注册会计师在控制测试中

（一）控制测试的含义

控制测试指的是测试控制运行的有效，这一概念需要与“了解内部控制”进行区分。“了解内部控制”包含两层含义：一是评价控制的设计；二是确定控制是否得到执行。测试控制运行的有效与确定控制是否得到执行所需获取的审计证据是不同的。

在实施风险评估程序以获取控制是否得到执行的审计证据时，注册会计师应当确定某项控制是否存在，被审计单位是否正在使用。

在测试控制运行的有效时，注册会计师应当从下列方面获取关于控制是否有效运行的审计证据：（1）控制在所审计期间的不同时点是如何运行的；（2）控制是否得到一贯执行；（3）控制由谁执行；（4）控制以何种方式运行（如人工控制或自动化控制）。从这四个方面来看，控制运行有效强调的是控制能够在各个不同时点按照既定设计得以一贯执行。因此，在了解控制是否得到执行时，注册会计师只需抽取少量的交易进行检查或观察某几个时点。但在测试控制运行的有效时，注册会计师需要抽取足够数量的交易进行检查或对多个不同时点进行观察。

（二）控制测试的要求

作为进一步审计程序的类型之一，控制测试并非在任何情况下都需要实施。当存在下列情形之一时，注册会计师应当实施控制测试：（l）在评估认定层次重大错报风险时，预期控制的运行是有效的；（2）仅实施实质程序不足以提供认定层次充分、适当的审计证据。

如果在评估认定层次重大错报风险时预期控制的运行是有效的，注册会计师应当实施控制测试，就控制在相关期间或时点的运行有效获取充分、适当的审计证据。

注册会计师通过实施风险评估程序，可能发现某项控制的设计是存在的，也是合理的，同时得到了执行。在这种情况下，出于成本效益的考虑，注册会计师可能预期，如果相关控制在不同时点都得到了一贯执行，与该项控制有关的财务报表认定发生重大错报的可能就不会很大，也就不需要实施很多的实质程序。为此，注册会计师可能会认为值得对相关控制在不同时点是否得到了一贯执行进行测试，即实施控制测试。这种测试主要是出于成本效益的考虑，其前提是注册会计师通过了解内部控制以后认为某项控制存在着被信赖和利用的可能。因此，只有认为控制设计合理、能够防止或发现和纠正认定层次的重大错报，注册会计师才有必要对控制运行的有效实施测试。

如果认为仅实施实质程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平，注册会计师应当实施相关的控制测试，以获取控制运行有效的审计证据。

（三）控制测试的质的含义

控制测试的质是指控制测试所使用的审计程序的类型及其组合。

计划从控制测试中获取的保证水平是决定控制测试质的主要因素之一。注册会计师应当选择适当类型的审计程序以获取有关控制运行有效的保证。计划的保证水平越高，对有关控制运行有效的审计证据的可靠要求越高。当拟实施的进一步审计程序主要以控制测试为主，尤其是仅实施实质程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平时，注册会计师应当获取有关控制运行有效的更高的保证水平。

虽然控制测试与了解内部控制的目的不同，但两者采用审计程序的类型通常相同，包括询问、观察、检查和穿行测试。此外，控制测试的程序还包括重新执行。

询问。注册会计师可以向被审计单位适当员工询问，获取与内部控制运行情况相关的信息。例如，询问信息人员有无未经授权接触计算机硬件和软件，向负责复核银行存款余额调节表的人员询问如何进行复核，包括复核的要点是什么、发现不符事项如何处理等。然而，仅仅通过询问不能为控制运行的有效提供充分的证据，注册会计师通常需要印证被询问者的答复，如向其他人员询问和检查执行控制时所使用的报告、手册或其他文件等。因此，虽然询问是一种有用的手段，它必须和其他测试手段结合使用才能发挥作用。在询问过程中，注册会计师应当保持职业怀疑态度。

观察。观察是测试不留下书面记录的控制（如职责分离）的运行情况的有效方法。例如，观察存货盘点控制的执行情况。观察也可运用于实物控制，如查看仓库门是否锁好，或空白支票是否妥善保管。通常情况下，注册会计师通过观察直接获取的证据比间接获取的证据更可靠。但是，注册会计师还要考虑其所观察到的控制在注册会计师不在场时可能未被执行的情况。

检查。对运行情况留有书面证据的控制，检查非常适用。书面说明、复核时留下的记号，或其他记录在偏差报告中的标志都可以被当作控制运行情况的证据。例如，检查发票是否有复核人员签字，检查发票是否附有客户订购单和出库单等。

重新执行。通常只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时，注册会计师才考虑通过重新执行来证实控制是否有效运行。例如，为了合理保证计价认定的准确，被审计单位的一项控制是由复核人员核对发票上的价格与统一价格单上的价格是否一致。但是，要检查复核人员有没有认真执行核对，仅仅检查复核人员是否在相关文件上签字是不够的，注册会计师还需要自己选取一部分发票进行核对，这就是重新执行程序。但是，如果需要进行大量的重新执行，注册会计师就要考虑通过实施控制测试以缩小实质程序的范围是否有效率。

穿行测试。除了上述四类控制测试常用的审计程序以外，实施穿行测试也是一种重要的审计程序。值得注意的是，穿行测试不是单独的一种程序，而是将多种程序按特定审计需要进行结合运用的方法。穿行测试是通过追踪交易在财务报告信息中的处理过程，来证实注册会计师对控制的了解、评价控制设计的有效以及确定控制是否得到执行。可见，穿行测试更多地在了解内部控制时运用。但在执行穿行测试时，注册会计师可能获取部分控制运行有效的审计证据。

询问本身并不足以测试控制运行的有效，注册会计师应将询问与其他审计程序结合使用，以获取有关控制运行有效的审计证据。观察提供的证据仅限于观察发生的时点，本身也不足以测试控制运行的有效；将询问与检查或重新执行结合使用，通常能够比仅实施询问和观察获取更高的保证。例如，被审计单位针对处理收到的邮政单设计和执行了相关的内部控制，注册会计师通过询问和观察程序往往不足以测试此类控制的运行有效，还需要检查能够证明此类控制在所审计期间的其他时段有效运行的文件和凭证，以获取充分、适当的审计证据。

