内部控制的基础理论及发展运用

　　第二章 内部控制的基础理论及发展运用

　　第一节 内部控制理论的发展及现状

　　一、内部控制理论的演进

　　内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序,是随着单位对内强化管理,对外满足社会需要而不断丰富和发展起来的。内部控制历史可以追溯到远古时代的公共资金管理等活动。但现代意义的内部控制,其产生仅仅是近几十年的事。在不同的国家或地区,不同的历史发展阶段,受当地或当时特定的社会政治、法律、经济环境和管理制度的影响,内部控制的内容、形态、方法和作用等也会存在或多或少的差异。大体上可以将内部控制的产生和s发展分为五个阶段:内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整体框架阶段和风险管理阶段。

　　(―)“内部牵制”阶段(20世纪40年代前)
　　
　　“内部牵制”是以账目间的相互核对为主要内容并实施岗位分离,这在早期被认为是确保所有账目正确无误的一种理想方法。

　　“内部牵制”制度的出现最早可追溯到公元前3600年以前的美索不达米亚文化时期。后来随着西方经济的发展,内部牵制制度也发展到了一个新的阶段。

　　L.R.Dicksee最早于1905年提出内部牵制这个概念,他认为,内部牵制由三个要素构成:职责分工、会计纪录、人员轮换。后来,随着生产资料的所有权和经营权的逐渐分离,内部牵制理论逐渐成型,主要基于以下两个设想:

　　(1)两个或两个以上的人或部门无意识的犯同样的错误要比单独一个人或部门犯错误的机率小;(2)两个或两个以上的人或部门有意识地合伙舞弊的可能性远远低于单独一个人或部门舞弊的可能性。

　　在这样的理论基础上建立起来内部牵制制度,要求经济业务的处理不能由一个人或一个部门总揽全程,这在现代的内控理论中仍然占据着重要的地位。一般来说,内部牵制机制的执行大致可分为四类:实物牵制、机械牵制、体制牵制、簿记牵制。

　　(二)“内部控制制度”阶段(20世纪40年代至70年代)
　　
　　进入20世纪后,生产的社会化程度空前提高。随着竞争的日益加剧,企业必须不断加强管理,采取更加完善、更为有效的控制方法。在这种形式下,早期的内部牵制制度显然难以满足加强企业管理的需要。因此,从20世纪40年代开始,内部牵制制度逐步演变为由组织结构、岗位职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。

　　1949年,美国注册会计师协会所属的审计程序委员会发表了一份题为《内部控制:协调系统的诸要素及其对管理层和注册会计师的必要性》的特别报告,第一次正式提出了内部控制的概念。随着社会各方面对内部控制制度作用认识的提高,内部控制迅速被一些经济发达国家所重视并加以推广,如英国特许会计师协会在1961年提出了完整的内部控制的概念,加拿大、澳大利亚、日本、德国等国家也先后提出了相应的概念或作出了规定。1958年美国注册会计师协会所属的审计程序委员会发布了第29号审计程序公报《独立审计人员评价内部控制的范围》,将内部控制分为内部会计控制和内部管理控制两类,提出了内部控制的“二分法”。

　　(三)“内部控制结构”阶段(20世纪80年代至卯年代)
　　
　　进入20世纪80年代后,内部控制理论又有了新的发展,人们对内部控制的研宄重点逐步从一般涵义向具体内容深化。其标志是美国注册会计师协会于1988年5月发布的《审计准则公告第55号》。在公告中以“内部控制结构”概念取代了 “内部控制制度”。该公告认为:“企业内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序。”该公告不再区分会计控制与管理控制,而统一以要素表述内部控制结构,它们是:控制环境、会计制度、控制程序。

　　在这三个构成要素中,会计制度是内部控制结构的关键要素,控制程序是保证内部控制结构有效运行的机制。这一概念跳出了 “二分法”的圈子,特别强调了管理者对内部控制的态度、认识和行为等控制环境的重要作用。内部控制结构概念的提出,适应了经济形势发展和企业经营管理的需要,因而得到了会计审计界的认可。然而,这一理论只是在新环境下为应企业管理发展需求而产生的,快就被新的理论所代替,这就是资助组织委员会的《内部控制-整体框架》。

　　(四)“内部控制整体框架”阶段(20世纪90年代至21世纪初)

