(一)内部审计质量管理环境
内部控制环境影响全体员工的意识,为内部控制提供了基础,包括诚信和道德价值观、管理层理念和经营风格、胜任能力、组织结构、权利和责任的分配、人力资源政策和实务等。内部审计质量管理环境也是如此,属于软控制层面,主要包括以下几个方面:1.内部审计负责人管理理念和风格。内部审计负责人的管理理念会影响到内部审计机构发展方向和管理方式,包括与组织、行业能否保持同步、接受风险的类型和程度等。为确保内部审计质量。首先,内部审计负责人要确保其管理理念与组织目标保持一致,与组织管理层保持一致;其次,内部审计负责人应坚持现代内部审计理念,强调内部审计以内部控制和风险管理为核心,强调合规性审计和绩效审计融合,强调财务审计和管理审计融合,强调事前、事中、事后审计融合,强调内部审计的建设性作用和预警作用,强调内部审计的防弊、兴利、增值;最后,内部审计负责人应以现代内部审计理念引导全体内部审计人员,并适时与组织管理层有效沟通以获得支持。2.内部审计机构设置。一是要确立内部审计机构在组织内部的地位以及报告关系。内部审计应获得组织治理与管理层明确的认可和支持,并具有独立性,这不但能确保实施审计时免受干预,同时也能充分保证审计结果更好地被利用;二是设置适当的内设机构,合理分配各岗位权利和责任,规范内部审计活动的范围,以确保内部审计机构能为管理层提供持续的、专业化的服务,实现内部审计绩效;三是建立健全内部审计专业管理机制,并保证其有效实施,是确保审计质量的制度保证。3.道德价值观及专业胜任能力。内部审计负责人的理念和内部审计机构设置的适当性,都要求有合适的内部审计人员才能实现。因此,内部审计人员的道德价值观和专业胜任能力便成了内部审计质量管理至关重要的环节。IIA和CIIA均颁布了内部审计人员职业道德规范,并将其作为内部审计人员首要强制性遵循的规定。内部审计人员的职业道德包括诚信、客观、保密、胜任和应有的职业审慎等,其中胜任是指具备所必需的知识、技能和其他能力,这些能力除了熟悉审计准则和所在行业业务知识外,还应包括熟悉经济学、管理学、信息系统等,具备较强的调研能力、分析能力、沟通能力、写作能力等。尽管内部审计人员需具备多种知识和技能,但其不应对专业技术或事项发表意见,应在适当时候获取外部协助,这也是保证审计质量的重要措施。除此之外,由于内部审计是管理的组成部分,除了科学性的一面,一定程度上也具有艺术性的一面。因此,内部审计机构应在要求内部审计人员遵循统一的、标准的工作规范时,鼓励内部审计人员的想象力和创造力。保持内部审计人员的职业道德及专业胜任能力,可以通过公开选聘、职业资格认证考试、继续教育、持续职业发展规划等方式实现。4.内部审计手册。内部审计手册是内部审计机构和内部审计负责人理念的写照,体现了本机构内部审计工作的思想。内部审计机构应根据本部门的结构和规模以及开展内部审计活动的复杂性,制定一系列指导性文件,汇编为审计手册。审计手册可以包括业务卷和行政卷,其中:业务卷可以从审计目标、审计范围、审前调查、审计方案、审计程序、工作底稿、审计报告、后续审计等方面进行指导和规范,以保证审计活动符合准则;行政卷可以从人员选聘、岗位职责、后续教育、职业发展等方面进行规范。审计手册应定期修订,以保证理念的先进性,有效贯彻和传达现代内部审计思想,指导开展内部审计工作,保持内部审计工作的有效性、规范性。
(二)内部审计风险评估
