正確理解內部控制概念要求內部審計人員牢固樹立以下觀念：（l）過程觀念。內部控制是對企業(yè)的整個經營管理活動進行監(jiān)督與控制的動態(tài)過程，應與企業(yè)的經營管理過程相結合；（2）重視人的作用。不僅僅是管理人員、內部審計或董事會，組織中的每一個人都對內部控制負有責任，在內部控制設計與評估過程中不能忽視人的重要性；（3）注重軟性控制。高級管理階層的管理風格、管理哲學、企業(yè)文化、人員能力、內部控制意識等軟性控制決定其他控制要素能否發(fā)揮作用；（4）風險觀念。風險是內部控制存在與變化的前提與基礎；（5）成本與效益觀念。內部控制受先天條件所限及基于成本與效益原則考慮只能做到“合理”保證，沒有不花錢的內部控制，也不存在完美無缺的內部控制。

　　在內部控制標準或模式選擇方面，既然目前國內尚無成熟的內部控制標準或模式，適當借鑒國外的先進經驗就不失為一個好的辦法。COSO已獲最廣泛認同，企業(yè)可以其作為主要的參照標準并根據(jù)自己的實際情況加以細化與補充。在具體做法上，有條件的企業(yè)可由內審部門牽頭編制內部控制手冊。該手冊并非企業(yè)以往所定規(guī)章制度的簡單匯總，而是按照COSO框架所述的控制環(huán)境、風險評估、控制活動、信息與溝通及監(jiān)督等五個內部控制要素分別展開，明確內部控制責任及各業(yè)務循環(huán)控制要求甚至包括風險分析與評估要點。手冊既可作為全體員工遵循的指南，也可為內審部門及各級管理者提供內部控制與風險管理的參考工具。

　　（三）合理制定內部審計發(fā)展戰(zhàn)略

　　內部審計人員可在對審計部門內外部環(huán)境進行戰(zhàn)略分析的基礎上，結合企業(yè)發(fā)展戰(zhàn)略制定其部門3－5年戰(zhàn)略計劃。根據(jù)國外一些大企業(yè)的經驗，該戰(zhàn)略計劃的內容至少應包括：（1）內審部門的角色與定位：闡明內審部門如何定位與轉型；（2）明確內審部門在未來數(shù)年可能面臨的各種挑戰(zhàn)；（3）未來幾年可審計領域風險分析結果及具體審計資源分配計劃；（4）內審人員的任用、選拔與培訓安排；（5）部門信息化推進計劃；（6）與外部專家進行戰(zhàn)略性合作（如聯(lián)合審計計算機信息系統(tǒng)）的安排；（7）與企業(yè)其他部門尤其是監(jiān)督部門的合作關系：如建立資源共享的信息系統(tǒng)及協(xié)調工作等；（8）理論研究及學習行業(yè)最好實踐的計劃安排；（9）工作標準及其他內部控制與風險管理參考指南與手冊編寫計劃。該戰(zhàn)略計劃每年根據(jù)情況變化滾動編制。

　　（四）發(fā)展一個風險導向的內部控制評估方法風險可視為達成組織目標所面臨的不確定性，一個企業(yè)的內部控制系統(tǒng)存在的根本目的在于對威脅其目標達成的風險提供管理，沒有風險也就不需要內部控制。

　　目標、風險與控制之間的上述邏輯關系是確立內部控制評估方法與思路的基礎。以風險為導向意味著戰(zhàn)略及目標分析和業(yè)務過程評估先于具體工作。內部審計人員必須首先對組織所在的行業(yè)特點、經營目標及戰(zhàn)略與相應的風險管理活動執(zhí)行戰(zhàn)略分析。了解諸如組織在其經營的行業(yè)和市場環(huán)境中的目標與戰(zhàn)略是什么，政府法規(guī)或其他力量對組織本來轉變有什么影響，什么是影響公司戰(zhàn)略的最根本風險等問題。

　　下一步，內部審計人員將分析組織目標、戰(zhàn)略和重要經營風險之間的相互關系。并且將注意力集中在那些容易招致經營風險和能夠產生額外機會的經營領域；決定哪些經營過程是最重要的，進而評估與這些過程相聯(lián)系的內部控制活動的效率與效果。

　　作為上述過程核心部分的風險評估既可采用定量分析方法，也可定性分析。除參考IIA考試教材提供的風險評估辦法（選擇風險因于并衡量僅重）外，實踐中我們還可對每一個業(yè)務過程可能發(fā)生的風險進行分類，建立所謂的風險識別圖或風險資料庫。審計人員通過設置方便衡量的關鍵變數(shù)或指標并監(jiān)測其變化來實施預防控制，以預警機制及時發(fā)現(xiàn)問題并適時發(fā)揮監(jiān)控功能。

　　此外，有效運用內部控制自評（CSA）也能大大改進內部控制評估過程的效率與效果。CSA不是將評估工作完全交與被審單位，而是采取合作的方式但不失內審人員獨立的立場。使用CSA能達到教育經營單位，讓其了解內部控制的重要性，明白控制與風險管理的最終責任在于其自身之目的。與此同時，內部審計人員也能收集在傳統(tǒng)的審計程序中無法取得的有關軟性控制的寶貴資料。

　　CSA并非不合國情，我國內審人員只要周詳?shù)赜媱澕芭c傳統(tǒng)的內部控制評估過程相結合，由簡而繁，循序漸進地開展，相信將會取得滿意的效果。

　　（五）善加利用信息技術

　　面對企業(yè)普遍信息化和日趨復雜的業(yè)務環(huán)境帶來的挑戰(zhàn)，內審人員應善加利用計算機技術與工具以提高審計效能。根據(jù)國內企業(yè)信息化的現(xiàn)狀，我們可以從以下方面入手：（1）如前所述，為每一個被審計單位的每一個關鍵業(yè)務過程建立資料庫，設置預警指標以實施實時控制，出現(xiàn)例外情況及時審計與調查；（2）建立無紙化的快速工作底稿系統(tǒng)，整個審計過程從計劃到審計后跟蹤都可以利用計算機加以支持。就主要審計發(fā)現(xiàn)可通過計算機網絡隨時與被審計單位溝通，審計外勤工作結束之日即可簽發(fā)審計報告；（3）通過單位內部網發(fā)放及收集內部控制及風險評估調查表；（4）通過單位內部網收集審計線索（如舞弊線索）和開展審計用戶滿意度調查；（5）對全體員工開展在線風險管理及內部控制教育；（6）獲取審計參考資料。一些國際會計公司及政府審計機構經常在互聯(lián)網上發(fā)布有用的參考資料，對于我們開展內部控制評估頗有價值（據(jù)我們目前了解到的情況，互聯(lián)網上以內部控制或風險管理為專題且可免費下載的指南有近百個）。利用這些資料建成的“網上圖書館”，可以很方便地為全體審計人員所共享。

　?。┱{整人力資源機制

　　對于任何內審部門來講，無論是轉變觀念還是實施革新的戰(zhàn)略與方法，都需要良好的人力資源機制的支持。為解決內審人員的專業(yè)素質不高的問題，我們認為可有以下補充辦法：一是適當增加管理及計算機等非財會專業(yè)人員的數(shù)量與比重；二是以某種正式安排吸收企業(yè)其他部門優(yōu)秀人員到審計部門短期工作（2－3年），通過內部合理的人員流動補充審計部門人力資源缺口并可傳播風險及控制觀念；三是就某些復雜性較高的項目與企業(yè)內外部專家開展專項合作。