中国内部审计2001.9

内部控制理论与实务的发展（一）

南京审计学院副院长、教授 李凤鸣

1999年10月31日通过修订的《会计法》第三十七条规定“会计机构内部应当建立稽核制度”并实行内部牵制制度。这是我国第一次将建立内部控制制度进行了立法，比美国晚了49年，美国在1950年制定的预算及会计法案中规定：“各机关应负责对各种款项、财产及其他资产的有效控制，会计记载等应经由适当的内部稽核”。这是世界上第一次将内部控制列入政府法规。1978年，美国又在有关法令中指出：在管理方面——迫切的主要任务，是对内部控制要有合适的制度。继美国之后各国政府均十分重视对内部控制的建设与立法，对内部控制的认识也不断提高。如日本企业界认为，随着企业破产成为社会问题以来，对企业内部管理方面的审查也就严格起来，即使企业在经营效果上达到了考核的标准，但从内部管理角度来看，需要重新彻底加以评价的企业还是很多的，理应把加强内部管理和控制作为改善企业素质的重要措施。

由美国会计师协会、美国会计学会、内部稽核协会、管理会计人员协会和财务负责人协会组成的COSO委员会，邀集各界精英历经多年研究于1992年出版了《内部控制——整体架构》一书。该书详尽地阐述内部控制的定义、目的、分类及组成要素，澄清了一些错误的观点。更重要的是本书提供了一套通用的评估工具及方法，以指引企业如何从管理过程中进行内部控制评估，其评估结果除可协助企业塑造重视操守及充满活力的企业文化外，各行各业更可藉以辨认可能影响企业实现目标的风险，进而建构预警及防范机制，将该影响降至最低程度，以合理确保达到企业目标的。

《最佳内部控制评估实务——自我评估与风险评估》是在《内部控制——整体架构》出版三年半后开始研究的。由国际内部审计协会的研究基金会于1997年刊出。该书主要阐述了控制模式要点，自我评估实务，风险评估实务，评估作业与报告方法，整合新实务到组织的方法。列举了欧美25家大型企业所实施评估的范例，其中涵盖了自我评估和实施。本报告强调评估COSO所有的五个组成要素与三类目标（或是COCO二十项基准评估项目）；将自我评估纳入评估范畴，将其从传统与内部审计的“主客”关系，提升至相互合作的“伙伴”关系；风险评估是思考过程中评估的基础，大多数的控制评估实务都是根据风险评估思考过程而建立的；实施控制已转变为企业文化，其实施将改变每一位参与控制过程个人的心智，实施控制组织的所有员工了解他们是内部控制的“所有人”，并且认为内部控制是一种他们职务中不可分割的一部分；组织中每一位经理或每一位员工都应纳入内部控制训练，使他们学习自我评估的方法，学习到风险评估的思考过程；根据各个组织现有文化与所处竞争环境、主要执行人员的个性、以及该组织本身才具有的一些因素来实施控制模式；实施对柔性控制的评估增加附加价值或超过预期效益。

内部控制的概念与作用

一、为什么要设置内部控制

近代内部控制产生于18世纪产业革命以后，它是企业大规模化及资本大众化的结果。18世纪末期，美国铁路公司为了控制、考核遍及全国的客运、货运业务，采用了“内部稽核制度”。20世纪初期，西方资本主义经济得到了较大发展，股份有限公司的规模有了扩大，生产资料的所有者和经营者相互脱离。美国一些企业在非常激烈的竞争中，逐步摸索出一些组织、调节、制约和检查企业生产活动的办法，为了防范和揭露错误，按照人们主观的设想，建立了“内部牵制制度”，使经济活动及经济事项的处理均要经过两个或两个以上的部门或个人，形成制约机制，减少错误和弊端的发生。20世纪30年代，世界性的经济大危机，迫使很多企业为求生存，免遭破产厄运，将内部牵制的范围进一步扩大到所有的业务管理活动。50年代以后，由于世界经济竞争的激化，促使内部控制扩展到企业内部的各个领域。内部控制的存在与发展，并非仅仅是外部审计人员的主观意愿，而是经济组织本身及管理部门的需要，内部控制不仅是一切审计工作的基础，而且是一切企业管理工作的基础。管理部门都不愿意看到由于错误、舞弊或根据不可靠的财务信息及管理信息作出决定而遭受损失；内部控制正是这样一种工具，它帮助管理部门尽可能地实现企业有条不紊和高效的运作，以保证经济组织达到既定的管理目标。

