[摘要]本文從控制論原理出發(fā)，對內部控制作了多層面的理解；在研究了內部控制理論的最新進展，即 COSO報告出臺的背景、具體內容及創(chuàng)新特點之后，提出該報告對構建我國企業(yè)內部控制綜合框架的啟發(fā)和借鑒意義體現(xiàn)在五個方面，即完善企業(yè)的控制環(huán)境、進行全面的風險評估、設立良好的控制活動、加強信息流動與溝通、加強企業(yè)的內部監(jiān)督；同時建議有關部門和團體制定企業(yè)內部控制準則或指南，為企業(yè)內部控制建設提供一個框架和參考依據。 

　　新修訂的《會計法》十分強調企業(yè)內部控制制度的建設問題。企業(yè)經營失敗、會計信息失真及不守法經營在很大程度上都可歸結為企業(yè)內部控制的缺失或失效。研究企業(yè)內部控制的理論與實務就成了最緊迫的課題之一。但是目前學界對內部控制的認識還不足、不統(tǒng)一，甚至存有不少錯誤。我們擬從控制論的一般原理和國際上企業(yè)內部控制理論的最新發(fā)展出發(fā)，談談對我國企業(yè)內部控制建設的看法。 

　　一、對內部控制的理解 

　　內部控制理論的發(fā)展經過了一個漫長的時期，大致可以區(qū)分為內部牽制、內部控制制度、內部控制結構與內部控制整體框架等幾個不同的階段。內部牽制思想以賬目間的相互核對為主要內容并實施崗位分離，這在早期被認為是確保所有賬目正確無誤的一種理想控制方法。內部控制制度思想認為內部控制應分為內部會計控制和內部管理控制（或稱內部業(yè)務控制）兩個部分，前者在于保護企業(yè)資產、檢查會計數據的準確性和可靠性；后者在于提高經營效率、促使有關人員遵守既定的管理方針。西方學術界在對內部會計控制和管理控制進行研究時，逐步發(fā)現(xiàn)這兩者是不可分割、相互聯(lián)系的，因此在20世紀80年代提出了內部控制結構的概念，認為“企業(yè)的內部控制結構包括為合理保計企業(yè)特定日標的實現(xiàn)而建立的各種政策和程序”[1]，并上明確了內部控制結構的內容為控制環(huán)境、會計制度和控制程序三個方面。在90年代美國提出內部控制整體框架思想，并逐步將各界對內部控制的認識統(tǒng)一起來。目前，我國理論界和實務界對同部控制的認識還很不統(tǒng)一[2]。其中，多數學者對內部控制的認識停留在內部控制制度和內部控制結構階段；還有很多人認為內部控制即是內部監(jiān)督。實務界許多人士以為內部控制就是一堆堆的手冊、文件和制度；也有些企業(yè)認為內部控制就是內部成本控制、內部資產安全性控制等；有的企業(yè)則對內部控制還沒有概念，巨人集團衰敗、沈陽飛龍集團“失蹤”、鄭州亞細亞關門。廣東國投倒閉等事件都說明了這一點。
 
　　我們認為，根據控制論的一般原理，控制是作用者對被作用者的一種能動作用，被作用者按照作用者的這種作用而行動，并達到系統(tǒng)的預定目標。因此，可以從以下幾個方面來理解內部控制。其一，內部控制具有一定的目的性，為達成某種或某些目標而實施。其二，內部控制是為了達到某個成果些目的而進行的過程，且是一種動態(tài)的過程，是使企業(yè)的經營依循既定的目標前進的過程。它本身一種手段而非一種目的；其三，內部控制個是某個事件或某種狀況，而是散布在企業(yè)作業(yè)中的一連串行動，是企業(yè)經營過程的一部分，與經營過程結合在一起，使經營過程發(fā)揮其應有的功能，并監(jiān)督著企業(yè)經營過程的持續(xù)進行。換言之，內部控制與企業(yè)經營活動相互交織，為企業(yè)基本的經營活動而存在。其四，內部控制深受企業(yè)內部和外部環(huán)境的影響，環(huán)境影響企業(yè)控制目標的制定與實施。其五，企業(yè)中的每一個員工既是控制的主體又是控制的客體，既對其所負責的作業(yè)實施控制，又受到他人的控制和監(jiān)督。其六，所有的內部控制都是針對“人”而設立和實施構，企業(yè)內部會因此形成一種控制精神和控制觀念，直接影響到企業(yè)的控制效率和效果。 

