內(nèi)部控制發(fā)展的5個階段

內(nèi)部控制專題寧夏廣播電視大學副教授劉慧萍電子郵箱：liuhp@聯(lián)系電話要內(nèi)容□內(nèi)部控制國際發(fā)展歷程□我國內(nèi)部控制發(fā)展動因與最新動態(tài)□我國企業(yè)內(nèi)部控制基本規(guī)范與指引一、內(nèi)部控制國際發(fā)展歷程內(nèi)部控制的發(fā)展經(jīng)歷了一個漫長的時期，“內(nèi)部控制”一詞最早見諸于文字，是作為審計術語出現(xiàn)在審計文獻中的1936年，美國會計師協(xié)會(美國注冊會計師協(xié)會的前身)在其發(fā)布的《注冊會計師對財務報表的審查》文告中，首次正式使用了“內(nèi)部控制”這一專門術語，其中指出：“注冊會計師在制定審計程序時，應考慮的一個重要因素是審查企業(yè)的內(nèi)部牽制和控制，企業(yè)的會計制度和內(nèi)部控制越好，財務報表需要測試的范圍則越小?！眱?nèi)部控制漫長的發(fā)展過程，基本上可以分為內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結構、內(nèi)部控制整體框架、企業(yè)風險管理整體框架五階段。（一）內(nèi)部牽制階段一般認為，上世紀40年代以前是內(nèi)部牽制階段。內(nèi)部牽制就是指一個人不能完全支配賬戶，另一個人也不能獨立地加以控制的制度，某位職員的業(yè)務與另一位職員的業(yè)務必須是相互彌補、相互牽制的關系，即必須進行組織上的責任分工和業(yè)務的交叉檢查或交叉控制，以便相互牽制，防止錯誤或弊端。這就是內(nèi)部控制的雛形。《柯氏會計詞典》給它下的定義是：“為提供有效的組織和經(jīng)營，并防止錯誤和其他非法業(yè)務發(fā)生而制定的業(yè)務流程，其主要特點是以任何個人或部門不能單獨控制任何一次或一部分業(yè)務權利的方式進行組織上的責任分工，每項業(yè)務通過正常發(fā)揮其他個人或部門的功能進行交叉檢查或交叉控制?！比藗儗ι鲜鰞?nèi)部牽制概念長期以來沒有根本的異議，以致在現(xiàn)代的內(nèi)部控制理論中，內(nèi)部牽制仍占有相當重要的地位，并成為現(xiàn)代內(nèi)部控制理論中有關組織控制、職務分離控制的雛形。（二）內(nèi)部控制制度階段在內(nèi)部牽制思想的基礎上，產(chǎn)生了內(nèi)部控制制度的概念。內(nèi)部控制制度的形成，可以說是傳統(tǒng)的內(nèi)部牽制思想與古典管理理論相結合的產(chǎn)物。1949年美國會計師協(xié)會的審計程序委員會發(fā)表了一份題為《內(nèi)部控制、協(xié)調(diào)系統(tǒng)諸要素及其對管理部門和注冊會計師的必要性》的專題報告，該報告對內(nèi)部控制首次做出了如下權威定義：“內(nèi)部控制是企業(yè)所制定的旨在保護資產(chǎn)、保證會計資料可靠性和準確性、提高經(jīng)營效率、推動管理部門所制定的各項政策得以貫徹執(zhí)行的組織計劃和相互配套的各種方法及措施。”內(nèi)部控制制度思想認為內(nèi)部控制應分為內(nèi)部會計控制和內(nèi)部管理控制5．監(jiān)督。監(jiān)督是由實時評價內(nèi)部控制執(zhí)行質(zhì)量的程序組成的，這一程序包括持續(xù)監(jiān)督、獨立評價，或者是二者的綜合。獨立評價的范圍和頻率取決于所評估的風險程度，內(nèi)部控制系統(tǒng)需要被監(jiān)督，監(jiān)督能夠確保內(nèi)部控制的有效運行?？刂频谋O(jiān)督要素包括經(jīng)理人員日常的監(jiān)督，審計師和其他群體定期的審核以及經(jīng)理人員用以揭示和糾正已知的缺陷與不足的程序。監(jiān)督可以用來保證其他控制的運行。COSO將內(nèi)部控制要素以一個金字塔結構提出，其中控制環(huán)境作為金字塔的最底部，風險評估和控制活動位于上一層次，信息和溝通接近頂部，監(jiān)督處于最頂端。內(nèi)部控制各要素之間的關系如圖1—1所示：控制環(huán)境是整個控制系統(tǒng)的基礎，沒有它，其他要素就成了空中樓閣。任何一個組織（企業(yè)或公司）的控制環(huán)境都要受其組織結構、組織文化以及信息與溝通系統(tǒng)的影響，反過來它又影響著業(yè)務流程、員工控制意識、具體控制活動及其監(jiān)督活動的效率和效果圖1圖1—1內(nèi)部控制五要素的關系監(jiān)督（持續(xù)進行中）控制環(huán)境（基礎）信息與溝通控制活動風險評估（組成結構）圖1—1表明：五大要素中，控制環(huán)境是基礎，是其余要素發(fā)揮作用的前提條件。如果沒有一個有效的控制環(huán)境，其余四個要素無論其質(zhì)量如何，都不可能形成有效的內(nèi)部控制。風險評估、控制活動、信息與溝通是整個控制框架的組成要素，監(jiān)督則是對另四個要素所進行的持續(xù)不間斷的檢驗和再控制。