2.2.2内部控制的历史演变过程
   据专家考证，“控制”一词最早于公元1600年前后才出现于英语词典中。该词来源于希腊文，原意为 “掌舵术”，即为掌舵的方法和技术之意。 1948年美国数学家诺伯特.维纳出版了《控制论—关于在动物和机器中控制和通讯的科学》一书，标志着控制论的诞生，控制论开始成为一门新兴科学。在控制论中，“控制”是主体为改善某对象的功能或运行，获取信息，并以这种信息为基础而施加于该对象的作用。控制的基础是信息，控制系统实际是信息反馈系统。
自维纳创立控制论以后，控制论的思想和方法技术很快渗透到了各个自然科学和社会科学领域，内部控制属于控制论中经济控制论的一个分支，它是用控制论和经济控制论的原理和方法，来分析和研究组织的经营控制过程。
    2.2.2.1美国内部控制发展的三个阶段
    萌芽期——内部牵制
内部控制作为一个专用名词和完整概念，直到本世纪30年代才被人们提出、认识和接受。但在此前的人类社会发展史中，早已存在着内部控制的基本思想和初级形式，这就是内部牵制。例如，在古罗马时代，对会计账簿实施的"双人记账制"--某笔经济业务发生后，由两名记账人员同时在各自的账簿上加以登记然后定期核对双方账簿记录，以检查有无记账差错或舞弊行为，进而达到控制财物收支的目的，即是典型的内部牵制措施。
    发展期——内部会计控制与内部管理控制
1934年美国《证券交易法》，首先提出了“内部会计控制”的概念。审计程序委员会(CAP)下属的内部控制专门委员会1949年对内部控制首次做出了如下权威定义：“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。
1953年10月，审计程序委员会(CAP)又发布了《审计程序公告第19号》（SAPNo.19)，将内部控制划分为会计控制和管理控制。
1972年，美国审计准则委员会(ASB)在第1号公告(SASNo.1)中，对管理控制和会计控制提出今天广为人知的定义：一是内部会计控制。会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成；二是内部管理控制。管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。这种授权活动是管理部门的职责，它直接与管理部门执行该组织的经营目标有关，是对经济业务进行会计控制的起点。
成熟期——内部控制结构和内部控制整体架构
    内部控制结构(Internal Control Structure)   1988年4月美国注册会计师协会发布的《审计准则公告第55号》(SAS N0.55)，规定从1990年1月起以该文告取代1972年发布的《审计准则公告第1号》。该文告首次以内部控制结构一词取代原有的“内部控制”。
内部控制整体架构(Internal Control一Integrated Framework）  1992午，美国“反对虚假财务报告委员会”所属的内部控制专门研究委员会发起机构委员会(简称COSO委员会)，在进行专门研究后提出专题报告：《内部控制一一整体架构》，也称COSO报告。参与COSO报告的主要机构包括美国注册会计师协会，内部审计师协会，财务经理协会，美国会计学会，管理会计协会。）
    COSO报告指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由：控制环境、风险评估、控制活动、信息与沟通及监督五要素组成。 2004年10月，COSO委员会对《内部控制一一整体架构(Internal Control一Integrated Framework)》做了进一步的延伸和扩展，提出了《企业风险管理——整合框架（(Enterprise Risk Management一Integrated Framework)》。
    2.2.2.2我国内部控制制度历史沿革