　　二、內部控制理論的最新進展 

　　20世紀70年代中期，與內部控制有關的活動大部分集中在制度的設計和審計方面，重在改進內部控制制度的方法和提高審計的質量和效率效果。1973年至1976年對水門事件的調查使得立法機關與行政機關開始注意到內部控制問題。水門案專案檢查官辦公室及美國證券交易委員會（SEC）所進行的調查分別顯示，過去不少美國大公司進行了違法的國內捐款、可疑或違法的國外支付（包括賄賂外國政府官員）。針對這些調查的結果，美國國會于1997年通過了《反國外賄賂法》（簡稱（FCPA）。FCPA除了具有反賄賂的條款外，還規(guī)定了與會計及內部控制有關的條款。因此，F(xiàn)CPA通過立法之后，企業(yè)都陸續(xù)開始設立內部控制。很多職業(yè)團體及主管機關也就內部控制的不向層面進行研究，發(fā)布指南。如，美國注冊會計師協(xié)會（AICPA）所屬審計人員責任委員會發(fā)布了《報告、結論與建議》，并頒布了審計準則公告第30號（1980）、第43號（1982）、第48號（1984）[3]:財務經理人員協(xié)會（FEI）發(fā)布了《美國公司之內部控制：現(xiàn)狀》[4]：SEC擬訂強制公司對其內部會計控制提出報告書，即《管理階層對內部會計控制的報告書》[5]；內部審計人員協(xié)會（IIA）發(fā)布了內部審計準則公告第1號《控制：觀念及責任）[6]，等等。
 
　　1985年，由AICPA、美國審計總署（AAA）、FEI、IIA及管理會計師協(xié)會（IMA）[7]共同贊助成立了全國舞弊性財務報告委員會，即 Tread－way委員會，該委員會所探討的問題之一就是舞弊性財務報告產生的原因，其中包括內部控制不健全問題。兩年之后，Treadway委員會提出報告則，并提出了很多有價值的建議。雖然Treadway委員會本對內部控制提出結論，但它的報告立刻引起了很多組織的回應[9]。基于Tdreadway委員會的建議，其贊助機構又組成了一個專門研究內部控制問題的委員會，COSO委員會。1992年，COSO委員會提出報告《內部控制——整體框架》，1994年進行了增補。COSO委員會提出，內部控制是由企業(yè)董事會、經理階層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程。其構成要素應該來源于管理階層經營企業(yè)的方式，并與管理的過程相結合。具體包括： 

　　1、控制環(huán)境（controlenvironment）。任何企業(yè)的核心是企業(yè)中的人及其活動。人的活動在環(huán)境中進行，人的品性包括操守、價值觀和能力等，它們既是構成環(huán)境的重要要素之一，又與環(huán)境相互影響、相互作用。環(huán)境要素是推動企業(yè)發(fā)展的引擎，也是其他一切要素的核心。

　　2、風險評估（risk appraisal）。企業(yè)必須制定目標，該目標必須和銷售、生產、行銷、財務等作業(yè)相結合。為此，企業(yè)也必須設立可辨認、分析和管理相關風險的機制，以了解自身所面臨的風險，并適時加以處理。

　　3、控制活動（control actiVty）。企業(yè)必須制定控制的政策及程序，并予以執(zhí)行，以幫助管理階層保證“為保證其控制目標的實現(xiàn)，其用以辨認并用以處理風險所必須采取的行動業(yè)已有效物實”。

　　4、信息和溝通（Information and communicati）。圍繞在控制活動周圍的是信息與溝通系統(tǒng)。這些系統(tǒng)使企業(yè)內部的員工能取得他們在執(zhí)行、管理和控制企業(yè)經營過程中所需的信息，并交換這些信息。

