中国证监会2000年11月发布的《公开发行证券公司信息披露编报规则》要求公开发行证券的商业银行、保险公司、证券公司应建立、健全内部控制制度，并在招股说明书正文中专设一部分，对其内部控制制度的完整性、合理性和有效性做出说明。同时规定，商业银行、保险公司、证券公司还应委托所聘请的会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价，提出改进建议，并应内部控制评价报告的形式做出报告。财政部最近也发布了《内部会计控制基本规范》等有关文件将对单位内部控制问题做出专门规定。

    一、内部控制的定义

    我国在独立审计准则中将内部控制定义为：内部控制是指企业为了保证业务活动的有效进行，保证资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序，由控制环境、会计系统和控制程序组成。

    1963年美国审计程序委员会在其发布的"审计程序第23号文件"中，首次将内部控制划分为内部会计控制和内部管理控制。美国管理会计师协会1994年《内部控制结构》将内部控制定义为："内部控制是这样一个整体系统，由管理者建立的，旨在以一种有序的和有效的方式进行公司的业务，确保其与管理政策和规章的一致，保护资产，尽量确保记录的完整性和正确性。"COSO委员会1992年提出并于1994年修改的《内部控制-整体框架》中对内部控制作了如下描述，内部控制是由企业董事会，经理阶层和其他员工实施的，为营运的效率效果，财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。

    二、内部控制的目标

    内部控制目标是内部控制存在及存在形式的根本，也是建立内部控制框架以及考核、评价内部控制的指导性参照物。《企业内部会计控制——基本规范》中，将内部控制的目标归为五个方面，其中除了包含原有的确保经营目标的实现、防止发现纠正错误于舞弊、保证财产安全、保证会计资料的真实完整、确保各项法规及内部控制制度的执行外，还强调了：建立风险控制系统，强化风险管理，确保单位各项业务活动的健康运行。对风险控制系统的建立作为独立的内部控制的一项目标，与我国当前的企业在运转过程中忽视风险的控制，有时甚至存在盲目使用资金等隐藏巨大风险的运营行为有关，非常适合我国的需要，也能够在很大程度上促进公司治理机构的完善加快国有企业改革的完善。

    按照COSO报告，内部控制的目标包括：取得经营效果和效率；保证财务报告的可靠性；保证遵循适当的法规。可以看出COSO委员会对控制的目标包括的内容更为宽泛，尤其是取得经营效果和效率，企业达到这一目标要涉及企业方方面面的活动，也涉及到对经营取得效果的考核和对经营效率评价标准的取向问题。

    我国内部控制目标的定位主要局限与保证业务活动的有效进行，防错纠弊，会计资料的真实、合法与资产的安全和完整。这种目标定位相对低调。从长远来看，随着经济的不断发展和企业状况的不断改善，目标定位应有相应的提高。不仅需要借鉴国际上有关内部控制的目标定位，同时也需考虑中国国情，立足于中国企业的现实，从改善中国企业现状和完善公司治理的角度出发，应既遵循适当的前瞻性与发展性，同时又有立足与现实的稳定性与可操作性，从而给中国的内部控制规范以一个适当的目标定位。

    三、关于内部控制规范内容范围的思考。

    内部控制理论在西方经过近一个世纪的发展，成熟于COSO报告的五大要素，即控制环境、风险评估、控制活动、信息与沟通以及监督。这是西方成熟市场经济以及发达资本市场条件下企业内部控制需考虑的要件。我国内部控制的内容范围与COSO报告相比，还有相当的距离。《企业内部会计控制基本规范》的构成并未以要素的形式存在，而是直接列出了内部控制的内容，这些内容包括：货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制，并且每一条条款都将制定相应的具体规范。可以看出我国内部控制规范内容主要集中与会计领域。《会计法》，《企业内部会计控制基本规范》等法律规范主要是从会计控制的角度来规范内部控制；独立审计准则中的定位也是着重与企业的会计责任方面。《内部会计控制规范-基本规范》中的突出部分是强调了建立风险控制系统，强化风险管理，确保单位各项业务活动的健康运行，对风险控制系统的建立作为独立的内部控制的条款加以强调。第二十四条规定：风险控制要求单位树立风险意识，针对各个风险控制点，建立有效的风险管理系统，通过风险预警、风险识别、风险评估风险分析、风险报告等措施，对财务风险和经营风险进行全面防范和控制。并且在每一具体业务的控制条款中都增加了有关防范风险的要求。强调风险控制，强化风险管理，与我国当前企业在运转过程中忽视风险控制，造成巨大隐患甚至损失有关，适合当前的现实需要，也能够在很大程度上促进国有企业的改革和公司治理结构的完善。

