1.1　内部控制的历史演进

人类自从有了社会分工，就必须有群体活动，有了群体活动，就有了一定意义上的控制。在公元前3000多年以前，内部控制的思想就已经在人们的日常经济生活中得以运用。内部控制的历史可以追溯到远古文明时期对公共资金的管理，从古埃及、古希腊、古罗马的历史沉迹中均可发现，中国《周礼》中也有记述；而早期西方的议会控制，我国的御史制度，亦均属于内控制度的演变。经过人类历史的漫长发展，现代内部控制作为一个完整概念，于20世纪40年代首次被提出。此后，内部控制理论不断完善，逐渐被人们了解和接受。具体来说，内部控制理论和实务经历了大致五个发展阶段。

1.1.1　内部牵制阶段

早在公元前3600年以前的美索不达米亚文明时期，就已经出现了内部控制的初级形式。例如，经手钱财者要为付出款项提供付款清单，并由另一记录员将这些清单汇总报告。

15世纪末，随着资本主义经济的初步发展，内部牵制也发展到了一个新的阶段，以在意大利出现的复式记账方法为标志，内部牵制制度渐趋成熟。18世纪产业革命以后，企业规模逐渐扩大，公司制企业开始出现，特别是公司内部稽核制度因收效显著而为各大企业纷纷效仿。20世纪初期，因激烈的竞争，一些企业逐步摸索出一些组织调节、制约和检查企业生产活动的办法。基本上是以查错防弊为目的，以职务分离和交互核对为方法，以钱、账、物等为主要针对事项，这也是现代内部控制理论中有关组织控制、职务分离控制的雏形。

关于内部牵制的概念，《科勒会计词典》认为，“内部牵制是指以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制”。

内部牵制的最初形式和基本形态是以不相容职务分离为主要内容的流程设计。其目的比较单一，即保证财产物资的安全和完整，防止贪污、舞弊。尽管随着经济社会的发展，内部控制日益超越内部牵制的范畴，但内部牵制的基本理念在内部控制中仍然发挥着重要作用。

这一阶段的不足之处，在于人们还没有意识到内部控制的整体性，只强调内部牵制机能的简单运用，还不够系统和完善。作为一种管理制度，内部牵制基本上不涉及会计信息的真实性和工作效率的提高问题，因此其应用范围和管理作用都比较有限。到20世纪40年代末期，生产的社会化程度空前提高，股份有限公司迅速发展，市场竞争进一步加剧。西方国家纷纷以法律的形式要求企业披露会计信息，这样对会计信息的真实性就提出了更高的要求。因此，传统的内部牵制制度已经无法满足企业管理和会计信息披露的需要，现代意义上的内部控制的产生已经成为一种必然。

1.1.2　内部控制制度阶段

20世纪40年代至70年代初，内部控制制度的概念在内部牵制思想的基础上产生，它是传统的内部牵制思想与古典管理理论相结合的产物，是在社会化大生产、企业规模扩大、新技术的应用，以及股份制公司形式出现等因素的推动下形成的。

1949年，美国注册会计师协会（AICPA）所属的审计程序委员会发表了一份题为《内部控制：系统协调的要素及其对管理部门和独立公共会计师的重要性》的特别报告，首次正式提出了内部控制的权威性定义，即“内部控制包括组织机构的设计和企业内部采取的所有协调方法和措施，旨在保护资产、检查会计信息的准确性和可靠性，提高经营效率，促进既定管理政策的贯彻执行”，从而形成了内部控制制度思想。由于审计人员认为该定义的含义过于宽泛，因此AICPA于1953年在其颁布的《审计程序说明第19号》中，对内部控制定义作了正式修正，并将内部控制按照其特点分为会计控制和管理控制两个部分。1958年，美国审计程序委员会又发布了第29号审计程序公报《独立审计人员评价内部控制的范围》，也将内部控制分为内部会计控制和内部管理控制，其中前者涉及与财产安全和会计记录的准确性、可靠性有直接联系的所有方法和程序；后者主要是与贯彻管理方针和提高经营效率有关的所有方法和程序，由此内部控制进入“制度二分法”，即“二要素”阶段。

1972年，美国审计准则委员会（ASB）在《审计准则公告第1号》中，重新并且更加明确地阐述了内部会计控制和内部管理控制的定义。内部管理控制包括（但不限于）组织规划及与管理当局进行经济业务授权的决策过程有关的程序和记录；内部会计控制包括（但不限于）组织规划、保护资产安全，以及与财务报表可靠性有关的程序和记录。

