美国内部控制理论演进和完善研究论文

摘要：内部控制的研究大致经历了内部牵制、内部控制、内部控制结构、内部控制整体框架、企业风险管理整合框架五个阶段的演变。内部牵制思想是以账目间的相互核对为主要内容并实施岗位分离，这在早期被认为是确保所有账目正确无误的一种理想控制方法。到内部控制制度阶段，理论界认为内部控制应分为内部会计控制和内部管理控制两部分，即内部控制制度“二分法”的由来。前者在于报告企业资产、检查会计数据的准确性和可靠性；后者在于提高经营效率、促进有关人员遵守既定的管理方针。学术界在对内部会计控制和管理控制进行研究时，逐步发现两者是不可分割、相互联系的。

一、内部控制牵制阶段(20世纪40年代前)

这一时期的内部牵制本质上是出于现实的需要而自发产生的，无论从概念和方法上都比较单一，可称为单要素内部控制。这一时期又可分为两个不同的发展阶段：一是内部牵制的萌芽。在20世纪40年代前，内部控制的发展基本停留在内部牵制阶段。内部牵制是以纠错防弊为主要目的，以职务分离和账目核对为手段，以钱财和会计事项为控制对象的一种管理手段。早在五千多年前，就出现了内部控制思想的萌芽。苏美尔文化的史料记载中会计账簿数字边的标记、古埃及谷物和银子入库时的职务分离、古罗马帝国宫廷库房的“双人记账”、我国周朝留下的记录“一毫财赋之出入，数人之耳目通焉”，均反映了内部牵制的基本原理。内部牵制的实践可追溯到公元前3600年的美索不达米亚文化时期，当时经手钱财的人用各种标志来记录财物的生产和使用情况；15世纪，随着资本主义的发展和会计体系的成熟，以意大利复式簿记的出现为标志，内部牵制发展为以账目间的相互核对为主要内容并实施一定程度的岗位分离；1905年，L.R.Dicksee提出了内部牵制的三个要素：职责分工、会计记录、人员轮换；1912年蒙可马利出版的《审计——理论与实践》表达了内部牵制思想的理念；1930年，GeorgeE.Bennett将内部牵制定义为：内部牵制是账户和程序组成的协作系统，这个系统使得员工在从事本身工作时，独立地对其他员工的工作进行连续性检查，以确定其舞弊的可能性。二是内部会计控制。1934年美国颁布《证券交易法》，第一次使用“内部会计控制”的术语，作为根除“大危机”中虚假会计信息泛滥的根本措施之一。1936年美国会计师协会的《注册会计师对财务报表的审查》中第一次提出了内部控制的概念，将其定义为：为保护现金和其他资产，检查账簿记录准确性而在公司内部采用的各种手段和方法。1939年美国会计师协会在其公布的《审计程序文告第1号》中第一次增加了内部控制审查的内容。但是，审计界、会计界和管理界真正将注意力转移到内部控制制度的研究与应用上是在20世纪40年代后期，此后内部控制的内容逐渐丰富。

二、内部控制制度阶段(20世纪40年代宋至70年代)

