حسابرس باید برای ارزیابی خطرهای تحریف با اهمیت در سطح ادعاها و همچنین طراحی روش های حسابرسی لازم در برخورد با خطرهای برآوردی، شناخت کافی از فعالیتهای کنترلی کسب کند. فعالیتهای کنترلی، خط‌مشی‌ها و روشهایی است که از اجرای دستورهای مدیریت، اطمینان می‌دهد، برای مثال، می‌توان به اقدامات انجام شده برای مقابله با خطرهایی که رسیدن به اهداف واحد مورد رسیدگی را تهدید می‌کند، اشاره کرد. فعالیتهای کنترلی، اعم از پیش‌بینی شده در سیستمهای دستی یا رایانه‌ای، اهداف متعددی دارد و در بخشها و سطوح سازمانی مختلف اجرا می‌شود. نمونه‌هایی از فعالیتهای کنترلی، شامل موارد مرتبط با موضوعات زیر است:

تصویب
بررسیهای عملکرد
پردازش اطلاعات
کنترلهای فیزیکی
تفکیک وظایف
توجه اصلی حسابرس در کسب شناخت از فعالیتهای کنترلی به نحوه پیشگیری یا کشف و اصلاح تحریفهای با اهمیت در گروه های معاملات، مانده حسابها یا موارد افشای اطلاعات توسط یک فعالیت کنترلی خاص، به تنهایی یا همراه با سایر فعالیتهای کنترلی، است. فعالیتهای کنترلی مرتبط با حسابرسی، مواردی است که حسابرس آنها را برای کسب شناخت به منظور برآورد خطر تحریف با اهمیت در سطح ادعاها و طراحی و اجرای روش های حسابرسی لازم در برخورد با خطرهای برآوردی، ضروری تشخیص می‌دهد. در حسابرسی، شناخت همه فعالیتهای کنترلی مرتبط با موارد عمده از هرگروه معاملات، مانده حسابها و موارد افشا در صورتهای مالی یا هر ادعای مربوط به آنها ضرورت ندارد. تأکید حسابرس بر شناسایی و کسب شناخت از فعالیتهای کنترلی مربوط به زمینه‌هایی است که به تشخیص حسابرس، احتمال وقوع تحریف با اهمیت در آنها بیشتر است. هنگامی که فعالیتهای کنترلی متعدد به هدف یکسانی می‌رسد، کسب شناخت از هریک از فعالیتهای کنترلی مرتبط با چنین هدفی الزامی نیست.
حسـابرس اطلاعـات کسب شده از شنـاخت سـایر اجـزای کنتـرلهای داخلـی درباره وجود یا نبود فعالیتهای کنترلی را برای تعیین ضرورت کسب شناخت بیشتر از فعالیتهای کنترلی مورد توجه قرار می‌دهد. حسابرس در بررسی نحوه ارتباط فعالیتهای کنترلی با حسابرسی، خطرهای شناسایی شده‌ای را که ممکن است به تحریف با اهمیت بینجامد، مورد توجه قرار می‌دهد.
حسابرس باید از نحوه برخورد واحد مورد رسیدگی با خطرهای ناشی از فناوری اطلاعات، شناخت کسب کند. استفاده از فناوری اطلاعات، نحوه اجرای فعالیتهای کنترلی را تحت تأثیر قرار می‌دهد. حسابرس این موضوع را مورد توجه قرار می‌دهد که آیا واحد مورد رسیدگی با برقراری کنترلهای عمومی و کاربردی فناوری اطلاعات، برخورد مناسبی با خطرهای ناشی از فناوری اطلاعات داشته است. از نظر حسابرس، کنترلهای حاکم بر سیستمهای اطلاعاتی هنگامی مؤثر است که درستی و ایمنی اطلاعات مورد پردازش این سیستمها را حفظ کند.
کنترلهای عمومی فناوری اطلاعات، خط‌مشی‌ها و روشهایی است که به سیستمهای متعددی مربوط می‌شود و از طریق کمک به اطمینان یافتن از اجرای مناسب و مستمر سیستمهای اطلاعاتی، کارکرد مؤثر کنترلهای کاربردی را پشتیبانی می‌کند. کنترلهای عمومی فناوری اطلاعات که درستی و ایمنی اطلاعات را حفظ می‌کند معمولاً شامل کنترلهای مربوط به موارد زیر است:
عملیات مرکز داده‌ها و شبکه.