（四）测试的时间的含义

如前所述，控制测试的时间包含两层含义：一是何时实施控制测试；二是测试所针对的控制适用的时点或期间。一个基本的原理是，如果测试特定时点的控制，注册会计师仅得到该时点控制运行有效的审计证据；如果测试某一期间的控制，注册会计师可获取控制在该期间有效运行的审计证据。因此，注册会计师应当根据控制测试的目的确定控制测试的时间，并确定拟信赖的相关控制的时点或期间。

关于根据控制测试的目的确定控制测试的时间，本准则第四十条第一款指出，如果仅需要测试控制在特定时点的运行有效（如对被审计单位期末存货盘点进行控制测试），注册会计师只需要获取该时点的审计证据。如果需要获取控制在某一期间有效运行的审计证据，仅获取与时点相关的审计证据是不充分的，注册会计师应当辅以其他控制测试，包括测试被审计单位对控制的。换言之，关于控制在多个不同时点的运行有效的审计证据的简单累加并不能构成控制在某期间的运行有效的充分、适当的审计证据；而所谓的“其他控制测试”应当具备的功能是，能提供相关控制在所有相关时点都运行有效的审计证据；被审计单位对控制的起到的就是一种检验相关控制在所有相关时点是否都有效运行的作用，因此注册会计师测试这类活动能够强化控制在某期间运行有效的审计证据效力。

（五）如何考虑期中审计证据

前已述及，注册会计师可能在期中实施进一步审计程序。对于控制测试，注册会计师在期中实施此类程序具有更积极的作用。但需要说明的是，即使注册会计师已获取有关控制在期中运行有效的审计证据，仍然需要考虑如何能够将控制在期中运行有效的审计证据合理延伸至期末，一个基本的考虑是针对期中至期末这段剩余期间获取充分、适当的审计证据。因此，如果已获取有关控制在期中运行有效的审计证据，并拟利用该证据，注册会计师应当实施下列审计程序：（1）获取这些控制在剩余期间变化情况的审计证据；（2）确定针对剩余期间还需获取的补充审计证据。

上述两项审计程序中，第一项是针对期中已获取审计证据的控制，考察这些控制在剩余期间的变化情况（包括是否发生了变化以及如何变化）；如果这些控制在剩余期间没有发生变化，注册会计师可能决定信赖期中获取的审计证据；如果这些控制在剩余期间发生了变化（如信息、业务流程或人事等方面发生变动），注册会计师需要了解并测试控制的变化对期中审计证据的影响。

上述两项审计程序中，第二项是针对期中证据以外的、剩余期间的补充证据。在执行该项规定时，注册会计师应当考虑下列因素：

1．评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大，注册会计师需要获取的剩余期间的补充证据越多。

2．在期中测试的特定控制。例如，对自动化运行的控制，注册会计师更可能测试信息一般控制的运行有效，以获取控制在剩余期间运行有效的审计证据。

3．在期中对有关控制运行有效获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效获取的审计证据比较充分，可以考虑适当减少需要获取的剩余期间的补充证据。

4．剩余期间的长度。剩余期间越长，注册会计师需要获取的剩余期间的补充证据越多。

5．在信赖控制的基础上拟减少进一步实质程序的范围。注册会计师对相关控制的信赖程度越高，通常在信赖控制的基础上拟减少进一步实质程序的范围就越大。在这种情况下，注册会计师需要获取的剩余期间的补充证据越多。

6．控制环境。在注册会计师总体上拟信赖控制的前提下，控制环境越薄弱（或把握程度越低），注册会计师需要获取的剩余期间的补充证据越多。

除了上述的测试剩余期间控制的运行有效，测试被审计单位对控制的也能够作为一项有益的补充证据，以便更有把握地将控制在期中运行有效的审计证据延伸至期末。如前所述，被审计单位对控制的起到的是一种检验相关控制在所有相关时点是否都有效运行的作用，因此，通过测试剩余期间控制的运行有效或测试被审计单位对控制的，注册会计师可以获取补充审计证据。

（六）确定控制测试范围的一般考虑因素

注册会计师在确定某项控制的测试范围时通常考虑的一系列因素：

1．在整个拟信赖的期间，被审计单位执行控制的频率。控制执行的频率越高、控制测试的范围越大。

2．在所审计期间，注册会计师拟信赖控制运行有效的时间长度。拟信赖控制运行有效的时间长度不同，在该时间长度内发生的控制活动次数也不同。注册会计师需要根据拟信赖控制的时间长度确定控制测试的范围。拟信赖期间越长，控制测试的范围越大。

3．为证实控制能够防止或发现并纠正认定层次重大错报，所需获取审计证据的相关和可靠。对审计证据的相关和可靠要求越高，控制测试的范围越大。

4．通过测试与认定相关的其他控制获取的审计证据的范围。针对同一认定，可能存在不同的控制。当针对其他控制获取审计证据的充分和适当较高时，测试该控制的范围可适当缩小。

5．在风险评估时拟信赖控制运行有效的程度。注册会计师在风险评估时对控制运行有效的拟信赖程度越高，需要实施控制测试的范围越大。

6．控制的预期偏差。预期偏差可以用控制未得到执行的预期次数占控制应当得到执行次数的比率加以衡量（也可称作预期偏差率）。考虑该因素，是因为在考虑测试结果是否可以得出控制运行有效的结论时，不可能只要出现任何控制执行偏差就认定控制运行无效，所以需要确定一个合理水平的预期偏差率。控制的预期偏差率越高，需要实施控制测试的范围越大。如果控制的预期偏差率过高，注册会计师应当考虑控制可能不足以将认定层次的重大错报风险降至可接受的低水平，从而针对某一认定实施的控制测试可能是无效的。

（七）对自动化控制的测试范围的特别考虑

除非（包括使用的表格、文档或其他永久数据）发生变动，注册会计师通常不需要增加自动化控制的测试范围。

信息技术处理具有内在一贯，除非发生变动，一项自动化应用控制应当一贯运行。对于一项自动化应用控制，一旦确定被审计单位正在执行该控制，注册会计师通常无需扩大控制测试的范围，但需要考虑执行下列测试以确定该控制持续有效运行：