　　5、監(jiān)督(moni-toring）。整個內部控制的過程必須施以恰當的監(jiān)督，通過監(jiān)督活動在必要時對其加以修正。COSO委員會同時提出，企業(yè)所設定的目標是一個企業(yè)努力的方向，而內部控制組成要素則是為實現(xiàn)或達成該目標所必需的條件，兩者之間存在直接的關系。每一個組成要素適用于所有的目標類別，每一個組成要素也與每一個目標都有關。對于任何企業(yè)或企業(yè)中的任何部門，內部控制都極為重要。
 
　　同以往的內部控制理論及研究成果相比，COSO報告提出了許多新的、有價值的觀點。體現(xiàn)在： 

　　1、明確對內部控制的“責任”。在世界內部控制發(fā)展史上，COSO報告第一次明確地闡述了內部控制的制定與實施的責任問題。該報告認為，不僅僅是管理人員、內部審計或董事會，組織中的每一個人都對內部控制負有責任。確立這種組織思想有利于將企業(yè)的所有員工團結一致，使其主動地維護及改善企業(yè)的內部控制，而不是與管理階層相互對立，被動地執(zhí)行內部控制。 

　　2、強調內部控制應該與企業(yè)的經營管理過程相結合。COSO報告認為，經營過程是指通過規(guī)劃、執(zhí)行及監(jiān)督等基本的管理過程對企業(yè)加以管理。這個過程由組織的某一個單位或部門進行，或由若干個單位或（及）部門共同進行。內部控制是企業(yè)經營過程的一部分，與經營過程結合在一起，而不是凌駕于企業(yè)的基本活動之上，它使經營達到預期的效果，并監(jiān)督企業(yè)經營過程的持續(xù)進行。不過，內部控制只是管理的一種工具，并不能取代管理。 

　　3、強調內部控制是一個“動態(tài)過程”。內部控制是對企業(yè)的整個經營管理活動進行監(jiān)督與控制的過程，企業(yè)的經營活動是永不停止的，企業(yè)的內部控制過程也因此不會停止。企業(yè)內部控制木是一項制度或一個機械的規(guī)定，企業(yè)經營管理環(huán)境的變化必然要求企業(yè)內部控制越來越趨于完善，內部控制是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復的過程。 

　　4、強調“人”的重要性。COSO報告特別強調，內部控制受企業(yè)的董事會、管理階層及其他員工影響，透過企業(yè)之內的人所做的行為及所說的話而完成。只有人才可能制定企業(yè)的目標，并設置控制的機制。反過來，內部控制影響著人的行動。 

　　5、強調“軟控制”的作用。相對于以前的內部控制研究成果而言，COSO報告更加強調“軟控制”的作用。軟控制主要是指那些屬于精神層面的事物，如高級管理階層的管理風格、管理哲學、企業(yè)文化、內部控制意識等。 

　　6、強調風險意識。現(xiàn)代社會是一個充滿劇烈競爭的社會，每一個企業(yè)都面臨著成功的挑戰(zhàn)和失敗的風險，對風險的管理是現(xiàn)代企業(yè)的主旋律之一。風險影響著每個企業(yè)生存和發(fā)展的能力，也影響其在產業(yè)中的競爭力及在市場上的聲譽和形象。COSO報告指出，所有的企業(yè)，不論其規(guī)模、結構、性質或產業(yè)是什么，其組織的不同層級都會遭遇風險，管理階層須密切注意各層級的風險，并采取必要的管理措施。 

　　7、揉和了管理與控制的界限。在COSO報告中，控制已不再是管理的一部分，管理和控制的職能與界限已經模糊。 

　　8、強調內部控制的分類及目標。COSO報告單獨對內部控制的目標進行了解析和闡釋。目標的設定是管理過程的一個重要部分，雖然它不是內部控制的組成要素，但卻是內部控制的先決條件，也是促成內部控制的要件。制定目標的過程不是控制活動，但其對內部控制的意義重大，直接影響到內部控制是否有存在的必要。COSO報告將內部控制目標分為三類：與營運有關的目標、與財務報告有關的目標以及與法令的遵循性有關的目標等。這樣的分類高度概括了企業(yè)控制目標，有利于不同的人從不同的視角關注企業(yè)內部控制的不同方面。 

