企业内部控制(1)

-一、内部控制与风险管理日益融合学者们一般把内部控制的发展历程划分为五个不同的阶段：内部牵制（internal check）阶段、内部控制制度（internal control system）阶段、内部控制结构（internal control structure）阶段、内部控制整体框架（internal control integrated framework）阶段、风险管理整体框架（risk management integrated framework）阶段。根据柯氏会计辞典（Kohlers Dictionary for Accountant）的定义，内部牵制是指“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计”。内部牵制的主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。在经历了19291933年“大危机”之后，美国于1934年颁布证券交易法（Securities Exchange Act of 1934），首次以法律的形式明确企业对建立和评价财务报告内部控制（internal control over financial reporting）的责任。随着抽样审计的推广，注册会计师行业对发展内部控制起到了重要的推动作用。内部控制从早期较为简单的内部牵制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制制度体系。美国注册会计师协会（American Institute of Certified Public Accountants，AICPA）于1958年10月发布的第29号审计程序公告（Statement of Auditing Procedures，SAP）独立审计人员评价内部控制的范围（Scope of the Independent Auditors Review of Internal Control）19和1972年发布的第54号审计准则公告（SAS 54）审计师对内部控制的研究与评估（The Auditors Study and Evaluation of Internal Control）中，将内部控制划分为会计控制（accounting control）和管理控制（administrative control）两个部分。其中，会计控制是直接与资产保护和财务记录相关的控制，管理控制主要关注运营效率和执行管理政策。内部控制发展到内部控制结构阶段的标志是AICPA在1988年发布的第55号审计准则公告（SAS 55）财务报表审计中对内部控制结构的考虑（Consideration of the Internal Control Structure in a Financial Statement Audit）。SAS 55首次提出了“内部控制结构”的概念，指出内部控制结构包括三要素：控制环境（control environment）、会计系统（accounting system）和具体控制程序（specific control procedures）。1985年，美国成立了“反虚假财务报告委员会”（National Commission on Fraudulent Financial Reporting，NCFR，即Treadway委员会 当时NCFR的主席是James Treadway，故有此称。）。1992年，NCFR下属的“COSO委员会”（Committee of Sponsoring Organizations of the Treadway Commission，COSO）发布报告内部控制：整体框架（Internal Control：Integrated Framework，IC框架），风险管理正式成为内部控制研究的核心要素。受其影响，AICPA于1996年发布第78号审计准则公告（SAS 78）财务报表审计中对内部控制的考虑：对55号审计准则公告的修订（Consideration of Internal Control in a Financial Statement Audit：An Amendment to SAS 55），全面接受了COSO报告的观点；英格兰和威尔士特许会计师协会（Institute of Chartered Accountant in England and Wales，ICAEW）下属的公司治理财务委员会（Cadbury委员会）于1994年11月发布的内部控制和财务报告（Internal Control and Financial Reporting，也称“Cadbury报告”）、ICAEW 下属的公司内部控制工作小组（Turnbull小组）于1999年9月发布的内部控制关于联合规则的董事指南（Internal control：Guidance for Directors on the Combined Code，也称“Turnbull指南”）、加拿大特许会计师协会（CICA）下属的控制标准委员会（Criteria of Control Board，CoCo）于1995年11月发布的控制指南（Guidance on Control），都在很大程度上借鉴了1992版COSO报告的研究成果 为了避免较多重复，这些报告的具体内容将在下文“文献综述”部分详细介绍。