在国外关于内部控制研究的文献中，一般认为，内部控制可以把公司保持在实现利润目标和完成公司使命的轨道上，并且使这个过程中的意外减到最小。它们使管理层能够处理迅速变化的经济和竞争环境、多变的顾客需求和偏好，并重新构筑未来的增长。内部控制可以提高效率，减少财产损失的风险，并有助于确保财务报表的可靠性和与规章制度的符合性。内部控制被赋予服务于多重重要目标，越来越被视为解决各种潜在问题的有效方法，就内部控制理论目前的发展来看，比较典型的要算COSO的内部控制整合框架，它提出的内部控制由五个要素组成：控制环境、风险评估、控制活动、信息与沟通、监督。COSO框架把建立、加强或削弱特定政策、程序及对其效率产生影响的各种因素概括为控制环境，其中囊括了管理思想和经营方式、组织结构、审计委员会、责任授权和划分的方法、人力资源管理等多项内容；把企业确认和分析与其目标实现相关风险的过程概括为风险评估，作为管理风险的基础；把为了确保其指令被贯彻执行，管理当局制定的各种措施和程序概括为控制活动，一般包括授权和批准、职责划分、设计和运用恰当的凭证、恰当的安全措施、独立的检查和评价等；把企业在一定的时间内以一定的形式确定、收集和交换信息，从而使员工能够行使责任的过程概括为信息和沟通；把评估内部控制运行质量的过程和管理当局用来督查会计系统和相关控制程序的手段概括为监督。

一、内部控制的含义和目标

内部控制最原始的含义就是不同的事由不同的人负责。这个简单的提法引起了企业家、立法者、管理者和其他各方之间理解上的混乱。由此而产生的错误沟通和不同的期望引发了各种各样的问题。COSO报告针对管理层和其他各方不同的需要和期望，在承认各方对内部控制的理解存在差异的前提下，通过内部控制整体框架的提出，希望达到两个目的：

（一）确立一个服务于不同各方需要的一般定义；

（二）提供一个企业和其他各方（大型的或小型的，公共的或私人的部门，盈利的或非营利的）可以评价它们的控制系统并确定如何加以改善的标准。

内部控制从广义上定义为由企业的董事会、管理层和其他员工实施的一个过程，目的是为下列目标的实现提供一个合理的保证：经营的效果和效率；财务报告的可靠性；与法律和法规的符合性。第一类目标致力于企业基本的商业目标，包括绩效和利润目标以及资源的安全保护。第二类目标涉及编制可靠的公开财务报表，包括中期财务报表、简略财务报表以及从这些报表中选取的根据，比如收益情况公告、公开报告。第三类目标是要符合相关的法律和法规。这些明确而又交迭的目标表明了不同的需要，提供了一个各方直接关注的重点来满足各种需要。

内部控制系统运行在不同的效能水平上。可以分别从三类目标的每一类来判断内部控制的有效性。如果董事会和管理层能够合理保证：他们了解企业经营目标的完成程度；公布的财务报表编制可靠；生效的法律和法规都得到了遵守，那么内部控制就是有效的。尽管内部控制是一个过程，但是，它的有效性是一个过程在一个或多个时间点上的状态或状况。

二、构成要素的相互关系

在COSO框架中，内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个相关的要素组成。它来源于管理层经营企业的方式，并且与管理过程结合在一起。

控制环境确立了一个组织的基调，影响其人员的控制意识。它是所有其他内部控制构成要素的基础，提供规则和结构。控制环境要素包括企业员工的正直性、伦理价值观和能力；管理哲学和经营方式；管理当局分配权利和责任，以及组织和人力资源开发的方式；董事会的关注和指导等。

每一个企业都面临着来自外部和内部的各种风险，必须进行评估。风险评估的前提条件是确立与不同的水平相联系并且内部协调一致的目标。风险评估就是对与实现目标有关的风险进行识别和分析，为决定如何控制风险形成根据。因为经济、行业、法规和经营条件是持续变化的，企业需要识别和处理与变化有关的特殊风险。

控制活动是有助于确保管理指令得以执行的措施和程序。它们有助于确保针对实现企业目标的风险采取了必要的行动。控制活动发生在整个组织中，发生在各个层次上，也发生在各种职能中。它们包括各种各样的活动，比如，批准、授权、查证、协调、经营绩效的复核、财产的保护和职责的分离等。

