內部控制歷史演進啟示與建立健全企業內部控制制度的對策

浙江金融職業學院 姚軍勝

一.引言

內部控制自產生至今至少有幾千年的歷史，現代意義上的內部控制自20世紀初以來，伴隨著市場經濟的發展完善與市場競爭的加劇，基于對企業內部管理水平不斷提高的要求，才越來越受到重視。自1936年美國會計協會發布的 《獨立職業會計師對財務報表的審查》公告中首次對內部控制做出定義以來，內部控制的建設與發展經歷了內部牽制、內部控制制度（兩要素階段）、內部控制結構（三要素階段）、COSO內部控制整體框架（五要素階段）及ERM全面風險管理（八要素階段）五個階段，而在這一階段中世界范圍內也出現了安然、施樂、世通等震驚世界的財務造假引發的公司破產案件，促使了內部控制在世界范圍內的廣泛關注與大量研究。而在國內，內部控制的建立與發展自20世紀90年代開始才受到重視，自1997年中國人民銀行頒布《加強金融機構內部控制的指導原則》第一個關于內部控制的行政規定以來，財政部、證監會、銀監會、保監會等各大部門都相繼出臺了針對企業內部控制的要求及其規定，中國企業的內部控制經歷了從政出多門的行業內控規范到統一的《企業內部控制基本規范》的建立，從內部控制配套指引至上市公司內部控制指數發布，從內控概念的引入到上市公司實質性的全面操作實施階段，內部控制對于完善公司法人治理結構、解決內部結構失常、管理松散等問題，對于提高會計信息質量、加強會計信息監管、保護投資者和其他利益相關者利益、提高企業經營管理水平和風險防范能力，促進企業可持續發展起著越來越重要的作用。但截至目前，據相關實證研究提供的數據來看，中國企業整體內部控制水平仍然不高，本文以內部控制的歷史演進為出發點，深入分析內控歷史進程帶給我們的啟示，提出建立健全我國企業內部控制制度的相關對策。

二.內部控制歷史演進帶來的啟示

（一）完善的公司治理是內部控制有效性的前提條件。歷史經驗告訴我們，離開公司治理，內部控制的有效實施將成為空談。關于公司治理與內部控制之間的關系，諸多學者都曾做過相關的研究。綜觀而言主要分為三種觀點：一是將兩者混用，認為兩者屬于企業管理的同一范疇并不加區分直接利用；二是將兩者視為完全不相關的因素彼此分離；持較多的是第三種觀點，這種觀點認為公司治理是內部控制有效實施的制度環境因素 （COSO整體框架中也是將公司治理作為內部控制的一種環境因素），雙方之間存在異常緊密的聯系，公司治理處于上位而內部控制處于下位，如吳水澎在《內部控制與公司治理的關系》、馮均科在《不同治理結構下內部控制的效率》、程新生在《公司治理、內部控制、組織結構間的聯系與區別》一文中均提出了相關的觀點。筆者認為，從兩者共有的企業組織載體、共同的服務使命、共同的委托代理關系溯源等角度來看，兩者之間確實無法做到彼此孤立和等同，企業內部控制始終應處于公司治理所確定的組織結構及既定職責權利的框架之下，完善的公司治理是一套良好內部控制體系得以運行的先提保障，而有效的內部控制則應當充當促進現代公司治理結構不斷完善的機制與手段的角色。

（二）內部控制是一套涵蓋程序、制度、組織協調、實施過程的全面系統工程。AICPI的審計程序委員會在1949年發布了《內部控制：一種協調制度要素及其對管理當局和獨立會計師的重要性的報告》中對內部控制所下的定義明確提出了內部控制是一種包括組織機構的設計和企業內部采取的所有相互協調的方法和措施，將內部控制界定為一種程序與方法，這種程序和方法的應用旨在保護企業的財產，檢查會計信息的準確性及提高經營效率和推動企業堅持既定的管理方針；而美國學者庫克在1986年發表的《審計的哲學與藝術》中將內部控制界定為公司里的一種制度；加拿大學者R.J.安德遜則認為內部控制包含了企業各管理部門之間的組織協調，直至20世紀90年代COSO發布的內部控制整體框架將內部控制界定為一套為實現特定目標而提供的合理保證的過程。筆者認為，關于內部控制的幾種觀點在其管理目標、組織實施過程及組織實施對象方面具有共性，只不過所關注的重點內容有所不同，這與其研究者的研究背景與研究領域不無關系，比如程序觀強調內部控制是一種作用手段，制度觀則強調內控手段相互之間的作用機制；組織協調觀則強調內部控制所具備的組織協調作用，而COSO發布的內控整體框架則重點強調了內控是實現企業既定管理目標的一種動態管理的過程，因此，從內部控制的歷史演進及現有文獻研究來看，內部控制應是一套涵蓋程序、制度、組織協調、實施過程的全面系統化工程。

