控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。

控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。内部环境提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识，是所有其它内部控制组成要素的基础。控制环境的因素具体包括：诚信的原则和道德价值观、评定员工的能力、董事会和审计委员会、管理哲学和经营风格、组织结构、责任的分配与授权、人力资源政策及实务。企业内部控制审计主要包括： 第一，内部控制环境，即评价以公司治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化在内的内部控制环境对企业经营管理活动的影响。 第二，风险评估，即分析企业风险控制目的设置的合理性，评价开展风险评估范畴的全面性、风险评估结果的有效性和风险应对策略的科学性。 第三，控制活动，即评价企业根据风险评估结果设置的内部控制措施的科学性和控制效果的有效性。 第四，内部控制信息和沟通，即评价企业内部控制相关信息在收集、处理和传递程序的科学性，分析信息技术在内部控制信息和沟通中所发挥作用的情况，判断企业在反舞弊工作重点领域相关工作机制的有效性。 第五，内部监督制度，即分析企业内部审计机构和其他内部机构在内部监督中的职责权限情况，判断企业实施内部监督的程序、方法和目的要求的科学性，评价内部控制监督制度的有效性。

控制环境审计应从以下角度考虑：组织结构和管理层的承诺、风险管理和内部控制制度的有效性、内部控制意识和培训、信息技术系统的安全性、人员招聘和背景调查、合规性和法律要求的遵守、内部审计和监督机制的有效性、外部环境和竞争压力对控制环境的影响、道德和伦理标准的遵守、内部沟通和信息披露的透明度。这些角度综合考虑可以评估控制环境的健康程度和风险管理的有效性。