内部控制从未像今天这般备受关注。从字面上看，内部控制事关“内部”。但是它的健全性和有效性却不仅对于组织目标的实现至关重要，而且，对于投资者，尤其是中小股东的理性决策，以及相关机构的有效监管所产生的影响不容忽视。　　 内部控制体系的建立始于企业的初创期。在内部控制持续运行的过程中，需要根据环境、技术和战略等条件的变化，做出适时地调整。这时，管理层把对内部控制关注的焦点投放在了内部控制体系是否存在、存在何种以及严重程度如何的缺陷方面。而投资者和监管机构真正期望获取的内部控制信息也集中于此。那么，什么是内部控制的缺陷，产生缺陷的根源是什么？谁、如何来认定缺陷？发现缺陷后应当如何处理？内外部信息使用者又是如何获取控制缺陷信息的？企业和监管部门在内部控制优化和信息披露方面应当注意哪些方面?本文在要素合作博弈理论、企业行为理论、权变理论和系统观的基础上，分七个章节（除第1章导论以外）对上述问题逐一做出了回答。　　 风险是一种客观存在。内部控制的目标在于防范和应对企业契约履行过程中的决策风险（包括战略风险和经营风险）、信息风险、财产风险和行为风险。内部控制的作用则是为资产安全、交易或事项的合法合规、经营的效率与效果以及战略的执行提供不同程度的合理保证。当内部控制的理论目标演化为具有企业个性特征的预期目标，内部控制可发挥的作用演化为内部控制的实际效果时，倘若二者之间存在差距，那么就意味着，企业内部控制体系具有缺陷。产生内部控制缺陷的原因在于对可预见风险的漠视和不恰当应对。具体可分为认知根源、组织根源和政治根源。缺陷产生的认知根源与管理层对企业内部拉制不现实的乐观态度、短视倾向以及维持现状的趋势等因素相关。缺陷的组织根源为战略与组织结构、组织结构与控制方式、组织文化与控制方法之间的不匹配。缺陷的政治根源则指企业中占据主导地位的联盟在内部控制设计或控制执行过程中有意留有的“自由空间”。　　 内部控制缺陷在不同企业中具有权变特征。在企业内部，内部控制缺陷的认定主体是股东和管理层。而他们在评价哲学、风险偏好和容忍度以及对控制缺陷和局限性的认识方面存在差异。因此，需要赋予管理层划分缺陷严重程度的自由裁量权作为这一系列矛盾的调和方案。内部控制缺陷信息的对外披露内容则为差异调和的进一步反映。内部控制缺陷的认定是基于风险偏好和容忍度确定与分解基础上的、敞口风险与可容忍度相对比的过程。在该过程中，可容忍风险与预期的控制目标相关，敞口风险与内部控制系统的实际效果相关。反映控制缺陷的信息有两类：缺陷的结果性信息和过程性信息。结果性信息只能用于发现现实的控制缺陷；而过程性信息则不仅能够反映现实的缺陷，而且还有助于发掘潜在的控制缺陷。过程性缺陷信息可以通过观察、重新执行和检查等方法获取。“故障树分析法”则在结果性缺陷信息的发掘方面颇有所长。在不同的组织结构类型中，职能部门（或业务单元）、风险控制部门和内审部门在缺陷认定中的职责分工有所区别。但均需注意缺陷认定工作在整个企业范围内的整合管理。此间，管理信息系统则为内部控制缺陷认定和报告的自动化提供了电子平台。　　 内部控制目标之间是相互关联的。内部控制缺陷之间也是相互交织的。当管理层发现了某一缺陷后，应当以系统的观念来修正和弥补控制缺陷。本研究利用问卷调查获取的数据、采用AMOS统计软件对缺陷间相互影响的路径函数进行了回归分析，验证了控制缺陷间的关系。研究表明，资产安全、合法合规和报告控制缺陷之间相互高度关联，报告缺陷对经营控制缺陷有着显著的影响，战略控制缺陷则主要受经营控制缺陷的影响。该结果从另一个角度反映出报告控制是整个内部控制体系的核心和关键。　　 如果企业内部控制存在严重缺陷，那么监管部门的公告、企业年度报告以及审计报告等将释放出相关信号。这些信号将有助于信息使用者判断（或佐证）内部控制的有效性，以及有效内部控制的持续性。利用上市公司档案数据开展的实证研究结果显示，不同类型的缺陷信号之间是相互关联的。因为不同信号所侧重反映的控制缺陷类型是不同的，进而再次证明了控制缺陷之间是相互联系的。由于信号释放具有时滞和局限性，因此，信息的外部使用者仍然期望获得专门的有关内部控制缺陷的报告。　　 内部控制缺陷报告分为对内报告和对外报告两大类。对内报告主要阐述缺陷产生的环节、原因及后果。其根本目的在于，通过缺陷的报告，基于判断缺陷严重程度的标准，及时采取相应的缺陷弥补和修正措施。内部控制缺陷的对外报告应当是一份时期报告。这就表明，报告不仅要陈述报告日内部控制缺陷的存在性和严重程度，而且，年度内发现并已弥补或修正的重大缺陷也必须报告。为了提高内部控制信息的有用性建议内部控制年度报告只披露缺陷相关信息，而不是综合的内部控制整体有效性信息。对外披露的报告中，应当强制性披露的内容包括：划分缺陷严重程度的标准，尤其是划分重要缺陷和重大缺陷的标准；该标准与上年是否具有差异；重大缺陷的描述；重大缺陷的弥补或修正措施及其执行情况。重要缺陷的描述、纠正和执行情况则应当属于自愿披露的内容。总而言之，内部控制报告主要是针对缺陷的报告，关注缺陷以及缺陷的纠正才是内部控制信息需求者的本意和初衷。