企业内部控制审计工作底稿编制指南（2011）-企业层面控制的测试-【小竹财税平台】

按照《企业内部控制审计指引》的要求，注册会计师应当采用自上而下的方法选择拟测试的控制。企业层面控制的测试是自上而下的方法中的重要步骤，本章对此展开阐述。

第一节与控制环境（即内部环境）相关的控制

控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和行动。控制环境设定了被审计单位的内部控制基调，影响员工的内部控制意识。良好的控制环境是实施有效内部控制的基础。在了解和评价控制环境时，注册会计师需要考虑与控制环境有关的各个要素及其相互联系。

在了解和测试控制环境时，注册会计师需要考虑的方面主要包括：

（1）管理层的理念和经营风格是否促进了有效的财务报告内部控制；

（2）管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化；

（3）治理层是否了解并监督财务报告过程和内部控制。

在进行内部控制审计时，注册会计师可以首先了解控制环境的各个要素，在此过程中注册会计师应当考虑其是否得到执行。因为管理层可能建立了合理的内部控制，但却未能有效执行。在了解的基础上，注册会计师可以选择那些对财务报告内部控制有效性的结论产生重要影响的企业层面控制进行测试。

《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》及其指南对注册会计师如何了解和评价控制环境给出了相关指引，结合内部控制审计业务的目的和性质，注册会计师还可以特别关注以下方面。

一、管理层的理念和经营风格

在有效的控制环境中，管理层的理念和经营风格可以创造一个积极的氛围，促进业务流程和内部控制的有效运行，同时创造一个减少错报发生可能性的环境。注册会计师可以考虑的主要因素包括（但不限于）：

（一）对胜任能力的重视

在实务中，注册会计师在了解和测试此方面内部控制有效性时可以考虑的因素包括（但不限于）：

（1）管理层是否分析一些特定岗位所承担的职责所必需的知识和技能，例如，如果被审计单位从事大量套期交易活动，则需要聘用一些熟悉套期会计的财务人员；

（2）管理层是否运用正式或非正式的职位描述定义特定职责所需执行的任务。

（二）组织结构及职权与责任的分配

在实务中，注册会计师在了解和测试此方面内部控制有效性时可以考虑的因素包括（但不限于）：

（1）管理层是否定义职权和责任的关键范围，并建立适当的重要职员报告途径；

（2）管理层是否有适当的控制管理承担重要职能（如信息技术、财务和内部审

计）的员工离职，如对离职的原因进行分析等；

（3）管理层是否将业务授权以及业务执行的责任有效地分离，并且是否已针对授权交易建立适当的政策和程序。

（三）人力资源政策与实务

人力资源政策与实务涉及招聘、培训、考核、晋升和薪酬等方面。在实务中，注册会计师在了解和测试其有效性时可以考虑的因素包括（但不限于）：

（1）被审计单位的人力资源部门是否制定适当的招聘（包括对一些重要员工的背景调查）、培训、考核、晋升、薪酬奖励（包括高级管理人员奖励）、内部调动和辞退员工政策；

（2）管理层是否作出适当行动以应对违反公司政策和程序的行为，同时与员工沟通并监控员工对这些公司政策的执行。

二、诚信和道德价值观念的沟通与落实

诚信和道德价值观念是控制环境的重要组成部分，影响到重要业务流程的设计和运行。注册会计师在了解和测试此方面有效性时可以考虑的因素包括（但不限于）：

（1）被审计单位是否有书面的行为规范并且通过各种方法使之得以贯彻落实；

（2）被审计单位是否对新员工人职时进行职业操守培训，以及是否要求员工签署行为规范声明书等；

（3）管理层是否对违反相关行为规范的行为采取适当的措施；

（4）管理层是否有使得激励员工与设定不切实际业绩目标之间得以平衡的控制。

三、治理层的参与程度

被审计单位治理层（如董事会、监事会等）通常通过其自身的活动，并在审计委员会或类似机构的支持下，监督财务报告政策和程序。注册会计师在了解和测试其有效性时可以考虑的因素包括（但不限于）：

（1）董事会、审计委员会成员是否独立于管理层，有明确的相关职责，了解并且具备适当的条件执行这些职责。注册会计师可以对审计委员会成员的背景进行了解，并获得他们执行相关职责的证据；

（2）董事会、审计委员会是否与注册会计师进行适当的互动并定期沟通，并对注册会计师提出的问题作出反馈；

（3）治理层是否充分参与了监督编制财务报告的过程，比如董事会、审计委员会是否与财务高级管理人员和内部审计人员保持高度互动；定时听取信息汇报并实行有效检查；对相关事项进行正确的提问，包括对重大会计政策和会计估计的解释等；

