监督要素新发展下的内部审计

刘 霞

(闽江学院，福建 福州 351008)

监督要素新发展下的内部审计

刘 霞

(闽江学院，福建 福州 351008)

为了使监督能够在企业控制系统中发挥更大的作用，COSO委员会在2009年发布了《内部控制体系监督指南》，该指南一个重要特点就是采用风险导向的监督过程。内部审计与内部控制有着天然的关系，是内部控制系统监督的一项重要机制，监督流程的发展变化必然对内部审计造成影响，文章在对监督要素研究发展过程进行总结的基础上，分析了内部审计与监督的关系，以及监督要素的发展对内部审计的影响。

监督要素;内部控制;内部审计;风险导向

一、监督要素的研究发展

监督历来与控制有着不可分割的关系，如今，监督已成为内部控制系统的要素之一，与其他要素共同作用，实现内部控制的目标，同时它又对内部控制系统的整体运行状况进行监督，是对控制的再控制。

1992年COSO委员会颁布的《内部控制——整合框架》中提出内部控制的五要素——控制环境、风险评估、控制活动、信息与沟通、监督。在该框架中，COSO委员会明确指出，监督是指对内部控制系统在一定时期内的运行质量进行评估的过程。企业可以通过持续性的监督活动、单独评估或两者并用来实现这个过程，以确保内部控制系统持续有效地运行。

2004年COSO委员会颁布了《企业风险管理——整合框架》(即ERM框架)。ERM框架在1992年控制框架的基础上，吸收了风险管理理论的最新研究成果，对内部控制的内涵进行了扩展。该框架将企业风险管理扩充为八要素:内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息和沟通、监督。监督作为八要素之一，是对企业风险管理进行监控，以确定企业风险管理的运行是否有效。ERM框架扩展和细化了内部控制，因此，监督的对象、内容等方面也随着扩大，但基本内容，如监督的基本原则和方法等，仍与1992年控制框架一致。在监督责任人方面，ERM框架突出强调了董事会和内部审计在监督中的关键作用。

为了指导较小型公众公司执行萨班斯法案第404条款，①COSO委员会于2006年发布了《较小型上市公司财务报告内部控制指南》。该指南介绍了较小型上市公司在财务报告内部控制方面的主要观点，并提出了20项基本原则，使较小型企业能更有效和高效地利用COSO控制框架。这20项基本原则中第19和20条是专门针对监督要素，即(1)持续和独立的评估使管理层确定内部控制的其他要素是否随着时间在继续发挥作用;(2)及时地识别和沟通内部控制缺陷，将其报告给负责采取纠正行动的部门和恰当的管理层和董事会。《较小型上市公司财务报告内部控制指南》认为监督是评估内部控制系统在整体应对或减轻组织实现目标的重大风险方面的有效性的一个过程。这种过程观表明监督并不是针对个别的控制要素孤立运行的有效性，而是对控制系统整体运行的有效性得出结论。

COSO委员会观察到一些组织在某些领域存在有效的监督，但是没有充分利用监督的结果来支持关于内部控制有效性的结论，特别是关于财务报告内部控制有效性的结论。相反，它们不断增加多余的、常常没必要的程序来评估控制——对于这些控制，管理层通过现有的监督已经能得到足够支持了。而有些组织未能充分利用持续监督程序或缺少必要的监督程序，这些都使得他们还要执行低效的年末评估来支持内部控制有效性的结论。②因此，COSO委员会认为有必要为有效监督内部控制和遵循萨班斯法案提供更多指南。于是，2009年COSO委员会正式颁布《内部控制体系监督指南》(以下简称监督指南)。

监督指南在1992年控制框架和2006年企业风险管理框架中确定的监督原则的基础上，构建了系统的监督模型，第一次实现了监督要素从概念阐述到理论模型的跨越式发展，极大地推动了监督要素的广泛应用。“在这些充满变数的环境中，有效监督应降低企业不能合规的风险，以及风险管理流程、关键内部控制和其他重要安全措施失效的威胁。COSO监督指南为那些真正想实施有效监督流程的企业，提供了一种通行的方法”③。