تحصیل، تغییر و نگهداری نرم‌افزار سیستم عامل.
ایمنی در برابر دسترسی غیر مجاز.
تحصیل، توسعه و نگهداری سیستم کاربردی.
کنترلهای کاربردی، روش های دستی یا خودکاری است که معمولاً در سطح عملیات تجاری اجرا می‌شود. کنترلهای کاربردی می‌تواند ماهیت پیشگیری‌کنندگی یا کشف‌کنندگی داشته باشد و برای حصول اطمینان از درستی سوابق حسابداری طراحی می‌شود. از این‌رو، کنترلهای کاربردی به روش های مورد استفاده در شروع، ثبت، پردازش و گزارش معاملات یا سایر اطلاعات مالی مربوط می‌شود. این کنترلها در کسب اطمینان از این که معاملات رخ داده‌اند، به تصویب رسیده‌اند و به طور کامل و درست ثبت و پردازش شده‌اند، کمک می‌کند. نمونه‌هایی از این کنترلها شامل کنترل داده‌های ورودی و کنترل شماره سریال همراه با پیگیری دستی گزارشهای موارد استثنا یا اصلاح هنگام ورود داده‌هاست.
۲-۱۷- نظارت بر کنترلها
حسابرس باید از انواع فعالیتهای عمده مورد استفاده واحد مورد رسیدگی برای نظارت بر کنترلهای داخلی حاکم بر گزارشگری مالی، شامل موارد مرتبط با فعالیتهای کنترلی مربوط به حسابرسی و نحوه شروع اقدامات اصلاحی واحد مورد رسیدگی درباره کنترلهای آن، شناخت کسب کند.
نظارت بر کنترلها، فرایندی برای ارزیابی اثربخشی اجرای کنترلهای داخلی در طول زمان است. این نظارت شامل ارزیابی طراحی و اجرای به موقع کنترلها و انجام اقدامات اصلاحی ضروری، متناسب با تغییرات در شرایط است. مدیریت، نظارت بر کنترلها را از طریق فعالیتهای مستمر، ارزیابی های جداگانه، یا ترکیبی از هر دو، اعمال می‌کند. فعالیتهای نظارتی مستمر اغلب در فعالیتهای مستمر عادی واحد مورد رسیدگی تعبیه می‌شود و شامل فعالیتهای معمول مدیریتی و سرپرستی می‌باشد.
بسیاری از اطلاعات مورد استفاده در امر نظارت ممکن است به‌وسیله سیستم اطلاعاتی واحد مورد رسیدگی تهیه شود. چنانچه مدیریت‌ فرض‌کند که اطلاعات مورد استفاده برای نظارت، درست است بدون آن که برای این فرض مبنایی داشته باشد، اشتباهاتی ممکن است در آن اطلاعات وجود داشته باشد که بالقوه موجب نتیجه‌گیری نادرست مدیریت از فعالیتهای نظارتی خود شود. حسابرس از منابع اطلاعاتی مربوط به فعالیتهای نظارتی واحد مورد رسیدگی و مبنای مدیریت در ارزیابی کفایت قابلیت اعتماد اطلاعات برای هدف مورد نظر، شناخت کسب می‌کند. هنگامی که حسابرس بخواهد از اطلاعات تهیه شده توسط واحد مورد رسیدگی برای فعالیتهای نظارتی، مانند گزارشهای حسابرسان داخلی، استفاده کند، فراهم نمودن مبنایی قابل اعتماد توسط اطلاعات و کفایت جزئیات آن برای هدف حسابرس را ارزیابی می‌کند.

۲-۱۸- برآورد خطرهای تحریف با اهمیت
حسابرسان باید خطرهای تحریف با اهمیت را در سطح صورتهای مالی و در سطح ادعاهای مربوط به گروه های معاملات، مانده حسابها و موارد افشا، شناسایی و برآورد کند. حسابرس برای این منظور:
خطرها را از طریق فرایند کسب شناخت از واحد مورد رسیدگی و محیط آن، شامل کنترلهای مربوط به خطرها و نیز ارزیابی‌‌‌گروه های معاملات، مانده حسابها و موارد افشا در صورتهای مالی، شناسایی می‌کند.
