中國證監會2000年11月發布的《公開發行證券公司信息披露編報規則》要求公開發行證券的商業銀行、保險公司、證券公司應建立、健全內部控制制度，并在招股說明書正文中專設一部分，對其內部控制制度的完整性、合理性和有效性做出說明。同時規定，商業銀行、保險公司、證券公司還應委托所聘請的會計師事務所對其內部控制制度及風險管理系統的完整性、合理性和有效性進行評價，提出改進建議，并應內部控制評價報告的形式做出報告。財政部最近也發布了《內部會計控制基本規范》等有關文件將對單位內部控制問題做出專門規定。

    一、內部控制的定義

    我國在獨立審計準則中將內部控制定義為：內部控制是指企業為了保證業務活動的有效進行，保證資產的安全和完整，防止、發現、糾正錯誤與舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序，由控制環境、會計系統和控制程序組成。

    1963年美國審計程序委員會在其發布的"審計程序第23號文件"中，首次將內部控制劃分為內部會計控制和內部管理控制。美國管理會計師協會1994年《內部控制結構》將內部控制定義為："內部控制是這樣一個整體系統，由管理者建立的，旨在以一種有序的和有效的方式進行公司的業務，確保其與管理政策和規章的一致，保護資產，盡量確保記錄的完整性和正確性。"COSO委員會1992年提出并于1994年修改的《內部控制-整體框架》中對內部控制作了如下描述，內部控制是由企業董事會，經理階層和其他員工實施的，為營運的效率效果，財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程。

    二、內部控制的目標

    內部控制目標是內部控制存在及存在形式的根本，也是建立內部控制框架以及考核、評價內部控制的指導性參照物。《企業內部會計控制——基本規范》中，將內部控制的目標歸為五個方面，其中除了包含原有的確保經營目標的實現、防止發現糾正錯誤于舞弊、保證財產安全、保證會計資料的真實完整、確保各項法規及內部控制制度的執行外，還強調了：建立風險控制系統，強化風險管理，確保單位各項業務活動的健康運行。對風險控制系統的建立作為獨立的內部控制的一項目標，與我國當前的企業在運轉過程中忽視風險的控制，有時甚至存在盲目使用資金等隱藏巨大風險的運營行為有關，非常適合我國的需要，也能夠在很大程度上促進公司治理機構的完善加快國有企業改革的完善。

    按照COSO報告，內部控制的目標包括：取得經營效果和效率；保證財務報告的可靠性；保證遵循適當的法規。可以看出COSO委員會對控制的目標包括的內容更為寬泛，尤其是取得經營效果和效率，企業達到這一目標要涉及企業方方面面的活動，也涉及到對經營取得效果的考核和對經營效率評價標準的取向問題。

    我國內部控制目標的定位主要局限與保證業務活動的有效進行，防錯糾弊，會計資料的真實、合法與資產的安全和完整。這種目標定位相對低調。從長遠來看，隨著經濟的不斷發展和企業狀況的不斷改善，目標定位應有相應的提高。不僅需要借鑒國際上有關內部控制的目標定位，同時也需考慮中國國情，立足于中國企業的現實，從改善中國企業現狀和完善公司治理的角度出發，應既遵循適當的前瞻性與發展性，同時又有立足與現實的穩定性與可操作性，從而給中國的內部控制規范以一個適當的目標定位。

    三、關于內部控制規范內容范圍的思考。

    內部控制理論在西方經過近一個世紀的發展，成熟于COSO報告的五大要素，即控制環境、風險評估、控制活動、信息與溝通以及監督。這是西方成熟市場經濟以及發達資本市場條件下企業內部控制需考慮的要件。我國內部控制的內容范圍與COSO報告相比，還有相當的距離。《企業內部會計控制基本規范》的構成并未以要素的形式存在，而是直接列出了內部控制的內容，這些內容包括：貨幣資金、實物資產、對外投資、工程項目、采購與付款、籌資、銷售與收款、成本費用、擔保等經濟業務的會計控制，并且每一條條款都將制定相應的具體規范。可以看出我國內部控制規范內容主要集中與會計領域。《會計法》，《企業內部會計控制基本規范》等法律規范主要是從會計控制的角度來規范內部控制；獨立審計準則中的定位也是著重與企業的會計責任方面。《內部會計控制規范-基本規范》中的突出部分是強調了建立風險控制系統，強化風險管理，確保單位各項業務活動的健康運行，對風險控制系統的建立作為獨立的內部控制的條款加以強調。第二十四條規定：風險控制要求單位樹立風險意識，針對各個風險控制點，建立有效的風險管理系統，通過風險預警、風險識別、風險評估風險分析、風險報告等措施，對財務風險和經營風險進行全面防范和控制。并且在每一具體業務的控制條款中都增加了有關防范風險的要求。強調風險控制，強化風險管理，與我國當前企業在運轉過程中忽視風險控制，造成巨大隱患甚至損失有關，適合當前的現實需要，也能夠在很大程度上促進國有企業的改革和公司治理結構的完善。