这一阶段的内部控制被正式纳入制度体系中，同时管理控制成为内部控制的一个重要组成部分。但在实践中，审计人员发现很难确切区分会计控制和管理控制，而且后者对前者其实有很大影响，无法在审计时完全忽略。

1.1.3　内部控制结构阶段

进入20世纪80年代，资本主义发展的黄金阶段以及随后到来的滞胀促使西方国家对内部控制的研究进一步深化，人们对内部控制的研究重点逐步从一般含义向具体内容深化。

1988年，美国AICPA发布《审计准则公告第55号》，并规定从1990年1月起取代1972年发布的《审计准则公告第1号》。这个公告首次以“内部控制结构”的概念代替“内部控制制度”，明确“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”。该公告认为，内部控制结构由下列三个要素组成：

（1）控制环境。控制环境是指对建立、加强或削弱特定政策与程序的效率有重大影响的各种因素。包括管理者的思想和经营作风；组织结构；董事会及其所属委员会，特别是审计委员会的职能；确定职权和责任的方法；管理者监控和检查工作时所使用的控制方法；影响企业业务的各种外部关系；等等。

（2）会计制度。会计制度是指为确认、归类、分析、登记和编报各项经济业务，明确资产与负债的管理责任而规定的各种方法；对各项经济业务及时和适当的分类，以作为编制财务报表的依据；将各项经济业务按照适当的货币价值计价，以便列入财务报表；确定经济业务发生的日期，以便按照会计期间进行记录；在财务报表中恰当地表述经济业务及对有关的内容进行揭示。

（3）控制程序。控制程序是指企业为保证目标的实现而建立的政策和程序；明确各个人员的职责分工；账簿和凭证的设置、记录与使用，以保证经济业务活动得到正确的记载；资产及记录的限制接触；已经登记的业务及其记录与复核；等等。

此时的内部控制融会计控制和管理控制于一体，从“制度二分法”阶段步入了“结构分析法”阶段，即“三要素阶段”。这是内部控制发展史上的一次重要改变。内部控制结构阶段对于内部控制发展的贡献主要体现在两个方面。其一，首次将控制环境纳入内部控制的范畴。因为人们在管理实践中逐渐认识到，控制环境不应该是内部控制的外部因素，而应该作为内部控制的一个组成部分来考虑，尤其是管理层的风险意识及其对风险控制的态度，是充分有效的内部控制体系得以建立和运行的基础和有力保障。其二，不再区分会计控制和管理控制，而统一以要素来表述。因为人们发现内部会计控制和管理控制在实践中其实是相互联系、难以分割的。

1.1.4　内部控制整合框架阶段

1992年9月，COSO2发布了著名的《内部控制——整合框架》（Internal Control-Inte-grated Framework），并于1994年进行了修订。这一报告已经成为内部控制领域最为权威的文献之一。该报告系内部控制发展历程中的一座重要里程碑，其对内部控制的发展所作出的贡献可以用三句话十二个字概括：“一个定义、三项目标、五个要素”。

“一个定义”是指该报告对内部控制下了一个迄今为止最为权威的定义：“内部控制是由企业董事会、经理阶层及其他员工实施的，旨在为营运的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程。”

“三项目标”是指内部控制具有三项目标，包括经营目标、报告目标和合规目标。由此可见，财务报告的可靠性并不是内部控制唯一的目标。换言之，内部控制不等于会计控制。

“五个要素”是指该报告将内部控制的组成部分分为相互独立而又相互联系的五个要素：控制环境、风险评估、控制活动、信息与沟通、监控，如图1-1所示。

这五个要素的内涵及其在内控整体框架中的作用解释如下：

（1）控制环境。控制环境主要指企业内部的文化、价值观、组织结构、管理理念和风格等。这些因素是企业内部控制的基础，将对企业内部控制的运行及效果产生广泛而深远的影响。

（2）风险评估。风险评估是指识别和分析与实现目标相关的风险，并采取相应的行动措施加以控制。这一过程包括风险识别和风险分析两个部分。

（3）控制活动。控制活动是指企业对所确认的风险采取必要的措施，以保证企业目标得以实现的政策和程序。一般来说，与内部控制相关的控制活动包括职务分离、实物控制、信息处理控制、业绩评价等。

（4）信息与沟通。信息与沟通是指为了使管理者和员工能够完好地行使职权和完成任务，企业各个部门及员工之间必须沟通与交流相关的信息。这些信息既有外部的信息，也有内部的信息。