　　9、明確指出內部控制只能做到“合理”保證。COSO報告認為：不論設計及執(zhí)行有多么完善，內部控制都只能為管理階層及董事會提供達成企業(yè)目標的合理保證。而目標達成的可能性，尚受內部控制之先天條件所限制。 

　　10、成本與效益原則。COSO報告明確指出，內部控制要建立在成本與效益原則的基礎上。內部控制并不是要消除任何濫用職權的可能性，而是要創(chuàng)造一種為防范濫用職權而投入的成本與濫用職權的累計數額之比呈合理狀態(tài)（即經濟原則）的機制。因此，沒有不花錢的內部控制，也不存在完美無缺的內部控制。 

　　三、啟示與借鑒 

　　 “他山之五，可以攻玉”，COSO報告對我國具有一定的啟發(fā)和借鑒意義。我們以為，在構建我國企業(yè)內部控制綜合框架時，亦可從以下方面著手： 
完善企業(yè)的控制環(huán)境 

　　1、加強和完善企業(yè)內部控制，首先應注意企業(yè)內部控制環(huán)境的建設?？刂骗h(huán)境是指對建立、加強或削弱特定政策、程序及其效率產生影響的各種因素。它是一種氛圍，塑造企業(yè)文化，影響企業(yè)員工的控制意識，影響企業(yè)內部各成員實施控制的自覺性，決定其他控制要素能否發(fā)揮作用，是內部控制其他要素作用的基礎?？刂骗h(huán)境直接影響到企業(yè)內部控制的貫徹和執(zhí)行以及企業(yè)經營目標及整體戰(zhàn)略目標的實現(xiàn)。影響控制環(huán)境的因素是多方面的： 

　?。?）董事會?，F(xiàn)代企業(yè)法人治理結構的一個顯著特征就是經營權與所有權的分離。雖然，從理論上說，對經營者的控制機制可分為兩大類：一是以資本市場、產品市場及法律規(guī)章制度為主體的外部控制機制；二是以董事會為主體的內部控制機制。但理論和實踐均已證明，外部控制機制并不能取代內部控制機制的功能。相比之下，董事會應該是約束經營者日常行為，實現(xiàn)事前帕累托最優(yōu)的最合適的手段[10]。因為，董事會是公司內部控制系統(tǒng)的核心，它負責為公司經理制定搏弈的規(guī)則。對內部控制而言，一個積極、主動參與的董事會是相當重要的。但是，只有當董事會擁有技術、才能和智慧，并能進行適當的管理時，才能適當履行其監(jiān)控、引導和監(jiān)督的責任。目前，我國很多上市公司在形式上建立了董事會、監(jiān)事會，聘任了總經理班子，但在實際工作中，董事會在表現(xiàn)上還存在許多誤區(qū)，真正的法人治理結構并未建立。董事會的監(jiān)控作用嚴重弱化，“董事”不“懂事”，經常只有一個“虛職”，且缺少必要的常設機構?！皷|方鍋爐”一例，在很大程度上就是因為實施公司經營決策的董事會與從事公司日常經營事務的總經理班子在企業(yè)的實際管理中職責重復、“一套人馬兩塊牌子”[11]。加強企業(yè)內部控制，首先要加強董事會的建設，發(fā)揮董事會的作用和潛能，使股東及其他利益團體的利益真正受到保護。在市場經濟發(fā)達國家的企業(yè)中，董事會一直很受重視，其挑選條件極為苛刻，在內部董事與外部董事的搭配及組成等方面都極為嚴格。 

