现代意义上的内部控制是在长期的经营实践过程中,随着组织(单位)对内加强管理和对外满足社会需要而逐渐发展起来的自我检查、自我调整和自我制约的系统,其中凝聚了世界上古往今来的管理思想和实践经验。一般认为,内部控制起源于内部牵制。在20世纪40年代“内部控制”这一概念被提出来之前,内部控制的思想早已有所体现。具体来说,内部控制的起源与发展大致经历了五个发展阶段,分别是内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整体框架阶段、风险管理框架阶段。
一、内部牵制阶段
人类社会早就出现了内部控制的思想,当时的内部控制主要体现在对公共财物的管理上,以职务分离和账目核对为手段,比如,古埃及的运钞官、库外记录官和库内记录官的“三官牵制”,古罗马帝国宫廷房的“双人记账制”,古希腊任用官员控制制度,我国西周时期的分权控制方法、九府出纳制度和交互考核制度。这些制度的设立目的比较单一,即通过提供有效的组织和经营方式,保证资产安全和完整,防止任何人或组织单独控制资产。这是早期内部控制制度的雏形,也被称为内部牵制。
《柯氏会计辞典》对内部牵制的解释是,以提供有效的组织和经营方式,防止错误和非法业务发生的业务流程设计。它的主要特点是以任何个人或部门不能单独完成任何一项业务从计划、执行到监督这一全过程的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查(cross-checked)或交叉控制(cross-controlled)。设计有效的内部牵制以使各项业务能完整、正确地通过规定的处理程序,而在这些规定的处理程序中,内部牵制机能永远是一个不可缺少的组成部分。由此可见,内部牵制是以不相容职务分离为主要内容的流程设计,这是内部控制的最初形式和基本形态。
二、内部控制制度阶段
内部控制(internal control)是近代提出来的,最原始的控制思想的雏形是内部牵制(internal check)。牵制思想的起源可以追溯到古文明时期,从美索不达米亚到古埃及、波斯、古罗马等地的国库管理职能分工,都体现了内部牵制的思想。
“内部会计控制系统”概念最早出现在1934年美国政府出台的《证券交易法》中。该法规定,证券发行人应设计并维护一套能为下列目的提供合理保证的内部会计控制系统:①交易依据管理部门的一般和特殊授权执行;②交易的记录必须满足公认会计准则或其他适当标准编制财务报表和落实资产责任的需要;③接触资产必须经过管理部门的一般和特殊授权;④按适当时间间隔,核对资产的账面记录与实物资产,如有差异,需查询原因并及时调整。
1936年,美国注册会计师协会(AICPA)在其发布的《注册会计师对财务报表的审查》文告中,首次正式使用“内部控制”这一专业术语。1949年,AICPA所属的审计程序委员会(CPA)发表题为《内部控制:系统协调的要素及其对管理部门和独立公共会计师的重要性》的专题报告,正式提出了内部控制的权威定义,即“内部控制包括组织机构的设计与企业内部采取的所有互相协调的方法和措施。这些方法和措施都用于保护企业的资产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理方针。”该定义明确提出了内部控制的四个目标,即保护资产、检查会计信息的准确性和可靠性、提高经营效率、促进既定管理政策的贯彻执行,不再仅仅局限于与财务会计部门直接相关的控制,而是从组织结构、内部控制方法与措施等方面完善内部控制。
1958年,AICPA审计程序委员会针对上述内部控制定义涉及范围过于宽广的局限性,又发布了审计程序公告第29号《独立审计人员评价内部控制的范围》,根据审计责任的要求,将内部控制划分为“内部会计控制”和“内部管理控制”,即与资产安全和会计记录准确性、可靠性直接相关的控制归为会计控制;与贯彻管理方针、提高经营效率相关的控制归为管理控制。这就是内部控制“制度二分法”的由来。
