（一）1992年COSO报告的目标

每个企业都有自己的使命，要确立目标及相应战略。目标的设立应针对整个企业或企业内的特定行为。虽然很多目标只针对特定企业，但有一些还是普遍适用的，例如，几乎对所有企业普遍适用的目标有：在企业界和客户层保持良好的声誉，向股东提供可靠的财务报表，以及合法合规经营。1992年版《内部控制——整合框架》确定了三类目标。

1.经营目标——关于企业资源利用的效率、效果。

2.财务报告目标——关于编制公开财务报表的可靠性。

3.遵循性目标——关于法律和法规的遵循性。

这一分类有利于将内部控制的重点放在不同方面。内部控制的目的是实现三类既相互独立又相互联系的目标。这三类目标体现了不同的需求，也可能是不同管理人员的职责。这一分类还有利于区分每类控制的可能结果。内部控制系统可以为实现财务报告的可靠性和法律法规的遵循性目标提供合理的保证。这些目标（很大程度上是外界施加的）的实现，有赖于企业内部控制系统的实施。然而，经营目标的实现（如投资回报、市场份额、引进新产品）并非完全在企业控制能力之内。内部控制并不能阻止决策失误和意外事件的发生。只有管理层及时了解企业向既定目标迈进的程度，内部控制系统才能为企业目标的实现提供合理的保证。

（二）2004年COSO报告的目标

1.战略目标

它是企业高层次的目标，与企业的使命、愿景相协调，并支持使命和愿景。战略目标反映了管理层就企业如何努力为它的利益相关者创造价值所做出的选择，管理层要识别与此选择相关联的风险，并考虑它们可能产生的影响。

2.经营目标

经营目标与企业经营的有效性和效率有关，包括业绩和盈利目标以及保护资源不受损失，它因管理层对结构和业绩的选择而存在不同。

3.报告目标

报告目标与报告的可靠性有关，包括内部与外部报告，并且可能涉及财务与非财务信息。

4.合规目标(www.daowen.com)

合规目标与符合的相关法律和法规有关，取决于外部因素。在一些情况下对所有企业都适用，而在另一些情况下，则在一个行业内有共性。

对主体目标的这种分类，使我们可以关注企业内部控制的不同侧面。这些各不相同却相互交叉的类别（一个特定的目标可以归入多个类别），反映了不同的主体需要，并且可能成为不同管理者的直接责任。这个分类还有助于区分从每一类目标中能够期望的是什么。

企业风险管理渴望为实现报告的可靠性、符合法律和法规相关的目标提供合理保证。这些类型的目标的实现处于主体的控制范围，并且取决于主体相关活动完成的好坏。

战略目标（例如取得预定的市场份额）与经营目标（例如成功地引入一条新的产品线）的实现并不总是处在主体的控制范围。企业风险管理不能防止糟糕的判断或决策，或可能导致一项经营业务不能达成经营目标的外部事项。但是它的确能够增加管理层做出更好决策的可能性。针对这些目标，企业风险管理能够保证管理层和起监督作用的董事会及时了解主体朝着实现目标发展的进度。

（三）我国《企业内部控制基本规范》的目标

我国《企业内部控制基本规范》分为以下五个目标。

1.合规目标——企业经营管理合法合规。

2.资产目标——资产安全。

3.财务报告目标——合理保证财务报告及相关信息真实完整。

4.经营目标——提高经营效率和效果。

5.发展目标——促进企业实现发展战略。

这里，“合理保证财务报告及相关信息真实完整”与公司年度财务报告密切相关。这表明，加强企业内部控制建设对合理保证年报质量是极为重要的。美国的《萨班斯法案》第404条款主要是基于这方面的考虑而设计的。