　?。?）企業(yè)管理者的素質。管理者素質在企業(yè)經營管理中起絕對重要的作用，素質不同，對企業(yè)發(fā)展所產生的影響也完全不同。管理者的素質直接影響到企業(yè)的行為，進而影響到企業(yè)內部控制的效率和效果。在許多西方國家，由于市場經濟比較完善，基本上已形成一個比較成熟的經理人才市場。我國這方面的起步比較晚，還未形成一個約束、監(jiān)督與激勵經理人員的外部機制，因此管理者自我完善和自我提高的動力和壓力比較小?！熬奕宋C”爆發(fā)后，在全國掀起了軒然大波。中國人民銀行馬上派了一個工作組到珠海檢查，檢查結果讓人吃驚——巨人集團投向銀行貸一分錢！到1996年底，巨人大廈修建所用的1．6億資金，都是靠公司自有資金和賣樓花所得收入提供的[12]。這體現(xiàn)了時下我國很多企業(yè)的一個通?。喝狈ΜF(xiàn)代資本運營的理念及技術，缺乏長遠的內部控制觀念。如果巨人集團內部財務制度健全，理財循環(huán)的內部控制制度完善，就不至于此。因此，應盡快提高企業(yè)管理者的素質。當然，企業(yè)管理者的素質不僅僅指知識與技能，還包括操守、道德觀、價值觀、世界觀等各方面。 

　?。?）管理者的品行及管理哲學。企業(yè)制定的任何制度都不可能超越設立這些制度的人，企業(yè)內部控制的有效性同樣也無法超越那些創(chuàng)造、管理與監(jiān)督制度的人的操守及價值觀。操守及價值觀是構成控制環(huán)境的一個基本要素。管理階層的管理哲學及管理風格，包括企業(yè)承受營業(yè)風險的種類、整個企業(yè)的管理方式、企業(yè)管理階層對法規(guī)的反應、對企業(yè)財務的重視程度以及對人力資源的政策及看法等，都深深地影響著內部控制的成效。以鄭州亞細亞集團為例。1997年初，鄭亞集團新任董事長對集團進行調查時，發(fā)現(xiàn)鄭亞集團機構根本無人主持運作，長期沒人召集會議，自上而下的管理者對集團的性質、狀況、資產分布情況一問三不知。管理人員都忙于私事，有的開飯店，有的搞娛樂城。而這些人不僅不為自己的行為汗顏，卻說“集團有的領導把老婆孩子都辦成美國綠卡了，隨時都做好走的準備，我們只不過沾亞細亞一點小光，怕什么？”正因為管理階層的操守和價值觀若此，才導致了那亞集團的悲劇。管理人員的操守、管理哲學與管理風格對于企業(yè)內部控制的效率和效果影響深遠，直接影響到下級員工的道德行為、思維方式和品行。因此，企業(yè)高層領導人除了自身起表率作用以外，還要引導其員工做道德范圍內的事。 

　　（4）企業(yè)文化。管理者的素質、操守和管理哲學等對于塑造企業(yè)文化具有直接的影響。企業(yè)文化是隨著現(xiàn)代工業(yè)文明的發(fā)展，企業(yè)組織在一定的民族文化傳統(tǒng)中逐步形成的具有本企業(yè)特征的基本信念、價值觀念、道德規(guī)范、規(guī)章制度、生活方式、人文環(huán)境以及與此相適應的思維方式和行為方式的總和。企業(yè)文化往往是現(xiàn)存的一種無形的力量，影響企業(yè)成員的思維方法和行為方式。在企業(yè)成長過程中，文化對企業(yè)產生的許多影響都被埋入企業(yè)行為的原始部位，處于行為動機的意識層面之下，以致于文化的作用往往被人們所忽視。但由于文化本身所具有的特性（無形性、軟約束性、相對穩(wěn)定性和連續(xù)性），使企業(yè)文化始終以一種不可抗拒的方式影響著企業(yè)。它具有一種很強的凝聚力，不僅可以促進企業(yè)的發(fā)展，阻止企業(yè)的衰敗[13]，同時還可以推進企業(yè)隱入困境。例如，鄭亞集團領導人員的操守及管理哲學，事實上最終已形成一種企業(yè)文化，阻礙著企業(yè)的發(fā)展，阻礙著企業(yè)內部控制發(fā)揮作用。企業(yè)文化在企業(yè)經營管理中的重要性，使其不可避免地影響著企業(yè)的內部控制。我國企業(yè)的經營管理者應該注重對企業(yè)文化的培養(yǎng)與優(yōu)化。企業(yè)在培養(yǎng)自身的文化時，應避免一種只注重內部和短期的企業(yè)文化，保持一種健康的文化氛圍，使其與公司的戰(zhàn)略目標趨于一致。企業(yè)文化包括道德及行為標準以及如何在實務中溝通與強化該標準。企業(yè)中正式的政策文件等只能書面表明管理階層想讓什么發(fā)生，而企業(yè)文化則決定什么會發(fā)生。 

