前言：“一毫财赋之出，数人之耳目通焉”，我国古代社会的西周时期即建立了内部控制制度，这是我国历史上最早的防范贪污舞弊的交互考核控制办法，体现着钱、财、物三分管的理念。时光荏苒，内部控制的内容和形式早已大为不同，现代的内部控制既服务于公共治理更服务于微观个体的治理，以后者的内部控制为主。

　　2013年6月，《中国上市公司2013年内部控制白皮书》对外披露。这份报告选取沪、深交易所A股2469家上市公司作为分析样本，分析对象为2012年上市公司公开披露的年报、内部控制评价报告、内部控制审计报告。占样本总数约90%的上市公司披露了内部控制评价报告，这其中99%的公司内部控制评价结论为有效，33%的公司披露了内部控制缺陷认定标准，22%的公司披露自身存在内部控制缺陷。披露了内部控制审计报告的上市公司占比60%，这其中62%的公司披露的是规范的内部控制审计报告，32%披露的是内部控制鉴证报告，1.53%披露的是内部控制专项报告，1.46%披露的是内部控制审核报告，2.59%披露的是中小板内部控制审计报告。


　　一、建设之路
　　此时，距离2008年6月《企业内部控制基本规范》的发布正是五周年之际。五年时间，我国内部控制体系建设在上市公司中推进，取得了不小的进步，内部控制评价报告、内部控制审计报告的披露数量和披露比例均在增加，内部控制的信息披露质量也在提升。

　　2008年6月，为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，维护市场经济秩序和社会公众利益，财政部会同证监会、审计署、银监会、保监会共同颁布了《企业内部控制基本规范》。《基本规范》是我国企业内部控制的纲领性文件，其发布标志着我国取得内部控制体系建设的阶段性成果。它给我国企业的经营活动提供了一个通用的平台，以法律文件的实施提升公司财务状况的透明度，强化管理者的信托责任意识，其创新点在于超越会计问题，从企业管理的视角看待内部控制问题，不再局限于财务报表审计，这对于企业改善经营管理和提高风险防范能力意义重大。

　　2010年4月26日，财政部、证监会、审计署、银监会和保监会共同发布了《企业内部控制配套指引》。此次发布的《配套指引》包括《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》。《配套指引》与《基本规范》共同构成了既适应我国企业实际情况，又融入国际先进经验的内部控制规范体系。该体系架构成熟、体系完整、内容丰富、指导明确、方法科学，改变了以往内部控制法规政出多门、各辖一隅的局面，不仅提高了企业建立健全内部控制的效率和效果，还为企业节约了合规成本，是我国会计改革与发展史上一座新的里程碑。2012年8月，财政部、政监会出台《关于2012年主版上市公司分类分批实施企业内部控制规范体系的通知》，明确了内控审计在上市公司分步实施的时间表。

　　对内部控制的关注最初源自企业自身对规范化管理和股东掌握企业运营准确信息的需要，最重要的外部推动因素是外部审计师审计财务报表的需要。在我国，内部牵制制度早已有之，但是直到改革开放前，关于企业内部控制建设基本上还是处于空白。改革开放后，企业自负盈亏、自主经营，提供了加强内部控制，健全运营机制的必要性。此时，我国的内部控制开始出现内部会计控制和内部管理控制之别，主要通过形成和推行一套内部控制制度来实施控制。内部控制的目标除了保护组织财产的安全之外，还包括增进会计信息的可靠性、提高经营效率和遵循既定的管理方针。

　　1986年财政部颁发《会计基础工作规范》，其中对内部控制作了明确的规定，开始把控制环境作为一项重要内容与会计制度、控制程序一起纳入内部控制结构之中，并且不再区分内部会计控制和管理控制。1999年《会计法》进行第二次修改时，开始关注内部控制，虽然未明确提出内部控制的概念，但其中有关职责分明、经济事项审批、执行、管理相互分离、相互制约、相互监督的法律要求，符合内部控制定义的内涵，反映了内部控制的本质。2001年6月至2003年10月的两年多时间里，鉴于全球财务舞弊事件频繁发生，对内部控制的关注及要求不断加强，我国加快了内部控制规范与标准建设的步伐，财政部先后发布7项内部会计控制规范，就内部控制中的会计方面进行了初步尝试。2001年财政部发布了我国首个内部控制规范标准，《内部会计控制规范——基本规范》，与其同时发布的还有在企业运行过程中风险最大必须重点控制的资金，即《内部控制规范——货币资金》，内部控制规范标准的建设开始进入决策者的视野。2004年，我国内部控制规范标准的建设再次提速，先后发布了《企业内部控制规范标准——固定资产》、《内部控制规范标准——存货》、《内部控制规范标准——筹资》、《内部控制规范标准——担保》和《内部控制规范标准——对外投资》等五项具体规范标准。至此，一个由基本控制规范统驾，涵盖企业主要业务的具体控制规范标准体系初步得以建立。