这一时期的内部控制发展突破了原有的仅在会计领域的控制，延伸到管理领域，此时的内部控制可称为两要素内部控制。1947年，美国注册会计师协会(AICPA)所属的审计程序委员会(CPA)在其《审计准则暂行公告》中又明确了内部控制的概念，这对于原先的内部会计控制从理念上来说是一大进步。1949年，美国注册会计师协会(AICPA)所属的审计程序委员会(CPA)发表了《内部控制：系统协调的要素及其对管理部门和独立会计师的重要性》的专题报告，将内部控制界定为：一个企业为保护资产完整、保护会计资料的准确和可靠、提高经营效率、贯彻管理部门制定的各项政策，所制订的政策、程序、方法和措施。从该概念可以看出，该定义对内部控制提出了三个目标：合法性、合规性、完整性。按照该定义，内部控制已开始突破与财务会计直接关的控制局限，包括了成本控制、预算控制、定期报告经营情况、相统计分析并保证管理部门所制定政策方针的贯彻执行等内容。1958年，美国注册会计师协会(AICPA)所属的审计程序委员会(CPA)的《审计程序公告第29号》中指出：内部控制，从广义上既包括会计控制又包括管理特征的控制。因此，该公告将内部控制区分为会计控制和管理控制两个部分，前者涉及与财务安全和会计记录的准确性、可靠性有直接联系的方法和程序，后者则是与贯彻管理方针和提高经营效率有关的方法和程序，这就是内部控制“制度二分法”的由来。1963年，美国注册会计师协会(AICPA)的《审计程序公告第33号》指出：独立审计人员主要关注会计控制，但如果独立审计人员认为某些管理控制可能对财务记录可靠性有影响，则应当考虑评价管理控制，这是从审计视角将内部控制从会计领域延伸到管理领域，扩大了独立审计师的审计范围。1972年，美国注册会计师协会(AICPA)下属的审计准则委员会将以往的《审计程序公告》进行汇编，以《审计准则公告第1号》(SASNo.1)重新公布，并给会计控制和管理控制下了一个详细的定义。该定义指出：会计控制是与资产安全、财务记录可靠及下列事项提供合理保证的组织结构、程序及记录：(1)交易的实施是依据管理当局一般授权或特别授权；(2)交易的记录满足能按一般公认会计原则或应用于会计报告的其他标准来编制财务报表和保持资产的经管责任的需要；(3)只能根据管理当局的授权才能接近资产；(4)账面数定期与实际数核对，并对差异采取恰当行动。管理控制包括但不限于确保交易由管理当局授权的组织结构、程序及有关记录，这种授权是与实现组织目标相联系的管理功能，并且是会计控制的起点。1986年最高审计机关国际组织指出：内部控制作为完整的财务和其它控制体系，包括组织结构、方法程序和内部审计。它是由管理者根据总体目标而建立，目的在于帮助企业的经营活动合理化，具有经济性、效率性和效果性；保证管理决策的贯彻；维护资产和资源的安全；保证会计记录的准确和完整，并提供及时、可靠的财务和管理信息。

三、内部控制结构阶段(20世纪80年代至90年代)

这一时期是内部控制发展进入相对繁荣期，出现了专门的机构具体研究内部控制问题，并进行了富有成果的研究。该时期的内部控制称为三要素内部控制。1985年由美国注册会计师协会(AICPA)、美国会计协会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合发起，成立了反欺诈财务报告全国委员会(NationalCommissiononFraudulentFinancialReproting)，即Treadway委员会(TreadwayCommission)，而目前COSO就是Treadway委员会的发起组织委员会(TheCommitteeofSponsodngOrganizationsoftheTreadayCommission)的简称。当时成立的主要动机是资助“财务报告舞弊研究全国委员会”。“财务报告舞弊研究全国委员会”最初负责研究导致财务报告舞弊的因素，并寻找解决之道，对公众公司、会计师事务所、证监会及其他监督机构提出建议，之后专门研究内部控制问题。1988年美国注册会计师协会(AICPA)《审计准则公告第55号》(SASNo.55)，并从1990年起取代1972年的《审计准则公告第1号》(SASNo.1)。该公告第一次以“内部控制结构”概念替代“内部控制制度”，将内部控制定义为：内部控制是由管理者建立的，旨在以一种有序的和有效的方式进行公司的业务，确保其与管理政策和规章的一致，保护资产，确保记录的完整和正确性的一个整体系统。该公告第一次将控制环境纳入审计人员应考虑的范围，认为控制环境、会计制度和控制程序共同构成内部控制结构的三个要素。其中控制环境是实现内部控制目标的环境保证，会计制度是内部控制结构的关键要素，控制程序是保证内部控制结构有效运行的机制。这一概念突破了“制度二分法”的局限，特别强调了管理者对内部制度的态度、认识和行为等控制环境因素的重要作用，且不再区分内部会计控制和内部管理控制。从此，内部控制从“制度二分法”阶段步入“结构三分法”。

四、内部控制整合框架阶段(20世纪90年代以后)