COSO委员会此次颁布的监督指南的一大特点就是强调风险导向原则。当今企业内部控制系统中广泛存在着控制过度和控制不足的现象，甚至两者并存，主要原因在于未能抓住关键的控制点。同理，监督也不应是全部一视同仁，而应抓住关键点，实行风险导向的监督机制。监督指南明确指出，监督应该要建立在对组织目标风险的分析以及对控制如何能够或不能够应对或减轻这些风险的理解的基础上。若组织没有考虑它们所要应对的风险水平或它们所提供的支持的数量而选择一系列的控制活动进行监督，效率、效果都很低。在整个监督流程中始终贯穿着风险导向的原则。

二、内部审计与监督要素的关系

1.内部审计与监督有天然的联系

在监督机制的实施过程中，有两项职能发挥着重要作用，其中重要的一项便是内部审计。内部审计是控制系统的重要环节，董事会和审计委员会对控制系统的监督多是借助于内部审计来实现的。内部审计不但影响着控制环境的建立和完善，还通过对控制系统运行的检查和评价，发现和报告存在的缺陷和漏洞，促使企业控制系统不断修复和改进。因此，内部审计是监督要素中的关键内容，事实上，很多公司的财务丑闻就是由内部审计人员发现和揭露的，④内部审计对监督的重要性可见一斑。

法约尔对管理职能进行了划分，将控制作为管理的职能之一，认为内部审计是管理控制的方法之一，是对管理控制系统的其他部分的再控制。孔茨创建了管理过程学派，他在分析管理人员为监督他们负责的计划执行情况所采取的控制手段时，将内部审计、预算、统计和损益分析并列为管理控制的工具，认为内部审计是管理控制的有效方法。⑤伦纳德指出，管理审计是对组织机构、计划、目标、经营方式及人力和物力的利用情况所进行的综合性和建设性检查，是对各层次管理能力的检查。判断潜在的危险点，突出可能的有利机会;降低成本;消除浪费和不必要的损失;观察业绩和评价控制效果，确保管理部门履行公司的方针和程序……⑥因此，内部审计与监督有着天然的联系，内部审计既是企业内部控制的一部分，也是监督内部控制其他环节的主要力量。王光远就明确指出，内部审计是受托责任系统中的内部控制机制，又是控制的确认者，监督、评价和改善内部控制是内部审计的基本职责。⑦

实践工作中对内部控制系统的监督也构成了内部审计的主要业务。澳大利亚内部审计师协会、新西兰内部审计师协会和安永(澳大利亚)会计师事务所在2004年进行了一项调查。通过对澳大利亚证券交易所前200位的公司和新西兰证券交易所前100位的公司发放调查问卷，95%的被调查者表示“内部控制确认和对风险管理程序、系统的确认”是内部审计的主要工作。如今，内部审计业务形式不断发展，但“无论财务审计还是管理审计，无论经济责任审计、工程项目审计，还是合同审计、采购审计，都只不过是内部控制这块土地上长出的新苗”⑧。因此，对内部控制的理解和把握是内部审计执业的基石，对内部控制的监督是内部审计的核心业务。

2.内部审计具有监督内部控制的胜任能力

内部审计由于自身的执业特点，被认为是内部控制专家，因此，他们完全具有监督内部控制的胜任能力。第一，内部审计部门人员构成多样化，多学科背景的审计团队使内部审计能满足不同客户的需求。第二，内部审计人员中专业背景涉及面较广，部分人员采取轮换制，核心人员则保留不变，这样内部审计部门的成员不但具有丰富的内审实务经验和深厚的审计技能，而且能够深入了解各个业务流程的运作，并能与各个部门有着良好的关系，获得其他组织成员的支持。Roth进行过一项调查，发现增值内部审计部门中75%的成员是专业人员，如注册内部审计师、注册信息系统审计师等，这些审计人员不但具有深厚的实践经验，还能熟练运用各种软件，通过数据分析解决问题。而且调查还发现若内审部门认为自身胜任能力不够，还会将业务进行外包，45%的内审部门在一定程度上将内审业务外包给更具有专业资源的机构，从而保证内审部门开展业务所需的专业胜任能力。另外，内部审计人员是企业内部的职员，能够深入了解组织内各项流程的运行，还熟悉企业内部的人际关系，这样就便于审计人员针对不同情形进行适当的安排，并能够与被审计方直接沟通，深入了解风险的变化和控制的缺陷，帮助企业不断完善控制系统，并与管理层分享良好实务的建议。