內(nèi)部控制理論——COSO報告的出臺，引起了世界會計學界的廣泛研究興趣，加深了各界對內(nèi)部控制認識的重要性，基本上統(tǒng)一了業(yè)界的認識，這對人們進行企業(yè)內(nèi)部控制的研究極具時代意義。COSO報告對我國的會計理論和會計實務方面都具有重大的啟示和借鑒意義。在理論方面的啟示，首先體現(xiàn)在我國各級會計人員必須加深對內(nèi)部控制的認識，內(nèi)部會計控制是內(nèi)部控制的核心組成部分，必須轉變原有過時的內(nèi)部會計控制觀念和思想，以便更好地促進企業(yè)內(nèi)部控制管理，使內(nèi)部會計控制思想得到企業(yè)各個階層的自覺遵守，“軟控制”在企業(yè)中得到生根發(fā)芽，這是企業(yè)管理中最為推崇和有效的控制方法。在實務方面的啟示，我國應吸收COSO報告的研究成果，對我國企業(yè)的內(nèi)部會計的控制環(huán)境、控制過程和風險評估等進行重新審視并加以完善和提高，以便建立一套更適合我國企業(yè)的內(nèi)部控制辦法。（五）企業(yè)風險管理整合框架階段背景：安然事件——股東損失７００億美元世通事件＿１１０億美元的會計舞弊案薩班斯法案企業(yè)風險管理架構在1992年COSO報告的基礎上，結合《薩班斯-奧克斯法案》在財務報告方面的要求，進行了擴展研究。COSO對風險管理框架的定義是：“企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理的保證”。與1992年COSO報告提出的內(nèi)部控制整體架構相比，企業(yè)風險管理架構增加了一個觀念、一個目標、兩個概念和三個要素，即“風險組合觀”、“戰(zhàn)略目標”、“風險偏好”和“風險容忍度”的概念以及“目標制定”、“事項識別”和“風險反應”要素。1.5.1提出了一個新的觀念——風險組合觀企業(yè)風險管理要求企業(yè)管理者以風險組合的觀點看待風險，對相關的風險進行識別并采取措施使企業(yè)所承擔的風險在風險偏好的范圍內(nèi)。對企業(yè)內(nèi)每個單位而言，其風險可能落在該單位的風險容忍度范圍內(nèi)，但從企業(yè)總體來看，總風險可以超過企業(yè)總體的風險偏好范圍。因此，應從企業(yè)總體的風險組合的觀點看待風險。1.5.2增加了一類目標——戰(zhàn)略目標，并擴大了報告目標的范疇內(nèi)部控制架構將企業(yè)的目標分為經(jīng)營、財務報告和合規(guī)性三類目標。企業(yè)風險管理架構也包含三個類似的目標，但是其中只有兩個目標與內(nèi)部控制架構中的定義相同，財務報告目標的界定則有所區(qū)別。內(nèi)部控制架構中的財務報告目標只與公開披露的財務報表的可靠性相關，而企業(yè)風險管理架構中報告目標的范圍有很大的擴展，該目標覆蓋了企業(yè)編制的所有報告，既包括內(nèi)部報告，也包括外部報告；包括企業(yè)內(nèi)部管理者使用的報告，也包括向外部提供的報告；包括法定報告，也包括向其他利益相關者提供的非法定報告；既包括財務信息，也包括非財務信息。此外，企業(yè)風險管理架構比內(nèi)部控制架構增加了一類新的目標—戰(zhàn)略目標。該目標的層次比其他三個目標更高。企業(yè)的風險管理在應用于實現(xiàn)企業(yè)其他三類目標的過程中，也應用于企業(yè)的戰(zhàn)略制定階段。1.5.3提出了兩個新概念——“風險偏好”和“風險容忍度”從廣義上看，風險偏好是指企業(yè)在實現(xiàn)其目標的過程中愿意接受的風險的數(shù)量。企業(yè)的風險偏好與企業(yè)的戰(zhàn)略直接相關，企業(yè)在制定戰(zhàn)略時，應考慮將該戰(zhàn)略的既定收益與企業(yè)的風險偏好結合起來。風險容忍度的概念是建立在風險偏好概念基礎上的，是指在企業(yè)目標實現(xiàn)的過程中對差異的可接受程度，是企業(yè)在風險偏好的基礎上設定的對相關目標實現(xiàn)過程中所出現(xiàn)的差異的可容忍限度。在確定各目標的風險容忍度時，企業(yè)應考慮相關目標的重要性，并將其與企業(yè)風險偏好聯(lián)系起來。1．5.4增加了三個風險管理要素，對其他要素的分析更加深入，范圍上也有所擴大企業(yè)風險管理架構新增了三個風險管理要素：“目標制定”、“事項識別”和“風險反應”。此外，風險管理架構更加深入地闡述了其他要素的內(nèi)涵，并擴大了相關要素的范圍。在控制環(huán)境要素上，企業(yè)風險管理架構將“控制環(huán)境”擴展為“內(nèi)部環(huán)境”，更加直接、廣泛地關注風險是如何影響企業(yè)的風險文化。在風險評估方面，企業(yè)風險管理架構建議從固有風險和殘存風險的角度來看待風險；還要求注意相互關聯(lián)的風險，確定一件單一的事項如何為企業(yè)帶來多重的風險。在信息與溝通方面，企業(yè)風險管理架構