خطرهای شناسایی شده را به آنچه که می‌تواند درسطح ادعا اشتباه باشد، ربط می‌دهد.
خطرهایی که بالقوه می‌تواند به تحریف با اهمیت در صورتهای مالی بینجامد و احتمال بالفعل شدن این خطرها را ارزیابی می‌کند.
حسابرس اطلاعات گردآوری شده از طریق اجرای روش های برآورد خطر، شامل شواهد حسابرسی کسب شده درارزیابی طراحی کنترلها و تعیین نحوه اجرای آنها را، به‌عنوان شواهد حسابرسی برای پشتیبانی از برآورد خطر، مورد استفاده قرار می‌دهد. حسابرس از برآورد خطر برای تعیین ماهیت، زمانبندی اجرا و میزان روش های حسابرسی لازم استفاده می‌کند.
حسابرس تعیین می‌کند که آیا خطرهای تحریف با اهمیت شناسایی شده به موارد خاصی از گروه های معاملات، مانده حسابها و موارد افشا و ادعاهای مرتبط با آنها مربوط می‌شود یا این که به نحو فراگیرتری با کلیت صورتهای مالی سر و کار دارد و بالقوه ادعاهای بیشتری را تحت تأثیر قرار می‌دهد. خطرهای اخیر (خطر در سطح صورتهای مالی) به ویژه ممکن است از یک محیط کنترلی ضعیف ناشی شود.
ماهیت خطرهای ناشی از محیط کنترلی ضعیف به‌گونه‌ای است که احتمالاً به یک خطر تحریف بااهمیت خاص در گروه های معاملات، مانده حسابها و موارد افشا محدود نمی‌شود. به عبارت دیگر، ضعفهایی چون عدم صلاحیت مدیریت می‌تواند اثر فراگیرتری بر صورتهای مالی داشته باشد و ممکن است مستلزم برخورد جامعتری توسط حسابرس باشد.
حسابرس برای برآورد خطر ممکن است کنترلهایی را شناسایی کند که احتمالاً بتواند تحریف با اهمیت در ادعاهای خاص را پیشگیری یا کشف و اصلاح نماید. حسابرس معمولاً از کنترلها شناخت بدست می‌آورد و آنها را به ادعاهایی ربط می‌دهد‌که در فرایند‌ها و سیستمها وجود دارد. انجام چنین عملی مفید است چون هریک از فعالیتهای کنترلی اغلب به خودی خود به یک خطر مربوط نمی‌شود. اغلب، چندین فعالیت کنترلی همراه با سایر اجزای کنترلهای داخلی، برای مقابله با یک خطر، لازم است.برعکس، برخی فعالیتهای کنترلی ممکن است بریک ادعای بخصوص مربوط به یک گروه معاملات یا مانده حساب خاص اثری ویژه داشته باشد. برای مثال، فعالیتهای کنترلی که واحد مورد رسیدگی برای اطمینان یافتن از شمارش و ثبت درست موجودیهای پایان سال توسط کارکنان خود، برقرار می‌کند، مستقیما به ادعاهای وجود و کامل بودن مانده حساب موجودی مواد و کالا مربوط می‌شود.
کنترلها می‌تواند بطور مستقیم یا غیر مستقیم به یک ادعا مربوط شود. هرچه ارتباط یک کنترل غیر مستقیم‌تر باشد، اثربخشی آن کنترل در پیشگیری یا کشف و اصلاح تحریفها در آن ادعا ممکن است کمتر باشد. برای مثال، بررسی خلاصه فروش فروشگاه های هرمنطقه توسط مدیر فروش، معمولاً به طور غیر مستقیم با ادعای کامل بودن درآمد فروش ارتباط دارد. از این‌رو، این امر ممکن است درکاهش خطر مرتبط به آن ادعا، از کنترلهایی که ارتباط مستقیم‌تری با آن ادعا دارند، مانند مطابقت مدارک حمل با صورتحساب فروش، اثربخشی کمتری داشته باشد.
