在企業管治的理論中,內部監管被認為是其中一個最重要的主題。
董事們為了減少可能存在的風險,他們通常會制定一個內部監管系統,並定期監察著它,確保它在風險改變時,它也能即時被改變來應付未知的風險。企業管治守則建議董事們應在年報中發表他們對企業內部監管的看法及評價,當中包括內部監管的任何改變、監管範圍和質素、內部監管的強弱處等。
除了董事,核數師也有責任協助監察內部監管系統,例如看看董事對其公司的內部監管系統的評價,看看是否真實無誤(但不是評估那些評價是否包括企業現時所面對的所有風險及所用的內部監管是否能減低風險);若果發現系統出現偏差,便要即時告知董事;若發現雙方對內部監管穿的理解不同也要出聲。
要說對內部監管系統負上最大責任的單位,非內部核數師莫屬了。內部核數師負責監察內部監管系統的日常運作,以確保當企業遇到風險時,內部監管系統能作出即時應對。
對外部核數師來說,內部核數師的工作的價值是十分高的,因為那些工作可以大大減輕外部核數師的工作量,令他們能投放更多時間在其他審核工作。
根據HKSA 610 Using the work of internal auditor,外部核數師先要了解內部核數師的工作,看看是否持平,例如內部核數師在企業內的地位是否夠高?他們向誰報告?管理層又會否根據他們的報告來做決定?接著便要考慮內部核數師的能力,例如他們的人手是否足夠?他們是否有專業資格?接著便要看看他們的內部審核過程是否有系統,例如是否有適當的計劃、監督、評核和文件儲存的步驟?
當外部核數師認為內部核數師的工作是值得信賴的,他們便可進一步決定借用什麼性質的工作和工作的範圍了。那些工作必須與外部核數工作有關聯,如發現那些內審工作涉及太多主觀性或出現重大錯誤的風險太大,外部核數師必須要做多一些審核工作,例如跟從內部核數師的工作步驟對已測試事物再進行測試,看看會否得出同一結果?如用新的事物進行測試,會否有相同結果?同時,外部核數師應該定時和管理層溝通,說明他們會如何用內部核數師的工作。
儘管內部核數師的工作有其價值,外部核數師也不能全然依賴那些工作,礙於內部核數師是企業的員工,這種身分可能會影響其專業判斷,令其獨立性不高。