    随着社会主义市场经济的发展，企业的权利与义务在逐步规范中执行到位，其在社会经济生活中将发挥越来越大的作用，相应的与企业内部控制相关的内容在范围上也会越来越宽泛。企业的外围环境文化理念，经营哲学等控制环境因素与风险因素都应纳入企业内部控制的范围来予以考虑。我们的观点是，既不能不中国现实，照搬成熟市场经济条件下国外企业内部控制的要素理论，也不能局限于中国现有的内部控制规范的内容范围。以中国现有的有关内部控制法规的内容来看，作为企业外部条件的控制环境与风险评估部分相对较弱，在今后内部控制范围的制定中需加以强调。

    四、内部控制框架构建应主意的问题

    1、健全管理机构 .内部控制的建设体现在两个方面：一是健全的机构，这是内部控制机制产生作用的硬件要素；二是个内部机构、各经办人员间的科学分工与牵制，这是内部控制机制产生作用的软件要素。目前必须解决两个问题：（1）设立管理控制机构。例如，目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益尝试。（2）推行职务不兼容制度，杜绝高层管理人员交叉任职，交叉任职主要体现在董事长和总经理为一人，董事会和总经理班子人员重叠。

    2、建立具有操作性的道德规范与行为准则。内部控制制度的执行者是包括高层管理人员在内的全体员工，激励和约束的对象也是企业的员工，员工的道德水准和价值观念长期被认为是内部控制环境的重要因素，要求内部控制结构的建立要考虑员工道德水准和价值观念的承接性，实践表明，基于环境现状而构建内部控制机制是一种被动性的做法，故此，英美等国越来越多的公司将道德规范和行为准则的建设直接纳入内部控制结构的内容。

    3、关于内部控制外部化所谓的内部控制的外部化是指企业采用外部控制程序在某些环节上替代内部控制，以达到对其特殊的控制效果的过程。它包括控制参与者的外部化，也包括控制程序及方法的外部化。换言之，企业即可以通过利用外部人员的专职人员参与内部控制，也可以直接使用外部控制的程序、方法来代替内部控制，二者均属于内部控制的外部化。笔者认为，内部控制的外部化是由多方面的原因造成的，其中主要包括：社会分工专业化，企业对管理高效率的追求、内部控制自身的不完善性、政府经济管理职能的运作等。

    内部控制外部化的重点则应放在对高级管理者的控制上。首先，股东与高层管理者之间存在较大的利益冲突，单纯依靠监事会等内部控制程序难以保证其控制结果。其次，高层管理者具有相对多的权利，其获取不正当利益或做出其他不合规行为的渠道和手段更为丰富和隐蔽，这对控制的要求较高，因而需要具有相当专业能力的外部控制程序对其加以约束。再次，股东对经营者的控制信息往往是需要对外公布的信息，这就要求控制必须具有较高的中立性。最后，由于股东与高层管理者之间的关系具有共性，适应于外部控制的实施。

    内部控制外部化的内容主要是对经营管理合规性的控制。根据COSO的定义，内部控制的目标有二；一是保证财务报告的可靠性，企业运行遵守法律规定，即合规性；二是提高企业经营效果和效率，即效益性。内部控制的各项职责和内容亦应据此确定。例如企业往往设置内部审计、会计监督等机构，利用岗位分工、授权复核、预算控制等方法，对企业经营加以控制来保证其合规性；同时也会利用业绩考核、成本核算、风险效益分析、职工培训、奖惩等多种方法提高企业的效益。

    因此，笔者认为，将企业中适合与外部控制的环节及部分内容由外部控制来完成，一方面可以提高企业管理的专业化程度和管理效率，促进内部控制质量的提高；另一方面也为外部控制提供了更多的业务空间，这必然有助与外部控制的发展壮大。