内部控制有效性测度：回顾与展望

王东升　杨小琴

【摘 要】 内部控制有效性的研究成果层出不穷，文章首先运用文献回顾法对内部控制有效性的内涵及其测度的研究文献进行梳理；然后分析了内部控制有效性三种测度：目标测度、风险测度和重大缺陷测度；最后提出了内部控制有效性测度的研究展望。

【关键词】 内控有效性； 内控目标； 内控缺陷； 内控评价

中图分类号：F272.3 文献标识码：A 文章编号：1004-5937（2015）09-0044-06

作为内部控制过程重要的一环，内部控制系统评价重要任务之一就是要评价内部控制的有效性，为企业利益相关者利用财务报告信息进行决策提供合理保证。尽管我国已经初步建立了“应用+评价+审计”的内部控制规范体系（王蕙芳，2011），但是对于内部控制有效性的基本理论问题：内部控制有效性的内涵、内部控制有效性的测度的研究并没有形成共识，梳理内部控制在上述两个方面的研究脉络，对于厘清内部控制理论发展的逻辑，为后续研究指明研究方向无疑更有意义。本文可能的创新有二：第一，将内控目标划分为“合理保证层”和“促进实现层”；第二，搭建了基于内控有效性风险测度的“三五模式”和“三二模式”框架。

一、内部控制有效性的界定

正如《老子》所言：“道可道，非常道，名可名，非常名。”尽管内控有效性研究文献颇多，但学者们对内控有效性的内涵和外延尚未形成统一认识，代表性的观点可以归结为以下三种：

（一）目标实现观

作为最为主流的观点，“目标实现观”认为有效的内部控制就是要实现内部控制的目标，且内部控制有效性程度取决于内部控制目标的实现程度。但研究者对内部控制目标内容的认识并未达成一致，经历了三目标、四目标和五目标逐渐丰富和完善的演变过程。

早在1936年，美国注册会计师协会（AICPA）发布的《独立会计师对会计报表的审查》中指出：“内部稽核与控制制度是指为了保护公司现金和其他资产的安全，检查账簿记录的准确而在公司采用的各种手段和方法。”将内部控制的目标界定为检查记账错误和保护资产安全，这是见到的最早关于内部控制目标的认识，根据这一认识，有效的内部控制就是能实现查错防弊和保护资产安全两大目标。美国注册会计师协会1949年在《内部控制：协调组织的各种要素及其对管理者和独立公共会计师的重要性》的报告中将内部控制的目标修订为：资产完整、会计资料的正确与可靠、经营效率的提高、管理政策贯彻。把内部控制的目标由会计层面向管理层面拓展，丰富了内部控制有效性的内涵。

1992年，COSO委员会发布了对内部控制产生深远影响的《内部控制——整体框架》（Internal Control-Integrated Framework，简称IC-IF1992，下同），IC-IF1992将内部控制的目标界定为：“为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程”，系统地构建了内部控制的三个目标：经营目标、财务报告目标和合规目标。21世纪初，安然、世通、施乐、默克四大会计丑闻以后，为了适应《萨班斯-奥克斯利法案》对上市公司执行财务报告内部控制的要求，COSO委员会于2004年10月发布了《企业风险管理——整合框架》（Enterprise Risk Management-Integrated Framework，简称ERM-IF2004，下同）。ERM-IF2004适应风险管理需要，将战略目标纳入内部控制体系，形成“四个目标”与“八个要素”风险管理框架，风险管理自上而下的起点是企业战略制定，并且融入企业各项活动中。所以笔者认为：学者根据COSO报告将“战略目标”作为内部控制的第四大目标是对ERM-IF2004的重大发展和突破，并且ERM-IF2004将风险管理的范围从“运营层面”拓展到“战略层面”。

为适应新经济形势变革的需要，2013年5月COSO委员会发布了更新后的《内部控制——整体框架》（Internal Control-Integrated Framework，简称IC-IF2013，下同），将内部控制的目标界定为“为实现主体目标（Entity’s objectives）提供合理保证”。“有效的内部控制在可接受的水平上减少不能实现组织的一个、两个或三个目标的风险”，并且认为有效的内部控制需要两个条件：（1）内部控制的每个要素与相关原则在设计和运行层面存在，且在运营和实施方面继续存在；（2）在减少不能实现组织目标风险的过程中，五个要素作为一个整体共同发挥作用。