　　2006年中国企业会计准则体系的发布，对企业内部控制提出了更高的标准和要求。一方面，企业会计准则体系的贯彻实施要以坚固的内部控制制度为基础，两者配合呼应，相辅相成。另一方面，我国企业要走出国门，必须先练好“内部控制健全”这门内功。2006年7月15日，随着“企业内部控制标准委员会”的成立，新时期我国企业内部控制体系的建设拉开了序幕。以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，该机构由30多位来自监管、实务和理论界的专家学者共同建立结构合理、内容完整、方法科学的内部控制标准体系。其目的是通过实施内部控制，完善治理结构，规范权力运行，强化监督约束，有力促进企业实现战略目标、提升营运效率、提高信息质量、保证资产安全。我国在较短的时期内，已构建了涵盖主要行业的内部控制标准体系，这些行业体系为有效化解企业风险，促进企业的健康发展等方面，发挥了一定的作用。

　　随着我国关于内部控制的法律法规逐步完善，监管机构对上市公司实施内部控制体系的日益重视，以及上市公司积极建立健全自身内部控制体系，我国上市公司的内部控制水平呈逐年提升的趋势。2008年我国上市公司的内部控制总评的均值为20.23，2009年为21.25，2010年为26.01。2010年上市公司的内部控制整体水平比2009年提升了22.40%，比2008年提升了28.57%。2011年初，证监会确定了这一年的内部控制实施及试点上市公司名单共274家，涵盖了不同行业、地域和规模的上市公司，内部控制整体水平与2010年相比又提升了20.34%。
内部控制建设也在行政事业单位破冰启程。2012年12月，财政部发布了《行政事业单位内部控制规范（试行）》，此规范于2014年1月1日起施行。财政部希望通过实施《规范》，促进行政事业单位自觉提高内部管理水平，从经济活动风险管控的角度落实廉政风险防控的要求。

　　《规范》不是对现行管理规定的汇编，其重点在于机制建设，要求行政事业单位把握客观规律，将制衡机制嵌入到内部管理制度中，在关键环节中渗透有效抓手，从而增强制度的可操作性，提高制度的执行力。其业务层面的内部控制包括预算业务控制、收支业务控制、政府采购业务控制、资产控制、建设项目控制以及合同控制，涵盖了行政事业单位最主要的经济活动，建立了审核措施、沟通协调机制、议事决策机制等风险管理措施，并单独新增设“评价与监督”的章节，明确了行政事业单位财务监督的内容、形式，提出了建立健全财务监督制度和依法接受外部监督的要求。其中包括，通过建立议事决策机制来防范资源配置时的“一言堂”；通过健全岗位责任制，规定不相容岗位相互分离，实施内部监督，来防止发生贪污、挪用国有资产的事件；通过建立预决算、政府采购、资产管理等部门间的沟通协调机制，形成控制合力，使资产得到合理配置和有效使用；通过建立关键岗位工作人员的培训、教育、评价和轮岗等机制，促使其牢固树立风险防范意识和拒腐防变的思想道德防线，自觉依法履行职责、维护公共利益。

　　医院、高校作为行政事业单位中具有代表意义的两个行业，已在探讨和实践内部控制建设。随着医疗保险和高等教育的普及，部分大型医院和高等院校每年资金往来数十亿甚至达到上百亿，新修订的《医院会计制度》和《高校会计制度》明确了权责发生制的会计基础，使得它们的资金规模、管理方式、核算方式与企业最为接近。
　　一位不愿具名的医院财务部门负责人说，医院建立内部控制制度应遵循的原则为相互牵制原则、协调配合原则、程式定位原则、成本效益原则、整体结构原则。在医院的实际工作中，岗位设置、重大经济事项决策、权限审批、会计核算已体现了内部控制的理念，只是尚未形成系统、完整的制度。中国人民大学商学院教授林钢说，全面风险管理不是企业的“专利”，高校本身是一个多风险的集合体，其风险遍布于高校的各个工作领域、每件大小事务和每项工作流程之中。内部控制为高校保驾护航，应该是调动全员力量进行全方位、全过程的风险管控的过程。由于以往高校生存环境与企业相比较为宽松，使得其内部控制实践落后于企业，停留于较低层面的局部风险管理层面上。而随着情势的改变，高校内部控制升级换代的紧迫性才日益显现，因此从这个角度而言，向全面风险管理转型实际是高校内部控制的本位回归。



