控制是指一定的控制主体为了实现既定的控制目标,以信息沟通为基础,采取一定的控制方法和手段,对控制客体所进行的约束、支配和驾驭。控制是一个应用非常宽泛的概念,人类社会各方面的活动都需要调节和控制,大到整个世界各国的活动,小到单个人的行为。内部控制理论有很长的发展历史。
人类自从有了群体活动,就有了一定意义上的控制。我国古代的御史制度、西方早期的议会制度,均属于早期控制制度的雏形。现代意义上的内部控制开始于工业革命时期。20世纪以来,内部控制理论和实践得到了更快速的发展。
一、国外内部控制发展的历史
(一)18世纪产业革命前(内部牵制)
内部控制的萌芽期即内部牵制。根据史料记载,当人类社会活动发展到需要管理的时候,控制和监督的因素也便应运而生。
远在公元前3600年前的美索不达米亚文化时代,就存在着极简单的内部牵制的会计实践。古埃及在法老统治时期,就设有监督官负责对全国各级机构和官吏是否忠实地履行受托事项以及财政收支记录是否准确无误加以间接管理和监督。在公元600年左右,古埃及在记录官、出纳官和监督官之间就建立了比较完善的内部牵制制度。古罗马帝国宫廷库房采取“双人记账制”、“对账制度”。15世纪末,借贷复式记账法在意大利出现。自此,对管理钱、财、物的不同岗位进行分离,并利用其勾稽关系进行交互核对,直到19世纪末期,一直被认为是保证所有钱物和账目正确无误的理想牵制方法。
(二)18世纪产业革命后至20世纪40年代(内部牵制制度)
随着资本主义经济的发展,公司等经济组织步入经济舞台,尤其是在19世纪中叶至20世纪初叶,产业革命相继在英美等国家完成,企业间竞争的加剧,导致急需加强企业内部管理。同时,为了保护投资者和债权人的利益,各级管理人员开始进行全面企业管理的探索。
“科学管理之父”泰罗(F。W。Taylor)在其代表著作《科学管理原理》(1911年)中,率先提出科学管理的基本原则,其中包括把管理的计划职能同执行职能分开,变原来的经验工作方法为科学工作方法,在管理控制上实行例外原则等原理。
“管理理论之父”法约尔(H。Fayol)也在其著作《工业管理与一般管理》(1916年)中,提出了工作分工、职权、纪律、统一指挥、统一领导、等级链、秩序、公平等14条管理原则。
在泰罗等管理理论的指导下,以职务分离、账户核对为主要内容的内部牵制,逐渐演变成由组织结构、职务分离、业务程序、处理手续等因素构成的控制系统,即“内部牵制制度”。至此,内部牵制走向成熟。该历史时期的内部牵制,基本上是以查错防弊为目的,以职务分离和交互核对为手法,以钱、账、物等会计事项为主要控制事项。内部牵制制度成为现代内部控制理论中有关组织机构控制、职务分离控制的基础。
内部牵制机能的执行大致可分为四类:实物牵制、机械牵制、体制牵制、簿记牵制。
“内部控制”一词最早见诸于文字,是作为审计术语出现在审计文献中。1936年,美国注册会计师协会在其发布的《注册会计师对财务报表的审查》文告中,首次正式使用“内部控制”这一专门术语,其中指出:“注册会计师在制定审计程序时,应考虑的一个重要因素是审查企业的内部牵制和控制,企业的会计制度和内部控制越好,财务报表需要测试的范围则越小。”
20世纪30年代出现的世界性经济大危机,迫使很多企业为求生存,免遭破产厄运,加强了对生产经营的控制与监督,这就促使企业的内部控制工作进一步超越会计及财务范畴,深入到企业所有部门及整个业务活动,如生产标准、质量管理、内部稽核、统计分析以及职员培训等,甚至包括提高经营效率的各种方法与步骤。
1938年,美国发生了著名的麦克森-罗宾斯案件(Mekesson&Robbon case),尽管Price&Water house会计公司已按一般公认审计程序对麦克森-罗宾斯公司进行了审计,但仍未能发现被审计公司的欺诈行为。事后检讨时,审计人员发现,原有的审计程序缺少了对内部控制和会计处理程序的审查步骤。于是,从开展审计业务的实际需要出发,审计人员开始把内部控制从企业管理活动中抽象出来,进行专门的研究与评价。它导致了1939年10月美国会计师协会审计程序委员会的《审计程序文告第一号》的产生,首次增加对内部控制审查的内容。1940年10月,美国证券交易委员会正式要求审计人员在签署的审计报告中增加以上类似的内容。