（l）测试与该应用控制有关的一般控制的运行有效；

（2）确定是否发生变动，如果发生变动，是否存在适当的变动控制；

（3）确定对交易的处理是否使用授权批准的软件版本。

（一）控制测试的含义控制测试指的是测试控制运行的有效，这一概念需要与“了解内部控制”进行区分。“了解内部控制”包含两层含义：一是评价控制的设计；二是确定控制是否得到执行。测试控制运行的有效与确定控制是否得到执行所需获取的审计证据是不同的。在实施风险评估程序以获取控制是否得到执行的审计证据时，注册会计师应当确定某项控制是否存在，被审计单位是否正在使用。在测试控制运行的有效时，注册会计师应当从下列方面获取关于控制是否有效运行的审计证据：（1）控制在所审计期间的不同时点是如何运行的；（2）控制是否得到一贯执行；（3）控制由谁执行；（4）控制以何种方式运行（如人工控制或自动化控制）。从这四个方面来看，控制运行有效强调的是控制能够在各个不同时点按照既定设计得以一贯执行。因此，在了解控制是否得到执行时，注册会计师只需抽取少量的交易进行检查或观察某几个时点。但在测试控制运行的有效时，注册会计师需要抽取足够数量的交易进行检查或对多个不同时点进行观察。（二）控制测试的要求作为进一步审计程序的类型之一，控制测试并非在任何情况下都需要实施。当存在下列情形之一时，注册会计师应当实施控制测试：（l）在评估认定层次重大错报风险时，预期控制的运行是有效的；（2）仅实施实质程序不足以提供认定层次充分、适当的审计证据。如果在评估认定层次重大错报风险时预期控制的运行是有效的，注册会计师应当实施控制测试，就控制在相关期间或时点的运行有效获取充分、适当的审计证据。注册会计师通过实施风险评估程序，可能发现某项控制的设计是存在的，也是合理的，同时得到了执行。在这种情况下，出于成本效益的考虑，注册会计师可能预期，如果相关控制在不同时点都得到了一贯执行，与该项控制有关的财务报表认定发生重大错报的可能就不会很大，也就不需要实施很多的实质程序。为此，注册会计师可能会认为值得对相关控制在不同时点是否得到了一贯执行进行测试，即实施控制测试。这种测试主要是出于成本效益的考虑，其前提是注册会计师通过了解内部控制以后认为某项控制存在着被信赖和利用的可能。因此，只有认为控制设计合理、能够防止或发现和纠正认定层次的重大错报，注册会计师才有必要对控制运行的有效实施测试。如果认为仅实施实质程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平，注册会计师应当实施相关的控制测试，以获取控制运行有效的审计证据。（三）控制测试的质的含义控制测试的质是指控制测试所使用的审计程序的类型及其组合。计划从控制测试中获取的保证水平是决定控制测试质的主要因素之一。注册会计师应当选择适当类型的审计程序以获取有关控制运行有效的保证。计划的保证水平越高，对有关控制运行有效的审计证据的可靠要求越高。当拟实施的进一步审计程序主要以控制测试为主，尤其是仅实施实质程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平时，注册会计师应当获取有关控制运行有效的更高的保证水平。虽然控制测试与了解内部控制的目的不同，但两者采用审计程序的类型通常相同，包括询问、观察、检查和穿行测试。此外，控制测试的程序还包括重新执行。询问。注册会计师可以向被审计单位适当员工询问，获取与内部控制运行情况相关的信息。例如，询问信息人员有无未经授权接触计算机硬件和软件，向负责复核银行存款余额调节表的人员询问如何进行复核，包括复核的要点是什么、发现不符事项如何处理等。然而，仅仅通过询问不能为控制运行的有效提供充分的证据，注册会计师通常需要印证被询问者的答复，如向其他人员询问和检查执行控制时所使用的报告、手册或其他文件等。因此，虽然询问是一种有用的手段，它必须和其他测试手段结合使用才能发挥作用。在询问过程中，注册会计师应当保持职业怀疑态度。观察。观察是测试不留下书面记录的控制（如职责分离）的运行情况的有效方法。例如，观察存货盘点控制的执行情况。观察也可运用于实物控制，如查看仓库门是否锁好，或空白支票是否妥善保管。通常情况下，注册会计师通过观察直接获取的证据比间接获取的证据更可靠。但是，注册会计师还要考虑其所观察到的控制在注册会计师不在场时可能未被执行的情况。检查。对运行情况留有书面证据的控制，检查非常适用。书面说明、复核时留下的记号，或其他记录在偏差报告中的标志都可以被当作控制运行情况的证据。例如，检查发票是否有复核人员签字，检查发票是否附有客户订购单和出库单等。重新执行。通常只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时，注册会计师才考虑通过重新执行来证实控制是否有效运行。例如，为了合理保证计价认定的准确，被审计单位的一项控制是由复核人员核对发票上的价格与统一价格单上的价格是否一致。但是，要检查复核人员有没有认真执行核对，仅仅检查复核人员是否在相关文件上签字是不够的，注册会计师还需要自己选取一部分发票进行核对，这就是重新执行程序。但是，如果需要进行大量的重新执行，注册会计师就要考虑通过实施控制测试以缩小实质程序的范围是否有效率。穿行测试。除了上述四类控制测试常用的审计程序以外，实施穿行测试也是一种重要的审计程序。值得注意的是，穿行测试不是单独的一种程序，而是将多种程序按特定审计需要进行结合运用的方法。穿行测试是通过追踪交易在财务报告信息中的处理过程，来证实注册会计师对控制的了解、评价控制设计的有效以及确定控制是否得到执行。可见，穿行测试地在了解内部控制时运用。但在执行穿行测试时，注册会计师可能获取部分控制运行有效的审计证据。询问本身并不足以测试控制运行的有效，注册会计师应将询问与其他审计程序结合使用，以获取有关控制运行有效的审计证据。观察提供的证据仅限于观察发生的时点，本身也不足以测试控制运行的有效；将询问与检查或重新执行结合使用，通常能够比仅实施询问和观察获取更高的保证。例如，被审计单位针对处理收到的邮政单设计和执行了相关的内部控制，注册会计师通过询问和观察程序往往不足以测试此类控制的运行有效，还需要检查能够证明此类控制在所审计期间的其他时段有效运行的文件和凭证，以获取充分、适当的审计证据。