信息与沟通要求必须识别、获取潜在的信息，并以一定的方式在员工能够履行他们职责的期限内进行交流。信息系统产生报告，报告中包含经营、财务和与符合法规有关的信息，它使管理和控制企业成为可能。它们处理的不仅仅是内部产生的信息，而且还有有关外部事件.活动的信息，以及有必要通知企业决策层的情况和外部报告。有效的沟通也必须发生在一个更加广泛的意义上，自上而下、横向、自下而上在组织内流动。所有的人员必须从最高管理层收到明确的信息：控制的职责必须认真地执行。他们必须明白自己在内部控制系统中的角色，必须明白个人的活动与其他人的工作是如何联系在一起的。他们必须有向上级管理层沟通重要信息的途径。此外，与外部各方的沟通也应当是有效的，比如，顾客，供应商、监管者和股东。

内部控制系统需要进行监督，它是一个评价系统实施质量的过程。这个过程是通过持续进行的监督活动、独立评估或者两者的结合来完成的。持续进行的监督发生在经营过程中，它包括通常的管理和监督活动，以及员工在履行他们的职责时所采取的其他活动。独立评估的范围和频率主要取决于风险的评估和持续监督程序的有效性。内部控制缺陷应当向上汇报，而且重大事件要报告给最高管理层和董事会。

在这些要素之间存在着协同和联合作用，形成了一个对变化的环境做出动态反应的完整系统。内部控制与企业的经营活动缠绕在一起，因为企业基本的目标而存在。如果把控制嵌入企业的基础结构并成为企业的一个重要组成部分，那么内部控制就会非常有效。“嵌入”式控制支持质量和授权主动性，避免不必要的成本，能够对变化的环境做出快速的反应。

三、内部控制的效用和局限性

在三类企业要努力实现的目标之间以及实现这些目标所需要的内部控制的构成要素之间存在着直接的联系。内部控制的所有构成要素都与每一类目标相关。从任何一类目标（比如，经营的有效性和效率性）来看，只有所有的五个构成要素都存在，并且有效地发挥作用，才能确定经营的内部控制是有效的。

从一般意义上来说，内部控制能够帮助企业实现它的绩效和利润目标，防止资源损失。它能够有助于保可靠的财务报告，而且它能够有助于确保企业遵守了法律和法规，避免声誉损害和其他后果。总之，它能够有助于一个企业达到它的目标，并且避免这个过程中的隐患和意外。

但是，很多人产生了过大的、不合实际的期望。他们寻求绝对，认为：内部控制能够确保一个企业的成功，也就是说，它将确保实现基本的商业目标，或者至少将确保能够生存下去。尽管有效的内部控制只能有助于企业实现这些目标，但是，它能够提供给管理层有关企业向目标进展或者缺少进展的信息。内部控制不能把一个本来很差劲的管理者变成一个好的管理者。而且，政府政策或计划的变化、竞争者的行为或经济状况都可能超出管理当局的控制。因此，内部控制不能确保成功，甚至不能确保生存。(www.daowen.com)

内部控制能够确保财务报告的可靠性和法律法规的符合性，这种想法也是不能获得保证的。一个内部控制系统无论构思和运行的多好，它都只能向管理当局和董事会提供实现企业目标的合理的，而不是绝对的保证。目标实现的可能性受到内部控制系统所有固有缺陷的影响，决策中的判断可能是错误的，事故的发生也可能是因为轻微的误差或错误引起的。而且，控制可能会被两个或更多个人的共谋绕过，管理当局也有能力越过控制系统。另一个限制因素是：内部控制系统的设计必须反应存在资源约束的现实，而且，控制的效益必须与控制所费的成本相联系来考虑。因此，尽管内部控制能够帮助一个企业实现它的目标，但是，它不是万能药。

四、内部控制的实施与参与

高级管理层、董事会、内部审计师、其他人员、立法者和监管者、职业组织等相关各方在内部控制的实施中发挥着重要的作用。

（一）高级管理层

首席执行官对内部控制负有根本的责任，他应当确保内部控制系统的“所有权”。与任何一个其他人不同，首席执行官确立“最高的基调”，这个基调影响着一个积极控制环境的正直、伦理以及其他要素。在大型公司里，首席执行官通过向高级经理提供领导职位和指导，并复核他们控制业务的方式来履行这项职责。而高级经理则把制定更加具体的内部控制措施和程序的职责分配给负责单位职能（unit function）的人员。在小型公司里，首席执行官，通常既是所有者又是管理者，他的影响通常更直接。无论公司规模大小如何，在一个瀑布型的职责体系中，经理实际上就是他或她职责范围内的首席执行官。财务执行官和他们的职员尤其重要，他们的控制活动既可以直接穿过，又可以遍及企业经营以及其他各个要素。

