第一节 我国内部控制规范体系概述
一、2006年以前内部控制规范概述
尽管我国学者早在20世纪80年代就已经开始对内部控制进行理论探索和实践运用，但直到90年代才真正体现在监管部门的相关规则中。其中中国注册会计师协会于1996年颁布、1997年1月实施的具体审计准则第9号《内部控制与审计风险》，成为我国民间审计发展推动内部控制建立健全的有力佐证，此后我国政府开始加大对企业内部控制的建设步伐。
金融业本身的高风险使得其首当其冲成为内部控制建设的试点行业。1997年5月中国人民银行颁布实施的《加强金融机构内部控制的指导原则》，成为我国第一个部委级的内部控制规范，此后，证监会、保监会、国家经贸委等政府机构分别以部门文件的形式颁布了内部控制的指导意见，例如1999年中国证监会发布《关于上市公司做好各项资产减值准备登有关事项的通知》，明确要求上市公司责成相关部门拟定或修订内部控制制度；2000年，证监会发布的《公开发行证券公司信息披露编报规则》第1、3、5号，要求商业银行、保险公司、证券公司建立健全内部控制制度，并对内部控制制度的完整性、合理性与有效性作出了说明，在实务中一定程度上推动了上市公司内部控制的建立健全。
1999年修订、2000年7月开始实施的新《会计法》中同样提及内部控制，如第27条明确提出了诸如岗位分离、授权批准、财产监控、内部审计等内部会计控制的基本要求，从而将内部控制提高到法律的高度；此后的2001年6月，财政部发布了《内部会计控制规范——基本规范（试行）》和《内部会计控制规范——货币资金（试行）》，成为《会计法》的配套措施。2002-2004年间，财政部又陆续出台了采购与付款、销售与收款、工程项目、实物资产、对外投资、筹资、成本费用和担保等经济业务的内部控制规范，从而对强化企业管理、提高经营的效率效果、保护资产的安全完整、保证财务信息的可靠发挥了积极的作用。
2002年2月，中国注册会计师协会发布《内部控制审计指导意见》，以规范注册会计师执行内部控制审计业务，保证执业质量。该指导意见直到今天仍然成为部分事务所的执业依据，如2007年年报中部分上市公司对内部控制的审核评价意见中就明确指出其事务所的审计依据是指导意见。
除了内部会计控制规范之外，证监会于2001年1月发布的《证券公司内部控制指引》、2002年9月中国人民银行制定的《商业银行内部控制指引》，也在一定程度上改进了金融机构的内部控制建设工作，成为我国监管部门推动内部控制进程的有力工具。
需要指出的是，在各部委各自建立内部控制的过程中，并没有形成全国性的组织来统一规范内部控制方面的工作，而已有的规范在理论框架、实际操作方面也存在一定的不足，因此使得我国企业内部控制建设的整体推进力度不大，效果也没有显现。

二、2006年以后的内部控制规范体系的发展
2006年，在美国等西方国家实施财务报告内部控制的背景下，我国监管部门明显加快了内部控制建设步伐。首先是2006年6月6日，国务院国有资产监督管理委员会发布了《中央企业全面风险管理指引》，从而有力地指导国有企业开展全面风险管理工作；其次是上交所和深交所先后于2006年6月和9月颁布了各自的《上市公司内部控制指引》，以帮助上市公司建立健全内部控制工作；与此同时由财政部牵头，联合国资委、证监会、保监会、银监会以及审计署等部委成立了全国内部控制标准委员会，并聘请了86名专家，开展我国内部控制的规范工作，并于2007年3月颁布了一个基本准则、17个具体准则的征求意见稿，可以预见我国的内部控制规范建设进程将得到强有力的推动。
1、财政部内部控制规范征求意见稿述评
通过阅读财政部2007年3月发布的《企业内部控制规范》（征求意见稿），我们可以发现我国内部控制概念基本借鉴了COSO报告的理论研究成果，即以五要素为框架，适当体现了2004年颁布的“企业风险管理——整体框架”中提出的八要素的先进理念。从目标上看，我国的内部控制概念提出了（1）企业战略；（2）经营的效率和效果；（3）财务报告及管理信息的真实、可靠和完整；（4）资产的安全完整；以及（5）遵守国家法律法规和有关监管要求等五项基本目标，其中第三项目标以财务报告和管理信息的真实、可靠和完整是当前内部控制建设的主要目标。从体系上看，我国的内部控制框架以基本规范、具体规范和应用指南为基本构成，与已经颁布实施的《企业会计准则》相呼应，易于为大家所接受和实践 。
应该说财政部颁布的内部控制规范在理论上走在了前沿，并有效实现了与国际接轨。但不可否认的是，即使在美国，COSO框架也并非得到广泛认可和使用，事实上在SOX法案404条款实施之前，美国的绝大多数企业并没有采纳COSO框架，而为配合法案的实施，COSO委员会目前开始陆续出台相关的解释和指南，如2006年出台的小企业指南、2007年出台的监控指南等等。因此如何借鉴先进理论经验，并与企业实际紧密结合，发挥内部控制对企业目标的促进作用，还有待实践的进一步检验。
