内部控制是企业的一项重要制度安排，是一种特殊形式的管理制度，它对内防错纠弊、保护资产，对外为注册会计师提高审计效率提供有效途径。因此，建立健全企业内部控制，对促进资本市场健康发展、完善公司治理机制具有积极的意义。

　　一、中美内部控制变迁比较

　　（一）我国内部控制变迁

　　早在西周时，便有统治者为防止官吏贪污盗窃、弄虚作假，制定了分工控制和交互考核的措施，实行职务、职权的相互牵制和制约。其作用正如朱熹所说，“毫财赋之出入，数人之耳目通焉”。西汉时期出现了上计制度，地方须将其户口、垦田、钱财、谷物等情况编册上报，并呈报皇帝审查。及至宋太祖时期，实行“官职分离”、“职差分离”的官职制，“主库吏三年一易”。与今天的职务轮换制类似。清朝时，政府在财物出纳、调拨、储运、保管方面，建立了一系列的制度、程序。内部控制的现代理论研究大约起于上世纪80年代。90年代开始，我国政府加大企业内部控制的推进力度。1996年财政部发布《独立审计具体准则第9号——内部控制和审计风险》，提出内部控制的定义和内容，规定CPA审查企业的内部控制，1997年中国人民银行颁布《加强金融机构内部控制的指导原则》，1999年新修订的《会计法》第37条规定：“会计机构内部应当建立稽核制度”，2001年6月财政部颁布了《内部会计控制规范——基本规范（试行）》，将内部控制定位于内部会计控制，2004年底“审计风险准则（征求意见稿）”提出了基于COSO框架的评价方法。但这都只是从审计角度出发，还无法为企业实际操作提供直接依据。

　　（二）美国内部控制变迁

　　美国的内部控制是以英国为蓝本发展起来的。十八世纪的产业革命掀起了经济发展的高潮，出现了公司制这种企业组织形式。当时的美国铁路公司为控制、考核各地的运输业务，采用内部稽核制，取得了显著效果，各大企业起而效之。二十世纪初，经济的发展使股份公司规模不断扩大，所有权和经营权分离，一些企业建立起了“内部牵制制度”，规定交易的处理不能由一人或一个部门包揽全过程。二战后，生产连续化、自动化、社会化程度的空前提高，对生产管理提出了更高的要求，一方面要求管理者实行分权管理，调动员工积极性，另一方面要求采取更完善的控制制度，以便有效经营。二十世纪80年代以来，内部控制的研究进一步向具体内容深化。1988年，美国注册会计师协会发布《审计准则公告第55号》（SAS-55），以“内部控制结构”取代“内部控制制度”。90年代COSO委员会出台《内部控制——整体框架》，该文件提出了内部控制构成的概念，并指出内部控制整体框架包含五个相互联系的要素：控制环境、风险评估、控制活动、信息与沟通、监督，其涵盖的范围比原有的任一概念都要广泛。报告建议，由管理当局或其指定人员（如内审人员）定期评价企业内部控制的设计与执行情况，出具评价报告，注册会计师则对管理当局的内部控制报告出具审核意见，评价报告和验证报告一并对外披露。但现实中，公司内部控制未能成为强制性信息披露的内容。2000年安然、世通的发案暴露了公司内部控制存在缺陷，2002年美国国会通过萨班斯法案，提出披露内部控制报告的强制要求，SEC相应地于2003年8月发布规则，具体规定了财务报告内部控制报告的内容和格式。从两国内部控制历史发展来看，内部控制经历了稽核、牵制、控制三个发展阶段。早期的内部牵制通过，通过职务分工、权力制衡，来防范错弊，近代，美国内部控制发展步伐加快，且不断融入科学管理的思想和实践经验，使内部控制理论不断得以充实，体系不断丰满。

