测试时间、涵盖期间、测试范围

一要安排好测试时间。对控制有效性测试的实施时间越接近基准日，提供的控制有效性的审计证据越有力。因此，要获取充分、适当的审计证据，一方面应尽量在接近基准日实施测试，另一方面实施的测试尽可能涵盖足够长的期间。注册会计师要平衡好这两个方面，来确定测试的时间。

特别要强调的是，整改后的内部控制需要在基准日之前运行足够长的时间，才能得出整改后的内部控制是否有效的结论。因此，在接受或保持内部控制审计业务时，应当尽早与被审计单位沟通这一情况，并合理安排控制测试的时间，留出提前量。

二要界定好涵盖期间。内部控制审计业务旨在对基准日内部控制有效性出具报告。从理论上讲，对控制有效性的测试涵盖的期间越长，提供的控制有效性的审计证据越多。单从内部控制审计业务来讲，应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。在将期中测试结果更新至基准日时，应充分考虑基准日之前测试的特定控制，包括与控制相关的风险、控制的性质和测试的结果;或期中获取的有关审计证据的充分性和适当性;或剩余期间的长短、或期中测试之后，内部控制发生重大 变化的可能性等方面获取补充审计证据。在整合审计中，控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致。

三要确定好测试范围。在测试控制的运行有效性时，应当在考虑与控制相关的风险基础上，确定测试的范围，应当足以获取充分、适当的审计证据，为基准日内部控制是否不存在重大缺陷提供合理保证。

关键环节与审计方法

四要测试好关键环节。对控制有效性的测试，一方面要测试控制设计的有效性。如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。另一方面要测试控制运行的有效性。如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，能够实 现控制目标，则表明该项控制的运行是有效的。

五要运用好审计方法。要正确运用自上而下的审计方法关注拟测试的控制。首先要从内部控制整体风险的了解开始，然后，将关注重点放在企业层面的控制上，并将工作逐渐下移至重要账户、列报及其相关认定。随后，验证其对被审计单位业务流程中风险的了解，并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。

风险因素、审计内容、审计程序

六要分析好风险因素。特别要正确处理风险和审计证据的关系。在测试所选定控制的有效性时，应当根据与控制相关的风险，确定所需获取的审计证据。与控制相关的风险包括一项控制可能无效的风险，以及如果该控制无效，可能导致重大缺陷的风险。与控制相关的风险越高，需要获取的审计证据就越多。影响与某项控制相关的风险因素主要包括：一是该项控制拟防止或发现并纠正的错报的性质和重要程度;二是相关账户、列报及其认定的固有风险;三是交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产生不利影响;四是相关账户或列报是否曾经出现错报;五是企业层面控制(特别是监督其他控制的控制)的有效性;六是该项控制的性质及其执行频率;七是该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;八是执行该项控制或监督该项控制执行的人员的专业胜任能力，以及其中的关键人员是否发 生变化;九是该项控制是人工控制还是自动化控制;十是该项控制的复杂程度，以及在运行过程中依赖判断的程度。

七要锁定好审计内容。包括企业治理结构、机构设置、企业文化、人力资源政策等内部控制环境因素，以及企业识别风险的评估程序、应对风险的具体措施和信息传递有效性、保证内部控制规范建设和有效运行的机制等，全面评价企业设计和运行的内部控制是否能够合理保证财务报告及相关信息合法、真实、完整，以及用于保护资产安全的内部控制是否可靠。

八要执行好审计程序。重点执行好测试控制有效性的程序。

控制有效性的程序，按其提供审计证据的效力，需要按询问、观察、检查和重新执行由弱到强排序。询问本身并不能为得出控制是否有效的结论提供充分、适当的审计证据。测试控制有效性的程序，其性质在很大程度上取决于拟测试控制的性质。某些控制可能存在反映控制有效性的文件记录，而如管理理念和经营风格等可能没有书面的运行证据。对缺乏正式的控制运行证据的被审计单位或业务单元可以通过询问并结合运用其他程序，如观察活动、检查非正式的书面记录和重新执行某些控制，获取有关控制是否有效的充分、适当的审计证据，总之，在测试控制运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序。此外，在测试控制设计的有效性时，应当综合运用询问适当人员、观察经营活动和检查相关文件以及行穿执行测试等程序。

内容来源：中兴华会计师事务所江苏分所