内部控制审计“自上而下”的方法


2008年5月和2010年4月，财政部会同证监会、审计署、银监会和保监会发布的《企业

内部控制基本规范》和《企业内部控制配套指引》，构建了我国企业内部控制规范体系，

确立了注册会计师执行企业内部控制审计制度和标准。内部控制制度的建立，意味着监管

的重点从只注重财务报告本身可靠性转向同时注重对保证财务报告可靠性机制的建设。

如何对内部控制进行审计，涉及到内部控制审计的思路。结合我国实施的风险导向审计

思路，《企业内部控制审计指引》第十条规定，注册会计师应当按照“自上而下”的方法

实施审计工作。“自上而下”的方法始于财务报表层次，以注册会计师对财务报告内部控

制整体风险的了解开始，然后注册会计师将关注重点放在企业层面的控制上，并将工作逐

渐下移至重大账户、列报及相关的认定。

一、从财务报表层次初步了解内部控制整体风险

可能导致企业财务报表产生重大错报风险的因素，一般来说源于企业的外部环境和企业

自身的环境。了解的内容主要包括：(1)行业状况、法律环境与监管环境以及其他外部因

素;(2)企业性质及对会计政策的选择和运用;(3)企业的目标、战略以及相关经营风险;(4)

财务业绩的衡量和评价。

对企业外部环境的了解，主要是为获取对企业的经营状况的总体认识。在这个环节获取

的情况，多数可能与评估企业财务报表层次的重大错报风险有关。在对经营状况有了一个

总体认识的情况下，注册会计师针对企业的财务报表制定审计计划就不会迷失方向。在了

解企业时，就会把了解和调查的重点放在企业针对不利的外部环境时其管理层是否进行了
适当的风险评估和采取了合理的应对措施上面。

二、识别企业层面控制

通过了解企业与财务报告相关的整体风险，注册会计师可以识别出为保持有效的财务报

告内部控制而必需的企业层面内部控制。注册会计师测试企业层面控制，应当把握重要性

原则，至少应当关注：

1.与内部环境相关的控制

内部环境，即控制环境，包括治理职能和管理职能，以及治理层和管理层对内部控制及

其重要性的态度、认识和措施。在评价控制环境的设计时，注册会计师应当考虑构成控制

环境的下列要素，以及这些要素如何被纳入企业业务流程：(1)对诚信和道德价值观念的

沟通与落实;(2)对胜任能力的重视;(3)治理层的参与程度;(4)管理层的理念和经营风

格;(5)组织结构;(6)职权与责任的分配;(7)人力资源政策与落实。

2.针对董事会、经理层凌驾于控制之上的风险而设计的控制

注册会计师可以根据对企业舞弊风险的评估作出判断，选择相关的企业层面控制进行测

试，并评价这些控制能否有效应对管理层凌驾于控制之上的风险。注册会计师应当特别关

注由于管理层凌驾于账户记录控制之上，或规避控制行为而产生的重大错报风险，并考虑

企业如何纠正不正确的交易处理。

3.企业的风险评估过程

包括识别与财务报告相关的经营风险和其他经营管理风险，以及针对这些风险采取的措

施。注册会计师在对企业整体层面的风险评估过程进行了解和评估时，考虑的主要因素可

能包括：(1)企业是否已建立并沟通其整体目标，并辅以具体策略和业务流程层面的计

划;(2)是否已建立风险评估过程，包括识别风险，估计风险的重大性，评估风险发生的可

能性以及确定需要采取的应对措施;(3)是否已建立某种机制，识别和应对可能对企业产生
重大且普遍影响的变化;(4)会计部门是否建立了某种流程，以识别会计准则的重大变

化;(5)业务操作发生变化并影响交易记录的流程时，是否存在沟通渠道以通知会计部

门;(6)风险管理部门是否建立了某种流程，以识别经营环境，包括监管环境发生的重大变

化。

4.对内部信息传递和财务报告流程的控制

注册会计师应当从下列方面了解与财务报告相关的信息系统：(1)对财务报表具有重大

影响的各类交易;(2)在信息技术和人工系统中，交易生成、记录、处理和报告的程序;(3)

与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项

目;(4)信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况;(5)企

业编制财务报告的过程，包括作出的重大会计估计和披露。财务报告流程的控制可以确保

管理层按照适当的会计准则编制合理、可靠的财务报告并对外报告。

5.对控制有效性的内部监督和自我评价

企业对控制有效性的内部监督和自我评价可以在企业层面上实施，也可以在业务流程层

面上实施，包括：对运行报告的复核和核对、与外部人士的沟通、对其他未参与控制执行

人员的监控活动，以及将信息系统记录数据与实物资产进行核对等。

三、识别业务层面控制

注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际内