由于底稿编制指南中这两个概念使用的频率非常高,特别是对内部控制的了解、评价及测试均是分别从这两个层面展开。
  因此,如果没有弄清楚这两个概念的含义及概念之间的区别与联系,将很难做好对内部控制的了解、评价及测试。
  从底稿编制指南对这两个概念的具体运用可以看出,之所以要分别从整体层面和业务流程层面了解、评价和测试内部控制,不仅是因为整体层面和业务流程层面存在内部控制缺陷的原因、性质和影响不同,而且对重大错报风险的严重程度、影响及进行分析和判断的方式方法也不同。
  一方面,整体层面的内部控制在企业管理的较高层面存在并运行,对各业务流程层面的内部控制起着统领、约束和影响作用。但整体层面的内部控制缺陷往往源于内部薄弱的控制环境、企业对自身的风险评估过程、与财务报告相关的信息系统与沟通以及对控制的监督等企业管理的较高层面。
  所以,这些方面一旦存在缺陷,其影响往往较为广泛、重大,且很容易造成财务报表层次的重大错报风险。因此,CPA不仅需要专门从整体层面了解和评价内部控制,还需要综合运用询问、观察和检查等审计程序,以对被审计单位整体层面的内部控制要素有一个总体的了解和评价。
  事实上,如果被审计单位整体层面的内部控制一旦存在重大缺陷,不仅会影响到多个重要业务流程层面内部控制的有效性,而且很可能造成影响更为广泛的重大错报风险。
  另一方面,对业务流程层面内部控制进行了解和评价时应分别从划分的业务流程入手,同时需考虑并实施5个方面的工作:一是需要确定被审计单位有哪些重要的业务流程;二是确定各重要业务流程可能发生错报的环节;三是了解和评价各业务流程所涉及到的相关内部控制;四是通过执行穿行测试以证实对业务流程层面内部控制的了解、识别和评价,特别是是否得到执行的评价;五是根据对内部控制了解的情况进行初步的风险评估。要做好这些工作,则需要综合运用询问、观察、检查和穿行测试等审计程序。
  比如了解和评价销售与收款流程时,需考虑整个流程应该有哪些控制环节?这些环节已经或应该设置哪些控制目标和控制活动?受该控制目标影响的相关交易、账户余额及其认定是哪些?控制活动对实现控制目标是否有效?如果控制存在重大缺陷,是否会产生重大错报风险?CPA应该如何应对这些重大错报风险?这些考虑实际上也是对销售与收款流程内部控制进行了解和评价的总体思路。但必须注意的是,要全面了解和评价各业务流程层面的内部控制缺陷,还必须对被审计单位所有的业务流程进行全面的了解和评价。
  因此,整体层面的内部控制好比上梁,业务流程层面的内部控制好比下梁,上梁不正,下梁自然不正。所以,当整体层面的内部控制不好,如控制环境不好,在这种情况下,即使在业务流程层面设计了a1的内部控制方案,也很容易因管理层凌驾于内部控制之上的不良控制环境而被破坏,从而很可能造成业务流程层面的内部控制失效。
  此外,整体层面内部控制和业务流程层面内部控制缺陷造成的影响和程度不同。如果企业整体层面的内部控制有缺陷,将很可能影响多项认定,且很容易形成重大错报风险;而业务流程层面的内部控制有缺陷,只会影响少量、具体的某些认定,影响程度往往也不是很大。