شناخت حسابرس از کنترلهای داخلی ممکن است تردیدهایی را درباره قابلیت حسابرسی صورتهای مالی واحد مورد رسیدگی ایجاد کند. نگرانی درباره صداقت مدیریت واحد مورد رسیدگی ممکن است چنان جدی باشد که حسابرس را به این نتیجه برساند که احتمال ارائه نادرست صورتهای مالی توسط مدیریت در حدی است که انجام حسابرسی میسر نیست. همچنین نگرانی در باره وضعیت و قابلیت اعتماد سوابق واحد مورد رسیدگی ممکن است سبب این نتیجه‌گیری حسابرس شود ‌که دسترسی به شواهد حسابرسی مناسب و کافی برای اظهارنظر مقبول درباره صورتهای مالی امکان‌پذیر نیست. حسابرس درچنین شرایطی، ارائه نظر مشروط، یا عدم‌اظهارنظر را مورد توجه قرار می‌دهد، اما گاه، تنها چاره حسابرس ممکن است کناره‌گیری از کار باشد.
۲-۱۹- خطرهای عمده مستلزم توجه خاص حسابرس
تعیین خطرهای عمده، که در بیشتر حسابرسیها پیش می‌آید، به قضاوت حرفه‌ای حسابرس بستگی دارد. حسابرس برای این قضاوت، اثر کنترلهای شناسایی شده مرتبط با خطر را درنظر می‌گیرد تا این موضوع را مشخص کند که آیا ماهیت خطر، آثار احتمالی تحریف بالقوه (شامل امکان این که خطر به تحریفهای متعدد بینجامد) و احتمال وقوع خطر چنان می‌باشد که مستلزم توجه خاص حسابرس گردد. معاملات عادی و غیر پیچیده‌ای‌که به طور سیستماتیک پردازش می‌شود احتمال کمتری دارد که به‌خطرهای عمده بینجامد، زیرا، خطرهای ذاتی آنها کمتر است. ازسوی دیگر، خطرهای عمده اغلب از خطرهای تجاری که ممکن است به تحریف با اهمیت بینجامد، ناشی می‌شود. حسابرس در بررسی ماهیت خطرها، موضوعاتی شامل موارد زیر را مورد توجه قرار می‌دهد:
این که آیا خطر، خطر تقلب است.
مربوط بودن خطر به تحولات عمده اخیر در زمینه‌های اقتصادی، حسابداری یا غیره به‌نحوی که مستلزم توجه خاص باشد.
پیچیدگی معاملات.
ارتباط خطر با معاملات عمده با اشخاص وابسته.
میزان ذهنی بودن اندازه‌گیری اطلاعات مالی مربوط به خطر، به ‌ویژه در موارد وجود ابهامات متعدد در اندازه‌گیری.
ارتباط خطر با معاملات عمده خارج از روال عادی فعالیت تجاری واحد مورد رسیدگی یا معاملاتی که به هر دلیل، غیرعادی به‌نظر می‌رسد.
خطرهای عمده اغلب به معاملات عمده غیرمعمول و موضوعات عمده قضاوتی مربوط می‌شود. معاملات غیرمعمول، معاملاتی است که از لحاظ اندازه یا ماهیت، غیر عادی باشد و از این رو، به ندرت رخ می‌دهد. موضوعات قضاوتی می‌تواند شامل انجام برآوردهای حسابداری در مواردی باشد که ابهام اندازه‌گیری عمده‌ای وجود دارد.
خطرهای تحریف با اهمیت می‌تواند در مورد خطرهای مربوط به معاملات عمده غیرمعمول ناشی از موضوعاتی چون موارد زیر، بیشتر باشد :
دخالت زیاد مدیریت در تعیین نحوه عمل حسابداری.
دستی بودن بخش عمده‌ای از عملیات گردآوری و پردازش اطلاعات.
محاسبات یا استانداردهای حسابداری پیچیده.
ماهیت معاملات غیرمعمول‌که ممکن است واحد مورد رسیدگی را در اعمال کنترلهای مؤثر نسبت به خطرها با دشواری روبرو کند.
خطرهای تحریف با اهمیت ممکن است در مورد خطرهای مربوط به موضوعات قضاوتی عمده‌ای بیشتر باشد که مستلزم انجام برآوردهای حسابداری به دلیل موضوعاتی چون موارد زیر است :
استانداردهای حسابداری مربوط به برآوردهای حسابداری یا شناخت درآمد عملیاتی ممکن است به‌گونه‌ای متفاوت تفسیر شود.
