内部控制理论的发展对我国企业建立健全内部控制的启示

近年来，在我国证券市场信息失真的情况愈演愈烈，从“深圳原野”、“琼民源”、“红光”到“郑百文”、“银广厦”层出不穷，在世界范围，重大会计信息失真现象也呈上升趋势，如“巴林银行”、“安然事件”等，安然事件导致美国总统颁布新条例来加强对审计机构的监督。在我国内部控制的理论和实践也得到了空前的重视，1999年10月通过了《中华人民共和国会计法》，新修订的《会计法》通过第二十七条从实质上要求各单位必须建立健全内部控制制度，以保证会计信息的真实、合法性；2002年中注协会协［2002]40号颁布了《内部控制审核指导意见》，要求注册会计师对被审计单位的特定日期与会计报表相关的内部控制的有效性进行审核，并发表审计意见，将内部控制的规范也纳入审计范围，并公布于众。

    一、内部控制的概念

    内部控制（Internal Control）一词，最早出现在1936年美国会计师协会（美国注册会计师协会的前身）发布的《注册会计师对财务报表的审查》文告中，定义为保护现金和其它资产，检查簿计事务的准确性，而在公司内部的手段和方法。近几十年来，随着内部控制理论以及认识的不断，不仅在美国，而且在其它国家和组织，其概念的内涵和外延也都发生了较大的变化，当前，比较典型的概念主要有：l、1976年，加拿大特许会计师协会在《审计推荐草案》中指出：“内部控制由组织体制的设计和企业管理人员制定的所有协调制度组成，就其实用方面而论，是为取得确定的管理目标，促进企业的业务有秩序和有效率的进行，保证资产的安全、会计记录的可靠和及时地提供准确的财务资料”。

    2、1986年，最高审计机关国际组织在第十二届国际审计会议上发表的《总声明》，对内部控制作出了权威性解释：“内部控制作为完整的财务和其它控制体系，包括组织结构、方法程序和效果性，保证管理决策的贯彻，维护资产和资源的安全，保证会计记录的准确和完整，并提供及时的、可靠的财务和管理信息”。

    3、1988年，美国注册会计师协会发布的《审计准则文告第55号》指出：“企业内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”。

    4、我国权威部门目前还没有对内部控制的统一概念，一般认为内部控制是在内部牵制的基础上。由企业管理人员在经营管理实践中创造，并审计人员理论而逐步完善的自我监督和自行调整体系。

    从以上的定义可以看出，尽管各个国家和组织对内部控制的定义侧重点有所不同，但均包括两个基本方面：保证会计信息准确可靠、资产安全完整和促进企业经营管理。事实上，这也正是促进企业内部控制理论和实践发展的两大动因：企业内部强化管理的需要和外部审计开展的需要。正如美国会计师协会在其刊物上指出的那样：“（1）企业经营的范围和规模变得非常复杂和广阔，使得管理必须依靠大量的反映活动的分析资料和报告；（2）健全的内部控制有助于防止工作人员出现差错，减少发生不合规现象的可能性；（3）审计部门在审计费用的严格限制下，如不依靠客户的内部控制系统，那么对大部分企业进行审计是不可能的”。由此可见，西方国家实行内部控制的原因和所取得的成效，即保护企业财产的安全性，提高可见信息的准确性，强化企业经营管理，以及配合外部审计的开展，也正是我们当前进行企业制度改革所迫切需要达到的目标。

    二、发展与原因

    内部控制，作为一个专用名词和完整概念，直到本世纪30年代才被人们提出、认识和接受。该时期的内部牵制，它基本是以查错防弊为目的，以职务分离和账目核对为手法，以钱、账、物等会计事项为主要控制对象。这是内部控制理论发展的初期阶段——内部牵制时期。

    1934年美国的《证券交易法》首先提出了“内部会计控制”的概念，要求证券发行人应设计并维护一套能为投资人提供合理保证的会计信息的内部会计控制系统。1953年10月，美国审计程序委员会又发布了《审计程序公告第19号》，对内部控制作了如下划分：“广义地说，内部控制按其热点可以划分为会计控制和管理控制；l）会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成；会计控制包括授权与批准制度，记账、编制财务报表、保管财务资产等职务的分离；财产的实物控制以及内部审计等控制。2）管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的关系，包括统计分析、时动研究、经营报告、雇员培训计划和质量控制等”。1972年，《审计准则公告》的制定者美国准则委员会，根据对《证券交易法》研究和讨论，在第1号公告中，提出立管理控制和会计控制概念，这是内部控制的发展期，既内部会计控制与内部管理控制时期。