不难看出，IC-IF2013同样将内部控制有效性界定为目标实现，不过IC-CF2013认为有效的内部控制能减少不能实现内部控制三个目标的风险，IC-IF2013将内控的目标界定为运营目标、报告目标与合规目标。与IC-IF1992相比，将“财务报告目标”拓展为“报告目标”，将非财务报告目标纳入报告目标，具体内容包括四项：外部财务报告目标、外部非财务报告目标、内部财务报告目标和内部非财务报告目标。

内部控制有效性的“四目标实现观”认为：内部控制的有效性取决于对内部控制四大目标（合规目标、报告目标、经营目标、战略目标）的实现提供合理保证的程度，内部控制为目标实现提供的合理保证程度越高，内部控制就越有效；反之，则无效（张颖、郑洪涛，2010）。

“五目标实现观”在上述四目标的基础上，将合规目标单列为一个独立的目标，如我国的《企业内部控制基本规范》（简称《基本规范》，下同）将内部控制目标界定为：“合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。”显然，《基本规范》将我国的企业内部控制目标界定为五个方面：合规目标、资产安全目标、报告目标、经营目标和战略目标。

将上述三种观点整理如表1所示。

可以看出：伴随着内部控制目标的发展而发展，内部控制有效性的目标实现观经历了“三目标实现观”“四目标实现观”、“五目标实现观”（分别简称为“三目标观”、“四目标观”、“五目标观”），三种观点的主要区别有二：

其一，是否将“资产安全目标”单列。“三目标观”和“四目标观”认为“资产安全目标”包括资产安全和有效使用两个方面，其中资产安全从属于报告目标，而有效使用从属于经营目标，因此资产安全目标的内容和要求已经体现在报告目标和经营目标中，不应将资产安全目标单列。而“五目标观”认为“资产安全目标”是内部控制的有效性的基础，其内容不能被“报告目标”和“经营目标”所包容，因此应单独作为一个目标。

其二，是否将“战略目标”纳入内部控制的目标。“四目标观”和“五目标观”认为内部控制能促进企业战略目标的实现，因此内部控制目标的内容应包含“战略目标”；与之相反，“三目标观”认为内部控制目标不应包括“战略目标”。

通过梳理内部控制目标的发展历程，发现尽管学者们对内部控制的有效性提出各种观点，取得了丰硕的研究成果，但仍有以下不足：

第一，内部控制目标层次性认识不足。无论“三目标观”、“四目标观”还是“五目标观”，均没有回答各个目标之间的相关关系这一基本问题，哪一个目标是最为基础的？如果企业内部控制不能实现所有的目标，只实现了其中一个或多个目标，例如只实现了内部控制的报告目标与合规目标，但没有实现经营目标，内部控制的有效性当如何判断？公司内部控制的首要目标是什么？这些目标之间的关系如何？这些问题均需要进一步的研究和论证。

笔者认为，报告目标、合规目标、经营目标、战略目标根据内部控制的实现度可划分为两个层次：合理保证层和促进实现层，前者主要包括报告目标和合规目标；后者包括经营目标和战略目标。而报告目标实现程度是内部控制的基础，内部控制建立的初衷也是为了保证报告可靠性，因此报告目标放在第一层，其次，内部控制的合规目标能够合理保证企业相关法律法规得以遵循。笔者据此建立内部控制目标的层次结构如图1所示。

第二，目标实现观没有回答目标实现程度。可以看出，内部控制的“目标实现度”就是内部控制有效性程度，而有效的内部控制不是一个点而是落在[0，100%]的区间（陈汉文、张宜霞，2008），但是有效性的程度如何界定？目标实现到何种程度，内部控制就是有效的？换而言之，内部控制有效性的合理保证水平如何界定，这是内部控制研究的又一难题。

第三，内部控制目标能否承受“战略目标”之重？是否将“战略目标”作为内部控制目标？COSO委员会发布的IC-IF1992、IC-IF2013均没有将战略目标作为其目标，为适应风险管理的需要，只是在ERM-IF2004中将战略目标纳入内部控制体系。笔者愚见，这个问题涉及到内部控制的边界，从目前研究趋势来看，内部控制存在“无所不能、无所不包、无所不做、无时不有”的“四无”问题导致内部控制已经被全能化和神化了（李心合，2013）。囊括一切的学术贪婪使内部控制成了一个“筐”，什么都可以往里装，学术问题没有边界会导致在基本研究上的混乱，如果把“战略目标”作为内部控制的目标之一，那么内部控制的边界如何界定？如何划分内部控制与管理的界限？显然，战略目标是管理的范畴，不是内部控制的范畴，或许基于这一点，COSO委员会没有将战略目标写进IC-IF2013内部控制目标中。

