内部控制是现代企业加强经济管理，提高经营效率，保护资产安全完整，实现经营方针和目标的有效工具和手段。在经济发达国家的企业中，内部控制被广泛采用，并日趋完善，在企业管理中发挥着积极的作用。
健全有效的内部控制被看作是一种解决很多问题的有效方法，例如内部控制可以把公司保持在实现一系列目标并完成公司使命的轨道上，这些目标从早期的财务信息质量到后来的提高经营的效率效果、再到今天的战略目标、经营目标、财务报告目标以及合法性目标等多重目标。
第一节 内部控制的产生和发展
一、国外内部控制的产生和发展
根据朱荣恩（2002）的研究，内部控制概念的演变大致可分为四个历史阶段：20世纪40年代前；40年代末至80年代；80年代至90年代；90年代之后 。
1、20世纪40年代前
这一阶段，人们一般采用内部牵制（Internal Check）这一概念。例如美国著名审计学家蒙哥马利（Robert H. Montgomery）在其《蒙氏审计学》第二到第五版中一直都是用内部牵制一词，直到1940年的第六版开始才提出“内部控制”这个术语。而《柯氏会计辞典》（Kohler’s Dictionary for Accountant）将内部牵制定义为：“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵制以便使每项业务能完整正确地经过规定的处理程序，而在这规定的处理程序中，内部牵制机能永远是一个不可缺少的组成部分”。
一般来说，内部牵制机能的执行可以分为以下四类：
①实物牵制。例如把保险柜的钥匙交给两个以上的工作人员持有。要打开保险柜，就必须同时使用这两把以上的钥匙。
②机械牵制。例如银库的大门必须按照既定的程序操作才能打开，否则就无法打开，甚至会自动报警。
③体制牵制。例如把每项业务分别安排给不同的部门或人员去处理，从而预防错误和舞弊的发生。
④簿记牵制。例如定期将总账和明细账进行核对。
内部牵制的思想建立在以下两个基本的假设基础之上：
一是两个或两个以上的部门或人员无意识地犯同样错误的机会相对较小；
二是两个或两个以上的部门或人员有意识地合伙舞弊的可能性大大低于单独一个部门或人员舞弊的可能性。
直到今天，内部牵制的思想仍然在内部控制理论中占有重要的地位，我们经常提到的职责分工、不相容职务相分离等，就是这一思想的集中体现。
2、20世纪40年代至70年代
这一阶段，人们开始使用“内部控制”这一术语，并逐步将内部控制纳入到审计程序中来，应该说内部控制的发展与审计人员法律责任的不断加强有密切的关系。美国早在1933年的证券法（Securities Act）中就明确规定，审计人员如被发现所审查并签署的财务报表中含有不实的重大事项或漏报导致误解的重大事项，必须对委托人由此而蒙受的损失负责。这不得不提发生在20世纪30年代的著名麦克逊•罗宾（Mecksson & Robbin）药材公司案件。在此案件中，麦克逊•罗宾公司为取得贷款，伪造了存货和应收账款的金额分别达到1000万美元和900万美元，而负责审查的普华会计师事务所（Price WaterHouse）竟予以签署证实，结果贷款方诉至法庭。这一案件经公开听证，确认麦克逊•罗宾公司的欺诈行为，是由于经理部门共同串谋造成的，会计师事务所按照一般公认审计程序进行了审计，为此不应负法律责任。但最后，普华会计师事务所仍以退还40多万美元审计费用来了结此事。事后，审计人员检讨了原有审计程序，发现缺少了对内部控制和会计处理程序的审查步骤。为此1939年10月美国注册会计师协会下属的审计程序委员会在公布的审计程序公告第1号《独立注册会计师对财务报表的审查》中，首次提出会计师在制定审计程序时，应审查企业的内部牵制和控制，并从财务报表审计的角度将内部控制定义为“保护公司现金和其他资产，检查簿记事务的准确性，而在公司内部采用的手段和方法”。次年10月，美国证券交易委员会（SEC）也正式要求审计人员在签署的审计报告中，增加以上类似的审计程序内容。
