从内部控制历史看内部控制发展

从内部控制历史看内部控制发展发布时间：2006-10-286:26:08阅读次数：145评分(0票，平均0.00分)来源：科技日报作者：石爱中编辑：zlcx一、内部控制的历史发展轨迹内部控制的理论是近现代的事情，但是，内部控制实务却源远流长，应该说，自古有之。1．单要素内部控制单要素内部控制实际上是内部牵制，内部牵制是内部控制的最初形态。内部控制主要是为防止舞弊和其它错误发生，保证资产及其记录的安全。其机制是处理一项业务或记录时要求职责分离和相互制约。常见的内部牵制有实物牵制、职责牵制和簿记牵制。2．两要素内部控制两要素内部控制就是将内部控制分为内部会计控制和内部管理控制。1949年美国注册公共会计师协会发布的《审计准则说明》提出，内部控制应该包括组织机构和方法措施。但是为了方便注册公共会计师的审计需求，又将其分为内部会计控制和内部管理控制（如统计分析、业绩报告、培训计划、质量控制），并规定注册公共会计师的职责主要是关注内部会计控制，对于内部管理控制而言，只有必要时，才会加以适当考虑。3．三要素内部控制三要素内部控制有一个由“制度”向“框架”转变的过程。1981年，国家会计师联盟发布的第6号国际审计准则提出：内部控制是为实现组织管理目标而制定的组织计划、所采取的方法和程序。这个规定明显受了美国注册公共会计协会的影响。但是，该准则还特别提到监督的重要作用，这就明显的暗示了内部控制的三要素：组织机构、方法程序和内部监督。1986年最高审计机关国际组织发布的第12届大会声明进一步明确，内部控制制度应该包括组织结构、方法程序和内部审计。正式将内部审计划入内部控制范畴。1988年，美国注册公共会计师发布的第55号《审计注册说明书》以内部控制框架概念代替了内部控制制度概念，提出内部控制框架应包括控制环境、会计制度和控制程序。以“框架”代替“制度”不只是名词的变化，其内涵也有了明显的变动。其中，控制环境的提出应该是革命性的变革。控制环境包括管理者的经济理念和风格、组织结构、董事会及委员会的只能确认权责的方法、监控方法（如经营计划、利润计划、预算、预测、责任会计、内部审计等）、外部关系等。这些内容应该说是反映了董事会、经理层、其他管理人员对内部控制的态度、认识和行动。三要素内部控制框架理论与前内部控制理论的明显不同是：内部控制不只是关注资产及其记录的安全问题，而且关注组织经营管理问题，这就大大拓宽了内部控制的范围。4．1992年，美国防止虚假财务报告委员会发布的《内部控制整体框架》报告提出了五要素内部控制理论，并且沿用了“框架”的概念。该报告将内部控制要素分为控制环境、风险评估、控制活动、信息沟通和监控。该理论提出后，很快被各国政府审计和民间审计所接受。其具体内容是：（1）控制环境保持正直性和良好的道德观。直接影响内部控制的执行效果。正确的激励和引导，避免负面刺激和不良诱导。例如，受短期利益的刺激和诱惑而损害组织的长远利益。提供道德引导，彰显道德行为。确定所有岗位所需要的能力类型和水平，包括知识和技能。正确履行董事会和审计委员会的职能。例如，董事会是否独立于执行层，审计委员会是否能正常发挥作用。管理层的哲学和经营风格。直接影响组织的管理方式，如激进或保守会计政策的选择。正确地规划组织结构。直接影响组织的各项管理行为和效果。正确地划分和确定职权与责任。制定并实施良好的人力资源政策。（2）风险评估确定目标，并纳入总体战略。目标包括经营目标、财务报告目标、遵守法纪目标。风险识别，辨认影响所定目标的内外风险因素。组织层面的外部因素主要有：技术进步、市场变动、竞争加剧、新法规颁布、自然灾害、经济周期波动等。组织层面的内部因素有：信息系统崩溃、雇员质量低劣、培训和激励有问题、管理职责变动、董事会和审计委员会作用不到位等。业务层面的因素主要有：销售、生产、市场开拓、产品研发、技术研发等方面的问题。风险分析，分析所识别的风险因素。包括估计风险因素的影响力，确定其发生的可能性，考虑需要采取的措施。