艾德.维斯特:内部控制管理体系的目标定位——《跳出迷宫看迷宫》

就企业绩效管控的思维，任何漫无目标的管理措施确定是无效的，甚至增加企业的成本，导致不必要的资源浪费。企业进行内部控制管理系统设计时，控制目标是企业建立控制制度所要达到的预期目的和效果；内部控制目标的定位是构建企业内部控制管理系统的关键。内部控制本身是一种手段，是企业为了达到所设定的目的而进行的过程与活动，而这些目的便是内部控制的目标；此为内部控制存在的根本，体现的是内部控制存在的目的及存在的最终预期结果。同时，内部控制目标也是建立内部控制框架以及考核、评价内部控制的指导性参照文件；因此，内部控制控制管理系统除了要服务于组织其他的次级管理系统，内部控制目标更应融合、构筑于(Building in )企业的其他各项管理目标，本文拟就经济学原理与企业的本质观点，指出公司治理和企业管理的信息需求可以在反映企业价值创造和增值分享的信息上得到统一，同时对企业内部控制管理系统的目标定位进行深一层的剖析与阐释。

w内部控制管理发展历程
    内部控制是一个历久而弥新的话题。人们在企业过程管理中应用内部控制时，因为企业、单位的规模与特质的异质性而赋予了其不同的功能，故而形成了不同视角、不同导向的内部控制，就是一个单位具体控制活动的目标也是不同的，各有侧重。但无论如何，吾人还是可以将内部控制归纳为：审计视角的内部控制、管理视角的内部控制和公司治理视角的内部控制等三个主要范畴。各种视角的内部控制在目标导向、控制主体和控制方法等方面都存在着较大的差异。国内企业目前正处于内部控制标准的研究和制订建设阶段，首先应明确内部控制的目标，才足以明确内部控制的方向，因此可以说，明确内部控制目标，是构建企业内部控制体系的基础和出发点，也是测试、评价企业内部控制体系建设与运行状况的基本标准。现今企业如何定位、设计、建构适切的内部控制管理系统与制定内部控制标准、明确内部控制的目标，此种繁杂的系统设计工程，有赖于我们认真加以思考，也迫切需要理论研究的支持。

综观内部控制理论的发展过程，内部控制已经经过了一个漫长的时期，其进程大致可以分为内部牵制、内部控制制度、内部控制结构与内部控制整体架构等几个不同的阶段。1992年，美国COSO委员会从内部控制组成要素的角度，构造了一个内部控制整体框架，在其发布的《内部控制——整体框架》报告中，把内部控制的目标设定为三类：①经营的效率和效果；②财务报告的可靠性；③适用法律法规的遵循性。此报告被奉为内部控制管理的圭镍，是迄今为止对内部控制最全面的论述，在一定程度上突破了以往内部控制仅从会计、审计角度研究的狭隘性，在内容上不再局限于会计控制，扩展到企业的管理以及企业的治理，从一个更高、更系统的视野给出了内部控制的一个框架体系，这三类目标中，第一类是针对企业的基本业务目标规定的，包括业绩要求、盈利要求和资源的安全性；第二类是针对财务信息的可靠性设定的，主要包括编制可靠的财务报告(中期简要报告、年度报告)，以及对财务数据的精选、非财务信息附注说明等；第三类是针对法律的遵守设定的。1994年，COSO对报告的“向外部关系人报告”卷进行增补时，增加了资产保护的内容。但是，按照COSO的理解，这个内容是从属于经营目标的，不是一个独立的目标。1999年，国际最高审计组织(International Organization of Supreme Audit Institutions，简称INTOSAI)发布文件主张：内部控制是一个组织的计划与增值过程管理活动，包含管理的态度、方法、程序以及其他足以确保企业达到下列目标的评量措施。这些目标包括：