到了40年代后期，各国审计的范围从早期的财务方面逐步扩展到管理领域，在审计工作中更加强调内部控制的评审问题。1949年美国注册会计师协会下属的审计程序委员会发布了《审计准则暂行公告》（Tentative Statement of Auditing Standards），其中“现场工作准则”第二条规定：“要适当研究和评价现行的内部控制，以决定其可依赖和作为制定审计程序的依据”。在该准则首次发布时，虽然在研究文献中已经出现内部控制的名词，但均没有作出权威性的定义。为了弥补这一缺陷，该审计委员会的一个小组委员会于1949年做出题为《内部控制：一种协调制度要素及其对管理层和独立注册会计师的重要性》的报告，首次对内部控制作了如下的权威定义：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施，这些方法和措施用于保护企业的资产，检查会计信息的准确性，提高经营效率，推动企业坚持既定的管理方针。”该报告是从企业经营管理的角度来定位内部控制的，已经超出了直接与会计和财务部门功能有关的内容范畴，包括预算控制、标准成本、中期报告、统计分析、培训计划等内容，这种范围和内涵广泛的定义，当时被普遍认为是对认识内部控制这一重要概念的重大贡献，尤其对管理当局加强其管理工作来说，具有极其重要的意义。但该定义范围看起来太过广泛，从内部制度评审作为注册会计师的一种法律责任考虑，显然提供的指导过少，因此注册会计师要求对内部控制定义进行修改。
1958年10月，美国注册会计师协会下属的审计程序委员会颁布了第29号审计程序公告（SAP29），对内部控制定义作了正式修改，把内部控制分为内部会计控制（Internal Accounting Control）和内部管理控制（Internal Administrative Control），前者的目标包括保护企业资产的安全完整和检查会计数据的准确性和可靠性；而后者的目标则包括提高经营的效率和坚持贯彻既定的管理方针。根据公告的定义，内部控制被表述为：“从广义上讲包括下列既有会计又有管理特征的控制：
会计控制包括组织规划的所有方法和程序，这些方法和程序与资产安全和财务记录可靠性有直接的联系，包括诸如授权和批准制度、从事财务记录和簿记与从事经营或财产保管职务分离的控制，财产的实物控制和内部审计。
管理控制包括组织规划的所有方法和程序，这些方法和程序主要与经营效率和贯彻管理方针有关，通常只与财务记录有间接的联系，包括如统计分析、时机研究、业绩报告、员工培训计划和质量控制”。
1963年，审计程序委员会在第33号审计程序公告（SAP33）中进一步指出：注册会计师应主要检查会计控制，而不是所有管理控制。只有当注册会计师考虑管理控制对审查的财务报表可靠性有重大影响时，才可能去检查管理控制。
上述内部控制定义的修订较为明确地指出了注册会计师的审计责任范围，但由于对内部控制的两种目标内涵往往有不同的理解，可能会在审计工作中引起某些争议。为此，美国注册会计师协会所属审计准则委员会于1972年12月公布了第1号审计准则公告（SAS1），对内部控制进行了重新解释：“管理控制包括（但不限于）组织规划以及与管理当局进行经济业务授权的决策过程有关的程序和记录。这种授权是与完成该组织目标的职责直接有关的一种管理职能，也是建立经济业务的会计控制的起点。
会计控制包括组织规划以及与保护资产安全和财务报表可靠性有关的程序和记录，因此它在设计上应能合理保证：
（1）按管理当局的一般的或特定的授权进行活动；
（2）经济业务的记录必须做到：编制财务报表要遵循公认会计原则，或适用于这些报表的其他标准，保护资产会计责任的记录；
（3）只有经管理层授权才能接近资产；
（4）账面载明的资产要和实存资产在合理的间隔期间进行核对，对发生的任何差异采取适当的措施”。
在20世纪40年代到70年代这一期间，是内部控制概念的形成、解释、修改、再修改的过程，可以说是在审计职业蓬勃发展的背景下，伴随着审计实务中不断应用内部控制及其审查技术，以及审计法律责任的增强、审计人员对自身职业安全的考虑而不断发展的。
3、20世纪80年代至90年代