识别变化的环境和条件，因为变化的环境和条件可能影响组织的目标的实现。（3）控制活动预算控制和预测控制。报告控制，由管理人员直接检查各种业务报告。业务的记录和授权控制。实物控制，各种实物资产的安全和记录控制。预警控制，通过对异常波动、关系和趋势的调查、分析和纠正来进行控制。职责分离控制。第78号《审计准则说明书》对此做了如下略有不同的概括：充分的职责分工、业务和活动的适当授权、充分的凭证和记录、对资产和记录的实物控制、独立检查。（4）信息沟通组织必须及时获取、正确处理和报告为达到组织目标所需的所有财务和非财务信息，因而也就是必须建立信息系统。信息系统不但要满足日常经济管理需要，而且还要满足战略决策需要。信息系统的设置和运转必须满足组织内外沟通的需要。（5）监控为了保证内部控制的正常有效运转，组织需要对其进行必要的监控。监控可以结合日常管理活动一并进行，也可以单独进行。监控工作可以由执行者自己做，可以由内部审计来做，还可由外部审计来做。但是，监控应该是内部审计的正常工作和固有职责。5．八要素内部控制2004年，美国防虚假财务报告委员会发布的《企业风险管理框架》提出了八要素内部控制理论。但是，此次是从企业风险管理角度提出，而不是从内部控制角度提出。这是值得关注的微妙变化。从具体内容上看，八要素是控制环境、目标确定、事件识别、风险评估、风险控制、风险反应、控制活动、信息沟通和监控。其中，控制环境、控制活动、信息沟通和监控与五要素内部控制理论基本相同，不同的是五要素理论中的风险评估被细分为目标确定、事件识别、风险评估、风险反应。但是如果认真分析五要素理论中风险评估的具体内容，不难看出，这四项内容在五要素理论中的风险评估内容中也有相应的表述。因此，我们认为，八要素理论和五要素理论基本上是一致的，只不过是因为八要素理论侧重于风险管理，因此将风险评估内容细分化而已。二、内部控制的逻辑发展轨迹1.基于职责结果的内部控制为防止发生舞弊行为或错误事项，人们将一个组织的各项工作职责进行了细分，并认真研究了各项职责的特性和相互关系，在此基础上，找出各项职责之间的制约关系，并将这种关系设计到资产及其记录的处理流程之中，形成了最早的内部控制理论和实务。实际这种理论和实务应该被称为“内部牵制”。例如，出纳与会计的分离、资产保管与会计记录的分离、业务授权与相关资产保管的分离、经营责任与记录责任的分离等，内部牵制是内部控制的原始或初级形态。2.基于业务结构的内部控制早期的内部控制主要对象物是资产及其记录的安全性。然而，如果内部控制的目的仅仅是查错防弊，那么它的成本和效率会成为一些人诘问的把柄。如果，内部控制的机制在资产保管和记录安全上能发挥作用，那么，将其拓展到其他经营管理领域，同样也会发挥作用。于是，人们又将内部管理理论和实务进一步向前发展，提出了基于不同业务类型的内部控制，将内部控制分为内部会计控制和内部管理控制。这种理论和实务既能在一定程度上解决了内部控制成本和效率问题，又扩张了其内容，使其作用范围扩大到组织的管理活动中。但是客观地讲，这种分类弊端也非常突出。在实务中，人们极易将完整的内部控制体系割裂开来，导致履行不同职责的人只会关心于自己的控制，忽视从而也就不能很好地利用其它控制。最明显的例子就是，在工作中一般只对内部会计控制感兴趣，而对内部管理控制而言，则不闻不问。3.基于组织结构的内部控制基于职责结构的内部控制适用于组织规模较小、业务相对简单、控制目的单一的情况，而且主要针对执行层面。这种控制对于现代大型企业而言，应该说还是杯水车薪，无济于事。现代大型组织的控制除了关注执行层面外，更重要的是要关注决策层面、战略层面、决策与执行两层面的关系、执行与监督两层面的关系。因此，这就是需要在组织结构上进行规划，从整体关系上达到控制的要求和目的。基于组织结构的内部控制侧重于研究组织的决策、执行、监督及其之间的相互关系，并以此为依据，设计组织的内部控制体系。此时，对内部控制的表述不再是“制度”而是“框架”。