根据COSO报告的观点，内部控制之所以设置，就是促使企业在迈向获利目标的路上，达成其管理理念，并把前进中的意外风险减到最少。内部控制可提升效率、减少损失资产的风险、保证财务报表的可靠性，以及遵循法令。

因为内部控制可用来达成许多重要的目标，所以被愈来愈多的人视为解决多种潜在问题的方法之一。

二、什么是内部控制

美国会计师协会于1949年就内部控制进行过定义，在50年间又不断地对其进行修订，并规定了会计控制和管理控制的涵义。

（一）方法论

美国职业会计师协会所属的审计程序委员会，1949年对内部控制第一次提出的概念是：内部控制包括经济组织的计划及经济组织为保护其财产。检查其会计资料的准确性和可靠性，提高经营效率，保证既定的管理政策得以实施而采取的所有方法和措施。1973年，对会计控制所下的定义是：会计控制包括组织的计划及保护该组织的财产和保证财务记录的可信性有关的程序和记录。对管理控制所下的定义是：管理控制则包括组织的计划和为提高经营效率、保证企业既定的管理政策的实施而采取的所有措施和方法。

（二）工具论

世界最高审计机关组织内部控制准则中，对内部控制所下的定义是：内部控制系为达成管理目标，提供合理保证的管理工具。内部控制包括组织计划，以及为达成配合组织任务，保护资源，遵循法律、规章及各项管理作业规定，提供值得信赖的财务及管理资料而采取的管理态度、方法、程序及评量措施。

1．内容有：计划管理的态度、方法、程序，评量措施。

2．目标包括：保护资源，以避免因浪费、舞弊、管理不当、错误、欺诈及其他违法事件而遭致的损失；配合组织任务，使各项作业均能有条不紊，且更经济有效地运作，并提高产品与服务的质量；遵循法律、规章及各项管理作业规定；提供值得信赖的财务及管理资料，并能适时恰当地揭露有关资料。

（三）过程论

1992年COSO报告中认为；内部控制系为达成某些特定目标而设计的过程。即内部控制是一种由


企业董事会、管理阶层与其他人员执行。由管理人员阶层所设计为达成营运的效果及效率，财务报导的可靠性和相关法令的遵循提供合理保证的过程。

上述定义反映的基本观念是：

1、内部控制是一个过程。内控是达成结果的方法，而其本身不是结果。

2、内部控制因人而产生效果，是由“人”执行的。并非仅是政策手册与表格，而是来自组织内每一个阶层的人。

3、可预期内控只能为企业管理阶层及董事会提供合理的保证，而非绝对保证。

4、内控配合不同的类别，以一种、多种或重叠性的类别达成多项目标：

营运——有效率及效果地使用资源；

财务报导——与编制可资信赖的对外财务报表有关；

遵循法令——与企业个体遵循相关。

（四）元素论

COCO研究小组，通过对COC0报告三年来研究，边写边改，形成了更精简、更具动态、更多使用管理阶层语言的一份较容易接受的报告。

内部控制由该等组织元素组成（包括组织资源、系统、过程、文化、结构与作业），而将这些资源结合在一起以支援组织成员达成组织的目标。

内部控制是为支援组织成员达成营运的效果与效率，内部与外部报导的可信赖程度，遵行相关法规以及内部政策办法等目标，而采取的组织资源、系统、过程、文化、结构与作业。COSO报告阐述的内部控制的涵义，更具动态和管理阶层导向。

