上市公司内部审计与外部审计工作具有天然的合作协调关系,我们以内部审计中最重要的工作内容——内部控制审计为例来分析内部审计与外部审计合作协调的可操作性。
(一)内部控制审计中内部审计与外部审计工作的合作层面分析
注册会计师测试评价上市公司内部控制,有两种情形:一是对上市公司年度会计报表进行审计时,为确定检查风险而实施的内部控制测试和评价;一是接受专门委托,对上市公司的内部控制进行评价,出具《内控审核报告》。由于第二种情形本身就是专门委托事项,其审计目的与内部审计检查公司内部控制的目的基本一致,所以,我们以注册会计师在履行会计报表审计时的情况,考察内部审计与外部审计不同审计目的下二者之间的合作协调的方式和内容,更具有指导意义。
在会计报表审计过程中,注册会计师往往需要了解被审计单位的内部控制,并运用控制测试评价控制风险,最终确定检查风险的大小和重要性水平的高低,实施相应的实质性测试。在此过程中,对内部控制作出评价的目的主要是合理确证会计报表不存在重大错报漏报。这种目的所涉及到的内控评价,局限在财务报告的可靠性目标上,而内部审计所进行的内部控制测试评价往往还涉及到确保经营效果和效率以及遵循适当的法规等目标。
上市公司内部审计所关注的内部控制主要内容包括:环境控制、业务控制、资金管理控制、会计系统控制、信息系统控制、内部稽核控制等。显然,这些内容中包含了会计相关控制以外的其他控制,如环境控制中的治理结构控制、管理思想控制、员工素质控制等。注册会计师在对会计报表发表审计意见时而进行的内部控制评价是为合理确定审计程序,而不是对内部控制提供可信性保证。其评价内控的目标首先是要有效促使注册会计师在会计报表审计过程中关注被审计单位的会计相关控制及其对会计报表的潜在影响。在此基础上形成并出具的管理建议书,根据《独立审计准则实务公告第2号——管理建议书》,是指注册会计师针对审计过程中注意到的、可能导致被审计单位会计报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议。这也就是西方审计理论所认为的内部控制审计的目标,一是主要目标,即通过对于内部控制系统的检查分析,确定其可信赖的程度,为最终审计工作打下基础,这样可以减少工作量,节省审计资源,提高工作效率,保证审计质量;二是次要目标,即由于在对系统进行审查分析过程中获得了大量系统内部的信息,可以对系统中的薄弱环节或效率低下的部分提出改进的建议。但是,作为次要目标的建设性意见,只是内部控制制度审计工作的一个副产品,这些意见能否被采纳,将取决于企业自身的决定。因此,外部审计对上市公司内部控制的关注,只是在上市公司内部会计控制层面上的内控评价。一方面内部控制鉴证服务的目标和功能是有限的,财务报告的可靠性、遵循法规以及保证经营效率与效果等目标并不能过分依赖于内部控制的外部鉴证来完成,更多的责任仍在于企业管理当局建立健全内部控制并努力实现其有效执行;另一方面,由进行会计报表审计的注册会计师对整个年度的整体内部控制做出评价,因成本高昂,亦是无法实现的。
以上论述说明,审计内部控制作为外部审计的一种手段,可以通过对被审计单位内部控制的测评,提高审计工作效率,保证审计质量,与此同时,其对被审计单位的内部控制测评,为公司管理当局提供的管理建议仅在一定程度上完成了内部审计的部分工作目标。因此,我们不能考虑将内部控制审计由担任会计报表审计的注册会计师代为执行,而只能是在内部会计控制层面,充分利用外部审计的工作。
(二)具体操作
上市公司内部审计对公司内部控制的审查和评价包括:控制环境、风险管理、控制活动、信息与沟通、监督等方面。
以下就整体内部控制内容分析上市公司内部审计在制定公司整体内部控制审计计划时可考虑的与外部审计的合作协调。
1、控制环境评价。《内部审计具体准则第5号——内部控制审计》规定,评价组织的控制环境,其审查重点为:经营活动的复杂程度;管理权限的集中程度;管理行为守则的健全性和有效性;管理层对逾越既定控制程序的态度;组织文化的内容及组织成员对此的理解与认同;法人治理结构的健全性和有效性;组织各阶层人员的知识与技能;组织结构和职责划分的合理性;重要岗位人员的权责相称程度及其胜任能力;员工聘用程序及培训制度;员工业绩考核与激励机制。