　　1992年9月,美国注册会计师协会、会计学会和国际审计师协会、管理会计师协会及财务经理协会共同组成的资助委员会(Committee of SponsoringOrganization,简称COSO)颁布了指导内部控制实践的纲领性文件一《内部控制一整体框架》,并于1994年进行了増补。这份报告堪称内部控制发展史上的又一里程碑。

　　C0S0委员会指出:“内部控制是受企业董事会、管理层和其他员工共同作用,为财务报告的可靠性、经营活动的效果性和效率性、以及对适用的法律法规的遵循性等目标的实现而提供合理保证的过程。”同时提出了内部控制构成的概念,即内部控制整体框架包含了五个相互联系的要素:控制环境、风险评估、控制活动、信息与沟通、监督。

　　可以说,内部控制框架提供了一个普遍认可、内涵统一的内部控制概念框架和评价方法,其涵盖的范围比以往任何一个概念都更为广泛。

　　(五)“风险管理”阶段(21世纪初以后)
　　
　　2001年以来,随着美国安然等一系列财务丑闻的发生,美国国会颁布了《萨班斯一奥克斯法案》,其中的404条款要求上市公司的管理当局对内控的有效性进行披露。

　　2004年10月,C0S0委员会在1992年发布的《内部控制一整体框架》基础上结合萨班斯法案,颁布了《企业风险管理一整体框架》(Enterprise RiskManagement Integrated-Framework,简称ERM),提出企业风险管理与企业内部控制应紧密结合起来,把风险管理应用于整个企业的战略规划之中,以确保企业目标的实现。根据C0S0的定义:“全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定开始贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。”

　　与内部控制整体框架相比,企业风险管理整体框架在管理范围及内容上都更加全面。它扩展了内部控制整体框架的内容,增加了管理目标、管理要素,提出了风险组合和整体风险管理观念,体现出新的市场条件下企业管理对于内部控制体系的要求,标志着内部控制与风险管理逐渐走向趋同。

　　二、内部控制理论在我国的研究现状

　　从内部控制理论的演进历史可以看出,内部控制是经济发展的产物,不同的经济发展阶段就需要有不同的内部控制与之相匹配。我国由于经济发展长期处于封建社会的压抑状态之下,直到改革开放之后才逐渐起色,因此在内部控制理论的研宄方面不可避免地较西方发达国家来得滞后,可以说,90年代之前,中国在内部控制理论方面几乎没有什么重大发展,基本是照搬西方发达国家的理论,在实务中的应用也处于内部控制制度及内部控制结构阶段,而且基本上是以会计控制为主。

　　进入90年代,中国经济逐渐进入了高速发展的阶段,对于内部控制的要求也就越来越高。财政部、中国注册会计师协会等部门组织相继发布了一系列关于内部控制的的法规:

　　(一)1996年财政部颁布了《会计基础工作规范》,其中对于企业会计机构的设置、会计人员岗位的安排、回避制度、交接制度等做出了规定,体现出了内部控制的一些基本原理。

　　(二)1996年12月中国注册会计师协会发布了《独立审计准则第9号一内部控制和审计风险》,标志着会计实务界对于内部控制工作幵始进行关注。其对于内部控制的定义为:“内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策和程序。”内部控制系统包括控制环境、会计系统和控制程序三大要素。

　　(三)财政部于2008年6月颁布了《企业内部控制基本规范》,要求自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。之后又陆续发布了《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制鉴证指引》等一系列配套办法,形成一套完整的内部控制规范体系。该规范第一次将内部控制独立于会计制度之外发布,标志着内部控制研宄在我国开始成为一个独立的领域,是我国内部控制理论研宄的一个重大进步。

　　该规范对内部控制的定义为:“是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”即内部控制需要实现的5个目标。同时提出,建立与实施有效的内部控制,应当包括以下5个要素:内部环境、风险评估、控制活动、信息沟通以及内部监督。

