（二）制定审计计划

根据所掌握的控制环境及其对行为和财务报告完整性的影响，制定审计计划，确定项目负责人和项目团队成员，界定角色、责任和资源；制定项目计划、方法和报告要求。对风险的考虑应贯穿整个计划过程。

以往控制测试往往流于形式，空有其表，其原因之一就是审计人员并不具备判断企业内控是否有效的能力。企业的内控制度，往往是管理层经过长期摸索逐步建立起来的，作为审计师，仅仅花几天或几周的时间，就要搞清楚企业内控在设计和运转上可能的漏洞，谈何容易，没有足够的经验以及对企业管理的理解，是无法形成正确的对内控的理解的。因此，在制定审计计划，必须分配好合适的项目人员，对项目助理人员做好具有针对性的审前培训与督导，并且根据需要，制定利用专家的计划。

（三）识别公司层面的内部控制。并完成公司层面的评估公司层面的内部控制，主要是指公司治理层面的内部控制，属于控制环境。AS 5允许减少业务流程层次的测试，尤其是在公司整体层面的控制较强，并且和业务流程层次的控制紧密相连时；或者公司整体层面的控制足以防止或发现相关认定的重大错报。这就需要注册会计师识别公司层面的重大风险并作出恰当的评估。

公司层面的内部控制，包括对公司部门、人员的权责利划分、重大政策决策流程与重大风险管理政策、管理层的风险测评流程、反舞弊控制、公司内控自我评测流程等，注册会计师应评估公司层面控制对流程层面的控制评估有何影响。

注册会计师还应识别各流程的责任人，并与其沟通，掌握其是否明确责任。其中，需重点对审计委员会的人员构成、工作方式、在公司监管中的实际地位、行使职能是否受到制约等进行全面的评估。

评估的焦点应放在风险上，如果某一事项从财务报告内部控制风险的角度来看是重要的，就必须重点关注。风险评估理念应贯穿审计的全过程。

（四）测试各相关财务报告目标的关键控制

选择那些针对最关键财务报告目标的流程控制，并对这些控制的设计有效性进行评估。应重点识别那些用来管理会对财务报告产生影响的重要流程的流程层面监督性控制，实务中的审计办法是从公司的财务报表着手，识别对财务报表有重大影响的相关业务活动和流程目标，选择关键会计科目和会计报表事项。

在对公司层面评估的基础上，应考虑重要性水平，以及财务报表和其他支持性会计科目余额、交易或其他支持性信息出现重大错报的可能性，分析财务报告中的关键风险防范事项，并从数量和性质两方面考虑会计科目和披露事项的重要性。