　　现实之需
　　当前，我国经济已进入从高投入、高消耗向科学化、精细化增长路径的转型阶段，具体到微观经济体，正在形成成本节约、效率更高的生存和发展模式。我国进入经济转型阶段，既有全球经济转型的共同背景，更有自身的特殊要求，经过改革开放30多年的发展，经济规模、经济结构发生了巨大变化，但是经济结构不平衡、不协调的问题仍然突出，严重地影响着经济社会的持续发展潜力。其中，经济增长的内生动力不足，自主创新能力较弱，产业结构升级压力大，产能过剩问题突出，经济社会发展不均衡等问题居于突出地位。2013年，中国经济面临着2008年全球金融危机以来最严峻的考验：外部环境中，存在美联储宣布QE政策“退场”、欧盟光伏反倾销等诸多复杂性因素；在国内，信贷、消费等刺激性政策实施以后，特别是信贷资金过度投放且结构严重不合理，对当前以及今后相当一段时期的经济，留下不少后遗症。

　　此时，我国内部控制建设亦处于一个需要质变的新时期，即由传统的防范型向新的增值型管理转变，从以往的财务报表事项审计为重心向风险管理和公司治理事项审计为重心转变，由为管理者提供服务向为公司、公众投资者提供服务转变，由监督、评价职能向保证、咨询职能转变。

　　由于安然、世通等系列公司舞弊案件的影响，本世纪初美国颁布了《萨班斯——奥克斯莱法案》（下称SOX法案），其中的103和404条款规定：上市公司首席执行官和首席财务官要对公司定期报告的真实性提供个人签字的书面保证；两者要负责建立和运作公司内部控制；两者要在提交定期报告的同时提供对内部控制有效性的评估报告；外部审计需要就管理者对内部控制的评估提供审计意见；上市公司必须设立审计委员会等。法律颁布后，有关监管机构做出一系列反映：纽约证券交易所提出上市公司治理新规则，其中一条为：所有上市公司必须设立内部审计，通过公司风险管理过程和内部控制持续评估向管理者和审计委员会提供服务。该规则获得美国证券交易委员会的批准，美国注册会计师协会、国际财务经理协会不断地为其成员提供有关公司治理、法律遵循和舞弊检查的指南，要求会计职业界和审计人员开发新的审计程序来恢复财务报告和审计在公众中的信心。上市公司会计监督委员会发布了第2号审计准则《与财务报表审计相关的基于财务报告的内部控制审计》，要求审计人员就财务报告的内部控制提交审计报告；SOX法案的相关原则和规则要求上市公司必须遵循内部控制规则，外部审计证明上市公司已采用了适当的内部控制以保证其财务报表的准确性；国际内部审计师协会在向美国国会提交的关于SOX法案的意见陈述书中表述：内部审计、外部审计、董事会和高层管理人员是有效公司治理的四大基石；内部控制的作用是监控、评估和分析公司的风险，审查信息和公司对法律、法规的遵守情况，向董事会、审计委员会以及高层管理人员提供风险已被分散、公司治理有效的保证。

　　英国在20世纪80～90年代也深受舞弊的困扰，围绕着公司治理展开了系列研究，其中以卡德伯利报告最为著名。它将内部控制置于公司治理的框架之下；建议董事应就公司内部控制的有效性进行详细描述并发表声明；外部审计师对上述声明进行复核和报告；审计委员会应对其进行复核；内部审计有助于确保内部控制的有效性，内部审计的日常监督是内部控制的整体组成部分等等。该报告不仅首开了英国公司治理历史的先河，而且就世界范围看也具有开创性。
上述举措说明，发达国家对公司财务信息、内部控制、风险管理和公司治理的监管日趋严格，董事会、管理层和会计师对于公司财务信息、内部控制、风险管理和公司治理的责任得到强化，内部控制在保证财务信息准确可靠、风险管理和公司治理有效性方面的作用空间得以扩大。我国经济发展阶段的转变与西方发达国家内部控制完善前后的前车之鉴，凸显我国开展以风险管理和公司治理为重心的内部控制建设的意义。