3.内部审计准则对于内部审计进行监督的支持

准则作为联系理论与实务的桥梁，是一国内部审计理论与实务发展水平最全面、具体的体现，也往往成为职业界沟通的语言、衡量服务质量的基准(Moeller，2006)。我国内部审计协会以控制为核心概念构建内部审计准则，并发布了具体准则第5号《内部控制审计准则》，对内部审计人员在执行与内部控制相关的审计活动进行规范，涉及内部控制的内容、要素以及内部控制审计的基本方法。与此相配套，我国内部审计协会还颁布了具体准则第12号《遵循性审计准则》、第16号《风险管理审计准则》、第21号《内部审计的控制自我评估准则》。遵循性审计准则是将内部控制的目标之一——对组织各方面是否遵守国家有关法律法规和组织内部章程、计划、预算以及其他标准等展开，对各种遵循性标准的遵守情况进行审查和评价。风险管理审计是对内部控制中风险管理要素的具体审查和评价加以规范。控制自我评估准则是对控制自我评估这种独特的方法以及内部审计人员如何加以运用协助管理层评估内部控制进行规范。这一系列准则的构建和对内部审计执业过程的规范，为内部控制审计奠定了扎实的基础，表明内部审计对内部控制的监督既有本身能力的保证，也有正式规范的指导。

三、风险导向监督流程对内部审计的影响

为了与风险导向的监督流程相对应，同时也是内部审计的自身要求，对于大部分内部审计师而言，进行风险评估，识别和评价风险已成为日常工作。以前的识别和评价风险只是建议性活动，而现在则成为内部审计师的一项工作职责。风险导向的监督流程对内部审计的影响主要体现在以下几点:

1.对常规审计业务的影响

风险导向的监督要求内部审计实施的审计程序应该时刻关注企业面临的风险，监督指南明确指出，并不是要对所有的控制活动进行评估，而是要将有限的监督资源集中放在对企业目标而言构成重大风险的控制上。⑨尤其在当前“后经济危机”时期，内部审计对风险的关注范围应更加广泛、更具战略意义。对于审计计划的编制，应该在对可能影响组织的风险进行评估的基础上，制定内部审计部门的审计计划。编制审计计划时，要考虑企业经营产品、服务、市场以及其他战略问题，同时也要考虑业务流程自身的风险、管理团队的能力和不同情况下个人的行为风格。对于审计范围的确定，应包含企业战略性计划的组成部分，考虑并反映整个公司的计划目标。对于审计方案的编写，应该在评估风险优先次序的基础上安排审计工作。对于审计计划的修订，应该反映出管理层的方针、目标、工作重心出现的变化。尤其是在当前阶段，处于金融危机的恢复期，经济环境不稳定，当注意到管理层为应对当前经济所采取的行动时，内部审计需要快速做好准备改变审计方向。对于审计测试的开展，在进行审计测试时，用于检查、证实风险的技术与方法应该能够反映出风险的重大性、发生的可能性及频率。对于审计报告的编制，应该传达对关键风险点控制有效性的结论和建议。为了让管理层充分理解风险的程度，在报告中应特别提出风险活动对于实现目标的关键性与后果。