　　二、中美内部控制概念比较

　　（一）我国内部控制概念界定

　　我国《独立审计具体准则第9号——内部控制与审计风险》中对其定义为：内部控制，“是指审计单位为了保证业务活动的有效进行，保证资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序”。2004年《独立审计具体准则第29号——了解被审计单位及其环境并评估重大错报风险》（征求意见稿）中则提出内部控制是，“为了合理保证财务报告的完整性、经营的效率和效果以及对法律法规的遵循，由治理当局、管理当局和其他人员设计和执行的政策和程序”，这其中借鉴了COSO框架的概念定义。

　　（二）美国内部控制概念界定

　　1949年，美国注册公共会计师协会在《内部控制——协调系统的要素及其对管理部门和独立职业会计师的重要性》中对内部控制进行了阐述：“内部控制是指一个经济实体内部采用的组织计划和所有有关的协调方法和措施，其目的是保护该组织的资产，检查会计数据的正确性和可靠性，提高经营效率，促使有关人员遵循既定的管理方针”。1988年的SAS——55将内部控制定义为：“为了对实现特定公司目标提供合理保证，而建立的一系列政策和程序”。1992年美国COSO委员会发布报告《内部控制——整体框架》，指出“内部控制是由企业董事会、经理阶层以及其他员工实施的，为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现而提供合理保证的过程”。2004年新的COSO报告《企业风险管理——总体框架》（Enterprise Risk Management，ERM）出台并指出，内部控制是一个过程，由企业董事会、经理阶层以及其他员工实施。应用于企业的战略制定并贯穿于整个企业，识别可能影响公司的潜在事项，将风险管理在一定的范围内，为实现企业目标提供合理保证。由此可以看出，内部控制具有以下特征：把企业、经济实体或单位作为一个总体、一个系统，在该系统内建立、实施内部控制；内部控制的主体即实施者是企业或单位的内部人员，但是他们所处的地位不同，控制的任务、范围也就相对不同；内部控制是一种内部管理制度，是企业内部人员的内部行为，它最终是为整个企业或单位的管理目标、战略目标服务；内部控制不是孤立的、互不相关的各种控制措施的简单集合，而是相互联系、相互制约的控制措施的有机整合，具有系统化、程序化的特点。我国的内部控制概念界定停留在对财务报告的完整性、经营的效率和效果以及对法律法规的遵循上，即主要突出对“三性”的合理保证。美国ERM框架则将此概念的视角延伸到对战略目标的贯穿、对未来风险的理性识别上，更具有前瞻性和预警性，这也对内部控制人员的综合素质提出了更高的要求。

　　三、中美内部控制目标比较

　　（一）我国内部控制目标

　　《独立审计具体准则第9号》规定：“建立健全内部控制是被审计单位管理当局的会计责任。相关内部控制一般应当实现以下目标：保证业务活动按照适当的授权进行；保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求；保证对资产和记录的接触、处理均经过适当的授权；保证账面资产与实存资产定期核对相符”。《独立审计具体准则第29号》（征求意见稿）中明确提出了内部控制的目标即：经营的效率和效果、财务报告的完整性、法律法规的遵循性。

　　（二）美国内部控制目标

　　1995年，AICPA审计准则委员会修订审计准则，使其与COSO发布的《内部控制——整体框架》相协调。其中规定，内部控制的目标有三类：经营类目标、财务报告类目标和遵循类目标。经营类目标如：良好的企业信誉、投资回报、市场份额、保护资产使用的效率、效果，这些目标包含在企业的战略、战术中。财务报告类目标有公布真实、可靠的财务报告、防止资产未经授权使用。该类目标通常为内部和外部审计师所关注。遵循类目标就是遵守有关的法律、法规（Robertson，1999）。准则从真实性、效率性、合法性三个方面来设计内部控制的目标，在ERM框架中，除经营目标、遵循类目标基本不变外，财务报告目标发展为报告目标，即从财务报告的范围拓展到“内部的和外部的”、“财务的和非财务的报告”，并提出新的目标——战略目标。从《独立审计具体准则第29号》（征求意见稿）中，可看出内部控制目标由强调防错纠弊，转变为强调“三性”，即财务报告完整性、效率效果性及合规性，体现了与国际准则接轨的良好态势，充分说明了内部控制是为实现企业经营目标而设计执行的政策和程序，反映了实施内部控制的利益驱动力所在。而美国最新的COSO报告又将内部控制的概念提升到战略管理的层次，更突出其在企业中的重要地位与作用，同时报告强调了风险问题，指出管理层需要识别风险和影响风险的事项，评估风险并采取控制措施。与之相比，国内内部控制理论和实务在该点上还有相当大的差距。

