從本質上看，控制的主要對象是人的行為。而內部控制最終由誰負責，是關系到內部控制能否發揮效果的根本問題。因此，在明確董事會在內部控制中的責任的同時，應加大外部監督和約束力度，建立董事會內部控制考核制度。

　　近年來，隨著巴林銀行倒閉案、安然事件、世通公司財務欺詐案以及國內中航油、中儲棉、銀廣廈、杭蕭鋼構等一系列控制失靈事件的發生，內部控制再度引起國內外各類監管機構的重視，并成為社會各界廣泛研究的熱門話題。繼美國出臺的《薩班斯。奧克斯利法案》之后，許多國家相繼修訂了上市公司內部控制的有關規定，我國相關部門也陸續出臺了一系列規范、指引等內部控制規章，構成了復雜、繁多的內部控制要求。對中國企業而言，由于所有制形式不同，上市地點不同、業務范圍不同，需要遵循多種不同的監管要求，這使得企業在進行內部控制建設時，面臨諸多選擇，耗費巨大，甚至效率低下，以至背離內部控制建設的初衷。因此，我國內部控制建設的當務之急是盡快整合我國內部控制的有關規定，借鑒國際主流內部控制理論和方法，研究確立我國的內部控制理論體系；從我國實際出發，兼顧國際資本市場監管要求，建立我國統一的內部控制框架體系；立足我國內部控制目標，厘清控制主體職能定位，構建我國內部控制責任體系。

　　基于“人”的體系

　　控制是因人性弱點而存在的，趨利避害是人的主要行為特征。由于受到利益驅動，為了獲得自身效用最大化，每個人都有背離控制的動機。這種沖突是普遍存在的，是人性使然，是否背離，取決于每個人對得失利害（風險）的權衡。而有背離就有糾正，這是一種社會行為，如何控制，取決于監管者對于成本利益的平衡。縱觀國內外內部控制失敗的案例，無一例外不是因為管理層（這些人）為了實現績效目標，從而達到自身利益最大化，而采取背離控制的行為所至。因此，從本質上看控制的主要對象是人的行為。

　　近來，我國社會各界對內部控制的研究，大多是針對業務流程控制的具體方法，而對于不同控制環境、文化背景下業務執行的行為特征很少涉及。這就是為什么我們辛辛苦苦把一些企業行之有效的控制方法加以歸納總結，但運用到其他企業卻難以湊效。當前內部控制領域最為權威的文獻之一COSO報告——《企業風險管理—整合框架》，關于內部控制環境方面的觀點值得我們研究借鑒。COSO報告把控制環境放在各要素的首位，是其他要素的基礎，指出應從合理的保證與主體的態度兩方面考核內部環境。考察內部控制是否提供合理保證，應注意內部控制的費用是否超過所獲得的收益。

　　COSO報告充分關注了人的行為對內部控制的影響。在他看來，企業組織中的人員，尤其是高管層的風險管理理念、風險偏好、管理哲學、價值取向、誠信程度及勝任能力，權責分配等，直接關系到企業內部控制的程序設定及其成效。

　　COSO報告另一個重要啟示是內部控制是一個過程，而非結果。就人的行為邏輯而言，為特定目的而引發的特定行為，是一種連續的過程，因此控制不是控制結果，而是要規制行為過程，引導、約束人的行為朝著即定方向發展。從目標設定到目標實現的全過程都應該體現控制要求，是當今內部控制理論對管理學控制職能的超越與發展。

　　目前，我國的內部控制理論研究還很欠缺，在缺乏理論指導的情況下，各種有關內部控制的規章制度，以及企業的內部控制實務就顯得雜亂無章。因此，急需研究確立我國內部控制理論體系，以指導我國企業內部控制實踐。

　　結合“要素” 、“內容”