2.对咨询业务的影响

国际内部审计师协会(IIA)在1999年颁布具有重要意义的内部审计新定义时，将内部审计活动总的目标界定为“评价并帮助改进组织的风险管理、控制和治理系统”。因此，内部审计不仅是在监督流程中充当内部控制的保护者，也要通过开展咨询业务作为内部控制的促进者。在这样一个处处充满不确定性的时期，提高透明度、建立完善的公司治理，以及了解风险都是企业当下亟须解决的迫切问题，为了应对这些当务之急，就要求内部审计与董事会和管理层建立更有效的合作关系，而开展咨询业务正是一个很好的方法，在开展咨询业务期间，内部审计师特别应对任何存在重大控制缺陷的环节保持警觉，并提醒管理层注意重要风险的披露和控制薄弱环节，必要情况下要提醒董事会和高管层注意。如英国保诚集团，内部审计向董事会报告重要问题，并为他们提供一个综合的风险管理观点，这让内部审计成为董事会的有力助手。2009年3月，IIA召开了由主要来自财富100强的首席审计官参加的圆桌会议，会上代表们指出，为了使组织获得更具有战略性的风险管理方法，内部审计师可以采取以下措施:提高风险评估的质量，增加风险评估的频率，做好报告工作;推动组织内部有关风险管理的讨论;将风险管理视为内部审计人员的核心技能，保证审计人员能够获得适当的风险和风险管理实务方面的培训;评价组织的业务计划，判断在组织战略中是否合理考虑到风险因素，是否进行风险监测并设置触发机制。⑩

3.对内部审计工作方式的影响

每逢艰难的商业环境，内部审计师都必须在资源有限的情况下肩负起更重大的责任。在当前处处存在不确定性的环境下，内部审计执业尤其要以风险为导向，这也正与监督指南的要求一致。应对这种情形的一种适当的对策就是采用更为灵活的工作方式，一个重要表现就是科技手段和信息技术的使用。如美国大陆航空公司的内部审计部门通过信息技术持续监督关键风险领域，使其能将更多的时间用于开发解决问题的创新方法。

在科技手段的应用同时，还需要内部审计师针对出现的各种风险，不断转变工作思路。IIA在召开圆桌会议期间，各个与会代表都认为在经济危机后期，随着财务危机的加重，开始出现了舞弊的新问题。针对这种情形，内部审计可以积极在各业务单元内开展关注舞弊风险的控制自我评估，这样做的一大优点便是能够使流程责任人意识到控制并加入到控制的讨论中。在企业各个业务单元开展控制自我评估，能够帮助内部审计师从合规性测试向检查自我评估系统的发展趋势和有效性方面转变，而且通过自我评估开展中的问卷、调查表的结果，内部审计师能够获得可能导致舞弊的控制弱点的有用信息，便可及时对舞弊行为进行预防和查处。

总之，监督指南的颁布，明确了实施风险导向的监督流程，这就要求内部审计师要结合组织战略来识别风险。这给内部审计师带来挑战，迫使他们要一直保持对企业战略、面临风险和业务流程运作的深入理解。但同时也为内部审计师的工作带来机会，使内部审计在组织中的地位日益重要，从控制合规性测试的角色，转型到提高组织的风险管理和治理流程的更具战略性的角色。

注 释:

①根据萨班斯法案第404条款的要求，管理层和审计师依据一个“适当的”内部控制框架评估公司的财务报告内部控制的有效性。大部分上市公司管理层通常都是以1992年COSO控制框架作为建设内控的范本.

②COSO委员会.内部控制体系监督指南［M］.陈汉文，等译.大连:东北财经大学出版社，2010年版，第2页.

③COSO发布内控体系监督指南［N］.中国审计报，2009－02－25.

④世界通信公司(WorldCom)的舞弊内幕就是由内部审计部副总经理Cynthia Cooper所揭发的，她也因此而成为《时代》杂志2002年度的新闻人物之一.

⑤安德鲁·钱伯斯，等.内部审计［M］.陈 华，等译.北京:中国财政出版社，1995.

⑥Leonard W P.The Management Auditing［M］.Preneice Hall Inc.，1962.

⑦⑧王光远.现代内部审计十大理念［J］.审计研究，2007，(2):24 －30.

⑨COSO委员会发布，内部控制体系监督指南［M］.陈汉文，等译.大连:东北财经大学出版社，2010年版，第24页.

⑩殷丽丽，李媛媛，译.经济危机下的内部审计战略［J］.审计研究，2010，(1):39 －44.

F239.45

A

1007－9734(2010)06－0117－04

2010－10－06

刘 霞，女，河北秦皇岛人，博士研究生，研究方向为会计审计。

责任编校:陈 强，王彩红