　　四、中美内部控制要素比较

　　（一）我国内部控制要素

　　《独立审计具体准则第9号》第2条规定：内部控制包括控制环境、会计系统和控制程序，即内部控制的“三要素论”。控制环境是对企业内部控制的建立和实施有重大影响的因素的统称。控制环境的好坏直接决定着企业其他控制能否实施或实施的效果。会计系统是指保护企业资产安全完整和保证会计记录可靠的会计组织、会计程序和会计方法的总称。而一个有效的会计系统应能做到及时、充分地确定、计量、记录、分类和披露交易事项。控制程序是被审计单位管理当局为了实现其特定的管理目标而制定除控制环境以外的各项政策和程序。

　　（二）美国内部控制要素

　　美国1988年颁布的SAS-55，从财务报表审计考虑，认为内部控制结构由控制环境、控制程序和会计制度组成，即“三要素论”。COSO报告《内部控制——整体框架》认为，内部控制包括控制环境、风险评估、控制活动、信息和沟通、监督，即“五要素论”。其与内部控制结构论相比，突出了风险评估、信息和沟通、以及对内部控制过程的监督。内部控制整体框架的构建是以“控制环境为基础，风险评估为依据，控制活动为手段，信息和沟通为载体，监控为保证”。ERM框架则将上述五个要素演变为八个要素，即内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监督。美国内部控制要素为适应经济发展和管理的需要，从内部控制结构论发展到内部控制整体框架，从“三要素论”拓展到了“五要素论”到“八要素论”，且越来越重视风险偏好的管理，强调在经济活动中识别风险、评估风险。相比之下，我国审计界所界定的内部控制尚处于“三要素论”阶段，对风险的认识、评估、反应，对内部环境中的员工诚实性、道德、企业文化等诸多软件还未予以足够的重视。

　　五、中美内部控制的意义及建议

　　（一）内部控制实行“抓大放小”

　　企业的资源是有限的，实行内部控制需要付出成本，企业实施内部控制的潜在动力也就在于其实施收益超过实施成本。如果内部控制人员将有限的精力和经费消耗在日常的琐碎事项上，而忽略了企业的重大风险，结果往往是得不偿失。ERM框架的风险管理提供了一条新思路，关键、风险大的控制点是企业内部控制的重中之重，只有将企业的管理资源优化配置，抓大放小，突出重点，才能取得良好的管理效益和经济后果。

　　（二）执行甚于设计

　　计许多案件的发生并非由于该企业没有制订相关的内部控制制度，而是现有的规章制度没有得到有效的执行与贯彻。制度的有效执行不能仅仅依靠执行者和其他相关人员的自觉行为，也需要进行监督，因为人是社会的，是有限理性的“经济人”，人人都可能有偷懒、寻租的动机。因此，完善的制度是对权力的制衡，是多方博弈力量的平衡。对内部控制制度执行的监督，以发现控制活动的偏离，进行必要的修正，就是制衡内容的一部分。监督者在监督执行者进行设计内部控制时应从战略管理的高度，充分考虑到这个相互牵制、相互制约的过程安排，并且要防范制约者之间的串谋。因为串谋将使得内部控制失去效用，形同虚设。内部控制是帮助管理部门尽可能地实现企业有条不紊和高效运作的一种工具，是使经济组织达到既定管理目标的一种手段。我国应充分认识内部控制的目标，把握其实质内容，努力借鉴其他国家的先进理论和经验，建立和完善具有自身特色的内部控制，以满足我国经济发展和企业管理的需要。