　　縱觀國際內部控制的發展歷程，大體經歷了內部牽制階段、內部控制制度化階段、內部控制結構化階段，以及內部控制整體框架階段。總體趨勢是：從單一的財務會計內部控制，向風險管理和全面內控發展；從規范控制內容向控制要素方向發展。這是因為，長期的理論研究和企業實踐表明，內部控制與企業經營環境有關，是為控制特定風險而設置的。當今，企業在發展過程中所面臨的風險不僅僅是財務風險，還面臨戰略風險、經營風險、合規風險等諸多風險，不同的企業面臨的風險有所不同，內部控制的重點也不相同，加之內部控制需要付出成本，所以不能指望羅列一系列的控制內容來解決所有企業的控制問題。

　　哪些要素才能構成完整的內部控制過程，是制訂內部控制框架的難點，解決這一難題仍然需要從人的行為邏輯出發。COSO《企業風險管理—整合框架》提出內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、持續監控八大要素，仍然值得我們學習研究。在此基礎上結合中國企業的行為特點，從企業行為控制要素和控制與反控制關系要素兩方面，確定我國內部控制框架體系的要素內容。

　　任何控制理論及其實踐，都離不開本國的管理基礎和文化背景，僅就我國在海外的主要上市地美國和香港監管要求來看，美國自工業化以來，經過了近200年的科學管理實踐，標準化、規范化成為美國企業的管理基礎和行為規范，以COSO為代表的內部控制理論和實務，正是根植于這一土壤。從市場經濟發展的歷程來看，內部控制體系根植于商業社會的程度越深，針對有效滿足良好商業行為所需要的監管細節就越少。但是由于近年來公司倒閉和舞弊丑聞頻發，美國出臺了“薩班斯法案”，加強了監管，要求之嚴格甚至限制了企業的發展和創新。“薩班斯法案”的核心，一是強調了首席執行官和財務官的法律責任，二是不僅監管內部控制結果，而且監管這一結果的控制過程，因而加大了企業的控制成本。香港聯交所的監管要求比較寬范，主要受英國內部控制理論的影響。英國的理論和方法很少對公司董事會應如何組織并有效執行其責任等問題做出硬性規定，將其商業監管體系建立在原則而非嚴格規定的基礎上。1998年出臺了《公司治理委員會綜合準則》規定了“不遵守就解釋”的基本原則，即如果公司能夠證明所選取的方法更適用于自己所處的情況，那么公司就可以選擇這種方法，而不是一定采用該準則中建議的方法和標準，前提是公司要向股東解釋如此選擇的原因，由股東來決定是否對該方法滿意。這種以市場為基礎的監管方法，使董事會在組織和執行其職責時保持更好的靈活性，同時還保證了董事會對股東負責。如此，將內部控制的高標準與實施控制的低成本有效結合起來。英國一直重視內部控制的自我評估，通過自我評估程序，由組織整體對管理控制和治理負責。作為《綜合準則》指南的特思布爾報告提出的對內部控制自我評估時應特別考慮的問題，大部分內容被香港聯交所《企業管治常規守則》建議最佳常規所采用。

　　我國內部控制體系化建設才剛剛起步，尚處于經驗式管理狀況，呈現出隨意性的行為特征，我國企業在法律意識、制度基礎、風險理念、經營風格等方面與歐美企業還存在較大差距，尤其是許多企業尚不了解控制要素與企業經營管理之間的關系。所以，我國內部控制框架體系，即要與國際接軌，又要符合國情，應從全面內控出發，以內部控制要素為主，輔以控制內容要求，即基礎規范以內部控制要素為主，制訂原則性要求和標準。應用指南應總結我國不同類型企業的共性問題，對主要控制內容、控制流程和方法給予指導，從而形成具有中國特色的內部控制框架體系。

　　規范“內”、“外”