（四）测试的时间的含义如前所述，控制测试的时间包含两层含义：一是何时实施控制测试；二是测试所针对的控制适用的时点或期间。一个基本的原理是，如果测试特定时点的控制，注册会计师仅得到该时点控制运行有效的审计证据；如果测试某一期间的控制，注册会计师可获取控制在该期间有效运行的审计证据。因此，注册会计师应当根据控制测试的目的确定控制测试的时间，并确定拟信赖的相关控制的时点或期间。关于根据控制测试的目的确定控制测试的时间，本准则第四十条第一款指出，如果仅需要测试控制在特定时点的运行有效（如对被审计单位期末存货盘点进行控制测试），注册会计师只需要获取该时点的审计证据。如果需要获取控制在某一期间有效运行的审计证据，仅获取与时点相关的审计证据是不充分的，注册会计师应当辅以其他控制测试，包括测试被审计单位对控制的。换言之，关于控制在多个不同时点的运行有效的审计证据的简单累加并不能构成控制在某期间的运行有效的充分、适当的审计证据；而所谓的“其他控制测试”应当具备的功能是，能提供相关控制在所有相关时点都运行有效的审计证据；被审计单位对控制的起到的就是一种检验相关控制在所有相关时点是否都有效运行的作用，因此注册会计师测试这类活动能够强化控制在某期间运行有效的审计证据效力。（五）如何考虑期中审计证据前已述及，注册会计师可能在期中实施进一步审计程序。对于控制测试，注册会计师在期中实施此类程序具有更积极的作用。但需要说明的是，即使注册会计师已获取有关控制在期中运行有效的审计证据，仍然需要考虑如何能够将控制在期中运行有效的审计证据合理延伸至期末，一个基本的考虑是针对期中至期末这段剩余期间获取充分、适当的审计证据。因此，如果已获取有关控制在期中运行有效的审计证据，并拟利用该证据，注册会计师应当实施下列审计程序：（1）获取这些控制在剩余期间变化情况的审计证据；（2）确定针对剩余期间还需获取的补充审计证据。上述两项审计程序中，第一项是针对期中已获取审计证据的控制，考察这些控制在剩余期间的变化情况（包括是否发生了变化以及如何变化）；如果这些控制在剩余期间没有发生变化，注册会计师可能决定信赖期中获取的审计证据；如果这些控制在剩余期间发生了变化（如信息、业务流程或人事等方面发生变动），注册会计师需要了解并测试控制的变化对期中审计证据的影响。上述两项审计程序中，第二项是针对期中证据以外的、剩余期间的补充证据。在执行该项规定时，注册会计师应当考虑下列因素：1．评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大，注册会计师需要获取的剩余期间的补充证据越多。2．在期中测试的特定控制。例如，对自动化运行的控制，注册会计师更可能测试信息一般控制的运行有效，以获取控制在剩余期间运行有效的审计证据。3．在期中对有关控制运行有效获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效获取的审计证据比较充分，可以考虑适当减少需要获取的剩余期间的补充证据。4．剩余期间的长度。剩余期间越长，注册会计师需要获取的剩余期间的补充证据越多。5．在信赖控制的基础上拟减少进一步实质程序的范围。注册会计师对相关控制的信赖程度越高，通常在信赖控制的基础上拟减少进一步实质程序的范围就越大。在这种情况下，注册会计师需要获取的剩余期间的补充证据越多。6．控制环境。在注册会计师总体上拟信赖控制的前提下，控制环境越薄弱（或把握程度越低），注册会计师需要获取的剩余期间的补充证据越多。除了上述的测试剩余期间控制的运行有效，测试被审计单位对控制的也能够作为一项有益的补充证据，以便更有把握地将控制在期中运行有效的审计证据延伸至期末。如前所述，被审计单位对控制的起到的是一种检验相关控制在所有相关时点是否都有效运行的作用，因此，通过测试剩余期间控制的运行有效或测试被审计单位对控制的，注册会计师可以获取补充审计证据。（六）确定控制测试范围的一般考虑因素注册会计师在确定某项控制的测试范围时通常考虑的一系列因素：1．在整个拟信赖的期间，被审计单位执行控制的频率。控制执行的频率越高、控制测试的范围越大。2．在所审计期间，注册会计师拟信赖控制运行有效的时间长度。拟信赖控制运行有效的时间长度不同，在该时间长度内发生的控制活动次数也不同。注册会计师需要根据拟信赖控制的时间长度确定控制测试的范围。拟信赖期间越长，控制测试的范围越大。3．为证实控制能够防止或发现并纠正认定层次重大错报，所需获取审计证据的相关和可靠。对审计证据的相关和可靠要求越高，控制测试的范围越大。4．通过测试与认定相关的其他控制获取的审计证据的范围。针对同一认定，可能存在不同的控制。当针对其他控制获取审计证据的充分和适当较高时，测试该控制的范围可适当缩小。5．在风险评估时拟信赖控制运行有效的程度。注册会计师在风险评估时对控制运行有效的拟信赖程度越高，需要实施控制测试的范围越大。6．控制的预期偏差。预期偏差可以用控制未得到执行的预期次数占控制应当得到执行次数的比率加以衡量（也可称作预期偏差率）。考虑该因素，是因为在考虑测试结果是否可以得出控制运行有效的结论时，不可能只要出现任何控制执行偏差就认定控制运行无效，所以需要确定一个合理水平的预期偏差率。控制的预期偏差率越高，需要实施控制测试的范围越大。如果控制的预期偏差率过高，注册会计师应当考虑控制可能不足以将认定层次的重大错报风险降至可接受的低水平，从而针对某一认定实施的控制测试可能是无效的。（七）对自动化控制的测试范围的特别考虑除非（包括使用的表格、文档或其他永久数据）发生变动，注册会计师通常不需要增加自动化控制的测试范围。信息技术处理具有内在一贯，除非发生变动，一项自动化应用控制应当一贯运行。对于一项自动化应用控制，一旦确定被审计单位正在执行该控制，注册会计师通常无需扩大控制测试的范围，但需要考虑执行下列测试以确定该控制持续有效运行：（l）测试与该应用控制有关的一般控制的运行有效；（2）确定是否发生变动，如果发生变动，是否存在适当的变动控制；（3）确定对交易的处理是否使用授权批准的软件版本。

