随着企业内部控制实践经验的丰富，内部控制理论也逐渐发展起来。总体来说，内控理论大致经历了内部牵制、内部控制、内部控制结构和内部控制综合框架四个理论阶段。由美国注册会计师协会(AICPA)、美国会计学会（AAA）、财务经理协会(FEI)、国际内部审计师协会(IIA)和管理会计师协会(IMA)五大学会共同组成的COSO（Committee of Sponsoring Organizations of theTreadway Commission发起组织委员会），于1992年发表了《内部控制——综合框架》报告，标志着内部控制理论与实践进入了整体框架的新阶段，并被世界上许多企业所采用。在《内部控制——综合框架》中，COSO认为，内部控制是受公司董事会、管理层和其他人员影响的，为达到经营活动的效率效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。内部控制包含了五大要素:控制环境、风险评估、控制活动、信息与沟通、监督。　　随着时间的推移，理论界和实务界逐渐意识到，在公司业务规模不断扩大、其所面临的经济环境日趋复杂的背景下，该内部控制框架的局限性也日益显现，如对风险强调不够，使得内部控制无法与企业的风险管理相结合。而恰在此时，2001年和2002年美国相继爆出的安然、世通等跨国大公司的财务丑闻，催生了被誉为“自罗斯福总统以来美国商业界影响最为深远的改革法案”的《萨班斯——奥克斯利法案》（Sarbanes-Oxley Act of2002）。该法案对公司的财务信息披露、公司高管的职责与法律责任等等监管方面做了严格的规定，尤其以其中的404条款执行成本最高、难度最大。　　2004年，COSO在1992年报告的基础上，结合《萨班斯——奥克斯法利案》的相关要求，扩展研究并发布了《企业风险管理——综合框架》。与传统内部控制框架相比，新框架有了较多的变化。这些变化主要体现在:　　首先，对风险管理的定义更加科学了。在企业风险管理框架下，COSO将风险管理定义为:一个为了实现各类目标，贯穿整个企业的所有层级和单位，旨在识别影响组织的事件并在组织的风险偏好范围内管理风险，并为企业的战略制定提供合理保证的过程。其次，发展了内部控制的目标。风险管理框架中除了经营目标和合法性目标与内部控制整体框架相似以外，将“财务报告的可靠性”发展为“报告的可靠性”。新框架将报告拓展到“内部的和外部的”、“财务的和非财务的报告”，该目标涵盖了企业的所有报告。除此之外，新COSO报告提出了一类新的目标——战略目标，该目标的层次比其他三个目标更高。再次，发展了内部控制的要素。风险管理框架对内部控制的五个要素进行了深化和拓展，将其演变为八个要素。例如，风险管理框架中引入了风险偏好和风险文化，将原有的“控制环境”扩展为“内部环境”;风险管理框架建议更加透彻地看待风险管理，即从固有风险和残存风险的角度来看待风险;风险管理框架包括了与组织的各个阶层、各类目标相关的信息，这就对管理层将巨量的信息处理和精炼成可控的信息(actionable information)提出了挑战。最后，风险管理框架则将风险定义为“可能有负面影响的事项”，并且引入了风险偏好、风险容忍度等概念，将原有的风险评估这一要素，发展为目标设定、事项识别、风险评估和风险反应四个要素。　　在《企业风险管理——综合框架》发布的同时，为了配合《萨班斯法案》404条款的执行，美国证券交易委员会(SEC)制定了详细的规则，这些规则为CEO和CFO对主体财务呈报内部控制和披露控制的报告提供了指南。同时，在2004年3月9日，公众公司会计监管委员会(PCAOB)发布了其第2号审计标准:《与财务报表审计相关的针对财务报告的内部控制的审计》，并于2004年6月18日经SEC批准。该审计标准关注对财务报告的内部控制的审计工作，以及这项工作与财务报表审计的关系问题。　　具体而言，404条款的执行包括以下主要内容:第一，要从整体上，全局的高度强化对404项目的监督和管理，并确保公司内部的权责分工明确。第二，界定重要会计科目、披露事项和组成结构;业务流程（循环）和子流程（子循环）;以及应执行内部控制的记录，明确对公司外部财务报告中重要会计科目和披露事项进行相关财务报表认定的控制程序。第三，公司有责任来建立流程记录和内控记录，并且维护这样的记录是有效的内部控制的内在要求。第四，确定准备进行测试的内控，并评估测试的结果。第五，根据对测试结果的评估，管理层应识别哪些是内控缺陷，确定缺陷类别，并在递交给SEC的年度关于财务报告的内控报告中披露这些缺陷。第六，管理层必须将其发现的所有重要缺陷和实质性漏洞告知审计委员会和外部审计师，而且这样的沟通至少应每季度进行一次。　　可以看出，《企业风险管理——综合框架》与《萨班斯法案》404条款在执行层面有着高度的契合性。404条款要求上市公司在年报中披露专门的内部控制报告，并明确:管理层对建立和维持良好内部控制、审查报表、披露所有实质性缺陷负责，并建立相应的机制来保证公司具有合理的内部控制结构及程序;以及会计师需要对该内部控制系统的有效性进行评估和测试。404条款的应用细则中，每一个组成部分都包含了风险管理的要素。尤其在测试阶段，风险管理的全部要素都囊括其中。　　中国联通公司作为一家在美国上市的公司，以解决当前影响公司经营效益、财务信息真实性以及可能导致出现实质性漏洞的26个问题为重点，以细化的82个整改落实目标的完成情况及351个关键控制点的控制效果为内容，全面推进风险管理建设与评审工作，在实践和思考方面均取得了较为显著的成果。　　《萨班斯法案》及《企业风险管理——综合框架》对如何进行我国企业内部控制制度的评价具有重要意义。我国自20世纪90年代起开始加大政府对内部控制的推动作用，现有的法律法规和行政规范中多项涉及到内部控制的内容。虽然政府监管部门对单位内部控制的建立健全提出了一定的要求，但没有对管理层进行内部控制制度有效性评价提供实质性指导，从而造成不同公司的管理层在进行内部控制的有效性评价时没有一个统一的标准。与此同时，我国的内部会计规范才刚刚开始，一套完整的内部会计控制规范体系的建立还有待时日，这也给内部控制有效性评价增加了难度。企业必须评估其内部控制的设计与执行两个方面的有效性，确保内部控制规范真正落到实处，从而维护正常的市场秩序，保护投资人、债权人、经营者的长远利益。而在这些方面，《萨班斯法案》、SEC规则、PCAOB的审计准则和COSO的企业风险管理框架，对我国财务报告内部控制有效性评价具有一定的启发和借鉴意义。