在此阶段，内部控制的概念开始被审计界广泛接受，并为各国国家审计、内部审计甚至国际审计会计组织所认可和引用，例如最高审计机关国际组织（INTOSAI）在1986年发表的《总声明》中提出：“内部控制完整的财务和其他控制体系，包括组织结构、方法程序和内部审计。它由管理层根据总体目标建立，目的在于帮助企业的经营活动合理化，具有经济性、效率性、效果性；保证管理决策的贯彻；维护资产和资源的安全；保证会计记录的准确和完整；并提供及时、可靠的财务和管理信息”。
与此同时，会计审计界对内部控制的研究重点也逐步从一般涵义向具体内容深化。1988年美国注册会计师协会发布第55号审计准则公告（SAS55）《在财务报表审计中对内部控制结构的考虑》，自1990年1月起取代1972年发布的SAS1，在SAS55中，首次以内部控制结构（Internal Control Structure）一词取代原有的“内部控制”一词，同时在内容上比以前更实在，条理更清楚。根据SAS55的论述，“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。”与此同时，公告将内部控制结构的具体内容阐述为以下三个部分：
（1）控制环境（Control Environment）
是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素，具体包括：
①管理者的思想和经营作风；
②企业组织结构；
③董事会及其所属委员会，特别是审计委员会发挥的职能；
④确定职权和责任的方法；
⑤管理者监控和检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计；
⑥人事工作方针及其执行；
⑦影响本企业业务的各种外部关系，如由银行指定代理人的检查等。
环境控制反映了董事会、管理层、股东和其他人员对控制的态度、认识和行动。
（2）会计制度（Accounting System）
会计制度规定各项经济业务的鉴定、分析、归类、登记和编报的方法，明确各项资产和负债的经营管理责任。健全的会计制度应当包括下列内容：
①鉴定和登记一切合法的经济业务；
②对各项经济业务进行按时和适当的分类，作为编制财务报表的依据；
③将各项经济业务按适当的货币价值计价，以便列入财务报表；
④确定经济业务发生的日期，以便会计分期记录；
⑤在财务报表中恰当表述经济业务以及有关的披露内容。
（3）控制程序（Control Procedures）
是指管理层所制定的方针和程序，用以保证达到一定的目的。它包括：
①经济业务和经济活动的批准权；
②明确各个人员的职责分工，防止有关人员对正常业务进行图谋和隐匿各种错误和弊端。职责分工包括：指派不同人员分别承担批准业务、记录业务和保管资产的职责；
③凭证和账单的设置和使用，应保证业务和活动得到正确的记载。例如在销售业务中对发货凭证进行预先编号，以控制发货业务；
④财产及其记录的接触使用，要有保护措施，例如接触电脑程序和档案资料要经过授权批准；
⑤对已登记的业务及其计价要进行复核，例如，常规的账证、账账、账表、账实复核，银行存款余额调节表的编制，电算化控制等。
与SAS1阐述的内部控制内容相比，SAS55有两个明显的改变：一是正式将内部控制环境纳入到内部控制的范畴；二是不再区分会计控制和管理控制。这些改变反映了内部控制理论研究的新动向，因此可被视为内部控制理论研究的一个新的突破性成果。
4、20世纪90年代之后
进入90年代，内部控制的研究进入了一个崭新的阶段，其中美国“反对虚假财务报告委员会”（即Treadway委员会）下属的由美国会计学会（AAA）、注册会计师协会（AICPA）、国际内部审计师协会（IIA）、财务经理人协会（FEI）和管理会计师协会（IMA）等组织参与的“发起组织委员会”（Committee of Sponsoring Organizations, 简称COSO）于1992年发布、并于1994年增补的报告“内部控制——整体框架”（Internal Control—Integrated Framework）是这个阶段的标志性成果，并具有广泛的适用性。
