》,不断推动内部审计质量管理。中国内部审计协会于2009年成立中国内部审计协会质量委员会,于2012年4月发布了《内部审计质量评估办法》(试行)和《中国内部审计质量评估手册》(试行),初步建立了我国内部审计质量评估机制。 与内部审计质量管理的要求相比,当前我国内部审计质量管理实务还存在一些差距,主要表现在以下几个方面。 第一,紧密围绕审计目标不够。内部审计作为管理层职能的延伸,去审查和评价同级或者下级部门的业务活动及内部控制情况,其目的是满足管理需求,增加组织价值,促进组织目标实现。因此,保证内部审计质量的首要问题,就要紧密围绕审计目标,以审计目标为导向建立健全内部审计质量管理机制内部审计的重要特点就是审计目标的多样化、非标准化,审计质量管理必须围绕审计目标的实现而进行。而目前实施的内部审计质量管理主要侧重考虑审计活动是否符合有关准则规定、审计报告是否恰当,并未深入考虑审计目标是否与组织目标一致、是否与组织文化和管理理念合拍、是否满足管理层因时因地的需求。 第二,以风险控制为基础不够。内部审计质量管理应考虑各种风险,包括被审计单位风险和审计风险等,并以风险控制为基础予以开展。内部审计质量管理的过程就是回避、降低风险的过程而目前实施的内部审计质量管理系统考虑外部、内部风险不够。 第三,系统化管理不够。内部审计质量取决于多方面的因素,包括内审制度和环境、内审人员胜任能力、内部审计战略、内部审计方法等,这些方面相互联系、制约,具有系统性。而目前实施的内部审计质量管理更多关注的是规范审计项目的操作,全方位、多层次、系统化的考虑审计质量管理不够。 第四,过程管理不够。内部审计包括进行审前调查、审计计划、审计实施、审计报告、后续审计等阶段,内部审计质量管理需对整个审计过程中的每个阶段进行过程管理,只有控制好了每个阶段的质量,才能保证内部审计项目整体的质量。而目前实施的内部审计质量管理更多的是对审计事项进行事后检查和复核,实时的、过程化的审计质量管理不够。 二、内部审计质量管理与COSO内部控制理念 (一)内部审计质量管理需要以风险评估为基础,开展系统化、过程化的管理 内部审计是组织内部一种独立客观的确认和评价活动,它通过审查和评价业务活动及内部控制的适当性、合法性和有效性来促进组织目标实现。因此,内部审计的质量管理的首要特征就是紧密围绕组织目标、审计目标,一切审计质量管理机制均应在审计目标引导下建立;其次,内部审计的对象是“业务活动及内部控制”,业务活动及内部控制都存在风险,同时这些风险也增加了审计自身的风险,这就意味着内部审计质量管理既要关注被审计单位风险,同时也要警惕审计风险,一切管理活动要以风险控制为基础;再次,内部审计作为一项确认和评价活动,面向业务和管理,其受到内、外各个因素影响,且整个审计过程中各方面相互牵涉和制约,这就要求内部审计质量管理不能仅从操作层面考虑,必须系统化进行;最后,内部审计是一项复杂的专业活动,对其质量进行管理,需加强过程监控,只有过程受控,才能结果可控。 总之,内部审计质量管理是一项紧密围绕目标,以风险控制为基础,通过过程受控、达到结果可控的过程,具有系统化、过程化的特点,其强调目标、风险、过程三者的结合,是一个不断修正的动态过程。 (二)COSO内部控制理念能够满足内部审计质量管理的要求 COSO所提出的内部控制是指组织管理层和全体员工实施的,旨在实现控制目标的过程,其包括控制环境、风险评估、控制活动、信息与沟通、监控五个相互关联的构成要素。控制目标是合理保证以下五个方面:1.经营管理合法合规;2.资产安全;3.财务报告及相关信息真实完整;4.提高经营效率和效果;5.促进组织实现发展战略。 内部控制围绕着组织的业务、财务、法务及战略实施,其理念与内部审计质量管理理念是相吻合的,主要体现在以下几个方面: 第一,内部控制促进组织战略目标实现 控制是确保某事得以完成而采取的行动,各种控制又是用于确保行动有效的手段,控制和控制手段都应针对所要达到的某一目的或目标,谈论控制而不论述他们用于达到的目标,是毫无意义甚至事与愿违的。内部审计作为内部控制组成部分,其目标与内部控制目标是一致的,均为促进组织战略目标实现,增加组织价值,内部审计质量管理也应在该目标指引下实施。 第二,内部控制以风险评估为基础 内部控制以风险评估为基础,关注重要业务事项和高风险领域。在实施内部审计质量管理时,同样需要以风险控制为基础,考虑重要性原则,分层次、有重点地进行管理。 