　　從控制主體角度看，分為外部控制和內部控制。那么，內部控制誰主沉浮？就本質而言，內部控制是一種自我調節、自我約束行為，這種自律行為并非完全是自發和自愿的。這是因為內部控制是由人來執行的，人性的弱點必然時刻影響著內部控制過程。如果沒有外部控制作為約束條件，沒有外部控制的有力推動，就難以形成良好的自我完善機制。盡管“薩班斯法案”受到諸多質疑，但正因為它的出臺，才掀起了全球范圍的內控熱潮，充分體現了內部控制與外部控制的辯證關系，也表明內部控制的責任體系應由外部監管者和內部管理者兩部分構成。

　　內部控制的監管方由于擔負的角色不同，其控制目的、控制對象、控制內容和方式、控制強度不同。美國“薩班斯法案”出臺的目的是為了重塑公眾對資本市場的信心，規范企業信息披露的行為，管轄范圍是在美國上市的公眾公司，強化高管層對財務報告和信息披露的責任，加重對違法行為的處罰。我國國資委出臺《中央企業全面風險管理指引》，目的是引導中央企業防范重大風險，促進企業持續、健康、穩定發展，規范企業全面風險管理行為，管轄范圍是中央企業，并非強制要求。不難看出，美國證監會擔負的是市場監管者的角色，主要職責是維護資本市場秩序；而國資委擔負的是中央企業出資人的角色，主要職責是監督管理國有資產保值增值情況。

　　目前，我國內部控制的規章制度，可謂紛繁復雜，政出多門，資本市場監管部門、行業管理部門，出資者代表機關、社會公共管理部門等紛紛出臺有關內部控制管理辦法，但各部門在內部控制監管方面所擔負的角色并不明確，責任尚不清晰，控制目的模糊不清，缺乏在統一理論和框架體系指導下的行為規范。因此，在我國社會主義市場經濟相關制度還不完善的情況下，規范外部監管行為，是建立中國特色內控責任體系的客觀要求，也應該納入由財政部牽頭、聯合證監會及國資委共同開展的中國企業內部控制標準的研究范疇。

　　從某種意義上講，內部控制最終由誰負責，是關系到內部控制能否發揮效果的根本問題。傳統的觀點認為，內部控制應由公司總經理負責。這種觀點的出發點是承認公司治理和內部控制的明確劃分。公司治理解決所有者、董事會和經理層的制衡關系，是用來約束、激勵和監督經營者的控制制度；內部控制則是管理當局與其下屬之間的管理控制關系，是面向次級管理人員和員工的控制。但是，這種觀點的最大問題在于，可能對維護股東和債權人的利益不利。近年來的很多案件表明，許多的舞弊行為都直接來自公司高層，而造成的損失也更為巨大。

　　COSO框架中認為董事會對企業內部控制負主要責任，這種觀點得到了廣泛認同。目前監控最為嚴格的“薩班斯法案”把財務報告的可靠性和有關內部控制的責任落實到實際執掌公司權力的關鍵人物身上，實際上是從美國公司的現實情況出發，突破了公司治理和內部控制的機械分割，加強董事會和管理層的責任。另外，香港聯交所和國資委也要求董事會對內部監控和風險管理工作負責。

　　在明確董事會在內部控制中的責任的同時，應加大外部監督和約束力度，建立董事會內部控制考核制度。我國的管理文化往往是通過“管人”來“管事”，這種方式注重事后的結果，通過結果的考量，作出對人的評價，然而內部控制結果，尤其是風險管理結果，往往并不能直接反映控制行為是否恰當。也就是說，管理層不作為、甚至背離控制程序，并不一定帶來直接后果，而有時即使完全遵循控制要求，由于環境影響，也會導致失敗。因此，應將控制結果和控制過程考核相結合，對重要管理行為，如決策行為過程加以評價。內部控制的最高境界是形成自我約束的機制和文化，因此，應倡導內部控制自我評價，實行內部控制與風險管理述職制度，從而自上而下傳遞內部控制理念，營造良好的內部控制氛圍。