随着我国社会主义市场经济的不断深化，我国经济融入国际经济一体化的进程日趋加快。为了应对日趋复杂、激烈的国际竞争，有效抑制经济运行所出现的不稳定、不健康因素，国家通过科学立法和严格执法来促进、规范经济活动和市场行为，加强企业内部控制。企业作为市场竞争的主体，经营活动越来越严格地受到法律的规范和调整。
  近三十年来，内部控制理论在国际社会引起广泛关注。特别是进入20世纪80年代后期，国际资本市场金融风险加剧，社会各界对内部控制和独立审计的厚望日趋强烈。在这种背景下，美国反虚假财务报告委员会发起组织（COSO）潜心研究发布了《内部控制——整体框架》报告，标志着内部控制理论发展到了一个新的阶段。2002年美国颁布实施了《萨班斯—奥克斯利法案》，该法案对上市企业建立并保持有效的内部控制制度做出了明确的规定。呼唤控制意识，强化内部控制，是企业增强抵御风险能力，实现持续、快速、健康发展的有效保障。
一、概述
（一）内部控制的定义
内部控制是受企业董事会、管理层和其他人员影响，为实现经营的效果和效率、财务报告的可靠性、相关法规的遵循等目标而提供合理保证的过程。
1．内部控制是一个过程。它是实现目的的手段，而非目的本身。
2．内部控制受人的因素的影响。它并不仅仅是政策手册和表格，而是企业中的每一个人。
3．内部控制只能为企业的管理层和董事会提供合理的保证，而不是绝对保证。
4．内部控制是为了实现一种或多种既相互独立又相互重叠的类别的目标。
（二）内部控制的构成要素
内部控制有五个相互关联的要素组成：控制环境、风险评估、控制活动、信息与沟通、监督。控制环境提供了员工实施控制活动和履行控制责任的氛围，是其他控制要素的基础。在此环境内，管理层评估实现特定目标的风险。实施控制活动是为了有助于确保管理层有关震荡风险所采
取的指示得以贯彻执行。同时，相关的信息被获取并在企业内部交流沟通。整个过程得到监督，并随着环境的改变而修改。
（三）内部控制体系建设的目的及意义
1．建立企业的内部控制体系，是国内外法律法规的要求。由于内部控制服务于很多重要的目标，企业对于更好的内部控制体系及其运行效果的要求也就不断增加，内部控制体系越来越多地被视为各种潜在问题的解决方案。因此，国内外均以法律、法规形式对内部控制做出了明确的规定。根据国内新的《会计法》、《中央企业全面风险管理知音》等法律、法规文件，以及美国《萨班斯—奥克斯利法案》等国际资本市场对于上市企业的监管要求，企业必须建立内部控制体系并确保有效运行，形成一整套相互制衡、相互监督的治理机制，以满足一系列内外审计的准则和规范。完善的内部控制流程，不仅是法律、法规的要求，同时也是符合企业相关者利益和企业价值最大化的客观需要，是企业治理的发展方向。
2．建立内部控制体系是企业提升管理水平的自身需求。内部控制体系建设对于指导企业规范管理，促进各项生产经营活动有序运行，增强企业风险防范能力都有极其重要的意义：（1）提供企业关于内部控制体系的一致信息，确保企业上下从思想上、认识上对内部控制体系保持高度统一，并进一步实现行为上的统一；（2）建立一套统一、完备、内容涵盖企业经营管理各个领域的内部控制制度，确保企业各项工作统一、规范、有序地运行，最大限度地减少或规避风险，保证企业协调、持续、快速发展；（3）建立一套科学、系统的内部控制体系建设方法和规范，为企业内部控制体系建设、运行和维护提供指引，并作为建立、执行、评价及验证内部控制的依据；（4）促进企业完善企业制度，规范企业管理行为，保证资产的安全、完整及会计资料的真实、准确，进一步提高企业的经营管理水平。
3．建立内部控制体系有助于企业更好的发展并参与国际竞争。为了应对日趋复杂、激烈的国际竞争环境及来自各方的风险，企业必须努力实现管理能力与发展速度相适应，管理基础与发展规模相适应，发展速度与风险防范控制能力相适应。企业要全面参与国际竞争，必须加强企业内部控制体系的建设、改进和完善，形成规范、有效的内部控制体系，提升企业风险管理水平。
二、内部控制体系建设的主要内容
（一）控制环境
控制环境是内部控制的基础，是有效实施内部控制的保障，直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。控制环境确定了公司的总体态度，是内部控制所有其他组成要素的基础。控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施、董事会与审计委员会以及反舞弊等内容。
