风险评估：

识别关键风险：企业面临着各种内外部风险，如市场风险、信用风险、运营风险等。审计人员需要准确识别对企业影响较大的关键风险，以便确定内部控制的重点领域。例如，对于一家制造业企业，原材料价格波动、市场需求变化、生产安全事故等可能是关键风险。

评估风险影响程度：确定风险发生的可能性及其对企业目标的影响程度。这需要审计人员综合考虑企业的战略目标、经营环境、行业特点等因素。例如，如果一家企业的主要市场在海外，汇率波动可能对其财务状况产生重大影响，因此汇率风险的评估就显得尤为重要。

制定风险应对策略：审查企业是否针对识别出的风险制定了相应的风险应对策略，包括风险规避、风险降低、风险转移和风险承受等。例如，企业可以通过签订远期外汇合约来降低汇率风险，或者通过购买商业保险来转移部分风险。

控制活动：

业务流程控制：对企业的主要业务流程进行审查，包括采购、销售、生产、财务等环节，确保各个环节的控制活动有效执行。例如，在采购环节，审计人员需要检查采购申请、审批、招标、合同签订、验收、付款等流程是否规范，是否存在漏洞和风险。

授权审批控制：审查企业的授权审批制度是否健全，是否明确了各级管理人员的审批权限和责任。例如，重大投资决策、资金支付、合同签订等事项是否经过了适当的审批程序，是否存在越权审批的情况。

会计核算控制：检查企业的会计核算制度是否符合会计准则和法规的要求，会计凭证、账簿、报表的编制是否准确、完整。例如，审计人员需要审查企业的收入确认、成本核算、资产计价等会计处理是否正确，是否存在虚增收入、隐瞒成本等问题。

资产安全控制：关注企业资产的安全管理，包括货币资金、存货、固定资产等。审查企业是否建立了资产清查制度，是否定期对资产进行盘点，是否采取了有效的措施防止资产的损失和浪费。例如，对于货币资金，企业是否实行了收支两条线管理，是否存在坐支现金的情况；对于存货，企业是否建立了库存管理制度，是否定期进行盘点和对账。

信息与沟通：

内部信息传递：审查企业内部信息传递的渠道是否畅通，信息是否及时、准确地传递给相关人员。例如，企业是否建立了内部报告制度，各部门之间是否能够及时沟通和协调，重大事项是否能够及时上报管理层。

外部信息沟通：关注企业与外部利益相关者的信息沟通情况，包括投资者、债权人、监管机构、客户、供应商等。审查企业是否及时、准确地向外部披露信息，是否积极回应外部利益相关者的关切和诉求。例如，企业是否按照规定及时披露财务报告和重大事项，是否与投资者保持良好的沟通和互动。

信息系统控制：检查企业信息系统的安全性和可靠性，确保信息系统能够为企业的经营管理提供有效的支持。例如，审计人员需要审查企业信息系统的访问权限设置是否合理，数据备份和恢复机制是否健全，是否存在信息系统漏洞和风险。

内部监督：

内部审计机构设置：审查企业是否设立了独立的内部审计机构，内部审计机构的人员配备、职责权限是否明确。例如，内部审计机构是否能够独立地开展工作，是否有足够的人员和资源支持内部审计工作的开展。

内部审计工作开展：关注内部审计机构的工作开展情况，包括审计计划的制定、审计项目的实施、审计报告的出具等。审查内部审计机构是否按照规定的程序和方法开展审计工作，是否能够发现企业内部控制中的问题并提出有效的改进建议。

缺陷整改跟踪：检查企业对内部审计发现的问题和缺陷的整改情况，是否建立了有效的整改跟踪机制。例如，企业是否制定了整改计划，明确了整改责任人和整改期限，是否对整改情况进行了跟踪和检查，确保问题得到彻底解决。

