一、全面性原则

内部控制审计应当涵盖企业所有的业务活动和管理环节，包括财务、运营、合规等各个方面。

业务活动全覆盖：

对企业的核心业务流程，如采购、生产、销售、研发等进行全面审查。例如，在采购环节，要审查供应商选择、采购合同签订、货物验收、付款审批等各个子流程的内部控制情况；在销售环节，要审查客户信用评估、销售订单处理、发货管理、应收账款回收等流程的内部控制。

对于企业的非核心业务活动，如后勤保障、行政管理等也不能忽视。这些业务活动虽然不直接产生经济效益，但如果内部控制不到位，也可能给企业带来风险。例如，办公用品的采购和管理如果缺乏有效的内部控制，可能会导致浪费和资产流失。

管理环节全涉及：

包括企业的战略规划、组织架构、人力资源管理、信息系统管理等各个管理环节。例如，在战略规划方面，要审查企业战略目标的制定是否合理、战略执行的监控机制是否健全；在组织架构方面，要审查各部门的职责划分是否清晰、权力制衡机制是否有效；在人力资源管理方面，要审查员工招聘、培训、绩效考核、薪酬管理等环节的内部控制。

二、重要性原则

在全面审计的基础上，重点关注对企业经营管理有重大影响的业务活动和风险领域。

识别重大风险领域：

通过风险评估，确定企业面临的重大风险，如市场风险、信用风险、运营风险等。例如，对于一家金融企业，信用风险和市场风险可能是重大风险领域，需要重点关注信贷审批、风险管理、投资决策等环节的内部控制；对于一家制造业企业，生产安全风险和供应链风险可能是重大风险领域，需要重点关注生产过程中的安全管理、供应商管理等环节的内部控制。

关注企业的重大决策和重要项目。例如，企业的重大投资决策、并购重组、新产品研发等项目，通常涉及大量的资金和资源，风险较高，需要对这些项目的决策过程、执行情况进行重点审计，确保内部控制有效。

突出关键业务环节：

在企业的业务流程中，某些环节对业务的成败起着关键作用，应作为审计的重点。例如，在销售业务中，客户信用评估和应收账款管理环节至关重要，直接影响企业的资金回笼和财务状况；在生产业务中，质量控制环节是关键，关系到企业产品的市场竞争力和企业声誉。

三、客观性原则

审计人员应当以客观、公正的态度进行审计，不受任何利益关系的影响。

独立开展审计工作：

内部审计机构应在组织上独立于被审计部门，确保审计人员能够独立地行使审计职权。例如，内部审计机构不应隶属于企业的财务部门或其他业务部门，而应直接向董事会或审计委员会报告工作。

审计人员在审计过程中应保持独立的思考和判断，不受被审计部门或个人的干扰。例如，在审计过程中，审计人员不应接受被审计部门的礼品、宴请或其他不当利益，以免影响审计的客观性。

依据事实进行评价：

审计人员应根据实际情况收集证据，对内部控制的有效性进行客观评价。例如，在审计过程中，审计人员应通过查阅文件、访谈相关人员、实地观察等方式收集证据，确保评价结论有充分的事实依据；对于发现的问题，应准确描述问题的表现形式、影响范围和严重程度，避免主观臆断。

审计报告应客观、真实地反映审计结果，不得隐瞒或歪曲事实。例如，审计报告应明确指出企业内部控制存在的问题和风险，并提出具体的改进建议；对于审计中发现的重大问题，应及时向企业管理层报告，不得隐瞒不报。

四、有效性原则

内部控制审计的目的是促进企业内部控制的有效运行，提高企业的经营管理水平和风险防范能力。

关注内部控制的设计有效性：

审查企业内部控制制度的设计是否合理、是否符合企业的实际情况和管理需求。例如，企业的内部控制制度是否涵盖了所有的风险领域和业务环节，控制措施是否具有针对性和可操作性；内部控制制度是否与企业的战略目标、经营规模、业务特点相适应。

评估内部控制制度是否符合相关法律法规和监管要求。例如，企业的财务管理制度是否符合会计准则和税收法规的要求；企业的信息披露制度是否符合证券监管机构的规定。

关注内部控制的执行有效性：

通过测试和检查，验证企业内部控制制度的实际执行情况。例如，采用抽样检查、实地观察、穿行测试等方法，检查企业的业务流程是否按照内部控制制度的要求进行操作；对于关键控制环节，应进行重点测试，确保控制措施得到有效执行。

对内部控制的缺陷进行及时整改和跟踪。例如，对于审计中发现的内部控制缺陷，应要求被审计部门制定整改计划，明确整改责任人和整改期限，并对整改情况进行跟踪检查，确保缺陷得到有效整改。

五、适应性原则

企业的内部控制应随着经营环境的变化和业务发展的需要不断调整和完善。

适应经营环境变化：

企业所处的经营环境是不断变化的，如市场竞争格局、法律法规政策、技术进步等因素的变化，都可能对企业的内部控制产生影响。审计人员应关注这些变化，评估企业的内部控制是否能够适应新的经营环境。例如，随着电子商务的发展，企业的销售模式发生了很大变化，原有的销售业务内部控制制度可能需要进行调整和完善，以适应新的销售模式。

对于经营环境变化带来的新风险，企业应及时建立相应的内部控制措施。例如，在全球经济一体化的背景下，企业面临的汇率风险和贸易风险增加，企业应建立相应的风险管理机制，加强对汇率风险和贸易风险的控制。

适应业务发展需要：

企业的业务是不断发展的，新的业务领域、业务模式和业务流程不断涌现，内部控制也应随之进行调整和完善。例如，企业开展新的业务项目时，应在项目启动前进行风险评估，制定相应的内部控制制度，确保新业务的顺利开展；对于企业的业务流程优化和再造，应同步调整内部控制流程，确保内部控制的有效性。

审计人员应关注企业业务发展的动态，及时提出内部控制的调整建议。例如，审计人员在对企业的新业务进行审计时，发现原有的内部控制制度存在不适应的地方，应及时向企业管理层提出改进建议，帮助企业完善内部控制体系。