（4）董事会、审计委员会是否评估在有效监督下管理层和治理层凌驾于内部控制之上的风险。

第二节针对管理层和治理层凌驾于控制之上的风险而设计的控制

针对管理层和治理层凌驾于控制之上的风险（以下简称凌驾风险）而设计的控制，对所有企业保持有效的财务报告内部控制都有重要的影响。在不同的企业，管理层和治理层凌驾于控制之上的风险水平不同o m。于小企业的高级管理人员更多地参与控制的执行和期末财务报告过程，小企业的凌驾风险可能更大。小企业针对凌驾风险采用的控制，可能与大企业采用的控制不同。

因此，注册会计师可以根据对被审计单位进行的舞弊风险评估作出判断，选择相关的企业层面控制进行测试，并评价这些控制是否能有效应对已识别的可能导致财务报表发生重大错报的凌驾风险。

一般而言，针对凌驾风险采用的控制包括（但不限于）：

一、针对重大的异常交易（尤其是导致会计分录延迟或异常的交易）的控制

重大的异常交易一般指不是在被审计单位正常业务过程中产生、并且对被审计单位而言较为重大的交易。注册会计师可以了解被审计单位对于重大的异常交易的会计处理流程以及是否建立了相关的控制，并考虑对这些控制的设计及运行有效性进行测试，以确定这些控制是否能有效降低凌驾风险。

二、针对关联方交易的控制

注册会计师可以关注被审计单位的关联方交易管理及业务流程，了解企业的关联方交易是如何产生、审批以及记录在财务报表中的，在上述过程中是否存在凌驾风险，以及是否有相关的控制降低风险。在了解这些控制之后，注册会计师可以考虑对能降低与关联方交易相关的凌驾风险的控制进行测试。

三、与管理层的重大估计相关的控制

注册会计师可以了解被审计单位的财务报表中是否有对财务报表产生重大影响的会计估计，并了解管理层确定这些会计估计的过程。同时，注册会计师可以关注管理层针对这些重大会计估计的相关控制，是否能防止管理层因操纵这些重大会计估计而导致财务报表出现重大错报的风险。在了解这些控制之后，注册会计师可以考虑对能降低与重大会计估计相关的凌驾风险的控制进行测试。

四、能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制

注册会计师可以关注管理层的薪酬及激励机制，或管理层是否面J临较大的业绩压力从而导致被审计单位出现较高的凌驾风险。对于这种情况，注册会计师可以了解被审计单位是否有相应的控制，防止管理层因为激励机制及业绩压力而对财务报表作出虚假报告。在了解这些控制之后，注册会计师可以考虑对能降低与管理层动机及压力相关的凌驾风险的控制进行测试。

对于能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制，注册会计师一般可以（但不限于）考虑下列流程及相关控制：

（1）薪酬委员会（或类似机构）在公司制定薪酬及激励政策中的角色，以及薪酬激励是否通过该委员会的研究及审批，以确保激励部分不会过高从而增加人为错报的风险；

（2）管理层每年制定的预算是否是基于实际经营状况，并且通过合理的分析而编制的，以确保年度预算不会过于激进或保守从而增加人为错报的风险；

（3）内部审计部门是否会关注因管理层动机或压力而导致的错报风险，并且定期进行检查，查找被审计单位是否存在人为调整财务业绩的情况。

五、建立内部举报投诉制度

注册会计师可以关注被审计单位是否建立了内部举报投诉制度（如举报热线、电子邮件、举报信箱等）和举报人保护制度，鼓励员工对各类违法或不当行为予以举报，并严禁任何人向善意举报的人或参与调查的人施加报复。注册会计师还可以关注被审计单位对举报投诉的处理程序、办理时限和办理要求，如是否设置了专门机构对投诉内容进行调查处理等。同时，注册会计师还可关注上述相关制度是否已及时传达至全体员工。

第三节被审计单位的风险评估过程

风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。首先，被审计单位需要有充分的内部控制去识别来自内外部环境的风险，比如监管环境和经营环境的变化、新的或升级的信息系统、新的会计政策等方面。其次，充分、适当的风险评估过程应当包括对重大风险的估计，对风险发生可能性的评定以及应对方法的确定。注册会计师可以首先了解被审计单位及其环境的其他方面信息，以初步了解被审计单位的风险评估过程。

《中国注册会计师审计准则第121l号——通过了解被审计单位及其环境识别和评估重大错报风险》准则及其指南中对注册会计师如何了解和评价被审计单位的风险评估过程提供了相关指引。结合内部控制审计业务的目的和性质，实务中，在了解测试被审计单位与风险评估过程相关的内部控制时，可以考虑以下因素：