　　（5）組織結構與權責分派體系。企業(yè)經營的目的在于實現(xiàn)其整體目標，一個企業(yè)的組織結構則在于提供規(guī)劃、執(zhí)行、控制和監(jiān)督活動的框架。企業(yè)組織結構建設的好壞直接影響到企業(yè)的經營成果及控制效果。構建組織結構的一個重要方面，在于界定關鍵區(qū)域的權、責以及建立適當的溝通管道。良好的組織必須以執(zhí)行工作計劃為使命，并具有清晰的職位“層次順序”、流暢的“意見溝通”管道、有效的“協(xié)調”與“合作”體系[14]。但是，組織結構只是給企業(yè)的經營運作與控制提供了一個合理的框架，真正進行這些工作的主要還是企業(yè)員工。因此，企業(yè)組織設立的一項重要任務就是權責分派。權責分派包括指派進行營運活動的權與責以及建立溝通管道和設立授權方式等。此項規(guī)定關系到個人和團隊在遭遇和解決問題時的主動性，也關系到員工所享有權利的上限，企業(yè)的某些政策和關鍵員工需要具備的知識及經驗，以及企業(yè)應給予員工的資源等。 

　?。?）信息系統(tǒng)。企業(yè)應設立一個良好的信息與溝通系統(tǒng)。一個良好的信息和溝通系統(tǒng)可以使企業(yè)及時掌握企業(yè)營運的狀況和組織中發(fā)生的事情。信息系統(tǒng)的好壞直接影響到企業(yè)內部控制的效率和效果。比如，企業(yè)會計系統(tǒng)的每一個環(huán)節(jié)都是一個控制的過程。一般而言，企業(yè)的信息系統(tǒng)包括企業(yè)的財務信息系統(tǒng)和管理信息系統(tǒng)。企業(yè)的財務信息系統(tǒng)以會計為主，提供有關企業(yè)財務方面的信息，而管理信息系統(tǒng)還提供很多非財務的信息。一個健全的信息系統(tǒng)應該能夠提供質量較高的信息，所謂高質量，是指內容適當、及時、正確且可取得。 

　?。?）人力資源政策及實務。COSO報告特別強調“人”在內部控制中的作用。一個企業(yè)的人力資源政策直接影響到企業(yè)中每一個人的業(yè)績和表現(xiàn)。良好的人力資源政策，對培養(yǎng)企業(yè)的員工，提高企業(yè)員工的素質，更好地貫徹和執(zhí)行內部控制有很大的幫助。 

　　2、進行全面的風險評估 

　　環(huán)境控制和風險評估，是提高企業(yè)內部控制效率和效果的關鍵。當今社會經濟環(huán)境的風云變化，企業(yè)間競爭越來越激烈，企業(yè)經營風險不斷提高，其內部控制的執(zhí)行也深受影響。對于內部控制的研究不可能脫離其賴以存在的環(huán)境及企業(yè)內外部各種風險因素，而須從環(huán)境及其風險的分析入手?？刂坪惋L險的概念緊密相聯(lián)，正如前后門，都通向同一房間，一個組織選擇哪道門進入房間取決于它的經營環(huán)境以及該組織怎樣看待它的業(yè)務、怎樣界定其戰(zhàn)略重點等。 