⑴      配合战略目标，使各项作业均能有条不紊，且更经济有效地运作，提高产品与服务的质量；

⑵      保护资源，以避免因浪费、舞弊、管理不当、错误、欺诈以及其他违法事件而遭致损失；

⑶      遵循适用的法律、规章以及各项管理规定；

⑷    提供值得信赖的财务资料，并能适时、适切地披露有关信息。

    2004年3月美国PCAOB(上市公司会计监督委员会)发布的审计准则No.2中仍然推荐使用COSO报告中的内部控制整体框架，意味着现实条件下内部控制的目标仍然强调的是营运目标、报告目标及遵循性目标。2004年9月，COSO委员会在其发布的《企业风险管理框架》中，把内部控制的目标分成了四类：

⑴战略目标，这是最高层次的目标，与企业的使命相关联并支持其使命；

⑵经营目标，指有效和高效率(效率与效果并重)地使用资源；

⑶报告目标，指报告的可靠性；

⑷合规目标，指遵守适用的法律、规章以及各项管理规定。

从内部控制理论研究的历史演变过程来看，我们可以将内部控制研究的视角归纳为：程序(方法)论、制度论、组织(协调)论、系统论、过程论。虽然COSO框架对内部控制作出了一个比较综合的界定，但就其本质上看仍然属于过程论的范畴。2004年9月COSO《企业风险管理整合框架》，在内涵上将原COSO报告的内部控制五要素扩展为八要素，既体现了对1992年COSO框架的超越，又反映了内部控制的转型，尤其强调了董事会和管理层在目标设定、风险确认与评估以及风险管理策略选择等方面的突出作用，同时明示彼等对于企业的经营成败应负完全责任。

翻阅COSO报告的新旧版本，其宗旨在于任何组织、企业的通用原则以及避免对使用者在设计内部控制制度时的误导，所以都只做概括性、纲领一般提出了内部控制的整体框架，至于如何保证这种框架性意见在企业中得以执行，除了在内部控制评估参考列表之外，并没有给出可操作的实务性途径，必须由企业、组织自行理解领会，参酌环境与企业特性，自行设计一套适用于本企业的内部控制制度并予以落实、评估。有鉴于此，2008年中国财政部颁布了《企业内部控制基本规范（试行）》，内容明确标注:内部控制目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，促进提高经营效率和效果，实现企业可持续发展战略。我国有关“内部控制”的教材和文献中，一般提两个方面，每个方面有三项目标，共六项目标：

㈠会计控制目标

(1)保财产物资的完整性。 

(2)保证会计信息的准确性。

(3)确保财务活动的合法性。
㈡管理控制目标

(1)保证生产经营活动的经济性、效率性和效果性。
(2)保证国家法律、法规的遵守执行。

(3)保证经营决策的贯彻执行。

    这些目标是高度概括了的目标，应该说对任何企业都是适用的；值得注意的是这个目标体系，不仅与2001年财政部设定的控制目标不同，而且同其他国家的内部控制目标相比较也有自己的特点。

顺应国际管理的新思潮，内部控制管理体系——尤其是内部审计部门的定位与作业，更趋向于内部顾客服务的角度，此更足以体现内部控制制度是一种激励机制，管理体系融合了目标管理理论、工作动机理论、激励理论…等等，其重点是在诱导人的事前行为；众所周知，一个好的管理机制应该诱导成员及所有利益相关者选择合理、向善的行为，而不是只约束一部分人的背离、乖戾行为，内部控制是事前的引导管理而绝非事后的纠错处置，美国国家标准及技术协会(NIST)支持的马尔科姆?鲍德里奇国家质量奖(MBNQA)评价标准的重点目标更强调客户的满意度。

w不同视角和导向的内部控制
　　早期的内部控制主要是内部牵制，以保护财产安全、完整和账目记录真实、可靠为主要目的。内部控制最初并非产生和应用于企业领域，而主要是为国库、庄园等使用。直到中世纪出现商业组织以后才开始在企业中得到应用。伴随着社会经济的变革和企业组织的发展、变化，人们对内部控制的概念和作用逐渐形成了不同的认识，内部控制的实践应用更是呈现出多样化的发展态势，并导致内部控制理论和实践的分野，形成了不同视角、不同导向的内部控制理论和实践。
　　梅加(Maijoor，2000)将内部控制的研究分为三个部分：

