薄弱的內部控制是導致企業經營失敗的重要原因，如何完善我國上市公司的內部控制已成為政府監管部門和投資者關注的焦點。本文試圖通過梳理我國上市公司內部控制相關規范，對現有上市公司內部控制制度進行分析和評述，從而為我國構建更加科學的內部控制框架提出建議。

　　一、注冊會計師協會發布《獨立審計具體準則第9號》

　　（一）《獨立審計具體準則第9號》的發布

　　1996年12月，我國注冊會計師協會發布了《獨立審計具體準則第9號——內部控制與審計風險》，首次在我國提出內部控制的概念。將內部控制定義為“被審計單位為了保證業務活動的有效進行，保護資產的安全和完整，防止、發現、糾正錯誤與舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序”。要求注冊會計師在審計過程中必須了解被審計單位的內部控制。該具體準則對注冊會計師在會計報表審計中研究與評價被審計單位的內部控制做出具體要求，并指出內部控制應該實現的四個目標及其固有的限制。

　　（二）《獨立審計具體準則第9號》的目標

　　《獨立審計具體準則第9號——內部控制與審計風險》強調建立健全內部控制是被審計單位管理當局的會計責任。相關內部控制一般應實現以下目標：保證業務活動按照適當的授權進行；保證所有交易和事項以正確的金額，在恰當的會計期間及時記錄于適當的賬戶，使會計報表的編制符合會計準則的相關要求；保證對資產和記錄的接觸、處理均經過適當的授權；保證賬面資產與實存資產定期核對相符。

　　二、財政部發布《內部會計控制規范》

　　（一）《內部會計控制規范》的發布

　　財政部從2001～2004年連續發布了《內部會計控制規范——基本規范（試行）》和《內部會計控制規范一貨幣資金（試行）》等10項內部會計控制規范，見表1。

　　（二）《內部會計控制規范》的內容

　　《內部會計控制規范——基本規范（試行）》闡述了內部會計控制的目標和原則、內部會計控制的內容、內部會計控制的方法、內部會計控制的檢查，強調“內部會計控制是指為了提高會計信息質量，保護資產的安全、完整，確保有關法律法規和規章制度的貫徹執行等而制定和實施的一系列控制方法、措施和程序”。內部會計控制規范并不是僅僅針對上市公司，但它是上市公司進行內部控制建設的重要參照標準。盡管該規范已經開始關注風險管理等，但與國際公認內部控制框架相比仍存在較大差距，主要包括：較少考慮控制環境；與比較強調內部會計控制，而忽略了管理控制方面。

　　三、證監會對上市公司內部控制相關要求

　　（一）披露主體

　　 證監會于1999年發布的《關于上市公司做好各項資產減值準備等有關事項的通知》和2002年證監會和國家經委聯合發布的《上市公司治理準則》，對內部控制披露主體做出了規定，都是將披露責任歸于監事會或審計委員會，見表2。

　　（二）披露內容與形式

　　2000年，證監會發布的《公開發行證券公司信息披露編報規則》，要求應委托所聘請的會計師事務所對其內部控制制度及風險管理系統的完整性、合理性和有效性進行評價，提出改進建議，并以內部控制評價報告的形式做出報告，見表3。另外，2001年證監會修訂的《公開發行證券公司信息披露的內容與格式準則第2號——年度報告的內容與格式》中第42條規定：年度報告中，監事會應對“公司決策程序是否合法，是否建立完善的內部控制制度，公司董事、經理執行公司職務時有無違反法律、法規、公司章程或損害公司利益的行為”發表獨立意見。但第73條又規定：在年報摘要中，如果監事會認為公司決策程序合法，建立完善的內部控制制度，公司董事、經理執行公司職務時無違反法律、法規、公司章程或損害公司利益的行為，可免于披露。這樣就使得披露的程度大大降低，有很大的自由性而不具有強制性，內部控制信息披露方面基本上仍是自愿披露。