（二）风险观

内部控制的本质是企业内部的风险控制，然而世纪之交的四大会计丑闻促使人们反思：为何内部控制鉴定为有效的公司连最基本的“报告真实可靠”目标都不能实现？许多学者认为内部控制框架对风险强调不够，没能实现内部控制与风险管控的结合。基于风险管理的需要，COSO委员会于2004年发布了ERM-IF2004，将风险管理纳入内部控制的理论体系，形成著名的包含战略目标在内的四个目标、八个要素的风险管理框架。内部控制有效性的风险观认为：有效的内部控制应该能够管理风险，将企业风险降低到风险容量内，否则内部控制就是无效的。

（三）重大缺陷观

传统的内部控制有效性界定都使用了“肯定式”的定义，回答内部控制有效性“是什么”，或者满足什么条件就是有效的内部控制，如最高国际审计组织（INTOSAI）认为，有效的内部控制应符合适时适量、成本效益标准与功能设计的一贯性标准；毕马威会计师事务所在其《内部控制：实务指南》中将内控有效性划分为设计有效和执行有效两方面，并且认为保证内部控制有效性是持续的监督过程。内部控制的有效性包括静态有效和动态有效，静态有效是指内控制度本身有效，即设计的内部控制制度是有效的；动态有效是指内部控制在执行方面有效，即设计有效的内部控制制度得以贯彻和落实。

“重大缺陷观”对内部控制有效性的界定采用了“否定式”的“消极表达”方式，即与重大缺陷对应的是内部控制无效，与非重大缺陷对应的是内部控制有效。显然，“重大缺陷观”的关键在于内部控制缺陷划分及认定。

由于内部控制缺陷认定存在三大困境，即理论前提衔接困境：财务报告内控缺陷与公司内控缺陷的界定；规范标准确立困境：原则式认定与规则式认定的选择；实践操作判断困境：内控缺陷程度的区分（王慧芳，2011），显然缺少广泛接受的、合理的、适用的内部控制缺陷认定标准，尤其是重大缺陷的认定标准，使内控有效性“重大缺陷观”无法回答怎样的内部控制具有有效性，导致其在实践中缺少现实可行的基础，但有一点是肯定的：一旦企业内部控制被认定存在重大缺陷，就可断定内部控制是无效的。

综上所述，对内部控制有效性并没有形成统一认识，尽管内部控制有效性的“目标实现观”显示其强大的说明力和解释力，但是仍有以下问题难以解决：（1）目标内容难以统一；（2）“合理保证”的标准难以确立。即使是内部控制有效性的“重大缺陷观”，也面临两大难题：（1）如何确立内部控制缺陷与有效性对应关系；（2）如何建立内部控制重大缺陷的认定标准。

二、内部控制有效性的测度

基于不同内部控制的有效性的内涵和外延，产生了不同的内部控制有效性测度：目标实现测度、风险测度和重大缺陷测度，现分述如下：

（一）目标实现测度

内部控制目标实现观认为，内部控制的“目标实现度”等价于内部控制有效性的程度，因此，以内部控制目标的实现程度为基础，把与内部控制目标实现相关的经济指标作为内部控制有效性的替代变量（吴秋生、郝诗萱，2013）。根据这一思路，学者沿着内部控制的三大目标探索内部控制有效性的测度变量，如程晓陵、王怀明（2008）用主营业务资产收益率（CROA）度量经营目标，用注册会计师的财务报告审计意见度量财务报告可靠性目标，用司法、证监会、交易所的处罚测度合规目标。韩传模、汪氏果（2009）以递进层次模型为基础，用治理结构、信息系统、内部监督、资金控制、购销控制、投融资控制、环境安全控制等测度企业的五类风险（战略风险、财务风险、市场风险、运营风险和法律风险，下同），以五类风险测度内部控制三类目标的实现程度。张先治、戴文涛（2011）根据我国的《企业内部控制基本规范》，将内部控制目标归结为四大目标：战略目标、财务报告的可靠性目标、经营活动的效率和效果目标、法律法规的遵循目标，并从目标制定和目标保证两个方面设计了9个指标测度战略目标的有效性；从企业层面控制和业务活动层面控制两个方面，设计了25个指标度量财务报告的可靠性目标；以财务分析的盈利能力、营运能力、偿债能力、发展能力为框架，运用21个财务分析指标来度量经营活动的效率和效果目标；从法律法规的监督、注册会计师的监督两个角度，设计了6个指标来测度法律法规的遵循目标。周小燕（2012）以内部控制目标为基础，以内部控制的五要素为基本框架，具体构建了27个指标用以测度内部控制目标的实现程度，并据此判断内部控制的有效性。