（1）被审计单位是否根据设定的控制目标，有计划全面、系统、持续地收集内外部相关信息，并结合实际情况，及时进行风险评估；

（2）被审计单位是否在目标设定的基础上，密切关注内外部主要风险因素，通过日常或定期的评估程序与方法对各种主要风险加以识别，并将各类风险进行分类整理，形成企业的风险清单；

（3）被审计单位是否在风险识别的基础上，采用定性和定量相结合的方法，按照风险发生的可能性及其影响程度等因素，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。被审计单位在进行风险分析时，是否充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性；

（4）被审计单位是否根据内部控制目标，结合风险评估结果和风险应对策略，综合运用控制措施，将风险控制在可承受范围之内。

此外，针对重大经营控制及风险管理实务采用相应的内部控制政策也属于企业层面控制的组成部分。在对内部控制进行审计时，注册会计师可以考虑以下因素中与财务报告相关的部分：

（1）企业是否建立了重大风险预警机制，明确界定哪些风险是重大风险，哪些事项一旦出现必须启动应急处理机制。应急预案、预警机制等相关的政策和方案应非常明确地传达到相关人员；

（2）企业是否建立了突发事件应急处理机制，确保突发事件得到及时妥善处理。

第四节对内部信息传递和期末财务报告流程的控制

在企业中，相关信息需要以适当方式及时识别、保存和传递，并被不同层级的人员使用，以支持财务报告目标的实现。

注册会计师可以重点关注被审计单位与财务报告相关的内部信息传递。《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》及其指南对注册会计师如何了解和评价被审计单位与财务报告相关的信息系统和沟通提供了相关指引。

针对财务报告流程的内部控制可以确保管理层按照适当的会计准则编制合理、可靠的财务报告，以对外进行报告。

期末财务报告流程对内部控制审计和财务报表审计有重要影响，注册会计师应当对期末财务报告流程进行评价。期末财务报告流程包括：

（1）将交易总额登入总分类账的程序；

（2）与会计政策的选择和运用相关的程序；

（3）总分类账中会计分录的编制、批准等处理程序；

（4）对财务报表进行调整的程序；

（5）编制财务报表的程序。

注册会计师应当从下列方面评价期末财务报告流程：

（1）被审计单位财务报表的编制流程，包括输入、处理及输出；

（2）期末财务报告流程中运用信息技术的程度；

（3）管理层中参与期末财务报告流程的人员；

（4）纳入财务报表编制范围的组成部分；

（5）调整分录及合并分录的类型；

（6）管理层和治理层对期末财务报告流程进行监督的性质及范围。

由于期末财务报告流程通常发生在管理层评价日之后，注册会计师一般只能在该日之后测试相关控制。

同时，结合财务报表审计的要求，注册会计师还应当了解管理层为确保识别期后事项而建立的程序。对于集团审计，注册会计师还应当了解合并过程，包括集团管理层向组成部分下达的指令。注册会计师可以基于对财务报告流程的了解，确定可能发生错报的环节，识别用于防止或发现并纠正错报的控制，并对控制的有效性进行评估。

第五节对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价

管理层的一项重要职责就是持续不断地建立和维护控制。管理层对控制的监督包括考虑控制是否按计划运行，以及是否需要根据情况的变化与控制作出恰当修改。控制监督可以在企业层面或业务流程、应用系统或交易层面上实施。对于企业层面或业务流程、应用系统或交易层面的监督可以通过持续的监督和管理活动、审计委员会或内部审计部门的活动以及自我评价的方式等来实现。

对控制的监督可能包括：对运营报告的复核、与外部人士的沟通、其他未参与控制执行人员的监控活动以及信息系统所记录的数据与实物资产的核对等。

在监督的组成部分中，一个有效的审计委员会可能针对企业财务方面的各项活动提出疑问。例如，审计委员会对管理层提出问题，包括对企业重大会计政策和会计估计提出问题，以获取相关了解。关于审计委员会的进一步阐述，请参考本章“第一节与控制环境（即内部环境）相关的控制”的“三、治理层的参与程度”部分。

《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》准则及其指南中对注册会计师如何了解和评价管理层对控制的监督提供了相关指引。结合内部控制审计业务的目的和性质，在了解被审计单位对控制有效性的内部监督并对其有效性进行测试时，注册会计师还可以特别考虑以下因素：

1．管理层是否定期地将会计系统中记录的数额与实物资产进行核对

管理层可能进行周期性的存货盘点或者年度的固定资产盘点，将实际盘存资产的数量与相应的明细账记录作比较。通过监盘存货，注册会计师不仅可以获取被审计单位定期盘点的证据，还可以根据实际情况，在必要时对其运行有效性进行测试。

