第2章 整体层面内部控制审计实务及案例

第1节 基本概念

人们习惯上把内部控制分为整体层面控制和业务层面控制两个方面。

整体层面控制又称整体层级控制、企业层面控制等，是组织在整体层面采取的控制的总称。一般认为，与内部控制诸要素中的基本制度安排直接相关，对组织整体内部控制目标的实现具有重大影响的控制属于整体层面控制，包括控制环境、风险评估、控制活动、信息与沟通、内部监督构成的控制整体结构方面的内容。

业务层面控制又称作业层级控制，是组织在业务层面采取的控制的总称。一般认为，与控制活动（控制政策和程序）在具体业务和事项中的运用直接相关，对组织某一方面或某些方面的内部控制目标具有重要影响的控制属于业务层面控制，包括具体各类业务活动的控制。

关于整体层面控制和业务层面控制的关系，简单来说，整体层面控制决定业务层面控制，业务层面控制反作用于整体层面控制。就财务报告控制而言，业务层面控制对财务报表有直接的影响，因为这些控制的弱点能够直接导致财务报表错报。业务层面控制目标相当直接，即合理保证及时地防止或发现重大错报，如关于费用确认的控制测试，其目的是确定在会计系统内是否存在未被发现的经营费用的重大错报且已列示在财务报表中。相反，整体层面控制对财务报表仅有间接的影响，整体层面控制的弱点并不必然导致财务报表错报，它可使业务层面控制有效执行。

在这一前提下，整体层面的控制目标将为业务层面控制的有效执行提供一个总体环境。换言之，如果业务层面控制设计适当但执行较差，那潜在原因很可能是整体层面控制存在弱点。控制程序设计适当，控制的失败与执行相关。执行不好的原因均与无效的整体层面控制相关，控制执行所处的环境不利于控制的有效执行。

整体层面内部控制审计，就是对组织整体层面内部控制设计与运行的有效性的审查和评价工作，对促使组织加强内部控制建设、防范风险具有重要意义。