第二節 內部控制的發展演變

內部控制的思想在人類日常經濟生活中的運用由來已久。我國古代的御史制度和西方的議會制度，均屬于內部控制制度。內部控制理論和實務的發展大致經歷了內部牽制階段、內部控制制度階段、內部控制結構階段、內部控制整合框架階段和風險管理整合框架階段等五個階段。

一、內部牽制階段

內部牽制是指任何一項權力或一項業務的全過程不能由一個人或一個部門單獨控制的制度。內部牽制階段是內部控制的萌芽階段。

20世紀40年代以前的內部控制基本上屬于內部牽制階段。遠古時期的“結繩記數”，就是極簡單的內部牽制實踐。在我國，關于內部控制思想的記載最早見于《周禮》一書：“慮夫掌財用財之吏，滲漏乾沒，或有容奸而肆欺……于是一毫財賦之出，數人之耳目通焉。”其大意是考慮到掌管和使用財物的官員，可能會有貪污盜竊、弄虛作假的行為，因而規定每一筆財物和賦稅的支出和收入，都要由好幾個人共同見證。15世紀末出現的“借貸復式記賬法”，標志著內部牽制漸趨成熟。

早期的內部牽制由職責分工、會計記賬、人員輪換三要素構成。內部牽制的執行大致可以分為四個方面。

（1）實物牽制：由兩個以上人員共同掌管必要的實物工具，共同完成一定程序的牽制。

（2）機械牽制：只有按照正確的程序機械操作，才能完成一定過程的操作。

（3）體制牽制：為防止錯誤和舞弊，對于每一項經濟業務的處理，都要求由兩人或兩人以上共同分工負責，以相互牽制。

（4）簿記牽制：原始憑證與記賬憑證、會計憑證與賬簿、賬簿與賬簿、賬簿與會計報表之間相互核對的牽制。

內部牽制要素與執行的關系如圖1-2所示。

內部牽制思想的形成基于以下兩個基本設想。

一是在經辦一項交易或事項時，兩個或兩個以上的人無意識地犯同樣錯誤的可能性，大大低于一個人無意識地出現錯誤的可能性。一個人獨自工作可能出現的錯誤更多受到任務難度和完成時間等因素的影響，而兩個或兩個以上的人一起工作，人與人之間的相互作用可能會增強個體的認知和注意力，降低無意識出現錯誤的可能性。

二是在經辦一項交易或事項時，兩個或兩個以上的人有意識地合伙舞弊的可能性，大大低于一個人單獨舞弊的可能性。在兩個或兩個以上的人合伙舞弊的情況下，每個人都需要在某種程度上依賴其他人，需要協調和配合，這種相互依賴性和配合給予監管者更多的機會和資源來發現和防止舞弊行為。此外，多人合伙舞弊需要更多的資源和協調，容易被人發現，從而降低了舞弊的成功率。

按照這樣的設想，通過內部牽制機制，組織可實現上下牽制、左右制約、相互監督，達到查錯防弊的目的。

所謂上下牽制，是指每項經濟業務的處理，至少要經過上下級有關人員之手，使下級受上級監督，上級受下級制約，促使上下級均能忠于職守，不可疏忽大意。

所謂左右制約，是指每項經濟業務的處理，至少要經過彼此不相隸屬的兩個部門的處理，使每一部門的工作或記錄受另一部門的牽制，不相隸屬的不同部門均有完整的記錄，使之互相制約，自動檢查，防止或減少錯誤和舞弊；同時，通過交叉核對也能及時發現錯誤和舞弊。

二、內部控制制度階段

20世紀30年代世界經濟危機的爆發使得人們對內部控制的認識開始超出會計與財務的范疇，深入企業生產經營的各環節，內部控制逐步演變為由組織結構、崗位職責、人員條件、業務處理程序、檢查標準和內部審計等要素構成的較為嚴密的內部控制系統。注冊會計師也開始認識到內部控制對審計質量的重要影響。