进入21世纪，尤其是在“安然事件”等财务欺诈案爆发后，内部控制研究的重点侧重于寻求企业内部管理需要与外部市场监管要求之间的均衡，财务报告内部控制再次成为评估的对象和关注的焦点。2004年9月， COSO委员会发布报告企业风险管理：整体框架（Enterprise Risk Management：Integrated Framework，ERM框架），标志着内部控制进入了“风险管理整体框架”阶段。风险管理和内部控制开始相提并论、边界模糊，就像2004版COSO报告在序言中指出，“公司不仅可以借助ERM框架来满足它们内部控制的需要，还可以借此转向一个更加全面的风险管理过程”。通过以上梳理内部控制的发展历程可以看出，内部控制与风险管理日益走向融合，它们在基本目标、实施主体、控制对象和控制程序上逐渐表现出高度的一致性。王宏（2008）对内部控制与风险管理的关系进行了恰当的总结：风险管理是着眼点，内部控制是着力点，二者相互联系、相互交织，实际上是相互补充、相互促进的关系。二、美国的内部控制研究1审计准则中的内部控制概念内部控制概念的发展是整个内部控制发展轨迹的缩影。最早定义内部控制的是1936年美国会计师协会（American Institute of Accountants，AIA）的独立公众会计师对财务报表的审查（Examination of Financial Statements by Independent Public Accountants），该报告将内部控制定义为“为了保护公司现金及其他资产的安全、检查账簿记录准确性而在公司内部采用的各种手段和方法”。1949年AICPA审计程序委员会在内部控制：协调制度诸要素及其对管理当局和独立公众会计师的重要性（Internal control：Elements of Coordinated System and its Importance to Management and the Independent Public Accountants）中，将内部控制定义为“为了保证财产的安全完整，检查会计资料的准确性和可靠性，提高企业的经营效率以及促进企业贯彻既定的经营方针，所设计的总体规划及所采用的与总体规划相适应的一切方法和措施”。1958年，AICPA发布SAP 29独立审计人员评价内部控制的范围，将内部控制划分为会计控制和管理控制两个部分，后经1972年SAS 54审计师对内部控制的研究与评估予以完善。其中，会计控制是直接与资产保护和财务记录相关的控制，包括所有旨在保护资产、确保会计记录的可靠性以及用来为下列事项提供合理保证的组织计划、程序和记录；管理控制（或称内部业务控制）主要关注运营效率和执行管理政策，包括统计分析、业绩报告、培训项目和质量控制程序等。1988年，AICPA发布SAS 55财务报表审计中对内部控制结构的考虑，以“内部控制结构”代替“内部控制”，认为企业的内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序，提出内部控制的三要素：控制环境、会计系统和控制程序。其中，控制环境反映管理当局对控制的态度和行为，包括管理哲学、经营风格、组织机构、董事会及审计委员会的职能、人力资源政策、确定权责的方法等；会计系统是指对各项经济业务确认、计量、记录、分析和编制报表的方法，包括鉴定和登记经济业务、对各项业务进行适当分类作为编制报表的依据、计量业务的货币价值、确定会计期间、在报表中恰当地表述有关内容等；具体控制程序是指所采用的控制政策和方法，包括对经济业务和活动的授权审批、明确员工的职责分工、充分而必要的凭证、账簿设置和记录、资产和相关记录的接触控制、对业务的独立审核等。21992版COSO报告1985年，由美国会计学会（American Accounting Association，AAA）、美国注册会计师协会（AICPA）、内部审计师协会（Institute of Internal Auditors，IIA）、财务经理协会（Financial Executive Institute，FEI）和管理会计学会（Institute of Management Accountants，IMA）等多个专业团体发起成立了美国“反虚假财务报告委员会”（NCFR，Treadway委员会），探讨包括内部控制不健全在内的产生虚假财务报告的原因。1987年，NCFR要求所有上市公司在其年度报告中提供内部控制报告，披露公司管理层对内部控制有效性的评估。1992年，NCFR下属的COSO委员会发布内部控制：整体框架（Internal Control：Integrated Framework，IC框架）。