2．管理层是否为保证内部审计活动的有效性而建立了相应的控制

内部审计部门或者执行类似职能的人员对于有效监督企业活动可能具有重要的意义。很多企业内部都有集中化的内部审计部门，通过对各业务单元或地区进行轮流视察，进行控制复核并跟进前期发现的不足之处，实施有效的监控。某些企业的内部审计部门将工作重点放在评价内部控制的设计和测试其运行的有效性上，从而识别潜在的缺陷，提供有利于管理层作出成本效益分析的信息，并据此提出改进建议。

企业对于内部审计人员的级别、胜任能力和经验应当有适当的控制。内部审计部门在企业组织内部的定位应是适当的，并且内部审计人员应有权向审计委员会或董事会汇报情况。内部审计部门的范围、职责及审计计划应与企业的需求和财务报告内部控制相适应。

3．管理层是否建立了相关的控制以保证自我评价或定期的系统评价的有效性

注册会计师可以关注被审计单位管理层对内部控制系统的评价是否有适当的范围和频率。管理层需要对内部控制进行评价，并且评价过程需由具备相应技能和了解企业控制设计和运行的人员来执行。评价的范围、覆盖深度以及频率都应是恰当的。

根据控制所应对风险的重要性和控制在降低重大错报风险方面的重要性，管理层可能分别采用不同范围和频率的评价或自我评价措施，以监督财务报告内部控制的有效性。所应对风险越高的控制，以及对于降低特定风险更为关键的控制，可能会被更频繁地测试，并由更有经验、更客观以及更具胜任能力的人员来实施。

4．管理层是否建立了相关的控制以保证监督性控制能够在一个集中的地点有效进行，如共享服务中心等

在一些被审计单位中，某些重要的监督性控制是在集中处理中心或者共享服务中心以集中化或地区化的方式执行的。这些控制可以有效地监督在分散的地点或业务分部的特定控制。

第六节集中化的处理和控制（包括共享的服务环境）

集中化的处理可以视作企业内部的一种“外包”安排，通过将部分或全部财务报告过程与负责经营的管理层相分离，以改进控制环境并取得规模效益。例如，企业可能设立共享服务中心，向内部的其他下属单位或分部提供日常的会计处理及财务报表编制服务。由于采用集中化管理可以降低各个下属单位或分部负责人对该单位或分部财务报表的影响，并且可以使财务报告内部控制更为有效，所以集中化的财务管理有助于降低财务报表错报的风险。

注册会计师在对共享服务中心执行审计程序时，可以先了解共享服务中心的服务对象以及服务范围，并分析其服务对象的财务报表重大错报风险。针对这些风险，注册会计师可以分析被审计单位是否有相关的内部控制用以降低其下属单位或分部财务报表发生重大错报的风险。

一般而言，特定服务对象单位与财务报表相关的风险越大，注册会计师在进行内部控制测试过程中可能更需要到共享服务中心或其服务对象单位测试与特定服务对象单位相关的内部控制。

如果共享服务中心的内部控制的影响较大，注册会计师可以考虑在内部控制审计工作初期就开始分析其内部控制的性质、对被审计单位的影响等，并且考虑在较早的阶段执行对共享服务中心内部控制的有效性测试，以确定其对进一步审计程序性质、时间安排以及范围的影响。

此外，一般而言，在对共享服务中心的内部控制进行了解或测试时，注册会计师还可以关注共享服务中心与财务报表相关的信息技术系统，特别是系统的复杂程度、使用的软件等因素，以选择合适的内部控制进行测试，其中包括集中处理环境下的信息技术一般控制是否有效。

对于某些被审计单位而言，上级单位可能会定期检查下属单位或分部的财务数据的真实性，以降低下属单位或分部管理层在财务报表上作出不恰当的人为调整的风险。

第七节监督经营成果的控制

监督经营成果的控制可以视为所有监督性内部控制的一种。一般而言，管理层对于各个单位或业务部门经营情况的监控是企业层面控制的重要内容。例如，被审计单位管理层可能将各个下属单位和业务部门上报的实际生产量、销售量和其他资料，与预算或预期的数字作对比分析，并且跟进差异（如有）的原因及其合理性，以确定财务报表上的金额是否有异常变动。此外，下属单位或业务部门的管理人员可能定期复核上报的财务报表的准确性，并在上报的资料上签字确认，同时下属单位或业务部门对财务报表发生的错报承担责任。

