内部控制理论的发展演化及未来趋势

（安徽工商职业学院 安徽合肥340100）

一、内部控制理论的发展演化

内部控制理论的发展经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架及企业全面风险管理整体框架五个阶段。

（一）内部牵制阶段

在20世纪40年代以前，内部控制理论基本停留在内部牵制阶段。1936年，美国会计师协会在《由独立的会计师执行的财务报表检查》中，将内部控制定义为：“为保护公司现金和其他资产，检查簿记事务的准确性，而在公司内部采用的手段和方法；并提出审计师在制定审计程序时，应审查企业的内部牵制和控制。”由此，内部控制进入了内部牵制阶段。

内部牵制主要以账目间的相互核对为主要内容并实施岗位分离。即通过授权审批、职责分工、双重记录、核对记录等手段，坚持钱、物、账分管，来防止弊端的发生，以保证会计记录的正确和财产的安全。它是现代内部控制理论中有关组织控制、职务分离控制的雏形，是在当时企业生产规模较小和企业管理理论处于初始阶段的条件下，通过总结以往经验并结合实践的基础上逐渐形成的。

在这一阶段，内部控制的着眼点在于职责的分工和业务流程及其记录上的交叉检查或交叉控制，以查漏防弊为重要目的。其主要目标是防止组织内部的错误和舞弊，通过保护组织财产的安全来保障组织运转的有效性。

（二）内部控制制度阶段

20世纪40年代至70年代，内部控制理论发展进入内部控制制度阶段。1953年，美国注册会计师协会（AICPA）在其报告《内部控制：协调组织的各种要素及其对管理者和独立公共会计师的重要性》中，首次发布了内部控制的权威定义，将内部控制界定为：“一个企业为保护资产完整、保证会计数据的正确和可靠、提高经营效率、贯彻管理部门既定决策，所制定的政策、程序、方法和措施。”

1958年，美国审计程序委员会在第29号审计程序公报《独立审计人员评价内部控制的范围》，将内部控制分为内部会计控制和内部管理控制。其中会计控制由组织计划与所有保护资产、保护会计记录可靠性或与此相关的方法和程序构成，包括授权和批准制度、财产的实物控制、记账、编制财务报表、保管财物资产等职务的分离，以及内部审计等。管理控制则由组织计划与所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接相关的方法或程序，包括统计分析、绩效评价、雇员培训计划、经营报告和质量控制等。

总的来说，在此阶段内部控制的职责范围扩大了，方法趋于科学与完善。此时，内部控制的目标除了保护组织财产的安全之外，还包括增进会计信息的可靠性、提高经营效率和遵循既定的管理方针,体现了当时企业管理实践的需求。修正后的内部控制定义缩小了注册会计师的责任范围。但同时管理人员也认为此定义中的内部控制过多的关注纠错防弊，可能无法适应管理部门的需要。

（三）内部控制结构阶段

20世纪80年代至90年代初，内部控制发展进入内部控制结构阶段。20世纪以来大量公司倒闭和陷入财务困境引发了审计诉讼浪潮。同时，随着组织规模越来越大，经营环境越来越复杂，“会计控制”越来越不可能在提高审计效率、降低审计成本的同时保证审计质量。

1988年，美国注册会计师协会发布《审计准则文告第55号》，规定从1990年1月起，取代1972年发布的《审计准则第1号》。该文告首次以“内部控制结构”取代了“内部控制”，文告指出：“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。”在此基础上，内部控制结构由三部分组成：（1）控制环境，即对建立、加强或削弱特定政策和程序效率发生影响的各种因素；（2）会计制度，规定各项经济业务的鉴定、分析、归类、登记和编报的方法，明确各项资产和负债的经营管理责任；（3）控制程序，即管理当局所制定的方针和程序，用以保证达到一定的目的。在“内部控制结构”中，不再划分内部会计控制与内部管理控制，而统一以三要素表述内部控制。

此时，内部控制不仅重视会计手段对企业目标实现的助力，更加关注控制环境对内部控制的潜在影响，标志着内部控制走向结构化和体系化，也拓展了审计师在财务报表审计中考虑内部控制的责任范围。

（四）内部控制整体框架阶段

20世纪70年代，美国频频发生公司财务失败和可疑的商业行为。Treadway委员会调查发现其所研究的欺诈性财务报告案例中，有大约50%是由于内部控制失效造成的，于是Treadway委员会成立了COSO委员会来制定内部控制指南。

1992年，COSO委员会提出著名的COSO报告——《内部控制整体框架》，并于1994年进行了增补。它将内部控制定义为：“由企业的管理人员设计的，为实现营业的效果和效率、财务报告的可靠及合法合规目标提供合理保证，通过董事会、管理人员和其他职员实施的一种过程”。内部控制的目标包括：（1）合理的确保经营的有效率与效果；（2）财务报告的可靠性；（3）对法律法规的遵循。内部控制由五个相互联系的要素组成：（1）控制环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）监控。COSO报告首次把内部控制从原来的平面结构发展为立体框架模式。

内部控制整体框架代表着国际上在内部控制研究方面的最高水平，是内部控制理论研究历史性的突破。此时，整体框架不仅为内部控制的控制目标指明了方向，同时也为其有效实践提供了可供遵循的五个要素。

（五）企业全面风险管理整体框架阶段

2004年4月，美国COSO委员会颁布了《企业风险管理——整体框架》，并将企业风险管理定义为：“是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程”。企业风险管理框架提出了四类目标：（1）战略目标，即高层次目标，与使命相关联并支撑使命；（2）经营目标，高效率地利用资源；（3）报告目标，报告的可靠性；（4）合规目标，符合适用的法律和法规。企业风险管理框架包括八个相互关联的组成要素：内部环境；目标设定；事项识别；风险评估；风险应对；控制活动；信息与沟通；监控，其中将企业风险作为了控制的核心。

《企业风险管理——整体框架》既是对《内部控制——整合框架》的超越，也标志着内部控制的转型，在内涵界定、目标体系、构成要素等方面都进行了拓展和延伸，引导企业更加重视风险，实现持续性经营。

二、内部控制的未来发展

影响内部控制未来发展的主要因素有三项：

一是经济的全球化。随着经济全球化的到来，企业创新能力日益增强，具有了更强的竞争能力，但也置身于更加激烈的竞争中。企业应制定相应的战略，把包含战略的长期目标转化为具体的决策和行为。相应的，内部控制系统必须具有战略化的集中控制能力。

二是信息化的影响。在信息技术时期，组织的风险形式也发生了变化。随着企业ERP资源计划等信息技术的纵深发展，信息化将对企业管理产生深远的影响，也同时对内部控制的控制环境、沟通和监督、控制活动、风险管理等的实现路径产生深远影响。内部控制必须借助信息技术控制各种风险，更加有效率和效果的实现其目标。

三是组织权力结构。随着层级组织的解体和重构，被动的、等级制的管理已经走向终结，彼得—德鲁克式的自我管理和引导式管理将是未来管理的发展方向。相应的，内部控制也应该发展为引导控制。内部控制发展历程也表明，如果没有规范的内部控制制度及其统一的评价标准，会计信息的质量就无法得到保证，股份制的组织形式也无法发展壮大起来。因此，无论是在现在，还是将来，推动和引导组织发展也应成为内部控制的机制和目标之一。