Local EPUB Text
3.4.2 写内控测试的工作底稿要注意的问题
未知
3.3.3 所有企业都要做内控审计吗
讲到这里,大家对于内控测试应该有了一些基本认识,那么,内控测试等于内控审计吗?是所有企业都要做内控审计吗?
答案是否定的。根据不同国家的要求,上市公司可能需要就本企业内部控制的有效性进行自我评价,披露年度自我评价结果,并聘请审计师对财务报告内部控制进行审计,出具审计意见。但非上市公司可能就没有内控审计方面的要求。所以,内控审计是一项专门的业务,一般情况下,审计师需要就内控审计单独与客户签订业务约定书。
如果审计师对一个企业既做财务报表审计,又做内控审计,一般称为“整合审计”(integrated audit)。
审计师针对内控有效性出具的意见,通常称为内控审计意见。之所以不在前面2.3.1审计意见说了什么 里探讨这个问题,主要是考虑本书是以财务报表审计为主线进行讨论的。
如果一个企业不是上市公司,那么,审计师对它的审计,很可能就只是财务报表审计,而不包含专门的内控审计。审计师虽然会了解企业的内控情况,并在认为必要的情况下,做一些内控测试,但并非一定要做内控测试。换句话说,如果审计师判断企业的内控很不完善,完全可以直接做实质性测试。
我曾经遇到一位国内民营企业的CFO,曾经是美国某上市公司的CFO,他在与审计师沟通时,对于审计师没有做内控测试表示出强烈的不满。他说,他以前所在的美国上市公司的审计师,是会对企业的内部控制做详细测试的,这种测试涵盖了所有与财务报告相关的重大科目,并逐一与客户沟通内控测试发现的例外(exception)或缺陷(deficiency)。
但其实,这家民营企业的客户只聘请审计师做财务报表审计,审计师判断内控很不好,并不打算依赖内控测试的结果减少实质性测试,因此直接做了实质性测试。
遇到这种情况,审计师应该跟客户解释一下内控测试与财务报表审计的关系,以及出具内控审计意见是一个专门的鉴证业务,以免造成不必要的误会。
与财务报表审计意见类似,内控审计意见一般也分为无保留意见、带强调事项段的无保留意见、否定意见和无法表示意见。否定意见一般对应内部控制存在重大缺陷的情况,而无法表示意见则针对审计范围受到限制的情形。
一个企业内控的有效性,与其财务报表的准确性存在一定的联系,但又不是必然的关系。
一方面,一个企业的内控好,其财务报表的准确性就相对有保障,但也不排除出现例外的情形。比方说,会计老王所在的公司,内控很好,老王也一直兢兢业业,按规矩办事。但某天他生病了,状态不好,在做账时,错把一个100万的数,做成了200万。负责审核他工作成果的老张,不巧那阵子家里出事了,也有点恍惚,没看出这个错。这样,一个平时有良好内控的企业,就可能编制出错误的财务报表。那么,审计师会因为发现财务报表的错误,就认定内部控制一定存在重大缺陷吗?这其实是一个需要综合考量的问题,我并不打算在这里展开,简单来说,首先要判断出错的原因,是偶发事件还是频发事件?其次判断错误的性质,从定性和定量的角度分别进行分析。
另一方面,一个内控一团糟,甚至没什么内控的企业,其财务报表的准确性就很难得到保证。但如果这家企业的业务比较简单,做账的人又比较规矩,企业的财务报表还是有可能编对的。这就好比门口的小卖部,全部现金交易,店主一个人自己进货自己卖,自己收钱自己做账,没什么“不相容职务分工”,也没人帮他检查记账结果。他在认真、守信的情况下,是可以自己把账记得清清楚楚,对得分毫不差的;但如果他算不明白,或存有别的想法,那可就是一笔糊涂账了。因此,一个企业不能因为它的财务报表实际上没有出现重大错报,就认为它的内控一定没问题。
总而言之,做财务报表审计,可能会涉及内控测试,但内控审计,本身是一个相对独立的“课题”。在整合审计过程中,审计师要综合考虑实质性测试和内控测试的发现,不可以割裂地看待问题。