（三）內部控制全面覆蓋企業所有領域而不單止步于會計領域。內部控制的歷史演進本身就充滿了濃厚的會計色彩。從20世紀40年代前的設立職務相分離的內部牽制思想，40—70年代CAPAIA對內部控制所下的權威性定義及第29號《審計程序公告》的發布，80年代美國反欺詐財務報告委員會及COSO的成立及至2004年9月COSO委托普華永道公司編寫的《企業風險管理框架》（ERM）的發布，一次又一次關于內部控制描述的修正、一個又一個新機構的成立、一次又一次典型財務欺詐案發生的時代背景，都賦予了內部控制濃重的會計色彩。然而反觀內部控制由萌芽期、發展期直至成熟期的發展歷程，每一個階段都在不斷給予企業內部控制新的生命力。從內部控制萌芽期針對特定會計領域的防錯糾弊，至會計控制與管理控制（內控兩要素）的分離所強調的內部控制應遠超過財務與會計的控制范圍，再到1988年4月AICPI的《審計準則公告第55號（SAS NO.55）》所指出的：企業的內部控制結構包括為合理保證企業特定目標的實現而建立的各種政策和程序，其完整結構包括控制環境、會計系統和控制程序（內控三要素階段），一直到將三要素擴充為五要素及ERM的八要素階段，內部控制系統在以會計控制為重點關注領域的基礎上，逐漸將向非會計領域及至企業經營活動的所有方面進行延伸,并逐漸達成一種適應現代企業全面管理需要的一種完善系統的共識，內部控制的觸角已由純粹的會計領域延伸至以會計控制為重點但包括戰略管理、經營管理、人文管理、信息管理等領域全面管理系統。

（四）內部控制重點在于健全風險管理體系而不僅僅在于控制風險。21世紀初，伴隨著安然、施樂、世通等震驚世界的財務造假導致公司破產案件的發生，引發了社會對內部控制與企業風險管理關系之間的反思：眾多內控組織健全的企業為何還會頻繁出現經營舞弊、財務造假？人們在加強內部控制的同時，開始認識到全面風險管理的重要性，希望建立一個能有效地幫助管理層識別、評價和管理風險的思維框架，為此權威機構COSO自2001年開始委托普華永道公司開展企業全面風險管理的研究并在2004年發布了《企業風險管理：整體框架》（Enterprise Risk Management—Integrated Framework，簡稱ERM）研究報告，在該框架中COSO明確將內部控制視為企業風險管理的一個子系統，并在內控原有五要素的基礎上將風險評估細化為目標設定、風險識別、風險評估、風險反應四個要素，從而構建起企業風險管理的八要素框架，其目的在于高度確定風險管理的思維而不單止于風險評估與控制手段，這一點從ERM框架所服務的目標相比較原有內控三大目標的基礎上增加了戰略目標這一層次可以明顯得出結論。由此，企業風險管理與內部控制之間存在著息息相關的聯系，從內控產生的根源來看目的就是在于防范風險，使風險置于企業可承受范圍之內，而全面風險管理的思維同樣如此，不同的是全面風險管理框架相比較內部控制而言更加強調的是一種風險管理的全面思維，注重的是建立健全企業風險管理的完備體系。因此，筆者認為，在現階段雖不能簡單將全面風險管理與內部控制簡單等同，但也絕不可作為兩套獨立的體系將兩者之間的緊密關聯視而不見，企業一定要樹立起內部控制與全面風險管理相融合并且逐步走向統一的管理思維。“內部控制和風險管理逐漸融合，而且在很多工作中，包括在系統設計中這兩個東西一定要融合，而不是分開的”（石中愛，2006）。

（五）內部控制評價的有效保證與外部審計的合理保證。現代企業委托代理關系引發的一個重要變革是企業信息面向廣泛相關利益群體的披露，如果沒有委托代理關系就不會有廣泛的信息披露的要求。作為影響企業經營過程、經營效率與經營效果的內部控制決定了每一種終端信息的背后都無不傳遞著內部控制的作用與影響，有研究表明，越是內部控制薄弱的環節越容易存在信息披露造假的動機。因此，從保障相關利益群體利益的角度出發，對于內部控制做出評價應當構成信息披露的一項關鍵內容。COSO和Cadbury報告及Sox法案關于內部控制應該由誰來評價都提出了相類似的觀點，即先由企業的當局對企業的內部控制出具一份自我評價報告，然后再由注冊會計師通過執行外部審計對內部控制提供審計報告。我國2010年頒布的《企業內部控制配套指引》也明確規定企業董事會或類似權力機構應當對內部控制的有效性進行全面評價，形成評價結論，出具評價報告，會計師事務所應當對接受委托單位的特定基準日的內部控制設計與運行的有效性進行審計。從現有立法來講，雖然建立健全和有效實施內部控制，評價內部控制的有效性是企業董事會的責任，而外部審計對于內部控制只能提供合理保障，但筆者要強調的是，關于就內部控制自我評價所提供的保證程度與外部審計所提供的保證程度應當樹立怎樣的一種認識，對于外部審計對內部控制所提供的合理保障這一點無須再論，但對于內部控制自我評價所提供的保障程度，筆者對于很多學者認為出于人為判斷的限制、員工的串謀、內部控制的固有局限等因素即使是自我評價報告也只能提供合理保證這一點存在不同看法，認為內部控制作為企業的一項自生因素，做到避免內控漏洞、杜絕內控風險本身就是企業自身的天職，因其本身運行失常就足以導致企業發生難以挽回的代價，對于自己操控的內部控制只能提供一種合理保證本身就是一種含糊其辭的說法，易于滋生風險轉嫁的土壤，因此企業管理層為內部控制評價提供有效保證而非合理保障從長遠來講顯然利大于弊。

