内部控制理论发展与实践的思考与研究

董忱忱 陆 旸 刘振艳

（东南大学成贤学院 经济管理学院，江苏 南京 210088）

一、研究背景

从宏观层面来看，内部控制的有效建设有利于促进我国经济发展平稳运行，近年来我国相关财税部门相继出台了完善企业内部控制相关制度的文件，同时也逐步提升对上市公司完善内部控制体系的监督力度。从微观层面看，最近十几年来国内外资本市场财务造假舞弊案例屡见不鲜。因此企业必须重视财务信息的真实性、公允性问题，才能保证我国资本市场的有序发展。

内部控制在整个企业日常经营管理流程中起到了至关重要的关键作用，企业内部控制体系的规范不仅可以提升公司的治理理念和水平，还有利于企业树立风险意识、加强风险防控。然而一旦企业内部控制体系失效，必将对企业产生不可逆转的严重影响。如何建立健全有效的内部控制体系是目前我国上市企业的迫切需要解决的问题。

二、国内外内部控制理论发展阶段分析

研究国内外关于内部控制制度的文献发现，内部控制概念的提出是个循序渐进的过程，伴随着管理学、审计实务、企业会计核算实践的不断发展而发展完善。国外的相关研究时间起步要早于国内，因此相关成果也相对较多。国内的内部控制研究相对较晚，大部分研究成果都在国外已有成果的基础之上有所突破和创新。

（一）国外内部控制相关研究梳理

国外的内部控制研究范围较广、研究起步较早，研究成果较多。综合研究文献来看，“内部控制”一词是伴随着审计实务的发展而产生，但在此之前，审计实务界和企业经营管理中已经有了“内部控制”雏形的出现。结合梳理的文献来看，内部控制理论发展阶段可大致划分如下：

1.提出“内部牵制”概念

“内部牵制”一词是在审计实务的实践发展中出现的。审计师们在审计实践中总结出这样一条经验：相较于一个存在合理内部牵制制度并有效执行的企业，一个没有内部牵制制度或者即使有内部牵制制度但没有很好执行的企业发生错误和舞弊概率较大，报表的重大错报风险较高，这一点在后续的审计实务中也可以得到印证。注册会计师检查企业内部牵制制度是否设计合理与执行有效，能有效提高审计工作效率。

以“内部牵制”为主要特征的内部控制主要表现为企业各个职能岗位之间要做到制衡，不同岗位职责相互分离起到一定的制约作用。通过这样的方法可以保障企业内部重要资产的安全性，同时也提高了企业财务核算的准确性。此阶段企业内部会计管理和外部审计实务的发展需要是内部牵制形成与发展的动力和有效推手。

2.提出“控制”一词概念

除了审计实务的推进，“内部控制”这一概念产生的另一个很重要推手就管理学研究的不断发展。管理学研究学者法约尔和泰罗分别在其论著《工业管理和一般管理》和《科学管理原理》中提出“控制”概念。法约尔在书中强调了控制对企业管理的重要性，把“控制”视为管理五大职能之一。

这一阶段内部控制理论发展的特征是仍保留了内部控制是“企业内部会计相关控制”的这一属性，但是此阶段的研究并没有延伸到企业的具体业务，这也是这一阶段研究的缺陷。财务研究学界加强了对外部审计中内部控制问题的关注，尽管审计师强调其在执业过程中应该将审计范围扩展到到对企业具体交易业务方式的了解上，但其实审计实践中并未涉猎到具体的业务层面。

3.AICPA 提出的内控理论

1949 年美国注册会计师协会，简称AICPA，出版了《内部控制协作体系要素对会计和管理层的重要性》，这部专著被业界视为是“第一部将焦点放在内部控制研究之上”的理论专著。内部控制的研究重点从原来单一从审计视角切入逐步转变为站在企业管理经营视角看待内部控制。