第三,内部控制具有系统化、过程化的特点 内部控制覆盖并渗透到组织各项业务和事项之中,贯穿决策、执行和监督全过程,各要素之间相互影响,具有系统化和过程化的特点。 第四,内部控制具有动态性 内部控制是一个动态演变的过程,它不是一项制度或一个僵硬的规定,其应当与组织经营规模、业务范围、竞争状况和风险水平等相适应,没有两个组织的内部控制是完全相同的,也没有一个组织的内部控制在不同时点是完全相同的,内部控制在实施时要随着情况的变化及时加以调整。同样,在进行内部审计质量管理时,也需要考虑人员、时间、环境和风险等各种情况,审时度势不断加以调整和修正,内部审计质量管理也是一个不断修正的动态过程。 三、借鉴COSO内部控制理念,构建内部审计质量管理框架 内部审计质量管理可以借鉴COSO内部控制理念,这为构建内部审计质量管理框架提供了新思路。以下,我们将借鉴COSO内部控制理念,探讨内部审计质量管理框架。 (一)内部审计质量管理环境 内部控制环境影响全体员工的意识,为内部控制提供了基础,其包括诚信和道德价值观、管理层理念和经营风格、胜任能力、组织结构、权利和责任的分配、人力资源政策和实务等。内部审计质量管理环境与之相通,也是侧重于软控制层面,主要包括以下几个方面: 1.内审负责人管理理念和风格 内审负责人的管理理念会影响到内审机构发展方向和管理方式,包括与组织、行业能否保持同步、接受风险的类型和程度等。 为确保内部审计质量,首先,内审负责人要确保其管理理念与组织管理层保持一致,与组织目标保持一致;其次,内审负责人应树立现代内部审计理念,强调内部审计以内部控制和风险管理为核心,强调合规性审计和绩效性审计融合,强调财务审计和管理审计融合,强调事前、事中、事后审计融合,强调内审的预警作用和建设性作用,强调内审的防弊、兴利、增值;最后,内审负责人应以现代内部审计理念引导全体内审人员,并适时向组织管理层汇报以获得支持。 2.内部审计机构设置 一个成功的内部审计机构,一是要确立好内审机构在组织内部的地位以及报告关系。内审应获得组织最高管理层明确的认可和支持,并具有独立性,这不但能确保实施审计时免受干预,同时也能充分保证审计结果更好地被利用;二是设置适当的内设机构,合理分配各岗位权利和责任,规范内审活动的范围,以确保内审机构能为管理层提供持续的、专业化的服务,实现内部审计绩效;三是建立健全内部审计质量管理机制,并保证其有效实施。内审机构被最高管理层认可,且具有独立性以及确保各岗位切实能为组织提供有效服务,会让被审计单位更容易接受,实现有效沟通,进而提高审计质量。 3.道德价值观及专业胜任能力 内审负责人的理念和内审机构设置的适当性,都要求有合适的内审人员才能实现。因此,内审人员的道德价值观和专业胜任能力便成了内审质量管理至关重要的环节。IIA和CIIA均颁布了内审人员职业道德规范,并将其作为内审人员首要强制性遵循的规定。内审人员的职业道德包括诚信、客观、保密、胜任和应有的职业审慎等,其中胜任是指具备所必需的知识、技能和其他能力,这些能力除了熟悉审计准则和所在行业业务知识外,还应包括熟悉经济学、管理学、信息系统等,具备较强的调研能力、分析能力、沟通能力、写作能力能。尽管内审人员需具备多种知识和技能,但其不应对专业技术或事项发表意见,应在适当时候获取外部协助,这也是保证审计质量的重要措施。除此之外,由于内部审计是管理的组成部分,除了科学性的一面,一定程度上也具有艺术性的一面。因此,内审机构应在要求内审人员遵循统一的、标准的工作规范时,鼓励内审人员的想象力和创造力。 保持内审人员的职业道德及专业胜任能力,可以通过公开选聘、职业资格认证考试、继续教育、持续职业发展规划等方式实现。 4.内部审计手册 内部审计手册是内审机构和内审负责人理念的写照,体现了本机构内审工作的思想。内审机构应根据本部门的结构和规模以及开展内审活动的复杂性,制定一系列指导性文件,汇编为审计手册。审计手册可以包括业务卷和行政卷,其中:业务卷可以从审计目标、审计范围、审前调查、审计方案、审计程序、工作底稿、审计报告、后续审计等方面进行指导和规范,以保证审计活动符合准则;行政卷主要确保内审机构的正常运转。审计手册应定期修订,以保证内容的完整性、理念的先进性,进而能有效贯彻和传达现代内审思想,指导开展内审工作,保持内审机构工作的稳定性、连贯性和规范性。 (二)内部审计风险评估 风险评估是在确定目标的基础上,识别和分析与实现目标相关的风险,并对之进行评价后,合理确定风险应对策略。内部审计质量管理在实施之前,需对内部审计风险进行评估,通过识别和分析影响质量的关键点、薄弱点,再确定管理重点。 