您好！很高兴为您解答“内部控制审计是什么”这个问题。这是一个在企业管理、财务和审计领域非常核心的概念。

我将从以下几个方面为您全面清晰地解释：

一、核心定义

内部控制审计是指由独立的审计机构或内部审计部门，依据一定的标准和程序，对被审计单位（如一家公司或组织）的内部控制系统的健全性、合理性和有效性进行审查、测试和评价，并在此基础上发表审计意见的一种监督和评价活动。

简单来说，它就是 “对控制系统的系统进行检查” 。就像医生给人体做体检，不是治某个具体的病，而是检查你的免疫系统、循环系统等是否健康，能否有效抵御疾病。

二、内部控制审计的主要目标

内部控制审计的目标不仅仅是找出错误，更是为了评估和改善整个“防御体系”。其主要目标包括：

1. 合规性： 检查内部控制是否确保公司的各项活动遵循了适用的法律法规、行业标准和内部规章制度。
2. 资产安全： 评估内部控制是否有效保护公司资产（如现金、存货、设备、知识产权）免受浪费、盗窃、滥用或低效使用。
3. 报告可靠性： 审查内部控制是否能保证财务报告和各类管理信息的真实性、准确性和完整性。
4. 经营效率与效果： 评价内部控制是否促进了公司经营活动的效率和效果，帮助实现既定的业绩和目标。
5. 风险防范： 识别和评估公司面临的各种内外部风险（如运营风险、财务风险、合规风险），并检查内部控制是否能为这些风险提供合理的应对和保障。

三、谁需要做内部控制审计？

1. 上市公司（强制要求）： 根据许多国家的法律（如美国的《萨班斯-奥克斯利法案》404条款、中国的《企业内部控制基本规范》及其配套指引），上市公司必须进行年度内部控制审计，并由外部会计师事务所出具审计报告，与年度财务报告一同发布。
2. 大型非上市企业： 为了提升管理水平、防范风险、吸引投资，很多大型非上市企业也会主动建立内控体系并进行审计。
3. 金融机构、公共部门等高风险行业： 银行、保险公司、政府机构等因其业务涉及公众利益，通常被强制要求进行严格的内控审计。

四、内部控制审计的主要内容审什么？

审计人员通常会围绕以下几个核心要素展开工作（通常基于COSO框架等国际公认框架）：

1. 控制环境： 这是内部控制的基础。包括公司的诚信文化、道德价值观、管理层的经营理念、组织结构、职权分配等。
2. 风险评估： 公司是否建立了一套机制来识别、分析和应对可能阻碍其目标实现的风险。
3. 控制活动： 为确保管理指令得到执行而制定的各项政策和程序。例如：授权审批、职责分离、业绩复核、实物控制等。
4. 信息与沟通： 公司能否及时、准确地获取相关信息，并在内部及与外部的相关方之间进行有效沟通。
5. 监控活动： 公司是否通过持续监控或单独评价的方式来监督内部控制的有效性，并能及时发现缺陷并加以纠正。

五、内部控制审计的一般流程

1. 计划与准备： 了解企业环境，确定审计范围、时间和资源。
2. 了解与描述内控： 通过访谈、问卷调查、查阅文档等方式，了解被审计单位的内部控制设计情况。
3. 初步评价与测试： 评价内部控制设计的合理性，并通过穿行测试等方法验证其是否得到执行。
4. 控制测试： 测试内部控制在整个审计期间内是否一贯有效地运行。
5. 评价缺陷： 将发现的内控缺陷按其严重程度分为重大缺陷、重要缺陷和一般缺陷。
6. 形成审计意见与报告： 根据测试和评价结果，形成审计结论，出具内部控制审计报告。
7. 后续跟踪： 对审计中发现的问题，跟踪管理层的整改情况。

六、内部控制审计 vs. 财务报表审计

这是一个常见的困惑点，它们的区别和联系如下：

| 特征 | 内部控制审计 | 财务报表审计 | | :--- | :--- | :--- | | 审计对象 | 内部控制系统的有效性 | 财务报表的公允性（是否真实、公允） | | 直接目的 | 对内部控制发表审计意见 | 对财务报表发表审计意见 | | 核心方法 | 测试和评价内部控制的设计和运行 | 实质性程序（如函证、盘点、分析程序） | | 关系 | 基础：有效的内控能减少财务报表错报的风险。 | 目的：最终目标是保证财报质量。 | | | 财报审计中也会涉及对内控的了解与测试，但深度和广度通常不如专项内控审计。 | |

总结一下：

内部控制审计是一项至关重要的管理工具和监管要求。它通过系统性地检查和评价企业的“免疫系统”，帮助企业：

• 对外：增强投资者、债权人和社会公众的信心。
• 对内：提升管理水平、降低风险、保障资产安全、提高运营效率，从而最终实现企业的长期健康发展。

希望以上解释能帮助您全面理解内部控制审计。如果您有更具体的问题，欢迎继续提问！