4.按重要性设计业务循环的评分值。为便于日后的分析，所有业务循环汇总后的最高分值一般按照100分来设计。由于企业经营过程中的各个业务循环的风险程度和重要性有所不同。因此，设计每个业务循环的分值应当根据企业风险评估后的实际结果确定。例如，上市公司对于财务报告的真实性要求较高，所以在审计财务报告流程时，其分值可以高于其他业务循环；销售与应收帐款循环可以定为10分，资金循环可以定为10分等（参见以上审计范围和分值表）。

　　5.按风险程度确定每个具体审计项目的得分权重。确定了业务循环的分值后，针对每个循环中的具体审计项目还应当根据该项目的风险程度、高低程度确定其权重。通常我们将每个具体审计项目的风险程度按照高（H）、中(M)、低(L)三个等级确定。如果该审计项目处于高风险(H)等级，则权重为5分；中度风险(M)，定为3分；低度风险(L)为1分。

　　6.审计项目的编码。为便于现场审计记录、日后分析评估和建立审计数据库，所有审计项目都应当进行编码。通常按照5位数设计。如，01-1-01。第一组两位数代表审计项目所处的业务循环。01表示“综合控制”；02表示“环保与职工安全健康”；按照表1依次类推从01～13，共计13项。第二组一位数表示该审计项目在五要素中的归属。我们将“控制环境”设为1；“风险评估”设为2；依次类推，5就是“监督检查”。如前述审计项目，“公司已根据总部要求建立了销售管理程序”可以划入“控制环境”中，其编码就是1；第三组两位数表示该审计项目序号。有了这个编码，我们首先可以事先对基本审计项目的设计情况进行评估。

　　一般情况下，按照内控五要素和企业实际需要来看，控制环境类的审计项目总分值应当占到全部审计项目的30%左右；风险评估类的项目占到全部审计项目的10%左右；控制活动通常也占到了30%左右；信息交流和监督检查各占15%左右。当然，企业也可以根据自身的实际需要对分值比例进行适当的调整。其次，有了这个编码，审计师在完成评分审计后就可以进行量化分析了。比如，我们可以将所有被审计单位的审计得分分布情况画出图表，直观反映出各个下属企业和整个下属企业的内控管理情况，通过表格研究各个下属企业的内控管理薄弱环节以及主要问题是哪些等。为撰写审计报告提供依据。第三，可以建立数据库，对每年的审计结果进行连续观察和分析，预测新的管理风险变化情况，为风险预警提供重要依据。

　　7.确定审计方法。根据内部审计专业的审计方法通常有观察测试、复核测算、穿行测试等。但是，作为具体实施审计情况来看，我们一般在审计方案设计时采取三种审计方法：即观察询问、检查测试、复核计算。一般性审计项目可以采用观察询问；一些具体的需要按照程序操作的业务通常采用检查测试；对于财务数据审计通常需要进行复核计算。

　　8.评估值的确定。在完成上述业务循环定值和具体审计项目权重设定后，就可以对基本审计项目进行具体的评估了。为了给审计人员提供相同标准化的、客观的评价工具，我们可以在评估被审计单位处理每个具体的审计项目的情况下（或状态），事先确定评估值。评估值一般可以分为五个等级。以百分比显示，具体如下：

　　*100%表示被审计单位在处理某个具体审计项目时，能够全部完成（或作到）。业务程序完善并完全按照程序规定处理业务。相关业务人员有极强的风险意识。

　　*75%表示被审计单位在处理某个具体审计项目时，基本完成（或基本做到）。业务程序比较完整但存在一定的缺陷。相关业务人员有较强的风险意识。

　　*50%完成（或做到一部分）。有一定的程序但很不完善，存在重大缺陷。有一定的风险意识。

　　*25%基本没有完成（或做到）。有极少的书面程序；处理业务主要按照习惯或上级指示。相关业务人员基本没有风险意识。