根据内部控制“目标实现度”对内部控制有效性评价的理论基础是内控有效性的“目标实现观”，无论是直接从内部控制的目标来设计指标测度内部控制有效性，还是以内部控制五要素为基础设计指标度量内部控制的有效性，均有以下不足：

第一，内部控制有效性测度属于框架上的理论研究，缺少内部控制有效性评价的实践检验，使得内部控制在各个目标实现程度的替代变量现实性方面大打折扣。

第二，内部控制有效性的指标设计和选择上，学者们的研究成果均没有回答“为什么这样选择”这一基本问题，这使得各个学者设计的指标缺少理论支撑。

（二）风险测度

无论是IC-IF1992，还是ERM-IF2004都认为内部控制的重要任务之一是控制风险，在很大程度上内部控制的有效性取决于内部控制对风险的控制程度，因此可以通过内部控制对企业风险的控制程度来判断内控的有效性程度。然而，这一主题下的研究文献几乎一片空白。

从内部控制角度把企业风险分为战略类风险、市场类风险、财务类风险、运营类风险和法律类风险五大类，而企业面临的主要风险是运营风险。所以，可用内部控制对运营风险为主导的五种风险的控制程度作为内部控制有效性的测度，内部控制有效性程度划分为三个层次：有效、基本有效和无效，构建基于“五种风险”和“三层内控有效度”的内部控制有效性测度体系框架，具体设计思路如下：

1.三五模式

三五模式是以五类风险和内部控制的三层有效性程度为基础搭建的基于风险程度的内部控制有效性测度模式，将五类风险分别赋予权重，通过打分的方法确定内部控制有效性的程度，如图2所示。

这种设计思路的主要困难有二：其一，五类风险的度量指标及其权重如何选择；其二，五类风险的“风险度”与三种有效性的“有效度”之间关系如何建立，即基于风险测度的确认内控有效、基本有效和无效的标准如何构建。

2.三二模式

五类风险中最重要的风险是运营风险，三五模式构建的内控有效性过于复杂，可将五种风险简化为两大类：运营类和其他类。将两大类风险和三种有效性程度整合成为内控有效性测度“三二模式”，如图3所示。

（三）重大缺陷测度

内部控制有效性认定的核心是缺陷的识别和缺陷的分级（杨有红和李宇立，2011）。如果说目标实现测度将内控有效性界定为“为内部控制目标实现提供合理保证的程度”，是一种“肯定式”界定，那么内控有效性的重大缺陷测度则把缺陷存在视为（财务报告）内部控制有效性较差的标志，是一种“否定式”界定，即存在重大缺陷的内部控制是无效的，内部控制的“缺陷度”决定了内部控制的无效程度。笔者认为：考虑内部控制有效性评价的外部性，内部控制有效程度不宜建立过多层次，区分出“是”和“否”即可，应建立三个层次：无效、基本有效、有效。借鉴我国《内部控制评价指引》，将内部控制的缺陷度分为四个层级：“重大缺陷”、“重要缺陷”、“一般缺陷”、“零缺陷”。根据缺陷程度来确立内部控制有效性程度，与重大缺陷对应的是“无效”，与重要缺陷对应的是“基本有效”，与一般缺陷和零缺陷对应的是“有效”，如表2所示。