    隨著社會主義市場經濟的發展，企業的權利與義務在逐步規范中執行到位，其在社會經濟生活中將發揮越來越大的作用，相應的與企業內部控制相關的內容在范圍上也會越來越寬泛。企業的外圍環境文化理念，經營哲學等控制環境因素與風險因素都應納入企業內部控制的范圍來予以考慮。我們的觀點是，既不能不中國現實，照搬成熟市場經濟條件下國外企業內部控制的要素理論，也不能局限于中國現有的內部控制規范的內容范圍。以中國現有的有關內部控制法規的內容來看，作為企業外部條件的控制環境與風險評估部分相對較弱，在今后內部控制范圍的制定中需加以強調。

    四、內部控制框架構建應主意的問題

    1、健全管理機構 .內部控制的建設體現在兩個方面：一是健全的機構，這是內部控制機制產生作用的硬件要素；二是個內部機構、各經辦人員間的科學分工與牽制，這是內部控制機制產生作用的軟件要素。目前必須解決兩個問題：（1）設立管理控制機構。例如，目前有些上市公司中依據自身經營特點設立了審計委員會、價格委員會、報酬委員會等就是完善內部控制機制的有益嘗試。（2）推行職務不兼容制度，杜絕高層管理人員交叉任職，交叉任職主要體現在董事長和總經理為一人，董事會和總經理班子人員重疊。

    2、建立具有操作性的道德規范與行為準則。內部控制制度的執行者是包括高層管理人員在內的全體員工，激勵和約束的對象也是企業的員工，員工的道德水準和價值觀念長期被認為是內部控制環境的重要因素，要求內部控制結構的建立要考慮員工道德水準和價值觀念的承接性，實踐表明，基于環境現狀而構建內部控制機制是一種被動性的做法，故此，英美等國越來越多的公司將道德規范和行為準則的建設直接納入內部控制結構的內容。

    3、關于內部控制外部化所謂的內部控制的外部化是指企業采用外部控制程序在某些環節上替代內部控制，以達到對其特殊的控制效果的過程。它包括控制參與者的外部化，也包括控制程序及方法的外部化。換言之，企業即可以通過利用外部人員的專職人員參與內部控制，也可以直接使用外部控制的程序、方法來代替內部控制，二者均屬于內部控制的外部化。筆者認為，內部控制的外部化是由多方面的原因造成的，其中主要包括：社會分工專業化，企業對管理高效率的追求、內部控制自身的不完善性、政府經濟管理職能的運作等。

    內部控制外部化的重點則應放在對高級管理者的控制上。首先，股東與高層管理者之間存在較大的利益沖突，單純依靠監事會等內部控制程序難以保證其控制結果。其次，高層管理者具有相對多的權利，其獲取不正當利益或做出其他不合規行為的渠道和手段更為豐富和隱蔽，這對控制的要求較高，因而需要具有相當專業能力的外部控制程序對其加以約束。再次，股東對經營者的控制信息往往是需要對外公布的信息，這就要求控制必須具有較高的中立性。最后，由于股東與高層管理者之間的關系具有共性，適應于外部控制的實施。

    內部控制外部化的內容主要是對經營管理合規性的控制。根據COSO的定義，內部控制的目標有二；一是保證財務報告的可靠性，企業運行遵守法律規定，即合規性；二是提高企業經營效果和效率，即效益性。內部控制的各項職責和內容亦應據此確定。例如企業往往設置內部審計、會計監督等機構，利用崗位分工、授權復核、預算控制等方法，對企業經營加以控制來保證其合規性；同時也會利用業績考核、成本核算、風險效益分析、職工培訓、獎懲等多種方法提高企業的效益。

    因此，筆者認為，將企業中適合與外部控制的環節及部分內容由外部控制來完成，一方面可以提高企業管理的專業化程度和管理效率，促進內部控制質量的提高；另一方面也為外部控制提供了更多的業務空間，這必然有助與外部控制的發展壯大。