风险评估是在确定目标的基础上,识别和分析与实现目标相关的风险,并对之进行评价后,合理确定风险应对策略。内部审计质量管理在实施之前,需对内部审计风险进行评估,通过识别和分析影响质量的关键点、薄弱点,再确定管理重点。内部审计的风险可分为外部风险和内部风险。1.外部风险。外部风险主要为实施审计活动时,来自于被审计单位的风险,分为业务风险和控制风险。业务风险是被审计单位业务因受到内部因素、外部环境影响而存在的风险。比如被审计单位管理层缺乏诚信,重要岗位人员频繁变动,被审计单位业务复杂,外部环境变化导致技术落后、产品滞销等。控制风险是由于被审计单位内部控制存在缺陷或者未有效执行而产生的风险。组织控制机制按照其控制对象的不同,可以划分为实体系统的控制机制和信息系统的控制机制。其中,实体系统的控制机制包括对业务系统和资源系统的控制机制,资源系统的控制机制包括对人、财、物三方面的控制。这些系统控制机制的无效以及不衔接都将增加审计风险,比如业务系统控制失效、财务系统与业务系统控制机制不衔接、信息系统之间控制机制不衔接等,都会增加审计风险。业务风险和控制风险客观存在,内部审计人员无法降低该风险,只能通过询问相关人员、查阅相关资料、穿行测试等程序予以识别和评估。2.内部风险。内部风险主要为实施审计活动时,来自内部审计机构自身的风险,这里把它分为目标风险和路径风险。目标风险是内部审计人员对内部审计理念、组织总体目标和需求、组织其他部门管理目标等理解不到位而导致内部审计活动方向性偏离的风险。目标正确与否,关系着是否“做正确的事”。正确确定内部审计活动的目标、方向,保证内部审计活动与组织目标一致且满足治理与管理层需求,是降低审计风险、确保内部审计工作绩效的前提,否则只会事倍功半,甚至前功尽弃。路径风险是因内部审计人员的专业胜任能力、技术技能等不足等而造成的风险。路径正确与否关系着是否“正确地做事”。在“做正确的事”的前提下,只有“正确地做事”,才能有效地实现目标。内部风险主要是由于信息不对称所致。现代内部审计理念要求内部审计人员不仅面向财务,还需面向业务、面向管理。这就需要内部审计人员在开展审计工作时,在有限的时间内对一个陌生单位,甚至是陌生领域进行了解、测试,并对其进行评价和建议。虽然内部审计人员运用控制的理念和手段能开启陌生之门,但与被审计单位长期从事相关业务的管理人员相比,短期内信息很难对称,从而增加了精准确定目标及其实现路径的难度。因此,内部审计人员可以通过提高专业胜任能力、采用有效审计方法、充分收集信息等手段控制和管理内部风险。比如,可通过平时多参与行业工作会议或研讨会、单位工作会议、有关职能部门专业会议,关注行业和单位动态等方式收集信息,并在各审计项目结束后对所有信息进行汇总分析,总结被审计单位共性的问题及风险,举一反三,建立信息库,形成一套针对性较强的审计方式和方法,以降低内部风险。外部风险对内部风险有直接影响,外部风险越高,内部审计人员应收集更多的信息,实施更为详尽的审计程序,才可将内部风险降低至可接受的水平。
(三)内部审计质量管理活动
内部审计质量管理应在分析内外部风险的基础上,对审计业务各阶段进行管理。在管理活动中,应特别注重有效审计方法的充分利用。一是确保充分运用业务入手审计方法,同时综合运用账务入手审计方法、账户入手审计方法。对被审计单位各项业务至少需了解其目的、性质、业务人员、业务时间、业务地点、业务方式、监督方式、工作成本等。作为管理导向的现代内部审计,可按照管理学思路,采用业务入手审计方式收集业务信息、分析业务情况,比如,首先,可以通过总体了解、访谈、实地调查等方式获取信息;其次,分析业务结构,并将各业务归纳至业务结构不同层次、不同类别的模块中;再次,在业务结构基础上,梳理出各业务流程,并编制出业务流程图;最后,对各业务流程及其所对应内部控制进行分析。特别应当关注被审计单位各类业务和控制之间的衔接;管理职能或部门之间的衔接;各类业务信息与财务信息之间的衔接等,对于没有建立全面资源管理系统(ERP)的单位,更应注意这一点。二是确保充分评估被审计单位各业务及其控制的风险。基于上述业务结构、业务流程及其对应财务过程的分析,运用分析性复核程序,内部审计人员应对被审计单位各业务环节存在的业务问题、财务问题和会计问题进行可能性分析,发现薄弱环节,评估其风险,并确定是否已经制订了必要的控制措施进行防范。清楚地认识一般风险和特殊风险、控制措施缺陷所在,对实施审计会达到事半功倍的效果。三是确保充分运用数据式审计方法,运用审计分析模型、多维数据分析技术、数据挖掘技术等对格式化数据进行深入分析、处理,提高审计质量。
