关于内部控制评审的范围、内容、标准，人们的认识是不同的。

      从范围看，一般认为企业内部控制评审应根据审计资源情况和组织需求来决定，既可以是全面内部控制评审，如对整个内部控制系统进行评审，然后把信息反馈给最高管理当局；也可以是局部评审，如对某个部门或某个控制进行评审，然后把发现的不足或某一方面控制精确度的信息反馈给某些管理人员。全面内部控制评审一般每年进行一次，而局部内部控制评审视需要而定。

      从内容看，大多从内部控制要素角度，要求内部控制评审内容至少包括控制环境、风险评估、控制活动、信息与沟通和内部监督五要素或内部环境、目标设定、事件识别、风险评估、控制活动、信息与沟通和监控内部监督八要素。当然，还有把内部控制评审分为内部控制设计和执行，自我评估和独立评估，全面内部控制和业务控制，过程评价和结果评价两个层面。还要把内部控制评审的内容分为公司治理层面、业务流程层面、信息科技层面，治理结构层面、财务控制层面和业务控制层面等三个层面。

      从标准看，有些内部控制规范和理论认为，内部控制评审无论是总体还时局部，无论是设计还是执行，都应当以内部控制的健全性、恰当性（或者称为合理性、科学性）和有效性为标准。健全性：指相关风险已被充分识别，相关的控制得到明确规定，并覆盖所有的业务和业务的整个过程；合理性：指相关控制能有效保证控制目标的实现，并符合成本效益原则；有效性：指相关控制得到有效执行。前两者可合称为设计的有效性，后者可称为运行的有效性。有些规范和理论认为，内部控制评审，包括对内部控制设计有效性和运行有效性的评价。还有人认为，内部控制评审要对内部控制系统设计的有效性、内部控制运行的有效性和内部控制系统设计及运行的经济性进行评价。评价内部控制设计有效性是指评估为实现控制目标所必需的内部控制要素是否都存在并且设计恰当，从而判断其中是否存在设计缺陷、是否缺少为实现控制目标所必需的控制。内部控制运行的有效性是评价设定的内部控制系统是否按照规定程序得到了正确执行，是否存在设计完好的控制未按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力。经济性评价是评价在为内部控制有效性提供合理保证的前提下是否尽可能做到简便易行、降低运行成本，从而在控制风险的前提下为股东创造最大化财富。

      3C框架认为，内部控制评审标准分为一般标准以具体标准为基础，同时也是具体标准的升华，二者相辅相成，缺一不可，共同构成一个完整的体系。一般标准包括三方面：完整性、合理性、有效性；具体标准由内部控制要素评价标准和作业层级评价标准两部分组成。在内部控制评审的具体标准中，要素评价标准以作业层级评价标准为基础，确切的说就是，作业层级评价标准主要是控制活动要素评价标准的细化，对企业控制活动要素的评价要以作业层级的评价为基础和前提。

      由此看来，《企业内部控制基本规范》应属于内部控制评审的一般标准，至多是内部控制评审的具体标准的要素标准，我国企业内部控制评审的应以《企业内部控制基本规范》及应用准则为起点，以企业设计的《企业内部控制手册》为依据，由企业经营业务调整、环境变化、业务发展状态和实际风险水平等自行确定，不能固定化和模式化。

      从内容看，我们一直主张内部控制评审应当包括会计控制、业务控制和管理控制三个方面，会计控制评审是基础，业务控制评审是核心，管理控制评审是努力的方向。内部控制测评包括肯定包括设计和执行两个方面，但关键还是执行。

      在信息系统环境下与手工处理环境下的内部控制评审内容肯定不同。通常，计算机信息系统内部控制可分为一般控制和应用控制。一般控制适用于较宽范围的风险，这些风险系统地威胁到信息系统环境下所有应用程序的完整性。应用控制是控制特定应用系统的风险（如工资、应收账款和采购应用系统等），其风险来源于信息系统中应用系统本身的漏洞，直接威胁到数据的安全、准确。一般控制评审应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求，是否有利于企业内部控制目标的实现，并以此评价信息系统的安全性、可靠性和合理性。应用控制评审应当结合企业业务流程特点，着重考虑信息系统中与业务流程相关的控制点，并以此评价相关应用系统操作数据的真实性、准确性和合规性。