（一）对内部控制进行了解和测试的目的不同 　　在财务报表审计和内部控制审计中，注册会计师都需要了解与审计相关的内部控制，并都可能涉及测试相关内部控制运行的有效，但两者目的不同。注册会计师在财务报表审计中了解和测试内部控制，是为了识别、评估和应对重大错报风险，据此确定实质程序的质、时间安排和范围，并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据，以支持对财务报表发表的审计意见；注册会计师在内部控制审计中了解和测试内部控制，是为了对内部控制的有效发表审计意见。 　　（二）测试内部控制运行有效的范围要求不同 　　在财务报表审计中，针对评估的认定层次重大错报风险，注册会计师可能选择采用实质方案或综合方案。如果采用实质方案，注册会计师可以不测试内部控制的运行有效；如果采用综合方案，注册会计师综合运用控制测试和实质程序，因而需要测试内部控制的运行有效。根据《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的相关规定，当存在下列情形之一时，注册会计师应当设计和实施控制测试，针对相关控制运行的有效，获取充分、适当的审计证据： 　　（1）在评估认定层次重大错报风险时，预期控制的运行是有效的（即在确定实质程序的质、时间安排和范围时，注册会计师拟信赖控制运行的有效）； 　　（2）仅实施实质程序并不能够提供认定层次充分、适当的审计证据。 　　也就是说，如果以上两种情况均不存在，注册会计师可能对部分认定，甚至全部认定都不测试内部控制的运行有效。 　　在内部控制审计中，注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效的审计证据，以便对内部控制整体的有效发表审计意见。 　　（三）内部控制测试的期间要求不同 　　首先，在财务报表审计中，针对评估的认定层次重大错报风险，如果注册会计师选择综合方案，需要获取内部控制在整个拟信赖期间运行有效的审计证据，而在内部控制审计中，注册会计师对于基准日的内部控制运行有效发表意见，则仅需要对内部控制在基准日前足够长的时间（可能短于整个审计期间）内的运行有效获取审计证据。 　　其次，尽管连续审计时注册会计师在财务报表审计和内部控制审计中都可以考虑以前审计中所了解和测试的情况，但在执行内部控制审计时，注册会计师不得采用《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条中提及的“每三年至少对控制测试一次”的方法，而应当在每一年度审计中测试内部控制（对自动化应用控制在满足特定条件情况下所采用的与基准相比较策略除外）。 　　（四）对控制缺陷的评价和沟通要求不同 　　在内部控制审计中，注册会计师应当评价识别出的内部控制缺陷是否构成一般缺陷、重要缺陷或重大缺陷。在财务报表审计中，注册会计师需要确定识别出的内部控制缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷。 　　相应地，两者的沟通要求存在不同。在财务报表审计中： 　　1．注册会计师应当以书面形式及时向治理层通报值得关注的内部控制缺陷，致送书面沟通文件的时间可能根据注册会计师对治理层履行责任需要的考虑确定（对于上市实体，治理层可能需要在批准财务报表前收到注册会计师的沟通文件；对于其他实体，注册会计师可能会在较晚日期致送书面沟通文件，但需要满足完成最终审计档案的归档要求）。 　　2．注册会计师还应当及时向相应层级的层通报： 　　（1）已向或拟向治理层通报的值得关注的内部控制缺陷，除非在具体情况下不适合直接向层通报。此项应采用书面方式通报。 　　（2）在审计过程中识别出的、其他方未向层通报而注册会计师根据职业判断认为足够重要从而值得层关注的内部控制其他缺陷。此项对沟通形式没有强制要求，可以采用书面或口头形式。 　　在内部控制审计中： 　　对于重大缺陷和重要缺陷，注册会计师应当以书面形式与层和治理层沟通，书面沟通应在注册会计师出具内部控制审计报告前进行；如果注册会计师认为审计委员会和内部审计机构对内部控制的无效，应当就此以书面形式直接与董事会沟通。此外，注册会计师应当以书面形式与层沟通其在审计过程中识别的所有其他内部控制缺陷（包括注意到的非财务报告内部控制缺陷），并在沟通完成后告知治理层。 　　（五）审计报告的形式和内容以及所包括的意见类型不同 　　内部控制审计报告的形式和内容不同于财务报表审计报告。注册会计师应当分别按照中国注册会计师审计准则和《企业内部控制审计指引》及《企业内部控制审计指引实施意见》的相关规定，出具财务报表审计报告和内部控制审计报告。此外，内部控制审计报告不存在保留意见的意见类型，如果内部控制存在一项或多项重大缺陷，除非审计范围受到限制，注册会计师应当对内部控制发表否定意见；如果审计范围受到限制，注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。

