第一，内部控制环境，即评价以公司治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化在内的内部控制环境对企业经营管理活动的影响。

第二，风险评估，即分析企业风险控制目的设置的合理性，评价开展风险评估范畴的全面性、风险评估结果的有效性和风险应对策略的科学性。

第三，控制活动，即评价企业根据风险评估结果设置的内部控制措施的科学性和控制效果的有效性。

第四，内部控制信息和沟通，即评价企业内部控制相关信息在收集、处理和传递程序的科学性，分析信息技术在内部控制信息和沟通中所发挥作用的情况，判断企业在反舞弊工作重点领域相关工作机制的有效性。

第五，内部监督制度，即分析企业内部审计机构和其他内部机构在内部监督中的职责权限情况，判断企业实施内部监督的程序、方法、目的等要求的科学性，有效性。

内部控制审计是内部控制的再控制，它是企业改善经营管理、提高经济效益的自我需要。

财政部、审计署、证监会、银监会、保监会《企业内部控制基本规范》是内部控制审计的重要依据。依据沪深两市上市公司内部控制指引，沪深两市鼓励上市公司董事会开展内部控制自我评估，在披露年报时披露内部控制自我评估报告，并且同时披露负责年报审计的会计师事务所的审核评价意见。

一般地，由直属于董事会或者监事会的审计委员会、独立董事负责内部控制审计，也可以委托不负责年审的会计师事务所开展内部控制审计。

内部控制审计的目标是检查并评价内部控制的合法性、充分性、有效性及适宜性。内部控制的合法性、充分性、有效性及适宜性，具体表现为其能够保障资产、资金的安全，即保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。所以，我们可以将内部控制审计的具体目标概括为：检查并评价内部控制能否确保资产、资金的安全，即检查并评价内部控制能否保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。

内部控制审计目标与财务报表审计目标。内部控制审计的前四个目标实际就是财务报表审计的具体目标。企业管理层向外提供一张资产负债表，表上反映有多少资产，其明示或暗示了这样几个声明：资产负债表上反映的资产是存在的、是完整的、是属于自身的、金额是正确的。相应地，外部财务报表审计的具体目标也就是鉴证企业管理层的这些声明是否属实。

那么内部控制审计与财务报表审计在具体审计目标上有什么不同呢？归纳为两点：

1、财务报表审计直接评价的是财务报表，或者说直接评价资产、资金本身的安全状态，其目标对象是资产、资产本身，而内部控制审计直接评价的是内部控制能否保障资产、资金的安全，其目标对象是内部控制，而资产、资金只是作为中间的观察对象而存在。

2、财务报表审计主要评价财务报表所反映的存量资产、资金的“静的安全”，一般不评价资产、资金的“动的安全”，即不评价资产、资金在流转中的增值性；而由于内部控制既要保障资产、资金静的安全，又要保障其动的安全，所以内部控制审计既检查资产、资金的“静的安全”，又检查资产、资金的“动的安全”。

1、了解企业的内部控制情况，并做出相应的记录。这是内部控制制度审计的第一步，其主要目的是通过一定手段，了解被审计单位已经建立的内部控制制度及执行的情况，并做出记录、描述。

2、初步评价内部控制的健全性。确认内部控制风险，确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解，对被审计单位内部控制有了一个初步的认识的基础上，应对内部控制风险和内部控制的可依赖程度做出初步评价。

3、实施符合性测试程序，证实有关内部控制的设计和执行的效果。通过对内部控制进行初步评价，可基本掌握被审计单位内部控制的强弱环节，为进行符合性测试确定一个前提。

4、评价内部控制的强弱，评价控制风险，确定在内部控制薄弱的领域扩展审计程序，制定实质性审计方案。

（一）询问相关人员；

（二）观察经营活动；

（三）检查相关文件；

（四）穿行测试；

（五）重新执行；

（六）询证

（七）其他

（一）内部控制审计计划及重大修改情况；

（二）相关风险评估和选择拟测试的内部控制的主要过程及结果；

（三）测试内部控制设计与运行有效性的程序及结果；

（四）对识别的控制缺陷的评价；

（五）形成的审计结论和意见；

（六）其他重要事项。

（一）无保留意见；

（二）否定意见；

（三）无法表示意见。

1．内部控制审计的性质

内部控制审计业务是一项专门鉴证业务，注册会计师执行这一业务时，应当事先与委托人就内部控制审核范围达成一致意见。凡是业务约定书确定的内部控制审核范围，注册会计师都要进行审核。

2．内部控制审计的范围

内部控制审计的范围限于特定日期与财务报表相关的内部控制。通常，注册会计师对某特定日期的内部控制进行审核。特定日期可以是会计年度结束日，也可以是某中期结束日。注册会计师对某特定日期的内部控制审核时，应在接近于此日期之前的一段时间内对内部控制进行了解和测试，并对该日期的内部控制有效性发表审核意见。