研究内部控制缺陷需要区分两个基本概念：内部控制局限性和内部控制缺陷。内部控制局限性也称为内部控制固有缺陷，是指内部控制本身所固有的局限性，是内部控制的“先天不足”和预留的“风险敞口”，它与内部控制的设计与执行无关，不能通过内部控制的设计和有效执行加以避免，如内部控制对于决策过程的失误、执行过程出现的错误或过失、对于合谋和管理层越权失效等（COSO，1994）。内部控制缺陷是指由于内部控制设计和执行中的漏洞而形成的缺陷，具体可分为设计缺陷和执行缺陷，设计缺陷是内部控制设计者在设计过程中由于未意识到而导致的设计不足，执行缺陷是内部控制执行过程中没有按照设计意图运行而产生运行结果偏差的可能（杨有红和李宇立，2011）。内部控制缺陷通常与内部控制的设计和执行有关，能通过对内部控制的充分设计和有效执行加以避免。

显然，内部控制缺陷的认定是内部控制有效性重大缺陷测度的基础，在实践中需明确两个问题：

1.内部控制缺陷认定的范围：内部控制报告缺陷还是公司缺陷

王慧芳（2011）将内部控制缺陷分为报告内控缺陷、公司内控缺陷，显然报告缺陷对应的是报告有效性，公司缺陷对应的是全部内控有效性。然而，内部控制缺陷认定特别是非财务报告的内控缺陷认定是企业内部控制有效性评价面临的重大挑战之一（刘玉廷，2013），在实践中面临着如何划分内部控制缺陷的层次以及如何设定内控缺陷标准，特别是公司内部控制缺陷标准是内控缺陷难以认定的重大难题。

2.内部控制缺陷认定标准：企业自定还是统一规定

根据我国的《企业内部控制评价指引》，企业自行确定三类缺陷（重大缺陷、重要缺陷和一般缺陷）的具体认定标准。这赋予企业内部控制缺陷认定方面很大的自由裁量权，带来的实践运行结果是内部控制缺陷认定标准制定的混乱，这反映出企业对内控缺陷认定标准的认识差异较大（丁友刚和王永超，2011），更进一步折射出统一的内部控制缺陷认定标准，尤其是重大缺陷认定标准制定之难。在理论上，对内部控制缺陷认定标准的认识停留在“初级阶段”，缺少理论共识指导；在实践中，企业在行业、规模等方面千差万别，不可能制定统一的内部控制缺陷认定标准，而由企业自行确定内部控制缺陷认定标准，导致内部控制缺陷认定标准混乱，内控缺陷认定的混乱导致了内部控制有效性认定的混乱。

综上所述，在三种内部控制有效性测度中，目标实现测度最为基础且在理论上得到广泛认可；重大缺陷测度由于执行简单而在实践中得到广泛应用；风险测度尽管代表未来的方向，但是理论体系和实践应用最不成熟，将是内部控制领域理论研究和实践探索的主要议题之一。将内部控制有效性三种测度的比较整理如表3所示。

三、研究展望

通过对内部控制有效性测度的文献梳理，发现内部控制有效性作为近期财务、会计、审计的研究热点之一，学者们通过对内部控制有效内涵及测度的研究，取得了丰硕的研究成果，拓展了内部控制的研究思路，彰显出内部控制有效性的强大研究魅力，但在以下方面需要进一步创新和发展。

（一）理论研究

内部控制的理论基础是管理学和经济学，如何借鉴管理学和经济学的理论研究成果，形成由假设、概念、命题、定理组成的理论体系，并由此进一步形成一套理论支撑有力、实践检验合理的内部控制有效性测度体系是研究者应突破的重大理论课题。尽管内部控制在实践中广泛推行，但理论研究的缺失进一步昭示出：在实践中运行有效的测度方法，却在理论上难以得到支撑，而理论体系非常完善的测度方法，却在实践中难以取得满意的效果，国内众多学者叹曰：内部控制无理论，基础理论研究的缺失导致对内部控制有效性界定的混乱，进而导致内部控制有效性测度观点纷纭。因此加强内部控制基础理研究是理清内部控制有效性测度的前提，具体研究路线可设计为：内部控制基本理论→内部控制有效性的内涵与外延→内部控制有效性的测度体系。

（二）内部控制的边界

李心合（2013）发现内部控制研究存在着“研究方法形式化、内控效用全能化、研究主题及内容空洞化”的三化趋势，其中内控效用全能化的原因是内部控制在理论研究上没有边界所致，如前所述，囊括一切的学术贪婪使内部控制成了一个无所不包的箩筐，难以想象，一个没有边界的研究需要怎样的“学术超人”才能开展？而研究内部控制有效性测度问题，必须先解决内部控制有效性外延这一基本理论问题，即内部控制的边界在哪里？笔者认为要划清和相关学科的研究边界，至少包括两个方面：