COSO报告分为四个部分：实施概览（Executive Summary）、框架（Framework）、对外报告（Reporting to External Parities）和评估工具（Evaluation Tools），将内部控制定义为“由企业董事会、管理层和其他员工实施的，为保证财务报告的可靠性、经营的效率和效果以及现行法规的遵循等目标而达成的提供合理保证的过程”。COSO报告指出：内部控制是一个过程，是实现结果的方法而非结果本身；内部控制是由人来实施的，涉及组织内每个层级的人；内部控制为企业管理层和董事会提供合理的保证而非绝对保证；内部控制可以划分为一种或多种类别，这些类别既相互区分又相互交叠。COSO报告提出了许多新的、有价值的观点 这些观点包括，明确内部控制的制定与实施责任、强调内部控制应与企业经营管理过程相结合、强调内部控制是一个“动态过程”、强调“人”的重要性、强调“软控制”的作用、强调风险意识、强调内部控制的分类及目标、指出内部控制只能做到“合理保证”、提出成本效益原则等。，划分了内部控制的五要素：控制环境（control environment）、风险评估（risk assessment）、控制活动（control activity）、信息与沟通（information and communication）和监督（monitoring）。控制环境构成了一个单位的氛围（tone），风险评估通过识别（identification）、分析与实现目标相关的风险实施管理，控制活动是针对所确认的风险采取必要的措施，信息与沟通是确保认真履行控制职责的保证，监督是指评估控制系统质量的程序。COSO报告首次将内部控制从原有的平面结构发展为立体框架，强调风险评估在内部控制中的重要作用，代表了当时国际上在该领域的最高研究水平，产生了重大的国际影响。3萨奥法案及其后续影响2001年冬至2002年夏，“安然”和“世通”等财务欺诈案相继曝光，特别是安达信会计师事务所（Arthur Andersen）的卷入，震撼了全球资本市场。美国证券监管机构、会计准则制定机构和会计职业团体对资本市场的监管进行了深刻反思。2002年7月，美国国会颁布2002年公众公司会计改革和投资者保护法案（Public Company Accounting Reform and Investor Protection Act of 2002），即著名的萨班斯奥克斯利法案（Sarbanes-Oxley Act，简称“萨奥法案”） 该法案由美国参议院银行委员会主席萨班斯（Sarbanes）和众议院金融服务委员会主席奥克斯利（Oxley）联合提出，故有此称。，在会计职业监管、公司治理和证券市场监管等方面进行了全面调整，强调公司管理层对建立和维护内部控制系统的责任；同时，组建公众公司会计监督委员会（Public Company Accounting Oversight Board，PCAOB），其主要职责包括：审计准则的制定、会计师事务所的注册、对CPA行业的监督、对审计失败事件的调查和处罚 也就是说，把大部分重大权力从AICPA的行业自律权力中分离开，AICPA仅保留行业职业道德建设以及维护CPA的正当权益（包括对CPA审计失败的鉴定）等职责。萨奥法案重申了对“财务报告内部控制”的有效性进行审计，涉及该问题的条款主要有302条款和404条款。第302条款关于“公司对财务报告的责任”规定，公司的首席执行官或首席财务官（或履行类似职责的人员）按照1934年证券交易法的要求提交的年度报告或季度报告中应证明以下事实：第一，签发报告的官员已经复核过该报告；第二，该官员应确认该报告不包含对某个重要事实的任何不真实的声明，也没有遗漏对某个重要事实必要的声明；第三，该报告在所有重要方面公允地反映了公司在报告期的财务状况和经营成果；第四，该官员应对建立和维持内部控制负责，评价报告发布前90天内内部控制的有效性，并在定期报告中披露该评估结果；第五，该官员已经向审计师和公司董事会的审计委员会（或履行相同职责的其他人员）披露了内部控制设计或运行上的所有重大缺陷和薄弱环节，及这些缺陷对公司记录、处理、汇总和报告财务数据的能力产生的负面影响，披露了管理层或其他在内部控制中发挥重要作用的人员的所有舞弊行为；第六，该官员已经在报告中指出内部控制或其他影响内部控制的因素在评估后是否发生重大变动，包括对重大缺陷或薄弱环节的改进措施。第404条款关于“管理层对内部控制的评估”规定：第一，作为一项强制性规则，公司提供的年度报告中均应包括一份内部控制报告，声明管理层对建立和维持适当的、基于财务报告目的的内部控制框架和程序的责任，基于最近的财政年度末对内部控制的有效性进行评估；第二，担任公司年报审计任务的会计公司应对管理层进行的内部控制评估进行测试和评价。为了落实第404条款的要求，2004年3月9日，PCAOB发布第2号审计准则与财务报表审计联合实施的财务报告内部控制审计（An Audit of Internal Control over Financial Reporting Performed in Conjunction with An Audit of Financial Statements），6月17日经SEC批准后实施。