美国注册会计师协会AICPA（American Institute of Certified Public Accountants）给予内部控制如下定义，他们认为内部控制是一整套动态的体系，这一体系全面涉及到企业的会计业务核算和企业财务管理实践。AICPA 下属机构审计程序委员会（Audit procedures Committee，简称CAP）于1958 年在 AICPA 给出内控定义的基础之上进行了补充完善，将内部控制又进一步细化为会计控制和管理控制两个细分概念。

按照审计程序委员会的解释，内部控制可以细分为两个部分，即管理控制和会计控制。具体来说，企业内部的组织规划、管理职权的授权、经济业务的办理和决策的过程属于管理控制的范畴，企业设置内部会计控制是为了保障资产保管的安全性、财务账簿登记的公允性及合理保证一些具体业务的组织框架流程。此阶段的“内部控制”这一概念是一个交叉融合了会计审计以及管理学等学科的综合概念。

4.COSO 委员会提出的内控理论

美国 COSO 委员会（全美反舞弊性财务报告委员会发起组织，Committee of Sponsoring Organizations of the Treadway Commission）于1992 年发表了一则有关于内部控制机制框架的文章，这一研究被视为是内部控制研究领域最经典文献之一。内部控制在这份报告中被正式定义为“受制于公司董事会、管理层和其他人员的共同作用，合理保证企业实现一定的经营管理目标，企业编制财务报告的可靠性、经营的效率和效果、对法律法规的遵守。”

COSO 框架下对内部控制的界定明确了企业内部控制的管理职能，这个框架认为“内部控制是由五要素组成的，具体是指：控制环境、风险评估、控制活动、信息与沟通、监控五大要素，要素之间相互影响，由此形成一个有机联系的整体”。此阶段内部控制不再是一项机械的制度、一条生硬的规定，而是被视为一个动态的、系统的、有序的管理流程。

5.基于 COSO 框架下内控理论的不断完善

21 世纪相继发生的轰动国内外资本市场的Enron 事件、Worldcom 案件等，不得不让美国资本市场的管理者们重新审视企业管理秩序。自此类案件发生后不久，美国国会就颁布了《萨班斯——奥克斯利法案》（简称 SOX 法案）。萨班斯法案在现有内部控制概念的基础之上包容进了公司保持内部控制机制的相关规定。

COSO 委员会于2004 年在萨班斯法案和 COSO 框架的基础上，出版了《企业风险管理——整体框架》。自此，内部控制框架的企业管理属性角色发生改变，即内部控制由“审计导向”完全转变为“管理导向”。

COSO 内部控制的框架并不是一成不变的，在上文提到的概念的基础之上后续又有更新，截至2014 年，框架所发生的主要变化表现为：（1）明确列示了17 项原则，来进一步解释内部控制的五大要素。这些明晰化的原则可以协助管理层进行企业内部控制有效性的自我评价；（2）明确内部控制机制的目标，表现为一是内部控制是企业管理的流程体系，二是它也是内部控制发挥效用的必要条件；（3）深入探讨了企业治理的相关内容，明确指出了企业董事会的监督作用在内部控制管理上具有不可替代的地位。

（二）国内内部控制相关研究梳理

国内学者对内部控制的相关研究对比西方研究来说要晚。《上市公司内部控制指引》于2006 年 6 月由上海证券交易所发布。深圳证券交易所紧随其后，在上交所颁布指引的基础之上于当年 9 月也发布了有关于内部控制的相关行业指引。2008 年 6 月，财政部、证监会、审计署、银监会、保监会共五部委共同发布了《企业内部控制基本规范》，这套规范体系被业界称为“中国版萨班斯法案”。该指引中要求所有执行了新规范的上市公司，要首先评估本公司的内部控制实施的有效性，并定期通过报告的形式对自身的执行情况进行披露。

为了进一步加强企业内部控制体系的完整性和有效性，财政部、证监会、银监会、保监会、审计署五个部委在 2010 年 4 月又分别制定发布了一些列关于企业内部控制的指南，包括《企业内部控制应用指引》 《企业内部控制评价指引》 和《企业内部控制审计指引》。指引中规范了我国的所有上市企业需要从 2011 年 1 月1 日开始遵照新颁布的规范体系执行企业内部控制。