无论怎样对内部控制定义，但都必须满足以下两个前提：一是建立可满足不同范围需求的共同定义；二是提出一企业可用来评估其控制制度及决定如何改善的标准。这两个标准在任何企业，不论规模大小，公营或民营，是否以营利为目的，均可适用。内部控制被广泛地定义成一个过程，这个过程受企业的董事会、管理阶层及其他人员影响，设计这个过程，为下列各类目标的达成提供合理的保证：营运的效果及效率；财务报导的可靠性；对相关法令的遵循。

第一类的内部控制，是讨论企业的基本业务目标，包括绩效、盈利与保障资产的安全；第二类的内部控制，则与编制可靠的对外公开财务报表有关。这些财务报表包括期中财务报表、简明财务报表，以及由这些财务报表衍生而出的财务资讯，如：宣告的盈余。第三类的内部控制，则与企业遵循相关法律及行政命令有关。这种分类方式区分出三种不同，但却又重叠的控制，是针对不同人的不同需求，而且也为了引导这些人的注意，以满足他们的不同需求。

三类内部控制运作的有效程度，可以不同。如果董事会及管理阶层能对三类内部控制中的一类提出合理保证，则该类控制可被判断为有效；①他们了解企业营运目标被达成的程度；②对外财务报表之编制体系可靠；③相关法令系被遵循。

由于内部控制是一个过程，故其有效性是此过程在特定时点的状态（STATE）或情况（CONDI－TION）。

三、内部控制的作用





根据COSO报告的观点，内部控制能帮助一个企业达成其绩效及盈利目标，预防资源的损失，能帮助企业保证其财务信息可靠、遵循相关的法令，避免企业的名声受损及其他后果。总而言之，内部控制能帮助企业实现其目标，避免意外的发生。

内部控制具有统合的作用，制约与激励作用及促进作用。恰当地运用内部控制，能促进财产安全管理和各种资源的有效使用；有利于提高会计及其他信息的可信性和可靠性；有利于减少不必要的开支，提高盈利水平，避免意外风险；有利预防和减少差错和舞弊行为；有利于保证授权和法定责任的完成。

四、内部控制不能做什么

内部控制只能提供合理的保证，而不能提供绝对的保证，对内部控制不应该存在不切实际的期望。

有人认为内部控制能保证一个单位的成功，或者说，内部控制能保证单位基本业务目标一定能达成，或者至少能保证其存活或继续经营等。事实是，即使内部控制为有效，最多也只能帮助单位达成一些目标。内部控制所能做的，是把企业达成或未达成目标的进度资讯告诉管理阶层，但不能把一位先天不良的经理人转变为优秀经理人；此外，政府的

政策或计划、竞争对手的行为，或经济情况的转变，都不在管理阶层的控制范围之内。所以，内部控制不能保证企业一定会成功，甚至连企业不灭亡，也无法保证。

也有人认为内部控制能保证财务报导的真实可靠和各项法令的遵循。事实上，这种看法也没有根据。不论一个内部控制制度设想多周到，执行多彻底，也只能就企业目标的达成，对管理阶层及董事会提供合理的担保，不能提供绝对的担保。达成的可能性受到内部控制充无限制的影响。

1、内部控制受到成本的限制。一般来说控制程序的成本不能超过风险或错误可能造成的损失或浪费，否则，再好的控制措施和方法也将失去降低成本的意义。

2．内部控制不能限制串通作弊的行为。不相容职务分离可以避免单独个人作弊的行为，但不能防止两个以上的人或部门合伙舞弊的行为。

3、内部控制不能有效防止人为差错。因为内部控制不能防止工作人员的粗心大意、精力分散、身体不适，理解错误、判断失误，歪曲、曲解指令等。

4、内部控制不能有效防止管理越权行为及滥用职权。

5．制度更新跟不上经营管理的变化，过去的控制措施对新出现的业务无能为力。