内部控制是随着外部竞争的加剧和内部强化管理的需要而不断丰富和发展的。国内外对内部控制的研究历史已经很久，通过对国内外内部控制研究文献的回顾，对内部控制研究现状进行评价，认为我国现在对内部控制研究的目标定位较低、内部控制研究不成体系和不系统、研究的视野不够宽广，在今后的内部控制研究过程中要需要突破这些瓶颈。
　　关键词：内部控制研究 文献回顾 评价
　　内部控制的概念源于会计控制，过去一直是专属于会计领域的概念。但是，随着世界范围内的公司财务舞弊事件的频繁发生，内部控制已不仅仅是会计界所关注的焦点，整个企业界和理论界对内部控制表现出超乎寻常的关注，并一致强调内部控制在保证企业经营活动的合规性、保障企业资产的安全完整、会计信息的可靠性以及纠正员工错误和防止舞弊行为等方面的重要性。
　　一、国外内部控制研究的回顾
　　内部控制理论是随着社会经济进步的需要而不断发展完善的。进入20世纪90年代以后，企业内部控制理论在世界范围的发展速度超过了以往任何阶段，最为显著的研究成果是美国的COSO报告。对国外内部控制的研究现状做了一个简要的分析，并指出了所带来的启示——风险导向内部控制时代的来临。
　　国外内部控制理论的发展先后经历了以下阶段：
　　第一，萌芽期15世纪末到20世纪初：内部牵制阶段。该时期的内部控制主要以查错防弊为目的，职务分离和账目核对为手段，钱账物等会计事项为对象，特点是以任何个人或部门不能单独控制任何一项或一部分业务权利的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。
　　第二，成长期20世纪40年代至80年代初：内部控制制度阶段（制度二分法）。该时期AICPA的审计程序委员会（CAP）在《内部控制：一种协调制度及其对管理当局和独立注册会计师的重要性（1949）》的报告中首次给内部控制下了一个具有权威性的定义：内部控制使企业所制定的旨在保护资产，保证会计资料可靠性和准确性，提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施，其后又对该定义进行了三次修订。定义第一次修正（1958）：将内部控制划分为会计控制与管理控制；定义第二次修正审计程序说明第33号（1963）：明确了什么是会计控制，对会计控制中保护资产的概念作了更明确的定义；定义第三次修正（1973）：将管理控制视为控制的环境因素该阶段完成了实践塑造和理论完善两大使命。
　　第三，发展期20世纪80年代：内部控制结构阶段（结构三分法）。1988年AICPA发布的审计准则公告8年第55号会计报表审计中，对内部控制结构的关注中首次采用内部控制结构的提法替代内部控制，指出企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。内部控制结构包括控制环境、会计制度、控制程序，这是内部控制理论研究中的一个突破性的研究成果。
　　第四，成熟期20世纪90年代：内部控制整体框架阶段旧COSO报告（要素五分法）。COSO委员会提出的内部控制结构理论被认为是权威的专业机构对内部控制整体框架的最新解释。COSO报告将内部控制定义为：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效果制定，由效率财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。这五大要素包括：控制环境、风险评估、控制活动、信息与沟通、监督。
　　第五，21世纪开始至今：企业风险管理框架（新COSO报告）。新COSO报告与旧COSO报告相比，增加了一个观念、一个目标、两个概念和三个要素、对应风险管理的需要。新框架还要求企业设立一个新的部门风险管理部。观念指风险组合观。“目标”指战略目标，且该目标覆盖了企业编制的所有报告。概念是针对风险度量提出的风险偏好和风险容忍度的概念。要素指目标制定事项识别和风险反映。新报告虽然保留了部分传统内部控制的概念，但不论框架上还是要素上均有相当大的突破。
　　二、国内内部控制理论的发展
　　我国最早的内部控制规范是财政部1996年颁布的独立审计具体准则第9号——内部控制与审计风险，其对内部控制作了定义：本准则所称内部控制，是指被审计单位为了保证业务活动的有效进行，保护资产的安全与完整，防止发现纠正错误与舞弊，保证会计资料的真实合法完整而制定和实施的政策与程序。内部控制包括控制环境、控制程序及会计系统三要素。2001年财政部又发布了内部会计控制规范基本规范（试行）及其他规范（货币资金销售与收款采购与付款等），将内部控制定义为：单位为了提高会计信息质量，保护资产的安全完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。2004年我国审计准则委员会发布的征求意见稿独立审计具体准则第29号——了解被审计单位及其环境并评估重大错报风险，对内部控制定义为：为了合理保证财务报告的可靠性经营的效率和效果以及对法律法规的遵循，由治理当局管理当局和其他人员设计和执行的政策和程序。2005年7月至2006年6月，我国初步勾勒出了企业内部控制基本规范的原则框架，并于2006年7月15日发起成立企业内部控制标准委员会（财会[2006]11号），研究制定我国企业内部控制规范，而起草《企业内部控制规范基本规范》和17项具体规范（征求意见稿）。2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范基本规范》，自2009年7月1日之起先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行该规范，构建了以内部控制环境为重要基础，风险评估为重要环节，控制活动为重要手段，信息与沟通为重要条件，内部监督为重要保证的相互联系、相互促进的五要素。内部控制框架这标志着企业内部控制规范体系建设取得重大突破。这份被业内人士称为中国版COSO（内部控制框架）与萨班斯奥克斯利法案合体的内部控制规范，将重点引导企业加强以财务报告内部控制为主线的相关标准建设。
　　三、对内部控制研究现状的评价与展望
　　（一）西方内部控制理论研究的特点
　　第一，内部控制目标呈多元化发展趋势：由最初的仅包括企业利益的单一目标逐渐融入了多个相关利益主体的目标。从以会计、审计为背景下的“差错防弊”为主，向以完善公司治理和政府治理为背景的战略目标，企业价值增值、风险管理的角度转化。
　　第二，在内部控制目标演进的过程中，内部控制的范畴和内容也有更加明确的界定，涵盖到企业运作的各个层面，逐渐形成一个完善的、动态的过程体系。
　　第三，从内部控制结构时期，信息开始在控制环境的研究中受到重视，在随后的内部控制理论发展中，信息与沟通始终被列为贯彻内控全过程的一大要素来研究，并且范围有所加大。国外出现的EDP审计，包括现在流行的信息技术、IT审计以及COBIT模型中，都提到信息系统对内部控制的影响，但其出发点都是从审计鉴证的角度，并没有从企业内部控制系统具体运作的角度来分析信息化环境对其的影响。
　　（二）我国内部控制理论研究的特点
　　第一，我国内部控制的目标定位较低，且过于简单化和形式化，只局限于差错防弊、会计资料的合法和保证业务的有效进行，而并没有把营运的效率和效果包含在内，更没有把其提到企业战略目标的高度来增加企业价值，实施风险管理。
　　第二，我国没有形成内部控制的规范体系，实务指导上尚缺乏一个统一指挥和协调机制，主要是从单个作业环节上进行法律规范的定义，整个内部控制体系不具备完整性，没有形成内部控制的整体框架结构、内容和联系。
　　第三，内部控制的研究主要集中于内部会计控制研究，且多是从审计角度出发，视野范围过于狭窄。在内部会计控制的方式上，已经有相关法规提到电子信息技术控制和风险控制，理论界也有相关的研究提到信息对于内部控制系统的重要性问题，但并没有系统地从信息化的角度去透视企业内部控制的运作流程。