1.内部控制与公司治理的界限，即是“公司治理中的内部控制”还是“内部控制中的公司治理”？抑或其他？从学术分类看，公司治理属于治理层，而内部控制属于管理层，二者界限可以解读为“治理中的管理”还是“管理中的治理”，毋庸置疑，构建基于公司治理的内部控制体系无疑更具合理性，然而，内部控制是“强嵌入”还是“弱嵌入”公司治理？这需要研究者进一步的探索。

2.内部控制与管理学的界限。理论上，内部控制从属于管理，控制作为管理的一项基本职能强调事中执行环节，其内容包括确立标准、衡量绩效、纠正偏差。内部控制也不例外，然而，在现实中内部控制凌驾于管理之上，大有代替管理之势，在“无所不包、无所不能”的内部控制体系下，实务界人士经常问一个问题：内部控制和管理有何不同？

（三）内部控制有效性与内部控制缺陷的关系研究

根据内部控制有效性的缺陷认定观，存在重大缺陷的内部控制一定是无效的，然而内部控制缺陷认定仍然没有实质性进展，在理论上将内控缺陷划分为报告缺陷和公司缺陷是否可行？在实务中重大内控缺陷怎样界定？内部控制缺陷按其影响程度划分为重大缺陷、重要缺陷和一般缺陷是否恰当？这些问题都需要理论和实务界进一步研究和探索。

（四）内部控制有效性的风险测度研究

无论是从理论研究还是从实践探索来看，内部控制有效性风险测度现在均不成熟，尽管有三五模式、三二模式的内部控制有效性测度的设计思路，但二者在理论上缺少支撑，在实践中缺少具体可行的操作办法和实践的拟合。内部控制的本质就是控制风险，而恰恰基于内部控制的风险管控研究不足，因此内部控制有效性的风险度是未来内部控制有效性测度的重要研究方向之一。

【参考文献】

[1] 杨有红，胡燕.试论公司治理与内部控制的对接[J].会计研究，2004（10）：14-18.

[2] 曹建新，王春丽，邹俊.上市公司内部控制有效性影响因素研究[J].中国注册会计师，2009（11）：56-62.

[3] Jayanthi Krishnan.Audit Committee Quality financial expertise and Internal Control：An Empirical Analysis[J].The Accounting Review，2005，80（2）：649-

675.

[4] Jeffrey Doyle，Weili Ge，Sarah McVay.Determinant of weakness on internal control over financial reporting[D].SSRN working paper，2006.

[5] 张颖，郑洪涛.我国企业内部控制及其影响因素的调查与分析[J].审计研究，2010（1）：75-81.

[6] 刘玉廷.全面提升企业经营管理水平的重要举措——《企业内部控制配套指引》解读[J].会计研究，2010（5）：3-16.

[7] 周勤业，王啸.美国内部控制信息披露的发展及其借鉴[J].会计研究，2005（2）：25-31.

[8] 王怡然.内部控制评价的责任主体探讨[J].会计之友，2011（6上）：44-46.

[9] 李心合.内部控制研究的困惑与思考[J].会计研究，2013（6）：54-61.

[10] 郑小荣.内控监管能否增进股东利益[J].山西财经大学学报，2011（2）：100-108.

[11] 齐堡垒，田高良.财务报告内部控制缺陷披露影响因素研究[J].山西财经大学学报，2010（4）：114-120.

[12] 董卉娜，朱志雄.审计委员会特征对上市公司内部控制缺陷的影响[J].山西财经大学学报，2012（1）：114-124.

[13] 丁友刚，王永超.上市公司内部控制缺陷认定标准研究[J].会计研究，2013（12）：79-85.

[14] 陈汉文，张宜霞.企业内部控制的有效性及其评价方法[J].审计研究，2008（3）：48-54.

[15] 林斌，饶静.上市公司为什么自愿披露内部控制鉴证报告？——基于信号传递理论的实证研究[J].会计研究，2009（2）：45-52.

[16] 张先治，戴文涛.公司治理结构对内部控制影响程度的实证分析[J].财经问题研究，2010（7）：89-95.

[17] 吴秋生，杨瑞平，吴正山.披露目的内部控制评价几个问题的探讨[C].中国会计学会2013年学术年会论文集，2013.