1996年AICPA发布第78号审计准则公告（SAS78），全面接受了COSO报告的内容，并从1997年1月起取代1988年发布的SAS55。新准则将内部控制定义为：“由企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：（1）财务报告的可靠性；（2）经营的效率和效果；（3）遵循适用的法律法规”。从内容上看，该准则将内部控制划分为五个部分，即控制环境、风险评估（Risk Assessment）、控制活动、信息与沟通(Information & Communication)、监控(Monitoring)。
（1）控制环境：指构成一个单位的控制氛围，是影响内部控制其他成分的基础。包括：
①员工的诚实性和道德观；
②员工的胜任能力；
③董事会或审计委员会；
④管理理念和经营方式；
⑤组织结构；
⑥授予权利和责任的方式；
⑦人力资源政策和实施。
（2）风险评估：指管理层识别和分析对经营、财务报告、合法合规性目标有影响的内部或外部风险，包括风险识别和风险分析。风险识别包括对外部因素（如行业发展、技术进步、竞争、经济变化等）和内部因素（如员工素质、公司活动性质、信息系统处理的特点等）进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等内容。
（3）控制活动：指对所识别的风险采取的必要措施，以保证单位目标得以实现的政策和程序，实践中控制活动的形式多种多样，一般来说主要包括以下各类：
①业绩评价：是指将实际业绩与其他标准如前期业绩、预算、同行业水平等进行比较；将不同系列的数据相互联系，如经营数据和财务数据，对功能或运行业绩进行评价。这些评价活动对实现企业经营的效果和效率非常有用，但一般与财务报告的可靠性和公允性相关程度不高。
②信息处理：指保证业务在信息系统中正确、完全和经授权处理的活动。信息处理控制可分为一般控制和应用控制两类。一般控制与信息系统设计和管理有关，如保证软件完整的程序、信息处理时间表、系统文件和数据维护等。应用控制则与个别数据在信息系统中的处理方式有关，例如保证业务的正确性和已经恰当的授权的程序。
③实物控制：也称为资产和记录接近控制，这些控制活动包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。实物控制中防止资产被盗窃的程序与财务报告的可靠性有关，例如在编制财务报告时，管理层仅仅依赖于存货的永续盘存记录，则存货的接近控制与审计有关。
④职责分离：指将各种功能性职责分离，以防止单独作业的雇员从事或隐藏不正常行为，例如会计业务处理中的业务授权、业务执行、会计记录、实物保管、独立稽核等职责就应恰当地予以分离。
（4）信息与沟通：指为了使员工能执行其职责，企业必须识别、捕捉、交流外部和内部的信息。外部的信息如市场占有率、法规的要求、客户投诉情况等；内部信息则主要指会计制度的相关内容，即由管理层建立的记录和报告经济业务和事项、维护资产、负债和所有者权益的方法和记录。有效的会计制度应包括：
①可以确认所有有效业务的方法和记录；
②序时详细记录业务以便于归类，提供财务报告；
③采用恰当的货币价值来计量；
④确定业务发生时期以保证业务记录于恰当的会计期间，在财务报告中予以恰当披露；
沟通的内容和方式非常广泛，包括横向、纵向的沟通，具体内容包括使员工了解在会计制度中各自的工作如何与他人相联系，如何对上级报告例外情况等；而沟通的方式可以采用政策手册、财务报告手册、备查簿、口头交流或管理示例等。
（5）监控：指评价内部控制质量的过程，即对内部控制的运行情况及改进活动进行评价，如内部审计对内部控制进行测试和改进；与外部人员、团体进行交流等。
监控活动由内部审计或相似职能的部门或人员通过定期、不定期的检查和评价来完成，内容涉及内部控制的设计合理性和执行有效性，同时将检查结果与有关人员进行交流，并提出改进建议，以保证内部控制按照设计的要求有效执行，并随环境的变化而不断改进。