第一节 内部控制的产生与发展

企业内部控制是社会经济发展到一定阶段的产物，既是企业管理的重要组成部分和有效工具，也是企业的自动预警和维护系统。内部控制经历了漫长的演变过程，它的每一次理论与实务的变革成果都是人们智慧的结晶。

一、内部控制产生的背景

随着社会环境的复杂化，企业已不能封闭、静止地存在于社会之中，而是要面临各种外部竞争压力和内部管理需求。内部控制是社会经济发展的必然产物，随着企业组织形态的进化、社会环境变化而不断深化。它的形成基础是人类社会在许多方面的变革，主要包括受托责任制的产生、工业化生产的推进、市场不确定性因素的增加、内部发展需求的变化和相关科学理论与技术的发展。

（一）受托责任制

自19世纪以来，传统的所有者和经营者合一的企业所提供的资金已不能满足企业快速扩张和发展所需要的资本。随着经济的发展和法律制度的完善，产生了公司制企业这类新型经济主体。公司的所有者（股东）将资本注入企业，并不直接参与日常的经营活动。经营管理权由企业所有者（委托人）授予管理者（代理人），由此产生受托责任。

由于企业所有者和管理者的目标利益、风险偏好并不完全一致，有时甚至陷入激烈的冲突，加上两者所掌握的信息并不对称，很容易导致管理者作出逆向选择和道德风险的决策，对企业价值、股东利益造成威胁。为了解决这种受托责任下的代理问题，维持和谐的委托代理关系和企业的正常运转，企业必须建立一种信任机制，而内部控制就是这种信任机制的一种制度安排。在健全的内部控制制度之下，管理者的权力受到制衡，所有者权益和企业价值得到保值和增值。

（二）工业化生产

现代意义上的内部控制，是工业化革命和机器化大生产的结果。

在机器化大生产的条件下，生产工序复杂，生产作业链条严密，专业化程度大大提高，这种情况下不可能要求每个人完成所有的工序，即使可能，也不利于效率的提高，因为一人身兼多职需要大量的学习新技能和转换工作程序的时间。因此，岗位设立、按岗分工成了必然选择。如何做好分工后的协调工作?如何使机器化大生产做到精准有效?内部控制就是解决这些新难题的好办法。因为健全的内部控制要求企业合理地划分岗位职责和权限，注重关键节点的风险评估和应对，使总的经营效率效果最大化。

（三）外部不确定性

随着经济全球化、企业市场化等发展进程的推进，企业面临的商业经营宏观环境中的不确定因素逐渐增多。这些外部因素会直接或间接地影响企业的日常经营活动。因此企业需要建立健全内部控制系统，使企业积极应对这些因素带来的影响。

商业经营宏观环境存在诸多不确定性，从而酝酿了商业风险。宏观环境中的人口、经济、自然、技术、政法与文化环境等六大要素都是不可控的变数。一旦这些不可控的变数发生某些变化，商业经营者如果能够及时适应这些变化的环境，往往就可以将市场机会变成自己的获利机会；否则，就可能造成巨大损失。例如，消费者收入变化、消费者需求结构的变化、生产者供给的变化等经济环境；某些原料短缺、环境污染严重等技术环境；技术变化的步伐加快、技术革新的法规增多等技术环境；管制企业的立法增多、执法更严等政法环境；传统文化持续不变、现代文化不断更新等文化环境。这些环境中的一个因素的变动，可能就会直接或间接地给企业的正常运营和发展带来威胁。

（四）内部发展需求

20世纪40年代以来，许多企业走上了扩张兼并的道路。随着企业规模的扩大和结构的复杂化，企业内部管理的难度加大。例如跨国公司需要处理不同社会背景下企业文化的差异，解决不同文化背景的子单位之间的协调问题。又如混合兼并后的企业要处理不同产业经营投资模式的差异，解决不同业务之间的协调问题。这些难题要求企业提升自身的管理能力，从单一业务向集团化管理的模式转变。而内部控制强调企业内部控制环境、控制活动、沟通的有效性，是强化企业内部管理的有效工具。

（五）相关科学理论和技术

内部控制是控制论在管理领域的应用。20世纪40年代，维纳发表了著名的《控制论———关于动物和机器中控制和通讯的科学》一书，标志着控制论的产生。根据控制论，控制系统所共有的基本特征是信息的交换和反馈过程，利用这些特征可以达到对系统的认识、分析和控制的目的，保证系统的平衡稳定。从控制系统的主要特征出发来考察，管理系统是一种典型的控制系统。管理系统中的控制过程本质上与工程的、生物的系统相似，都是通过信息反馈来揭示成效和标准之间的偏差，并采取纠正措施，使系统稳定在预定的目标状态上。内部控制正是吸收了控制论的思想和方法，才得以发展。

同时，内部控制也是制度经济学应用的结果。20世纪40年代，经济学领域出现一个重要的学科分支———制度经济学。制度犹如游戏规则，迫使人们在作出行为选择时权衡其成本和收益，经济活动中的不确定性得以减少。企业内部控制是企业运行的一系列规则，是人们设计的、用以规范企业内部相互交流和协作的框架。内部控制正是受到制度经济学的影响，才突破了会计和审计的局限，从而产生了现代意义上的内部控制制度。