　　《企业内部控制基本规范》的目标和要素基本上与COSO的内部控制整体框架相一致,标志着我国内部控制研宄正逐步走向与国际先进水平接轨的道路。

　　第二节COSO内部控制整体框架与风险管理整体框架通过对国内外内控理论的比较,可以看出,代表内部控制理论的最先进水平的纲领主要是COSO (由美国注册会计师协会、会计学会和国际审计师协会、管理会计师协会及财务经理协会共同组成的资助委员会)的《内部控制-整体框架》以及《企业风险管理一整体框架》。前者代表了目前国内内部控制领域所能达到的最高水平,后者则指出了今后内部控制领域有可能发展的未来的方向。对于这两者的进一步详细研究比较,有助于加深对内部控制理论的理解,提高内控体系建设的有效性。

　　一、C0S0内部控制整体框架

　　1992年COSO《内部控制一整体框架》的核心内容是内部控制的定义、目标和要素。报告中提出的观点,超越了以往的内部控制思想。其整体框架主要由“三个目标”和“五个要素”组成。

　　(一)内部控制的定义

　　COSO认为:“内部控制是受企业董事会、管理层和其他员工共同作用,为财务报告的可靠性、经营活动的效果性和效率性、以及对适用的法律法规的遵循性等目标的实现而提供合理保证的过程。”定义明确指出内部控制具有四个要点:

　　1、内部控制是一个过程:这意味着内部控制有一个明确的终点;2、内部控制受人为影响:说明内部控制的执行的好坏与人的因素息息相关;3、内部控制要达到三个目标:即信息性目标、操作性目标以及遵从性目标;4、内部控制仅提供合理的保证:说明内部控制是无法达到绝对的保证;
　　
　　(二)内部控制目标

　　1、信息性目标:财务和管理目标的可靠性、完整性和及时性;2、操作性目标:各种经营活动的效果和效率;3、遵从性目标:遵从现行法律和规章制度。

　　这三大目标既满足不同的需要,又相互交叉。这是一种“全部控制论”的概念,良好的内控系统应能够确保上述目标的实现。

　　(三)内部控制要素

　　内部控制要素有五个:控制环境、风险评估、控制活动、信息与沟通及监督。内部控制要素是为实现或达到内部控制目标所必须的条件,二者之间存在直接的关系。

　　1、控制环境。控制环境由反映了管理当局及企业所有者对内部控制的全面态度的各种行为、政策和程序组成,具体包括:员工的诚信和道德价值观、评定员工的能力、董事会和审计委员会、组织结构、管理哲学和经营方式、授权和责任方式、人力资源政策和实施等内容。

　　2、风险评估。风险评估指识别、分析相关风险以实现既定目标,从而形成风险管理的基础。风险识别是从风险产生的原因入手,通过各种识别工具和方法来发现客观存在的不确定性,即找出各种风险及其存在领域;风险分析则是在风险识别的基础上,建立风险的详细清单,分析引起风险事项的各种原因和可能的后果。

　　3、控制活动。控制活动是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而釆取的程序和政策。主要包括高层检查、业绩评价、直接管理、信息加工、实物控制、确定指标、职责分离等。

　　4、信息与沟通。信息与沟通系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。它包括员工间的联系、员工与上级之间的联系等内部沟通,以及与顾客、供应商、外部审计人员、政府机关等之间的外部沟通。沟通方式有政策手册、财务报告手册、备查簿等。

　　5、监控。整个内部控制的过程必须施以恰当的监督,通过监控活动在必要时对其加以修正。

　　上述五要素之间互相关联。控制环境是基础,风险评估是依据,而控制活动是实施内部控制的手段,信息沟通是内部控制执行的载体,监督活动是内部控制得以顺利实施的保证。

　　二、COSO企业风险管理整体框架

　　2001年,COSO委员会委托普华永道设计一种能被企业管理层用来评估和改善企业风险管理的框架。在这一时期,美国安然公司、世通公司相继暴露出严重的财务丑闻,使投资者、公司员工及其他利益相关方蒙受了巨大的损失,要求改善公司治理结构和提高风险管理能力的呼声日益高涨。

　　2002年,美国通过的《萨班斯法案》也要求上市公司应全面关注风险,提交企业内控机制及报告体系。正是在这一背景下,COSO委员会于2004年9月颁布了《企业风险管理一整体框架》。该框架是在C0S0的《内部控制一整体框架》报告的基础上进行扩展研宄提出来的,被公认是目前满足萨班斯法案所要求的企业内部控制体系的最佳实践依据。风险管理整体框架由四个目标、八个要素和四个层级共同构成了一个三维框架。如图1所示:【1】
　　

