薄弱的内部控制是导致企业经营失败的重要原因，如何完善我国上市公司的内部控制已成为政府监管部门和投资者关注的焦点。本文试图通过梳理我国上市公司内部控制相关规范，对现有上市公司内部控制制度进行分析和评述，从而为我国构建更加科学的内部控制框架提出建议。

　　一、注册会计师协会发布《独立审计具体准则第9号》

　　（一）《独立审计具体准则第9号》的发布

　　1996年12月，我国注册会计师协会发布了《独立审计具体准则第9号——内部控制与审计风险》，首次在我国提出内部控制的概念。将内部控制定义为“被审计单位为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序”。要求注册会计师在审计过程中必须了解被审计单位的内部控制。该具体准则对注册会计师在会计报表审计中研究与评价被审计单位的内部控制做出具体要求，并指出内部控制应该实现的四个目标及其固有的限制。

　　（二）《独立审计具体准则第9号》的目标

　　《独立审计具体准则第9号——内部控制与审计风险》强调建立健全内部控制是被审计单位管理当局的会计责任。相关内部控制一般应实现以下目标：保证业务活动按照适当的授权进行；保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求；保证对资产和记录的接触、处理均经过适当的授权；保证账面资产与实存资产定期核对相符。

　　二、财政部发布《内部会计控制规范》

　　（一）《内部会计控制规范》的发布

　　财政部从2001～2004年连续发布了《内部会计控制规范——基本规范（试行）》和《内部会计控制规范一货币资金（试行）》等10项内部会计控制规范，见表1。

　　（二）《内部会计控制规范》的内容

　　《内部会计控制规范——基本规范（试行）》阐述了内部会计控制的目标和原则、内部会计控制的内容、内部会计控制的方法、内部会计控制的检查，强调“内部会计控制是指为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序”。内部会计控制规范并不是仅仅针对上市公司，但它是上市公司进行内部控制建设的重要参照标准。尽管该规范已经开始关注风险管理等，但与国际公认内部控制框架相比仍存在较大差距，主要包括：较少考虑控制环境；与比较强调内部会计控制，而忽略了管理控制方面。

　　三、证监会对上市公司内部控制相关要求

　　（一）披露主体

　　 证监会于1999年发布的《关于上市公司做好各项资产减值准备等有关事项的通知》和2002年证监会和国家经委联合发布的《上市公司治理准则》，对内部控制披露主体做出了规定，都是将披露责任归于监事会或审计委员会，见表2。

　　（二）披露内容与形式

　　2000年，证监会发布的《公开发行证券公司信息披露编报规则》，要求应委托所聘请的会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价，提出改进建议，并以内部控制评价报告的形式做出报告，见表3。另外，2001年证监会修订的《公开发行证券公司信息披露的内容与格式准则第2号——年度报告的内容与格式》中第42条规定：年度报告中，监事会应对“公司决策程序是否合法，是否建立完善的内部控制制度，公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为”发表独立意见。但第73条又规定：在年报摘要中，如果监事会认为公司决策程序合法，建立完善的内部控制制度，公司董事、经理执行公司职务时无违反法律、法规、公司章程或损害公司利益的行为，可免于披露。这样就使得披露的程度大大降低，有很大的自由性而不具有强制性，内部控制信息披露方面基本上仍是自愿披露。

　　（三）内部控制自我评价方面

　　 2001年3月，证监会颁布了《关于做好上市公司新股发行工作的通知》，要求发行人披露公司管理层对内部控制的自我评估意见；2001年4月颁布的《公开发行证券的公司信息披露内容与格式准则第11号——上市公司发行新股招股说明书》，要求披露的内容更加详细、具体见表4。

　　四、证券交易所发布的《上市公司内部控制指引》

　　（一）《上市公司内部控制指引》的发布

　　 随着市场经济的发展和企业环境的变化，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向风险控制发展。所以，内部控制应更加关注对风险的管理。为加强风险管理，保护投资者的合法权益，上海、深圳证券交易所先后发布了上市公司内部控制指引，见表5。

　　（二）《上市公司内部控制指引》的内容

　　 2006年6月，上海证券交易所率先发布了《上市公司内部控制指引》，对上市公司健全和实施内部控制制度提供了原则性指导。9月，深圳证券交易所也发布了《上市公司内部控制指引》。这两个《指引》都认为：内部控制是由公司董事会、管理层及全体员工共同参与的一个过程，旨在确保公司行为符合法规要求、保护公司资产安全、提高公司经营的效果与效率并增强公司信息披露的可靠性。一是披露主体方面。两个指引均提出了公司董事会应对公司内控制度的建立健全、有效实施及其检查监督负责，并强制要求披露内部控制信息。二是披露方式方面。公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。这就使内部控制信息披露由原来的自愿披露转变为强制性披露。三是披露内容方面。上交所规定了公司内部控制自我评估报告至少应包括如下内容：内控制度是否建立健全、内控制度是否有效实施、内部控制检查监督工作的情况、内控制度及其实施过程中出现的重大风险及其处理情况、对本年度内部控制检查监督工作计划完成情况的评价、完善内控制度的有关措施和下一年度内部控制有关工作计划。

　　五、企业内部控制标准委员会的成立与《企业内部控制规范》的发布

　　（一）企业内部控制标准委员会的成立

　　2006年7月15日，经国务院批准，由财政部牵头发起，国资委、审计署、证监会、银监会、保监会共同参与的“企业内部控制标准委员会”正式成立，研究推进企业内部控制规范体系建设问题。2007年3月，“企业内部控制标准委员会”印发了《企业内部控制规范——基本规范》和17项具体规范的征求意见稿，见表6。首次给出了企业内部控制规范的整体框架，对“货币资金”、“采购与付款”、“存货”等17项业务进行了具体规范。

　　（二）《企业内部控制规范》的发布

　　2008年6月，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，执行基本规范的上市公司，应对本公司内部控制的有效性进行自我评价，披露年度自我评价报告；并可聘请具有证券、期货业务资，格的中介机构对内部控制的有效性进行审计。此外，基本规范要求企业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。基本规范在形式上借鉴了COSO《内部控制整合框架》的五要素，同时在内容上体现了COSO《企业风险管理》八要素的实质，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系的五要素内部控制框架。《企业内部控制基本规范》确立了我国企业建立和实施内部控制的基础框架，标志着企业内部控制规范体系建设取得重大突破。

　　我国对上市公司内部控制的规范范围越来越宽泛，内容越来越详细，要求更加严格。《企业内部控制具体规范》正在起草中，不久将在上市公司实施；2008年6月财政部会同国务院有关部门草拟了《企业内部控制评价指引》（征求意见稿），主要阐述了内部控制评价的内容和标准、内部控制评价的程序和方法、内部控制缺陷认定和评价报告等内容。国内外有关内部控制的大部分成果也赞同以原则为基础、以风险为重点的做法，并逐步认识到组织需要制定一个适合其具体内部和外部环境的内部控制制度。