（二）风险评估
风险是任何可能影响目标实现的负面因素，所有公司，无论规模、结构和行业性质，都面临着诸多来自内部和外部的风险，影响公司既定目标的实现。风险评估是识别及分析影响公司目标实现的风险的过程，是实施内部控制的基础。在风险评估中，应识别和分析对实现目标具有阻碍作用的风险。风险评估主要经过目标制定、风险识别、风险分析、风险反应等四项基本程序。风险评估的前提条件是设立目标，只有先确立了目标，管理层才能针对目标确定风险，并采取必要的行动来管理风险。风险识别需要考虑所有可能发生的风险，并且需要考虑公司外界之间的
所有重大影响。风险的识别应当以一种系统方法来进行，以确保公司的所有主要活动及其风险都被囊括进来，并进行有效的分类。风险识别也是一个重复的过程，需要针对环境的变化持续进行。识别风险后，采用定量或定性的方法对风险进行分析，内容主要有：分析风险发生的可能性，分析风险可能产生的影响，确定风险的重要性水平。 在评估了相关风险之后，确定如何应对风险，制定风险反应方案。方案包括以下几种：回避风险；减少风险；分担风险；接受风险。在考虑做出风险反应的过程中，需要评估风险反应对风险可能性和影响的效应以及成本和收益，并选择一种风险方案。
（三）控制活动
控制活动是为防范和规避风险，确保公司管理层的指令得以贯彻执行的必要措施，存在于整个机构内所有级别和职能部门。控制活动是以财务报告为主线，以实现财务报告的完整、准确性、有效性为目标而开展的批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等控制活动。主要内容包括：（1）建立财务分析管理制度，定期开展日常的财务分析；（2）建立风险控制文档编制规范和模板，对确定的重要业务流程进行风险控制分析，编制重要业务流程风险控制文档，并与控制制度相对应，查找制度缺失和差异，补充修改相关管理制度；（3）建立关键控制的确认方法；确定与财务报告相关的重要业务流程的关键控制；建立关键控制管理文件，通过培训推广应用；（4）建立健全财务会计报告流程，完善财务会计报告相关制度；（5）建立健全控制活动制度体系。按照控制的内容不同分为管理层面控制和业务活动层面控制。
定期开展日常的财务分析和财务报告流程，既是管理层面控制，同时财务报告流程又贯穿业务活动层面的全过程。
（四）信息与沟通
信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责。畅通的沟通渠道和机制使公司的员工能及时取得他们在执行、管理和控制公司经营过程中所需的信息，并交换这些信息。信息不仅包括企业内部产生的信息，还包括与企业经营决策和对外报告相关的外部信息。信息的处理包括信息的收集与传递、沟通以及披露三部分，三者统一于沟通的过程。信息的收集与传递是企业经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责；沟通是指信息在企业内部各层次、各部门以及企业与客户、供
应商、监管者和股东等外部环境之间的传递，畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息，这也就完成了信息的收集与传递；信息披露实际上就是信息的对内或对外传递，也是在沟通的过程中完成的。
（五）监督
监督是对内部控制体系有效性进行评估的持续过程，包括持续监督、独立评估和缺陷报告。持续监督是在企业日常经营过程中进行的，包括日常的管理和监督活动。企业制定相应的管理规定，对内部控制体系维护的方法、建设标准变更、监督与考评等进行规范，以保证内部控制体系安全、稳健、有效地运行。独立评估是对企业内部控制设计和运行的有效性的监督与评估的重要形式，管理层通过定期组织内部控制有效性测试，可以对内部控制体系进行系统的评价。缺陷报告是将内部控制缺陷自下而上报告的行为，缺陷报告通过持续监督和独立评估获取。企业依据有关程序，开展缺陷认定，确定缺陷类型，对内部控制运行的有效性做出评估，有针对地采取相应措施。内部控制体系建设是企业管理的常规性工作。从企业自身发展的角度，内部控制体系建设是加强管理、提高管理水平的客观需要，因此，必须继续建立内部控制工作的长效机制，从组织机构设置和制度上为内部控制体系的日常运行与维护和持续有效运行提供保障。