基于内部控制五要素构建内部审计质量控制体系

[摘 要] 内部审计作为内部控制的关键因素，在风险管理中起着重要作用， 同时，内部控制的实质是风险管理。本文首先分析了内部审计、内部控制和风险管理的关系；然后借鉴内部控制五要素的思路，基于内部审计的环境、风险管理、内部审计活动、信息与沟通以及对内部审计进行监控5个要素来构建内部审计的质量控制体系；最后，对五要素之间的关系做了阐述。

[关键词] 内部审计；环境；风险管理；信息沟通

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 17. 008

[中图分类号] F239.45 [文献标识码] A [文章编号] 1673 - 0194（2014）17- 0012- 03

1 引 言

内部审计是公司治理的重要组成部分，能够有效发现并提示风险，被认为是企业风险控制的第三道防线和内部控制的重要组成部分。而内部审计质量作为内部审计的安身立命之本，对降低内部审计风险，完善企业全面风险管理框架，有着至关重要的作用。近年来，IIA致力于在全球范围内推广内部审计质量管理，同时，中国内部审计协会于2012年4月了《 内部审计质量评估办法（试行）》和《中国内部审计质量评估手册（试行）》，对我国内部审计质量控制有着实质性的指导意义。

2 内部控制、内部审计和风险的关系（问题的提出）

国际内部审计师协会理事会于2001年对内部审计的最新定义为：“内部审计是一种独立客观的保证和咨询活动，其目的在于为组织增加价值和提高组织的运作效率，它通过系统化和规范化的方法，评价和改进风险管理、控制和治理过程的效果，帮助组织实现其目标。”

另外，内部控制和风险管理有诸多的相同点：它们都是由董事会、监事会、经理层和全体员工共同实施的；要想取得效果都需非常重视过程管理；一方面，风险评估是内部控制的五要素之一，另一方面，要进行有效的风险管理必须重视内部控制的建设。因此，内部审计是内部控制的重要手段，内部审计、内部控制都是为风险管理服务的，是风险管理的重要组成部分。

由此可见，内部审计、内部控制和风险管理三者相互依存、相互制约的，共同形成一个有机整体，为企业安全运营保驾护航，有助于组织战略目标的实现。

3 文献综述

如何加强内部审计的质量控制，也是我国学者近年来研究的热点问题。王小力（2012）认为影响内部审计质量的因素较多，内部审计机构质量控制、审计项目质量控制和审计人员质量控制是内部审计质量控制的3个直接因素。同时，内部审计质量管理可以借鉴COSO内部控制理念，这为构建内部审计质量管理框架提供了新思路。吴晓凤（2012）对内部审计质量从内部审计质量控制的目标、审计业务主体单元和内部审计的八要素3个维度进行了内部审计质量控制的设计。《中国内部审计质量评估手册（试行）》设计了内部审计质量评估指标，即可以从内部审计环境和内部审计业务两大方面进行评估，为内部审计机构进行质量控制提供了一个统一的衡量尺度。总之，内部审计质量取决于多方面的因素，包括内部审计环境、内部审计战略、内部审计人员专业胜任能力、内部审计专业管理与专业技术等，这些方面相互联系、制约，具有系统性。下面，本文在分析当前内部审计质量影响因素的基础上，借鉴COSO内部控制五要素理念，从5个方面构建内部审计质量管理控制体系。

4 基于COSO框架五要素构建内部审计质量控制体系

在COSO框架中，内部控制的5个要素分别是：控制环境、风险评估、信息沟通、控制活动和对控制的监控。基于这个思路，笔者从5个方面构建内部审计的质量控制体系，包括：内部审计环境、风险评估、信息沟通、内部审计活动和监控。

4.1 内部审计环境

控制环境提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识，是其他内部控制组成要素的基础。在内部控制五要素中，控制环境是基础，是关键，如果控制环境不好，企业的内部控制就不会好。而在内部审计建设中，内部审计环境同样也是处于至关重要的地位。内部审计环境影响全体员工的意识，为内部审计提供了基础。笔者认为，内部审计环境主要包括内部审计机构设置、人力资源政策、企业文化、治理结构、组织机构设置与权责分配等多个方面。