（5）监控。监控是指评价内部控制的质量，也就是评价内部控制制度的设计与执行情况，包括日常的监督活动和专项评价等。通过定期或不定期地对内部控制的设计与执行情况进行检查和评估，与有关人员就内部控制有效与否进行交流，并提出整改意见，以保证内部控制随着环境的变化而不断改进。

同以往的内部控制理论及研究成果相比，COSO的报告提出了许多有价值的新观点：

（1）明确对内部控制的“责任”。该报告认为，不仅仅是管理部门、内部审计委员会或董事会，组织中的每一个人都对内部控制负有责任。

（2）强调内部控制应该与企业的经营管理过程相结合。内部控制是企业经营过程的一部分，与经营过程结合在一起，而不是凌驾于企业的基本活动之上。

（3）强调内部控制是一个“动态过程”。内部控制是一个发现问题、解决问题，发现新问题、解决新问题的循环往复的过程。

（4）强调“人”的重要性。只有人才可能制定企业的目标，并设置内部控制的机制。反过来，内部控制也影响着人的行为。

（5）强调“软控制”的作用。软控制主要是指那些属于精神层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等。

（6）强调风险意识。管理阶层必须密切注意各层级的风险，并采取必要的管理措施防范风险。

（7）糅合了管理与控制的界限。在COSO的报告中，控制已不再是管理的一部分，管理和控制的职能与界限已经模糊了。

（8）强调内部控制的分类及目标。COSO的报告将内部控制目标分为三类，即经营效率、效果性目标，会计信息可靠性目标，以及法律法规遵循性目标。

由于COSO的报告提出的内部控制理论和体系集内部控制理论和实践发展之大成，因此在业内备受推崇，已经成为世界通行的内部控制权威标准，被国际和各国审计准则制定机构、银行监管机构和其他方面的机构所采纳。

为应对新世纪、新阶段的内部控制建设工作，2013年5月，COSO发布了修订版的《内部控制——整合框架》，并提议于2014年12月15日以后用该框架取代1992年发布的框架。与1992年的框架相比，新框架保持不变的主要方面包括：内部控制的核心定义；内部控制仍然包括3个目标和5个要素；有效的内部控制必须具备全部5个要素；在设计、执行内部控制和评价其有效性的过程中，判断仍然起重要作用。新框架发生重大变化的主要方面则包括：关注的商业和经营环境发生了变化；扩充了经营和报告目标；将支撑5个要素的基本概念提炼成原则；针对经营、合规和新增加的非财务报告目标提供了补充的方法和实例。

1.1.5　企业风险管理整合框架阶段

2001年12月，美国最大的能源公司之一——安然公司，突然申请破产保护，此后上市公司和证券市场丑闻不断，特别是2002年6月的世界通信公司会计丑闻事件，“彻底打击了投资者对资本市场的信心”（美国国会报告，2002）。美国国会和政府通过加速制定新的法律加强对金融、会计、审计的监管，并于2002年7月30日由时任美国总统的小布什签署出台了《2002年公众公司会计改革和投资者保护法案》（简称《萨班斯法案》，也称《SOX法案》）。《萨班斯法案》强调了公司内部控制的重要性，从管理者、内部审计及外部审计等几个层面对内部控制作了具体规定，并设置了问责机制和相应的惩罚措施，成为继20世纪30年代美国经济危机以来，政府制定的涉及范围最广、处罚措施最严厉的公司法律。

【案例1-1】

《萨班斯奥克斯利法案》大限在即，中国公司冲刺3

2006年，在美国上市的中国企业正为达到当地一项严格的监管要求而冲刺。《萨班斯奥克斯利法案》（简称《萨班斯法案》），这项被美国总统布什称作“自罗斯福总统以来美国商业界影响最为深远的改革法案”让很多企业大伤脑筋。本来，美国证券交易委员会（SEC）为外国公司设定《萨班斯法案》404条款（简称“404条款”）的生效日期是2005年7月15日，后来因为众多公司反映时间过于紧张，而推迟一整年。

2006年7月15日，旨在加强上市公司监管的404条款就要对在美国上市的外国公司生效，这当然包括了在美国上市的70多家中国公司。为遵循404条款：首先，公司应制定内部控制详细目录，确定内部控制是否充分；其次，公司被要求记录控制措施评估方式，以及未来将被用于弥补控制缺陷的政策和流程；再次，公司必须对内控的有效性进行测试，以确保控制措施和补救手段起到预期作用；最后，管理层必须将前述三个阶段的各项活动情况整理成一份正式的报告。

