内部控制是企业的一项重要管理活动。近年来，各国政府监管机构、企业界和会计职业界对内部控制的重视程度日益提升，企业内部控制审计业务由原来的一次性业务或面向少数企业的业务变成了与财务报表审计一样的经常性业务。而对于如何做好内部控制审计，很多审计人员仍旧不得其法，本书便是一部内部控制审计实务指南。
本书汇集了作者团队在内部控制审计领域多年积累的丰厚理论研究成果和丰富实践经验。在介绍了一些内部控制审计的基础知识后，本书详细论述了整体层面内部控制审计、资金活动内部控制审计、采购业务内部控制审计、资产管理内部控制审计、销售业务内部控制审计、工程项目内部控制审计、财务报告内部控制审计、全面预算内部控制审计、合同管理内部控制审计、信息系统内部控制审计的实务及案例。作者以深入浅出的方式介绍了内部控制审计的具体流程与方法，并辅以案例解析，带领读者充分透视内部控制审计，全面掌握内部控制审计实战技巧。
本书适合审计机关、内部审计机构、社会审计机构及其人员，内部控制与风险管理人员、咨询人员等阅读和使用。

高雅青，北京中天恒会计师事务所、北京中天恒达工程咨询有限责任公司董事长，注册会计师、高级审计师，曾在审计署从事基本建设政府审计工作，长期从事审计理论研究和实务工作。

第1章 内部控制审计概述及案例
第1节 基本概念
第2节 内容和要点
第3节 程序和方法
一、内部控制审计程序
二、内部控制审计方法
第4节 实务案例
一、某央企内部控制审计程序和方法案例
二、某上市公司内部控制审计工作方案案例
三、某集团内部控制审计报告案例
四、某研究院内部控制审计发现缺陷及管理建议案例
第2章 整体层面内部控制审计实务及案例
第1节 基本概念
第2节 内容和要点
一、内部环境审计的内容和要点
二、风险评估审计的内容和要点
三、控制活动审计的内容和要点
四、信息与沟通审计的内容和要点
五、内部监督审计的内容和要点
第3节 程序和方法
第4节 实务案例
一、乌亥公司内部环境审计实务案例
二、乌亥公司风险评估审计实务案例
三、乌亥公司控制活动审计实务案例
四、乌亥公司信息与沟通审计实务案例
五、乌亥公司内部监督审计实务案例
第3章 资金活动内部控制审计实务及案例
第1节 基本概念
第2节 内容和要点
第3节 程序和方法
一、调查了解
二、风险评估
三、控制测试
第4节 实务案例
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
五、审计评价
六、形成意见
第4章 采购业务内部控制审计实务及案例
第1节 基本概念
第2节 内容和要点
第3节 程序和方法
一、调查了解
二、风险评估
三、控制测试
第4节 实务案例
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
五、审计评价
六、形成意见
第5章 资产管理内部控制审计实务及案例
第1节 基本概念
第2节 内容和要点
第3节 程序和方法
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
第4节 实务案例
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
五、审计评价
六、形成意见
第6章 销售业务内部控制审计实务及案例
第1节 基本概念
第2节 内容和要点
第3节 程序和方法
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
第4节 实务案例
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
五、审计评价
六、形成意见
第7章 工程项目内部控制审计实务及案例
第1节 基本概念
第2节 内容和要点
第3节 程序和方法
一、调查了解
二、控制测试
三、评价缺陷
第4节 实务案例
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
五、审计评价
六、形成意见
第8章 财务报告内部控制审计实务及案例
第1节 基本概念
第2节 内容和要点
第3节 程序和方法
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
第4节 实务案例
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
五、形成意见
第9章 全面预算内部控制审计实务及案例
第1节 基本概念
第2节 内容和要点
第3节 程序和方法
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
第4节 实务案例
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
五、审计评价
六、形成意见
第10章 合同管理内部控制审计实务及案例
第1节 基本概念
第2节 内容和要点
第3节 程序和方法
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
第4节 实务案例
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
五、审计评价
六、形成意见
第11章 信息系统内部控制审计实务及案例
第1节 基本概念
第2节 内容和要点
第3节 程序和方法
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
第4节 实务案例
一、调查了解
二、风险评估
三、控制测试
四、评价缺陷
五、审计评价
六、形成意见

