目前許多企業(yè)都會表明企業(yè)已通過ISO9001、ISO14001、OHS18001的認證，而中國對于上市公司也于2009年7月1日起強制施行《企業(yè)內部控制基本規(guī)范》，那么關于這兩者之間是怎樣的關系，他們的聯(lián)系在那里，本文將對此進行簡單的敘述。

　　一、基礎和背景介紹

　?。ㄒ唬┠壳皣H最新的版本或標準

　　目前國際上對內部控制最權威的定義標準應該推美國的反虛假財務報告委員會下屬的發(fā)起人委員會（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）（簡稱COSO委員會）于1992年9月發(fā)布，1994年進行了增補的《內部控制一整體框架》。

　　一體化管理體系目前最新版本包括ISO9001：2008《質量管理體系 要求》、ISO14001：2004《環(huán)境管理體系 規(guī)范及使用指南》和OHSAS18001：2007《職業(yè)健康安全管理體系 要求》。

　?。ǘ┌l(fā)布機構不同

　　1、國際上發(fā)布機構

　　《內部控制一整體框架》是由美國注冊會計師協(xié)會（AICPA）、美國會計協(xié)會（AAA）、財務經理人協(xié)會（FEI）、內部審計師協(xié)會（IIA）、管理會計師協(xié)會（IMA）聯(lián)合創(chuàng)建的反虛假財務報告委員會下屬的COSO委員會發(fā)布。

　　一體化體系中的三個體系基本都是出自于國際標準化組織。

　　2、中國發(fā)布或制定機構

　　目前中國對內部控制標準進行正式定義的機構有財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會 。

　　而一體化體系是由中華人民共和國國家質量監(jiān)督檢驗檢疫總局中國國家標準化管理委員會發(fā)布。

　?。ㄈ┲贫?、體系制定背景或目的不同

　　1、內部控制制度

　　COSO報告是在美國金融風險加劇，財務欺詐抬頭，社會各界對內部控制和獨立審計師寄予厚望的“危難”時刻，由五個職業(yè)會計團體聯(lián)合并潛心研究近4年左右的時間才誕生的。

　　內部控制基本目標是幫助企業(yè)奔向經營目標、完成使命和減少經營過程中的風險。

　　COSO同時把內部控制細分為經營效率與效果、財務報告可靠和遵紀守法三類具體目標。

　　而一體化體系三個體系各有不同的具體目的。一體化體系中質量管理體系最先出現，它的主要目的是為了證實組織具有提供滿足顧客要求和適用法規(guī)要求的產品的能力，目的在于增進顧客滿意。

　　然后隨著全球化貿易的開展，企業(yè)能否在全球經貿活動中生存、競爭、發(fā)展，質量（Q）、環(huán)境（E）及職業(yè)安全健康（OSH）問題已成為不可回避的全球化的問題，如何在保證產品質量的同時對全球的環(huán)境以及職工職業(yè)健康安全提出了要求。

　　所以制定ISO14000環(huán)境管理系列標準的目的是規(guī)范全球企業(yè)及各種組織的活動、產品和服務的環(huán)境行為，節(jié)省資源、減少環(huán)境污染，改善環(huán)境質量，保證經濟可持續(xù)發(fā)展。

　　而OHSMS18000（SMS）職業(yè)健康標準 是企業(yè)為了提高社會形象和控制職業(yè)傷害給企業(yè)帶來的損失所制定的。

　　二、內部控制與一體化內容

　?。ㄒ唬﹥炔靠刂?

　　1、五個要素

　　內部控制包括5個要素，分別為控制環(huán)境、風險評估、控制活動、信息的溝通與交流、內部的監(jiān)控。

　　按照COSO的定義控制環(huán)境是指企業(yè)（按西方說法為組織）在思想意識形態(tài)方面的要求，如員工的倫理道德、管理層的管理哲學和風格等，它是其他四個要素的基礎。

　　風險評估則是企業(yè)對所處的內外部環(huán)境的評價，任何一個企業(yè)都不是一個獨立體，都存在于一定的法律、環(huán)境、行業(yè)、政策等的監(jiān)管或約束，在此過程有各種不同的風險，所以企業(yè)需要先對風險進行、識別和評估。