㈠审计学视角的内部控制，主要关心业务循环和交易层面的内部控制，属于微观内部控制；

㈡组织管理视角的内部控制研究，主要关注对内部单位和部门的控制(如预算控制)，将控制作为管理职能的一个领域，实际上研究的就是管理控制，属于中观内部控制；

㈢经济学视角的内部控制研究，分为两个方面：⑴以交易成本经济学为基础，研究的问题跨越中观、微观两个层面，如交易特点和控制形式、市场与企业的关系、企业内部的组织形式选择等；⑵以委托代理理论为基础的内部控制研究，主要研究外部投资者与企业内部管理者之间的关系，属于宏观层面的内部控制。
　　由于至今人们对内部控制的基本概念尚没有一个统一的定论与认知，因此，百家齐鸣出现上述不同视角的内部控制也是理所当然。事实上，作为一个专门术语，“内部控制”更多是在会计学、审计学领域中被使用，我们经常引用的内部控制概念也都是来自于会计、审计领域的研究成果；而在管理学中更多使用的是“管理控制”；在经济学中则更多使用的是“企业控制”或“公司治理”。梅加所提到的组织理论视角的内部控制研究实质就是管理控制研究；经济学视角的内部控制研究实质上就是公司治理研究。内部控制、管理控制、公司治理都是一种控制活动，只不过它们各自的控制目标、控制主体、控制环境、控制对象和控制方法有所不同而已。对此，审计学、管理学、经济学都从各自的视角对其作出了界定。似乎并没有什么问题。但是，对每一家企业来说，是否需要同时建立上述三种控制体系呢？如果不必那样，那么应当如何去构建企业的控制体系呢？对于这一问题，单从上述任何一个视角去研究，永远不会得出一个统一的结论。必须跳出巢臼，站在一个更高的高度去研究企业的活动及其控制。
w对企业本质的重新认识
　　不论是哪一视角的内部控制，其性质都是一种制度设计与安排是、都一种过程活动。任何一种制度安排都必须与其所处的环境相适应，必须以环境分析为立足点。对于企业内部控制来说，其研究设计必须考虑企业所处的外部环境和内部环境，前者是指企业所处的政治、经济、社会、科技和文化环境；后者则是企业自身的特点。与企业会计准则相比，内部控制标准的技术属性相对较低，而社会属性相对较高；因此，企业内部控制标准需要更多地考虑各国不同的政治、经济、社会、科技和文化环境，不能简单趋同，更不能盲目照搬。撇开企业外部环境不谈，每一个企业的内部环境也是千差万别的，因此，不可能有一种能够适应所有企业的内部控制制度。不过，这并不意味着制定内部控制标准是徒劳的。关键是内部控制标准应当定位于内部控制的一般原则和基本框架，而不是某种具体的操作模式。为此，我们需要对形形色色的企业的本质有一个高度的概括。
　　现代企业管理理论认为，企业的本质是一系列契约的组合。但是，这种概括对企业管理研究的助益不大，而利益相关者理论和集体选择理论的论证，则可为我们在深化企业管理的研究过程提供强有力的支持；如果从利益相关者理论和集体选择理论的角度进行分析，构成企业的各种契约也就是作为缔约主体的企业利益相关者的集体选择，换言之，企业的本质是企业利益相关者的集体选择；也就是参与这种集体选择的利益相关者(企业契约的缔约主体)将通过集体选择确定彼此的共同利益，并对这种共同利益的追求决定了企业的目标。
　　事实上，并非企业的所有利益相关者都能够参与企业的集体选择或成为企业契约的缔约主体，因此，我们可以按是否能够参与企业的集体选择将企业的利益相关者分为两大类：

1.企业内部的利益相关者，这类利益相关者实际参与企业的集体选择，他们是企业的共同利益和目标的制定者；并力图通过他们的合作实现这一共同利益和目标。企业内部利益相关者的共同利益和目标体现的是企业价值链的商业价值，分享这一商业价值的主体也正是这些内部利益相关者。