    与西方欧美国家相比，我国内部控制制度的建设起步较晚，改革开放之后，随着改革开放步伐的不断加快和资本市场的迅速发展，我国企业内部控制研究和规范建设取得了迅猛发展，大致经历了三个阶段:会计基础工作规范中的内部控制监管阶段(1996-1999)1996年6月17日，财政部发布《会计基础工作规范》。其中，第八十九条指出“各单位应当建立内部牵制制度。主要内容包括：内部牵制制度的原则;组织分工;出纳岗位的职责和限制条件;有关岗位的职责和权限”;第九十条要求“各单位应当建立稽核制度。主要内容包括：稽核工作的组织形式和具体分工;稽核工作的职责、权限;审核会计凭证和复核会计账簿、会计报表的方法”。这个阶段的规定，主要还是围绕会计信?的真实与可靠来?开的，强调的是内部控制中的内部牵制和稽核工作。与西方内部控制监管发展路径一致，我国的内部控制监管也是首先在银行业得到充分的重视。1997年，中国人民银行(下称央行)发布了《加强金融机构内部控制的指导原则》，为商业银行内部控制监管建立了一个原则性的框架体系。内部控制监管体系的独立探索阶段(1999-2005)1999年，《会计法》进行第二次修订，明确提出了建立单位内部监督、社会监督和国家监督三位一体的会计监督体系，通过规范会计行为加强内部控制，提高经济效益，维护社会主义市场经济秩序。在《会计法》的要求下，财政部开始着手制定企业内部会计控制规范。2001年，财政部发布了我国首部系统性的会计控制规范《内部会计控制规范—基本规范》和《内部会计控制规范—货币资金(试行)》等7个具体规范，对单位内部会计控制规定了具体的操作标准，并明确单位负责人对建立健全本单位内部会计控制负责。随后，审计署、国资委、证监会、银监会、保监会以及上海、深圳证券交易所等也从不同角度对加强内部控制提出明确要求。1999年中国保险监督管理委员会发布《保险公司内部控制制度建设指导原则》，并于2006年发布《寿险公司内部控制评价办法(试行)》，对寿险公司内部控制建设评价的内容、方式、程序和方法、标准等，作出具体规定。2000年，中国证券监督管理委员会(下称证监会)发布《公开发行证券公司信息披露编报规则》第1、2、3号公告，要求商业银行、保险公司、证券公司建立健全内部控制制度，并对内部控制制度的完整性、合理性和有效性作出说明。2001年正式发布了《证券公司内部控制指引》，对证券公司内部控制的基本要求、内部控制的主要内容都作出了明确的规范。2006年证监会在《首次公开发行股票并上市管理办法》中首次对上市公司内部控制作出明确规定。同时，上海证券交易所和深圳证券交易所分别出台《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》。2002年，央行发布新的《商业银行内部控制指引》，全面引入了COSO内部控制框架的五要素。2004年，中国银行业监督管理委员会发布了《商业银行内部控制评价试行办法》。商业银行内部控制评价行为也纳入了内部控制监管范畴。在这一阶段，我国构建了涵盖主要行业的内部控制标准体系，为有效化解企业风险、促进企业健康发展发挥了一定的作用。但是，随着市场经济的发展和企业环境的变化，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向风险控制发展。同时，各监管部门的内部控制监管体系数量多而零散，内容上仍立足本部门实际要求，有待于进一步协调和统一。内部控制监管体系初步形成阶段(2006年至今)2006年7月15日，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会，为构建我国企业内部控制标准体系提供了组织和机制保障;企业内部控制标准委员会成立之后，开展了一系列课题研究，致力于中国特色的内部控制监管体系的研究与制定工作。2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称基本规范)，自2009年7月1日起首先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。基本规范要求，执行该基本规范的上市公司，应当对公司内部控制的有效性进行自我评价，在公司年报中应披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。为了配合基本规范的落实和执行，财政部还制定了相关配套指引，包括应用指引、评价指引和审计指引，并将于近期正式发布。至此，内部控制监管体系初步形成。
    2.2.3内部控制的最新理论
