内部审计质量管理旨在通过合理确定审计目标、准确划定审计路径、严格规范审计操作,来掌控和降低审计风险,提高审计质量和效率,以增加组织价值、促进组织目标实现。本文在分析当前内部审计质量管理现状和局限性的基础上,借鉴COSO内部控制理念,构建内部审计质量管理框架,以期突破局限,深化内部审计质量管理。 一、当前内部审计质量管理的现状和局限性 内部审计质量作为内部审计的安身立命之本,一直受到极大重视。IIA曾于2001年和2002年连续两届年会把内部审计质量管理作为大会的中心议题之一。近年来,IIA致力于在全球范围内推广内部审计质量评估,出台并不断修订《质量评估手册》,不断推动内部审计质量管理。中国内部审计协会于2009年成立质量评估委员会,于2012年4月发布了《内部审计质量评估办法(试行)》和《中国内部审计质量评估手册(试行)》,初步建立了我国内部审计质量评估机制。与内部审计质量管理的要求相比,当前我国内部审计质量管理实务还存在一些差距,主要表现在以下几个方面: 第一,紧密围绕审计目标不够。内部审计作为治理与管理层职能的延伸,去审查和评价同级或者下级单位的业务活动及内部控制情况,其目的是满足管理需求,增加组织价值,促进组织目标实现。因此,保证内部审计质量的首要问题,就要紧密围绕审计目标,以审计目标为导向建立健全内部审计质量管理机制。内部审计的重要特点就是审计目标的多元化和非标准化,审计质量管理必须围绕审计目标的实现而进行。而目前内部审计质量管理实务主要侧重考虑审计实施、审计报告是否符合有关准则规定,并未深入考虑审计目标是否与组织目标高度一致、是否与组织文化和管理理念充分合拍、是否及时满足治理与管理层因时因地的需求。 第二,以风险控制为基础不够。内部审计质量管理应考虑各种风险,包括被审计单位风险和审计风险等,并以风险控制为基础予以开展。内部审计质量管理的过程就是回避、降低风险的过程。而目前内部审计质量管理实务中考虑外部和内部风险不够。 第三,系统化管理不够。内部审计质量取决于多方面的因素,包括内部审计环境、内部审计战略、内部审计人员专业胜任能力、内部审计专业管理与专业技术等,这些方面相互联系、制约,具有系统性。而目前内部审计质量管理实务更多关注的是规范审计项目的操作,全方位、多层次、系统化地考虑审计质量管理不够。 第四,过程管理不够。内部审计包括进行审前调查、审计计划、审计实施、审计报告、后续审计等阶段,内部审计质量管理需对整个审计过程中的每个阶段进行过程管理,只有控制好每个阶段的质量,才能保证内部审计项目整体的质量。而目前实施的内部审计质量管理更多的是对审计事项进行事后检查和复核,实时的、过程化的审计质量管理不够。 二、内部审计质量管理与COSO内部控制理念 (一)内部审计质量管理需要以风险评估为基础,开展系统化、过程化的管理 内部审计是组织内部一种独立客观的确认和评价活动,它通过审查和评价业务活动及内部控制的适当性、合法性和有效性来促进组织目标实现。因此,内部审计质量管理首先就要紧密围绕组织目标、审计目标,一切审计质量管理机制均应在审计目标引导下建立;其次,内部审计的对象是“业务活动及内部控制”,业务活动及内部控制都存在风险,同时这些风险也增加了审计自身的风险,这就意味着内部审计质量管理既要关注被审计单位风险,同时也要警惕审计风险,一切管理活动要以风险控制为基础;再次,内部审计作为一项确认和评价活动,面向业务和管理,其受到内、外各个因素影响,且整个审计过程中各方面相互牵涉和制约,这就要求内部审计质量管理不能仅从操作层面考虑,必须系统进行;最后,内部审计是一项复杂的专业活动,对其质量进行管理,需加强过程监控,只有过程受控,才能结果可控。 总之,内部审计质量管理应是一项紧密围绕目标,以风险控制为基础,通过过程受控、达到结果可控的过程,具有系统化、过程化的特点,其强调目标、风险、过程三者的结合,是一个不断修正的动态过程。 (二)COSO内部控制理念能够满足内部审计质量管理的要求 COSO所提出的内部控制是指组织管理层和全体员工实施的,旨在实现控制目标的过程,其包括控制环境、风险评估、控制活动、信息与沟通、监控五个相互关联的构成要素。控制目标是合理保证以下五个方面:一是经营管理合法合规;二是资产安全;三是财务报告及相关信息真实完整;四是提高经营效率和效果;五是促进组织实现发展战略。 内部控制围绕着组织的业务、财务、法务及战略实施,其理念与内部审计质量管理理念是相吻合的,主要体现在以下几个方面:一是内部控制促进组织战略目标实现。控制是确保某事得以完成而采取的行动,各种控制又是用于确保行动有效的手段,控制和控制手段都应针对所要达到的某一目的或目标,谈论控制而不论述他们用于达到的目标,是毫无意义甚至事与愿违的。内部审计作为内部控制组成部分,其目标与内部控制目标是一致的,均为促进组织战略目标实现,增加组织价值,内部审计质量管理也应在该目标指引下实施。二是内部控制以风险评估为基础.关注重要业务事项和高风险领域。在实施内部审计质量管理时,同样需要以风险控制为基础,考虑重要性原则,分层次、有重点地进行管理。三是内部控制具有系统化、过程化的特点。内部控制覆盖并渗透到组织各项业务和事项之中,贯穿决策、执行和监督全过程,各要素之间相互影响,具有系统化和过程化的特点。四是内部控制具有动态性。内部控制是一个动态演变的过程,它不是一项僵硬的制度或规定,其应当与组织经营规模、业务范围、竞争状况和风险水平等相适应,没有两个组织的内部控制是完全相同的,也没有一个组织的内部控制在不同时期是完全相同的,内部控制在实施时要随着情况的变化及时加以调整。同样,在进行内部审计质量管理时,也需要考虑人员、时间、环境和风险等各种情况,审时度势不断加以调整和修正,内部审计质量管理也是一个不断完善的动态过程。