二、难点

内部控制环境复杂：

企业文化和价值观：企业文化和价值观对企业内部控制的有效性有着深远的影响。如果企业的文化和价值观不利于内部控制的建设和执行，如存在短期行为、个人主义、不诚信等问题，将给内部控制审计带来很大的困难。例如，一些企业过于追求短期业绩，可能会忽视内部控制的重要性，导致内部控制制度形同虚设。

治理结构和组织架构：企业的治理结构和组织架构是否合理，也会影响内部控制的有效性。如果企业的治理结构不完善，董事会、监事会和管理层之间的职责不清、权力制衡机制不健全，将给内部控制审计带来很大的挑战。例如，一些企业的董事会和管理层职责重叠，缺乏有效的监督机制，容易导致决策失误和权力滥用。

人员素质和能力：企业员工的素质和能力也是影响内部控制有效性的重要因素。如果企业员工缺乏必要的知识和技能，或者职业道德水平不高，将给内部控制审计带来很大的困难。例如，一些企业的财务人员不熟悉会计准则和法规，可能会导致会计核算错误；一些企业的销售人员为了追求业绩，可能会采取不正当的销售手段，给企业带来法律风险。

内部控制标准不统一：

不同行业和企业的差异：不同行业和企业的经营特点和风险状况不同，内部控制的重点和要求也会有所差异。因此，在进行内部控制审计时，很难制定统一的审计标准和方法，需要根据不同行业和企业的特点进行个性化的审计。例如，金融行业和制造业的内部控制重点和要求就有很大的不同，金融行业更加注重风险管理和合规性，而制造业更加注重生产过程的控制和成本管理。

法律法规和监管要求的变化：随着经济环境的变化和法律法规的不断完善，企业内部控制的标准和要求也在不断变化。审计人员需要及时了解和掌握新的法律法规和监管要求，调整审计标准和方法，以确保审计的有效性。例如，近年来，随着企业会计准则的不断修订和完善，企业的会计核算和财务报告要求也在不断变化，审计人员需要及时更新自己的知识和技能，以适应新的审计要求。

内部控制审计方法和技术的局限性：

抽样审计的风险：内部控制审计通常采用抽样审计的方法，即从企业的内部控制体系中抽取一部分样本进行审查，以推断整个内部控制体系的有效性。然而，抽样审计存在一定的风险，如果样本选择不当或者样本量不足，可能会导致审计结论不准确。例如，一些企业的内部控制体系存在缺陷，但由于抽样审计的局限性，没有被发现，从而给企业带来潜在的风险。

信息技术的挑战：随着信息技术的不断发展，企业的经营管理越来越依赖于信息系统。然而，信息系统的复杂性和安全性也给内部控制审计带来了很大的挑战。审计人员需要具备一定的信息技术知识和技能，才能对企业的信息系统进行有效的审计。例如，审计人员需要了解信息系统的架构、功能、数据流程等方面的知识，才能发现信息系统中的风险和漏洞；同时，审计人员还需要掌握信息系统审计的方法和技术，如数据采集、数据分析、系统测试等，才能对信息系统的安全性和可靠性进行有效的评估。

内部审计机构的独立性和性不足：

独立性问题：内部审计机构作为企业内部的监督机构，其独立性是保证审计有效性的关键。然而，在实际工作中，内部审计机构往往受到企业管理层的影响，缺乏足够的独立性。例如，一些企业的内部审计机构在人员编制、经费预算、绩效考核等方面受制于管理层，难以独立地开展工作；一些企业的内部审计机构与其他部门之间存在利益冲突，影响了审计的客观性和公正性。

性问题：内部审计机构的性也是影响审计有效性的重要因素。如果内部审计机构的性不足，其提出的审计建议和意见难以得到有效执行，审计的作用就会大打折扣。例如，一些企业的内部审计机构在企业中的地位较低，缺乏足够的权力和资源支持，其提出的审计建议和意见往往被忽视或搁置；一些企业的内部审计机构与其他部门之间缺乏有效的沟通和协调机制，导致审计建议和意见难以得到落实。