在过去数十年中。控制导向审计是内部审计人员广泛使用的审计方法。它使审计人员容易将审计重点偏向于单位的内部控制管理系统，而忽视了单位本身的目标。在未检查组织目标和所处风险前直接评估控制程序，其结果意义不大，因为审计人没办法判断哪些是最重著的榜制。那些控制对于风险而言是最重要的，以及缺少哪些控制。这一审计模式已经带来许多问题，如过度控制情况日益严重。多余的控制阻碍了组织程序的正常运作。沟通变得更困难。许多人员从事于附加价值的工作；固定的、过时的控制限制企业的发展，用以应付审计的无效率的控制持续不断的增加；同时。由于控制的变更滞后于组织作业的快速改变。使对原有的、与组织目前所面临的风险根本无关的控制的审计变的更无意义。

　　没有风险就没有控制，控制只为管理风险而存在。不分析风险而想有效的评价控制是不可能的。最新的控制模型如美国的COSO报告、力口拿大的COCO报告、英国的Cadbury报告及南非的 King报告，将风险评估引入了内部控制并将其列为控制的核，心，在风险管理上向前迈进了一步，不仅是管理上重要的里程，也是审计特别是内部审计发展的重要的里程碑。以风险评估为基础的风险导向审计使审计人员开始关心组织所面临的风险，使审计人员一定根据风险评估的思路开展对内部控制的评估，使审计报告将目前的控制与策略计划和风险评估连接起来。

　　环境是风险的根源，控制管理系统就是针对它设计的。组织暴露于周边一直在变化的条件和情况所导致的风险中。风险的来源一一对组织产生威胁的危险和创造潜在收益的机遇，必须成为风险分析的焦点。这些条件，情况：危险和机遇就是可能会影响组织的环境。

　　环境包括一组相关联的内容：（1）通用环境：国际的，经济的，法规的，政治的，环保的，知识的，科技的，社会的；（2）社会环境：社会的，私人的，非盈利性的，公共的，以及宗教的；（3）行业环境：各类不同的私人行业，公共行业，中介行业，以及这一些行业的产品，流程，资源和别的市场要素；（4）组织环境：权力、规模、文化、历史、地理、社会学等子环境；（5）内部审计应用环境：经营，财务报告，遵循性，信息系统，质量，环保，安全。

　　内部审计人员一般是通过对历史的回顾和评价，提出改进以后工作绩效的建议。虽然历史交易和记录可以用以预测未来，内部审计评价和建议也可以对未来具有参考价值和建设性意义为导向。但是，在快速变迁的过程中，以史为鉴只是隔靴搔痒，甚至是南辕北辙，只有着眼于未来才能提高控制和绩效。内部审计人员一定变成本来情况的预期者一一即直接预测环境风险，判断组织是否采取了适当的预防和应对措施，有没有足够的适应变化的能力，提出对应的改进建议。这对现有内部审计的开展方式提出了挑战，并对内部审计人员的胜任能力提出了更高的要求。

　　评价一直是内部审计的基本功能，是内剖审计履行其职责和发挥作用的重要手段。这是以经验管理假设为基础的。在工业经济时代，影响企业经营的外部外因和内部因素绝大多数都是稳定的，或虽有变化，但变化具有连续性的特征，从而基本能从过去推断求来。但在知识经济正在到来的今天，经营管理的上述背景正在或应发生明显的变化：影响企业经营的环境不仅日益复杂，而且愈来愈不稳定，其变化更加迅速和彻底；多样化的顾客需求和频繁变化的市场要求企业活动的内容与方式及时作出调整。在这样的背景中，未来的变化和现状截然不同，二者之间没有一点继承性，这些应对环境变化的适时调整是难以在过去累积的历史经验中找到现成答案的。批评过去没有一点价值，管理层面对着未来的挑战。因此“评价”一词应不再使用，而代以零起点的预测，内部审计必须更多地参与面向未来的规划与决策工作，对未来风险发生的可能性时时关注。

　　在审计过程中，内部审计人员对每一审计事项的现在的状况进行了解，独立地分析，提出审计发现和审计建议。内部将注意力集中于当前事项是有用的，它能使审计人员从审计的视角，对组织的每个部分逐一地理解和思考。但是，这些项目之间互相割裂，缺乏全局观和整体感，而且审计人员站在局外人的立场所提出的建议可能脱离实际资源条件，或超出组织和相关责任人的能力范围。相比而言，多角度的关注更有意义，即在同一时间，同一地点，假设自己作为职能经理和员工，对此事项会作何反应，有哪些要求和顾虑。只有全面考虑各有关人员的局限和所受影响，内审人员才能提出切实可行的建议，促进自身作用的发挥和组织价值的增加。

　　在国际内部审计师协会颁布的《内部审计实务标准》中，独立性的要求居于首位。一般认为，独立性是内部审计工作的必要条件，内部审计的独立性是指内部审计人员独立于他们所审查的活动之外，即内审人员不能承但担营责任。要做到这一点，内审人员一定置身于从设计、执行到记录的全部管理职能之外，不能参与组织的业务经营活动。但果真如此的话，内部审计就无法深刻全面地理解组织的生产经营和内部关系，无法提出切合组织需要的建议。虽然内审职能的独立是一个有用的属性，但如果独立妨碍了参与，马上就会有反效果、这是因为客观性只是内部审计的鉴证服务中必要的特征之一，但是，判断内部审计是否成功最重要的标准是其服务给组织提供的价值。因此，如果对独立性的强调损害了内部审计的价值的增加、应当第一先考虑后者。

　　内审人员一直把控制当作是金钥匙一一对任何组织、任何功能都普偏适用的切入点，认为通过对控制来测试，能了解所有的业务并提出建议，因而审计人员不需要关于生产经营的过细的知识。只要具备一些基本了解并掌握审计工具就足够了；这是控制导向审计思维模式的产物，但这一点不再正确。内部审计应以帮助实现组织目标，增加价值为己任，目标及风险是内部审计的出发点和归宿。对经营活动的深刻了解是对症下药的前提，因而内审人需要关于当前经营的真实的知识，而不单单是虚拟的流程。以提供有效的服务。这会改变提供内部审计服务的人，要求他们提供与程序、技术。产品和服务等有关的知识。

　　内部审计从财务审计发展到经营审计已经经历了很久，一些组织的内审至今还没有实观这一转变。但是新的变化已发生，即对组织战略一一那些关系到组织未来的关键的长远计划，优先全安排，投资和决策等进行审计。对组织来说，这些确实是重要事项，影响到组织的生死存亡，有必要进行有效的控制。假如没有正确的战略方针，经营的改善只是使企业在错误的道路上越走越远，加速组织的灭亡。因此对组织战略的审计是内部审计应该最关注的根本环节，也是内审发展的方向。战略决策和战略管理是管理职能中最重要和最高的层次，内审要提升自身地位和价值，应参与到高层次的管理活动中来。

　　长期以来，内部审计是以“警察”的形象出现，其身份是监督者，对被审部门的业务和管理进行评价，发表意见，因此是组织中不受欢迎的人。所以应该将此种情况尽可能的避免，让他们自己来发现审计问题，自己认识到事件的严重性，从而从根本上来解决这一种问题。