注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。

（一）企业层面和业务层面控制测试

注册会计师在测试企业层面控制时，应当把握重要性原则，至少应当关注：

①与内部环境相关的控制；

②针对董事会、管理层凌驾于控制之上的风险而设计的控制；

③企业的风险评估过程；

④对内部信息传递和财务报告流程的控制；

⑤对控制有效性的内部监督和自我评价。

注册会计师在测试业务层面控制时，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。

针对业务层面控制测试时，注册会计师应当关注信息系统对内部控制及风险评估的影响。

注册会计师在测试企业层面控制和业务层面控制时，应当评价内部控制是否足以应对舞弊风险。

（二）设计与运行有效性测试

注册会计师应当测试内部控制设计与运行的有效性。(www.daowen.com)

如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。

如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。

注册会计师应当根据与内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。与内部控制相关的风险越高，注册会计师需要获取的证据应越多。

注册会计师在测试控制设计与运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。询问本身并不足以提供充分适当的证据。

（三）测试时间安排

注册会计师在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据。

（1）尽量在接近企业内部控制自我评价基准日实施测试。

（2）实施的测试需要涵盖足够长的期间。

（四）控制偏差影响分析

注册会计师对于内部控制运行偏离设计的情况（即控制偏差），应当确定该偏差对相关风险评估需要获取的证据以及控制运行有效性结论的影响。

在连续审计中，注册会计师在确定测试的性质、时间安排和范围时，应当考虑以前年度执行内部控制审计时了解的情况。