4.1.1 内部审计机构设置

从世界各国内部审计实践看，内部审计机构隶属关系大体有3种类型：受董事会领导、受总裁或总经理领导、受财务负责人领导。不管哪种隶属类型，都要求内部审计机构必须具有较强的独立性，独立于其他职能部门，独立于领导的意志，内部审计行为才会不受限制，内部审计结论才具有客观公正性，审计建议才能被适当采纳。在我国，目前实际上大多数内审机构在总经理直接领导下开展工作，同时接受政府审计机关和社会审计组织的指导，在部门设置上公司内部审计与其他职能部门并行，这将难以避免内部审计受各方利益牵制，难以开展独立的审计活动。实际上，内部审计部门既受公司董事会领导，又受总经理的牵制，加之董事会成员与经理成员高度重叠，这种公司治理结构和内部审计机构的设置模式使得内部审计机构的职能难以发挥。

基于此，笔者建议，内部审计部门应在董事会下设置，其地位应高于其他职能部门。同时，在审计业务上向审计委员会负责并报告业绩，在行政上向董事会负责并报告工作。以此提高内部审计的独立性，树立内部审计的权威性。

除此之外，公司审计部没有自己独立的经济来源，在很大程度上独立性会受到损害。因此，公司要为内部审计工作提供基本的经费，提供必要的设备（比如计算机硬件、软件）、办公条件及用车等，同时审计人员的工资也要有合理的保证，不能过低，这样才能保证有优秀的人才愿意到内部审计机构工作。

4.1.2 内部审计负责人

责任权限及管理理念和风格。除了上述从机构设置方面强化内部审计的独立性之外，内部审计负责人权利权限也会影响到内部审计的独立性进而影响审计质量。内部审计负责人的权限不宜过低，过低则没有话语权，会影响审计工作的开展，进而影响审计的结论和审计决议的实施。结合上述内部审计机构的设置，一般来说，内部审计应该在董事长的领导下开展工作，同时再设一名具体审计工作的负责人。

同时，内部审计负责人的管理理念是企业文化的一部分，是影响到内部审计工作方式及发展方向的重要因素，包括目标是否与组织同步、接受风险的类型和程度、对内部审计的重视程度等。为确保内部审计质量，内部审计负责人首先要对内部审计有足够的重视程度，重视内部审计工作的开展和落实；同时还要确保其管理理念与组织目标保持一致；最后，要加强对风险的关注，并为公司风险管理和预警服务。此外，内部审计负责人还要对上与组织管理层有效沟通以获得支持，对下选拔人才并以现代内部审计理念引导全体内部审计人员，起到良好的沟通和桥梁作用。

4.1.3 人力资源政策

道德价值观及专业胜任能力。内部审计是靠内部审计人员来完成的，因此，内部审计质量还受内部审计人员的道德价值观和专业胜任能力的影响。IIA和CIIA均颁布了内部审计人员职业道德规范，并将其作为内部审计人员首要的强制性遵循的规定。道德和胜任能力这两个重要的因素，相辅相成，缺一不可。现代经济的调整发展，对内部审计人员的素质提出了更高的要求。内部审计负责人在实施人力资源政策时，必须从诚信、客观、保密、应有的职业审慎等多个方面考核其道德价值观；此外，还要从其所具备的审计知识、技能以及诸如调研能力、分析能力、沟通能力、写作能力等其他能力方面进行考核。为了保持内部审计人员的职业道德及专业胜任能力，还要注重内部审计人员的继续教育。

此外，公司还要制定完善的内部审计手册。把内部审计活动、内部审计流程、内部审计人力资源政策等以明文的方式规范下来，并传达给每一个人。

4.2 风险管理

风险评估是是实施内部控制的重要环节，主要包括目标设定、风险识别、风险分析和风险应对。内部审计质量控制同样也应以风险控制为基础予以开展，内部审计质量控制的过程就是规避和降低风险的过程。内部审计的实质是揭示风险，如果内部审计不能发现并规避风险，内部审计工作就失去了意义。因此，要想做好内部审计质量控制，必须关注内部审计部门在风险评估和控制方面的成就。

内部审计质量控制应考虑的风险包括被审计单位风险和审计风险。

（1）被审计单位的风险。内部审计部门在关注被审计单位的风险时，要关注被审计单位内部因素、外部环境的影响。外部环境重点关注行业状况，诸如：所在行业的市场供求与竞争、产品生产技术的变化等因素； 还要关注和本行业有关的法律环境和监管环境有没有重大变化；此外，还应该考虑整体的经济环境对本公司有没有冲击。一般来说，公司的下列事项可能会给被审计单位带来风险：被审计单位的管理层的诚信、重要岗位人员有没有变化、公司治理结构有没有严重的缺陷、组织结构是否有效率、公司的研发水平能否跟得上行业发展的步伐、市场占有率如何、有没有重大的战略性投资活动等，因此，内部审计评价内部环境时要重点关注这几个方面来考核。

