内部控制的历史演进及其脉络评述

-内部控制的历史演进及其脉络评述内部控制在古代社会就已经存在，古代社会巴比伦的契约证书、古埃及的国库支付、中国周王朝的政府预算和官厅审计、古希腊的公共财产收支管理、古罗马的“双人记账制”，无不体现了内部控制的思想。1936年，美国颁布了独立公共会计师对财务报表的审查，首次提出了内部控制：“内部稽核与控制制度是指为保证公司现金和其他资产的安全，检查账簿记录的准确性而采取的各种措施和方法”。1949年，美国会计师协会的审计程序委员会在一份题为内部控制，一种协调制度要素及其对管理当局和独立注册会计师的重要性的报告，对内部控制首次作了权威性定义： “内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。” 一、内部控制的历史演进（一）内部牵制阶段（20世纪40年代前）内部控制（Internal control）源于内部牵制（Internal check）。一般认为，上世纪40年代以前是内部牵制阶段。内部牵制基于以下两个假设：（1）两个或两个以上的人或部门，无意识犯同样错误的可能性很小；（2）两个或两个以上的人或部门，有意识地合伙舞弊的可能性大大低于一个人或部门舞弊的可能性。古代的内部牵制的实践，出现了简单的内部牵制实践，囿于当时生产条件和科技水平的限制，没有也不可能有现代意义上的内部控制思想。15世纪末，随着资本主义经济的初步发展，复式记账法开始出现，内部牵制渐趋成熟。18世纪工业革命以后美国的一些企业逐渐摸索出一些组织、调节、制约和检查企业生产经营活动的办法，逐步建立了内部牵制制度。它的主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查控制。在现代的内部控制理论中，内部牵制仍占有相当重要的地位，是有关组织规划、职务分离控制的基础。（二）内部控制制度阶段（20世纪40年代后到70年代末）20世纪40年代至70年代，在内部牵制的基础上，逐渐产生了内部控制制度（Internal accounting system）的概念。第二次世界大战后，随着科学技术的革新和生产自动化迅猛发展，企业规模日益壮大，期间涌现出大量的巨头公司，市场竞争也日趋激烈，对企业的内部控制提出了更高的要求。这时，一方面企业需要在企业管理上采用更为完善、更为有效的控制方法以改变传统的靠小生产方式及经验管理对企业的影响；另一方面，为了适应当时社会经济的关系，保护投资者和债权人的经济利益，西方各国纷纷以法律的形式要求通过内部控制强化对企业财务会计资料以及各种经济活动的内部管理。（三）内部控制结构阶段（20世纪80年代至90年代）20世纪70年代以后，内部控制的研究重点逐步从一般涵义向具体内容深化。这时西方学者在对内部会计控制和管理控制进行研究时认为，虽然区分会计控制和管理控制对审计师非常重要，但是并不是所有的会计控制都不是没有管理控制对财务报表的可靠性具有重大鉴证意义。而且认为这两者是不可分割的，是相互联系的。与此同时，控制环境逐步被纳入内部控制范畴。于是，美国注册会计师协会（AICPA）于1988年发布的审计准则公告第55号（ SAS55 ），从1990年1月起取代1973年发布的审计准则公告第1号。首次以“内部控制结构”（Internal Control Structure）一词取代原有的“内部控制”一词，该公报认为，“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”，并指出内部控制结构由控制环境、会计制度和控制程序三个方面组成。（四）内部控制整体框架阶段（20世纪90年代后至20世纪末）1992年，美国“反对虚假财务报告委员会”（National Commission on Fraudulent Reporting），所属的内部控制专门研究委员会发起机构委员会（Committee of Sponsoring Organizations of the Tread-way Commission，简称COSO委员会），在进行专门研究后提出专题报告：内部控制整体架构（Internal ControlIntegrated Framework），也称COSO报告。经过两年的修改，1994年COSO 委员会提出对外报告的修改篇，扩大了内部控制的范围，增加了与保障资产安全有关的控制，得到了美国审计署（General Accounting Office，GAO）的认可。与此同时AICPA全面接受COSO报告的内容，于1995年据以发布了审计准则公告第78号（SAS N0. 78），并自1997年1月起取代了审计准则公告第55号。（五）企业风险管理整体框架阶段（21世纪开始）2003年7月，美国COSO委员会颁布了企业风险管理整体框架（Enterprise Risk ManagementIntegrated Framework）的讨论稿，并与2004年4月颁发了正式稿。该企业风险管理框架是在内部控制整体框架的基础上，吸取了各方面内部控制风险管理的成果，结合萨班斯法案在报告方面的要求，进行扩展研究得到的。普华永道的项目参与者认为，新报告中有60的内容得益于COSO 1992年报告所做的工作。新的企业风险管理框架就是在1992年的研究成果内部控制框架报告的基础上发展而来；因而，一般认为，企业风险管理是广义的企业内部控制。