但该准则过于繁杂，PCAOB对其实施情况并不满意 2007年4月18日，PCAOB就会计公司执行第2号审计准则的情况发布检查报告，重点关注四个方面的问题：财务报表审计与内部控制审计的结合程度、审计师是否运用了自上而下的测试方法、审计师是否运用了以风险评估为导向的审计方法、审计师是否有效利用了他人的工作成果。PCAOB认为，第2号审计准则有助于提高审计效率，但也存在进一步完善的空间。，深受其累的上市公司也纷纷通过各种方式向SEC和PCAOB施加压力，指责404条款是“过度监管”的典型。2002年至2004年间，美国372家公司因无法忍受如此严厉的监管和高昂的遵循成本而退市。鉴于此，2006年12月15日，美国有关方面宣布推迟部分公司执行404条款的具体时间。2007年5月23，SEC批准通过针对财务报告内部控制的管理层报告的规则修订（Amendment to Rules Regarding Managements Reports on Internal Control Over Financial Reporting），并随后发布SEC对遵循1934年证券交易法13(a)或15(d)要求的针对财务报告内部控制的管理层报告的指引（Commission Guidance Regarding Managements Reports on Internal Control over Financial Reporting under Section 13(a) or 15(d) of Securities Exchange Act of 1934），于6月27日起实施。作为对第2号审计准则的完善，2007年5月24日，PCAOB发布第5号审计准则与财务报表审计相结合的财务报告内部控制审计（An Audit of Internal Control over Financial Reporting that is Integrated with An Audit of Financial Statements） 其中文译本可参阅张宜霞译，与财务报表审计相结合的财务报告内部控制审计，东北财经大学出版社，2008年版。，SEC于7月25日批准了该准则，于2007年11月15日起实施。42004版COSO报告2004年9月，Treadway委员会发布了全新的COSO报告企业风险管理：整体框架（Enterprise Risk Management：Integrated Framework，ERM框架） 其中文译本可参阅方红星、王宏译，企业风险管理：整合框架，东北财经大学出版社，2005年版。，ERM框架认为，企业风险管理是一个过程，受董事会、管理层和其他人员影响，在战略制定中用以确认可能影响企业的潜在事项和管理其风险偏好中的风险，提供关于实现企业目标的合理保证，内部控制是风险管理的一部分。ERM框架提出了风险管理的四个目标：战略目标、营运的效率效果目标（含资产保护目标）、财务报告的可靠性目标和法律规章的遵循性目标；增加了风险管理的三个要素：“目标设定”（objective setting）、“事项识别”（event identification）、和风险应对（risk response），使基于1992版COSO报告中的“五要素”发展为“八要素”。目标设定要求企业管理层采取恰当的程序去设定风险管理目标，确保所设定目标与主体的使命相衔接、与主体的风险容量相适应；事项识别即识别因包含风险或机会而可能对目标实现产生影响的潜在事项，包括经济因素、自然因素、政治因素、社会因素、技术革新因素等外部因素，以及组织结构、人员素质、业务流程、信息系统等内部因素；风险评估是指分析和辨认实现目标可能发生的负面风险，以形成对它们实施管理的依据；风险应对是指管理层在评估了相关风险的可能性和重要性，以及成本效益之后，选择一系列策略使剩余风险处于期望的风险容量以内 常用的风险应对策略包括：第一，风险回避，即改变或回避相关业务，不承担相应风险；第二，风险承担，即比较风险与收益后，愿意无条件承担全部风险；第三，风险降低，即采取一切措施降低发生不利后果的可能性；第四，风险分担，即通过购买保险、外包业务等方式来分担一部分风险。为了帮助小型上市公司评估和报告其内部控制，2006年6月，COSO委员会发布财务报告内部控制对小型上市公司的指南（Internal Control over Financial Reporting：Guidance for Smaller Public Companies），提出了小型上市公司建立内部控制的20条原则。