财政部和证监会于2012 年共同发布了一则公告，公告中强调要进一步扩大内控规范体系的实施范围，明确指出主板市场所有国有控股上市公司必须依照新规定进行执行，这也成为我国上市企业管理实施重点进入到了分类分批实施的阶段的重要标志。

三、内部控制理论研究对实践操作的启示

从上述国内外对内部控制理论发展的历程的研究中，必须不断完善我国内部控制相关法律、法规、制度。具体而言，一方面，站在政府的立场上，要切实加快立法进程，逐步实现有法可依、有法必依、违法必究，在结合中国国情的基础之上制定出一套具有中国特色的、符合中国当前经济发展情况的内部控制法律法规体系。另一方面，站在企业的立场上，坚定不移的做到有法必依，结合本企业的实际情况，从控制环境、信息系统与沟通等控制要素入手制定出符合本企业管理实际的流程体系。

（一）重视企业内部控制环境的营造

站在企业管理层的角度，重视内控控制环境的营造绝不是空喊口号，企业管理者应当充分了解并认可有效内部控制对企业经营发展的重要作用，集思广益、整合资源，从而构建起一套有效健全、符合实际的内部控制机制。企业可以采取如下的具体措施：开展相关活动、组织相关课题培训，以此途径可以让企业员工不断加深对本公司文化、企业管理经营理念的认知，在实际工作中不断强化职业道德观念，不断提升自我约束意识。站在公司治理层的角度，应该积极发挥公司治理的积极作用，为企业内部控制体系能够有效、有序的推行提供制度保证。

（二）完善信息系统与沟通渠道

管理层的指令、政策的落实离不开企业每个部门、每位职工的通力合作，因此，畅通、有效的沟通渠道是企业实现完善内部控制体系的重要因素。第一，信息的传递最重要的就是信息的时效性，企业管理者应当审视本企业的信息沟通流程，一个好的沟通渠道绝不允许重复的、多余环节存在，应精简、快速、流畅地将信息又好又快的传递出去。第二，信息在传递过程中应注重消息的反馈，了解下级是否真正接收到了消息、是否正确理解了指令的含义、是否正确的遵照执行并且取得了预期效果以及在执行过程中有无冲突、问题等。第三，信息在传递过程中是否出现了信息的失真、歪曲事实等情况，是否将管理层想要执行的政策不偏不倚、切实有效地传递下去，谨防传递过程中出现消息的偏差甚至是故意扭曲事实，这就要建立相应的处罚机制，减少此类现象的发生。

（三）重视企业风控管理

企业以盈利为目的，但在追求高收益的同时不能忽视随之而来的高风险。企业管理者可以根据企业经营管理流程的实际需求设立单独的风险管控部门，聘请专业人事对企业日常经营中出现的风险提前预防和应对。实务中，很多上市企业采取了这一方法。财务风险、涉税风险、经营风险......这些都是企业在日常经营管理活动中经常遇见、不可避免的风险因素。企业管理必须根据企业业务流程特点梳理经营管理流程中常见的风险要点，聘请专业人事和团队，以合法合规的手段采取措施预防风险。

（四）重视对内部控制的监督

COSO 框架认为内部控制的监督分为两种主要类型，一是日常的监督，二是单独的评价。前者指的是贯穿于企业日常生产经营中的监督。后者则主要指企业专门设立的独立的内部审计部门，对企业日常经营管理的有效性进行专门的、单独的评价并及时反聩更正。

具体而言，企业可以从部门设置上入手，比如上文提到的建立独立的内部审计部门，或者还可以加强监事会的职权，充分发挥审计部门、监事会的监督职能，加强对企业经营活动，特别是涉及到财务信息的真实姓、公允性的审计和督察。此外，外部监督也是不容忽视的一种有力手段，外部审计的实质作用应引起国家相关部门的高度重视重视，审计实务中应凸显对审计人员专业性、独立性的重视，内部审计与外部监督有机结合，才可能有效落实企业内部控制机制。