二、内部控制演进的脉络评述（一）“一分法”到“二分法”：经验总结到系统构建内部牵制方法一般包括：实物牵制（如有两个或两个以上的人共同完成一项重要资产的保管任务，在缺少某一人的情况下，无法获得或接近该重要资产）、机械牵制（如各项业务处理按照正式的流程描述或流程图的形式表示出来，形成制度性的文件执行）、体制牵制（主要表现为职责分离）、簿记牵制（如明细账和总账的核对相符）四类。内部控制更类似于COSO框架五要素中的“控制活动”。1958年美国注册会计师协会（AICPA）下属的审计程序委员会（ASB）将内部控制的定义作了进一步的说明，并将内部控制划分为：内部会计控制和内部管理控制。前者是指与财产安全和会计记录的准确性、可靠性有直接联系的方法和程序，后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。将内部控制一分为二，使得审计人员在研究和评价企业内部控制制度的基础上，来确定实质性测试的范围和方式成为可能。从此，内部控制从“一分法”进化到“二分法”。会计基本流程分为：经济业务原始凭证记账凭证会计账簿财务报告。笔者认为，会计控制是信息控制，可以称之为结果控制，管理控制是业务控制，可以称之为过程控制。 “一分法”更倾向于是一种生活经验的总结，而“二分法”则体现为一套科学系统的构建。然而遗憾的是，“会计”和“管理”、“业务”与“信息”、“过程”与“结果”的关系十分微妙的，界限很难分明。（二）“二分法”到“三分法”：外部视角到内部视角美国SAS No. 55该文告的颁布和实施可视为内部控制理论研究的一个新的突破性成果。重点表现在：正式将内部控制环境纳入内部控制范畴；不再区分会计控制和管理控制。美国SAS No. 55指出：“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”，并且明确了内部控制结构的内容：控制环境、会计系统、控制程序。从此，内部控制从“二分法”进化到“三分法”。比较上一次进化而言，这次更能体现为“质”的变化。将内部控制划分为“内部会计控制”和“内部管理控制”的“二分法”，更多是基于外部视角。而“三分法”则是基于内部视角。“二分法”是“别人看内控”，“三分法”是“内控看自己”。但我们看到，“二分法”给“三分法”留下了很深的烙印：“会计控制”“会计系统”，“管理控制”“控制程序”。“二分法”“三分法”要素控制环境会计控制会计系统管理控制控制程序这种改变，并不仅仅是“概念”的改变，更是“理念”的改变。“会计控制”和“管理控制”是并列的，而“会计系统”和“控制程序”是互补的。“会计控制”和“管理控制”是结合的，而“会计系统”和“控制程序”是融合的。（三）“三分法”到“五分法”：内部结构到整体框架根据COSO委员会的内部控制整体框架报告中的定义，“内部控制是受公司董事会、管理层和其他人员影响的，为达到经营活动的效率效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。”COSO报告是目前国内外最为权威的内部控制理论，其内涵和外延比以往任何一个内控概念都要深刻和宽泛。COSO报告认为内部控制整体架构主要由：控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。“五分法”是对“三分法”的进一步深化，甚至是“革命化”。“会计系统”和“控制程序”经过融合，进一步分解为 “控制活动”、“信息与沟通”、“监督”。 “三分法”中，“会计系统”和“控制程序”是互补的，但联系不够。而在“五分法”中，“控制活动”、“信息与沟通”、“监督”之间的关系更融合，联系更紧密，让内控更具有流程化和可操作性。另外，“五分法”的另一个典型特征，就是增加了“风险评估”要素。“风险评估”让内部控制从单纯地防范已知风险，到兼顾防范未知风险，更具有前瞻性。（四）“五分法”到“八分法”：兼顾未来到突出未来COSO在2002年定义风险管理为：“企业风险管理是一个过程，受企业董事会、管理当局和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理的保证”。企业风险管理分为：内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素，各要素贯穿在企业的管理过程之中。从此，“五分法”进化到“八分法”。“八分法”主要对“风险评估”进一步的分解和补充，从兼顾未来到突出未来。COSO内部控制整体框架COSO企业风险管理整体框架基调管理层为达到目标，进行内部控制的需求满足管理层为了达到一定的目标，进行企业风险管理的需求目标（1）经营目标（2）财务报告目标（3）合规目标（1）战略目标（新增，全局掌控）（2）经营目标（3）报告目标（范围更广）（4）合规目标风险观没有提出风险组合观，只有风险评估从企业总体层面，提出风险组合观环境管理层及员工的内部控制观念管理层及员工的风险观念，并提出风险偏好、风险容限概念要素（1）控制环境（2）风险评估（3）控制活动（4）信息与沟通（5）监控（1）内部环境（更广义）（2）目标设定（新增）（3）事项识别（新增）（4）风险评估 （5）风险应对（新增）（6）控制活动（7）信息与沟通（8）监控内部控制的发展演进，与时代息息相关。50年代初，内部控制进入内部控制制度阶段，划分为内部会计控制和内部管理控制。而同时期，第三次科技革命导致的资本主义世界的“战后繁荣”，让管理学研究进入了“管理丛林时代”，而会计学的另一分支管理会计，也正式诞生。90年代，COSO报告的颁布，提出了内部控制的权威定义，认为“由企业董