注册会计师应当采用自上而下的方法选择拟测试的控制。
自上而下的方法始于财务报表层次，以注册会计师对内部控制整体风险的了解开始，然后，将关注重点放在企业层面的控制上，并将工作逐渐下移至重要账户、列报及其相关认定。随后，验证其对被审计单位业务流程中风险的了解，并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。
自上而下的方法分为下列步骤：
（1）从财务报表层次初步了解内部控制整体风险；
（2）识别、了解和测试企业层面控制；
（3）识别重要账户、列报及其相关认定；
（4）了解潜在错报的来源并识别相应的控制；
（5）选择拟测试的控制。
本部分第（二）至（五）对自上而下的方法的各个步骤进行了规定，第（六）至（十三）对控制有效测试进行了规定。 注册会计师应当识别、了解和测试对内部控制有效有重要影响的企业层面控制。注册会计师对企业层面控制的评价，可能增加或减少本应对其他控制进行的测试。
企业层面控制对其他控制及其测试的影响
不同的企业层面控制在质和精确度上存在差异，注册会计师应当从下列方面考虑这些差异对其他控制及其测试的影响：
（1）某些企业层面控制，如与控制环境相关的控制，对及时防止或发现并纠正相关认定的错报的可能有重要影响。虽然这种影响是间接的，但这些控制仍然可能影响注册会计师拟测试的其他控制，以及测试程序的质、时间安排和范围。
（2）某些企业层面控制旨在识别其他控制可能出现的失效情况，能够其他控制的有效，但还不足以精确到及时防止或发现并纠正相关认定的错报。当这些控制运行有效时，注册会计师可以减少对其他控制的测试。
（3）某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险，注册会计师就不必测试与该风险相关的其他控制。
企业层面控制的内容
企业层面控制包括下列内容：
（1）与控制环境（即内部环境）相关的控制；
（2）针对层和治理层凌驾于控制之上的风险而设计的控制；
（3）被审计单位的风险评估过程；
（4）对内部信息传递和期末财务报告流程的控制；
（5）对控制有效的内部（即其他控制的控制）和内部控制评价。
此外，集中化的处理和控制（包括共享的服务环境）、监控经营成果的控制以及针对重大经营控制及风险实务的政策也属于企业层面控制。
对期末财务报告流程的评价
期末财务报告流程对内部控制审计和财务报表审计有重要影响，
注册会计师应当对期末财务报告流程进行评价。
期末财务报告流程包括：
（1）将交易总额登入总分类账的程序；
（2）与会计政策的选择和运用相关的程序；
（3）总分类账中会计分录的编制、批准等处理程序；
（4）对财务报表进行调整的程序；
（5）编制财务报表的程序。
注册会计师应当从下列方面评价期末财务报告流程：
（1）被审计单位财务报表的编制流程，包括输入、处理及输出；
（2）期末财务报告流程中运用信息技术的程度；
（3）层中参与期末财务报告流程的人员；
（4）纳入财务报表编制范围的组成部分；
（5）调整分录及合并分录的类型；
（6）层和治理层对期末财务报告流程进行的质及范围。 注册会计师应当基于财务报表层次识别重要账户、列报及其相关认定。
如果某账户或列报可能存在一个错报，该错报单独或连同其他错报将导致财务报表发生重大错报，则该账户或列报为重要账户或列报。判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相关控制的影响。
如果某财务报表认定可能存在一个或多个错报，这些错报将导致财务报表发生重大错报，则该认定为相关认定。判断某认定是否为相
关认定，应当依据其固有风险，而不应考虑相关控制的影响。
为识别重要账户、列报及其相关认定，注册会计师应当从下列方面评价财务报表项目及附注的错报风险因素：
（1）账户的规模和构成；
（2）易于发生错报的程度；
（3）账户或列报中反映的交易的业务量、复杂及同质；
（4）账户或列报的质；
（5）与账户或列报相关的会计处理及报告的复杂程度；
（6）账户发生损失的风险；
（7）账户或列报中反映的活动引起重大或有负债的可能；
（8）账户记录中是否涉及关联方交易；
（9）账户或列报的特征与前期相比发生的变化。
在识别重要账户、列报及其相关认定时，注册会计师还应当确定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因，确定重大错报的可能来源。
在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素，与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。
如果某账户或列报的各组成部分存在的风险差异较大，被审计单位可能需要采用不同的控制以应对这些风险，注册会计师应当分别予以考虑。 注册会计师应当实现下列目标，以进一步了解潜在错报的来源，并为选择拟测试的控制奠定基础：
（1）了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记录；
（2）验证注册会计师识别出的业务流程中可能发生重大错报（包括由于舞弊导致的错报）的环节；
（3）识别被审计单位用于应对这些错报或潜在错报的控制；
（4）识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。
注册会计师应当亲自执行能够实现上述目标的程序，或对提供直接帮助的人员的工作进行督导。
穿行测试通常是实现上述目标的最有效方式。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。注册会计师在执行穿行测试时，通常需要综合运用询问、观察、检查相关文件及重新执行等程序。
在执行穿行测试时，针对重要处理程序发生的环节，注册会计师可以询问被审计单位员工对规定程序及控制的了解程度。实施询问程序连同穿行测试中的其他程序，可以帮助注册会计师充分了解业务流程，识别必要控制设计无效或出现缺失的重要环节。为有助于了解业务流程处理的不同类型的重大交易，在实施询问程序时，注册会计师不应局限于关注穿行测试所选定的单笔交易。 注册会计师应当针对每一相关认定获取控制有效的审计证据，以便对内部控制整体的有效发表意见，但没有责任对单项控制的有效发表意见。
注册会计师应当对被审计单位的控制是否足以应对评估的每个
相关认定的错报风险形成结论。因此，注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。
对特定的相关认定而言，可能有多项控制用以应对评估的错报风险；反之，一项控制也可能应对评估的多项相关认定的错报风险。注册会计师没有必要测试与某项相关认定有关的所有控制。
在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何。 注册会计师应当测试控制设计的有效。
如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。 注册会计师应当测试控制运行的有效。
如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，能够实现控制目标，则表明该项控制的运行是有效的。
如果被审计单位利用第三方的帮助完成一些财务报告工作，注册会计师在评价负责财务报告及相关控制的人员的专业胜任能力时，可以一并考虑第三方的专业胜任能力。
注册会计师获取的有关控制运行有效的审计证据包括：
（1）控制在所审计期间的相关时点是如何运行的；
（2）控制是否得到一贯执行；
（3）控制由谁或以何种方式执行。 在测试所选定控制的有效时，注册会计师应当根据与控制相关的风险，确定所需获取的审计证据。
与控制相关的风险包括一项控制可能无效的风险，以及如果该控制无效，可能导致重大缺陷的风险。与控制相关的风险越高，注册会计师需要获取的审计证据就越多。
下列因素影响与某项控制相关的风险：
（1）该项控制拟防止或发现并纠正的错报的质和重要程度；
（2）相关账户、列报及其认定的固有风险；
（3）交易的数量和质是否发生变化，进而可能对该项控制设计或运行的有效产生不利影响；
（4）相关账户或列报是否曾经出现错报；
（5）企业层面控制（特别是其他控制的控制）的有效；
（6）该项控制的质及其执行频率；
（7）该项控制对其他控制（如控制环境或信息技术一般控制）有效的依赖程度；
（8）执行该项控制或该项控制执行的人员的专业胜任能力，以及其中的关键人员是否发生变化；
