上市公司内部审计与外部审计的合作与协调
(一)内部控制审计中内部审计与外部审计的合作程度分析
注册会计师对上市公司内部控制进行测试和评价有两种情况:一种是在审计上市公司年度会计报表时确定检查风险的内部控制测试和评价;一是接受专项委托,对上市公司内部控制进行评价,出具内部控制审计报告。因为第二种情况是特殊委托,其审计目的与内部审计检查公司内部控制的目的基本相同。因此,从注册会计师审计会计报表的情况出发,研究不同审计目的下内部审计与外部审计合作与协调的方式和内容,对我们更有指导意义。
在审计会计报表的过程中,注册会计师往往需要了解被审计单位的内部控制,并利用控制测试来评价控制风险,最终确定检查风险的大小和重要程度,并实施相应的实质性测试。在此过程中,评价内部控制的主要目的是合理确认会计报表不存在重大错报或遗漏。此目的所涉及的内部控制评价仅限于财务报告的可靠性目标,内部审计进行的内部控制测试评价往往涉及确保经营效果和效率、符合适当的法律法规等目标。
上市公司内部审计的内部控制主要包括环境控制、业务控制、资金管理控制、会计制度控制、信息系统控制和内部审计控制。显然,这些内容包括除会计相关控制之外的其他控制,如环境控制中的治理结构控制、管理思想控制和员工素质控制。注册会计师在对会计报表发表审计意见时进行的内部控制评价,是为了合理确定审计程序,而不是为内部控制提供可信度保证。其评价内部控制的目标是有效督促注册会计师在审计会计报表过程中,关注被审计单位与会计相关的控制及其对会计报表的潜在影响。在此基础上形成并出具的管理建议书,根据《独立审计准则实务公告第2号——管理建议书》,是指注册会计师针对可能导致被审计单位会计报表重大错报或漏报的内部控制重大缺陷提出的书面建议。这也是西方审计理论中内部控制审计的目标。一是主要目标是通过检查分析确定内部控制制度的可靠性,为最终的审计工作奠定基础,可以减少工作量,节约审计资源,提高工作效率,保证审计质量;第二个是次要目标,即由于在对系统的评审和分析过程中获得了系统内部的大量信息,可以针对系统的薄弱环节或低效部分提出改进的建议。但作为次要目标,建设性意见只是内控体系审计的副产品,能否采纳这些意见将取决于企业自己的决定。因此,外部审计对上市公司内部控制的关注只是对上市公司内部会计控制水平的内部控制评价。一方面,内部控制鉴证服务的目标和作用是有限的,过度依赖内部控制外部鉴证无法实现财务报告的可靠性、法律法规的合规性、确保经营效率和效果的目标。更多的责任还在于企业管理当局建立和完善内部控制,并努力实现其有效实施;另一方面,由于成本较高,无法由审计会计报表的注册会计师对全年的整体内部控制进行评价。
以上论述表明,审计内部控制作为外部审计的一种手段,通过对被审计单位内部控制的评价,可以提高审计效率,保证审计质量。同时,其对被审计单位内部控制的评价为公司管理当局提供管理建议,在一定程度上只是完成了内部审计目标的一部分。因此,我们不能认为内部控制审计是由审计会计报表的注册会计师进行的,而只能在内部会计控制层面,充分利用外部审计的工作。
(二)具体操作
上市公司内部审计对公司内部控制进行审查和评价,包括控制环境、风险管理、控制活动、信息与沟通、监督等。
下面就上市公司内部审计与外部审计在制定公司整体内控审计计划时可以考虑的配合与协调进行分析。
1,控制环境评价。《内部审计具体准则第5号——内部控制审计》规定,评价一个组织的控制环境应当关注:业务活动的复杂程度;管理权限的集中;管理行为准则的健全性和有效性;管理层对超越既定控制程序的态度;组织文化的内容和组织成员的理解与认同;公司治理结构的健全性和有效性;组织各级人员的知识和技能;组织结构和职责分工的合理性;重要岗位人员的职责和责任程度及其胜任能力;员工聘用程序和培训制度;员工绩效考核和激励机制。
至于对控制环境的评价,外部审计在年报审计过程中所关注的,显然不能满足内部审计对内部控制评价的要求。在这个环节中,我们应该考虑通过内部审计师的工作为外部审计提供相关的评价。
2.风险管理。《内部审计具体准则第5号——内部控制审计》规定,评价一个组织风险管理机制的健全性和有效性,应当关注以下几个方面:可能导致风险的内部和外部因素;风险的可能性和预期后果;抗风险能力;风险管理的具体方法和效果。
对于风险管理的评价,上市公司内部审计可以要求外部审计在审计过程中利用对会计信息的分析性审查和相关检查,对上市公司潜在的投融资提供风险提示。