在这样的框架中，控制环境、风险评估和内部监督成为重要的要素，这些也是早期内部控制理论和实务有所忽视的。4.基于风险结构的内部控制面对日趋激烈的生存竞争环境，一个大型组织在重大问题上的决策稍有不慎，便可有灭顶之灾。风险管理相对于日常工作中的资产安全性及其记录正确性而言，显得更加重要。因为真正的风险一旦来临，无论资产和记录的质量如何，可能都在瞬间荡然无存。面对这种情况，不但财务人员和审计人员，而且高层管理人员；不但执行人员，而且决策人员，都将内部控制的重点由资产安全及其记录正确性逐渐向风险管理转移。风险管理要求内部控制不应仅仅局限于单个岗位、单项职责、单项业务、单项流程，而是要包括组织活动的全过程；控制视角不仅仅要放在某几个关键控制点上，而是要包括凡是可能诱发和产生风险的所有活动上。在这种环境下，内部控制的框架被进一步扩大，特别关注了风险管理问题，将组织目标、影响目标实现的事件、风险和机会、风险反应对策等要素纳入了内部控制的视野。此时，内部控制与组织的风险管理几乎融合为一体。这不但影响了组织的管理活动，而且也影响了组织的内部审计。5．基于信息结构的内部控制随着组织对内部控制的需求不断扩大，内部控制的内容日益复杂，内部控制的流程也日益程序化。在这种情况下，内部控制的固有缺陷也就明显。例如，内部控制的有效性过度地依赖人和制度，过度地依赖于组织结构和管理流程的细分，过度依赖于程序的严禁。这就使得内部控制的成本偏高，效率底下，反应速度缓慢，灵活性偏差。这也正是大家在没有法律强制要求的情况下，都倾向于将内部控制简化的重要原因。如果认真分析，我们就会发现，大家总是倾向于简化内部控制的原因可能就在于，高配置、低手段，既设计了高级的内部控制，运用的是手工方式。如果我们将手工方式作为传统方式，将信息化方式视为现代方式，那么，传统的内部控制实际上是忽视了信息化技术的作用，由于人们对信息化技术的认识不到位，所以限制了人们对内部控制的利用和作用范围。我们应该看到，信息化技术可以降低内部控制成本，提高内部控制效率；可以将人为控制变为程序控制，并使控制变得灵活可靠；可以形成手工条件不可能设置的控制，增强控制的功能；可以快速获取和传递信息，及时反馈信息，提高控制效果。由于信息化的内部控制有无可质疑的优势，也具有不可替代性，因此，内部控制的进一步发展，方向必然是信息化，即要建立基于信息化结构的内部控制。那么，什么是基于信息结构的内部控制？简单地说，就是将基于职责结构、业务结构、组织结构和风险结构的内部控制与信息化技术集成起来。建立基于信息化结构的内部控制，一是要利用信息化技术对职责结构、业务结构、组织结构和风险结构的内部控制进行相应的调整和改造；二是要使内部控制的运作方式信息化。三、内部控制的信息化改造1.控制环境的信息化对控制环境的信息化改造实际上就是要营造一个适合于信息化工作的环境和氛围。组织的决策层、管理层和全体员工要提高对信息化作用的认识。决策层和管理层要改变经营管理风格，放弃粗放式管理模式，走内涵式、集约化道路。对组织结构要按照信息化的要求进行改造重组，使之适应信息化工作的规律，并能充分利用信息化手段。对各种职能部门、管理岗位和操作岗位，对各种管理流程、业务流程和技术工艺流程，进行梳理，明确其中可以或者必须进行信息化改造的环节，然后有针对性地设计各种相关的信息子系统，并将其集成到统一的管理信息系统之中。对各种职能部门、管理岗位和操作岗位，对各种管理流程、业务流程和技术工艺流程，进行梳理后，应该明确其对信息化技术的要求，然后制定培训计划，进行有针对性的持续不断的培训，使所有相关的管理人员和员工都具备相应的技能。正确确定各管理层面、职能层面、管理岗位和操作岗位在信息化的管理和业务流程中的职权和责任。2.风险评估的信息化风险源于组织的战略决策，不同的战略目标肯定要面临不同的风险，同时也肯定要面临不同的机会。内部控制的设置和实施，就是为了组织制定正确的战略决策，为了保证战略目标的实现，为了管理潜在和现实的影响战略决策目