内部控制的理论概述

内部控制的理论概述

（一）国际内部控制的发展

内部控制在国际上的发展可划分为五个阶段：20世纪40年代前，20世纪70年代前，20世纪80年代，20世纪90年代，21世纪。

1.20世纪40年代前，内部牵制阶段

内部牵制，它基本是以查错防弊为目的，以职务分离和账目核对为手法，以钱、账、物等会计事项为主要控制对象。内部牵制机能的执行大致可分为四类：（1）实物牵制。例如把保险柜的钥匙交给两个以上的人持有，若不是同时用这两把以上的钥匙，保险柜就打不开。（2）机械牵制。例如保险柜的大门若非正确的程序操作就打不开。（3）体制牵制。例如采用双重控制预防错误和舞弊的发生。（4）簿记牵制。例如定期将明细账与总账进行核对。

内部牵制基于以下两个基本设想：（1）两个或两个以上的人或部门无意识的犯同样错误的机会是很小的；（2）两个或两个以上的人或部门有意识的合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。实践证明这些设想是合理的，内部牵制机制能够有效减少错误和舞弊行为，因此在现代内部控制理论中，内部牵制仍占重要的地位，成为有关组织机构控制、职务分离控制的基础。

2.20世纪70年代前，内部控制制度

20世纪40年代至70年代，内部控制逐步演化为由组织结构、岗位职责、人员素质、业务处理流程等要素构成的内部控制系统，标志着企业内部控制制度阶段的到来。这一阶段将控制分为内部会计控制和内部管理控制。主要通过形成和推行一套内部控制制度来实施控制。

3.20世纪80年代，内部控制结构

20 世纪70 年代之后，在竞争加剧、跨国管理需求以及学术界努力的背景下，1988 年，美国注册会计师协会的审计准则委员会ASB 发布了以“财务报表审计对内部控制结构的考虑”为题的《审计准则公告第55 号》首次以“内部控制结构”代替“内部控制”，指出：“企业的内部控制结构（Internal Control Structure）包括为合理保证企业特定目标的实现而建立的各种政策和

程序”，并且明确了内部控制结构的内容，其具体内容包括：（1）控制环境，指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。（2）会计系统，规定各项经济业务的鉴定、分析、归类、登记和编报的方法，明确各项资产和负债的经营管理责任。（3）控制程序，指管理当局所制定的用以保证达到一定目的的方针和程序。对内部控制由偏重具体控制程序转为对内部控制系统的全方位研究，突出的变化是对控制环境的研究。

4.20世纪90年代，内部控制整体框架

1985 年全美反欺诈财务报告委员会的COSO 报告认为，内部控制是受董事会、管理层和其他人员影响的，为达到经营活动的效率和效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。具体包括以下要素：

（1）控制环境。控制环境，包括：单位的组织结构，董事会及其专门委员会（审计委员会和风险评估委员会）的关注和要求，管理部门的经营理念和风格，员工的正直性、职业道德和进取心，对企业经营产生影响的外部因素。

（2）风险评估。风险评估，新经济时代交易类型和工具日新月异，兼并收购、破产重组、关联方交易、电子商务、金融衍生产品等使人应接不暇。环境的变化使企业经营风险增大，企业必须设立可以辨认、分析和管理风险的机制，以确认公司的风险因素如资产风险、经营活动风险、内外环境风险、信息系统风险、合法性风险等，并确定风险因素的重要程度，评估各风险因素得分，确定高风险区域。

（3）控制活动。控制活动，控制活动使企业保证控制目标有效落实。包括经营活动的复查、业务活动的批准和授权、责任分离、保证对资产记录的接触和使用的安全、独立稽核等。

(4)信息和沟通。信息和沟通，以不同形式取得和传递信息，使内部员工懂得自己在控制系统中的作用、贡任，更好地履行职责，并形成有利的外部沟通环境。保持经营信息和控制信息畅通，以减少由于信息不对称导致的企业经管成本和社会监督成本的提高。

（5）自我评估和内部监督。内部控制应是一种实时过程，与经营管理活动紧密结合，随时进行自我评估和内部监督。企业内部应由有关管理人员和职员定期、独立地自上而下对各部门的控制进行评估、内部监督。

5.21世纪，企业风险管理框架

COSO 从2001 年开始企业风险管理框架的研究，并于2004 年9 月正式发布了名为企业风险管理框架ERM（Enterprise Risk Management）的研究报告。企业风险管理包括八个相互关联的构成要素。它们来源于管理当局经营企业的方式，并与管理过程整合在一起。这八个构成要素如下：内部环境，目标设定，风险识别，风险分析，风险应对，控制活动，信息与沟通，监控。

相对内部控制框架而言，ERM新增加了一个观念、一个目标、两个概念和三个要素，即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念，以及“目标制定”、“事项识别”和“风险应对”要素。从而克服了内部控制框架不重视战略管理和风险管理的不足之处，而尽量顾及企业的利益相关者，并更多地从企业战略的角度出发考虑风险管理的问题。（方红星，王宏，2005）

企业风险管理框架将内部控制上升至全面风险管理的高度来认识，描述了企业风险管理构成要素、原则与概念；关注风险管理，为董事会与管理层识别风险、规避陷阱、把握机遇、增加股东价值提供了清晰的指南。

（二）国内内部控制的发展

内控更多的体现的是一种管理的方法和理念，它与所处的内、外环境、管理层的思维方式和习惯、与国家的法律法规体系等都是紧密联系的，内控要体现国别中法律、人文等环境的不可协调性，所以不能拿来就用，需要进行改造。萨班斯法案的操作成本太高，对规模较小的中国企业来说操作难度太大。在公司治理方面，企业文化与国际或者美国的企业有差距，内控当然不能照搬，另外，很多中国的上市公司的基础较差，要达到萨班斯法案的要求会很难。因此，我国需要有一套具有适合自己的内控体系，在我国，内部控制大致经历了以下三个阶段：

1. 20世纪80年代前，内部牵制阶段

在这个阶段，整个国家推行的是苏联模式的高度集中的计划经济，企业基本没有经营自主权，一切经济活动都以国家为中心，对企业来说只要执行好国家分配的任务就达成目标。在这种封闭的模式下，企业面对的是确定型的环境，没有任何风险可言，政府部门颁布一些零散的有关基于内部牵制的规章制度，强调不相容岗位的分离。

(1)1978年9月12日，国务院颁布《会计人员职权条例》。