　　若巨人集團考慮到生物工程可能會遭受的風險，就不會將巨人大廈的資金來源孤注一擲于生物工程；若然，“標王”秦池就不會將自己的身家都投入廣告活動。國外對風險評估早已非常重視。戰(zhàn)略管理中常用的“SWOT”（strensth，weaktess，oPPortuni－ties and threats）分析法，就是風險分析的一種，企業(yè)應該對內分析自身的優(yōu)勢與劣勢，長處與短處，對外分析外界的機會和威脅，考慮自己的生存機遇。不僅企業(yè)在戰(zhàn)略目標的制定過程中要進行“SWOT”分析，而且在企業(yè)日常的內部控制過程中也應該時時這樣做，才能將內部控制目標達不成的風險降至最低。企業(yè)進行風險評估一般須經歷風險辨別、分析、管理、控制等過程。特別要注意的是，當企業(yè)內外部環(huán)境發(fā)生變化時，風險最容易發(fā)生，因此企業(yè)應加強對環(huán)境改變時的事務管理。 

　　3、設立良好的控制活動 

　　控制活動是確保管理階層的指令得以實現(xiàn)的政策和程序，旨在幫助企業(yè)保證其已針對“使企業(yè)目標不能達成的風險”，采取了必要行動?？刂苹顒映霈F(xiàn)在整個企業(yè)內的各個階層與各種職能部門，包括諸如核準、授權、驗證、調節(jié)、復核營業(yè)績效、保障資產安全以及職務分工等多種活動。一般而言，控制活動包括兩個要素：政策和程序。政策規(guī)定應該做什么，程序則使政策產生效果，政策是程序的基礎。政策可能書面規(guī)定，也可能只是一個口頭的指令而已，但無論政策是否做成書面，都應該前后一貫地、徹底地加以執(zhí)行。同時程序也不應該只是機械地被動地予以執(zhí)行。 

　　控制活動是針對關鍵控制點而制定的，因此，企業(yè)在制定控制活動時關鍵就是要尋找關鍵控制點。企業(yè)一般根據其經營活動的五大循環(huán)即采購循環(huán)。銷售循環(huán)對款循環(huán)、收款循環(huán)和理財循環(huán)等分別設計其控制活動。例如，企業(yè)的采購循環(huán)就應注意請購單、訂購單、采購單等的授權與審批，要注意對采購的單價、質量、數量等的審核等。 

　　4、加強信息流動與溝通 

　　在談及控制環(huán)境時，我們已提出，一個良好的信息系統(tǒng)有助于提高內部控制的效率和效果。企業(yè)須按某種形式及在某個時間之內，辨別、取得適當的信息，并加以溝通，使員工順利履行其職責。信息系統(tǒng)不僅處理企業(yè)內部所產生的信息，同時也處理與外部的事項、活動及環(huán)境等有關的信息。企業(yè)的信息系統(tǒng)不僅是企業(yè)控制環(huán)境建設的一個重要方面，同時也是企業(yè)內部控制的一項要素，是企業(yè)內部控制過程的一個部分。
 
　　如果企業(yè)能夠策略性地使用信息系統(tǒng)，則意味著該企業(yè)可能會成功，反之則否。據筆者所知，江西一家國有企業(yè)購買了一火車槽車重油，進廠一夜后無人驗收，爾后這列載有近30噸重油的槽車又被當空車返回了鐵路部門。這樣的信息溝通體系，是無法希望其內部控制能有很高的效率和效果的。 

　　一個良好的信息系統(tǒng)應能確保組織中每個人均清楚地知道其所承擔的特定職務。每位員工都必須了解內部控制制度的有關方面；這些方面如何生效以及在控制制度中所扮演的角色、所擔負的責任以及所負責的活動怎樣與他人的工作發(fā)生關聯(lián)等；員工需知道企業(yè)期望他們作出哪種行為、哪種行為被接受、哪種行為不被接受；員工還需知道在其執(zhí)行職責時，一旦有非預期的事項發(fā)生，除了要注意該事項本身之外，尚應注意導致該事項發(fā)生的原因。一個良好的信息溝通系統(tǒng)不僅要有向下的溝通管道，還應有向上的、橫向的以及對外界的信息溝通管道。企業(yè)會計系統(tǒng)是企業(yè)信息系統(tǒng)最為重要的組成部分。企業(yè)的會計系統(tǒng)為企業(yè)提供成本信息、營運信息、生產信息、庫存信息等。因此，企業(yè)應加強會計系統(tǒng)及其他方面的信息溝通體系的建設。 