　　其一，适应公司发展规模化、架构复杂化的要求。规模化、复杂化表现为公司规模扩大化、管理层次多级化、经营区域广泛化、经营领域多元化、交易形式复杂化、公司管理软性化和技术手段复杂化等方面。内部控制因受托责任的需要而产生，又因受托责任的扩大而发展。当公司规模扩大、管理层次增多使委托代理关系变得复杂时，受托责任由财务领域扩展到经营管理，内部控制就要由内部财务审计延伸到管理审计、决策审计等领域，这既是内部控制发展的结果，也是受托责任关系发展变化的体现。公司复杂化使公司的经营风险大大增强，公司面临着传统经营模式下不曾有过的各种风险，例如多元化经营的风险、公司并购的风险、证券投资的风险、知识性员工管理的风险等。在实施全面风险管理的新背景下，内部控制承担着参与风险管理的特殊使命：协助公司高层管理者评估公司风险管理策略的适当性，系统鉴别公司所面临的风险，评估风险的潜在影响，评价风险管理的过程，就风险应对措施的合理性、风险监控的及时性、恰当性、有效性等信息进行有效的交流和沟通。

　　其二，内部控制全面转型是提升公司内外部监督水平的要求。内部控制产生的动因之一是辅助外部审计工作，降低审计成本，提高企业的竞争能力。如果说内部审计是公司自发性地针对财务报表事项进行审计以辅助于外部审计的话，那么，在新的历史时期，内部控制却是根据法律的要求辅助于外部审计从而降低审计成本费用。如前所述，根据SOX法案404款的规定，外部审计需要针对管理者对内部控制的评估情况提供审计意见。注册会计师对于内部控制的审计会引起审计费用怎样的变化？实证研究表明，内部控制审计对于审计费用有着显著的影响，在被调查的660家制造业公司中，接受内部控制审计的2004年平均审计费用比未接受内部控制审计的2003年高86%；2004年披露重大内部控制缺陷的公司的审计费用比没有该类缺陷披露的公司高43%。上述结果是针对有着相对比较健全内部控制的美国上市公司而进行研究的。而整体上，我国上市公司的内部控制更加薄弱，即便是海外上市公司其情况也不容乐观。在这种情况下，如果要求上市公司提供内部控制审计报告，则会显著增大被审公司的审计付费，披露出被审公司内部控制的重大缺陷，降低公司的竞争力，损害公司的社会声誉。即使考虑到国内公司内部控制普遍薄弱而暂时不执行该种审计，国内的海外上市公司却无法逃避SOX法案规定的影响。如何搞好内部控制建设，达到降低审计费用和被出示合格审计意见的效果，是海外上市公司的当务之急，也是国内公司的未雨绸缪之举。

　　其三，内部控制全面转型是强化公司治理的要求。公司治理是在所有权与经营权分离后，为协调各方利益关系，从治理机关设置、权责配置等方面来确定股东会、董事会或监事会、经理层等不同权力主体权力边界的一种机制。公司治理是一个大范畴，而内部控制是其中一环，两者之间存在着相辅相成的关系。合理的公司治理能为内部控制工作的开展提供直接的保障。审计委员会是公司治理的有机组成部分，其履行的职责包括监督内审工作的开展、复核内审工作计划、接受内部审计重大事项报告和建议内部审计师的选拔等。一个设置合格的审计委员会能保证内部控制工作的有效开展，能在内部控制与董事会之间架起直接沟通的桥梁。国外对于内部审计委员会的设置和职能的发挥已经形成共识。但我国2003年年初的一项调查显示，在深、沪上市的公司设立审计委员会的仅占20%左右，可以推测，非上市公司的这一比例会更低。这说明，我国公司治理还存在着较大的缺失，内部控制的保障机制远未到位。

　　其四，内部控制与公司治理相结合更能改善内部控制的独立性，提高内部审计监督的权威性。在公司治理的约束下，企业建立股东大会、董事会、监事会和管理层的公司架构，在实践中内部监督才有了隶属于董事会、管理层等各种不同组织结构的安排，在理论上理论界才能从事于内部控制组织结构效率的研究，最终形成了内部监督隶属层次越高其独立性越强、权威性越高的结论，为现实中内部控制组织结构的安排提供了理论上的指导。这说明，公司治理为内部控制组织结构安排提供了准备，设置合理的内部审计可以使内部控制充分发挥公司治理的效果；公司治理需要内部控制，而内部审计也需要在公司治理的发展中得到完善，两者是相辅相成的。

