内部控制审计是指是指事务所接受委托，对特定基准日内部控制设计与运行的有效性进行的审计。
审计师应当按照自上而下的方法实施审计工作。自上而下的方法是审计师识别风险、选择拟测试控制的基本思路，通常将企业层面控制和业务层面控制的测试结合进行。

审计师应当测试内部控制设计与运行的有效性。在测试控制设计与运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。在确定测试的时间安排时，应尽量在接近企业内部控制自我评价基准日实施测试，尽量使实施的测试涵盖足够长的期间。
审计师应当根据内部控制缺陷认定标准评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大或重要缺陷。若是，审计师还应当评价补偿性控制（替代性控制）的影响。同时，考虑这些缺陷对审计报告的影响。