2.企业外部的利益相关者，该类利益相关者无法直接参与企业的集体选择，但由于企业的活动会对他们的利益产生直接影响，即他们承受的是企业经营的外部性，这种外部性体现了企业的社会价值。因此，企业外部利益相关者既是影响企业商业价值(内部利益相关者价值)实现的环境因素，同时也是分享企业社会价值的利益主体。企业内部利益相关者通过集体选择产生的外部性与企业外部利益相关者发生联系。
　　在此，需要强调的是：参与企业集体选择的利益相关者并非一成不变，而是随着企业的发展变化不断变化，并由此导致企业组织形式和企业共同利益的变化，从而使企业内部利益相关者和企业外部利益相关者也处在动态调整的过程之中。原来是企业内部利益相关者的，可能演变为企业外部利益相关者；而原来是企业外部利益相关者的。则可能转化为企业内部的利益相关者。
　　企业内部利益相关者决定了企业经营的领域。随着企业内部利益相关者的变化，企业的经营的领域也在不断地进行调整。在不同的企业中，企业内部和企业外部利益相关者的结构可能极不相同。例如。在传统产业中，企业内部的利益相关者可能只包括有限的几名出资人，他们的共同利益是企业实现的净利润，其他利益相关者(包括供应商、顾客、经营者、员工、债权人、政府等)都是企业外部的利益相关者。在这样的企业中，企业经营的目标是最大化出资人的共同利益——净利润。接受负面函数导引，追求出资人利益最大化往往意味着供应商、顾客、经营者、员工、债权人、政府等利益相关者利益的最小化。在缺乏商业道德的制约时势必会造成企业外部利益相关者和企业内部利益相关者之间利益的对立和冲突，这种对立和冲突往往会导致企业陷入困境的风险，甚至于无法持续经营下去。为了化解这种对立和冲突，越来越多的企业开始将经营者、雇员等其他利益相关者纳入企业内部利益相关者之列，在这种情况下，企业的共同利益即企业的目标就不再是净利润，而变成了某种新的价值增值指标，如增值额。
　　由此可见，企业内、外利益相关者构成的多样性和动态性使得企业的共同利益(或企业的商业价值、内部利益相关者价值)可能表现为多种形式。当决定企业目标的内部利益相关者只是股东这一类利益相关者时，企业的商业价值就是股东价值，其价值增值指标就是净利润；但当决定企业目标的内部利益相关者范围进一步扩大时，企业商业价值的内涵和外延也会随之扩大，而企业社会价值(企业对外部利益相关者的价值)的内涵和外延则随之缩小。当企业内部利益相关者不仅包括股东，而且还包括债权人、经营者、员工、政府等利益相关者时，即实现利益相关者共同治理时，企业的商业价值就变成了一个广义的利益相关者价值，此时的企业价值增值就变成了由企业从客户取得的收入扣除从供应商取得的投入后的余额，在数额上相当于净利润加上利息、工资、奖金和福利、税收等。因此。股东价值只是利益相关者价值的一种表现形式，利益相关者价值具有更为丰富的内涵，现实企业的价值追求则处在以股东价值和广义利益相关者价值为两极的中间地带。
w公司治理和企业管理的有机统一体：企业价值创造和分享系统
　  企业内部控制目标如何定位?不言而喻，它应服务于企业的目标。但是。现有理论通常把公司治理和企业管理作为两个不同的事物看待。因此，也就会有经济学视角的内部控制和管理学视角的内部控制之分。公司治理和企业管理完全是泾渭分明的两套系统呢，还是可以形成一个有机统一体?这一问题是影响企业内部控制目标如何定位的一个关键问题。
　　对于公司治理和企业管理的关系，国内外的学者都有过不少的论述。Tricker(1984)认为：管理是运营企业，而治理则是确保这种运营处于正确的轨道之上。Kenneth N.Davton(1984)指出：公司治理是被董事会用来监督管理层的过程、结构和联系。企业管理则是管理人员确定目标以及实现目标所采取的行动。公司治理和企业管理既有联系，也有区别，如同一枚硬币的正反面。谁也离不开谁。Banaga(1995)等人指出：应该将公司治理与企业管理综合起来加以研究，并提出了一个描述性模型。田志龙(1999)借鉴Banaga的思路，构造了一个公司治理与企业管理的整合分析模型。在这个模型中，他通过两个系统把公司治理系统和企业管理系统联系在一起，一个是企业外部环境系统，包括政治、经济、社会文化、顾客、供应商、竞争对手、资本市场等因素；另一个就是企业信息网络系统，认为它应是公司治理系统与企业管理系统的共同组成部分和赖以有效运作的基础。就企业终级目的而言，公司治理和管理均是为了实现财富的有效创造，只是各自扮演不同层次的角色。公司治理模式主要考察的是：构成公司的各相关利益主体之间的责权利的划分以及采取何种手段实现相互间的制衡，它是企业财富创造的基础和保障；企业管理则是在既定的治理模式下，管理者为实现企业的目标而采取的行动。这是财富创造的源泉和动力。两者间的联结点就是企业的战略管理层次。