　　其五，面对IT新环境，企业资源规划在许多公司中得以运行，公司的信息系统变得日益复杂，传统的审计踪迹日渐减少，事后性审计的效果大打折扣。结果，内部控制和系统安全性变得更加重要，持续性审计被提到议事日程，审计人员需要设计新的审计程序来应对技术环境的变化。取代传统的财务审计模式，以内部控制和风险管理为重点的嵌入式审计监督模式的构建成为当务之急。




　　任重道远
　　“尽管内部控制是必需，但一些企业在内控建设方面的意识和积累还很薄弱，具体到推进企业内部控制的时候，往往会非常困惑。”复旦大学管理学院财务金融系主任、财政部会计准则委员会咨询专家李若山介绍说，当前有的企业对风险管理和内部控制的认识还比较浅显，要么理解成财务控制，要么理解成审计手段，一些企业都是在经营风险暴露之后才开始关注到这个问题。
　　据介绍，我国企业的风险管理存在如下问题：一是风险管理意识薄弱。由于管理者风险管理意识淡薄，片面追求发展速度，制定不切实际的目标或盲目扩展投资，使企业承受无谓的风险。二是企业治理结构存在缺陷。因为企业治理结构不规范，不能有效制衡管理层的强大权力，董事会没有或者不能负起监督管理层的责任。三是管控模式不合理。企业管控模式不合理，便无法有效控制企业风险。组织结构设计不合理，便不能建立有效的内控和相互制衡的机制。四是风险管理组织不健全。缺乏包含决策、管理和具体执行层在内的完整的风险管理组织，内部控制限于财务报表审计和经济责任审计，缺乏对风险管理情况的检查和监督。五是风险管理体制不健全。缺乏系统的成套风险管理体制来识别影响企业达标的风险，进行监控及管理。没有将风险管理的手段和内部控制程序融入到管理与业务的制度与流程中。
面对新形势下的企业风险管理和内部控制特点的变化，金蝶集团管控首席专家翁晓文总结认为，从“要我控制”向“我要控制”转变，如果企业内部控制更多的是来自监管部门或者股东的压力，现在应该是企业自我生存和自我发展的压力。由“会计控制”向“管理控制”转变，以前谈及内控，大家都认为是财务部门的事情或者最多是审计部门的事情，其他部门可以对其评头论足但是却不承担管理的义务，现如今企业的管理控制、风险控制是从企业的董事会到管理层到全体员工的，全员的管理过程控制。最关键的转变是从“结果控制”向“过程控制”转变，比如财务付款的安全性问题需要做大量的工作：是否建立资金的管理制度，是否设立了资金的管理人员，是否有一系列的岗位责任制，是否有预算或者资金的一系列信息管理系统等等，如果这些工作没有到位，则不存在过程控制，企业风险管理和控制就成为空话。从“标准控制”向“风险管理”转变，以往企业家为了内控而内控，没有把内控当成一个防范风险、堵塞漏洞，提倡管理效率的强有力的推动力，大多敷衍了事，而现在企业内控以风险管理为导向，使企业能更好的发展。他认为，集团管控应该体现为本级的控制和集团下级的控制，本级的控制就是集团应打造一个良好的控制环境，辅导下属企业建立一个有效的风险评估，持续有效的改进控制制度；而企业对下属企业的管控，如管理组织、管理思维等等，风险管理和内部审计也是一个重要的管理手段。内部控制从制度到实施将如何落地，如何建立起内部控制体系？翁晓文认为可以从四个方面着手：企业风险管理目标落地，风险管理业务流程落地，内部控制手段落地，风险指标绩效考核落地。

　　“中国企业推进内部控制体系建设是一场'中长跑’，明确内控体系是保障公司整体运行绩效的重要环节。”李若山说。他认为企业推进内部控制要分4个阶段进行，第一个阶段就是对企业的战略进行识别。当前我国企业大多数都还没有建立起内部控制体系，通过对企业战略的梳理，包括集团管控、业务特点以及业务环境等的识别，可以明确企业战略对内部控制体系建设的要求是什么，根据企业的战略，了解其内部控制的特点，风险集中体现在哪些区域。然后进行针对性的规划，确定内部控制体系建设的重心。第二个阶段是在企业战略目标的指导下，围绕内部控制的控制环境建设、风险识别、控制活动、信息与沟通、监督的具体要求，设计公司级的内部控制。第三个阶段是流程级和IT级内部控制体系的建设，这是内部控制的重点和难点。把通过战略梳理确定的关键风险区域归结成流程地图，对现有的流程进行描述，并找到这些流程中的风险点、现有的控制措施以及控制的缺失，从而制定内部控制措施、风险控制目标等。通过流程级和IT级内部控制体系的建设，要形成企业的风险控制矩阵，系统性地发现风险并制定相应的控制措施。他进一步说明，前三个阶段主要针对公司内部控制的设计缺陷，例如公司没有战略、缺失流程、流程不合适而存在风险，但是一些企业所面临的风险不是由于设计缺陷造成的，在有制度、流程的前提下，只是没有严格执行。所以需要进行第四个阶段。这一阶段有两项工作，即要生成一套内部控制的体系文件，包括控制环境等多个子模块，并在此基础上形成一个持续优化的机制，然后对公司级内控、流程级内控以及IT级内控进行跟单测试，通过测试发现运行缺陷，并针对内控建设的基本要求提出整改意见。

