上市公司內部審計與外部審計工作具有天然的合作協調關係,我們以內部審計中最重要的工作內容——內部控制審計為例來分析內部審計與外部審計合作協調的可操作性。
(一)內部控制審計中內部審計與外部審計工作的合作層面分析
註冊會計師測試評價上市公司內部控制,有兩種情形:一是對上市公司年度會計報表進行審計時,為確定檢查風險而實施的內部控制測試和評價;一是接受專門委託,對上市公司的內部控制進行評價,出具《內控審核報告》。由於第二種情形本身就是專門委託事項,其審計目的與內部審計檢查公司內部控制的目的基本一致,所以,我們以註冊會計師在履行會計報表審計時的情況,考察內部審計與外部審計不同審計目的下二者之間的合作協調的方式和內容,更具有指導意義。
在會計報表審計過程中,註冊會計師往往需要了解被審計單位的內部控制,並運用控制測試評價控制風險,最終確定檢查風險的大小和重要性水平的高低,實施相應的實質性測試。在此過程中,對內部控制作出評價的目的主要是合理確證會計報表不存在重大錯報漏報。這種目的所涉及到的內控評價,局限在財務報告的可靠性目標上,而內部審計所進行的內部控制測試評價往往還涉及到確保經營效果和效率以及遵循適當的法規等目標。
上市公司內部審計所關注的內部控制主要內容包括:環境控制、業務控制、資金管理控制、會計系統控制、信息系統控制、內部稽核控制等。顯然,這些內容中包含了會計相關控制以外的其他控制,如環境控制中的治理結構控制、管理思想控制、員工素質控制等。註冊會計師在對會計報表發表審計意見時而進行的內部控制評價是為合理確定審計程式,而不是對內部控制提供可信性保證。其評價內控的目標首先是要有效促使註冊會計師在會計報表審計過程中關注被審計單位的會計相關控制及其對會計報表的潛在影響。在此基礎上形成並出具的管理建議書,根據《獨立審計準則實務公告第2號——管理建議書》,是指註冊會計師針對審計過程中注意到的、可能導致被審計單位會計報表產生重大錯報或漏報的內部控制重大缺陷提出的書面建議。這也就是西方審計理論所認為的內部控制審計的目標,一是主要目標,即通過對於內部控制系統的檢查分析,確定其可信賴的程度,為最終審計工作打下基礎,這樣可以減少工作量,節省審計資源,提高工作效率,保證審計質量;二是次要目標,即由於在對系統進行審查分析過程中獲得了大量系統內部的信息,可以對系統中的薄弱環節或效率低下的部分提出改進的建議。但是,作為次要目標的建設性意見,只是內部控制制度審計工作的一個副產品,這些意見能否被採納,將取決於企業自身的決定。因此,外部審計對上市公司內部控制的關注,只是在上市公司內部會計控制層面上的內控評價。一方面內部控制鑑證服務的目標和功能是有限的,財務報告的可靠性、遵循法規以及保證經營效率與效果等目標並不能過分依賴於內部控制的外部鑑證來完成,更多的責任仍在於企業管理當局建立健全內部控制並努力實現其有效執行;另一方面,由進行會計報表審計的註冊會計師對整個年度的整體內部控制做出評價,因成本高昂,亦是無法實現的。
以上論述說明,審計內部控制作為外部審計的一種手段,可以通過對被審計單位內部控制的測評,提高審計工作效率,保證審計質量,與此同時,其對被審計單位的內部控制測評,為公司管理當局提供的管理建議僅在一定程度上完成了內部審計的部分工作目標。因此,我們不能考慮將內部控制審計由擔任會計報表審計的註冊會計師代為執行,而只能是在內部會計控制層面,充分利用外部審計的工作。
(二)具體操作
上市公司內部審計對公司內部控制的審查和評價包括:控制環境、風險管理、控制活動、信息與溝通、監督等方面。
以下就整體內部控制內容分析上市公司內部審計在制定公司整體內部控制審計計畫時可考慮的與外部審計的合作協調。
1、控制環境評價。《內部審計具體準則第5號——內部控制審計》規定,評價組織的控制環境,其審查重點為:經營活動的複雜程度;管理許可權的集中程度;管理行為守則的健全性和有效性;管理層對逾越既定控制程式的態度;企業文化的內容及組織成員對此的理解與認同;法人治理結構的健全性和有效性;組織各階層人員的知識與技能;組織結構和職責劃分的合理性;重要崗位人員的權責相稱程度及其勝任能力;員工聘用程式及培訓制度;員工業績考核與激勵機制。
對控制環境的評價,外部審計在年報審計過程中的關注程度顯然無法滿足內部審計進行內部控制評價的要求,該環節應考慮通過由內部審計師的工作來為外部審計提供相關評價。
2、 風險管理。《內部審計具體準則第5號——內部控制審計》規定,評價組織風險管理機制的健全性和有效性,應重點審查:可能引發風險的內外因素;風險發生的可能性和預計帶來的後果;對抗風險的能力;風險管理的具體辦法及效果。
對風險管理的評價,上市公司內部審計可要求外部審計利用在審計過程中進行的會計信息的分析性覆核及相關檢查,提供有關上市公司潛在投資、融資等方面的風險提示。