ERM框架是在1992版COSO报告（IC框架）基础上的发展和升华，第一，继承和强化了IC框架中的风险理念，从风险管理的目标维度和要素维度构建了一个风险管理的立体框架，并且提出，内部控制是风险管理的一部分；第二，将“控制环境”要素调整为“内部环境”更为严谨，因为控制环境包括了内部环境和外部环境两个方面，而外部环境并不在企业的可控制范围之内；第三，发展了风险管理要素，提高了ERM框架对企业风险管理实务的指导作用和可操作性 笔者认为，“八要素”并没有实质性地取代“五要素”，因为ERM框架和IC框架在风险管理的理念上并没有发生根本变化；同时，即便在ERM框架中没有将风险评估要素进行细分，在实务中依然需要（自觉或不自觉地）遵循从目标设定到事项识别、到风险评估、到风险应对这一必要程序。三、其他国家和组织的内部控制研究COSO报告产生了重大的国际影响，许多国家和组织在建立内部控制框架时都一定程度上借鉴了COSO的成果，其中加拿大的CoCo、英国的Cadbury和Turnbull等比较有代表性。加拿大特许会计师协会（CICA）早期认为内部控制是“由组织体制的设计和企业管理人员制定的所有协调制度组成，以实现管理目标，促进业务有秩序、有效率地开展，保证资产安全、会计记录可靠并及时提供准确的财务资料”。1995年11月，CICA所属的控制标准委员会（CoCo）发布报告控制指南（Guidance on Control），将“内部控制”的概念扩展到“控制”，将其定义为“一个企业中的要素集合体，包括资源、系统、过程、文化、结构和任务等，这些要素结合在一起以达成该企业的目标”。CoCo指南认为，控制包括四个基本要素：目标（purpose）、承诺（commitment）、能力（capability）、监督和学习（monitoring & learning），并设定了各要素的评估标准共20项。1994年11月，英格兰和威尔士特许会计师协会（ICAEW）下属的公司治理财务委员会（即Cadbury委员会）发布内部控制和财务报告（Cadbury报告），认为整个控制体系（包括财务控制和其他控制）是为了运营的效果和效率、内部财务控制和遵守法律法规提供合理保证。1999年9月，ICAEW下属的公司内部控制工作小组（即Turnbull小组）发布内部控制关于联合规则的董事指南（Turnbull指南），把风险管理、内部控制和商业目标相互联系起来，认为风险管理是整个企业全体人员的责任，董事会应当在获得信息和做出承诺的基础上检查相关制度的有效性，确保风险管理流程已经成为公司日常程序的组成部分，并能够在遇到风险时做出快速反应，同时加强内部审计或采取其他替代机制以确保公司经营目标的实现。Turnbull小组在2004年修订Turnbull指南时提出了董事会在建立和评价内部控制系统的构成要素时应考虑的各种因素：公司所面临风险的性质和程度、公司要承担的可接受风险的程度和种类、风险转化为现实的可能性、公司降低风险发生的能力，等等。2005年10月，Turnbull小组发布内部控制关于联合规则的修订董事指南（Internal control：Revised Guidance for Directors on the Combined Code），认为内部控制系统包括公司的政策、过程、任务和行为等方面，反映了控制环境、控制活动、信息与沟通、以及监督内部控制系统持续有效性的过程。1998年9月，巴塞尔银行监管委员会（Basel Committee on Banking Supervision，BCBS）发布银行组织中内部控制系统的框架（Framework for the Internal Control Systems in Banking Organizations），认为银行内部控制“是董事会、高级管理人员和所有层次的职员实施的一个过程”，由管理人员监察与控制文化、风险评估、控制活动、信息与沟通、监控等五个要素组成，其目标包括营业目标（即营业的效率和效果）、信息目标（即财务信息和管理信息的可靠性和完整性）、合规目标（即适用法律法规的符合性），并提出了适应银行业内部控制的13条原则。四、我国的内部控制研究自1992年实行社会主义市场经济体制以来，尤其是2001年12月11日加入世界贸易组织（World Trade Organization ，WTO）以来，我国在内部控制理论研究和规范制定上逐步与国际接轨，取得了较为丰富的成果。1关于规范制定1999年10月31日，第九届全国人民代表大会常务委员会第十二次会议通过修订的会计法 中华人民共和国会计法制定于1985年，于1993年第一次修订，此次为第二次修订。，第一次以法律的形式对建立健全内部控制提出原则要求。2000年6月22日，财政部发布内部会计控制规范基本规范（试行）和内部会计控制规范货币资金（试行）。2000年11月，中国证监会发布公开发行证券公司信息披露编报规则，要求公开发行证券的商业银行、保险公司、证券公司建立健全内部控制制度，并在招股说明书正文中说明其内部控制制度的完整性、合理性和有效性，同时委托会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价，出具评价报告。财政部于2001年至2004年间连续制定发布了内部会计控制规范基本规范等规范，审计署、证监会、银监会以及上海、深圳证券交易所等也从不同角度对加强内部控制提出明确要求。