1949年，美國會計師協會（AICPA）下屬的審計程序委員會（ASB）首次較為權威地界定了內部控制的含義：“內部控制是企業所制定的旨在保護資產、保證會計資料可靠性和準確性、提高經營效率，推動管理部門所制定的各項政策得以貫徹執行的組織計劃和相互配套的各種方法及措施。”

1958年，該委員會在第29號審計程序公告《獨立審計人員評價內部控制的范圍》中，將內部控制分為“會計控制”和“管理控制“兩大類：會計控制包括組織計劃及與保護資產和保證財務資料可靠性有關的程序和記錄；管理控制包括但不限于組織計劃及與管理部門授權辦理經濟業務決策有關的程序和記錄。

可見，內部控制制度已突破了單純的財務會計控制的限制。其目的之一是防止錯誤與舞弊；之二是提高經濟效益，即已經認識到了內部控制制度的經濟價值，把內部控制視為一種“經濟資源”或“制度資本”。內部控制的價值增值功能是通過對組織的風險實現有效的控制來實現的。也就是說，人們已認識到，控制不再是套在自己身上的枷鎖，而是組織實現價值增值的重要工具之一。

三、內部控制結構階段

20世紀60年代中后期到80年代初，管理理論發展到以戰略管理為主的企業組織理論階段，管理理論開始重點研究如何適應充滿危機和動蕩的國際經濟環境的不斷變化、謀求企業的生存發展并獲取競爭優勢的問題。管理者認識到企業競爭優勢的創造和維持與企業所處的環境緊密相關，提高企業戰略的預見力、應變力和創新力是企業發展的核心。與此相適應，內部控制得到了進一步發展。

1988年，美國注冊會計師協會（AICPA）發布《審計準則公告第55號》（SAS No.55）。該公告以“財務報表審計對內部控制結構的考慮”為題，首次以“內部控制結構”代替“內部控制”一詞，并指出：企業的內部控制結構包括為提供企業特定目標的合理保證而建立的各種政策和程序，具體包括控制環境、會計系統和控制程序三個要素。這一階段不再區分會計控制和管理控制，首次正式將控制環境納入內部控制范疇，反映了內部控制實務操作和理論研究的新動向。

四、內部控制整合框架階段

20世紀90年代，內部控制進入了“內部控制整合框架”階段。1992年，美國反虛假財務報告委員會下屬發起人委員會（COSO）發布《內部控制——整合框架》專題報告，指出：“內部控制是由一個企業董事會、經理層和其他員工實施的，旨在為提高經營活動的效率和效果、確保財務報告的可靠性、加強相關法令的遵循性等目標的達成而提供合理保證的過程。”COSO報告將內部控制包括的要素擴展為控制環境、風險評估、控制活動、信息與溝通和監督等五個方面，這五個要素相互聯系，強調內部控制是貫穿企業經營管理各個階段的“動態過程”，將管理哲學、企業文化等“軟性”管理因素納入內部控制范疇，構成了較為理想的內部控制分析框架（見圖1-3）。

五、風險管理整合框架階段

20世紀末的安然事件，使得危機管理理論得到了較大程度的發展。這一理論指出：風險存在于企業管理的始終，管理者只能規避風險卻不能完全避免風險的發生，因此需要建立一套識別風險的預警系統，并形成危機處理系統，以應對無處不在的風險。至此，內部控制將風險因素納入其中。

2004年，COSO發布《企業風險管理——整合框架》，指出：“企業風險管理是一個過程，是由一個主體的董事會、管理當局和其他人員實施的，應用于戰略制定并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，并在其風險偏好范圍內管理風險，為實現主體目標提供合理保證。”企業風險管理整合框架包括控制環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監督等八個要素（見圖1-4），致力于識別可能發生的風險，檢測企業各個層次管理上的漏洞，提出處理風險的方案，以保證企業經營管理目標的實現。與內部控制發展的其他階段相比，《企業風險管理——整合框架》在《內部控制結構》的基礎上增加了一個新觀念、一個戰略目標、兩個概念和三個要素，即風險組合觀，戰略目標，風險偏好、風險可接受程度的概念，以及目標設定、事項識別、風險應對要素。《企業風險管理——整合框架》突出了以風險為導向的內部控制新理念，是較為先進的內部控制理論。