(三)20世纪40年代至80年代(内部控制制度)
以20世纪40年代为分水岭,内部控制经历了实践塑造和理论完善两大历程。第二次世界大战以后,资本主义经济发展中出现了许多新的变化,如科学技术和生产自动化迅速发展,企业规模继续扩大,巨型公司不断出现,市场竞争异常激烈,许多复杂产品和大型工程需要大量高素质人员在分工协作、检查验收和评价督促等良好的环境下才能完成,所有这些都对企业管理提出了建立健全人员条件、检查标准和内部审计等控制措施的要求,并促使内部控制从对单项经济活动进行独立控制为主向对全部经济活动进行系统控制为主发展,进而形成包括组织结构、岗位责任、人员条件、业务程序、处理手续、检查标准和内部审计在内的严密的控制系统。至此,内部控制完成了其主体内容的塑造过程,但其各项构成要素和控制措施只是散见于企业各项管理制度、惯例和实务中,尚未得到很好的理论总结。虽然内部控制作为企业管理活动中不可分割的组成部分,理应属于管理范畴,但内部控制理论是在审计理论中提出并得到深化的。
1947年,美国会计师协会的审计程序委员会颁发了《审计准则暂行公告》。在“现场工作准则”第二条中规定:“有必要研究和评价现行内部控制,以作为信赖内部控制和确定其后审计测试范围的基础。”进一步增强了注册会计师的法律责任,促使其更加注重内部控制,并使内部控制的审查成为一项法定的审计步骤,同时使社会各界广泛认识到企业内部控制的重要性。
1949年美国会计师协会的审计程序委员会发表了一份题为《内部控制、协调系统诸要素及其对管理部门和注册会计师的必要性》的专题报告,对内部控制首次做出了如下权威定义:“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性,提高经营效率,推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。”此定义中不仅包括与会计和财务部门直接有关的控制,还包括预算控制、成本控制、定期报告、统计分析、人员培训及内部审计等,以及其他领域的一些活动。上述内部控制定义及其解释的发布,是对内部控制概念的重大贡献,但该报告所定义的内部控制内容如此广泛,以致审计人员认为包括了他们不可能承担的职责,虽然从判断委托人的会计和经营是否良好的角度考虑,该定义非常合适。该委员会为了摆脱这种两难境地,1958年10月,对内部控制定义重新进行表述,将内部控制划分为会计控制和管理控制。将内部控制分为会计控制和管理控制,是为了规范内部控制检查和评价的范围。对此,审计程序委员会在其1963年发布的《审计程序说明第33号》中作了说明:“注册会计师应主要检查会计控制,会计控制一般对财务记录产生直接的重要的影响,审计人员必须对它做出评价,管理控制通常只是对财务记录产生间接的影响,因此审计人员可以不对其做出评价。”这一修正大大缩小了注册会计师的责任范围。
1973年,作为以前所有SAPs的汇编,SAS No。1对内部控制制度(internal control system)(包括会计控制和管理控制)进行了修订(原先是以SAP No。54的形式颁布):管理控制(administrative control)包括但不只限于组织的计划和关于管理部门对事项核准的决策步骤上的程序和记录。这种核准程序是与管理部门为达到这个组织的目的所承担的责任直接相关的一种职能,也是建立所有事项的会计控制的起点。会计控制(accounting control)包括组织计划以及与财产保护和会计记录可靠性有直接关系的各种程序和记录,它应为以下情况提供合理的保证:(1)交易是根据管理层的一般或特殊授权进行的。(2)交易的记录应使得财务报告的编报符合公认的会计原则(GAAP)和其他适用于报表编制的标准,另外它还应该反映财产的经营管理责任。(3)资产的取得只能根据管理层的授权。(4)每隔适当的期间应将财产记录与实物财产相核对,对发生的任何差错要采取适当的行动。
