内部控制要素演进范文

现代审计的一个重要特征就是在研究和评价被审计单位内部控制系统的基础上进行审计。随着时代的变迁和企业组织的重整，企业内部控制理论不断发展，其要素及其框架也在不断发展。本文以内部控制理论发展为脉络，重点分析内部控制要素及其框架的改变，从而为企业及其他经济组织提供更加清晰的、更加系统的内部控制评价思路。

一、内部控制要素的早期阶段

（一）内部控制的初始阶段

早在19世纪40年代前，人们就运用“内部牵制”这一概念。根据《柯氏会计辞典》的解释，内部牵制是指“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。”一般来说，内部牵制机能的执行大致可分为四类：实物牵制、机械牵制、体制牵制、簿记牵制。内部牵制是基于两个基本设想：一是两个或两个以上的人或部门无意识地犯同样错误的机会是很小的；二是两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。内部牵制是内部控制的起始形态，确实有效地减少了错误和舞弊行为。

（二）内部控制二要素阶段

1949年,美国会计师协会（AmericanInstituteofCertifiedPublicAccountants，以下简称AICPA）的审计程序委员会在《内部控制：一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中对内部控制作了如下定义：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。”1958年10月该委员会的《审计程序公告第29号——独立审计人员评价内部控制的范围》对内部控制进行了重新定义，将内部控制划分为会计控制和管理控制两要素。内部会计控制的方法和程序与财产安全和财物记录可靠性有直接的联系，而内部管理控制主要与经营效率和贯彻管理方针有关，通常只与财务记录有间接关系。这种划分只是从会计角度进行的简单分类，并没有阐明其对内部控制的影响以及要素之间的相互影响和制约关系。

（三）内部控制三要素阶段

20世纪80年代后，西方会计审计界对内部控制研究的重点逐步从一般涵义向具体内容深化。1988年AICPA了《审计准则公告第55号——会计报表审计中对内部控制结构的关注》，从1990年起取代1972年的《审计准则公告第1号》。该公告首次以“内部控制结构”代替“内部控制”，指出“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”，并提出内部控制结构包括控制环境、会计制度和控制程序等三个要素。内部控制要素的发展步入结构化、系统化的轨道，不仅将控制环境纳入内部控制的范畴，而且使会计系统较前阶段的内部会计控制更具动态性。

二、内部控制要素的框架阶段

（一）内部控制五要素阶段

1992年，美国“反对虚假财务报告委员会”下属的由美国会计学会等专业组织了《内部控制——整体框架》报告，1996年美国注册会计师协会也了《审计准则公告第78号》，并从1997年1月起取代1988年的《审计准则公告第55号》，将内部控制的定义为：“由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证：A.财务报告的可靠性；B.经营的效果和效率；C.符合适用的法律和法规”。该准则将内部控制划分为五种要素,即控制环境、风险评估、控制活动、信息与沟通、监督。

内部控制整体框架报告面世后，将内部控制发展为立体框架结构，为建立控制标准奠定了基础,也为实际应用提供了方便。与早期阶段的内部控制要素及其框架比较，内部控制框架下的五要素将风险评估纳入内部控制系统，并使其由会计系统扩展为信息与沟通，同时强调了对内部控制系统的监督。

（二）本阶段要素框架分析

COSO报告强调了控制环境是内部控制的基础，监督是内部控制得到有效实施的保障。但该报告将五个要素排列在一起，缺乏明确的划分标准，而且把风险评估、控制活动、信息与沟通三个部分分别作为与控制环境和监督同等地位的要素，在一定程度上割裂了彼此间的有机联系。我国财政部于2001年了《内部会计控制规范——基本规范(试行)》明确了单位建立和完善内部会计控制体系的基本框架和要求。其整体框架由总则、控制目标和原则、控制内容、控制方法、监督检查等方面构成，对控制活动的规范虽然很具体，但主要是针对会计控制及与会计有关的控制进行的规范，在内容上具有一定的局限性，而且没有将控制环境作为一个独立的构成要素，事实上并未构成完整的内部控制框架。

在《内部会计控制规范——基本规范》试行以后,我国会计理论界掀起了对内部控制研究的热潮，许多专家学者提出了内部控制框架的构想。但大多是从不同的角度或在不同的程度上理解和应用了COSO报告的内容,是对COSO报告中某些要素进行具体的细化，虽然这些研究对企业内部控制制度的建立和实施具有重要的指导作用，但内部控制的理论框架应具有普遍适应性，不仅要适应于企业，而且要适应于企业以外的其他经济组织。理论框架的重点不是指导一个组织如何设计其内部控制制度，更重要的是要提高组织对内部控制理论的认识，从而能更全面和更广泛地理解和应用理论来加强组织的内部控制。

三、内部控制因素的风险管理框架阶段

（一）内部控制八要素阶段

美国COSO组织从2001年开始委托普华永道公司组织编写《企业风险管理框架》报告，并于2004年9月正式，用以指导企业进行全面的风险管理活动。该报告一出台便引起了审计职业界的广泛关注，它打破了传统内部控制的内容，将公司治理与内部控制结合得更加紧密。报告要求审计人员不能仅局限于财务报表本身，应将更多的精力投放在企业出现的经营风险上，将风险管理的责任人定位在直接从事企业经营活动的第一行为人。该报告将ERM定义为一个受企业董事会、管理层和其他人员影响的过程，并且贯穿于整个企业，用以识别可能影响该企业的潜在事项，并将风险控制在风险偏好的范围之内，为达到企业目标提供合理保证。其核心理念是将企业的风险管理融入企业战略、组织结构、经营流程等各个环节，使之成为与企业日常经营紧密结合的连续动态的过程。ERM分为八个要素，即内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个相互关联的要素。

（二）风险管理框架与内部控制框架的比较

1．目标比较。COSO报告提出的ERM框架有四大目标：（1）战略目标——最高层次的目标，它与企业的使命相关，并支持完成该使命；（2）经营目标——有效率并有效果地使用资源；（3）报告目标——报告的可依赖性；（4）合规性目标——遵守相关法律和规则。与内部控制框架的三大目标相比,ERM框架增加了“战略目标”，并将其置于首要目标，这意味着对企业的风险管理与控制上升到更高层面，其重心向董事会或更高层次移动，并由企业的经营向战略转化，使企业的各项活动都围绕战略目标进行。

2．要素比较。与内部控制框架的五要素相比，ERM框架发生了如下变化：一是将控制环境变为内部环境。管理当局和审计人员所关注的不再仅仅是影响内部控制的组织机构、管理理念、经营方式等因素，而且包括风险偏好、管理哲学、企业文化等更宽泛的因。