该法案的产生将使得中国在美上市的企业受到以下冲击：

第一，也是最重要的冲击是，中国企业在美上市的维持成本将大幅飙升。根据国际CFO组织对美国321家本土上市企业的调查，这些企业在第一年实施404条款的平均成本超过460万美元，包括35000小时的内部人工投入，以及130万美元的软件费用、外部顾问费用和额外审计费用。因此相关机构预测，中国在美上市企业仅在第一年内执行《萨班斯法案》的费用就将高达2亿美元。

第二，以《萨班斯法案》为依据，针对中国在美上市公司的集体诉讼案件数量极有可能攀升。迄今为止，已经有中国人寿、中航油、UT斯达康、前程无忧网、空中网、网易、中华网等中国企业被美国投资者提起集体诉讼。这些企业的一些行为被投资者认为违背了证券法或证券交易法。一旦《萨班斯法案》开始实施，投资者除了继续在证券法或证券交易法的框架下对中国企业提起诉讼外，还能同时在《萨班斯法案》的框架下对中国企业提起诉讼。一方面，中国企业被提起诉讼的可能性和败诉的可能性将会增大；另一方面，中国企业一旦被判败诉，相应的赔偿额将会大幅上升。

显然，404条款大大加强了公司治理的结构和运作机制，这对于公司而言是一个很大的转变，包括文化上的转变和公司治理操作上的转变。对于中国公司尤其如此。中国公司的公司治理观念是不强的，比如，它们不习惯被很多的部门来监控着。梁文昭认为，从短期来看，加强公司治理是降低效率的，但是从长远来看，这是确保公司朝着一个更加健康的机制发展的保证，日后，这方面的制度优势将逐渐地显露出来。

其实，自1992年COSO的报告发布以来，理论界和实务界纷纷对该框架提出改进建议，认为其对风险强调不够，使得内部控制无法与企业风险管理相结合。为此在2001年，COSO开展了一个项目，委托普华永道（PricewaterhouseCooPers）开发一个对于管理当局评价和改进他们所在组织的企业风险管理的简便易行的框架。而后来安然、世通会计丑闻所催生的《萨班斯法案》更是凸显了一个更加注重企业风险管理框架的必要性和紧迫性。终于在2004年9月，COSO在借鉴以往有关内部控制研究报告的基本精神的基础上，结合《萨班斯法案》在财务报告方面的具体要求，发表了新的研究报告——《企业风险管理框架》（EnterPrise Risk Management Framework, ERM框架）。该框架指出，“全面风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。这一阶段的显著变化是将内部控制上升至全面风险管理的高度来认识。

基于这一认识，COSO提出了战略目标、经营目标、报告目标和合规目标等四类目标，并指出风险管理包括八个相互关联的构成要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。根据COSO的这份研究报告，内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一体系；同时，对内部控制要素的进一步细分和充实，使内部控制与风险管理日益融合，拓展了内部控制。企业风险管理整合框架如图1-2所示。

相对于《内部控制——整合框架》，ERM框架的创新在于：

第一，从目标上看，ERM框架不仅涵盖了内部控制框架中的经营性、财务报告可靠性和合法性三个目标，而且新提出了一个更具管理意义和管理层次的战略管理目标，同时还扩大了报告的范畴。关于战略管理目标，企业风险管理应贯穿于战略目标的制定、分解和执行过程，从而为战略目标的实现提供合理保证。报告范畴的扩大则表现在内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而ERM框架中的财务报告范围有很大的扩展，覆盖了企业编制的所有报告。

第二，从内容上看，ERM框架除了包括内部控制整体框架中的五个要素外，还增加了目标制定、风险识别和风险应对三个管理要素。目标制定、风险识别、风险评估与风险应对四个要素环环相扣，共同构成了风险管理的完整过程。此外，对原有要素也进行了深化和拓展，如引入了风险偏好和风险文化，将原有的“控制环境”改为“内部环境”。

第三，从概念上看，ERM框架提出了两个新概念——风险偏好和风险容忍度。风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略目标直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的管理者风险偏好结合起来。风险容忍度是指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的，在目标实现过程中对差异的可接受程度和可容忍限度。

第四，从观念上看，ERM框架提出了一个新的观念——风险组合观。企业风险管理要求企业管理者以风险组合的观念看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业中的每个单位而言，其风险可能在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业整体的角度评估风险。

需要说明的是，ERM框架的产生虽然晚于《内部控制——整合框架》，但是它并不是要完全替代《内部控制——整合框架》。在企业管理实践中，内部控制是基础，风险管理只是建立在内部控制基础之上的，具有更高层次和综合意义的控制活动。如果离开良好的内部控制系统，所谓的风险管理只能是一句空话。