第二节 内部控制的发展演变

内部控制的思想在人类日常经济生活中的运用由来已久。我国古代的御史制度和西方的议会制度，均属于内部控制制度。内部控制理论和实务的发展大致经历了内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整合框架阶段和风险管理整合框架阶段等五个阶段。

一、内部牵制阶段

内部牵制是指任何一项权力或一项业务的全过程不能由一个人或一个部门单独控制的制度。内部牵制阶段是内部控制的萌芽阶段。

20世纪40年代以前的内部控制基本上属于内部牵制阶段。远古时期的“结绳记数”，就是极简单的内部牵制实践。在我国，关于内部控制思想的记载最早见于《周礼》一书：“虑夫掌财用财之吏，渗漏乾没，或有容奸而肆欺……于是一毫财赋之出，数人之耳目通焉。”其大意是考虑到掌管和使用财物的官员，可能会有贪污盗窃、弄虚作假的行为，因而规定每一笔财物和赋税的支出和收入，都要由好几个人共同见证。15世纪末出现的“借贷复式记账法”，标志着内部牵制渐趋成熟。

早期的内部牵制由职责分工、会计记账、人员轮换三要素构成。内部牵制的执行大致可以分为四个方面。

（1）实物牵制：由两个以上人员共同掌管必要的实物工具，共同完成一定程序的牵制。

（2）机械牵制：只有按照正确的程序机械操作，才能完成一定过程的操作。

（3）体制牵制：为防止错误和舞弊，对于每一项经济业务的处理，都要求由两人或两人以上共同分工负责，以相互牵制。

（4）簿记牵制：原始凭证与记账凭证、会计凭证与账簿、账簿与账簿、账簿与会计报表之间相互核对的牵制。

内部牵制要素与执行的关系如图1-2所示。

内部牵制思想的形成基于以下两个基本设想。

一是在经办一项交易或事项时，两个或两个以上的人无意识地犯同样错误的可能性，大大低于一个人无意识地出现错误的可能性。一个人独自工作可能出现的错误更多受到任务难度和完成时间等因素的影响，而两个或两个以上的人一起工作，人与人之间的相互作用可能会增强个体的认知和注意力，降低无意识出现错误的可能性。

二是在经办一项交易或事项时，两个或两个以上的人有意识地合伙舞弊的可能性，大大低于一个人单独舞弊的可能性。在两个或两个以上的人合伙舞弊的情况下，每个人都需要在某种程度上依赖其他人，需要协调和配合，这种相互依赖性和配合给予监管者更多的机会和资源来发现和防止舞弊行为。此外，多人合伙舞弊需要更多的资源和协调，容易被人发现，从而降低了舞弊的成功率。

按照这样的设想，通过内部牵制机制，组织可实现上下牵制、左右制约、相互监督，达到查错防弊的目的。

所谓上下牵制，是指每项经济业务的处理，至少要经过上下级有关人员之手，使下级受上级监督，上级受下级制约，促使上下级均能忠于职守，不可疏忽大意。

所谓左右制约，是指每项经济业务的处理，至少要经过彼此不相隶属的两个部门的处理，使每一部门的工作或记录受另一部门的牵制，不相隶属的不同部门均有完整的记录，使之互相制约，自动检查，防止或减少错误和舞弊；同时，通过交叉核对也能及时发现错误和舞弊。

二、内部控制制度阶段

20世纪30年代世界经济危机的爆发使得人们对内部控制的认识开始超出会计与财务的范畴，深入企业生产经营的各环节，内部控制逐步演变为由组织结构、岗位职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。注册会计师也开始认识到内部控制对审计质量的重要影响。

1949年，美国会计师协会（AICPA）下属的审计程序委员会（ASB）首次较为权威地界定了内部控制的含义：“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。”

1958年，该委员会在第29号审计程序公告《独立审计人员评价内部控制的范围》中，将内部控制分为“会计控制”和“管理控制“两大类：会计控制包括组织计划及与保护资产和保证财务资料可靠性有关的程序和记录；管理控制包括但不限于组织计划及与管理部门授权办理经济业务决策有关的程序和记录。

可见，内部控制制度已突破了单纯的财务会计控制的限制。其目的之一是防止错误与舞弊；之二是提高经济效益，即已经认识到了内部控制制度的经济价值，把内部控制视为一种“经济资源”或“制度资本”。内部控制的价值增值功能是通过对组织的风险实现有效的控制来实现的。也就是说，人们已认识到，控制不再是套在自己身上的枷锁，而是组织实现价值增值的重要工具之一。

三、内部控制结构阶段

20世纪60年代中后期到80年代初，管理理论发展到以战略管理为主的企业组织理论阶段，管理理论开始重点研究如何适应充满危机和动荡的国际经济环境的不断变化、谋求企业的生存发展并获取竞争优势的问题。管理者认识到企业竞争优势的创造和维持与企业所处的环境紧密相关，提高企业战略的预见力、应变力和创新力是企业发展的核心。与此相适应，内部控制得到了进一步发展。

1988年，美国注册会计师协会（AICPA）发布《审计准则公告第55号》（SAS No.55）。该公告以“财务报表审计对内部控制结构的考虑”为题，首次以“内部控制结构”代替“内部控制”一词，并指出：企业的内部控制结构包括为提供企业特定目标的合理保证而建立的各种政策和程序，具体包括控制环境、会计系统和控制程序三个要素。这一阶段不再区分会计控制和管理控制，首次正式将控制环境纳入内部控制范畴，反映了内部控制实务操作和理论研究的新动向。

四、内部控制整合框架阶段

20世纪90年代，内部控制进入了“内部控制整合框架”阶段。1992年，美国反虚假财务报告委员会下属发起人委员会（COSO）发布《内部控制——整合框架》专题报告，指出：“内部控制是由一个企业董事会、经理层和其他员工实施的，旨在为提高经营活动的效率和效果、确保财务报告的可靠性、加强相关法令的遵循性等目标的达成而提供合理保证的过程。”COSO报告将内部控制包括的要素扩展为控制环境、风险评估、控制活动、信息与沟通和监督等五个方面，这五个要素相互联系，强调内部控制是贯穿企业经营管理各个阶段的“动态过程”，将管理哲学、企业文化等“软性”管理因素纳入内部控制范畴，构成了较为理想的内部控制分析框架（见图1-3）。

五、风险管理整合框架阶段

20世纪末的安然事件，使得危机管理理论得到了较大程度的发展。这一理论指出：风险存在于企业管理的始终，管理者只能规避风险却不能完全避免风险的发生，因此需要建立一套识别风险的预警系统，并形成危机处理系统，以应对无处不在的风险。至此，内部控制将风险因素纳入其中。

2004年，COSO发布《企业风险管理——整合框架》，指出：“企业风险管理是一个过程，是由一个主体的董事会、管理当局和其他人员实施的，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，并在其风险偏好范围内管理风险，为实现主体目标提供合理保证。”企业风险管理整合框架包括控制环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督等八个要素（见图1-4），致力于识别可能发生的风险，检测企业各个层次管理上的漏洞，提出处理风险的方案，以保证企业经营管理目标的实现。与内部控制发展的其他阶段相比，《企业风险管理——整合框架》在《内部控制结构》的基础上增加了一个新观念、一个战略目标、两个概念和三个要素，即风险组合观，战略目标，风险偏好、风险可接受程度的概念，以及目标设定、事项识别、风险应对要素。《企业风险管理——整合框架》突出了以风险为导向的内部控制新理念，是较为先进的内部控制理论。