对控制环境的评价,外部审计在年报审计过程中的关注程度显然无法满足内部审计进行内部控制评价的要求,该环节应考虑通过由内部审计师的工作来为外部审计提供相关评价。
2、 风险管理。《内部审计具体准则第5号——内部控制审计》规定,评价组织风险管理机制的健全性和有效性,应重点审查:可能引发风险的内外因素;风险发生的可能性和预计带来的后果;对抗风险的能力;风险管理的具体办法及效果。
对风险管理的评价,上市公司内部审计可要求外部审计利用在审计过程中进行的会计信息的分析性复核及相关检查,提供有关上市公司潜在投资、融资等方面的风险提示。
3、控制活动。《内部审计具体准则第5号——内部控制审计》规定,评价组织控制活动的适当性、合法性和有效性主要审查下列重点内容:控制活动建立的适当性;控制活动对风险的识别和规避;控制活动对组织目标实现的作用;控制活动执行的有效性。
内部会计控制是整体内部控制的重要组成部分,内部控制内容中的控制活动以业务流程规范和内部会计控制体现,因此,上市公司内部审计评价公司内控活动,一方面是对公司业务流程规范的符合性检查;另一方面是通过内部会计控制测试来实现其评价目标。而内部会计控制测试与评价是会计报表审计中非常重要的环节,外部审计在这方面已积累了相当丰富的经验,上市公司内部审计可以考虑将这一环节的内控检查和评价工作约定为内部审计与外部审计的主要合作内容,以便在合作中掌握内部会计控制测试的专业手段,提升内部审计的职业素质和能力,而外部审计在这一环节中与内部审计的合作,可以利用内部审计对本组织业务活动的专门知识,大大提高工作效率。
以内部会计控制“销售与收款循环”为例,注册会计师评价公司销售与收款循环的内部会计控制所执行的符合性测试程序,基本可以满足内部审计对上市公司销售与收款循环控制活动的适当性、合法性和有效性的检查目标。
销售与收款循环常规测试程序
一、抽取销售发票,作如下检查:
核对销售发票、销售合同、销售订单所载明的品名、规格、数量、价格是否一致;
检查销售合同、赊销是否经核准;核对相应的送货单副本,检查销售发票日期与送货日期是否一致;
检查销售发票中所列商品的单价并与商品价目表核对;
复核销售发票中列示的数量、单价和金额;
从销售发票追查至销售记账凭证或销售记账凭证汇总表;
从销售记账凭证或销售记账凭证汇总表追查至总分类账及明细分类账。
二、抽取一定时期内的销售发票,检查其是否连续编号,有否缺号,作废发票的处理是否正确。
三、抽取送货单,并与相关的销售发票核对,检查已发出的商品是否均已向顾客开出发票。
四、检查销售退回、折让、折扣的核准:
检查销售退回是否具有对方税务局开具的有关证明;
检查销售退回和折让是否附有按顺序编号并 经主管人员核准的贷项通知单;
检查退回的商品是否具有仓库签发的退货验收报告;
退货商品冲销会计记录是否正确;
销售退回与折让的批准与贷项通知单的签发职责是否分离;
现金折扣是否经过适当授权,授权人与收款人的职责是否分离。
五、抽取收款凭证,作如下检查:
是否将记录收款与保管现金的职责分离;收到货款是否开具收款收据;
是否定期核对记账、过账和送存银行的金额;
是否定期编制银行存款余额调节表,其编制人是否与出纳保持职责分离;
是否定期与客户对账。
4、信息与沟通。《内部审计具体准则第5号——内部控制审计》规定,评价组织获取及处理信息的能力,其审查重点为:获取财务信息和非财务信息的能力;信息处理的及时性和适当性;信息传递渠道的便捷与畅通;管理信息系统的安全与可靠。
由于外部审计在报表审计时十分关注财务信息反映上市公司经济活动的及时性和适当性,并会对形成会计信息的渠道及系统安全给予相当关注,因此,对于财务信息相关内控的评价,上市公司内部审计可考虑充分利用外部审计的工作。
(作者单位:中勤万信会计事务所、中国税务杂志社)
注:原作《上市公司内部审计与外部审计的合作协调》获“石油杯”全国上市公司内部审计优秀论文一等奖,本文为其摘选。