　　5、加強企業(yè)的內部監(jiān)督 

　　前已述及，企業(yè)內部控制是一個過程，這個過程系通過納入管理過程的大量制度及活動實現(xiàn)的。因此，要確保內部控制制度被切實地執(zhí)行且執(zhí)行的效果良好、內部控制能夠隨時適應新情況等，內部控制就必須被監(jiān)督。監(jiān)督是一種隨著時間的推移而評估制度執(zhí)行質量的過程。監(jiān)督可通過日常的、持續(xù)的監(jiān)督活動來完成，也可以通過進行個別的、單獨的評估來實現(xiàn)，或兩者結合。 

　　在內部控制的監(jiān)督過程中，有兩項職能發(fā)揮著重要作用。

　　（1）內部審計。在企業(yè)各個層級的人員中，就內部控制而言，內部審計人員具有極其重要而又特殊的地位。內部審計既是企業(yè)內部控制的一個部分，也是監(jiān)督內部控制其他環(huán)節(jié)的主要力量。在現(xiàn)代企業(yè)管理過程中，內部審計人員被賦予了新的職責和使命。美國著名內部控制專家邁克爾·海默教授（Michael hammr）曾說過：“內審機構應將自己視為公司的一種資源。在幫助管理當局更有效地達至預期控制目標的過程中發(fā)揮作用。內部審計師的使命將從簡單的‘我們實施審計’向‘我們幫助創(chuàng)建一些程序，以期達到組織成功所需要的內部控制水平’的方向發(fā)展?！币虼?，審計部門的作用不僅在于監(jiān)督企業(yè)的內部控制是否被執(zhí)行，還應該幫助組織進行“軟控制”環(huán)境的營造，成為內部控制過程設計的顧問，建議管理當局建立一種健康積極的組織文化，使成員能自覺把辦事準確和職業(yè)道德放在首位。十幾年來，我國內部審計事業(yè)取得了長足的進展，目前大部分國有企業(yè)及上市公司成立了內部審計機構，但仍然存在很多問題。內部審計人員的素質參差不齊，許多企業(yè)的內部審計部門甚至形同虛設，不能發(fā)揮其應有的作用。因此，我國企業(yè)內部審計建設亟需加強。

　?。?）控制自我評估。在國外，企業(yè)內部控制的一個新趨勢是實行“控制自我評估”意指每個企業(yè)不定期或定期地對自己的內部控制系統(tǒng)進行評估，評估內部控制的有效性及其實施的效率效果，以期能更好地達成內部控制的目標。CSA的基本特征是：關注業(yè)務的過程和控制的成效；由管理部門和職員共同進行；用結構化的方法開展評估活動。CSA是為提高組織內部控制的自我意識所作的努力，這種活動經常以研討會的形式進行。設計CSA的目的是使人們了解哪里存有缺陷以及可能引至的后果，然后讓他們自己采取行動改進這種狀況，而不是坐等內部審計人員站出來。研究表明，實施CSA的方法對于一個企業(yè)加強管理、提高勞動生產率、改進內部審計程序和業(yè)務經營程序以及控制風險等都有著積極的作用。為此，我國企業(yè)可試行定期或不定期地進行CSA，以便經常發(fā)現(xiàn)和解決內部控制過程中出現(xiàn)的問題。
 
　　以上五個方面是COSO報告給我們的啟示。不過，應當指出的是，內部控制的加強不是短期內就能完成的，也不是單靠企業(yè)自身的努力就可以達到的。國家應該給企業(yè)塑造一種重視、開發(fā)和研究內部控制的宏觀環(huán)境。筆者建議我國的立法機關或其他職業(yè)團體對我國企業(yè)的內部控制進行全面的研究，或制定準則，或提出指南，給企業(yè)的內部控制建設提供一個框架和參考依據。此外，外界也可以給企業(yè)管理者以適當的壓力和動力，讓其自覺提高和完善企業(yè)的內部控制。