(四)内部审计质量管理信息与沟通
内部控制信息与沟通是及时、准确地收集、传递相关信息,以确保信息在组织内部、组织内外之间进行有效沟通。信息与沟通贯彻着内部审计质量管理的整个过程。1.内部信息与沟通。内部审计机构应及时准确地收集、整理适当的内部审计质量管理信息,并确保信息在本部门、组织治理与管理层有效沟通。在本部门沟通会促使内部审计理念、内部审计技术和经验在机构内部充分共享并达成共识,让内部审计人员能清楚地自我定位,明晰自身工作与他人工作、组织目标之间的关系。在本部门沟通时,要求内部审计负责人积极倾听,建立畅通的信息传递渠道,为整个内部审计机构营造一个学习、研究、讨论的氛围。与组织治理与管理层沟通至关重要,内部审计负责人应适时与组织治理与管理层沟通有关内部审计质量管理方面的事项,这不仅能使组织治理与管理层在重大事项上发挥作用,提供建议和忠告,也能进一步让管理层了解现代内部审计的作用和功能。有效的内部沟通不仅局限于语言和文字沟通,有时候行为示范的效应性或许更大。2.外部信息获取。外部信息获取主要是指内部审计机构需获取本行业有关内部审计质量管理的情况。获取行业信息最经常且有效的办法之一,是与行业协会保持紧密联系。行业协会汇集着本行业各类信息,并设有专业研究机构,对理念和实务操作均具有指导性和引领性,从行业及时获取信息能推动内部审计质量管理的提升。
(五)内部审计质量监控
1.监控内容包括审计目标的确定,审前调查需了解的业务情况和需特别关注的重大问题,审计方案的可行性,审计程序的正确性,审计证据的充分性、相关性、可靠性,审计报告的适当性,审计建议的可行性。在整个监控过程,监控人应关注内部审计人员是否具备相应知识和技能完成审计任务、是否遵循有关准则规定,项目是否存在尚未解决的重要问题,并应随时强调目标、程序及报告的关系,督导审计行为达到设定的审计目标。监控人在监控过程中应注意把握监控尺度,过分监控可能诱发实施项目的内部审计人员的依赖性,压抑着他们的创造性和想象力。因此,有效的持续监控并非对所有事项的监控,而是对重要事项,比如评价重要和关键的控制、资产的安全、重大和复杂问题、治理与管理层关注事项等有重点地进行监控。除此之外,监控人自身应保持职业谨慎,进行合理的专业判断,必须以事实为依据,做到客观公正。内部评估是内部审计机构定期或不定期地抽查一些已实施的项目进行检查。检查的内容应包括审计目标是否达到、审计方案是否适当、审计范围是否合适、审计资源是否有效利用、审计作业是否符合标准、是否过分关注细微事项、审计结论是否佐以充分的证据、审计报告是否重点突出等。评估者在评估后应与内部审计人员讨论所发现的业务缺陷,以促进内部审计人员纠正不足,提高内部审计质量。2.外部评估。外部评估包括同业检查、客户评估、专业机构检查(比如会计师事务所或管理咨询机构检查)。有关外部评估的方式有很多,近年来,探讨和尝试较多的是全面质量管理实施以及ISO评估模型的运用。不管采取什么方式对其评估,“审计生产力”的难以度量以及业绩的非标准化是评估首要考虑的问题。国际内部审计师协会发布的《质量评估手册》对执行内部评估和外部评估提供了具体规定,发布的《内部审计质量保证检查手册》对同业检查提供了指导。2012年4月,中国内部审计协会发布的《内部审计质量评估办法(试行)》确定了内部审计质量评估包括内部评估和外部评估两种形式,并对评估工作进行了原则性规范;发布的《中国内部审计质量评估手册(试行)》对内部评估和外部评估的内容、评估流程和标准等进行了阐述,并提供了多种评估工具以供使用,对内部审计质量评估的具体组织和实施工作具有指导和规范作用。综上所述,本文构建的内部审计质量管理框架以风险评估为基础,通过系统化、过程化地开展审计质量管理活动,确保审计目标的实现,为深化内部审计质量管理、提高审计有效性提供了一个新的思路和实现途径。
作者:王雷 雷洋昆