如今，突飞猛进的信息技术为内部控制的发展提供了更多的技术支持，使企业的内部控制更加完善。SOX法案的颁布，加强了企业内控对外报告需求、企业提高内控管理需求，提升了企业内部控制信息系统的价值。现代信息技术逐渐与内部控制制度相结合，渗透到企业内部控制的各个要素之中。具体表现包括：

（1）对控制环境的影响：大量的人工控制被系统自动控制所取代。内部控制层次大大减少，但是责任更加明确，效率明显提高。再者，内部控制的管理理念发生变化。随着组织扁平化，企业内外部人员都能够更容易获得对等的信息，企业的内部控制设计更强调以人为本的管理理念。

（2）对风险评估的影响：现代企业将信息技术应用于风险管理的各项工作，致力于建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。

（3）对控制活动的影响：首先信息技术促使业务环节和交易方式发生改变，控制活动中的子目标就需要进行相应的调整；再者，控制手段呈现多样性、灵活性和高效性的特点；控制的重点从人的控制转移到人机共同控制上来。

（4）对沟通的影响：在信息获取方面，信息技术帮助企业通过网络等渠道及时获取海量的行业信息，同时存储方便，易于查询；在信息传递方面，信息技术为此提供了多种方式。即时通信工具、电子邮件、论坛等，相对于传统的书面沟通或语言沟通，表达方式和时间更加灵活，同时又让沟通过程有迹可循。

（5）对监督的影响：信息技术的发展扩大了内部监督的对象和内容，也使监督的方式发生改变。如在计算机环境下，企业的各项经济活动及其反映的资料如传统的凭证、账簿、文字记录及纸张被磁盘、光盘等磁性介质取代，内审人员必须通过计算机在一定条件下来读取，并利用先进的分析软件进行数据挖掘，发现企业的风险症结。总之，信息技术不断促进内部控制各要素的变化，从而促进企业内部控制的发展。

二、内部控制的发展

纵观内部控制理论的发展历程，大致上经历了以下五个阶段。

（一）萌芽———内部牵制（20世纪30年代之前）

内部牵制（InternalCheck）的一个含义在于职责的分离。通过职责分离，任何一个人进行偷盗或类似行为将更为困难，这有助于减少组织成员的舞弊行为。内部牵制包括职责分工、会计记账、人员轮换等三大要素以及实物牵制、机械牵制、体制牵制、簿记牵制等四大重点。

在古罗马时代，对会计账簿实施的“双人记账制”是典型的内部牵制措施。具体内容是：某笔经济业务发生后，由两名记账人员同时在各自的账簿上加以登记然后定期核对双方账簿记录，以检查有无记账差错或舞弊行为，进而达到控制财物收支的目的。

（二）初步发展———制度二分（20世纪30～70年代）

1936年，美国颁布了《独立公共会计师对财务报表的审查》，首次定义了内部控制：“内部稽核与控制制度是指为保证公司现金和其他资产的安全，检查账簿记录的准确性而采取的各种措施和方法”。此后，美国审计程序委员会对内部控制的定义进行了多次修改。

1973年，在美国《审计程序公告55号》文中，对内部控制制度的定义作了如下解释：“内部控制制度有两类：内部会计控制制度和内部管理控制制度，内部管理控制制度包括且不限于组织结构的计划，以及关于管理部门对事项核准的决策步骤上的程序与记录。会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。”

（三）深层发展———内部控制结构（20世纪80年代）

1988年4月，美国注册会计师协会发布《审计准则公告第55号（SAS N0.55）》，规定从1990年1月起以该文告取代1972年发布的《审计准则公告第1

号》。该文告首次以内部控制结构（InternalControlStructure）一词取代原有的

“内部控制”。该结构由控制环境、会计制度和控制程序三个要素组成。

（四）成熟———内部控制整合框架（20世纪90年代）

1992年9月，美国内部控制专门研究委员会发起机构委员会（Committeeof

Sponsoring OrganizationsoftheTread wayCommission，简称COSO委员会），在

进行专门研究后提出著名的专题报告：《内部控制———整体架构（InternalControl

IntegratedFramework）》，也称COSO报告。该报告指出“内部控制是受企业董事

会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”1996年底美国审计委员会认可了COSO的研究成果，并修改相应的审计公告内容。

如图11所示，由三个层面、三个目标和五个要素组成内部控制框架。

（五）完善———风险管理框架（21世纪初期）和新进展

2004年COSO委员会发布《企业风险管理———

整合框架》。企业风险管理整合框架认为“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主

图11 COSO内部控制框架图

体目标的实现提供合理保证。”该框架拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。

风险管理框架包括了八大要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。

2013年5月14日，美国COSO委员会发布了《2013年内部控制———整体框

架》及其配套指南。新版《整体框架》相比原版的变化是依据具体形势所做出的相关内控管理措施，这被业内人士称为一种升级。COSO更新其原始框架的目的之一，旨在反映目前商业和运营环境的变化：更加关注治理问题；更加注重风险和以风险为基础的方法；更加依赖创新和复杂的技术；更加复杂的组织结构和商业模式（包括外包商业关系）；层出不穷的监管要求。