内部审计的风险可分为外部风险和内部风险 1.外部风险。外部风险主要为实施审计活动时,来自于被审计单位的风险,分为业务风险和控制风险。 业务风险是被审计单位业务因受到内部因素、外部环境影响而存在的风险。比如被审计单位管理层缺乏诚信,重要岗位人员频繁变动,被审计单位业务复杂,外部环境变化导致技术落后、产品滞销等。 控制风险是由于被审计单位内部控制存在缺陷或者未有效执行而产生的风险。组织控制机制按照其控制对象的不同,可以划分为实体系统的控制机制和信息系统的控制机制,其中,实体系统的控制机制又包括对业务系统和资源系统的控制机制,资源系统的控制机制包括对人、财、物三方面的控制。这些系统控制机制的无效以及不衔接都将增加审计风险,比如业务系统控制失效、财务系统与业务系统控制机制不衔接、信息系统之间控制机制不衔接等,都会增加审计风险。 业务风险和控制风险客观存在,内审人员无法降低该风险,只能通过询问相关人员、查阅相关资料、穿行测试等程序予以识别和评估。 2.内部风险。内部风险主要为实施审计活动时,来自内审机构自身的风险,这里我们把它分为目标风险和路径风险。 目标风险是内审人员对内审理念、组织总体目标和需求、组织其他部门管理目标等理解不到位而导致内审活动方向性偏离的风险。目标正确与否,关系着是否“做正确的事”。正确确定内审活动的目标、方向,保证内审活动与组织目标一致且满足管理层需求,是降低审计风险、确保内审工作效益的前提,否则只会事倍功半,甚至前功尽弃。 路径风险是因内审人员的专业胜任能力、技术技能等不足等而造成的风险。路径正确与否关系着是否“正确地做事”。在“做正确的事”的前提下,只有“正确地做事”,才能有效地实现目标。 内部风险主要是由于信息不对称所致。现代内部审计理念要求内审人员不仅面向财务,还需面向业务、面向管理。这就需要内审人员在开展审计工作时,在有限的时间内对一个陌生单位,甚至是陌生领域进行了解、测试,并对其进行评价和建议。虽然内审人员运用控制的理念和手段能开启陌生之门,但与被审计单位长期从事相关业务的管理层相比,信息无法对等获取,博弈难度增加,从而增加了精准确定目标及其实现路径的难度。 因此,内审人员可以通过充分收集信息、提高专业胜任能力、采用有效审计方法等手段控制和管理内部风险,比如可通过平时多参与行业工作会议或研讨会、组织工作会议、有关职能部门专业会议,关注行业和组织动态等方式收集信息,并在各审计项目结束后,对所有信息进行汇总分析,总结被审计单位共性的问题及风险,举一反三,建立信息库,形成一套针对性较强的审计方式和方法,以降低内部风险。 外部风险对内部风险有直接影响,外部风险越高,内审人员应收集更多的信息,实施更为详尽的审计程序,才可将内部风险降低至可接受的水平。 (三)内部审计质量管理活动 内部控制活动是根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。内部审计质量管理应在分析内外部风险的基础上,对审计业务各阶段进行管理。在管理活动中,应特别注重有效审计方法的充分利用,应特别注意以下几点: 一是确保充分运用业务入手审计方法,同时综合运用账务入手审计方法、账户入手审计方法。对被审计单位各项业务至少需了解其目的、性质、业务人员、业务时间、业务地点、业务方式、监督方式、工作成本等。作为管理导向的现代内部审计,可按照管理学思路,采用业务入手审计方式收集业务信息、分析业务情况,比如:首先,可以通过总体了解、访谈、实地调查等方式获取信息;其次,分析业务结构,并将各业务归纳至业务结构不同层次、不同类别的模块中;再次,在业务结构基础上,梳理出各业务流程,并编制出业务流程图;最后,对各业务流程及其所对应内部控制进行分析。特别应当关注被审计单位各类业务和控制之间的衔接;管理职能或部门之间的衔接;各类业务信息与财务信息之间的衔接等,对于没有建立全面资源管理系统(ERP)的单位,更应注意这一点。 二是确保充分评估被审计单位各业务及其控制的风险。基于上述业务结构、业务流程、及其对应财务过程的分析,运用分析性复核程序,内审人员应对被审计单位各业务环节存在的业务问题、财务问题和会计问题进行可能性分析,发现薄弱环节,评估其风险,并确定是否已经制订了必要的控制措施进行防范。清楚地认识一般风险和特殊风险、控制措施缺陷所在,对实施审计会达到事半功倍的效果。 三是确保充分运用数据式审计方法,运用审计分析模型、多维数据分析技术、数据挖掘技术等对格式化数据进行深入分析、处理,提高审计质量。 (四)内部审计质量管理信息与沟通 内部控制信息与沟通是及时、准确地收集、传递相关的信息,确保信息在组织内部、组织与外部之间进行有效沟通。信息与沟通贯彻着内部审计质量管理的实施。 1.内部信息与沟通。内审机构应及时准确地收集、整理适当的内审质量管理信息,并确保信息在本部门、组织管理层有效沟通。 在本部门沟通会促使内审理念、有关内审知识和经验在机构内部充分共享并达成共识,让内审人员能清楚自我定位,明晰自己工作与他人工作、组织目标之间的关系。在本部门沟通时,同时要求内审负责人积极倾听,建立畅通的信息传递渠道,为整个内审机构营造一个公开、学习、探讨的氛围。 与组织管理层沟通至关重要,内审负责人应适时与组织管理层沟通有关内审质量管理方面的事项,这不仅能使组织管理层在重大事项上发挥作用,提供建议和忠告,也能进一步让管理层了解现代内部审计的作用和功能。 有效的内部沟通不仅局限于语言和文字沟通,有时候行为示范的效应性或许更大。 2.外部信息获取。外部信息获取主要是指内审机构需获取本行业有关内部审计质量管理的情况,获取行业信息最经常且有效的办法,是与行业协会保持紧密联系。行业协会汇集着本行业各类信息和问题,并设有专业研究机构,对理念和实际操作均具有指导性和引领性,从行业及时获取信息能推动内部审计质量管理的提升。 (五)内部审计质量监控 内部控制监控是对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,并及时加以改进。内部审计质量监控是对审计业务的监控,确保内部审计质量管理过程的有效运行,包括内部监控和外部评估。 1.内部监控。内部监控包括持续监控、内部评估。 (1)持续监控是对审计项目实时的、全过程监控。内审机构应建立持续监控机制,挑选职位更高或更具有丰富经验的人担任监控人,对审计项目从审前准备到审计终结实施全过程监控。监控内容包括:审计目标的确定,审前调查需了解的业务情况和需特别关注的重大问题,审计方案的可行性,审计程序的正确性,审计证据的充分性、相关性、可靠性,审计报告的可靠性,审计建议的可行性。在整个监控过程,监控人应关注内审人员是否具备相应知识和技能完成审计任务、是否遵循有关准则规定,项目是否存在尚未解决的重要问题,并应随时强调目标、程序及报告的关系,引导审计行为达到设定的审计目标。 监控人在监控过程中应注意把握监控尺度,过分监控可能诱发实施项目的内审人员的依赖性且压抑着他们的创造性和想象力。因此,有效的持续监控并非对所有事项的监控,而是对重要事项比如评价重要和关键的控制、资产的安全、重大和复杂问题、管理层感兴趣事项等有重点地进行监控。除此之外,监控人自身应保持职业谨慎,进行合理的专业判断,必须以事实为依据,做到客观公正。 (2)内部评估。内部评估是内审机构定期或不定期地抽查一些已实施的项目进行检查。检查的内容应包括审计目标是否达到、审计方案是否适当、审计范围是否合适、审计资源是否有效利用、审计叙述是否佐以充分的证据、审计报告是否重点突出、审计作业是否符合标准、是否过分关注细微事项等。评估者在评估后应与内审人员讨论所发现的任何缺陷,以促进内审人员纠正不足,提高内审质量。 2.外部评估 外部评估包括同业检查、客户评估、专业机构比如会计师事务所或管理咨询机构检查。有关外部评估的方式有很多,近年来,探讨和尝试较多的是全面质量管理实施以及ISO评估模型的运用。不管采取什么方式对其评估,审计生产力的不可度量以及业绩的非标准化是评估首要考虑的问题。 国际内部审计协会发布的《质量评估手册》对执行内部评估和外部评估提供了具体规定,发布的《内部审计的质量保证检查手册》指导了同业检查。2012年4月,中国内部审计协会发布的《内部审计质量评估办法》(试行)确定了内部审计质量评估包括内部评估和外部评估两种形式,并对评估工作进行了原则性规范;发布的《中国内部审计质量评估手册》(试行)对内部评估和外部评估的内容、评估流程和标准等进行了阐述,并提供了多种评估工具以供使用,对内部审计质量评估的具体组织和实施工作具有指导和规范意义。 综上所述,可以看出:管理环境奠定了审计质量的基础,风险评估确定了质量管理的底线和重点,控制活动规范了业务流程,信息与沟通加强了内部协作与促进,监控提供了审计质量管理的保证。 这个内部审计质量管理框架以风险评估为基础,通过系统化、过程化地开展审计质量管理活动,确保审计目标的实现,为深化内部审计质量管理、提高审计有效性提供了一个新的思路和实现途径。 (作者单位:北京大学审计处) |