    从内部控制的发展历程可以看出，COSO内部控制理论的提出是内部控制发展的一个新的里程碑。它提出的内部控制体系包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五个相互联系的要素。

    2.2.3.1内部环境
    内部环境，是影响、制约企业内部控制制度建立与执行的各种内部因素的总称，是实施内部控制的基础。控制环境提供企业纪律与架构，塑造企业文化和正确的价值观，并影响企业员工的控制意识和工作能力，是所有其它内部控制组成要素的基础。内部环境的因素具体包括治正直守德的价值取向、对员工胜任能力的关注、董事会或审计委员会、管理哲学和经营风格、公司结构、职权和职责的分配、人力资源政策及实务等方面的内容。
    2.2.3.2风险评估
    风险评估，是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节和内容。风险评估主要包括目标设定、风险识别、风险分析和风险应对。每个企业都面临来自内部和外部的不同风险，这些风险都必须加以评价，找出有效的应对方法。评价风险的先决条件是制定目标。风险评价就是分析和识别威胁所定目标实现的风险。经济、法律及管理的环境?内外部因素不断变化，企业主动地发现和处理由于情况变化所带来的风险是很有必要的。
    2.2.3.3控制活动
    控制活动，是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式和载体。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。控制活动是确保管理层的指令得以执行的政策及程序，是管理层识别和评估风险后，对控制这些风险所实行的针对性措施。政策通常回答必须做什么事情，而程序则回答具体应该怎样做的问题。控制活动又可以分为人工控制和信息系统控制两大类。控制活动是各控制要素数量最大的一类，因此企业控制活动的设计必须进行成本和收益的权衡。此外，控制活动应尽可能用书面方式予以规定和沟通。
    2.2.3.4信息与沟通
信息与沟通，是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。内部控制的全过程都需要高质量的信息以及顺畅的沟通。高质量信息具有内容相关、正确、提供及时以及便于获取等特征。在现代企业中，信息系统的广泛应用正是为了提供信息质量。同时，高质量的信息还应能够以适当的形式及时、准确地沟通至信息需求者。企业不仅应当致力于提升内部沟通的有效性，以便控制责任人能够履行其职责，还应关注与企业外部的沟通问题。外部沟通（如客户、供应商、审计师等）有助于管理层建立企业目标，向外传递理念和工作目标，并从外部了解内部控制的运行状况。
    2.2.3.5内部监督
    内部监督是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制制度的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查工作中的一项重要内容。
内部控制系统需要监控。监控是由适当的人员，在适当及时的基础下，评价控制的设计和运作情况的过程，这一活动由持续监督、个别评价组成，可确保企业内部控制能持续有效的运作。持续监督活动在运营过程中发生，它包括例行的管理和监督活动，以及其他员工为履行其职务所采取的行动。上述五项因素相互关联，组成内部控制的动态系统。它们之间的关系包括：第一，内部控制是各要素组成的动态系统　内部控制的内容由最初的行为控制到最新的五要素的变化，说明了内部控制的关注重心由单一个体向系统整体发展，而且站在全局的高度统领企业整体。内部控制并不是各种制度、措施的简单加总，也不能简单地停留在只用制度加以规范的阶段，致使制度流于形式，因此，应转变传统观念，以新的角度诠释和思考，应认识到内部控制不仅是由多个因素组成的系统，而且在这个系统中，这些因素相互关联，形成了动态的过程，即内部控制的构建不仅涉及到部门内的具体岗位设置、业务操作等相对细节的问题 ，更为重要的是它需要相关各职能部门的通力协作，共同营造良好的控制环境、关注业务的风险评估、在各负其责的同时加强部门间的信息沟通，只有这样，才能不断促进内部控制的良性运行，真正达到防范经营风险、确企业经营有效运行的目的 第二，内部环境的建设是基础　内部控制作为一个系统或机制，离不开所存在的环境，而且在不同的环境下，内部控制作用的发挥程度不尽相同，内部控制作用是否有效，很大程度上取决于单位管理层对内部控制的重视程度、全体员工对企业内部控制认识的影响 ，它是充分有效的企业内部控制体系得以建立和运行的基础及保证，因此，应逐渐认识到内部环境也是内部控制的一个重要组成部分。