随着内部控制发展的成熟，人们对其认识的深化，内部控制的外涵和内延都得到了空前的发展。这一时期的内部控制称为五要素内部控制。1992年，COSO委员会了《内部控制—整体框架》(简称IC-IF)，1994年，其又对报告进行了修改和增补，这就是著名的COSO报告。该报告将内部控制定义为：内部控制是受公司董事会、管理层和其他人员影响的，为达到经营活动的效率效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程，同时提出了内部控制的三大控制目标：财务报告的可靠性；经营的效果和效率；符合适用的法律和法规。并提出内部控制的五大要素：控制环境、风险评估、控制活动、信息与沟通、监控。从这一定义可以看出，此时的内部控制发展已经进入了成熟期，尤其是从原先的“方法程序观”向“过程观”的转变、从“静态”向“动态”的转变，这是内部控制发展的根本性变革。因此，该概念一经公布就得到了理论界和实务界的认可，这也是目前关于内部控制公认的最具权威性的概念。1996年，美国注册会计师协会(AICPA)会计标准部公布了《审计准则第78号》(SASNo.78)，于1997年1月起生效，用于取代1988年的《审计准则公告第55号》(SASNo.55)。在该准则中COSO报告的基本原则被全面接受并得以体现，并认为COSO报告将成为美国企业建立合理的内部控制结构所需要的，预测将会有更多企业承认并采纳该报告。1998年9月巴塞尔银行监管委员会在吸收1994年COSO报告研究成果基础上了《银行组织内部控制系统框架》，将COSO报告提出的内部控制制度的整体框架成功地应用于银行业，并系统地提出评价商业银行内部控制体系的十三条指导原则。《框架》指出：有效的内部控制制度是银行管理的一个关键组成部分，是银行安全、高效运营的基础。有效的内部控制可以帮助银行实现长期盈利、提供可靠的财务与管理报告、遵守法律、法规、政策、计划、内部管理规定与程序、减少意外损失或声誉损害等目标。同时提出五个相互关联的要素：管理层监督与控制文化、风险识别与评估、控制活动与岗位分离、信息与沟通、监督活动与错误纠正。这是内部控制理论首次在银行业的实践，由此商业银行内部控制研究取得历史性突破。公务员之家

五、企业风险管理整合框架

理论界和实务界认识到一个实体的失败归根结底是内部控制的失败，人们对内部控制的关注性企业内部、行业协会转向了由政府部门强力推行。这一时期的内部控制称为八要素内部控制。2002年6月，美国国会参议院银行委员会通过了由奥克斯利和参议院银行委员会主席萨班斯联合提出的会计改革法案《2002上市公司会计改革与投资者保护法案》，该议案在美国国会通过后，由布什总统签署成为正式法律，称为《萨班斯—奥克斯利法案》(《Sarbanes-Oxley法案》，简称SOX法案)。该法案对美国《1993年证券法》、《1994年证券交易法》进行了修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新规定。2003年7月，COSO委员会了《企业风险管理——整合框架(征求意见稿)》，经过一年多的意见反馈、研究和修改，2004年9月了最终文本《企业风险管理整合框架》(简称ERM)，该报告是在《内部控制——整体框架》的基础上，结合《萨班斯一奥克斯利法案》的相关要求扩展研究得到，包括十二章，这是内部控制经过从“方法程序观”向“过程观”转变后的又一次大的发展，将内部控制提升到“风险观”的理念。COSO期望新框架能够衡量管理团队处理风险的能力，能够衡量组织风险管理是否有效，成为组织董事会和管理者的一个有效工具。他将原COS01992年报告中的三大目标进一步细化为四大目标：战略目标、经营目标、报告目标、合法性目标。将原先五要素中的风险评估扩展为三个。至此，内部控制共包括八个要素：内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。ERM框架将风险管理定义为：企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。需要说明的是，ERM并不是要取代原先的内部控制，它是突破原先的内部控制向更高层次——企业战略层次的发展，由此可极大提升内部控制在企业中的地位。

从美国的内部控制的发展过程可以看到其发展的演进和完善，经历了从“方法程序观”到“过程观”，再到目前“风险观”的发展；内部控制定义经历了从静态的“方法、措施”到动态的“过程”，再到综合的“企业风险管理”的变化，体现了从静态到动态、从以制度为本到以人为本、从细节控制到风险管理的动态演进；从最初以纠错防弊为目的自发产生到由企业内部、行业协会制度的制定，再到由政府部门强力推行的一种逻辑演绎，这些对我国当前内部控制的发展都极具启示意义。