随着内部控制日益重要
，不论是审计机关、内审机
构，还是社会审计机构（会
计师事务所），都越来越重
视内部控制审计工作，并将
其作为现代审计的一项重要
内容。内部控制审计实务到
底包括哪些内容、如何审计
，这是值得深入研究和探索
的实践课题。经长期实践和
研究，我们编写了本书。
对于内部控制审计，人
们的认识很不一致。内部控
制审计有制度基础审计、内
部控制审核、内部控制测试
、内部控制评价等多种称谓
，也有多种定义。本书将内
部控制审计简单定义为对特
定基准日内部控制有效性独
立进行的监督工作。
本书认为，内部控制审
计不是制度基础审计，而是
对内部控制这一对象进行的
专项审计，属于专项审计的
范畴。内部控制审计是对被
审计单位内部控制有效性单
独发表意见，与作为其他审
计形式的一个环节来决定实
质性测试的深度和广度的内
部控制测试不同，它需要擅
长经营管理的审计人员，采
用必要的审计程序，专门就
被审计单位内部控制的设计
与运行的有效性进行审查和
评价，编制内部控制审计工
作底稿，取得充分的审计证
据，依据审计结果，仅就内
部控制设计与运行的有效性
出具审计报告。
本书认为，内部控制审
计不是内部控制评价，两者
是相互独立、并行不悖的，
既有联系，又有区别。组织
实施内部控制评价和内部控
制审计必须按照不同的规则
独立完成，两者之间不能相
互替代和免除。鉴证类内部
控制审计是对内部控制评价
报告进行审计并发表意见，
是一种对结果的认定；而内
部控制评价是一种循环往复
的过程，组织通过这一过程
不断完善内部管理。内部控
制审计是由审计人员独立进
行测试并得出结论的；而内
部控制评价是由管理层对本
组织的内部控制有效性进行
测试并得出结论的。本书认
为，会计师事务所接受委托
对管理层内部控制评价报告
进行审计并发表意见，这属
于鉴证性质。会计师事务所
从事的鉴证性质的内部控制
审计，应针对管理层内部控
制评价报告进行审计并提出
结论。审计人员对管理层内
部控制评价报告进行审计，
其责任在于确定管理层内部
控制评价报告的怡当性，关
注的重点是内部控制评价报
告是否符合实际，内部控制
是否有效只是审计人员判断
内部控制评价报告是否恰当
的基础。审计报告要明确提
及管理层内部控制评价报告
。如果被审计单位内部控制
存在缺陷，但管理层在内部
控制评价报告中已做充分披
露，那么审计人员仍然可以
出具无保留意见的审计报告
。只有当被审计单位内部控
制存在缺陷，而管理层未发
现或未做适当披露时，审计
人员才可能出具保留意见或
否定意见的审计报告。
本书认为，审计机关、
内审机构进行的内部控制审
计是为了满足监督和管理需
裂，属于管理市计的范畴，
不是鉴证性质的，应该直接
对特定基准日内部控制设计
与运行的有效性进行审计并
出具报告。会计师事务所受
托从事上述内部控制审计业
务，也不是鉴证性质的，属
于基于外部监管和内部管理
需要的管理类审计。
在实际工作中，会计师
事务所接受委托所从事的内
部控制审计包括基于满足政
府监管部门要求的鉴证类审
计和基于内部管理需要的管
理类审计。基于内部管理需
要的管理类审计大多是由内
部审计机构委托的，需要满
足委托人的特殊要求。注册
会计师在执业时区分这两类
内部控制审计的要求很重要
。
在审计实务中，不论是
财务报表审计、经济责任审
计，还是经济效益审计等审
计类型，都把内部控制的健
全、有效性作为一项重要审
计内容，而不是把内部控制
审计作为一种独立的审计类
型。
如把内部控制审计作为
独立的审计类型，内部控制
审计应如何进行？具体可分
为两种形式。一是独立审计
形式。内部控制审计是对内
部控制的有效性发表意见，
对象是内部控制，应出具单
独的审计报告。二是整合审
计形式。整合审计形式就是
将内部控制审计与财务报表
审计整合进行的一种审计形
式。这两种形式各有特点：
独立审计有利于提高审计工
作质量，但审计效率较低，
也会增加审计成本；整合审
计可以提高审计工作效率，
但难以提高内部控制审计的
工作质量。
审计机关、内审机构进
行的内部控制审计和会计师
事务所接受委托从事的非鉴
证类的内部控制审计，应该
采用独立审计形式。否则，
就没有必要进行这类内部控
制审计。
关于内部控制审计内容
，现实的做法也不一致。一
般把内部控制整体框架及其
要素作为内部控制审计内容
，即对控制环境、风险评估
、控制活动、信息与沟通和
内部监督五要素或内部环境
、目标设定、事件识别、风
险评估、风险反应、控制活
动、信息与沟通和内部监督
八要素进行审查和评价。
本书认为，把内部控制
整体框架及其要素作为内部
控制审计内容是重要的，但
这是基本的整体层面上的内
部控制审计内容，还应把业
务层面上的内部控制作为内
部控制审计的重要内容。如
不把业务层面的内部控制作
为审计重点，内部控制审