许多案件的深刻教训也警示我们，案件的发生不是没有制度，而是制度没有得到真正落实，制度之所以落实难的原因就在于，没有一个良好的环境来约束人的行为，防范人的道德风险。因此，内部环境是基础，必须从营造良好的环境做起，提倡风险管理文化，增强员工的诚实性和道德观，即将风险管理意识贯穿到每一个员工、每一个部门、每一个岗位，使风险意识深入到人心，同时强调全员的参与，塑造企业文化，形成良好的内部环境氛围。第三，风险要素的管理是关键　控制的目的就是要防范风险，若不存在风险也就没有实施控制的必要，COSO报告指出，所有的企业，不论其规模、结构与性质，其组织的不同层级都会遭遇风险，管理当局必须密切关注各层级的风险，并采取措施尽量将风险控制在可接受水平。随着计算机技术在企业经营管理中的运用，内部控制所涉及?风险包括法律风险、声誉风险、资产风险、信息技术风险、效率风险和操作风险，这些风险与企业经营业务的流程息息相关，因此，内部控制的构建应从风险因素出发，加强对业务流程的分析 ，即首先要按业务性质进行归类，找出各个流程中的主要风险点；其次要按照业务风险的信息结构和风险源的性质，有针对性地制定出科学适用的风险计量 方法，同时要结合控制流程的概念，找出相应的控制措施，建立一套完备的业务流程风险控制体系。第四，事前事中的控制是切入点　内部控制的目标是从控制当事人的行为观到提高企业信息质量的信息观、最终到管理企业风险战略观的转变，这是从事中控制到事前管理的发展，是从降低风险到风险控制直至风险管理的一个过程。同样，内部控制中事后控制的出现就是对事前、事中控制的不信任，也就是说，若事前、事中真能够做到把握住风险，事后控制存在的意义不大，另外一方面，事后控制一般只就“结果”进行监督，前台在业务的发生及延续过程中，是否全面、严格地执行有关制度，事后控制只从所提供的核算资料的形式上进行审验或被动地接受前台的反映的结果，而且事后控制有其固有的局限性，即时间的滞后性，因此，要把风险在变为实际的损失之前降低到可接受的最低水平，真正做到防患于未然，就要加强事前、事中的控制，做到及早发现和识别，及早将风险消灭在萌芽状态。第五，信息的沟通交流是保障　内部控制作为一个动态系统，它包括不同环节之间持续不断的信息流和资金流，且其每个控制环节都执行不同程序，并与其它环节相互作用与影响。因此，内部控制价值最大化的实现需要加强上下级之间、不同部门之间和同一部门内的交流和沟通，这就需要，一方面某部门牵头组织各成员间的沟通，以实现信息共享，优势互补，有针对性地开展工作，同时有助于消除部门间的误解和疑虑；另一方面各职能部门要加强自身员工间的沟通，培养和提高员工参与内部控制的意识，以便开展自评。由此可以看出，信息交流渠道是否畅通，直接影响内部控制动态过程的实现，同时也有助于控制环境的完善、风险管理的加强；否则，相关职能部门将处于相对封闭的状态，各自为战，造成信息资源的过度浪费。实践中，最有效的解决方法就是促使信息沟通的制度化，形成一种约束机制，有利于各职能部门在明确各自职责的同时，从整体上实现内部控制的目标。
   3 民营企业的主要风险特征
   3.1内部控制环境特征
   我国民营企业的内部控制环境具有明显的民营企业文化特色。中国传统文化经过数千年的制度强化，所产生的社会心理沉淀使整个国家的上中下各层对传统文化都达到很高的共识度，对人的心理、行为及企业的组织模式和经营活动都产生了重大的影响。“家文化”突出体现了中国传统文化的特征，是中国民营企业的核心。大量中西方文化的比较研究表明，中国人“家观念”之重，“家文化”沉淀之厚，“家文化规则”对中国人的社会、经济、政治等各方面的活动影响支配之大，同时也对民营企业文化的形成产生了重大的影响。企业主自觉或不自觉地把家庭和家族运作模式引入到企业管理模式当中，民营企业在发展过程中逐渐形成了家族式为主的经营管理模式。