三.建立健全我國企業內部控制制度的對策研究

（一）充分認識內部控制重要性，提高管理層內部控制意識。關于我國企業現行內部控制水平的實證資料顯示，我國企業內部控制整體水平不高，對內部控制的重要性缺乏充分認識。根據甫瀚咨詢公司2007年針對中國上市公司500強高管人員的調查顯示，內部控制在整個企業管理各項職能中的地位并不突出，大多數企業傾向于通過創新手段來創造價值，而不是通過加強風險管理實現精細化管理與企業增值（《首席財務官》研究部，2009）；廈門大學陳漢文在《中國上市公司內部控制指數(2009)》與《中國上市公司內部控制指數(2010)》研究報告中指出，在2009年所抽取的1671家企業樣本中只有8.74%的企業設立了風險管理部門，而在2010年所抽取的1891家企業樣本中也只有10.36%的企業設立了風險管理部門 （陳漢文，2010—2011）。內部控制雖不是萬能的工具，但企業至少應當認識到內部控制工作做不好極有可能招致“一著不慎、滿盤皆輸”的尷尬境地，建立起從上至下的內部控制體系，動員全員參與企業內部控制的建設是絕大多數現代企業的當務之急。

（二）完善公司治理結構，為內部控制建設搭好平臺。內控制度有效性最大的弊端在于依賴公司治理結構的完善，在COSO框架中將公司治理作為內部控制的控制環境因素，而內部控制發展到ERM階段的一個顯著的特征是將公司治理與內部控制之間的關系結合地更為緊密。我國開展公司治理的研究直至20世紀中后期才開始受到關注，2002年證監會針對上市公司頒布的《上市公司治理準則》全文中也沒有涉及內部控制的內容，而且對于非上市公司的公司治理如何開展也沒有形成統一的共識，全國范圍內的公司治理規范尚未形成，中國企業目前的公司治理機制從上至下，從法規及實施層面現實狀況不容樂觀：董事會形同虛設，內部人控制、治理失效問題嚴重。從公司治理解決的關鍵問題來看，完善現代企業的公司治理結構應重點確定董事會的主體地位、強化董事會的權力和職能，借鑒美國獨立董事制度，減少內部董事，使外部獨立董事在董事會中占絕大多數比例，盡量杜絕董事長和總經理由一個擔任的普遍現狀，提高董事會質量，做強監事會，從公司治理機制設計上為內部控制制度的實施保駕護航，使其充分代表股東利益是完善公司治理結構從而為內部控制建設搭好平臺的重要工作任務。

（三）以會計控制為核心，關注內部控制全領域。從內部控制的起源與發展來看，內部控制是在內部會計控制的基礎上逐漸向非會計領域進行的延伸，2002年美國國會通過的SOX法案提出的 “財務報告內部控制”概念正是在COSO全面框架下著重內部會計控制核心地位的體現，不管內部控制范圍有多廣，內部會計控制始終應是內部控制的核心內容。企業在建立自身的內部控制體系時，既要關注內控的全面性，要求在所有業務和所有事項當中進行內部控制設計，還要遵循重要性原則，關注重要業務事項和相關利益群體最為關心的高風險領域，確保內部控制有的放矢，實踐證明，內部會計控制的好壞程度在一定程度上決定企業的內部控制的好壞程度。

（四）內部控制實施的恪盡職守與有效保證。制度不是萬能的，公司治理與內部控制效果的好與壞歸根結底都要建立在董事會、管理層、企業員工誠信、職業操守、敬業精神及至社會道德的層面，安然與世通財務造假、巴林銀行滅頂之災、新加坡中航油事件所折射出的問題便是一個內控組織體系如此健全甚至成為世界各國紛紛仿效的經典公司治理與內控體系如何在人性與道德面前如此不堪一擊。因此，開展人文教育、社會公德教育、誠信教育、職業敬業精神培育，建立優良的企業文化，將文化植根于企業經營的過程中，才是一個企業樹立百年品牌甚至千年品牌的核心所在。

1.程新生.2004.公司治理、內部控制、組織結構互動關系研究.會計研究,4。

2.馮均科.2001.不同產權結構下內部控制效率研究.中國工業經濟,8。

3.李維安、張俊喜.2003.公司治理前沿.北京:中國財政經濟出版社。

4.劉明輝、張宜霞.2002.內部控制的經濟學思考.會計研究,8。

6.吳水澎、陳漢文、邵賢弟.2000.論改進我國企業內部控制.會計研究,9。

7.楊有紅、胡燕.2004.試論公司治理與內部控制的對接.會計研究,10。

8.(美)Robert A.G.Monks、Nell Minow.2001.公司治理，第2版.中國財政經濟出版社。