    1988年4月美国注册会计师协会发布的《审计准则公告第55号》，规定从1990年1月起以该文告取代1972年发布的《审计准则公告第1号》。该文告首次以内部控制结构一词取代原有的“内部控制”一词，而且文告提出的内部控制内容比以前更为实在，条理更加清楚。该文告的颁布和实施可视为内部控制理论研究的一个新的突破性成果。1992年，美国反对虚假财务报告委员会所属的内部控制专门研究委员会发起机构委员会（COSO）在进行专门研究后提出专题报告：《内部控制——整体架构》，也称COSO报告。后经过修改提出对外报告的修改篇，扩大了内部控制涵盖范围，增加了与保障资产安全有关的控制，得到了美国审计署的认可。与此同时。美国注册会计师协会全面接受了COSO报告的内容，于1995年发布了《审计准则公告第78号》，取代了《审计准则公告第55号》。也就是目前理论界认为较为成熟的内部控制理论，即内部控制结构和内部控制整体架构理论。

    从上述以美国为例内部控制理论的发展来看，在20世纪80年代末90年代初，“控制”这一在管界曾遭冷遇的概念，在美国管理学界逐渐成为热门话题，包括加拿大、英国等都不惜花费巨资来探索企业控制的基本要素，并出台了多份有关内部控制的权威报告，如上述美国的COSO报告。为什么内部控制的发展如此迅速并引起世界各国的极大关注呢？经分析主要源于以下几个原因：（一）以虚假会计信息为主要手段的欺诈案件逐步增多。良好的内控制度体系不仅能够能使企业合理配置资源，提高生产率，而且更能防范和发现企业大多数的内、外部欺诈事件。在已发现的绝大多数以虚假会计信息为手段的企业内部或外部欺诈案件中，薄弱的内部控制是重要原因之一。据美国《内部审计》杂志上的一份调查报告表明，自1986年2月起至1990年11月止已发现的114例欺诈案件，多数与虚假会计信息及内部控制不健全有关。

    （二）跨国公司发展的需要。全球市场的进化以及信息技术的高度发展，跨国公司的发展非常迅速，跨国公司在海外会遭遇到与国内不同的、经济、文化的风险，而且由于跨国经营、国际税务问题以及外汇交易等原因造成公司业务具有复杂性。因此，需要健全的内部控制制度，以便于进行跨国管理。

    （三）声誉风险。通讯设施的发达使媒体的传播速度增快，若公司出现“失控”事件，曝光的概率和范围将比过去增大，这不仅会给公司的供应商、顾客、债权人、股东等对公司的决策带来负面影响，更会给公司今后的经营及持续发展造成极大威胁。因此，加强内部控制可防范和及时发现问题，并予以纠正，避免过大损失发生。

    可见，能有效遏制企业不正当行为发生，防止虚假会计信息发生，使内部控制逐步被得到重视，正是基于此，美国、加拿大、英国的会计职业界不惜花费巨资探讨内部控制应有的内容。

    三、内部控制结构和内部控制整体架构

    1988年美国注册会计师协会发布的《审计准则公告第55号》，首次以“内部控制结构”一词取代原有的“内部控制”一词，是内部控制理论研究的一个新的突破性成果。以“财务报表审计对内部控制结构的考虑”为题的《审计准则公告第55号》指出：“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”，并且明确了内部控制结构的内容，具体如下：（1）控制环境所谓控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。具体包括：管理者的思想和经营作风；企业组织结构；董事会及其所属委员会，特别是审计委员会发挥的职能；确定职权和责任的方法：管理者监控和检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计；人事工作方针及其执行、影响本企业业务的各种外部关系。

    （2）会计系统会计系统规定各项经济业务的鉴定、分析、归类、登记和编报的方法，明确各项资产和负债的经营管理责任。健全的会计系统应实现下列目标：鉴定和登记一切合法的经济业务；对各项经济业务按时进行适当分类，作为编制财务报表的依据；将各项经济业务按适当的货币价值计价，以使列入财务报表；确定经济业务发生的日期，以便按照会计期间进行记录；在财务报表中恰当地表述经济业务以及对有关内容进行揭示。