　　进而言之，公司治理与企业管理实质上是密不可分的；体现在战略管理层次上更是这样。正如Kenneth N.Dayton所说：“公司治理和企业管理，就象一枚硬币的正反面，谁也离不开谁”。企业是利益相关者集体选择的结果，作为契约主体的各利益相关者一方面向企业投入资源；另一方面又参与企业经济利益分配，从企业获取回报。公司治理是利益相关者对他们相互之间的关系所做的调节和控制，既包括利益相关者在资源提供方面的关系，同时包括利益相关者在利益分配中的关系。公司治理的目的就是要达到利益相关者关系的最优化，此最优化标准的唯一性就是最具有公平性和效率性；而企业管理则是一个价值的创造过程，企业管理的目标应当是企业价值(或内部利益相关者价值增值)最大化。企业管理通过合理组织和利用各方利益相关者所投入的资源，实现价值的增值和价值创造的过程；其目标是企业价值增值的最大化。由此可见：没有公司治理，就不会有利益相关者之间的合作，也就不存在可供企业管理运用的资源，价值创造更无从谈起；如果没有企业管理，利益相关者投入的资源就不会有效增值，利益相关者的经济利益就无法保障，利益相关者的合作难以持续，公司治理也将化为泡影。因此，跳出迷宫看迷宫、跳出企业来看企业，公司治理和企业管理实质上是一个有机统一体，这个统一体可以概括为“企业价值创造和分享系统”。
w企业价值创造与分享系统的核心内容
　　 进一步审视公司治理与企业管理所组成的“企业价值创造和分享系统”，不难发现。虽然不同的企业所追求的企业价值有所不同，企业价值的分享方式也有差异，但是，追求企业价值最大化和企业价值分享关系的最优化却是所有企业的共同追求，这正是企业价值创造和分享系统的核心所在。企业内部控制的目标应当紧紧围绕这一核心展开。
　　如何创造更大的企业价值?价值链管理理论告诉我们，企业的价值链可以分为外部价值链和内部价值链。从外部价值链来看。价值链上各主体之间并非一方受益而另一方蒙损的零和博弈，通过实施价值链管理，改善价值链上各主体间的关系，实行价值链各主体间联合运作，常常可使各方均得以受益。因此，实施价值链管理的企业有可能通过建立基于共同利益的协作伙伴关系，先增加整个价值链的增值，然后再通过合理的价值链增值分享实现各主体(包括企业、企业的各外部利益相关者)的价值增值的增加。需要指出的是，在价值链增值的创造和分享中，企业的内部利益相关者是以一个整体(其利益由企业来代表)出现的。
　　企业要在整个价值链的价值创造中作出贡献，并以此为基础分享更大的价值链增值从而实现更大的企业商业价值，就必须对企业内部的价值链进行管理。从企业内部价值链来看，企业的价值链增值或企业价值增值可分解为各流程的增值(流程产出价值一流程投入成本)。进一步分析，流程的运作是以作业为对象的，因此流程增值又可分解为各作业的增值(作业产出价值一作业投入成本)。或者说，在企业内部价值链中，流程中的作业增值汇总成该流程的增值。而各流程增值则可汇总成企业价值增值。
　　由此可见。企业价值增值的大小取决于企业各项流程的增值以及组成流程的各项作业的增值大小。而要提高各项流程和作业的增值能力，就必须实施业务流程管理。业务流程管理是一种重要、有效的企业经营管理方式，它是以流程及流程中的作业为控制对象。通过流程或作业的精简、删除、合并等措施，重整不合理的业务流程，删除不增值的作业，以此来优化企业的业务流程，从而创造更大的价值增值。
　　价值链管理与业务流程管理有着天然的联系。两者都是在企业价值增值最大化目标的指引下，以作业为最基本的控制与分析对象，从不同层面对企业增值能力实施改进。企业要实现更大的企业价值增值，必须将价值链管理与业务流程管理有机地联系起来，建立一个基于价值管理的企业经营管理框架。
　　实现的企业价值增值如何在内部利益相关者之间分享?显然，在企业的商业价值(即企业内部利益相关者的整体利益)一定的情况下。各个内部利益相关者的经济利益是相互制约的，因此每一个内部利益相关者追求自身利益最大化的过程必然会与企业的其他内部利益相关者追求自身利益最大化的过程发生矛盾和冲突。为了保证内部利益相关者合作的公平性和效率性。就必须建立一套制度。对内部利益相关者之间经济利益的矛盾和冲突进行协调。这种制度的核心内容就是企业价值增值分享制度。需要强调的是，由于企业外部利益相关者分享的是企业的社会价值。而这种价值分享是在价值链增值分享阶段完成的。实际上是由企业与外部利益相关者之间签定的交易契约来实现的，交易价格的调整实质上就是企业与其外部利益相关者之间在分享价值链增值中利益关系的调整。而内部利益相关者对企业商业价值增值的分享，不是由交易契约来实现的，约束企业商业价值分享的契约是内部利益相关者之间达成的组织契约。尽管内外利益相关者参与价值分享的契约形式有所不同，但是在市场经济条件下，应最大限度地保护契约自由，只要这种契约不会侵害签约主体之外的其他利益相关者的利益，即体现了社会公平。则任何形式的商业价值、社会价值分享契约都应得到社会的尊重和认可，并理应受到法律的保护。而不应当通过法律加以禁止或给予不合理的限制。