　　与企业相比，我国行政事业单位内部控制建设更显薄弱。一名不愿具名的行政机关财务负责人告诉记者，其一，行政事业单位内部控制环境相对薄弱，内部控制意识淡薄。内部环境包括单位的治理结构、内部机构设置及权责分配、内部的审计机制等。目前，部分行政事业单位的领导未给予充分重视，认为内部控制制度是财务部门，会计人员或审计人员等少数人的事情，全员的参与度不高，有些则认为行政事业单位的资金主要来源于财政预算安排，每月只要按规定申请财政拨款、取得资金和使用资金便可以了，以至出现经费支出失控的现象。
　　其二，内部控制制度不够健全，控制措施不到位。部分行政事业单位尚未制定系统规范的会计内控制度，或者简单地以财政的部门预算替代内部控制；还有一些单位虽然制定了会计内控制度和办法，但未能严格执行，对制度的执行及效果缺乏必要的监督，导致有章不循、违章不究，内部控制制度形同虚设，内部管理权限失控，不相容职务没有有效分离，职责不清，越权行事，也给滥用职权，贪污舞弊造成可乘之机。近年来，出现查处的行政事业单位人员贪污、挪用公款案件都与内部控制制度不健全，控制措施不到位有关。

　　其三，部分行政事业单位的财务管理人员缺乏必要的专业素质。“再有效的制度也需要有人执行”，内部控制制度的有效运行，对财务管理人员提出了更高的要求。目前，大部分行政事业单位已进入核算中心集中核算，各单位设置会计岗位管理单位的财务，并负责单位资金的结报工作。但在日常工作中，部分会计人员缺乏必要的专业素质，认为集中核算后，由核算中心把关，过份依赖核算中心的审核而没有起到应尽的职责，还有些单位的会计人员由办公室人员兼任，相当部分缺少必要的财务知识和专业技能，对违反财经法规的行为没有辨别和拒绝能力，还不能适应内部控制的要求，造成单位的内控制度执行不力，内控效果较差。

　　其四，缺乏必要的内部审计和外部监督机制。虽然，大部分单位成立了内部审计部门，但内部审计人员一般由单位的财务人员或办公室人员兼任，缺少应有的独立性或专业技能；而财政、审计部门作为主要的外部监督机构，侧重于检查财政资金使用的合法、合规，缺乏对被审计单位的内部控制制度是否健全、有效监督的考评，这在一定程度上不利于行政事业单位内控制度体系的完善。
　　有医院财务人员向记者介绍说，近年来随着医院医疗收入的急剧增加，如何管控和使用这些资金，是医院财务工作面临的紧迫问题。大部分医院负责人固有的观念是，管控资金只是财务管理的工作范畴，“对其他业务部门不必要求过于较真，这导致部分业务部门和临床科室在价值较高的医用设备和耗材管理使用上，对财务部门提出的要求消极抵触”。由此，医院推动内部控制建设，需要在资产管理、部门职能划分等方面进行体制机制的调整。

　　总结：我国高校内部控制则存在，以领导及会计审计人员为控制主体，以防错查弊为控制目标，以事中事后经济事项为控制范围的特征，导致“过控”与“失控”并存、重复与浪费惊人、控制目标和范围偏低偏窄，违规违纪违法案件呈高发多发的势头。因此高校治理结构的创新是内部控制实现转型的首要课题，既要顾及高校尤其是公立高校以党委会、校务会、工会和教职工代表大会为主要架构的传统治理结构，又要正视高校筹资渠道及委托代理关系日趋多元化与复杂化的现实，既不能漠视“建立现代大学制度”的要求，又不能简单套用公司制企业以股东大会、董事会、监事会和经理层为主要元素的治理结构与模式。