企业内部控制审计工作底稿编制指南（2011）-自上而下的方法-【小竹财税平台】

注册会计师应当采用白上而下的方法选择拟测试的控制。

自上而下的方法始于财务报表层次，以注册会计师对财务报告内部控制整体风险的了解开始，然后，将关注重点放在企业层面的控制上，并将工作逐渐下移至重要账户、列报及其相关认定。随后，确认其对被审计单位业务流程中风险的了解，并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。

自上而下的方法分为下列步骤：

（1）从财务报表层次初步了解内部控制整体风险；

（2）识别、了解和测试企业层面控制；

（3）识别重要账户、列报及其相关认定；

（4）了解潜在错报的来源并识别相应的控制；

（5）选择拟测试的控制。

本章第一节至第四节对上述步骤（2）至（5）进行概述。第四章、第五章分别对上述步骤进一步展开论述。

第一节识别、了解和测试企业层面控制

一、企业层面控制的内涵

企业的内部控制分为企业层面控制和业务流程、应用系统或交易层面的控制两个层面。

业务流程、应用系统或交易层面的控制为应对交易和账户余额认定的重大错报风险而设计，通常在业务流程内的交易或账户余额层面上运行，其作用通常能够对应到具体某类交易和账户余额的具体认定。业务流程、应用系统或交易层面的控制主要针对交易的生成、记录、处理和报告等环节，在内部控制要素中的“控制活动”要素中，除业绩评价控制外的绝大部分控制可归类为业务流程、应用系统或交易层面的控制。

企业层面控制通常为应对企业财务报表整体层面的风险而设计，或作为其他控制运行的“基础设施”，一般在比业务流程更高的层面上乃至整个企业范围内运行，作用比较广泛，通常不局限于某个具体认定。企业层面控制包括下列内容：

（1）与控制环境（即内部环境）相关的控制；

（2）针对管理层和治理层凌驾于控制之上的风险而设计的控制；

（3）被审计单位的风险评估过程；

（4）对内部信息传递和期末财务报告流程的控制；

（5）对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价。

此外，集中化的处理和控制（包括共享的服务环境）、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。

二、企业层面控制对其他控制及其测试的影响

不同的企业层面控制在性质和精确度上存在差异，注册会计师应当从下列方面考虑这些差异对其他控制及其测试的影响：

1．某些企业层面控制，例如某些与控制环境相关的控制，对重大错报是否能够被及时防止或发现的可能性有重要影响，虽然这种影响是间接的，但这些控制可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。

例如，被审计单位是否制定了合适的经营理念以及管理基调对于一个有效的内部控制是非常重要的。虽然这些与控制环境相关的控制与某个财务报表认定没有直接关联，同时这些控制有效并不能取代注册会计师为对财务报表认定相关的内部控制的有效性作出结论而所需获得的证据，但是由于这些控制可能会对其他控制的有效运行，以及注册会计师对财务报表是否存在重大错报的风险评估带来普遍性影响，所以注册会计师可能需要考虑这些控制是否存在缺陷，以制定对其他控制所执行的程序。

2．某些企业层面控制能够监督其他控制的有效性。管理层设计这些控制可能是为了识别其他控制可能出现的失效情况。但是，这些控制本身并不能精确到足以及时防止或发现相关认定的重大错报。当这些控制运行有效时，注册会计师可以减少原本拟对其他控制的有效性进行的测试。

例一：某电子游戏软件开发企业开设有大量的银行账户，企业的会计职员负责根据事先确定时间表（一些账户的截止日期不同）编制账户的银行存款余额调节表。通过询问管理人员，注册会计师得知该企业的财务总监是一位经验丰富的会计师，每月审查该会计职员编制的银行存款余额调节表，以确定是否及时编制了调节表、编制调节袁过程中识别的调节项目的性质以及调节项目是否得以及时解决等。

财务总监审查的目的是查看会计职员的工作，而不是重新执行该控制。财务总监对调节表的审查的精确度本身不足以发现错报。但是，财务总监的的审查仍然可以影响注册会计师的风险评估。注册会计师通过询问、检查文件获取关于财务总监审查的证据，评价该审查的有效性，并且根据评估的风险水平确定所需直接测试的调节控制的数量。如果认为财务总监审查有效且没有其他风险迹象，注册会计师可以减少对调节控制的直接测试。