三、我国企业内部控制的重要意义

（一）促进企业战略目标的实现

战略目标反映了管理层就企业如何努力为其利益相关者创造价值所做的选择，是企业最高层次的目标。企业活动与既定的战略目标偏离时，如不采取措施加以纠正，各类风险就会扩大、加剧，导致企业战略目标无法顺利实现。为了有效实现企业的战略目标，就必须及时对企业的资源（财产、人力、知识、信息等）进行合理的组织、整合与利用，这意味着这些资源要处于控制之下或在一定的控制之中运营。这就要求企业建立健全战略实施中的内部控制，将实际与理想的偏差控制在合理范围之内。根据专家总结的战略管理经验，战略实施的重点主要包括组织结构与战略的匹配、资源配置的优化、有效的战略领导。而这些要素正是涵盖在内部控制的控制环境、控制活动等要素之内的。在企业战略的实施过程中，健全的内部控制系统能够检查企业为达到目标所进行的各项活动的进展情况，及时准确评价企业绩效，把它与既定的战略目标与绩效标准相比较，发现战略差距，分析产生偏差的原因，落实有效的措施纠正偏差，使经营过程更好地与企业当前所处的内外环境协调一致，使企业战略得以实现。

（二）提升企业经营的效率效果

效率是指投入与产出的比值，例如，劳动生产效率常用人均产量、人均产值等指标来表示。效率注重的是执行的过程，“效率高”通常指的是“正确地做事”，即充分利用有限资源，使产出最大化。效果是一项活动的成效与结果，是人们通过某种行为、力量、方式或因素而产生出的合乎目的性结果。效果注重的是结果，“效果好”通常是指“做正确的事情”，即所从事的工作和活动有助于组织达到其目标，其主要是由战略决策所决定的。内部控制贯穿于企业活动的始终，兼顾目标的执行与结果，因而有助于提升企业经营的效率效果。如改进企业的组织结构，减少冗余和交叉，明确权责，将提升企业的工作效率。有效的人力资源管理能够充分发挥人才优势，激发员工的创造力和积极性。以战略为导向的全面预算能够支持企业价值创造和保持竞争优势。全面的风险评估能够帮助管理者找到企业发展方向，做出正确的战略决策，提升经营效果。严密的控制活动能够将不合理损失和浪费控制在合理范围之内。有效的信息与沟通机制能够促进工作流程的顺畅运转。有效的内部监督能够及时发现低效漏洞、及时提出增加企业价值的改进建议。

（三）保证财务会计报告及管理信息的真实可靠

从会计角度来看，无论是服务于企业内部的管理会计，还是服务于外部的财务会计，都需要符合相关质量要求的会计资料作为有效的工作支持。内部控制系统通过制定和执行业务处理程序，科学地划分职责分工，使会计资料在有效的控制程序中产生，从而有效地防止错误和舞弊的发生，保证会计资料的正确、可靠。企业会计控制制度是企业内部控制的一个重要方面。通常，内部控制制度对会计资料的处理有严密的控制措施，如对会计资料进行稽核、复核，以保证凭证、账簿、报表的正确性。这项工作意义深远，既能保证提供给管理者的信息数据真实有效，促进科学合理决策，又能保证流通于外部的信息数据真实有效，保护资本市场的诚信机制。

（四）维护资产的安全与完整

从“内部牵制”阶段起，内部控制制度就强调资产的保护，从一些最初的制度安排可以看出这一点：在每一项业务活动的处理过程中，不允许一个人或一个部门单独处理，必须经过两人或两人以上的人员（部门）去完成，并要有严格的处理程序与手续。用俗语来形象概括就是“管钱不管账，管账不管钱”。由于这种制度严格地规定了在处理经济业务的过程中各部门的权责，不会造成权力的交叉或真空。大量事实证明，权力的交叉或真空往往会导致相关的资产暴露在高风险之下。有效的内控系统会杜绝浪费、贪污、盗窃此类现象的发生，有效保障资产安全。

（五）遵循国家法律法规及监管条例的必然要求

企业从事的活动必须符合相关的法律和法规。这些法律法规可能与市场、价格、税收、环境、资源、职工福利以及国际贸易有关。在法律环境逐渐成熟和信息传播迅速的当代社会，企业的违规违法记录很可能对它的社会声誉产生极大的负面影响，进而威胁企业的生存与发展。因此，企业需要根据相关的法律法规制定行为标准并在日常活动中严格遵守，维护合法、健康、诚信的企业公民形象。有效的内部控制能够督促企业全员培养较强的法律意识和较高的职业道德修养，营造良好的守法环境，在风险评估过程中有效识别和应对法律风险，在具体的业务活动中不逾越相关法律法规。