　　控制活動則是在對風險識別、評估其危害性、重要性的基礎對風險所進行的管理和控制，安排企業(yè)資源對風險進行控制。

　　控制活動必然會形成一定的報告，也可以說形成了一定的信息，包括內外部的信息，可以是書面的也可以是口頭的，因此對信息的判斷和利用就需要進行一定的溝通和交流。

　　任何制度都沒有最完善的，都需要隨著情況的變化而變化，所以內部的監(jiān)控就是對內部控制實施情況進行監(jiān)督檢查，評價內部控制的有效性，以便發(fā)現內部控制缺陷，及時加以改進。

　　2、應當遵循的五項原則

　　企業(yè)建立與實施內部控制，應當遵循下列原則： 全面性原則、成本效益原則、制衡性原則、適應性原則、重要性原則。

　?。ǘ┮惑w化體系

　　1、實施一體化所需的流程圖（PDCA）

　　一體化管理所需的流程可以概括為PDCA，是指計劃（plan）、實施（do）、檢查（check）、和處理（action）四個階段。

　　計劃（plan）階段的作用類似于內部控制的風險評估要素，實施（do）階段就如內部控制的控制活動要素，檢查（check）和處理（action）階段則相當于內部控制的信息的溝通與交流、內部的監(jiān)控要素。

　　2、一體化的資源管理

　　一體化的資源管理包括：資源提供、人力資源、基礎設施、工作環(huán)境、信息、與供方（包括合作伙伴）的關系、支持性文件。

　　資源管理所包括的內容與內部控制的控制環(huán)境要素來對比，感覺資源管理更偏向于微觀和企業(yè)某一層面來進行規(guī)范，而控制環(huán)境則是從明確治理結構和人文方面進行要求。

　　三、制度、體系完善程度和認證、鑒證情況和證明效果

　　目前內部控制還沒有形成完善的體系，國內也沒有官方正式公布完整的內部控制制度，對內部控制的要求散落在諸如《內部審計具體準則第 5 號——內部控制審計》《企業(yè)內部控制基本規(guī)范》等。

　　對于企業(yè)內部控制的實際執(zhí)行情況也沒有強制性或自愿性認證的指引，只是對上市公司有一個2009年7月1日開始實施的《企業(yè)內部控制鑒證指引（征求意見稿）》要求由會計師事務所對上市公司內部控制情況進行鑒證。

　　而一體化相比之下要完善得多，先后已經有不同的版本，同時也有官方正式制定的適合中國企業(yè)的版本，也在法律層面針對某些企業(yè)有強制性的認證要求或自愿性認證的指引。承擔認證的機構要求相比內部控制只能由有資格的會計師事務所的要求要寬松。

　　企業(yè)對于兩者的認識以及自愿認證和鑒證的要求是不同，一般企業(yè)都會自愿進行一體化認證，且認證后一般會頒發(fā)認證合格證書來證明企業(yè)在產品質量保證、環(huán)境和職業(yè)健康安全已具有的一定的國際水平。而內部鑒證一般只有會計師事務所出具的內部控制鑒證的報告，而不會頒發(fā)證書證明企業(yè)在內部控制方面達到怎樣的水平。

　　四、內部控制的局限性

　　一體化經過多年的修改，現在已經有比較先進和完善的版本，而內部控制卻存在不少的局限性。

　　首先：評價內部控制有效性標準過于主觀。根據COSO報告，內部控制有效性有賴于對內部控制三類目標或五個控制要素的實現程度。但評價標準基本上都是主觀判斷。其實，一個企業(yè)內部控制是否有效完全可以通過它客觀的市場業(yè)績體現出來，例如企業(yè)市場價值，客戶滿意度，持續(xù)獲利能力增長情況等。

　　其次：.內部控制系統(tǒng)中會計與審計的色彩太重，考慮企業(yè)現存的和微觀的或規(guī)避風險的事情多，與業(yè)務平臺和業(yè)務拓展關系不大，防范風險也是被動的，缺乏能動性。所以，至今還有許多公司認為內部控制只是財務主管和財會人員的事情。

　　五、小結

　　綜上所述，筆者認為：雖然內部控制存在很多不完善的方面，但從其目的來說，內部控制與一體化體系是全面與局部的關系，一體化體系是實現內部控制三個具體目標中（經營效率與效果、財務報告可靠和遵紀守法）中的經營效率與效果目標的很好的實施工具。