注册会计师在了解和测试与监督经营成果相关的企业层面控制时可以考虑的因素包括（但不限于）：

（1）管理层是否定期将经营成果与预算进行对比分析及复核，以分析财务资料是否存在异常情况；

（2）是否定期编制主要经营指标并对这些指标进行审阅及分析，以分析财务资料是否存在异常情况；

（3）是否定期更新经营预测，并且与期末的实际经营结果进行对比分析。

在了解监督经营成果的控制时，注册会计师可以从性质上分析这些监督经营成果的控制是否有足够的精确度以取代对业务流程、应用系统或交易层面的控制的测试。例如，如果管理层对财务报表的定期复核缺乏足够的精确度，注册会计师可能需要对被审计单位的财务报表编制流程中的内部控制进行测试。但是，如果这些监督经营成果的内部控制是有效的，注册会计师可以考虑减少对其他控制的测试。

第八节企业层面控制对其他控制及其测试的影响

不同的企业层面控制在性质和精确度上存在差异，注册会计师应当考虑这些差异对其他控制及其测试的影响。

影响控制精确度的因素包括：

（1）重要账户或列报的性质；

（2）控制本身的目标；

（3）控制所利用数据的细化程度；

（4）审计中曾经识别的错报：

（5）管理层进行调查的标准，包括控制能够防止、发现或纠正潜在重大错报的性质和大小：

（6）控制执行的一贯性：

（7）在与其他控制程序相关时，所使用数据的可靠性以及数据之间相互印证的程度。

如果某企业层面控制本身精确到足以及时防止或发现并纠正一个或多个相关认定中存在的重大错报，足以应对评估的重大错报风险，注册会计师可以不必测试与该风险相关的其他控制。

例如，被审计单位设立了银行余额调节表的监督审阅流程，并且对下属所有分级机构作出定期检查，以确定所有下属单位已经做好银行余额调节表的编制、审阅及跟踪工作。如果这个监督审阅过程中的程序有足够的精确度以复核各个下属单位的工作是否恰当，那么注册会计师可以考虑测试这个企业层面控制，并且不必对下属每个单位的银行余额调节表相关控制进行测试。

某些企业层面控制能够监督其他控制的有效性。管理层设计这些控制可能是为了识别其他控制出现的失效情况。但是，这些控制本身并不足以精确到及时防止或发现并纠正相关认定的重大错报。当这些控制运行有效时，注册会计师可以减少原本拟对其他控制的有效性进行的测试。

例如，被审计单位的财务总监定期审阅经营收入的详细月度分析报告。由于这个控制没有足够的精确度以及时防止或发现某个财务报表认定的重大错报，所以这个控制不可以完全替代注册会计师对其他控制的测试。但是，如果这个控制有效的话，可以使注册会计师修改其原本拟对其他控制所进行的测试程序。

某些企业层面控制（如某些与控制环境相关的控制）对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的，但这些控制仍然可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。

注册会计师对企业层面内部控制的评价，可能增加或减少本应对其他控制进行的测试。例如：

（1）控制环境的有效性可能影响注册会计师对其他控制测试的性质、时间和范围的安排。在控制环境存在缺陷的情况下，注册会计师可能选择增加执行审计工作的组成部分的数量，将更多的审计程序放在期末而不是中期执行，或在将期中控制测试结果更新至基准日时，改变前推程序的性质以获取更有说服力的审计证据。

（2）企业层面控制（特别是监督其他控制的控制）的有效性是影响与某项控制相关的风险因素之一。如果相关企业层面控制无效，注册会计师综合该因素及其他相关因素判断某流程层面控制的相关风险较高，则需要基于对该流程层面控制相关风险较高的判断扩大控制测试的样本规模。

本章附录4-1提供了企业层面控制的了解和测试工作底稿参考格式。

附录4-1：企业层面控制的了解和测试工作底稿示例

以下举例以一家拥有30家分公司的A股上市的大型企业为假设条件，针对项目组在实施企业层面控制测试时可以考虑的要素和方面进行实例说明，并未列示项目组所有应当考虑的控制，所列示的控制也不一定适用于所有项目的具体情况。项目组在实务工作中需要根据企业的具体情况识别控制，并根据对风险的评估选取适当的样本量进行测试（本例中样本量的选取方法仅作参考）。同时，本例仅用于举例说明针对内部控制的设计和运行有效性计划的测试程度，具体的测试过程（包括对询问和所选取样本的记录等）需另附工作底稿记录（本工作底稿示例省略）。

一、与控制环境（即内部环境）相关的控制

（一）测试控制设计和运行的有效性

1.1管理层的理念和经营风格

1.1.1了解内部控制