2、沪深证交所《上市公司内部控制指引》述评
从2006年两个交易所发布的内部控制指引的时间可以看出，我国的证券监管部门在有效借鉴海外资本市场经验方面可圈可点。但从内容上，两家交易所各自发布的内控指引还存在很大差异（见附件），如定义中上交所强调提高经营效率效果、加强信息披露的可靠性、确保行为合法合规三项目标，而深交所则增加了资产安全的第四项目标；尽管两家交易所都强调董事会在内部控制中的重要地位，但上交所明确了董事会三项职责：内控的建立健全、有效实施及检查监督，而深交所简单要求“董事会对内部控制的制定和执行负责”；此外在上交所在其指引中强调了附属公司、金融衍生品、其他风险等专项风险的危机管理控制制度，而深交所则更多地关注控股子公司、关联交易、对外担保、募集资金使用、重大投资、信息披露等重点关注活动。
阅读交易所发布的内部控制指引，可以看出我国的监管部门与美国证监会仅关注财务报告内部控制不同，尽管证交所颁布的内控指引在操作性上要强于COSO框架，范围上要大于SOX法案的404条款，可以更好地发挥内部控制的作用，但完全遵循无疑会增加企业的实施成本和实施难度，尤其是对内控自我评价、审计师核实评价提出了挑战。
3、国资委中央企业全面风险管理指引及审计准则中对内部控制的要求述评
2006年6月发布的中央企业全面风险管理指引，对中央企业实施风险管理提出了明确的要求。按照国资委的提法，出台指引的目的是为了全面落实科学发展观，进一步加强和完善国有资产监管工作，深化国有企业改革，加强风险管理，促进企业持续、稳定、健康发展。从内容上看，指引对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述。应该说指引全面借鉴了COSO2004年发布的企业风险管理框架，并在文字表述、实质内容上考虑了我国的习惯和现实，尤其是指引还提供了4种风险管理的常用技术和方法，使其更具操作和实用性，但问题在于中央企业如果连董事会、监事会等治理机制都不健全，那么内部控制的建立健全、有效实施、持续改进、监控等都失去了责任主体，难以落到实处，因此从某种意义上说央企的配套措施的完善更为重要，如出资人明确、董事会职责权限的划分、独立董事的引入、审计委员会及内部审计的建立健全等。
值得一提的是，2006年颁布、自2007年实施的注册会计师执业准则中同样对内部控制进行了大幅度的修订。从第1211号“了解被审计单位及其环境并评估重大错报风险”准则及其指南看，我国审计准则同样借鉴了COSO的五要素框架，在内容上、形式上都有照搬美国经验的嫌疑，但其操作性究竟怎样，同样有待于实践的检验。
从上述一系列的规范可以看出，无论是针对会计、审计职业，还是针对普遍意义的企业，我国内部控制的建设都可谓如火如荼。从内容上看，这些规范大同小异，但无一不体现了COSO框架的精神和实质，而最大的问题也许不在形式上如何的花哨，其实质是通过实施内部控制，究竟能给企业带来怎样的益处。
从美国的经验看，其内部控制理论和实务都走在了世界的前沿，但仅仅实施财务报告内部控制就已经让众多企业不堪重负，并引起实务界的广泛争议和口诛笔伐。不可否认，内部控制的建立健全确实能在一定程度上帮助企业识别和管理影响企业目标实现的不确定性因素，但巨额的成本开支、大量资源的投入能否带来成本效益的有利结论，还很难仓促得出结论。我国轰轰烈烈开展的内部控制规范工作，在范围上、深度上都要大于美国，如何让好事做好，更好地发挥内部控制的正面积极作用，需要监管层、企业、市场参与者谨慎对待。
应该说内部控制是一项长期的工程，要建立长效机制，发挥企业主体自身的积极作用显然必不可少。正如SEC主席William Donaldson2003年所说：“仅仅遵守相关的内控规则是不够的。公司应该将这种方法作为公司的DNA一样。对那些执行404条款的公司而言，绝大多数对遵循的关注消失了，相反，如果公司将新的法律看作是一种机会——改进内控、提高董事会绩效并改善公开报告的机会——他们将最终得到更好的运行，更加透明，因而对投资者更有吸引力”。从“强制”到“自觉”，从“负担”到“DNA”，这需要整个内部环境的改善。


第二节 我国内部控制体系的特点和不足
一、我国内部控制体系的特点
（一）基本借鉴COSO的理论成果和美国实务的最新进展
无论是基本规范中对内部控制的定义，还是内部控制需要达到的基本目标，我国的企业内部控制规范都全面借鉴了COSO的理论框架，而基本要素的内容更是全面照搬COSO的研究成果，只是在内容上结合了COSO2004年提出的企业风险管理框架的内容，例如将原来的“控制”环境要素改为“内部”环境，将风险管理框架中的目标设定、风险识别、风险分析和风险应对四个要素统一为风险评估。结合2002年9月中国人民银行颁布的《商业银行内部控制指引》、2006年2月发布的审计准则、2006年两个证券交易所发布的上市公司内部控制指引以及国资委发布的中央企业全面风险指引，我们发现，COSO理论已经在我国的内部控制规范中得到广泛运用。

