《企业内部控制审计指引》之实施审计工作

　　（一）自上而下的方法

　　审计指引第十条规定，注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。

　　自上而下的方法按照下列思路展开：

　　1.从财务报表层次初步了解内部控制整体风险；

　　2.识别企业层面控制；

　　3.识别重要账户、列报及其相关认定；

　　4.了解错报的可能来源；

　　5.选择拟测试的控制。

　　在财务报告内控审计中，自上而下的方法始于财务报表层次，以注册会计师对财务报告内部控制整体风险的了解开始。然后，注册会计师将关注重点放在企业层面的控制上，并将工作逐渐下移至重大账户、列报及相关的认定。这种方法引导注册会计师将注意力放在显示有可能导致财务报表及相关列报发生重大错报的账户、列报及认定上。之后，注册会计师验证其了解到的业务流程中存在的风险，并就已评估的每个相关认定的错报风险，选择足以应对这些风险的业务层面控制进行测试。在非财务报告内控审计中，自上而下的方法始于企业层面控制，并将审计测试工作逐步下移到业务层面控制。

　　自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程，但并不一定是注册会计师执行审计程序的顺序。

　　（二）识别企业层面控制

　　从财务报表层次初步了解财务报告内部控制整体风险是自上而下方法的第一步。通过了解企业与财务报告相关的整体风险，注册会计师首先可以识别出为保持有效的财务报告内部控制而必需的企业层面内部控制。此外，由于对企业层面内部控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围，因此，注册会计师可以考虑在执行业务的早期阶段对企业层面内部控制进行评价。

　　1.评价企业层面控制的精确度。不同的企业层面控制在性质和精确度上存在着差异，这些差异可能对其他控制及其测试产生影响。

　　（1）某些企业层面控制，如企业经营理念、管理层的管理风格等与控制环境相关的控制，对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的，但这些控制仍然可能影响注册会计师拟测试的其他控制，以及测试程序的性质、时间安排和范围。

　　（2）某些企业层面控制旨在识别其他控制可能出现的失效情况，能够监督其他控制的有效性，但还不足以精确到及时防止或发现并纠正相关认定的错报。当这些控制运行有效时，注册会计师可以减少对其他控制的测试。

　　（3）某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险，注册会计师就不必测试与该风险相关的其他控制。

　　2.企业层面控制的内容

　　（1）与内部环境相关的控制。内部环境，即控制环境，包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。

　　（2）针对管理层（董事会、经理层）凌驾于控制之上的风险而设计的控制。该控制对所有企业保持有效的内部控制都有重要影响。注册会计师可以根据对企业舞弊风险的评估作出判断，选择相关的企业层面控制进行测试，并评价这些控制能否有效应对管理层凌驾于控制之上的风险。

　　（3）企业的风险评估过程。风险评估过程包括识别与财务报告相关的经营风险和其他经营管理风险，以及针对这些风险采取的措施。一方面，企业的内部控制能够充分识别企业外部环境（如在经济、政治、法律法规、竞争者行为、债权人需求、技术变革等方面）存在的风险；另一方面，充分且适当的风险评估过程需要包括对重大风险的估计、对风险发生可能性的评估以及确定应对风险的方法。注册会计师可以先了解企业及其内部环境的其他方面信息，以初步了解企业的风险评估过程。

　　（4）对内部信息传递和财务报告流程的控制。财务报告流程的控制可以确保管理层按照适当的会计准则编制合理、可靠的财务报告并对外报告。

　　（5）对控制有效性的内部监督和自我评价。企业对控制有效性的内部监督和自我评价可以在企业层面上实施，也可以在业务流程层面上实施，包括：对运行报告的复核和核对、与外部人士的沟通、对其他未参与控制执行人员的监控活动，以及将信息系统记录数据与实物资产进行核对等。