在实际的经营活动中,内部管理控制与内部会计控制的界限很难划分清楚。为了明确二者之间的关系,1972年,AICPA在第1号审计准则公告中重新阐述了内部管理控制和内部会计控制的定义:内部管理控制包括但不限于组织机构的计划,以及与管理部门授权核准经济业务的决策过程有关的程序和记录。这种对事项核准的授权活动是管理部门的职责,它直接与管理部门执行该组织的经营目标有关,是对经济业务进行会计控制的起点。同时,这个定义明确阐述了内部会计控制制度的重要内容,包括组织规划、保护资产安全,以及与财务报表可靠性有关的机构计划、程序和记录。经过不断地发现问题和严谨地修订,内部控制的定义较以前更具科学性、规范性,并在全世界范围内得到广泛的认可和推广,内部控制制度由此而生。
三、内部控制结构阶段
进入20世纪80年代,资本主义进一步发展,进入黄金阶段,内部控制制度也进入成熟期。
这一时期有了新的管理理念,即系统管理理论。它认为:世界上任何事物都是由要素构成的系统,由于要素之间存在复杂的非线性关系,系统必然具有要素所不具有的新特性,因此,应立足于整体来认识要素之间的关系。系统管理理论将企业组织看成是人们建立起来的相互联系并共同运营的要素(子系统)所构成的系统。顺应公司现实管理需求的变化和系统管理理论的发展,1988年,AICPA发布了第55号审计准则公告。这个公告首次以“内部控制结构”一词取代原有的“内部控制制度”一词,明确“企业的内部控制结构”,包括为达成企业特定目标提供合理保证而建立的各种政策和程序。该公告认为,企业内部控制在结构上分为控制环境、会计制度和控制程序三个要素。
控制环境是指对建立、加强或削弱特定政策与程序的效率有重大影响的各种因素,包括管理者的经营作风、组织结构及其职能等。会计制度是指与各项经济业务的确认、归集、分类、分析、登记和编报等有关的方法。控制程序是指企业为保证目标的实现而建立的政策和程序,如明确各个员工的职责分工、经济业务和活动的批准权等。在这一阶段,内部控制被看成是由这三个要素组成的有机整体,内部控制的定义进一步得到发展和完善,使内部控制从“制度二分法”向内部控制结构转变,初步完成了从实践到理论的升华。
四、内部控制整体框架阶段
1992年9月,美国反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of the Treadway Commission,COSO)发布了著名的《内部控制——整合框架》,并于1994年进行了修订。COSO在《内部控制——整合框架》中进一步完善了内部控制的定义,“内部控制是由企业董事会、管理层和其他人员实施的,为经营的效果和效率、财务报告的可靠性、相关法规的遵循等目标的实现提供合理保证的过程”。
COSO报告提出了内部控制的三大目标和五大要素。三大目标是经营目标、信息目标和合规目标。其中,经营目标是指内部控制要确保企业经营的效果和效率;信息目标是指内部控制要保证企业财务报告的可靠性;合规目标是指内部控制要遵守相应的法律法规和规章制度。在这一报告中,内部控制要素被分为控制环境、风险评估、控制活动、信息与沟通、监控五个方面,它们既相互独立又相互联系,强调了内部控制的整体性、全面性和以人为本的特点,是内部控制发展历程中一座重要的里程碑,已成为内部控制领域最为权威的文献之一,被国际和各国审计准则制定机构、银行监督机构等采纳。
五、风险管理框架阶段
21世纪初,安然、世通等财务舞弊和会计造假案件的发生,严重冲击了美国乃至国际资本市场的正常秩序,暴露出企业内部控制监管上的许多漏洞和不足。研究结果表明,内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因,此后国际资本市场大力强化内部控制。
2004年,COSO在前人对内部控制科学、严谨的研究基础上,结合《萨班斯—奥克斯利法案》(简称SOX法案)在财务报告方面的具体要求,发布了新的研究报告,即《企业风险管理——整合框架》。这个报告的发布,预示着COSO对内部控制的认识和态度有了新的变化,即更加倾向于在风险管理的背景下研究内部控制问题。
与1992年的报告相比,《企业风险管理——整合框架》更加关注企业风险管理这一更加宽泛的领域,增加了战略目标,扩大了报告目标的范围;在五个要素的基础上增加了目标设定、事项识别和风险应对三个风险管理要素。至此,内部控制的要素进一步扩展为内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八个要素,并提出战略目标、经营目标、报告目标和合规目标四类目标。