(1)控制风险的初步评估。注册会计师在了解被审计单位的内部控制并对固风险进行评估后,应当对各重要账户或交易类别的相关认定所涉及的控制风险做出初步评估,评估时,应当尊循稳健性原则,宁可高估控制风险,不可低估控制风险。
(2)符合性测试与控制风险的进一步评估。注册会计师如拟信赖内部控制,应当实施符合性测试程序,根据其结果评估控制风险:评估内部控制的设计和运行是否与控制风险的初步评估结论相一致,如果存在偏差,应当修正对控制风险的评估,并据以修改实质性测试程序的性质、时间和范围。
(3)实质性测试与控制风险的最终评估。注册会计师在终结审计之前,应当根据实质性测试的结果和其他审计证据,对控制风险进行最终评估,并检查其是否与控制风险的初步结论相一致。如果不一致,如实质性测试结果表明,控制风险水平高于控制风险的初步评估水平,可能意味着根据对控制风险初步评估结论而设计的实质性测试程序不能将检查风险降低至可接受的水平。在这种情况下,注册会计师应当考虑是否追加相应的审计程序。