    （3）控制程序控制程序指管理当局所制订的用以保证达到一定目的的方针和程序。它包括下列内容：经济业务和经济活动的批准权；明确各个人员的职责分工，防止有关人员对正常业务图谋不轨的隐藏错弊。职责分工包括指派不同人员分别承担批准业务、记录业务和保管财产的职责；凭证和帐单的设置和使用，应保证业务和活动得到正确的记载；对财产及其记录的接触和使用要有何保护措施；对已登记的业务及其计价要进行复核。

    1992年美国COSO委员会发布《内部控制整体框架》，提供了一个广泛的内部控制框架，成为迄今对内部控制最全面的论述。该文件认为内部控制框架包含五个要素：1.控制环境。包括：单位的组织结构，董事会及其专门委员会（审计委员会和风险评估委员会）的关注和要求，管理部门的经营理念和风格，员工的正直、职业道德和进取心，对企业经营产生影响的外部因素。其中人的因素至关重要，不管是管理者还是员工，既是内部控制的执行者，又是控制环节的“被控制对象”，其观念、素质和责任意识等都影响着内部控制的效率和效果。

    2.风险评估。新时代交易类型和工具日新月异，兼并收购、破产重组、关联方交易、商务、衍生产品等使人应接不暇。环境的变化使经营风险增大，企业必须设立可以辨认、分析和管理风险的机制，以确认公司的风险因素如资产风险、经营活动风险、内外环境风险、信息系统风险、合法性风险等，并确定风险因素的重要程度，评估各风险因素得分，确定高风险区域。

    3.控制活动。控制活动使企业保证控制目标有效落实。包括经营活动的复查、业务活动的批准和授权、责任分离、保证对资产记录的接触和使用的安全、独立稽核等。

    4.信息和沟通。以不同形式取得和传递信息，使员工懂得自己在控制系统中的作用、贡任，更好地履行职责，形成有利的外部沟通环境。保持经营信息和控制信息畅通，以减少由于信息不对称导致的企业经管成本和社会监督成本的提高。

    5.自我评估和内部监督。内部控制应是一种实时过程，与经营管理活动紧密结合，随时进行自我评估和内部监督。企业内部应由有关管理人员和职员定期、独立地自上而下对各部门的控制进行评估、内部监督。

    四、对我国企业建立健全内部控制制度的启示

    一、目前我国企业内部控制制度方面存在的问题1.控制环境问题。控制环境是内部控制的核心，决定其他控制要素能否发挥和如何发挥作用，直接影响控制目标的实现。

    （l）法人治理结构不完善。企业制度要求企业建立规范的法人治理结构，股东大会、董事会、监事会、经理层互相监督、制约；在董事会设立专门委员会，如审计委员会、风险评估委员会等。但我国企业目前存在“一股独大”现象，股东大会、监事会作用有限，甚至形同虚设，严重影响互相监督、制约的体制。在上市公司治理准则中，明确要求上市公司董事会要有独立董事并设立审计委员会，却存在重形式、轻制度的问题，如独立董事制度，西方推行独立董事制度的主要目的是保护股东、投资者的利益，而在我国，虽然形式引进了，却没有真正落实到机制的转化上，有的企业聘请的独立董事是主管领导、有的企业为了广告效应，聘请名人，内部人控制的现象没有得到根本的转变。

    （2）管理理念问题。在企业的经营过程中，管理者的管理理念和风格影响非常大，但我国真正的企业家队伍还没有建立起来，一些企业管理者没有一套真正的管理理念，如一家上市公司的公司年报也承认重经营，轻管理。

    （3）决策随意。股东大会、董事会、监事会、经理层互相监督、制约的机制没有建立，董事会中没有风险评估委员会或形同虚设，造成在没有可行性论证的情况下随意决策。

    2.风险评估不足、意识薄弱。

    随着我国加入WTO，企业将会面对更大的环境变化和生存风险，企业所面临的风险主要是市场风险、信贷风险、营运风险、风险、管制风险、声誉风险、技术风险等以及随着交易类型和工具的变化所面临的兼并收购、破产重组、电子商务等。在诸多风险中，大多数企业最主要的风险是营运风险。但不管是什么风险，企业都应该建立可以辨认、分析和管理风险的机制，并确认高风险领域，以加强管理，但我国企业缺乏的就是这种机制，往往出现盲目扩张等风险。