（2）审计风险。内部审计要为风险管理服务，必须关注自身的审计风险。审计风险可以从以下几个方面入手：首先是审计计划。审计计划是开展内部审计的第一步，也是整个审计工作的基础和起点。制订详尽周密的计划，有助于审计工作的开展，更能有效地发现风险。在计划中，除了对人员分工和时间作出安排之外，还要指出审计的重点领域和拟解决的重要问题。其次是审计证据的搜集。依据审计计划，搜集充分适当的审计证据是审计质量控制的基本保证。在搜集审计证据时，随着信息了解的深入，还要关注公司新的风险点，并对新的风险点进行调查，获取证据。最后，形成完善的审计报告并予以落实。内部审计报告的形成和落实，对内部审计质量控制至关重要。因为即便是审计计划和过程做得再好，如果因为某种压力或者原因，最终没有在审计报告中体现，在内部管理中也没有予以实施，内部审计质量最终会受到严重损害。基于此，完善的报告（提出问题）和落实（解决问题）是质量控制体系中关键的一步。此外，审计风险还要关注审计人员的专业胜任能力和职业道德，对内部审计人员的素质有着更高的要求。在风险管理中，还要注重各个风险管理的环节：风险的识别、风险的评估和风险的应对，三者环环相扣，紧密相连。

4.3 内部审计活动

必要的内部审计活动是内部审计质量得到保证的前提，借鉴外部审计的经验，内部审计活动流程应当包括制订详尽的计划、了解内部控制、风险评估和实质性的审计程序。风险评估在上文中已经陈述，此处不再展开。内部审计必须执行的程序应该包括：多方面的检查文件和记录，包括财务资料相关的文件和其他文件；定期和不定期对实物资产进行盘点；必要时对与外部单位的交易进行函证；同时，还要综合运用内部的信息和外部的信息进行分析，以发现可能存在的重大风险。内部审计应在分析内外部信息的基础上，对审计业务各阶段进行质量管理，以提高审计质量。

4.4 信息与沟通

内部审计质量控制离不开信息与沟通。信息与沟通能够及时、准确、完整地收集信息并以适当的方式在企业内部及外部及时传递和沟通，信息与沟通既是实施内部控制的重要条件，也是进行风险管理和内部审计的重要手段。信息与沟通贯穿于内部审计质量管理的整个过程，包括信息在企业内部和与企业外部有关方面的沟通。

（1）内部信息沟通。内部审计机构应及时准确地收集、整理与内部审计相关的信息，并确保信息在本部门、管理层、员工之间有效沟通。首先，本部门沟通有利于内部审计理念、技术和经验在部门内部充分共享并达成共识，使内部审计人员能清楚地理解自身工作与组织目标之间的关系。内部审计负责人对本部门沟通起关键的作用，其审计理念和态度会决定整个内部审计部门的环境。其次，内部审计还要重视与管理层即上级进行沟通。一方面，内部审计部门应适时把审计过程中发现的重要问题与管理层沟通，有助于内部审计部门在公司重大事项上提供建议和忠告，发挥管理职能；另一方面，内部审计部门也要通过与管理层沟通来进一步了解管理层对内部审计的要求和定位，以便于更好地调整自己的工作，为协助管理层决策和加强内部控制提供更好的服务。最后，内部审计部门还要与员工即下级做好沟通。众所周知，内部控制是全员参与的，内部审计质量的加强也同样离不开员工。公司员工对公司存在问题和风险有着更切身的了解，因此，内部审计部门在开展工作时要注重向员工搜集信息；同时，内部审计部门还是管理层与员工沟通的桥梁，一方面把员工的意见和建议反馈给管理层，另一方面也需要把管理层的理念和应对措施传递给员工来具体执行。

（2）外部信息获取。很多时候，浏览外部信息相比内部信息，更能为内部审计人员提供好的审计思路，更易于找到公司的风险点，特别是当这家公司是公众公司即上市公司时，外部信息至关重要。因此，内部审计部门在工作时，绝不应该仅仅依靠企业内部信息。要获取外部信息有多种来源：首先要关注行业协会。通过行业协会可以了解公司在行业中的地位、市场占有率、公司技术能力是否能跟得上行业发展步伐，这些都是评价公司风险的重要指标；其次，如果是上市公司，还可以从报纸、杂志、网络等多个渠道了解外部对公司的评价，再结合内部信息，来发现公司存在的重大问题和风险。