（9）该项控制是人工控制还是自动化控制；
（10）该项控制的复杂程度，以及在运行过程中依赖判断的程度。 注册会计师通过测试控制有效获取的审计证据，取决于其实施
程序的质、时间安排和范围的组合。此外，就单项控制而言，注册会计师应当根据与控制相关的风险对测试程序的质、时间安排和范围进行适当的组合，以获取充分、适当的审计证据。
注册会计师测试控制有效的程序，按其提供审计证据的效力，由弱到强排序通常为：询问、观察、检查和重新执行。询问本身并不能为得出控制是否有效的结论提供充分、适当的审计证据。
测试控制有效的程序，其质在很大程度上取决于拟测试控制的质。某些控制可能存在反映控制有效的文件记录，而另外一些控制，如理念和经营风格，可能没有书面的运行证据。
对缺乏正式的控制运行证据的被审计单位或业务单元，注册会计师可以通过询问并结合运用其他程序，如观察活动、检查非正式的书面记录和重新执行某些控制，获取有关控制是否有效的充分、适当的审计证据。
注册会计师在测试控制设计的有效时，应当综合运用询问适当人员、观察经营活动和检查相关文件等程序。注册会计师执行穿行测试通常足以评价控制设计的有效。
注册会计师在测试控制运行的有效时，应当综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序。 对控制有效的测试涵盖的期间越长，提供的控制有效的审计证据越多。
单就内部控制审计业务而言，注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。在整合审计中，控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制
的期间保持一致。
注册会计师执行内部控制审计业务旨在对基准日内部控制有效出具报告。如果已获取有关控制在期中运行有效的审计证据，注册会计师应当确定还需要获取哪些补充审计证据，以证实剩余期间控制的运行情况。在将期中测试结果更新至基准日时，注册会计师应当考虑下列因素以确定需要获取的补充审计证据：
（1）基准日之前测试的特定控制，包括与控制相关的风险、控制的质和测试的结果；
（2）期中获取的有关审计证据的充分和适当；
（3）剩余期间的长短；
（4）期中测试之后，内部控制发生重大变化的可能。
针对所有重要账户和列报的每个相关认定，注册会计师应当获取控制有效的审计证据。《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条提及的“三年轮换测试”不适用（本意见第四部分提及的与基准相比较的策略除外）。 对控制有效测试的实施时间越接近基准日，提供的控制有效的审计证据越有力。为了获取充分、适当的审计证据，注册会计师应当在下列两个因素之间作出平衡，以确定测试的时间：
（1）尽量在接近基准日实施测试；
（2）实施的测试需要涵盖足够长的期间。
整改后的内部控制需要在基准日之前运行足够长的时间，注册会计师才能得出整改后的内部控制是否有效的结论。因此，在接受或保持内部控制审计业务时，注册会计师应当尽早与被审计单位沟通这一
情况，并合理安排控制测试的时间，留出提前量。例如，注册会计师在基准日前3个月完成期中测试工作。此外，由于对企业层面控制的评价结果将影响注册会计师测试其他控制的质、时间安排和范围，注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。 注册会计师在测试控制的运行有效时，应当在考虑与控制相关的风险的基础上，确定测试的范围（样本规模）。
注册会计师确定的测试范围，应当足以使其获取充分、适当的审计证据，为基准日内部控制是否不存在重大缺陷提供合理保证。
1．测试人工控制的最小样本规模
在测试人工控制时，如果采用检查或重新执行程序，注册会计师测试的最小样本量区间参见表1。
表1：测试人工控制的最小样本量区间 控制运行频率 控制运行总次数 测试的最小样本量区间 每年1次 1 1 每季1次 4 2 每月1次 12 2-5 每周1次 52 5-15 每天1次 250 20-40 每天多次 大于250次 25-60 在运用表1时，注册会计师应当注意下列事项：
（1）测试的最小样本量是指所需测试的控制运行次数；
（2）注册会计师应当根据与控制相关的风险，基于最小样本量
区间确定具体的样本规模；
（3）表1假设控制的运行偏差率预期为零。如果预期偏差率不为零，注册会计师应当扩大样本规模；
（4）如果注册会计师不能确定控制运行频率，但是知道控制运行总次数，仍可根据“控制运行总次数”一列确定测试的最小样本规模。
测试自动化应用控制的最小样本规模
信息技术处理具有内在一贯。在信息技术一般控制有效的前提下，除非发生变动，注册会计师只要对自动化应用控制的运行测试一次，即可得出所测试自动化应用控制是否运行有效的结论。
3．发现偏差时的处理
如果发现控制偏差，注册会计师应当确定其对下列事项的影响：
（1）与所测试控制相关的风险的评估；
（2）需要获取的审计证据；
（3）控制运行有效的结论。
评价控制偏差的影响需要注册会计师运用职业判断，并受到控制的质和所发现偏差数量的影响。如果发现的控制偏差是偏差或人为有意造成的偏差，注册会计师应当考虑舞弊的可能迹象以及对审计方案的影响。
在评价控制测试中发现的某项控制偏差是否为控制缺陷时，注册会计师可以考虑的因素包括：
（1）该偏差是如何被发现的。例如，如果某控制偏差是被另外一项控制所发现的，则可能意味着被审计单位存在有效的发现控制。
（2）该偏差是与某一特定的地点、流程或应用相关，还是对被审计单位有广泛影响。
（3）就被审计单位的内部政策而言，该控制出现偏差的严重程度。例如，某项控制在执行上晚于被审计单位政策要求的时间，但仍在编制财务报表之前得以执行，还是该项控制根本没有得以执行。
（4）与控制运行频率相比，偏差发生的频率大小。
由于有效的内部控制不能为实现控制目标提供绝对保证，单项控制并非一定要毫无偏差地运行，才被认为有效。在按照表1所列示的样本规模进行测试的情况下，如果发现控制偏差，注册会计师应当考虑偏差的原因及质，并考虑采用扩大样本量等适当的应对措施以判断该偏差是否对总体不具有代表。例如，对每日发生多次的控制，如果初始样本量为25个，当测试发现一项控制偏差，且该偏差不是偏差时，注册会计师可以扩大样本规模进行测试，所增加的样本量至少为15个。如果测试后再次发现偏差，则注册会计师可以得出该控制无效的结论。如果扩大样本量没有再次发现偏差，则注册会计师可以得出控制有效的结论。 在基准日之前，被审计单位可能为提高控制效率、效果或弥补控制缺陷而改变控制。
对内部控制审计而言，如果新控制实现了相关控制目标，且运行了足够长的时间，使注册会计师能够通过对该控制进行测试评价其设计和运行的有效，则无需测试被取代的控制。
对财务报表审计而言，如果被取代控制的运行有效对控制风险的评估有重大影响，注册会计师应当测试被取代控制的设计和运行的
有效。 注册会计师应当评估是否利用他人（包括被审计单位的内部审计人员、内部控制评价人员和其他人员以及在层或治理层指导下的第三方）的工作以及利用的程度，以减少可能本应由注册会计师执行的工作。如果他人的工作能够提供有关内部控制有效的审计证据，注册会计师可以利用其工作或者提供的直接帮助。
注册会计师应当参照《中国注册会计师审计准则第1411号——利用内部审计人员的工作》的规定，评价他人的专业胜任能力和客观，以确定可利用的程度。
在评价他人的专业胜任能力时，注册会计师应当考虑其专业资格、专业经验与技能等相关因素。在评价他人的客观时，注册会计师应当考虑是否存在某些因素，将削弱或者增强其客观。
无论他人的专业胜任能力如何，注册会计师都不应利用客观程度低的人员的工作。同样，无论他人的客观程度如何，注册会计师都不应利用专业胜任能力低的人员的工作。
被审计单位内部负责、稽核或合规工作的人员，如内部审计人员，通常拥有较高的专业胜任能力和客观。他们的工作可能对注册会计师有用。
注册会计师利用他人工作的程度还受到与所测试控制相关的风险的影响。与某项控制相关的风险越高，注册会计师应当越多地亲自对该项控制进行测试。
在识别、了解和测试企业层面控制时，注册会计师不得利用他人的工作。 如果服务机构提供的服务和对服务的控制，构成被审计单位与财务报告相关的信息（包括相关业务流程）的一部分，注册会计师应当按照《中国注册会计师审计准则第1241号——对被审计单位使用服务机构的考虑》的规定办理。
注册会计师在对被审计单位内部控制的有效发表意见时，不应在内部控制审计报告中提及服务机构注册会计师的报告。