    3.信息系统失真。其中最为严重的是处理缺乏一贯性、完整性。近年来，企业由于会计工作秩序混乱、核算不实而造成的信息失真现象较为严重。如常规性的印单（票）分管制度、重要空白凭证保管使用制度及会计人员分工中的“内部牵制”原则等得不到真正的落实；会计凭证的填制缺乏合理有效的原始凭证支持；人为捏造会计事实、篡改会计数据、设置账外账、乱挤乱摊成本、隐瞒或虚报收入和利润；资产不清、债务不实等等。

    4.内部监督失灵或没有内部监督。目前相当一部分企业对建立内部监督不够重视，内部监督体系残缺不全、有关内容不够合理或流于形式，失去了应有的刚性和严肃性。

    二、对我国企业建立健全内部控制制度的启示通过对以美国为代表的内部控制理论的分析和我国企业内部控制所存在问题的分析，我们认识到内部控制使一套完整的体系，是一项与实践联系相当紧密的管理手段。因此，在建立健全内部控制时，既不能闭门造车，也不能生搬硬套，从分析自身的控制环境开始，真正建立一套符合企业发展实际的内部控制制度。

    1、加强法律法规等强制性约来和准则规范。1997年美国通过《反国外贿赂法》，其中有关会计及内部控制的条款，规定每个企业应建立内控制度以防止发生贿赂行为，如果达不到美国审计准则委员会提出的内控目标，可被罚款1万美元，建立和强化内部控制成为企业的一种法律责任。而我国《审计法》、《独立审计准则》等虽有论及，但都从审计角度出发的，对企业而言并未形成内控整体框架；《会计法》也没有对企业内部控制提出具体可行的规定。因此，应尽快加强有关企业内部控制方面的法制建设，以及内部审计和独立审计等相关方面的行业准则的制定，为提高企业内控提供外部监督和指导。

    2、建立健全内控框架。企业要有一个健全有效的内控框架，从控制环境入手，建立符合现代企业制度的组织结构，加强董事会的职能及其独立性；提高管理者素质，凭借经济市场的竞争，由市场决定而不是由行政指定管理层；鼓励塑造企业文化，加强管理者和员工激励，明晰权责。

    3、加强风险评估。企业应在经营过程中加强风险评估和风险管理，随着经济的发展，经济环境的变化，企业的经营风险逐步增大并更具有不确定性，如资产风险、信息系统风险、兼并重组风险等，要加强董事会各专业委员会的作用，及早进行风险评价，确定风险领域，防患于未然。

    4、贯彻相互牵制原则和协调配合原则。牵制原则即一项完整的经济业务活动，必须经过具有互相制约关系的两个或两个以上的控制环节方能完成，在横向关系上，至少由彼此独立的两个部门或人员办理以使该部门或人员的工作受另一个部门或人员的监督。在纵的关系上，至少经过互不隶属的两个或两个以上的岗位或环节，以使下级受上级监督，上级受下级牵制。另外各部门或人员必须相互配合，各岗位和环节都应协调同步，协调配合原则是相互牵制原则的深化和补充。贯彻这一原则，尤其要避免只管牵制错弊而不顾办事效率的机械做法，而必须做到既相互牵制又相互协调，从而在保证质量，提高效率的前提下完成经营任务。

    5.建立内控信息的披露机制。企业尤其是上市公司一般只对外披露财务会计信息，人们关心的也是每股收益等数字。对于企业内部控制，人们常常疏忽。而独立审计人员则体会到信息的真实可靠，来源于企业内部控制，内部控制越好，其信息就越可靠，审计实质性测试就可相应减少；注册会计师在审计中虽然会对企业内控进行评审，但一般注重内部会计控制，并且由于审计的时间范围和技术的局限性，企业内控情况并不能充分了解和揭示；为了提高企业内控意识、提高其信息质量，企业有必要在进行内部控制自我评估后，向社会公开披露其内控信息。

    6、成本效益原则。即在实行内部控制时，花费的成本要低于由此产生的收益，力争以最小的控制成本取得最大的经济效益。

    7、建立内部控制制度评价体系。对企业来说，建立健全内部控制制度是一个渐进的过程，必须建立其内部控制评价体系，根据情况的变化和出现的问题对相应的内部控制制度作出及时修正或建立新的内部控制制度，只有不断进行内部控制自我评价和改进，才能建立起行之有效的内部控制体系。