询问

分析程度

观察和检查

其他审计程序

其他信息来源

在所有业务阶段都非常必要

并非所有的经营风险都与财务报表相关、注会没有责任识别或评估对财务报表没有影响的经营风险

并非所有的经营风险都会导致重大错报风险

了解和评价的内部控制只是与财务报表审计相关的内部控制，并非所有的内部控制

虽然内控应用于整个被审计单位或所有经营部门或业务流程 ，但是了解与每个经营部门和业务流程相关的内控，可能与审计无关

评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试

审计程序：询问、观察、检查、穿行测试

了解内部控制与测试控制运行有效性的关系（除非可以使控制得到一贯运行的自动化控制，否则注会对控制的了解并不足以测试控制运行的有效性）

决策时人为判断可能出现错误和人为失误而导致内部控制失效

控制可能由于两个或多人串通或管理层不当地凌驾于内控部制之上而被规避

人员素质不适应岗位

不经常发生或未预计到的业务

控制环境

风险评估过程

信息系统和沟通

控制活动

对控制的监督

整体层面

业务流程层面

财务报表层次的重大错报风险很可能源于薄弱的控制环境

在评估重大错报发生的可能性时，除了考虑可能的风险外，还要考虑控制对风险的抵消和遏制作用

当考虑出具保留意见或无法表示意见的审计报告：

在判断哪些风险是特别风险时，注册会计师不应考虑识别出的控制对相关风险的抵消效果

非常规交易和判断事项导致的特别风险

对特别风险，注册会计师应当评价相关控制的设计情况，并确定是否已经得到执行

如果管理未能实施控制以恰当应对特别风险，注册会计师应当认为内部控制存在重大缺陷，并考虑其对风险评估的影响

应当评价对被审计单位针对这些风险设计的控制，并确认执行的情况。（也就是必须控制测试）