2.1战略风险

　　战略风险作为企业面临的最大风险,是未来的不确定性对战略目标的影响，这种影响产生于环境、资源、能力、竞争等因素发展的不平衡性。内部审计需要确认管理层对重大风险的识别和管控情况，是否建立了风险识别框架（包括战略风险组织体系和战略风险预警机制为保障的战略风险控制系统）、是否没有考虑或没有有效管理对组织战略目标构成重大影响的风险。

　　2.2信息的可靠性

　　主要是指财务信息和运营部门提供的运营信息，国际会计准则委员会（IASC）认为，可靠性的构成要素包括“忠实反映、实质重于形式、中立性、审慎性、完整性”；美国财务会计委员会（FASB）对可靠性的定义包括“反映的真实性、可验证性和中立性”；中国财政部颁发的会计准则对此的表述是“以实际发生的交易或者事项为依据进行会计确认、计量和报告，如实反映、保证会计信息真实可靠、内容完整”。无论何种定义，可靠性风险产生的原因都与内控、经营压力等事项直接相关，而内部审计就要识别这些事项，评估这些事项对信息可靠性的影响。

　　2.3资产安全风险

　　资产是指企业拥有或者控制的、预期会给企业带来经济利益的资源，包括购买、生产、建造行为或其他交易或者事项，企业享有某项资源的所有权，或者虽然不享有某项资源的所有权，但该资源能被企业所控制。预期会直接或者间接导致现金和现金等价物流入企业的潜力，所以说资产安全的风险关乎了企业现状和未来的发展。内部审计应当在管理层管控措施的基础上，对影响资产安全状况的现时和潜在因素进行评估，包括评估管理层的管控措施。

　　2.4法律风险

　　法律风险的内容非常广泛，包括：与公司资本有关的风险（如：出资不实风险、隐名出资人、股权结构不合理、控股股东与小股东权益分歧等）；合同类风险（如：合同签订、合同履行、合同管理不当引发的法律风险等）；财税法律风险（如：信息披露及时性和真实性、统计资料、档案管理、投融资、税务管理、资金管理、会计核算、关联交易、发票及票据管理不当）；市场营销类风险（如：产品或服务的法律风险、营销方案制订的法律风险、广告宣传的法律风险、市场竞争的法律风险）；人力资源类（如：合同制用工、劳务派遣、培训合同、合同文本不当风险、员工信息保管不当风险等）；安全生产法律风险(如：生产经营单位负责人安全责任风险、生产经营单位安全保障风险、安全事故应急救援和处理风险、安全生产管理不当风险、警示标志不当风险、安全设备、特种设备、危及安全的工艺、设备的管理风险、危险物品的管理风险、生产经营场所的安全管理风险、危险作业风险、劳动防护用品风险、重大危险源管理风险、安全生产监督管理不当等风险)。各类与法律有关的风险无法穷举，但他们都无一例外地影响着公司各个方面，因此内部审计必须评价公司在各个方面是否符合法律的规定，否则产生的可能是重大的、超出容忍范围的风险。

　　2.5其他风险

　　包括没有包含在上述分类，但构成对战略目标及运营过程产生影响的各类情况，如：跨国经营类（进出口经营权资格、技术进出口、货物进出口、国际服务贸易、电子数据交换（EDI）中的国际运输、国际支付与结算、国际贸易壁垒、国际政治因素、文化和信仰的冲突），环境保护类（排污、环境污染处罚、环境污染侵权等）；再如：诉讼（仲裁）中的证据、时效等风险；重大重要项目风险、媒体的负面报道，等等。这与法律风险类似，也是无法穷举，也是影响到公司各个方面，因此内部审计也必须识别和评价公司面临的这些风险，否则也可能产生重大的、超出容忍范围的风险。另外，在风险管理环节还需要对内部审计和管理层的角色进行区分：将内审从风险的管理职责中分离出去，由内部审计部门负责对风险管理过程的有效性和充分性进行检查和评价。在审计报告中对不足之处提出建议，帮助管理层进行改进。如果没有对内部审计地位的正确理解，往往会使内部审计承担对风险的直接管理责任，这无论是对公司治理还是对内部审计职能的发挥都有难以评估的负面影响。

　　3在内部控制效率和效果方面发挥作用

　　内部控制在国际范围内有多个模型，包括：美国的COSO框架、加拿大的COCO模型、英格兰及威尔斯特许会计师协会的CADBURY模型、伦敦股票交易所制定的TURNBULL模型等等。无论那个模型都是为了管理风险，从而合理高效地实现组织目标，因此控制应在符合成本效益的原则下，保持效率和效果的统一。其中，加拿大的COCO是在COSO框架的基础上发布的控制标准，是一个便于对控制进行判断的模型。下面以COCO为基础说明内部审计需要在哪些方面评价内控的效率和效果：