《反国外贿赂法》(the foreign corrupt practices act,FCPA)被认为是内部控制发展史的又一个里程碑。20世纪70年代,随着水门事件的调查,越来越多的贿赂案件被曝光。在美国证监会(SEC)的自愿披露程序下,200多家公司揭示了不道德交易,发现有问题的国外付款在几年间竟达到2亿美元。国会对此做出反应,于1977年以全票通过了《反国外贿赂法》,首先旨在制止美国公司与外国交易的不道德行为;另外,调查发现许多不道德的交易被公司高层所隐瞒,记录被篡改,一些既定的程序被回避,这些都说明公司的内部控制有缺陷。因此,该法案的另一个目的在于保持充分的内部会计控制。FCPA在定义内部控制时,采用了SAS No。1的定义。
1979年SEC对于内部控制的关注得到了加强,要求上市公司在年报中增加管理层报告,披露内部控制,管理层应在年报中对公司内部会计控制是否为FCPA中所定义的内部控制目标提供合理保证做出报告,注册会计师应审查管理层的报告,并对管理层报告是否与公司内部会计控制一致发表意见。SEC之所以做出这样的考虑,是认为公司内部会计控制是否有效的信息能够使投资者更好地评估管理层受托责任的完成,财务报表以及由会计系统生成的其他未经审计的财务信息的可靠性。
(四)20世纪80年代(内部控制结构)
20世纪80年代,许多财务机构破产,其中有许多原因,例如宽松的管制环境、波动的利率、过度的投机、不良的管理以及舞弊。在随后的调查中发现,在大多数案例中审计人员不能发现公司舞弊的情况。1985年6月,美国正式成立虚假财务报告全国委员会(由于该委员会委员长是J。C。Treadway,故又称Treadway Committee),这个委员会旨在考察财务报告舞弊在多大程度上削弱了财务报告的完整性,注册会计师在发现舞弊中的责任,并确定可能导致舞弊行为发生的公司结构。以防止和揭发虚假财务报告,研究出现虚假财务报告的原因。为了防止和揭发舞弊事件,内部控制的研究更加受到重视。
Treadway委员会在1987年发表了一个报告,它不仅考虑了注册会计师的责任,还考虑了其他方面,例如公司高层的作风、内部会计制度和内部审计的作用、审计委员会、监管机构等。对于内部控制,该委员会发现,在所调查的舞弊财务报告中,50%是由于内部控制的失效,报告中还提到现有发表的公告以及研究关于内部控制的解释和概念有许多不同,其结果是导致管理层、内部审计人员和注册会计师对内部控制充分性的不同看法。因此,该委员会督促各职业团体一起合作发展关于内部控制的统一概念。
1988年4月美国注册会计师委员会(AICPA)针对80年代大量的财务失败所导致的投资者的损失,尽量弥补公众对于审计保证的期望值和职业界认为审计所能实现传递的差距,发布了《审计准则公告第55号》(SAS No。55),从1990年1月起取代1973年发布的《审计准则公告第1号》(SAS No。1)。该公告首次以“内部控制结构”(internal control structure)代替“内部控制”,《审计准则公告第55号》指出:“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序。”内部控制结构具体包括三个要素,它们是:控制环境、会计制度、控制程序。
与以前的内部控制定义相比,内部控制结构将内部控制环境纳入内部控制的范畴,而且不再区分会计控制和管理控制。至此,在企业管理实践中产生的内部控制活动,经过审计人员的理论总结,已经完成从实践到理论的升华。
(五)20世纪90年代(内部控制整体框架)
1992年,美国“反对虚假财务报告委员会”下属的由美国会计学会、注册会计师协会、国际内部审计人员协会、财务经理协会和管理会计学会等组织参与的发起组织委员会(Committee of Sponsoring Organization,简称COSO)发布报告“内部控制——整体框架”,即“COSO报告”,该报告具有广泛的适用性。
