第二十一条   企业层面的控制在性质和精准度方面的差异对控制及其测试有下列影响：
　　（一）某些企业层面的控制，例如某些内部环境的控制，对及时防止或发现错报的可能性具有重要而间接的影响；
　　（二）某些企业层面的控制能够监督其他控制的有效性。当这些控制运行有效时，注册会计师可以减少对其他控制的测试；
　　（三）某些企业层面的控制在精确运行时足以及时防止或发现一个或多个相关认定中存在的错报。如果一项企业层面的控制足以应对已评估的错报风险，注册会计师不必测试与该风险相关的额外控制。
　　第二十二条   企业层面的控制包括：
　　（一）与内部环境相关的控制；
　　（二）针对管理层凌驾于内部控制之上而采用的控制；
　　（三）企业的风险评估；
　　（四）集中处理和控制，包括共享的服务环境；
　　（五）监督经营结果的控制；
　　（六）对其他控制的监督控制，包括内部审计职能部门、审计委员会等的活动；
　　（七）针对期末财务报告流程的控制；
　　（八）应对重大经营控制及风险管理实务的政策。
　　第二十三条   由于内部环境对维护有效的内部控制具有重要影响，注册会计师应当评价企业的内部环境。
　　在评价内部环境时，注册会计师应当评估下列事项：
　　（一）管理层的理念和经营风格是否能够促进有效的内部控制；
　　（二）健全的诚实正直和道德价值观（特别是高层管理人员的）是否已经形成并为大家所了解；
　　（三）审计委员会是否了解并履行对财务报告和内部控制的监督责任。
　　第二十四条   由于期末财务报告流程对财务报告以及注册会计师针对内部控制和发表的意见具有重要影响，注册会计师应当对期末财务报告流程进行评价。
　　第二十五条   在评价期末财务报告流程时，注册会计师应当评估下列事项：
　　（一）企业为生成年报和季报而使用的流程的输入、执行的程序及输出；
　　（二）期末财务报告流程中涉及信息技术的程度；
　　（三）管理层参与期末财务报告流程的具体人员；
　　（四）期末财务报告流程涉及的经营场所；
　　（五）调整分录及合并分录的类型；
　　（六）管理层、董事会和审计委员会对期末财务报告流程进行监督的性质及范围。
　　第二节   流程层面控制的测试
　　第二十六条   注册会计师应当识别重大的账户、列报及相关认定。
　　第二十七条   在识别重大账户、列报及相关认定时，注册会计师应当评价财务报表及相关列报的性质以及数量方面的风险因素。
　　与识别重大账户、列报及相关认定有关的风险因素包括：
　　（一）账户的规模和构成；
　　（二）对因错误或舞弊导致的错报的敏感度；
　　（三）通过账户处理或在列报中反映的交易的业务量、复杂性及同质性；
　　（四）账户或列报的性质；
　　（五）与账户或列报相关的会计处理及报告的复杂程度；
　　（六）账户容易发生损失的程度；
　　（七）由账户或列报中反映的活动引起重大或有负债的可能性；
　　（八）账户中关联方交易的存在情况；
　　（九）账户或列报特征与前期相比发生的变化。
　　第二十八条   注册会计师应当根据在特定的重大账户或列报中错报发生的领域和原因，确定潜在错报的可能来源。
　　第二十九条   注册会计师确定的重大账户、列报及相关认定应当与财务报表审计中确定的相同。
　　第三十条   当一家企业有多个经营场所或经营单位时，注册会计师应当在合并财务报表的基础上识别重大的账户、列报及相关认定。
　　第三十一条   在了解潜在错报的可能来源作为选择拟测试控制的基础时，注册会计师应当实现下列目标：
　　（一）了解与相关认定有关的交易的流程，包括这些交易如何生成、批准、处理及记录；
　　（二）验证注册会计师已在企业流程中识别出的重大错报发生环节（包括舞弊导致的错报）；
　　（三）识别管理层用于应对这些潜在错报的控制；
　　（四）识别管理层用于及时防止或发现未经授权的、将导致财务报表发生重大错报的采购、使用或处置企业资产的控制。
　　第三十二条   注册会计师应当按照《中国注册会计师审计准则第1211号----了解被审计单位及其环境并评估重大错报风险》的规定，考虑信息技术对内部控制及拟评估风险的影响。
　　第三十三条   在执行穿行测试时，注册会计师使用的凭证和信息技术应当与企业员工使用的凭证和信息技术相同，以追踪某笔交易发生后经过企业的流程处理（包括信息系统），直至被反映在企业财务记录中的整个过程。
　　注册会计师在执行穿行测试程序时，通常需要综合运用询问、观察、检查相关凭证以及重新执行控制等程序。
　　第三十四条   在针对重要处理程序执行穿行测试时，注册会计师可以询问企业员工对企业规定程序及控制所要求内容的了解程度。
　　第三十五条   注册会计师应当测试对得出控制是否有效结论有重要影响的控制。
　　第三十六条   对于特定的相关认定，可能有多项控制应对评估的错报风险，注册会计师没有必要测试与某个相关认定有关的所有控制。
　　第三十七条   在确定某项控制是否作为拟测试的控制时，注册会计师应当考虑该项控制单独或连同其他控制是否足以应对特定相关认定的评估的错报风险。
　　第三十八条   在测试控制设计的有效性时，注册会计师应当确定企业的内部控制，如果由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行，能否实现控制目标和有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊。
　　第三十九条   在测试控制设计的有效性时，注册会计师应当综合运用询问适当人员、观察企业经营活动和检查相关文件等程序。
　　第四十条   在测试控制运行的有效性时，注册会计师应当确定控制是否正在按照设计运行、执行人员是否拥有有效执行控制所需的授权和专业胜任能力。
　　第四十一条   在测试控制运行的有效性时，注册会计师应当综合运用询问适当人员、观察企业经营活动、检查相关文件以及重新执行内部控制等程序。