为了解企业内部控制执行情况，通过对内部控制的健全性、合理性及有效性进行了解、测试、评价，揭示存在的风险，并提出改进的建议，促使企业内部控制制度有效、高效运行，使企业各项经营目标得以实现，特进行内部控制独立审计。

  企业内部审计部门在编制年度审计计划时，应以风险为导向确定本年计划开展的内部控制审计项目及审计时间、重点、范围和组织方式等。内部控制审计既可以作为独立的审计项目组织实施，也可以与其他审计项目合并进行。

  一、审计依据和要求

  审计依据是审计署《审计机关内部控制评价准则》、财政部等五部委《企业内部控制基本规范》、中国内部审计协会《内部审计具体准则第5号——内部控制审计》及企业有关规定。

  审计要求主要包括：审计人员进行内部控制测评中，在对主要业务循环的划分、关键控制点的确定、控制风险水平的评估及运用内部控制测评结果进行实质性测试程序时，均应保持应有的职业谨慎，合理运用专业判断。审计人员的责任是对内部控制的健全性、合理性和有效性进行测试和评价。审计人员应当保持应有的职业谨慎，关注内部控制的固有限制，获取充分、适当的证据，将审计风险降低至可接受的水平。内部审计部门可根据审计项目实施方案确定的审计目标以及被审计单位、被审计事项的实际情况，有针对性地确定审计范围、内容和重点。

  二、审计的内容和重点

  1．控制环境审计。主要检查企业经营规模及经营活动的复杂程度，管理权限的集中程度，管理行为守则的健全性和有效性，法人治理结构的健全性和有效性，各管理层人员的知识与技能，组织结构和职责划分的合理性，重要岗位人员的权责相称程度及其胜任能力，员工聘用程序及培训制度，员工业绩考核与激励机制。

  2．风险评估审计。主要检查企业是否建立风险管理机制，是否具备对抗风险的能力；如何确定可能引发风险的内外因素；如何评估风险概率、重要性及预计带来的后果；如何将风险概率与管理目标、经营计划和财务报告等相关内容联系起来，存在哪些可能发生错弊的业务环节和活动领域，采取了哪些措施以及效果如何。

  3．控制活动审计。主要检查企业所有经营活动是否适当授权；人员岗位职责分工是否合理，能否有效控制各种记录并保证其真实性；接近资产和记录是否存在限制；是否设立审核程序，是否有效执行；内部控制是否发生变化，执行或监督内部控制的关键人员是否发生变动；控制活动对企业目标实现的作用。

  4．信息与沟通审计。主要检查企业主要业务类别及处理程序；企业能否及时、准确、完整地处理所有信息；获取企业内外部财务信息和非财务信息的能力如何；管理信息系统的安全可靠性。

  5．监督审计。主要检查企业有关内部监督制度是否健全；是否设立内部监督机构；内部监督机构是否定期评价内部控制；管理层对内部控制进行自我评估和改进情况等。

  三、内部控制审计的程序及方法

  审计程序一般包括调查了解内部控制，描述内部控制，初步评价内部控制，评估控制风险，进行符合性测试，进行实质性测试。

  ——了解内部控制。通过适当方法调查了解企业内部控制设立情况。包括询问被审计单位的有关人员，查阅被审计单位的政策和规章制度手册，审查内部控制生成的凭证和记录，观察被审计单位的经营活动，选择若干具有代表性的交易和