3．某些企业层面控制本身能精确到足以及时防止或发现一个或多个相关认定中存在的重大错报。如果一项企业层面控制足以应对评估的重大错报风险，注册会计师可能不必测试与该风险相关的其他控制。一般而言，注册会计师可以分析某个控制是否有足够的精确度以及时防止或发现财务报表重大错报，并考虑以一FN『素：

（1）内部控制对应的重要账户及列报的性质；

（2）对于某些比较稳定或具备预期内在关系的账户，管理层实施的分析对发现重大错报具有足够的精确度；

（3）管理层分析的细化程度。

一般而言，一个更精确的企业层面控制会对账户按照产品、地区作更细化的分析，并与其他资料进行比较分析，以确定财务报表相关认定的准确性。

例二：甲公司是生产交通运输工具用的替代燃料产品和系统的企业。所有工厂雇员人数大致相同，每周工作六天，每天两班次。其财务总监在公司已有10年，非常了解业务流程，包括工资流程。他审查由会计集中核算部门编制的每周工资汇总报告。由于公司扁平的组织结构和较小的规模，加上财务总监在企业的工作背景、对企业业务淡旺季、生产周期和工作流程十分了解，熟悉预算和报告流程，财务总监能迅速识别工资不当的信号及其内在的原因，如与某个项目、加班、聘用或临时解聘等情况相关。必要时，财务总监将展开调查以确定是否出现错报或者内部控制运行无效，并采取整改措施。根据对控制环境和针对管理层凌驾于控制之上的风险的控制实施的审计程序，注册会计师发现，该财务总监展示出诚信的品质，并致力于有效的内部控制。

注册会计师评价财务总监审查的有效性，包括其精准度。注册会计师询问了财务总监的审查过程，并且获取了审查的其他证据。注册会计师注意到，财务总监调查确定的临界值（超过该金额的差异作为重大差异进行调查），足以发现导致财务报表重大错报的错报。注册会计师选择了一些财务总监标记的、偏离预期值的重大差异，并确定财务总监是否已恰当调查了差异，以确定这些差异是否由错报导致。注册会计师认为，鉴于财务总监进行审查的方式旨在发现错报，审查工作可以发现工资处理的错报。

但是，注册会计师认为该项控制需要依赖企业rr系统生成的报告，只有当对这些报告的完整性和准确性的控制有效时，财务总监的审查才能有效。在测试了相关计算机控制以后，注册会计师认为财务总监的审查结合针对工资汇总报告的相关控制，能够实现上述工资处理方面的控制目标。

正是由于企业层面控制的上述作用，注册会计师应当识别、了解和测试对内部控制有效性结论有重要影响的企业层面控制。注册会计师对企业层面控制的评价，可能增加或减少本应对其他控制所进行的测试。此外，由于对企业层面控制的评价结果将影响注册会计师测试其他控制的性质、时间安排及范围，所以注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。在完成对企业层面控制的测试后，注册会计师可以根据测试结果评价被审计单位的企业层面控制是否有效，并且计划需要测试的其他控制及对其他控制所执行程序的性质、时间安排和范围。

本指南第四章将对企业层面控制的了解和测试展开阐述。

第二节识别重要账户、列报及其相关认定

一、识别重要账户、列报及其相关认定的方法

注册会计师在确定重要性水平之后，应当识别重要账户、列报及其相关认定。

如果某账户或列报可能存在一个错报，该错报单独或连同其他错报将导致财务报表发生重大错报，则该账户或列报为重要账户或列报。如果某财务报表认定可能存在一个或多个错报，这个或这些错报将导致财务报表发生重大错报，则该认定为相关认定。某认定是否为相关认定，因被审计单位和账户而异。

在识别重要账户、列报及其相关认定时，注册会计师应当从定性和定量两个方面作出评价，包括考虑舞弊的影响。

超过财务报表整体重要性的账户，无论是在内部控制审计还是财务报表审计中，通常情况下被认定为重要账户。一个账户或列报，其金额超过财务报表整体重要性越多，该账户或列报被认定为重要账户或列报的可能性就越大。但是，一个账户或列报的金额超过财务报表整体重要性，并不必然表明其属于重要账户或列报，因为注册会计师还需要考虑定性的因素。同理，定性的因素也可能导致注册会计师将低于财务报表整体重要性的账户或列报认定为重要账户或列报。