　　商业价值、社会价值分享契约不仅由于企业内部利益相关者可以有多种不同的组合，而且即使在内部利益相关者的组合一定的情况下，由他们的集体选择所达成的商业价值分享契约也可以有多种结果。因此。在企业价值增值(或商业价值)的分享方面可以有多种不同的组织契约。只要这些契约没有侵害外部利益相关者的正当利益。这些契约都体现了契约自由和社会公平，因而应得到社会的尊重和认可，并理应受到法律的保护。五、公司治理和企业管理的信息需求能否调和
　　不论是公司治理，还是企业管理，都离不开信息的支持。在企业信息系统中扮演重要角色的会计信息系统，更是公司治理和企业管理系统赖以运行的重要基础。但是，长期以来，会计信息系统被分割为侧重于对外报告的财务会计系统和侧重于对内报告的管理会计系统两个部分。前者主要满足企业外部利益相关者参与公司治理的信息需求；而后者主要满足企业经营管理者进行企业管理的信息需求。难道公司治理的信息需求和企业管理的信息需求真是那么不可调和吗?
　　基于前面对公司治理和企业管理关系的分析，笔者认为，公司治理和企业管理的信息需求可以在企业价值增值创造和分享上得到统一。参与公司治理的各方利益相关者为了对相互之间的利益关系进行调整和控制，不仅需要了解企业价值增值的规模和分享结构的现状，而且还需要了解企业价值增值创造的能力和潜力，从而便于他们在利益相关者之间的利益关系调整和控制中作出正确的决策。而要了解企业价值增值创造的能力和潜力。就必须获得这些价值增值的来源和形成过程的信息，而这正是企业管理者最为关注的。因此，一个能够同时提供企业价值增值的来源、形成过程和分配去向信息的财务报告系统就能够同时满足公司治理和企业管理的信息需求。
　　目前已有的关于财务报告改革的研究，多是从公司治理或企业管理的局部来探讨财务报告的改革，所提出的模式不是缺少对企业价值增值过程的揭示，就是缺少对企业价值增值在利益相关者之间分配状况的揭示，使信息使用者无法得到关于企业价值增值创造和分享的全面信息，因此。也无法改变公司治理和企业管理分别依赖于两套不同财务报告的格局。这种状况不仅加大了企业信息生产和监控的成本，而且两套不同的信息也阻碍了公司治理和企业管理的渗透和融合，不利于公司治理和企业管理效率的进一步提高。因此，设计一种既能够全面揭示企业价值增值的形成过程和分配状况，又能够对各类利益相关者分别作为权益主体所享有的权益做专门揭示的财务报告，将有助于实现公司治理与企业管理的有机结合，而内部控制则应把保障这种财务报告的真实可靠作为一个基本目标，从而为企业价值增值创造和分享系统的有效运行提供支持。
w企业内部控制的目标定位
　　 美国COSO于1992年发布了《内部控制——整合框架》，1994年又对该框架进行了补充修订。《内部控制——整合框架》将内部控制定义为“一个受董事会、管理者和其他人员影响的过程，这个过程是为以下目标的实现提供合理保障：经营效率和效果、财务报告的可靠性和遵守法律法规”。2004年9月，COSO正式发布了《企业风险管理——整体框架》。报告中对内部控制的内涵定义得更宽泛。其内容认为：企业风险管理是一个过程，是由企业的董事会、管理者以及其他人员共同实施的。应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。在目标定位上，《企业风险管理——整体框架》在《内部控制——整合框架》提出的三个目标基础上，增加了一个战略目标，即与企业的远景或使命相关的高层次目标，而且对报告类目标有所扩展，即：不仅包括财务报告的可靠性，还包括所有对内、对外发布的非财务类报告的准确性、可靠性。吾人认为：虽然《企业风险管理——整体框架》比《内部控制——整合框架》的目标设置更加全面，且层次更高。但其仍然存在以下不足：1.控制主体仍然局限于企业的董事会、管理层以及其他人员。而没有拓展到股东及其他利益相关者，即：仍然是将公司治理与内部控制、风险管理割裂开来，没有真正形成一个完整的企业控制体系。2.对风险的过分关注会影响企业的灵活反应和创新能力。

