审计师可利用通用的报告准则与外业实施内部控制审计，审计师必须具备可以完全胜任审计工作，在工作过程中时刻坚持谨慎性原则。为了保证内部审计控制的质量，必须采用恰当方法和程序。审计师应当根据评估和审计不同内容，采取不同的审计和评估方法。

1.1审计工作准备阶段

制定审计业务计划。进行管理流程评估。对管理层文档记录进行评估。对内部控制加以了解。进行重要会计科目的识别。对主要的交易类别和重要流程加以识别。熟知期末财务报告的各个流程。审计师必须了解公司的内部控制有效性在管理层给出的评估。适当的进行工作协助和计划，在保证其需要的基础上，实现适时监督。审计师对内部控制进行评估和评价必须了解评价的对象，在了解的基础上加以评价会更加具有信服力。充分的操作前准备，有利于实现审计目标、达到审计目的。

1.2实施审计阶段

穿行测试。在对第一交易类型测试时，审计师必须实施一次或一次以上的穿行测试。审计师实施穿行测试的对象，其中包括：单独的初始交易、交易控制权、交易记录、处理以及报告的全过程，重要流程的内部控制进行审计，风险及舞弊控制也不例外。审计师可以在穿行测试中获得以下证据：使审计师识别并了解五大方面内部控制的针对性控制设计，其中防止风险和舞弊而实施的控制也在审计范围之内;审计师要了解整个流程，根据相关财务报表来认定，判断其是否能识别出整个流程中易发生错报所有关键点;对控制设计有效性进行评估;确认是否实施了控制。

进行控制识别使测试得以进行。对于重要的财务报表科目以及其中所披露的事项相关认定实施的控制有效性，审计师必须要提供出足够的证据。对重要的会计科目、重要流程和会计信息相关认定进行过识别后，应当对以下进行识别和评估并实施控制测试：以产生舞弊和错误节点;管理层控制实施的性质;针对控制目标和特定目标而实施并进行的控制重要性，其实施一种以上控制的必要性，或为特定目标的实现，进行控制补充是否必要;极其不能实现控制有效性所存在的风险。

对设计和运行效果进行评估、测试。能够对财务报表发生重大舞弊或错误的错报产生发现或防止作用实施的预期控制，我们可以判断其为有效内部控制设计。可按照以下标准对控制目标控制实施情况进行判断：对公司每个领域控制目标进行识别;每个目标的满足条件控制的识别;对实施控制后财务报表中重大错报导致的错误或是舞弊能否起到发现或防止的作用。

在进行控制有效性评估时，审计师应当判断控制实施人员必要授权的获得与否和控制是否按计划实施、实施控制有效性是否具备。可以通过对适当人员进行询问、相关记录的检查、控制重新实施的措施和公司运营状况的观察等方式相结合来进行控制有效性的判断测试。

形成对内部控制有效性的意见评价。发表相关内部控制意见时，审计师必须先评估获得的全部证据，并阐述其意见，必须在审计师工作无任何限制和实质性漏洞的前提下，审计师意见才更有意义。审计师如发现内部控制存在实质性漏洞时应发表否定意见，如收到工作限制，审计师或按权限受制范围发表意见，或者发表无法表示或保留意见。

对内部控制缺陷进行评估。对于已发现缺陷的内部控制审计师必须对其进行评估，并决定该缺陷在单独或累加后，是否是或形成实质性漏洞或重要缺陷。以下几方面是评估内控缺陷程度时必须考虑的：单独缺陷或累加缺陷后是否会致使会计科目余额错报或错报披露事项;单独缺陷或累加缺陷导致错报的危害程度。

1.3形成审计报告的阶段

对管理层的报告进行审计评估。对于管理层做出的内部控制有效性的相关评估报告，审计师应当对下列事件加以评估：管理层建立并适当维护内控制度是否是其明确责任的表示;评估框架由管理层执行是否适当;在公司最近结束的财务年度，管理层在做出的内控有效性的评估中，对于重大错报管理层是否列出;对它的评估管理层所使用的表达形式是否可以接受。

修订审计报告。在下列任何一种存在的情况下，审计师就必须对审计报告的标准进行修订：管理层没有进行充分的内控评估，或者管理层不适当的报告;公司内部控制中存在某个重大的控制缺陷;在业务约定书内进行审计工作受限制;审计师应付了事，参照他人的部分审计报告进行报告的制定;自报告日期之后，发生的某个期后事项具有重大影响的;管理层在内部控制报告中混杂并包含了其他信息。

审计师对管理层确认的内部控制所披露事项进行评估。当这样的情况发生时，管理层有责任进行确定、审计师就有对其评估的必要：内部控制产生变化的理由是纠正个别实质性漏洞，内部控制变化的理由及变化后的周围环境是否有充分确定、重要的信息来充分披露证明该项变化会产生误导作用。