1994年,COSO委员会又对“内部控制——整体框架”进行了增补,并将内部控制定义为:“由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:
(1)财务报告的可靠性
(2)经营的效果和效率
(3)符合适用的法律和法规。”该准则将内部控制划分为五种要素,它们分别是控制环境、风险评估、控制活动、信息与沟通、监控。
1995年12月,美国注册会计师协会发布《审计准则公告第78号》(SAS No。78),全面接受COSO报告的内容,并从1997年1月起取代1988年发布的《审计准则公告第55号》(SAS No。55)。
加拿大注册会计师公会所属的控制基准委员会(COCO)于1995年11月发行《控制指导纲要》(Guidanceon Control),提出了一种更精简的内部控制基本架构。根据COCO报告,内部控制的定义如下:“控制是由该等组织元素所组成(包括组织资源、系统、过程、文化、结构与作业),而将这些资源结合在一起以支援组织成员达成组织的目标。这些目标可能归入以下所述的一种或同时归属于多种目标:营运的效果与效率、内部与外部报告的可信赖度、遵行相关法规以及内部政策办法。”与COSO报告金字塔模式相比,COCO控制模式更具动态管理阶层导向。COCO报告的重心是提出了20项控制评估项目。
无论内部控制设计和执行得再好,它也只能提供合理的保证,个别内部控制可能会失效。内部控制的局限性表现在:判断失误;执行偏差;管理层越权;合伙同谋;成本效益原则。
(六)21世纪开始至今(企业风险管理框架)
2001年年底以来,美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光,诚信危机震撼着美国及国际社会,使人们对美国式自由市场经济制度产生质疑,全球舆论的焦点集中于美国企业的假账丑闻,这也暴露了美国现行法律的诸多不足。为了提高民众对美国金融市场、政府经济政策的信心,2002年7月30日,美国总统布什签署了《萨班斯-奥克斯利法案》(以下简称《法案》)。这是一项旨在加强会计监督、强化信息披露、完善公司治理、防止内幕交易的法案。它规定对违反本法案和渎职以及做假账的企业主管将实行严厉的制裁,对上市公司实行更为严厉的监督,是自20世纪30年代美国企业法规基本框架建立以来最大的一次改革,使美国的公司治理迈入新里程。
2002年,美国Treadway委员会下属的发起组织委员会(COSO)在内部控制框架概念的基础上,提出了企业风险管理(Enterprise Risk Management,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO(2002)这样定义企业风险管理:“企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”COSO(2002)认为,ERM为公司董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的信息,并进一步提出企业风险管理由环境、事件辨别、风险评估、反应、控制活动、信息和交流以及监督七个方面组成。
2003年7月,美国COSO委员会颁布了企业风险管理框架的讨论稿,并于2004年4月颁布了正式稿。新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上,结合《萨班斯-奥克斯利法案》在报告方面的要求,进行扩展研究得到的。
企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次与部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。这是一个广义的风险管理定义,适用于各种类型的组织、行业和部门。