特定内部控制的目标应针对组织内部的每一活动来制定，并且应当是适切、易于理解及合理的，并与整个组织目标相符合。控制目标是管理阶层计划达成的正面效果，或意图避免发生负面的效果。为发展特定控制目标，首先应对所有活动进行大致的分类。然后在每一分类内，将活动划分成一组或多组重复发生的活动过程，以利于处理特殊的交易或事件等关键过程的关键性控制。这些组合应配合企业的组织结构及其责任的划分。企业的活动大致可分为：①管理活动；②经营活动；③财务活动；④行政活动。为发展控制目标，对例行重复发生的活动必须加以认定与分析。

　　我国目前正在加紧进行企业内部控制标准体系的建设。我国企业内部控制标准的制订应当体现出中国的特色，并顺应公司治理和企业管理的历史发展趋势，从而使内部控制管理体系更具有实用性、科学性、前瞻性与全面性。我国的公司治理与美国企业的公司治理具有很大的差异，我国《公司法》要求企业既设立董事会，又设立监事会，而且赋予了监事会在公司治理和内部控制方面较多的职责和权限。如：检查公司财务；对董事、高级管理人员执行公司职务的行为进行监督，对违反法律、行政法规、公司章程或者股东会决议的董事、高级管理人员提出罢免建议；当董事、高级管理人员的行为损害公司的利益时。要求董事、高级管理人员予以纠正等。《公司法》还为监事会行使职权提供了法律保障，规定：监事会、不设监事会的公司的监事发现公司经营情况异常，可以进行调查；必要时，可以聘请会计师事务所等协助其工作，费用由公司承担。除重视股东利益的保护外，我国法律也一直十分重视对员工权益的保护。我国《公司法》规定：两个以上的国有企业或者两个以上的其他国有投资主体投资设立的有限责任公司，其董事会成员中应当有公司职工代表；其他有限责任公司董事会成员中可以有公司职工代表。监事会应当包括股东代表和适当比例的公司职工代表，其中职工代表的比例不得低于三分之一，具体比例由公司章程规定。董事会、监事会中的职工代表由公司职工通过职工代表大会、职工大会或者其他形式民主选举产生。因此，我国企业内部控制标准体系的设计必须统筹考虑股东会或股东大会、董事会对上市公司来说还包括独立董事、监事会、管理层、员工等在内部控制中的职权和分工，而不能象美国那样仅考虑董事会和管理层。
　　有鉴于企业的数量众多，类型也是多种多样，各个企业的目标追求更可谓千差万别。要制定一套具有广泛、长期适用性的内部控制标准体系，需要在企业内部控制的目标定位上具有高度的概括性，既要立足于现实，又要兼顾长远的发展。从现阶段来看，保证财务报告的真实、可靠或许是企业内部控制体系建设需要突出关注的目标；然而以高瞻远瞩思维观之，内部控制的目标更应当把企业战略与经营的效率和效果作为重点考虑的目标，把保障企业目标的实现作为其基本的目标。为此，基于前面所述，笔者认为企业内部控制的内涵定义为“企业内部利益相关者及其代理人实施的、旨在合理保证、实现以下基本目标的一系列控制活动：1.企业价值创造活动的合法性和有效性；2.企业价值增值分享的公平性和合理性；3.企业价值创造和增值分享信息的真实性和可靠性”。