2006年7月15日，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会（China Internal Control Standards Committee，CICSC），着手内部控制规范的研究和制定。2007年3月，CICSC发布企业内部控制规范基本规范和17项具体规范的征求意见稿。2008年5月，企业内部控制基本规范发布，指出“内部控制是指由企业董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构，以下简称董事会）、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动：（1）企业战略；（2）经营的效率和效果；（3）财务报告及管理信息的真实、可靠和完整；（4）资产的安全完整；（5）遵循国家法律法规和有关监管要求”，并提出了内部控制五要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。2010年4月26日，企业内部控制配套指引、企业内部控制评价指引和企业内部控制审计指引发布，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。2关于理论研究李连华、聂海涛（2007）总结了1985年至2005年间我国内部控制研究的结构特征和三条研究主线：内部控制概念研究、内部控制框架研究和内部控制效果研究。事实上，对研究范畴的分类可以更细一些。内部控制的本质方面，我国的学者分别从控制论、系统论和企业组织理论等不同角度进行了阐述。吴水澎等（2000）认为，内部控制是具有一定目的性的动态过程，是散布在企业作业中的一连串行动，与风险概念紧密相联；环境控制和风险评估是提高企业内部控制效率和效果的关键。于增彪等（2001）认为内控制度是一种授权体系与责任体系，是一种最优化、最简捷和最理性的作业方式或作业标准，是衡量组织风险的基础。刘明辉、张宜霞（2002）和林钟高、郑军（2007）认为企业内部控制的本质是为了取得低交易费用收益同时弥补企业契约的不完备性而设计的控制机制。谷祺、张相洲（2003）认为内部控制是由制度、市场、文化三个维度构成的有机系统。张砚（2005）认为内部控制具有行为引导功能和权力制衡功能，经历了从“自控制”到“他控制”，进而到更高层次“自控制”的过程。内部会计控制方面，阎达五、杨有红（2001）认为，保证资产安全和会计信息真实是内部控制发展的主线，而会计控制（含财务控制）始终是内部控制的核心；张先治、张晓东（2004）认为建立以管理控制为主导的内部控制系统是我国内部控制发展的方向；阎达五、宋建波（2000）区分了“会计控制”和“对会计的控制”，认为会计控制能够协调所有者和经营者之间的利益冲突；冯巧根（2000）将会计控制分为出资者对经营者的控制、出资者的外部控制和会计审计系统对企业业务组织系统的控制等三个层次，认为会计控制本质上体现了委托代理关系；张俊民（2001）建议按照公司治理结构层次和会计控制目标的内容层次对会计控制具体目标进行层次划分和设计；张纯（2004）认为建立、健全企业财务预测管理体系是完善我国企业内部控制会计机制的关键。内部控制与公司治理的关系方面，阎达五、杨有红（2001）认为内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系；程新生（2003；2004）认为公司治理机制是实施会计控制的基础，提出以科学决策和效率经营为核心，以决策机制、激励机制、监督约束机制为纽带，建立治理型内部控制；杨有红、胡燕（2004）认为公司治理与内部控制都产生于委托代理问题，内部控制系统局限性的克服还有赖于公司治理与内部控制两者间的无缝对接。李连华（2005）将以上观点归为“环境论”。他分析了“环境论”的合理性和不足，将两者的关系描述为“嵌合论”，认为公司治理结构与内部控制制度关联的“共时结构”是提高内部控制效果的根本途径。谢志华（2007）对以上研究进行了总结，认为从历史的演变来看，内部控制、公司治理和风险管理三者具有同一性，先有内部控制，再有公司治理，后有风险管理，它们都是为了控制企业可能面临的各种风险而产生的，所以没有必要制定三种规范，而应该将其整合为一种统一的规范。他提出了包括程序方法、责任主体、流程环节和控制目标在内的“四维”风险控制整合框架。内部控制与审计的关系方面，方红星（2002）认为内部控制迅猛发展，同审计模式的变革形成了密切的互动关系，乃至基本耦合；陈关亭、张少华（2003）通过设计问卷来调查上市公司内部控制的披露及其审核问题，认为我国应当强制要求所有上市公司在年报中披露内部控制报告，并要求注册会计师对该报告发表审核意见；陈毓圭（2004）认为，风险导向审计不是制度基础审计之外的方法，而是制度基础审计的发展；周勤业、王啸（2005）认为，现代审计是建立在内部控制基础上的抽样审计，合理确定审计程序的性质和范围、提高审计效率的关键在于考察内部控制的有效性。