企业风险管理的构成要素为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素,各要素贯穿在企业的管理过程之中。
但很快美国财务经理协会下属的一个公司报告委员会对COSO的企业风险管理整体框架提出了质疑:企业风险管理框架是否会得到公众的认可;应用指南太细是否会导致马虎地执行或成本增加;会不会被《萨班斯-奥克斯利法案》接受,如果接受会对很多企业造成混淆和过程的延误(内部控制框架和企业风险管理框架的部分冲突);只是更多地讨论了风险控制或风险规避,几乎没有谈到机会管理。
二、国内内部控制发展的历史
在我国,内部牵制制度到西周时期已基本形成,其思想最早见于《周礼》一书。朱熹在评述《周礼·理其财之所出》一文中指出:“虑夫掌财用财之吏,渗漏乾后,或者容奸而肆欺……于是一毫财务之出入,数入之耳目通焉。”意为考虑到掌握和使用财务的官吏可能进行贪污盗窃,弄虚作假,因而规定每笔财赋的出入要经几个人的耳目,达到互相牵制的目的。对此,著名的M。查特菲尔德教授曾给予高度评价:“在内务管理、财政预算以及审计程序方面,古代世界几乎没有别的国家可以和中国周代相比。”除此之外,西汉的上计制度,宋太祖时期的“职差分离”、“主库吏三年一易”制度,都是内部牵制的表现。
在封建社会和新中国成立后直到改革开放前,我国的内部控制发展很缓慢。我国于20世纪90年代开始注意推动企业内部控制的建设。
我国内部控制研究是随着审计事业的恢复而逐步发展起来的,早在20世纪80年代,学术界就开始了这一领域的探索和研究。中国审计学会、中国内部审计学会亦多次组织理论界和实务界人士开展相关研究,并取得了一批研究成果。
1996年财政部发布《独立审计准则第9号——内部控制与审计风险》,首次完整地提出了内部控制的“三要素”,并要求注册会计师应当审查企业内部控制。中国人民银行、中国证监会等先后发布过部门或系统的有关内部控制的行政规范。
1999年修订并于2000年7月1日起正式施行的《会计法》从法律角度对内部控制做出了规定,对单位内部会计监督提出了明确的思想要求(职责明确、相互分离、相互制约、相互监督)。
进入新世纪,我国内部控制建设在政府、行业的推动下,正从理论研究向政策指导、实务应用领域迅速展开。
中国证监会在2000年11月发布的《公开发行证券公司信息披露编报规则》要求公开发行证券的商业银行、保险公司、证券公司应建立健全内部控制制度,并在招股说明书正文中专设一部分,对其内部控制制度的完整性、合理性和有效性做出说明。同时规定,商业银行、保险公司、证券公司还应委托所聘请的会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价,提出改进建议,并以内部控制评价报告的形式做出报告。另外,中国证监会发布的相关招股说明书准则也有类似的规定。中国证监会于2001年1月31日发布了《证券公司内部控制指引》,该指引指出:为了促进证券公司的规范发展,有效防范和化解金融风险,维护证券市场的安全与稳定,依据《中华人民共和国证券法》等法律法规,特制定该指引。
财政部于2001年6月22日发布了《内部会计控制基本规范(试行)》和《内部会计控制规范——货币资金(试行)》,明确了单位建立和完善内部会计控制体系的基本框架和要求,以及货币资金内部控制的要求。
2002年年底至2003年,财政部陆续发布了《内部会计控制规范——工程项目(试行)》、《内部会计控制规范——销售与收款(试行)》、《内部会计控制规范——工程项目(试行)》,以及有关担保、成本费用、实物资产、对外投资等方面的征求意见稿。
尽管国内关于内部控制管理的法规不断完善和进步,但由于其更多的是局限在会计与审计角度,范围还不够大,还没有达到英美等国倡导并行之有效的从会计控制到财务控制、到管理控制、再到风险控制的层次。内部控制建设和完善是一项长期而艰巨的工作,考虑到我国的法律环境、产权体制、管理理念和人员素质等方面与西方社会有很大的不同,应在借鉴西方内部控制理论成果和实务经验的基础上,结合中国的国情,建立一套与我国经济发展相适应的内部控制制度体系。
