自20世纪90年代初美国发生一系列涉及金额巨大、影响深远的财务丑闻以来，内部控制理论开始受到各界的密切关注。在中国，为了进一步加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，政府相关部门先后出台了一系列政策、法规和规范。而财政部等五大部委于2010年4月26日联合发布的《企业内部控制配套指引》则明确要求上市公司先行建设完整的内部控制体系。因此，内部控制体系建设成为了中国上市公司亟待解决的问题之一。　　就国内外对内部控制的研究而言，不管是COSO的两份关于内部控制的报告，还是国内不断出台的各种法律法规，都逐步将风险管理与内部控制相融合，强调识别和管理风险的重要性，强调企业的风险管理应针对企业目标的实现，并且在企业战略制定阶段就应该予以考虑。　　在实务工作中，内部控制或风险管理的根本作用都是维护投资者利益，保全企业资产，并创造新的价值。企业的内部控制是企业制度的组成部分，是在企业经营权与所有权分离的条件下对投资者利益的保护机制;而风险管理则是在新的技术与市场条件下对内部控制的自然扩展，它使管理者在面对不确定性时能够识别、评估和管理风险，发挥保持与创造价值的作用。因此，从维护投资者利益和创造价值这一根本功能来看，风险管理与内部控制的目标是一致的，而上市公司为了更好的保护投资者利益，其内部控制体系的设计与实施就要更主动、更全面的识别、控制风险，即要构建一个基于风险管理的内部控制体系。　　就我国实际情况而言，上市公司内部控制状况一直都是监管机构和许多投资者较为关注的焦点之一。早在2000年，证监会就正式发文要求上市公司加强内部控制制度建设。2006年6月和9月，上交所和深交所又分别发布了《上市公司内部控制指引》，国资委也于2006年6月发布了《中央企业全面风险管理指引》，财政部等五部委于2008年和2010年分别发布了《企业内部控制基本规范》及《企业内部控制配套指引》，明确要求上市公司先行建立完善的内部控制体系。从一系列的法规条例可以看出，我国政府经济管理部门一直在强调上市公司内部控制体系建设，在此背景下，上市公司内部风险控制意识和制度有了明显的提高，上市公司董事会开始披露《内部控制自我评估报告》。从已公布的评估报告内容上看，上市公司在控制环境、风险评估、控制活动等方面都做了大量基础性工作，提高了风险控制的意识和能力。数据显示，2010年度上市公司加大了风险管理力度，内部控制部分的平均得分由2009年度的39.6分上升到2010年度的46.5分。但是，尽管如此，我国上市公司内部控制整体水平偏低。据研究，在1763家样本中，内部控制整体水平偏高的仅占样本总数的1.47％，内部控制整体水平中等的占51.96％，内部控制整体水平偏低的占46.57％。具体而言，我国上市公司内部控制情况主要存在以下几点问题:内部控制环境不完善、风险管理意识淡薄、内部控制执行力不够及内部控制监管及信息披露不规范，从这些现存的问题中可以总结:内部控制体系健全并不等同于内部控制体系制度有效，行之有效才是真正的有效。特别是对于上市公司而言，在现代经营环境中，在获得丰富的机遇的同时也面临了更多、更复杂的风险，因此，为了适应不断变化的内外环境，为了满足自身发展的需要，上市公司设计一套完整的基于风险管理的内部控制体系迫在眉睫。　　根据内部控制最新理论成果，即COSO发布的《企业风险管理——整合框架》以及五部委联合发布的《内部控制配套指引》，上市公司在设计其内部控制体系的时候可以从内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控八个要素出发，逐步构建一个完整内部控制体系。以上市公司H公司为例，上市公司内部控制体系具体设计步骤可以分为:进一步完善上市公司内部控制环境;设定内部控制体系目标;梳理并固化公司基本业务流程，识别风险点;对风险点进行科学合理的评估;实施风险控制，执行具体控制活动;建立完善的信息与沟通系统;对内部控制体系进行监控几个步骤。　　内部控制体系设计完成后，H公司在实际操作及实施过程中遇到了一些问题，其中最突出的就是以下几个方面:内部控制体系设计时宏观与微观难以协调;各个部门对内部控制的认识不同，因此对各个风险点评估时提供的参数不同;实际推广实施时遇到阻力。针对这些问题，建议H公司可以从改善内部环境，帮助公司全体员工做好内部控制体系建设的准备，整合内部控制监督资源，完善信息沟通及披露机制几个方面入手确保内部控制体系的设计与实施落到实处。