　　（三）內部控制自我評價方面

　　 2001年3月，證監會頒布了《關于做好上市公司新股發行工作的通知》，要求發行人披露公司管理層對內部控制的自我評估意見；2001年4月頒布的《公開發行證券的公司信息披露內容與格式準則第11號——上市公司發行新股招股說明書》，要求披露的內容更加詳細、具體見表4。

　　四、證券交易所發布的《上市公司內部控制指引》

　　（一）《上市公司內部控制指引》的發布

　　 隨著市場經濟的發展和企業環境的變化，單純依賴會計控制已難以應對企業面對的市場風險，會計控制必須向風險控制發展。所以，內部控制應更加關注對風險的管理。為加強風險管理，保護投資者的合法權益，上海、深圳證券交易所先后發布了上市公司內部控制指引，見表5。

　　（二）《上市公司內部控制指引》的內容

　　 2006年6月，上海證券交易所率先發布了《上市公司內部控制指引》，對上市公司健全和實施內部控制制度提供了原則性指導。9月，深圳證券交易所也發布了《上市公司內部控制指引》。這兩個《指引》都認為：內部控制是由公司董事會、管理層及全體員工共同參與的一個過程，旨在確保公司行為符合法規要求、保護公司資產安全、提高公司經營的效果與效率并增強公司信息披露的可靠性。一是披露主體方面。兩個指引均提出了公司董事會應對公司內控制度的建立健全、有效實施及其檢查監督負責，并強制要求披露內部控制信息。二是披露方式方面。公司董事會應在年度報告披露的同時，披露年度內部控制自我評估報告，并披露會計師事務所對內部控制自我評估報告的核實評價意見。這就使內部控制信息披露由原來的自愿披露轉變為強制性披露。三是披露內容方面。上交所規定了公司內部控制自我評估報告至少應包括如下內容：內控制度是否建立健全、內控制度是否有效實施、內部控制檢查監督工作的情況、內控制度及其實施過程中出現的重大風險及其處理情況、對本年度內部控制檢查監督工作計劃完成情況的評價、完善內控制度的有關措施和下一年度內部控制有關工作計劃。

　　五、企業內部控制標準委員會的成立與《企業內部控制規范》的發布

　　（一）企業內部控制標準委員會的成立

　　2006年7月15日，經國務院批準，由財政部牽頭發起，國資委、審計署、證監會、銀監會、保監會共同參與的“企業內部控制標準委員會”正式成立，研究推進企業內部控制規范體系建設問題。2007年3月，“企業內部控制標準委員會”印發了《企業內部控制規范——基本規范》和17項具體規范的征求意見稿，見表6。首次給出了企業內部控制規范的整體框架，對“貨幣資金”、“采購與付款”、“存貨”等17項業務進行了具體規范。

　　（二）《企業內部控制規范》的發布

　　2008年6月，財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制基本規范》，執行基本規范的上市公司，應對本公司內部控制的有效性進行自我評價，披露年度自我評價報告；并可聘請具有證券、期貨業務資，格的中介機構對內部控制的有效性進行審計。此外，基本規范要求企業實行內部控制自我評價制度，并將各責任單位和全體員工實施內部控制的情況納入績效考評體系。基本規范在形式上借鑒了COSO《內部控制整合框架》的五要素，同時在內容上體現了COSO《企業風險管理》八要素的實質，構建了以內部環境為重要基礎、以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證，相互聯系的五要素內部控制框架。《企業內部控制基本規范》確立了我國企業建立和實施內部控制的基礎框架，標志著企業內部控制規范體系建設取得重大突破。

　　我國對上市公司內部控制的規范范圍越來越寬泛，內容越來越詳細，要求更加嚴格。《企業內部控制具體規范》正在起草中，不久將在上市公司實施；2008年6月財政部會同國務院有關部門草擬了《企業內部控制評價指引》（征求意見稿），主要闡述了內部控制評價的內容和標準、內部控制評價的程序和方法、內部控制缺陷認定和評價報告等內容。國內外有關內部控制的大部分成果也贊同以原則為基礎、以風險為重點的做法，并逐步認識到組織需要制定一個適合其具體內部和外部環境的內部控制制度。