(二)制定审计计划

　　根据所掌握的控制环境及其对行为和财务报告完整性的影响，制定审计计划，确定项目负责人和项目团队成员，界定角色、责任和资源;制定项目计划、方法和报告要求。对风险的考虑应贯穿整个计划过程。

　　以往控制测试往往流于形式，空有其表，其原因之一就是审计人员并不具备判断企业内控是否有效的能力。企业的内控制度，往往是管理层经过长期摸索逐步建立起来的，作为审计师，仅仅花几天或几周的时间，就要搞清楚企业内控在设计和运转上可能的漏洞，谈何容易，没有足够的经验以及对企业管理的理解，是无法形成正确的对内控的理解的。因此，在制定审计计划，必须分配好合适的项目人员，对项目助理人员做好具有针对性的审前培训与督导，并且根据需要，制定利用专家的计划。

　　(三)识别公司层面的内部控制。并完成公司层面的评估公司层面的内部控制，主要是指公司治理层面的内部控制，属于控制环境。AS 5允许减少业务流程层次的测试，尤其是在公司整体层面的控制较强，并且和业务流程层次的控制紧密相连时;或者公司整体层面的控制足以防止或发现相关认定的重大错报。这就需要注册会计师识别公司层面的重大风险并作出恰当的评估。

　　公司层面的内部控制，包括对公司部门、人员的权责利划分、重大政策决策流程与重大风险管理政策、管理层的风险测评流程、反舞弊控制、公司内控自我评测流程等，注册会计师应评估公司层面控制对流程层面的控制评估有何影响。

　　注册会计师还应识别各流程的责任人，并与其沟通，掌握其是否明确责任。其中，需重点对审计委员会的人员构成、工作方式、在公司监管中的实际地位、行使职能是否受到制约等进行全面的评估。

　　评估的焦点应放在风险上，如果某一事项从财务报告内部控制风险的角度来看是重要的，就必须重点关注。风险评估理念应贯穿审计的全过程。

　　(四)测试各相关财务报告目标的关键控制

　　选择那些针对最关键财务报告目标的流程控制，并对这些控制的设计有效性进行评估。应重点识别那些用来管理会对财务报告产生影响的重要流程的流程层面监督性控制，实务中的审计办法是从公司的财务报表着手，识别对财务报表有重大影响的相关业务活动和流程目标，选择关键会计科目和会计报表事项。

　　在对公司层面评估的基础上，应考虑重要性水平，以及财务报表和其他支持性会计科目余额、交易或其他支持性信息出现重大错报的可能性，分析财务报告中的关键风险防范事项，并从数量和性质两方面考虑会计科目和披露事项的重要性。

　　与重大错报风险相关的风险因素包括但不限于：相关会计科目余额或交易的大小和种类;因错误或舞弊而产生错报的可能性t该会计科目反映的交易的数量、会计科目的复杂程度;披露事项或相关会计科目的性质;会计科目反映的交易类型导致公司承担或有负债的风险;是否包含关联交易等。

　　注册会计师应确定重要交易事项和业务流程的关键控制点，明确识别每一重要会计科目或披露事项是否都有管理层签字、声明等法律手续方面的认定。

　　测试方法可采取穿行测试，通常综合运用询问、观察、检查相关凭证以及重新执行控制等程序。在针对重要处理程序执行穿行测试时，注册会计师可以询问企业员工对企业规定程序及控制所要求内容的了解程威对于特定的相关认定，可能有多项控制应对评估的错报风险注册会计师没有必要测试与某个相关认定有关的所有控制。

　　(五)评价内部控制设计的有效性和内部控制执行的有效性

　　在作出评价之前，应首先对财务报告内部控制风险作出评估。财务报告内部控制风险包括两个要素：错报风险与控制失效风险。

　　影响某项控制相关风险的因素包括：1.该项控制拟防止或发现的错报的性质和重要性;2.相关账户和认定的固有风险;3.交易的数量和性质是否发生变动，进而可能对该项控制设计或运行的有效性产生不利影响;4.账户是否曾经出现错报;5.企业层面的控制对其他控制的监督的有效性;6.该项控制的性质及其运行频率;7.该项控制对其他控制有效性的依赖程度;8.执行或监督该项控制的人员的专业胜任能力，以及是否发生变动;9.该项控制是人工操作还是自动完成;10.该项控制的复杂性，以及运行过程中需作出的判断的重要性。