如何对内部控制进行审计，涉及到内部控制审计的思路。“自上而下”的方法始于财务报表层次，以注册会计师对财务报告内部控制整体风险的了解开始，然后注册会计师将关注重点放在企业层面的控制上，并将工作逐渐下移至重大账户、列报及相关的认定。

一、从财务报表层次初步了解内部控制整体风险

可能导致企业财务报表产生重大错报风险的因素，一般来说源于企业的外部环境和企业自身的环境。

了解的内容主要包括：(1)行业状况、法律环境与监管环境以及其他外部因素;(2)企业性质及对会计政策的选择和运用;(3)企业的目标、战略以及相关经营风险;(4)财务业绩的衡量和评价。

对企业外部环境的了解，主要是为获取对企业的经营状况的总体认识。在这个环节获取的情况，多数可能与评估企业财务报表层次的重大错报风险有关。

二、识别企业层面控制

1.与内部环境相关的控制
　　内部环境，即控制环境，包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。在评价控制环境的设计时，应当考虑构成控制环境的下列要素，以及这些要素如何被纳入企业业务流程：(1)对诚信和道德价值观念的沟通与落实;(2)对胜任能力的重视;(3)治理层的参与程度;(4)管理层的理念和经营风格;(5)组织结构;(6)职权与责任的分配;(7)人力资源政策与落实。

2.针对董事会、经理层凌驾于控制之上的风险而设计的控制
　　可以根据对企业舞弊风险的评估作出判断，选择相关的企业层面控制进行测试，并评价这些控制能否有效应对管理层凌驾于控制之上的风险。注册会计师应当特别关注由于管理层凌驾于账户记录控制之上，或规避控制行为而产生的重大错报风险，并考虑企业如何纠正不正确的交易处理。

3.企业的风险评估过程
　　包括识别与财务报告相关的经营风险和其他经营管理风险，以及针对这些风险采取的措施。注册会计师在对企业整体层面的风险评估过程进行了解和评估时，考虑的主要因素可能包括：(1)企业是否已建立并沟通其整体目标，并辅以具体策略和业务流程层面的计划;(2)是否已建立风险评估过程，包括识别风险，估计风险的重大性，评估风险发生的可能性以及确定需要采取的应对措施;(3)是否已建立某种机制，识别和应对可能对企业产生重大且普遍影响的变化;(4)会计部门是否建立了某种流程，以识别会计准则的重大变化;(5)业务操作发生变化并影响交易记录的流程时，是否存在沟通渠道以通知会计部门;(6)风险管理部门是否建立了某种流程，以识别经营环境，包括监管环境发生的重大变化。

4.对内部信息传递和财务报告流程的控制
　　注册会计师应当从下列方面了解与财务报告相关的信息系统：(1)对财务报表具有重大影响的各类交易;(2)在信息技术和人工系统中，交易生成、记录、处理和报告的程序;(3)与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目;(4)信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况;(5)企业编制财务报告的过程，包括作出的重大会计估计和披露。财务报告流程的控制可以确保管理层按照适当的会计准则编制合理、可靠的财务报告并对外报告。

5.对控制有效性的内部监督和自我评价
　　企业对控制有效性的内部监督和自我评价可以在企业层面上实施，也可以在业务流程层面上实施，包括：对运行报告的复核和核对、与外部人士的沟通、对其他未参与控制执行人员的监控活动，以及将信息系统记录数据与实物资产进行核对等。

三、识别业务层面控制

测试业务层面控制，应当把握重要性原则，结合企业实际内部控制各项应用指引的要求和企业层面控制的测试情况，重点对生产经营活动中的重要业务与事项的控制进行测试。

首先确定企业的重要业务流程和影响重大账户的重要交易类别，了解重要交易从发生到记入账目的整个流程，与重大账户及其相关认定相结合，在重要交易整个流程中确定错报可能会在什么环节发生，即确定相应的控制目标;然后根据确定的审计测试策略，计划对内部控制进行进一步了解和评估，对重要交易流程中设计的防止或发现并纠正可能错报的相关控制加以识别;再通过执行穿行测试，来证实对重要交易流程和相关控制的了解，并确定相关控制是否得到执行;最后对相关控制的设计和是否得到执行进行评价，以确定进一步的审计程序。

四、了解错报的可能来源

在识别重要账户、列报及其相关认定时，还需要确定对财务报表产生重大影响的潜在错报的可能来源。通过考虑在特定的重要账户或列报中错报可能发生的领域和原因，确定潜在错报的可能来源。注册会计师应重点关注是否存在下列情况：(1)因某种需要而粉饰财务状况和经营成果;(2)为某些目的而低估收入或高估费用;(3)管理层凌驾于控制之上;(4)非正常的关联方经济往来。

五、选择拟测试的控制

评价控制是否足以应对评估的每个相关认定的错报风险，并选择其中对形成审计结论具有重要影响的控制进行测试，测试控制运行的有效性。是否选择某项控制进行测试取决于该项控制单独或合并起来是否足以应对相关认定的错报风险。在评估认定层次重大错报风险时，预期控制的运行是有效的;或仅实施实质性程序不足以提供认定层次充分、适当的审计证据时，应当通过询问、观察、检查、穿行测试和重新执行等实施控制测试。

六、小结
“自上而下”的方法描述了识别风险以及拟测试的控制时的连续思维过程，但并不一定是执行审计程序的顺序。“自上而下”的审计方法，是一项全新的审计思路，可以大大提高审计的效率和效果。