　　(一)第一维度:四个目标

　　1、战略目标:是企业的高层次目标,与企业的任务和预期相联系并支持企业的任务和预期;2、经营目标:是指企业经营的有效性和效率,包括业绩目标和盈利性目标,根据管理者对企业结构和经营选择的不同而变化;3、报告目标:指企业报告的有效性,包括内部和外部报告,既涉及财务信息,也涉及非财务信息。4、合法目标:是指企业是否遵循相关的法律和法规。

　　(二)第二维度:八个要素

　　企业全面风险管理包括内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个相互联系的要素。各要素之间都渗透着风险的相关内容,这些内容环环相扣、浑然一体,并贯穿在企业的管理过程中,同时也表示企业全面风险管理的框架流程。

　　(三)第三维度:四个层级

　　包括整个企业整体层面、部门层面、业务单位层面、子公司层面。

　　从内容上看,风险管理整体框架继承包含了内部控制整体框架的主体内容,同时扩展了目标设定、事项识别和风险应对三个要素,增加一个战略目标。

　　(四)COSO全面风险整体框架的特点

　　1、是以目标设定、事项识别、风险评估、风险应对、控制活动、监控等要素为环节的一个不断修正、循环往复的过程,并渗透于各项经营管理活动中。

　　2、是一个全员参与的过程,设计企业董事会、管理层和所有员工的全部行为。

　　3、应用于企业内部每个层次和部门,考虑组织内所有层面的活动,包括从企业总体活动到业务部门活动,再到业务流程。

　　4、为完成企业的战略目标服务,及时、全面地为管理者提供与不同战略相关联的风险信息,同时,在企业的整体风险偏好内管理风险。

　　(5)设计合理、运行有效的风险管理系统能够为企业的各战略目标的实现提供合理的保证,但不能提供绝对的保证。

　　三、内部控制与风险管理的联系

　　从内部控制与风险管理的起源上看,二者的起源不同。但在不断的发展过程中,二者互相借鉴与融合,企业风险管理的思想始终贯穿在内部控制的发展过程中,内部控制的动力来自企业对风险的认识和管理,风险管理是内部控制的拓展和延伸。

　　随着信息技术的突飞猛进和市场竞争的不断加剧,企业环境的不确定性增大,各种风险,如市场风险、技术风险、财务风险、经营风险、金融风险、政策风险和法律风险等都需要去面对,因此企业的基本职能就是回避或减小风险以提高盈利,而内部控制正是风险管理的最佳途径。可以说,没有内部控制,就谈不上风险管理,内部控制不是为控制而控制,而是为风险管理而控制,是风险管理的重要手段;风险管理不是为管理而管理,而是为企业目标而管理,是目标实现的重要保证。内部控制与风险管理两者相互依存、相互制约,形成一个有机整体,共同来实现企业的战略目标。

　　内部控制与风险管理的联系主要表现在以下两个方面:

　　(一)风险管理涵盖了内部控制

　　风险管理与内部控制的基本目标相同,即经营目标、报告目标和合法目标,但风险管理多出了一个战略目标;在组成要素方面,二者有五个要素重合,即控制环境、风险评估、控制活动、信息与沟通、监控。除此之外,风险管理多出了目标设定、事项识别以及风险应对三个要素。因此从总体上来说,风险管理涵盖了内部控制。

　　(二)内部控制是风险管理的必要环节

　　内部控制是全面风险管理的重要手段和必要举措。企业对于风险的管理,一定是从加强内部控制做起,通过风险意识的提高,尤其是管理层的风险意识的提高,来提升整个企业的风险管理水平。离开内部控制,风险管理也就无从谈起。

　　从内部控制与风险管理的联系上可以看出,二者都是企业管理的工具,最终目的都是为了回避或减小风险。因此,虽然目前我国由于经济水平尚在发展阶段,内部控制的建设并没有达到一个比较高的高度,但是在实务中对于内部控制的建设可以有一个前瞻性的操作,即以全面风险管理为指引来对企业的内部控制体系进行设计,起到未雨绸缪的作用,避免重复走上以经济发展的需求来带动内部控制建设发展的道路,缩短与西方发达国家在企业管理水平上的差距。