对风险的评估预期控制的运行是有效的和实质性检查不足以提供充分、适当的审计证据时，就应当实施控制测试，以获取控制运行有效性的审计证据。应当获取的控制有效运行的审计证据有：

（1）控制在所审计期间的不同地点是如何运用的；

（2）控制是否得到一贯执行；

（3）控制由谁执行；

（4）控制以什么方法执行。

如果被审计单位在所审计期间内的不同时期使用了不同的控制，审计人员应当考虑不同时期控制运行的有效性。审计人员可考虑在进行控制设计恰当性测试时测试控制运行的有效性，以提高审计效率。

（一）控制测试的性质

（1）审计人员应当选择不同类型的审计程序以获取有关控制运行有效性的保证。计划的保证水平越高，获取的审计证据就更加可靠；如以控制测试为主，应获取具有更高保证水平的反映有关控制运行有效性的审计证据。

（2）审计人员应当根据特定控制的性质选择适当的审计程序的类型。如采用检查文件程序、询问和其他程序，以获取有关控制运行有效性的审计证据。询问和观察、检查或重新执行审计程序结合使用，才会更为有效。

（3）在设计控制测试时，审计人员应当考虑与审计目标直接相关控制及间接相关控制有效运行的审计证据的获取。

（4）对于自动化的应用控制，审计人员可以利用该项控制得以执行的审计证据和信息技术一般控制运行有效性的审计证据，作为支持该项控制在相关期间运行有效的审计证据。

（5）审计人员在实施控制测试的同时，可考虑对同一交易实施细节测试。

（6）如果审计人员实施实质性检查发现了重大风险而被审计单位没有识别，通常表明被审计单位的内部控制存在重大缺陷，审计人员应与管理当局和治理当局进行沟通。

（二）控制测试的时间

控制测试的时间取决于审计人员的目的，并决定了依赖相关控制的时间。如果只测试特定时期的控制，则仅能得到该时点控制有效运行的审计证据；如果测试某一期间的控制，就能获取控制在该期间有效运行的审计证据。

（1）如果已获取有关控制在期中有效运行的审计证据，审计人员应当考虑下列因素，以确定对剩余时间有效运行的额外审计证据的获取：

①评估的风险重要程度；

②在期中测试的特定控制；

③对有关控制运行有效性获取的审计证据的程度；

④剩余时间的长度；

⑤在依赖控制的基础上拟减少进一步实质性程序的范围；

⑥控制环境；

⑦在剩余期间内部控制发生重大变化的性质和范围。

（2）审计人员如果拟依赖以前审计获取的有效的审计证据，应当通过实施询问并结合观察或检查程序，获取这些控制是否已经发生变化的审计证据；审计人员信赖自上次测试后已发生变化的控制，应当在当期审计中测试这些控制的运行有效性；审计人员拟信赖自上次测试后发生变化的控制，应当至少每三年对这些控制的运行有效性测试一次。

（3）审计人员在确定以前有关控制运行有效性的审计证据是否适当以及再次测试控制时间间隔时，应当考虑以下因素：(www.daowen.com)

①内部控制其他要素的有效性，包括控制环境、监督、风险评估等；

②控制特征（人工控制还是自动化控制）产生的风险；

③信息技术一般控制的有效性；

④控制设计及其运行的有效性，包括过去测试中发现的控制偏离的性质和程度；

⑤特定控制未适应环境变化，是否构成风险；

⑥重大风险和对控制信赖的程度。

（4）审计人员可根据下列情况，缩短再次测试控制的时间间隔或完全不信赖以前所获取的审计证据：

①控制环境薄弱；

②对控制监督乏力；

③相关控制中人工控制的成分较大；

④对控制运行产生重大影响的人事变动；

⑤环境的变化表明需要对控制作出相应的变动；

⑥信息技术一般控制薄弱。

对一些控制，如果认为利用以前的审计证据是适当的，审计人员在每次审计时可分散抽取部分进行测试；审计人员如确认是特别风险时，并拟信赖旨在减轻特别风险的控制，应当从当期测试中获取有效性运行的审计证据。

（三）控制测试的范围

审计人员在控制测试中，应获取控制在拟信赖的整个期间有效运行的充分、适当的审计证据。在确定某项控制的测试范围时，审计人员通常应考虑下列因素：

（1）在所审计期间，被审计单位执行控制的频率；

（2）在所审计期间，审计人员拟信赖控制运行有效性的时间长度；

（3）为证实控制能够防止或发现并纠正重大差错时，所需获取审计证据的相关性与可靠性；

（4）通过测试与认定相关的其他控制所获取的审计证据的范围；

（5）在风险评估时拟信赖控制运行有效性的程度；

（6）控制的预期偏差。

审计人员在风险评估时，对控制运行有效性拟信赖程度越高，实施控制测试的范围就越大。控制的预期偏差越高，控制测试和范围就越大。由于信息技术处理具有内在一贯性，审计人员通常不需要增加自动化控制的测试范围。