尽管大部分高级行政人员认为他们基本上“控制着”他们的组织，但是，很多人也认为：在他们的公司里存在着一些尚处于初级控制阶段或者需要加强控制的区域（比如，一个分公司、一个部门或一个超越其他活动的控制要素）。参照这个框架，首席执行官以及主要的经营和财务官员能够把注意力集中在需要的地方，着手对控制系统进行自我评价。首席执行官需要把各业务部门的经理和主要的职能人员召集到一起，讨论如何对控制进行初步的评价，并做出指示，要求他们在初步评价过程中与其部门的主要员工讨论内部控制的相关概念，就他们的责任范围提供监督并报告以后的结果。还要初步复核公司或公司部门的政策和内部审计计划。无论其形式如何，应当确定初步自我评价是否有必要，以及如何继续进行一个更广泛、更深入的评价，它应当确信持续的监督过程是适当的。

（二）董事会

管理当局应向董事会负责，董事会进行治理、指导和监督。有效的董事会成员应当是客观、有能力和善于发问的。他们应当了解企业的活动和环境，而且要花费必要的时间来履行董事会的职责。管理当局所处的位置可以越过控制并且能够不理睬或拟制来自下属的信息沟通，这使蓄意不如实叙述成果的不诚实的管理当局能够掩盖它的劣迹。一个强有力的、积极的董事会，尤其是结合有效的向上沟通渠道和有效的财务、法律和内部审计职能，通常能够很好地识别和改正这些问题。董事会成员应当与高级管理层讨论企业内部控制的状况，并提出必要的监督。他们应当从内部和外部审计师那里寻求信息的输入。

（三）内部审计师

内部审计师在评价控制系统的有效性方面发挥着重要的作用，它有助于控制的持续有效性。因为其在企业中的特殊职位和授权，内部审计通常都发挥着重要的监督作用。内部审计师应当考虑他们关注内部控制系统的范围，而且要把他们的评价材料与评价工具进行比较。

（四）立法者和监管者

任何实际存在的问题都可能有误解和不同的期望，对内部控制的期望在两个方面存在很大的不同。首先，控制系统能完成什么，意见不同。一些学者认为内部控制系统能够或者应当防止经济损失，或者至少防止公司脱离正常轨道。第二，即使对内部控制系统能做什么、不能做什么以及“合理保证”概念的有效性取得一致意见，但是对于这个概念的含义以及如何应用它可能存在着完全不同的观点。监管者在一个所谓的控制失败发生之后，便有了“后见之明”，宣称维护“合理保证”。立法者或监管者与报告内部控制的管理层应当就一个通用的内部控制框架取得一致意见，包括内部控制的局限性。COSO整体框架就是起了这样一个作用，它有助于达成一致的看法。

（五）职业组织

对财务管理、审计和相关问题提供指导的职业组织在制定规则时应当根据这个框架考虑他们的准则和指南。从某种意义上来看，如果能够消除内部控制概念和术语上的差异，所有的各方都会受益。

（六）其他人员

从某种意义上说，内部控制是企业中每一个员工的责任，因此，应当成为每个员工工作说明的一个清楚的或含蓄的组成部分。经理和其他员工应当考虑如何根据这个框架执行他们的控制职责，与更高层的人员讨论加强控制的意见。实际上，所有的员工产生出内部控制系统中所使用的信息，或者采取其他必要的行动以实现控制。而且，所有的员工应当负责向上沟通经营中的问题、不符合行为准则的行为，或者其他违反政策的行为或违法行为。

许多外部相关人员通常也有助于实现企业的目标，外部审计师，从独立和客观的角度来看问题，在履行他们职责的过程中，通过财务报表审计直接和通过向管理当局和董事会提供有用的信息间接有助于企业目标的实现。其他向企业提供实施内部控制有用信息的人有立法者、监管者、顾客和与企业交易业务的其他人、财务分析者、债券评级人和新闻媒体。但是，外部相关方不负责，也不是企业内部控制的一个要素。