3．相关责任

被审计单位管理层应当就内部控制的有效性提供书面认定，其作用类似于财务报表，它用于明确被审核单位管理层建立健全内部控制并保持其有效性的责任。

（一）《证券法》（中华人民共和国主席令[2005]第43号）第149条；

（二）《企业内部控制基本规范》（财会[2008]7号）；

（三）《证券公司管理办法》（中国证券监督管理委员会令[2001] 第5号）第31条；

（四）《证券公司客户资产管理业务试行办法》（中国证券监督管理委员会令[2003]第17号）；

（五）《公开发行证券的公司信息披露内容与格式准则第2号<年度报告的内容与格式>》（证监公司字[2007]212号）第9条；

（六）《上海证券交易所上市公司内部控制指引》（2006年）2100433B

（1）审计内部控制鉴证是一项专门的鉴证业务。审计师执行审计业务时，也要对内部控制进行评价，其目的是评价控制风险,决定审计策略，是为完成审计目标服务的。

与此不同，内部审计鉴证的目的是要专门研究内部控制的有效性，并在审核结束后发表审核意见。

（2）审计内部控制鉴证的范围限定于特定日期与财务报表相关的内部控制。一般说来，审计时对内部控制进行测试的范围更广泛，需要对内部控制的各个重要方面都进行评价。但在审计内部控制鉴证业务中，要评价的领域和期间通常经过审计师和委托企业的管理当局双方讨论并确定下来，其审核范围直接取决于双方的约定。

（3）被审核单位管理当局应当就内部控制的有效性提供书面认定。审计师提供审计业务时通过对内部控制的了解和测试,对财务报表总体得出结论。而审计内部控制鉴证则仅对内部控制的有效性发表意见，不需要对报表总体发表意见。

1、了解内部控制的设计

审计师应当实施以下程序，以了解内部控制的设计：

（1）询问被鉴证单位的有关人员；

（2）检查内部控制生成的文件和记录；

（3）观察被鉴证单位的经营管理活动。

2、评价内部控制设计的合理性

审计师应当在了解内部控制各要素的基础上，根据内部控制能否防止和发现与财务报表认定相关的重大错报，评价内部控制设计的合理性。

在确定评价特定内部控制设计合理性的程序时，审计师应当考虑以下因素：

（1）特定内部控制的性质；

（2）描述特定内部控制的方式；

（3）经营活动及其管理系统的复杂性。

3、测试和评价内部控制执行的有效性

在测试内部控制执行的有效性时，通常实施以下程序：

（1）询问被鉴证单位的有关人员；

（2）特定内部控制在实现控制目标中的重要性；

（3）对被鉴证单位特定内部控制执行有效性进行测试的性质和范围；

（4）特定内部控制未得到遵循的风险。

有些内部控制是连续执行的，而有些内部控制只在特定的时间内执行，审计师应当根据内部控制的性质及其执行的时间和频率，合理确定控制测试的性质、时间和范围。在这样的情况下，即被鉴证单位的管理当局在对内部控制有效性做出认定之前已对内部控制的有效性加以改进，如果审计师能够确定新的内部控制可以实现相关目标，并且已经在适当的时间内有效的执行，那么审计师可以不考虑改进前内部控制设计的合理性和执行的有效性。

对已发现的内部控制重大缺陷，审计师应当及时以书面形式与被鉴证单位进行沟通。在判断某项内部控制缺陷单独或连同其他内部控制缺陷是否为重大缺陷时，审计师应当考虑潜在的错误或舞弊可能导致错报的金额和性质。

审计师应当就以下重要事项向管理当局获取书面声明：

（1）管理当局对建立健全内部控制并保持其有效性负责；

（2）管理当局已对内部控制的有效性进行了评价；

（3）管理当局已做出特定日期与财务报表相关的内部控制有效性的认定；

（4）管理当局已向审计师告知内部控制在设计和执行方面存在的重大缺陷；

（5）管理当局已向审计师告知发生的重大舞弊，以及虽然并不重大但涉及管理人员或在内部控制过程中起关键作用的员工的其他舞弊；

（6）期后发生的内部控制变化和可能影响内部控制的其他因素，包括管理当局针对重大缺陷采取的各项改进措施。

如果管理当局拒绝提供有关内部控制的书面声明，审计师应当将其视为鉴证范围受到限制，并考虑管理当局提供的其他声明的可靠性。

4、出具内部鉴证报告

审计师应当对审核证据进行复核和评价，形成审核意见，出具报告。

审计内部控制鉴证报告应当包括以下基本内容：

（1）标题；（2）收件人；（3）引言段；（4）范围段；

（5）固有限制段；（6）意见段；

（7）签章和会计师事务所地址；（8）报告日期。

以上是基本要素，具体要求如下：

（1）报告的标题统一为“审计内部控制鉴证报告”。

（2）报告的收件人应当为鉴证业务的委托人，鉴证报告应当载明收件人的全称。

（3）鉴证报告的引言段应当说明以下内容：被鉴证单位管理当局对特定日期与财务报表相关的内部控制有效性的认定；被鉴证单位管理当局的责任；审计师的责任。

（4）报告的范围段应当说明以下内容：审计依据，即《内部控制审核指导意见》；鉴证程序；实施的鉴证程序为审计师发表意见提供了合理的基础。

（5）报告的固有限制段应当说明以下内容：

内部控制的固有限制；

根据内部控制评价结果推测未来内部控制有效性的风险。

（6）报告的意见段应当说明被鉴证单位于特定日期是否在所有重大方面保持了与财务报表相关的有效的内部控制。

（7）报告应当由审计师签名并盖章，加盖会计师事务所公章，标明会计师事务所地址。

（8）报告日期是指审计师完成外勤工作的日期。

下面以无保留意见的审计内部控制鉴证报告为例，来说明内部控制审核报告的格式和措辞。 2100433B

《电网企业管理岗位培训教材（试用）：电网企业内部控制审计管理（C级）》共11章，内容包括：内部控制审计框架基本概念、内部控制审计一般程序、内部控制审计方法、资产管理内容控制审计等。