w结语
相关于内部控制目标设定课题的探讨，以及对于内部控制实践的价值至少可以体现在如下几个方面：
一、内部控制目标为企业内部的控制行为规定了统一的方向。
二、内部控制目标可以起到凝聚人心的作用。
三、内部控制目标可以加强员工对组织的认同感。
四、内部控制目标可以提高控制效率。
五、内部控制目标有助于在企业形成规范的工作秩序。
六、内部控制目标为考核控制效率、内外部审计提供了依据。
    吾人主张企业全面控制的目标应该与社会发展和企业发展目标相一致。就企业的内部控制管理体系架构而言，至少应该与企业的管理目标相一致。在实际工作中全面控制的目标不能固定而导致僵化，必须因缘于主体、需要的不同而不同。单位的规模、性质不同，控制目标就不同，就是一个单位具体控制活动的目标也是不同的，各有侧重。就单位的全面控制目标，总体目标是控制风险，促使组织目标的实现，具体的目标因需要的不同而不同，可根据需要分以下层次：
第一层次的目标是保障经营活动的合规合法性，保证法律法规的遵照执行；第二层次的目标是防弊纠错，保证财产物资的安全，保证会计信息的及时与真实；
第三层次的是建立健全符合现代企业制度要求的法人治理结构，形成科学合理的决策机制，促进提高经营管理的效率和效益，实现发展战略和经营目标；
第四层次的预防和控制各种错误和弊端，及时采取有效纠正措施，防范经营管理中的各种风险。
       以上的第一、二层是与会计审计需要相关的控制目标，第三、四层与治理、管理、风险需要相关的控制目标。值得注意的是：每个内部控制目标之间是相互联系的，不可能绝对的分开来。其次，设定内部控制目标，如果就管理实务来说，工作量可能比较大、比较复杂，因为有很多数据需要进行统计和分析。按照笔者的认识，在界定内部控制的目标时，所遇到的困难主要在于如下方面：
1．如何把握内部控制目标的“合理性”；
2．如何认识内部控制目标的全面性；
3．如何把握内部控制目标的实现程度；
4．内部控制目标“经验性”与“科学性”的分野等等。