内部控制审计和财务报表审计的区别：
　　（一）对内部控制进行了解和测试的目的不同
　　在财务报表审计和内部控制审计中，注册会计师都需要了解与审计相关的内部控制，并都可能涉及测试相关内部控制运行的有效，但两者目的不同。注册会计师在财务报表审计中了解和测试内部控制，是为了识别、评估和应对重大错报风险，据此确定实质程序的质、时间安排和范围，并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据，以支持对财务报表发表的审计意见；注册会计师在内部控制审计中了解和测试内部控制，是为了对内部控制的有效发表审计意见。
　　（二）测试内部控制运行有效的范围要求不同
　　在财务报表审计中，针对评估的认定层次重大错报风险，注册会计师可能选择采用实质方案或综合方案。如果采用实质方案，注册会计师可以不测试内部控制的运行有效；如果采用综合方案，注册会计师综合运用控制测试和实质程序，因而需要测试内部控制的运行有效。根据《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的相关规定，当存在下列情形之一时，注册会计师应当设计和实施控制测试，针对相关控制运行的有效，获取充分、适当的审计证据：
　　（1）在评估认定层次重大错报风险时，预期控制的运行是有效的（即在确定实质程序的质、时间安排和范围时，注册会计师拟信赖控制运行的有效）；
　　（2）仅实施实质程序并不能够提供认定层次充分、适当的审计证据。
　　也就是说，如果以上两种情况均不存在，注册会计师可能对部分认定，甚至全部认定都不测试内部控制的运行有效。
　　在内部控制审计中，注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效的审计证据，以便对内部控制整体的有效发表审计意见。
　　（三）内部控制测试的期间要求不同
　　首先，在财务报表审计中，针对评估的认定层次重大错报风险，如果注册会计师选择综合方案，需要获取内部控制在整个拟信赖期间运行有效的审计证据，而在内部控制审计中，注册会计师对于基准日的内部控制运行有效发表意见，则仅需要对内部控制在基准日前足够长的时间（可能短于整个审计期间）内的运行有效获取审计证据。
　　其次，尽管连续审计时注册会计师在财务报表审计和内部控制审计中都可以考虑以前审计中所了解和测试的情况，但在执行内部控制审计时，注册会计师不得采用《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条中提及的“每三年至少对控制测试一次”的方法，而应当在每一年度审计中测试内部控制（对自动化应用控制在满足特定条件情况下所采用的与基准相比较策略除外）。
　　（四）对控制缺陷的评价和沟通要求不同
　　在内部控制审计中，注册会计师应当评价识别出的内部控制缺陷是否构成一般缺陷、重要缺陷或重大缺陷。在财务报表审计中，注册会计师需要确定识别出的内部控制缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷。
　　相应地，两者的沟通要求存在不同。在财务报表审计中：
　　1．注册会计师应当以书面形式及时向治理层通报值得关注的内部控制缺陷，致送书面沟通文件的时间可能根据注册会计师对治理层履行责任需要的考虑确定（对于上市实体，治理层可能需要在批准财务报表前收到注册会计师的沟通文件；对于其他实体，注册会计师可能会在较晚日期致送书面沟通文件，但需要满足完成最终审计档案的归档要求）。
　　2．注册会计师还应当及时向相应层级的层通报：
　　（1）已向或拟向治理层通报的值得关注的内部控制缺陷，除非在具体情况下不适合直接向层通报。此项应采用书面方式通报。
　　（2）在审计过程中识别出的、其他方未向层通报而注册会计师根据职业判断认为足够重要从而值得层关注的内部控制其他缺陷。此项对沟通形式没有强制要求，可以采用书面或口头形式。
　　在内部控制审计中：
　　对于重大缺陷和重要缺陷，注册会计师应当以书面形式与层和治理层沟通，书面沟通应在注册会计师出具内部控制审计报告前进行；如果注册会计师认为审计委员会和内部审计机构对内部控制的无效，应当就此以书面形式直接与董事会沟通。此外，注册会计师应当以书面形式与层沟通其在审计过程中识别的所有其他内部控制缺陷（包括注意到的非财务报告内部控制缺陷），并在沟通完成后告知治理层。
　　（五）审计报告的形式和内容以及所包括的意见类型不同
　　内部控制审计报告的形式和内容不同于财务报表审计报告。注册会计师应当分别按照中国注册会计师审计准则和《企业内部控制审计指引》及《企业内部控制审计指引实施意见》的相关规定，出具财务报表审计报告和内部控制审计报告。此外，内部控制审计报告不存在保留意见的意见类型，如果内部控制存在一项或多项重大缺陷，除非审计范围受到限制，注册会计师应当对内部控制发表否定意见；如果审计范围受到限制，注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。