内部控制的设计和完善方面，刘志远、刘洁（2001）阐述了信息技术条件下企业内部控制的新特点与新问题，主张把信息作为控制的关键资源，利用信息技术来构建与完善内部控制系统；于增彪等（2001）将内控制度的设计分为整体设计和单项设计，提出了整体设计和单项设计的不同思路；郭道扬（2004）提出了以产权控制为中心的内部控制制度三层次：以所有者或投资者为中心的内部控制、以经营者为中心的内部控制和以财务、会计与内部审计管理者为中心的内部控制；杨有红、赵佳佳（2005）认为对具体业务的内部控制程序和方法的设计重点应放在分离不相容职务、规范授权机制和健全内部审计监督三方面；陈志斌（2004）建议实施“问责制”以保证内部控制制度的有效实施，责任界定是问责制的核心环节；杨雄胜（2006）认为良好的控制系统首先必须解决信息保障问题，信息是制衡权力的基础，应建立适合内部控制需要的信息系统。戴彦（2006）建议围绕“资金流”构建内部控制制度的评价体系，强化对行为的规范和引导，全员参与评价过程，合理选择和设计评价指标。五、企业内部控制基本规范1 AICPA. Statement of Auditing Procedures No.29，Scope of the Independent Auditors Review of Internal Control.19582 AICPA. Statement of Auditing Standards No.54，The Auditors Study and Evaluation of Internal Control.19723 AICPA. Statement of Auditing Standards No.55，Consideration of the Internal Control Structure in a Financial Statement Audit.19884 COSO. Internal control：Integrated Framework.19925 AICPA. Statement of Auditing Standards No.78，Consideration of Internal Control in a Financial Statement Audit：An Amendment to SAS 55.19966 ICAEW. Internal Control and Financial Reporting.19947 ICAEW. Internal control：Guidance for Directors on the Combined Code.19998 CICA Criteria of Control Board. Guidance on Control.19959 COSO. Enterprise Risk Management：Integrated Framework.200410 王宏.基于国际视野与科学发展的我国内部控制框架体系研究.西南财经大学博士学位论文，200811 AIA. Examination of Financial Statements by Independent Public Accountants. 193612 AICPA. Internal control：Elements of Coordinated System and its Importance to Management and the Independent Public Accountants.194913 US Congress. Public Company Accounting Reform and Investor Protection Act of 2002.200214 PCAOB. Auditing Standard No.2，An Audit of Internal Control over Financial Reporting Performed in Conjunction with An Audit of Financial Statements.200415 SEC. Amendment to Rules Regarding Managements Reports on Internal Control Over Financial Reporting.200716 SEC. Commission Guidance Regarding Managements Reports on Internal Control over Financial Reporting under Section 13(a) or 15(d) of Securities Exchange Act of 1934.200717 PCAOB. Auditing Standard No.5，An Audit of Internal Con