公司的治理是与内部控制是密切相关的，上篇文章讲到，CADBURY法则规定，英国所有的公司董事都要在报告中说明他们公司内部控制的有效性。同时英国最近又出台新规则对董事会对外界公开发布内部控制的信息进行了规定。内部审计已成为对上市公司的普遍要求。内部审计过去主要是用来评估会计和财务，现在已经发展到对内部控制机制的审查和经营风险的审计。

 内部审计的目的是向公司的管理阶层和董事会提供有关风险评估和内部控制的一些报告。英国公司董事会每年都要召开专门的会议讨论公司的内部审计机制是否是否合适，是否有充足的资源来应付公司发展中的一些变化。公司的董事会在每年的报告中不仅要公开对外解释公司内部的金融财务控制，同时也要说明他们在经营上的控制是怎样进行的，以及他们在遵守法规方面的控制是如何实施的，在风险方面的控制是怎样进行的。

 风险控制在英国公司的董事议程或者会议纪要中往往占有大量篇幅，公司要定期从上到下进行风险分析；要将风险的管理和控制融入到公司的各方面去；董事会要对公司各个层面已经存在的一些风险管理还有风险控制的机制进行回顾和检查。在企业进行风险分析的时候，内部审计负责人会向董事会提供大量的帮助，以使董事会非常清晰的了解企业所面临的饿最大风险是什么。这种风险可以是市场的风险、融资的风险、雇佣人员的风险以及法律或规定方面的风险。

 该怎样定义内部控制呢？内部控制是一个过程，是由董事会、管理层和其他人员都发挥作用的一个过程，是不断变化发展的。为发挥各类人员的作用就必须引入内部控制的机制，并设计、保持和运行这个机制。

 COSO（国际内部审计师协会）认为内部控制的目标有三个：一是要有可信的财务报告，这个财务报告指的是公司内部使用的一些财务的信息，也包括对外公布的一些信息；二是要达到营运的功效和效率，就是说不仅要达到目的，还要通过有效率的办法达到；三是遵守法律。这些也是关于内部控制的定义。

 根据COSO的报告，内部控制由五个标准衡量其有效性，包括满意的控制环境、信息和沟通、风险的评估、控制和监督的活动。

 关于控制的环境，一方面是通过高层人员的道德情况来表现；另一方面也根据他们对各种各样的错误所做出反应的一致性得到体现。同时控制的环境也包括董事会的一些政策，比如商业行为的政策、关于欺诈行为的政策，还有关于公司内部组织结构安排的政策。

 如果没有有效的信息和沟通，就不可能有一个有效的内部控制机构。同时先要对风险进行评估，才能设计一个内部控制的机制，来减少风险。比如合并报表等。

 为了确保公司内部的这套机制有效运行，就要经常地监督和回顾内部控制机制的进展。美国和英国多方面的指导原则都要求董事会通过这五个因素来考察公司的运行是否处于一种有效的状况。