从性质上说，注册会计师可能因为某账户或列报受固有风险或舞弊风险的影响而将其确定为重要账户或列报，因为即使该账户或列报从金额上看并不重大，这些固有风险或舞弊风险很有可能导致重大错报（该错报单独或连同其他错报将导致财务报表发生重大错报）。例如，某负债类账户很可能被显著低估，则该负债类账户应被确定为重要账户。对于其他账户而言，由于财务报表使用者的预期，也可能从性质上来看是重要的。

为识别重要账户、列报及其相关认定，注册会计师应当从下列方面评价财务报表项目及附注的错报风险因素：

（1）账户的规模和构成；

（2）易于发生错报的程度；

（3）账户或列报中反映的交易的业务量、复杂性及同质性；

（4）账户或列报的性质；

（5）与账户或列报相关的会计处理及报告的复杂程度；

（6）账户中反映的交易或余额遭受损失的风险；

（7）账户或列报中反映的活动引起重大或有负债的可能性；

（8）账户记录中是否涉及关联方交易；

（9）账户或列报的特征与前期相比发生的变化。

注册会计师不仅应当在重要账户或列报层面考虑风险，而且应当深入账户或列报的明细项目（例如，固定资产账户由机器设备、房屋建筑物等部分组成），如果某账户或列报的各明细项目存在的风险差异较大，被审计单位可能需要采用不同的控制以应对这些风险，注册会计师应当分别予以考虑，并针对各自的风险设计审计程序。

在识别重要账户、列报及其相关认定时，注册会计师不应考虑控制风险的影响，因为内部控制审计的目标本身就是评价控制的有效性。

在确定某账户、列报是否重要和某认定是否相关时，注册会计师应当将所有可获得的信息加以综合考虑。例如，在识别重要账户、列报及其相关认定时，注册会计师还应当确定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因，确定重大错报的可能来源。

以前年度审计中了解到的情况影响注册会计师对固有风险的评估，因而应当在确定重要账户、列报及其相关认定时加以考虑。以前年度审计中识别的错报会影响注册会计师对某账户、列报及其相关认定固有风险的评估。

在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素，与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。

附录2-1提供了确定重要账户及相关认定工作底稿参考格式。

二、识别重要账户、列报及其相关认定应用示例

以下举例说明注册会计师如何识别重要账户、列报及其相关认定。

例三：A公司的年度管理费用总额为1亿元。年度管理费用的核算比较简单。错误或舞弊导致管理费用发生重大错报的固有风险很低。在以前年度审计中从未发现管理费用存在错报，也从未发现过相关控制缺陷。注册会计师确定的财务报表整体重要性金额为2000万元。

根据以上信息，注册会计师确定管理费用账户属于重要账户，并确定“发生”和“完整性”为该重要账户的相关认定。例四：假设A公司的固定资产总额为2’700万元。固定资产的确认比较简单，以前年度发生的错报并不重大。其他情况如下：

（1）以前年度未发现与固定资产相关的控制缺陷；

（2）A公司的控制环境较强；

（3）绝大多数的固定资产较为庞大或无法移动；

（4）固定资产分布于多个组成部分；

（5）由于错误或舞弊导致固定资产发生重大错报的固有风险很低；

（6）固定资产的增加或减少金额并不重大；

（7）固定资产没有减值迹象。

综合对定量因素（例如，固定资产余额并非显著高于财务报表整体重要性，并且固定资产的增加或减少并不重大）和定性因素（例如，固定资产没有减值迹象，以前年度采发现与固定资产相关的控制缺陷，并且A公司的控制环境较好）的分析，注册会计师确定固定资产账户不属于重要账户。

例五：B公司是一家金融机构，拥有多家分支机构。该公司的资产总额为1 ooO亿元，拥有定期存款500亿元，财务报表整体重要性为1亿元。从以前年度审计情况来看，对定期存款账户，未发现控制缺陷，也未作出审计调整。该账户是由大量小额明细账户构成的，注册会计师认为由于舞弊或错误导致的重大错报风险为低水平。

