认识企业内部控制

企业内部控制的演进

现代内部控制的理论与实务是在西方工业化的进程中建立和发展起来的。企业内部控制的演进，可以分为以下五个阶段。

1.内部牵制阶段（Internal Check）

内部牵制阶段为18世纪末期至20世纪40年代。18世纪后期，工业革命爆发，公司制、工厂组织取代了家庭手工业。为了保护资产，提高管理水平，一些公司逐步摸索出调节、制约和检查生产经营活动的办法，包括岗位分离、交叉检查与控制、账簿记录与监督检查等，以达到防弊纠错的目的，即内部牵制。“内部牵制”这个概念最早由英国的劳伦斯·罗伯特·迪克西（L.R.Dicksee）于1905年提出，他认为内部牵制包含了三个要素，即职责分工、会计记录与人员轮换。他认为，一个人或一个部门犯无意识错误的可能性要高于两个或两个以上的人或部门犯同样错误的可能性；一个人或一个部门更易出现舞弊行为，但若是两个或两个以上的人或部门同时做，就不太可能出现合伙舞弊。

2.内部控制制度阶段（Internal Control System）

1936年美国注册会计师协会（AICPA）颁布的《独立公共会计师对财务报表的审查》中，首次定义了“内部控制”这一专业术语。它指出内部控制为内部稽核与控制制度，是为保证公司现金和其他资产的安全、检查账簿记录的准确性而采取的各种措施和方法。然而，这一定义只是狭隘地将内部控制作为保障会计资料的措施，落后于当时的内部控制实务发展，因此这一概念的提出并未引起重视与广泛接受。1949年，AICPA所属的审计程序委员会（the Committee on Auditing Procedure）发布了题名为《内部控制：系统协调的要素及其对管理层和独立审计师的重要性》的专题报告，在该报告中将内部控制表述为：经济组织为保护其资产完整性、保证会计资料的准确性与可靠性，推动管理部门制订的各项管理政策得以贯彻执行而采用的所有方法与措施。这一概念不仅涉及会计领域有关的控制，更涉及企业经营管理效率与效果领域，大大拓展了内部控制的范围。

3.内部控制结构阶段（Internal Control Structure）

20世纪70年代以来一连串的公司倒闭、财务欺诈与舞弊事件，引爆了对审计失败的诉讼，迫使人们反思“会计控制”与“管理控制”分合的问题。在1988年发布的《审计准则公告第55号》中，AICPA以“财务报表审计对内部控制结构的考虑”为题，首次提出了“内部控制结构”的概念，从而取代了“内部控制制度”。内部控制结构是指企业为实现特定目标而建立的各种政策和程序。在这一公告中，还明确指出了内部控制包括三个要素：控制环境、会计系统与控制程序。

4.内部控制整合框架阶段（InternalControlIntegratedFramework）

为了探求公司舞弊的原因、后果和特征，并寻求解决之道，美国反欺诈财务报告全国委员会经过数年研究发现，近50%的财务报告舞弊是由于或部分由于内部控制失败，内部控制设计与执行不力是导致财务舞弊与欺诈的重要原因。故在1987年，该委员会成立了发起组织委员会，即COSO，专门研究内部控制问题。在广泛吸收与整合各界对内部控制的关键需求与期望后，COSO在1992年发布了划时代意义的纲领性文件《内部控制——整合框架》，即COSO报告。COSO报告得到了各界的热烈响应与追捧，1994年经过局部修改之后成为世界内部控制领域的权威框架。

5.内部控制风险管理阶段（Risk Management Integrated Framework）

21世纪初连续发生财务丑闻与舞弊事件，尤其是安然、施乐、世通等大公司，备受全球瞩目。投资者和监管层强烈呼吁增加新的准则来对公司内部控制予以更严格的监管，以及出台一个更为清晰明朗的内部控制框架，来识别、控制与评估公司面临的内外部风险。美国于2002年颁布了《萨班斯—奥克斯利法案》。其中涉及内部控制的主要集中在第103条款、302条款与404条款，如404（a）条款要求，管理层必须在公司的年度报告中包含其对内部控制的评估报告；404（b）条款要求，就管理层对公司内部控制做出的评估，审计师要对该评估报告进行证实和报告。该法案号称是美国资本市场监管史上的最严法案，标志着美国内部控制根本思想向实质性管制的转变。此后，COSO委员会在吸收该法案对内部控制的规定后，在2004年颁布了《企业风险管理——整合框架》，将内部控制由整合框架扩展为风险管理框架。