قضاوت لازم ممکن است ذهنی، پیچیده یا نیازمند مفروضاتی درباره آثار رویدادهای آتی باشد، برای مثال، قضاوت درباره ارزش منصفانه.
حسابرس باید در مورد خطرهای عمده، طراحی کنترلهای مربوط توسط واحد مورد رسیدگی، شامل فعالیتهای کنترلی مربوط را ارزیابی و چگونگی اجرای آنها را مشخص کند. شناخت حسابرس از کنترلهای واحد مورد رسیدگی در ارتباط با خطرهای عمده، به‌منظور فراهم نمودن اطلاعات مناسب برای اتخاذ یک رویکرد مؤثر حسابرسی، الزامی است. مدیریت باید از خطرهای عمده آگاه باشد، اما، خطرهای مربوط به معاملات غیرمعمول یا موضوعات قضاوتی عمده، اغلب احتمال کمتری دارد که مشمول کنترلهای عادی شود. از این‌رو، شناخت حسابرس از نحوه طراحی و اجرای کنترلها در مورد این خطرهای عمده توسط واحد مورد رسیدگی، شامل نحوه برخورد مدیریت با خطرها و نحوه اجرای فعالیتهای کنترلی (مانند بررسی مفروضات توسط مدیران ارشد یا کارشناسان، فرایندهای مدون انجام برآوردها یا تصویب توسط هیئت مدیره) برای مدیریت خطرهاست. برای مثال، در مواردی که رویدادی مانند دریافت اخطاریه در مورد دعوای حقوقی عمده وجود دارد، توجه به برخورد واحد مورد رسیدگی شامل موضوعاتی مانند نحوه ارجاع آن به کارشناسان مناسب (مانند مشاور حقوقی درون یا برون سازمانی)، چگونگی برآورد اثر بالقوه و چگونگی افشای موضوع در صورتهای مالی می‌باشد.
۲-۱۹-۱- خطرهایی‌که‌آزمونهای محتوا، به‌تنهایی شواهد حسابرسی مناسب و کافی برای آنها فراهم نمی‌کند
حسابرس با شناخت سیستم اطلاعاتی واحد مورد رسیدگی در ارتباط با گزارشگری مالی، می‌تواند خطرهای تحریف با اهمیتی را شناسایی کند که مستقیما به ثبت و نگهداری سوابق گروه های معاملات یا مانده‌ حسابهای عادی و تهیه صورتهای مالی قابل اعتماد مربوط می‌شود. این خطرها شامل خطرهای پردازش نادرست یا ناقص است. معمولاً، این خطرها به گروه های معاملات عمده‌ای مانند درآمدهای عملیاتی، خریدها و دریافتها یا پرداختهای نقدی واحد مورد رسیدگی مربوط می‌شود.
معاملات تجاری معمول، اغلب به طور خودکار پردازش می‌شود. درچنین شرایطی، ممکن است اجرای آزمونهای محتوا به تنهایی در رابطه با خطر جوابگو نباشد. برای مثال، درشرایطی که بخش عمده‌ای از اطلاعات واحد مورد رسیدگی، به طور الکترونیکی، مثلاً از طریق یک سیستم یکپارچه، شروع، ثبت، پردازش وگزارش می‌شود، حسابرس ممکن است تشخیص دهد که طراحی آزمونهای محتوای مؤثری که به تنهایی شواهد حسابرسی مناسب و کافی فراهم کندکه گروه های معاملات یا مانده حسابهای مربوط به‌طور با اهمیتی تحریف نشده است، میسر نیست. درچنین شرایطی، شواهد حسابرسی ممکن است تنها به شکل الکترونیکی در دسترس باشد و کافی و مناسب بودن آن معمولاً به اثر بخشی کنترلهای حاکم بر درست وکامل بودن آن بستگی دارد. افزون بر این، چنانچه اطلاعات تنها به‌طور الکترونیکی شروع، ثبت و پردازش یا گزارش شود و کنترلهای مناسب بطور مؤثر اعمال نشود، احتمال شروع نادرست یا تغییر اطلاعات و عدم کشف آن بیشتر می‌شود.
۲-۱۹-۲- تجدید نظر در برآورد خطر