尽管定期存款的重大错报风险为低水平，但由于该账户金额远远超过财务报表整体重要性，注册会计师仍将其确定为重要账户。

例六：c公司拥有7500万元的商誉，该商誉是两年前通过收购业务形成的，之后c公司未发生收购业务。注册会计师确定的财务报表整体重要性为2000万元。

注册会计师确定商誉属于重要账户，相关认定为计价、列报与披露。

第三节了解潜在错报的来源并识别相应的控制

在内部控制审计中，注册会计师应当实施程序以了解被审计单位流程中可能导致潜在错报的来源和识别管理层为应对这些潜在错报风险而执行的控制。

一、了解潜在错报的来源

注册会计师应当实现下列目标，以进一步了解潜在错报的来源，并为选择拟测试的控制奠定基础：

（1）了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记录；

（2）验证注册会计师识别出的业务流程中可能发生重大错报（包括由于舞弊导致的错报）的环节；

（3）识别被审计单位用于应对这些错报或潜在错报的控制；

（4）识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。

注册会计师应当亲自执行能够实现上述目标的程序，或对提供直接帮助的人员的工作进行督导。

二、穿行测试

（一）穿行测试概述

穿行测试通常是实现上述目标和评价控制设计的有效性以及确定控制是否得到执行的有效方法。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。

在下列情况下，注册会计师通常实施穿行测试：（1）存在较高固有风险的复杂领域；（2）以前年度审计中识别出的缺陷（需要考虑缺陷的严重程度）的领域；（3）由于引入新的人员、新的系统、收购和采取新的会计政策而导致流程发生重大变化。

如果注册会计师首次接受委托执行内部控制审计，通常预期会对重要流程实施穿行测试（在实施穿行测试时，可以利用他人的工作）。

（二）穿行测试的作用

穿行测试的作用包括：

（1）确认注册会计师对下列事项的了解是否正确：

①交易的整个过程，包括主要输入和输出数据，以及交易如何产生并得到授权、记录、处理和报告；

②财务报告内部控制（包括与预防或发现舞弊相关的控制）的设计；

③确定业务流程是否已涵盖了所有可能存在由于错误或舞弊导致相关财务报表认定出现重大错报的环节，以此确认该业务流程的完整性；

④可能发生的交易类型；

⑤关联方交易的影响；

⑥使用服务机构的影响。

（2）识别被审计期间业务流程（包括支持该流程的计算机应用程序）发生的所有重大变化、变化的性质以及对相关账户的影响。

（3）评估控制的有效性。在评估设计有效性时，可以考虑以下事项：

①该控制是否能够实现控制目标；

②控制程序的执行是否及时；

③所设计的控制执行的精细度和精确度；

④职责分配的适当性。

（4）确认控制是否得到执行。

（5）确认注册会计师需要就哪些控制的运行有效性获取证据。

在实施穿行测试时，注册会计师应当评估所获取证据的质量并实施程序以获取能够实现上述目标的证据。

（三）穿行测试包括的程序

穿行测试涵盖交易生成、授权、记录、处理和报告的整个过程，以及识别出的重要流程中的控制，包括针对舞弊风险的控制。一般而言，对每个重要流程，选取一笔交易或事项实施穿行测试即可。如果被审计单位采用集中化的系统为多个组成部分执行重要流程，则可能不必在每个重要的组成部分选取一笔交易或事项实施穿行测试。

穿行测试包括：

（1）向实际执行控制的人员进行询问；

（2）观察控制的执行；

（3）查阅在执行控制时使用的或由于执行该控制而生成的文件；

（4）将支持性文件（如销售发票、合同和提货单）与会计记录进行比较。

因此，注册会计师在实施穿行测试时往往综合运用询问、观察、检查和重新执行，穿行测试是一种评估设计有效性的有效方法。

在实施穿行测试时，对于每个发生重要处理程序或控制的节点，注册会计师应当询问相关人员对既定程序和控制规定的了解，并确定相关人员是否根据其设计的原意及时执行这些处理程序或控制。注册会计师应当关注那些不符合既定程序和控制规定的例外事项。

注册会计师应当使用与被审计单位人员使用的相同的文件和信息技术对业务流程实施穿行测试，并向参与该流程或控制重要方面的相关人员进行询问。为此，注册会计师可能需要通过不止一次的访谈，询问执行该流程中重要程序和控制的人员。在制定访谈计戈Ⅱ时，注册会计师要考虑与相关人员会面的顺序，以适当跟踪交易过程。

为佐证穿行测试中各个测试节点的信息，注册会计师可以请相关人员描述其对此前和此后处理或控制活动的了解，并演示具体操作。此外，注册会计师在询问中还应提出更深入的问题，以便识别无效控制或舞弊迹象。