获取行业信息最经常使用且有效的办法之一，是与行业协会保持紧密联系。行业协会汇集着本行业各类信息，并设有专业研究机构，对理念和实务操作均具有指导性和引领性，从行业及时获取信息能推动内部审计质量管理的提升。

内部审计部门不管是与公司内部的员工、管理层还有本部门做内部信息沟通，还是了解外部信息时，都需要建立流畅的沟通机制，必要时可以运用信息化手段建立一个信息沟通的平台，以有利于上下级、内外部和部门内部的有效沟通。

4.5 内部审计质量监控

内部审计质量控制是一个持续、动态的过程，内部审计质量的提高，需要时时监控与改进。对内部审计质量的监控包括公司内部监控和外部评估。

（1）内部监控。内部监控可以分为两种方式，包括日常的持续监控和定期的内部评估。内部审计机构应建立持续监控体制，来对审计项目进行实时、全过程的监控。一般来说，内部审计机构负责人因为具备丰富的审计经验，其职位也具有一定的权威性，因此应当由其来担当最终监控人。此外，为了使得内部监控更有效和具体可行，内部审计机构专项审计岗位经理对自己手下的人员进行具体的监控。最终监控人需要监控全局性的问题，比如评价重要或者关键的内部控制、公司重大的事项以及管理层和治理层关心的重要问题等；而内审岗位经理则需要对审计程序的适当性和审计证据的充分性以及工作人员是否胜任进行具体监控，并就监控中的重大问题向上一级监控人即内部审计负责人报告，并对其负责。此外，定期进行内部评估也是建立内部审计质量体系的关键。内部评估小组的成员，除了包括内部审计部门的成员之外，还可以由财务部门、审计委员会以及公司内部管理层和治理层成员组成，尽量避免仅仅由内部审计部门人员来做自我评估。这种评估最好形成一种常态，每年末或者半年进行一次，随机抽取一定项目进行检查，并出具评估报告，就评估中发现的问题与内部审计机构沟通，以促使内部审计质量的提高。

（2）外部评估。国际内部审计师协会和中国内部审计协会均对内部审计的内部评估和外部评估做了规范性的要求。2012年5月，中国内部审计协会对中铁大桥局集团有限公司内部审计质量进行了评估，这也是我国第一个内部审计质量外部评估项目，标志着我国内部审计质量外部评估进入了实质阶段。外部评估形式可以采用同业检查，也可以聘请会计师事务所等专业机构检查。外部评估的方式也有很多种，比如近年来讨论的全面质量管理、ISO评估模型等。在评估时，要注重一些内部审计为组织增加价值的指标。

5 内部审计五要素之间的相互关系

上述五要素之间，并不是孤立的，而是相互联系相互制约的，其表现为：①内部审计环境是基础，是做好其他4个要素的关键。比如内部审计环境中，要求制定详细的内部控制手册，而这个手册要发挥作用，还要依赖信息与沟通要素，把手册下发到每一个员工手里，做好信息的沟通；同时在内部审计活动中，要求相关人员认真执行。内部审计环境较好，基于领导重视内部审计工作，为内部审计活动和内部审计监控奠定了良好的基础。②信息与沟通是建立内部审计质量体系的基本手段。因为不管是良好的内部控制环境，还是业务过程中的审计活动、对内部审计监控与风险管理，都离不开沟通这个手段。③风险管理是五要素的灵魂。基于前面内部审计、内部控制和风险管理的关系，内部审计和内部控制都是为管理当局进行风险管理服务的，进而实现为组织增值。因此，考核内部审计质量，离开不开风险管理这个因素。

主要参考文献

[1]COSO.企业风险管理―― 整合框架[M].方红星，译.大连：东北财经大学出版社，2005.

[2]中国内部审计协会.内部审计质量评估办法（试行）[S].2012.

[3]吴晓凤.借鉴COSO理论构建内部审计质量控制模式[J].中国内部审计，2012（9）：58-59.

[4]阎银泉.内部审计质量评价指标体系研究――基于平衡计分卡的视角[J].财会通讯，2012（33）：46-47.

[5]于伯新.依托内部控制体系开展审计质量内部评估[J].中国内部审计，2013（5）：32-33.

[6]王旭辉，时现.基于二维视角的内部审计质量保障体系研究[J].财会通讯：综合（上），2013（5） ：106-109.

[7]饶庆林，谭文浩.内部审计质量控制体系思考[J].财务通讯，2010（10）：87-88.