美国的萨奥法案颁布以后,世界主要市场经济国家和地区都加强和完善了对企业尤其是上市公司内部控制的要求,颁布了相关的法律、法规,制定了内部控制规范和制度。自1992年美国COSO委员会发布《内部控制框架》(简称COSO报告)以来,该内部控制框架已经被世界上许多企业所采用,但是在先进的信息技术及市场条件下,传统的不重视风险的内部控制己显得过时。为了紧跟时代的步伐,发挥内部控制在企业管理中应有的效力,人们把目光投向了风险管理理论,理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与企业的风险管理相结合。实施企业全面风险管理(ERM)已成为21世纪全球企业管理发展的新趋势。在这种背景下,研究萨奥法案下基于COSO报告环境公司内部控制及全面风险管理体系建设的成功实践,既有一定的理论研究价值,也有较强的实际应用价值。本文采用案例分析的方法,选取在美国证券交易所上市的我国某股份有限公司(以下简称A公司)三年来内部控制的成功实践和最新发展,分析成熟资本市场上市公司内部控制的法律监管环境、分析其借鉴参考的COSO内部控制与风险管理框架,剖析其实施的程序和效果。在此基础上,对比分析我国上市公司现行内部控制监管环境、相关法律法规、最新的内部控制标准以及实施的程序和措施,针对财政部企业内部控制标准委员会最近发布的内部控制基本规范和具体规范(征求意见稿),借鉴COSO标准的发展轨迹,对我国上市公司内部控制定位、框架结构以及要素构成等方面提出改进意见。最后,在对我国上市公司内部控制与风险管理组织和实施方面,本文提供了可供参考的程序和策略。本文尝试以内部控制法律规范研究为主线,对比分析国内外内部控制监管环境和标准的差距,采用理论分析与实践启示相结合的方法,将理论融合于实践当中,从实践中发现理论的局限与不足,并对构建我国上市公司内部控制体系提出优化和改进意见。