（二）适当结合我国实际，突出财务报告可靠性目标
在我国内部控制规范的起草说明中，明确提出“引导企业建立健全以财务报告内部控制为核心的内控机制”，也就是说将COSO框架中的经营效率效果、财务报告可靠性、合法合规性三个目标进行了排序，认为财务报告内部控制是主线，是内部控制的重心和主体。而基本规范在第四条提出内部控制五个目标的同时，强调“有义务对外提供财务报告的企业，应当确保财务报告及管理信息的真实、可靠和完整，具备条件的，还应同时实现其他控制目标”，从中可以看出，财务报告可靠性是我国内部控制最基本的目标，企业实施内部控制规范必须达成该目标，而其他控制目标则是“具备条件的”才实现。

（三）突出政府推动特点，法规强制推动内控体系建设
我国的内部控制规范体系在借鉴美国等发达国家经验的基础上，还适当体现了我国的特色，例如将控制标准体系设为基本规范、具体规范和应用指南三个层次；将具体规范分为财务报告内部控制和其他方面的内部控制两个方面，内容上则概括为与企业财务报表项目相关的、可能对财务报告真实可靠性产生较大影响的经济业务事项控制规范；与财务报表编报相关的控制规范；以及为实现有效的财务报告内部控制所必需的事前、事中和事后制度支持的控制规范
二、我国内部控制体系现有规范的不足
（一）企业内部需求不足
内部控制实施过程中成本与效益不匹配的问题，导致管理层认为只要达到法律法规的最低要求即可，美国的《公众公司会计改革与投资者保护法案》404条款中对财务报告内部控制的要求受到理论和实务界的广泛诟病，最主要的原因也是实施成本过高问题。在实际操作中，我国的企业往往关注制度方面的形式，如要经过验收、评比、评优等，但在执行中很难保证内部控制有效运行和持续改进的长效机制，这也在一定程度上抑制了内部控制的实施效果。显然，解决内部控制内在需求动因问题，将直接影响到内部控制的实施积极性和有效性。
（二）内部控制评价缺乏实务指南
我国内部控制规范尽管在体系上包含了基本规范、具体规范和实务指南三个层次，但到目前为止还没有出台实务指南，而前两个层次的内容则大都体现了一些基本的、具有共性的控制要求，对企业实际操作指导意义不大。中国注册会计师协会2002年2月发布了《内部控制审核指导意见》的通知，但在我国内部控制规范发展迅速的今天，其过于原则性的规定很难满足实务发展的需要。
事实上即使在美国这样一个COSO理论框架已经出台十余年的国家，仍然缺乏具体的内部控制实务操作指南。尽管COSO的控制框架得到广泛认可，但它仅仅提供了一些原则，并没有为管理层提供诸如如何建立控制文档、如何进行内部控制测试等方面的指南，也没有为管理层提供如何评价识别出的控制缺陷方面的指南。在美国SOX法案404条款的要求下，公众公司会计监管委员会颁布了第2号审计准则（AS2），为外部审计师决定财务报告内部控制是否有效提供了指南，但由于实务中缺乏管理层实施内部控制的指南，因此美国的很多上市公司管理层反过来采用AS2进行内控的建设和评价，努力与审计师的要求相一致，这不能不说是一件奇怪的事情。小规模公司面临的挑战更大，因为没有明确的定义或指南来说明什么是“充分的内部控制”，尽管COSO委员会于2006发布了小企业财务报告内部控制指南，但也仅仅提供了20个基本原则，既不能完全解决小企业面临的问题，也不会减少小企业执行404条款的成本。
审计师的境况也没有想象中那么好，尽管404条款给审计师带来了巨大的利益流入，但在美国证监会举行的听证会上，很多反馈意见表示审计师在实务中采用了一个“以不变应万变”的准则（one-size-fits-all standard），结果是审计师过多地关注细节性的程序（有些公司在风险评估中识别出了数以万计的风险点），并没有以风险为导向，而这些细节性的程序很多对财务报表的可靠性并没有多大意义。
（三）内部控制与企业现有管理制度的衔接不足
我国实行的有中国特色的社会主义，这也体现在企业的管理体制中来。党纪管理、行政管理、业务管理、财务管理等都成了企业管理结构的重要组成部分，其中的党务、纪律、检查管理及相关制度成为我国企业、尤其是国有企业独特的风景线。从某种程度上说，党纪管理是最有效的内部控制环境，因此如何将原有的企业管理体制和控制结构与新的内部控制规范有机地结合起来，如何处理好习惯于各自分工管理与在统一内部控制控制框架下各司其职、相互呼应的关系，是内部控制有效实施的重要课题。显然，这并非财务部门或者企业管理部门所能解决的，而是要董事长、党委书记挂帅、全员参与进来，从这点上看，提高有关人员的认识，将现有管理体制与内部控制框架相协调成为内部控制有效实施的首要前提。