注册会计师可以使用下列问题向相关人员进行询问：

（1）依据什么确帘是否出现错误（而不是简单地问他们是否实施了既定程序和控制）；

（2）如果发现错误怎么处理；

（3）曾经发现什么类型的错误；

（4）发现错误的后果是什么；

（5）错误是如何解决的；

（6）是否曾被要求忽略或回避该流程或控制，如有这种情况，请描述具体情况，发生的原因以及如何解决的。

如果被询问的人员从未发现任何错误，注册会计师应当评估出现这种情况的原因是因为存在有效的预防性控制还是因为执行控制的人员缺乏必要的技能。注册会计师在记录穿行测试时，要包含询问的问题和得到的答复。

执行穿行测试时实施的询问和检查文件的程序通常足以使注册会计师就控制是否得到执行得出结论，但通常不足以测试控制的运行有效性。在某些情况下，特别是对某些风险较低或较简单的人工或自动控制，实施穿行测试可能提供有关控制运行有效性的充分证据，这取决于与控制相关的风险、穿行测试中实施的程序以及实施这些程序的结果。

在所审计期间，如果交易过程发生了重大变化，包括计算机应用程序或负责执行程序或控制的人员的重大变化，注册会计师应当评估变化的性质及其对相关账户的影响，以确定是否需要同时对变化前和变化后的交易过程实施穿行测试。

穿行测试通常仅跟踪一笔交易的过程。例如，在支付流程中，如果对于超过一万元的付款必须有更高层级的审批（即补充关键控制），注册会计师通常不需要选择第二笔交易（即一个低于一万元的付款和一个高于一万元的付款）来实施穿行测试程序，而只需选取一笔超过一万元的付款交易。对一笔交易的付款过程实施穿行测试，并补充实施询问和其他程序对所有付款（包括低于或高于一万元的付款）审批的控制可能就已经足够。

第四节选择拟测试的控制

一、选择拟测试控制的基本要求

注册会计师应当针对每一相关认定获取控制有效性的审计证据，以便对内部控制整体的有效性发表意见，但没有责任对单项控制的有效性发表意见。

注册会计师应当对被审计单位的控制是否足以应对评估的每个相关认定的错报风险形成结论。因此，注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。

对特定的相关认定而言，可能有多项控制用以应对评估的错报风险；反之，一项控制可能应对评估的多项相关认定的错报风险。注册会计师没有必要测试与某项相关认定有关的有控制。

在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何。

二、选择拟测试的控制的考虑因素

注册会计师在选取拟测试的控制时，通常不会选取整个流程中的所有控制，而是选择关键控制，即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效力证据且测试最有效率的控制。每个重要账户、认定和重大错报风险至少应当有一个对应的关键控制。

在选择关键控制时，注册会计师需要考虑：（1）哪些控制是不可缺少的？（2）哪些控制直接针对相关认定？（3）哪些控制可以应对错误或舞弊导致的重大错报风险？（4）控制的运行是否足够精确？

选取关键控制需要注册会计师作出职业判断。注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制。

在采用自上而下的方法执行内部控制审计时，如果识别并选取了能够充分应对重大错报风险的控制，则不需要再测试针对同样认定的其他控制。注册会计师在考虑是否有必要测试业务流程、应用系统或交易层面的控制之前，首先要考虑测试那些与重要账户的认定相关的企业层面控制的有效性。如果企业层面控制是有效的且得到精确执行，能够及时防止或发现并纠正影响一个或多个认定的重大错报，注册会计师可能不必就所有流程、交易或应用层面的控制的运行有效性获取审计证据。

注册会计师应当选择测试那些对形成内部控制审计意见具有重大影响的控制。对于与所有重要账户和列报相关的所有相关认定，注册会计师都需要取得关于控制设计和运行是否有效的证据。如果存在多个控制均应对相关认定有关的重大错报风险，注册会计师通常会选择那个（些）能够以最有效的方式予以测试的控制。

企业管理层在执行内部控制自我评价时选择测试的控制，可能多于注册会计师认为为了评价内部控制的有效性有必要测试的控制。管理层的这种决定，不影响注册会计师的控制测试决策，注册会计师只需要测试那些对形成内部控制审计意见有重大影响的控制。

附录2-1：确定重要账户及相关认定工作底稿参考格式

被审计单位名称：

财务报表整体重要性：

实际执行的重要性：

注释：注册会计师可以解释识别重要账户的定性或定量依据。例如，超过财务报表整体重要性的账户为何不是重要账户；未达到报表整体重要性的账户为何是重要账户等。