内部控制的演进及其重要性

内部控制是随着人类社会发展而演变的，其在社会发展的各个阶段具有不同的内涵和外延。一般认为，内部控制理论产生与发展的历程可分为五个阶段。

（一）萌芽阶段：内部牵制（公元前3600年—20世纪40年代）

内部控制起源于内部牵制。“内部牵制制度”规定有关经济业务或事项的处理不能由一个人或一个部门总揽全过程。1912年R.H.蒙哥马利在其出版的《审计——理论与实践》一书中指出，所谓内部牵制是指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度，某位职员的业务与另一位职员的业务必须是相互弥补、相互牵制的关系，即必须进行组织上的责任分工和业务的交叉检查或交叉控制，以便相互牵制；防止发生错误或弊端。

内部牵制的执行大致可分为以下四类：实物牵制（双人保管保险柜钥匙、付款清单等重要物品）；机械牵制（不按照程序操作的业务无法继续进行）；体制牵制（采用双人记账等双重控制措施来预防错误和舞弊的发生）；簿记牵制（采用账目核对等复式记账、借贷平衡的平行登记、总账和明细账定期核对等）。

在内部牵制阶段，内控活动的主线是查错防弊，即防止记录差错和财货被侵吞，其主要方法是账户核对和职务分工。

在现代企业内部控制中，仍然闪耀着古代内部牵制的思想和方法的光芒。比如，现代会计记录依然沿用的是意大利复式记账方法；西周时期要求财赋管理应做到“一豪财赋之出入，数人耳目之通焉”，演绎至现代即是“四眼原则”。

（二）发展阶段：企业内部控制制度（20世纪40年代—70年代）

“内部控制”一词最早见诸于文字，是作为审计术语出现在审计文献中的。1934年美国《证券交易法》，首先提出了“内部会计控制”（Internal accounting control system）的概念。1936年，美国会计师协会发布的《注册会计师对财务报表的审查》文告，以及1947年《审计准则暂行公告》（TSAS），出于改进审计方式的需要，提出了以内部控制（Internal Control）为基础的审计程序。

1949年，美国职业会计师协会所属的审计程序委员会，第一次提出了内部控制的概念，即：内部控制包括经济单位的计划及经济单位为保护其财产、检查其会计资料的准确性和可靠性，提高经营效率，保证既定的管理政策得以实施而采取的所有方法和措施。该定义认为内部控制系统已远远超出了财务、会计的范围。

1958年该委员会将企业内部控制分为内部会计控制和内部管理控制。前者指与财产安全和会计记录正确性相关的程序和方法，后者指与贯彻管理方针和提高经济效率相关的程序和方法。这就是我们目前所熟知的内部控制的“制度二分法”的由来。

1963／1972两次重新定义内部会计控制和内部管理控制。使内部管理控制的含义进一步具体化。

（三）形成阶段：企业内部控制结构（20世纪80年代—90年代）

进入20世纪80年代以后，内部控制的研究重点逐步从一般含义研究转向具体内容的深化。

1988年5月，美国注册会计师协会发布《审计准则公告第55号》，以“内部控制结构”概念取代了“内部控制制度”概念。该公告认为内部控制结构是指为企业特定目标提供合理保证而建立的各种政策与程序，包括控制环境、会计制度和控制程序三个要素。其中会计制度是内部控制结构的关键要素，控制程序是保证内部控制结构有效运行的机制。

这一概念跳出了“制度二分法”的圈子，特别强调了管理者对企业内部控制的态度、认识和行为等控制环境的重要作用，指出这些环境因素是实现企业内部控制目标的环境保证，要求审计师在评估控制风险是不仅要关注会计控制制度与控制程序，还应对企业所面临的内外环境进行评估。(www.xing528.com)

（四）成熟阶段：企业内部控制整体框架（20世纪90年代～21世纪）

1985年，由美国注册会计师协会（AICPA）、美国会计学会（AAA）、财务执行官协会（FEI）、国际内部审计师协会（IIA）、管理会计师协会（MAA）共同赞助成立反虚假财务报告委员会（Treadway委员会），该委员会旨在探讨财务报告中的舞弊产生的原因，并寻找解决措施。该委员会虽然未对内部控制提出结论，但其研究指出50%的财务舞弊事件可全部或部分归因于内部控制不健全。

基于该委员会的建议，其赞助机构成立COSO委员会（Committee of Sponsoring Organization），专门研究内部控制问题。

1992年9月，COSO委员会提出了报告《内部控制——整体框架》（1994年进行了增补），即COSO内部控制框架。COSO委员会1992年的定义，内部控制是由董事、管理层及其他人员在公司内进行的，旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵从性提供合理保证的过程。报告认为内部控制是由五个相互联系的要素组成的，即控制环境、风险评估、控制活动、信息与沟通、监控。

在美国建立COSO内部控制框架后，加拿大特许会计师协会的COCO委员会（Criteria of Control Board，控制标准委员会）1995年11月提出了“控制原则标准”（the Criteria of Control Principles，即“COCO”框架）。COCO框架提出了目标、承诺、能力、学习和监督四大类控制标准，也即四个基本要素。这四个基本要素通过“行动”联结成一个循环。英国的Cadbury委员会也提出了一个与COSO相似的内控框架。

我国2012年1月1实施的《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》准则、2011年1月1日实施的《国家审计准则》和2003年6月1日实施的《内部审计具体准则第5号——内部控制审计》准则，均采纳了COSO的内部控制框架。

2013年5月14日，反虚假财务报告委员会下属的发起组织委员会（COSO）发布《2013年内部控制——整体框架》（以下简称：《整体框架》）及其配套指南，新版《整体框架》在基本概念、内容和结构，以及内控的定义和五要素、评价内控体系的有效性标准等方面均与原版相同，有变化的则是依据具体形势所做出的相关内控管理措施。

（五）企业风险管理框架（ERM）

2001年11月，安然公司财务丑闻曝光，6个月后，世通公司再度爆发丑闻，美国这一期间有338家上市公司，总计4093亿美元的资产申请破产保护。投资者、员工和其他利益相关者遭受了巨大的损失。为了应对这一系列上市公司财务欺诈事件所造成的美国股市危机，重树投资者对股市的信心，美国国会出台了《2002年公众公司会计改革和投资者保护法案》，即《2002年萨班斯——奥克斯利法案》（SOX法案）。SOX 法案对美国《1933年证券法》《1934年证券交易法》做了不少修订，其中的302条款和 404条款对所有在美国上市的公司的内部控制体系建设提出了要求。

作为对SOX法案的积极反应，2004年9月，COSO委员会颁布了《企业风险管理——整合框架》。该风险管理框架就是在COSO1992年的研究成果——《内部控制框架》报告的基础上，结合SOX法案的要求，进行扩展研究提出来的，被公认的是目前满足 SOX法案所要求的企业内部控制体系的最佳实践依据。

COSO认为：企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制订和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程 。它包括四个目标，即战略目标、经营目标、报告目标和合规目标；八个组成要素，即内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。

简单地看，相对于内部控制框架而言，新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素，即“风险组合观”“战略目标”“风险偏好”和“风险容忍度”的概念以及“目标制订”“事项识别”和“风险反应”要素。对应风险管理的需要，新框架还要求企业设立一个新的部门——风险管理部。新的风险管理框架比起内部控制框架，无论在内容还是范围上都有所扩大和提高。

2016年6月COSO公布了一个针对2004年ERM框架的修改草案，草案全称为《企业风险管理——通过策略与绩效调整风险》，并预计2017年实施。