內部控制理論發展與實踐的思考與研究

董忱忱 陸 旸 劉振艷

（東南大學成賢學院 經濟管理學院，江蘇 南京 210088）

一、研究背景

從宏觀層面來看，內部控制的有效建設有利于促進我國經濟發展平穩運行，近年來我國相關財稅部門相繼出臺了完善企業內部控制相關制度的文件，同時也逐步提升對上市公司完善內部控制體系的監督力度。從微觀層面看，最近十幾年來國內外資本市場財務造假舞弊案例屢見不鮮。因此企業必須重視財務信息的真實性、公允性問題，才能保證我國資本市場的有序發展。

內部控制在整個企業日常經營管理流程中起到了至關重要的關鍵作用，企業內部控制體系的規范不僅可以提升公司的治理理念和水平，還有利于企業樹立風險意識、加強風險防控。然而一旦企業內部控制體系失效，必將對企業產生不可逆轉的嚴重影響。如何建立健全有效的內部控制體系是目前我國上市企業的迫切需要解決的問題。

二、國內外內部控制理論發展階段分析

研究國內外關于內部控制制度的文獻發現，內部控制概念的提出是個循序漸進的過程，伴隨著管理學、審計實務、企業會計核算實踐的不斷發展而發展完善。國外的相關研究時間起步要早于國內，因此相關成果也相對較多。國內的內部控制研究相對較晚，大部分研究成果都在國外已有成果的基礎之上有所突破和創新。

（一）國外內部控制相關研究梳理

國外的內部控制研究范圍較廣、研究起步較早，研究成果較多。綜合研究文獻來看，“內部控制”一詞是伴隨著審計實務的發展而產生，但在此之前，審計實務界和企業經營管理中已經有了“內部控制”雛形的出現。結合梳理的文獻來看，內部控制理論發展階段可大致劃分如下：

1.提出“內部牽制”概念

“內部牽制”一詞是在審計實務的實踐發展中出現的。審計師們在審計實踐中總結出這樣一條經驗：相較于一個存在合理內部牽制制度并有效執行的企業，一個沒有內部牽制制度或者即使有內部牽制制度但沒有很好執行的企業發生錯誤和舞弊概率較大，報表的重大錯報風險較高，這一點在后續的審計實務中也可以得到印證。注冊會計師檢查企業內部牽制制度是否設計合理與執行有效，能有效提高審計工作效率。

以“內部牽制”為主要特征的內部控制主要表現為企業各個職能崗位之間要做到制衡，不同崗位職責相互分離起到一定的制約作用。通過這樣的方法可以保障企業內部重要資產的安全性，同時也提高了企業財務核算的準確性。此階段企業內部會計管理和外部審計實務的發展需要是內部牽制形成與發展的動力和有效推手。

2.提出“控制”一詞概念

除了審計實務的推進，“內部控制”這一概念產生的另一個很重要推手就管理學研究的不斷發展。管理學研究學者法約爾和泰羅分別在其論著《工業管理和一般管理》和《科學管理原理》中提出“控制”概念。法約爾在書中強調了控制對企業管理的重要性，把“控制”視為管理五大職能之一。

這一階段內部控制理論發展的特征是仍保留了內部控制是“企業內部會計相關控制”的這一屬性，但是此階段的研究并沒有延伸到企業的具體業務，這也是這一階段研究的缺陷。財務研究學界加強了對外部審計中內部控制問題的關注，盡管審計師強調其在執業過程中應該將審計范圍擴展到到對企業具體交易業務方式的了解上，但其實審計實踐中并未涉獵到具體的業務層面。

3.AICPA 提出的內控理論

1949 年美國注冊會計師協會，簡稱AICPA，出版了《內部控制協作體系要素對會計和管理層的重要性》，這部專著被業界視為是“第一部將焦點放在內部控制研究之上”的理論專著。內部控制的研究重點從原來單一從審計視角切入逐步轉變為站在企業管理經營視角看待內部控制。

美國注冊會計師協會AICPA（American Institute of Certified Public Accountants）給予內部控制如下定義，他們認為內部控制是一整套動態的體系，這一體系全面涉及到企業的會計業務核算和企業財務管理實踐。AICPA 下屬機構審計程序委員會（Audit procedures Committee，簡稱CAP）于1958 年在 AICPA 給出內控定義的基礎之上進行了補充完善，將內部控制又進一步細化為會計控制和管理控制兩個細分概念。

按照審計程序委員會的解釋，內部控制可以細分為兩個部分，即管理控制和會計控制。具體來說，企業內部的組織規劃、管理職權的授權、經濟業務的辦理和決策的過程屬于管理控制的范疇，企業設置內部會計控制是為了保障資產保管的安全性、財務賬簿登記的公允性及合理保證一些具體業務的組織框架流程。此階段的“內部控制”這一概念是一個交叉融合了會計審計以及管理學等學科的綜合概念。

4.COSO 委員會提出的內控理論

美國 COSO 委員會（全美反舞弊性財務報告委員會發起組織，Committee of Sponsoring Organizations of the Treadway Commission）于1992 年發表了一則有關于內部控制機制框架的文章，這一研究被視為是內部控制研究領域最經典文獻之一。內部控制在這份報告中被正式定義為“受制于公司董事會、管理層和其他人員的共同作用，合理保證企業實現一定的經營管理目標，企業編制財務報告的可靠性、經營的效率和效果、對法律法規的遵守。”

COSO 框架下對內部控制的界定明確了企業內部控制的管理職能，這個框架認為“內部控制是由五要素組成的，具體是指：控制環境、風險評估、控制活動、信息與溝通、監控五大要素，要素之間相互影響，由此形成一個有機聯系的整體”。此階段內部控制不再是一項機械的制度、一條生硬的規定，而是被視為一個動態的、系統的、有序的管理流程。

5.基于 COSO 框架下內控理論的不斷完善

21 世紀相繼發生的轟動國內外資本市場的Enron 事件、Worldcom 案件等，不得不讓美國資本市場的管理者們重新審視企業管理秩序。自此類案件發生后不久，美國國會就頒布了《薩班斯——奧克斯利法案》（簡稱 SOX 法案）。薩班斯法案在現有內部控制概念的基礎之上包容進了公司保持內部控制機制的相關規定。

COSO 委員會于2004 年在薩班斯法案和 COSO 框架的基礎上，出版了《企業風險管理——整體框架》。自此，內部控制框架的企業管理屬性角色發生改變，即內部控制由“審計導向”完全轉變為“管理導向”。

COSO 內部控制的框架并不是一成不變的，在上文提到的概念的基礎之上后續又有更新，截至2014 年，框架所發生的主要變化表現為：（1）明確列示了17 項原則，來進一步解釋內部控制的五大要素。這些明晰化的原則可以協助管理層進行企業內部控制有效性的自我評價；（2）明確內部控制機制的目標，表現為一是內部控制是企業管理的流程體系，二是它也是內部控制發揮效用的必要條件；（3）深入探討了企業治理的相關內容，明確指出了企業董事會的監督作用在內部控制管理上具有不可替代的地位。

（二）國內內部控制相關研究梳理

國內學者對內部控制的相關研究對比西方研究來說要晚。《上市公司內部控制指引》于2006 年 6 月由上海證券交易所發布。深圳證券交易所緊隨其后，在上交所頒布指引的基礎之上于當年 9 月也發布了有關于內部控制的相關行業指引。2008 年 6 月，財政部、證監會、審計署、銀監會、保監會共五部委共同發布了《企業內部控制基本規范》，這套規范體系被業界稱為“中國版薩班斯法案”。該指引中要求所有執行了新規范的上市公司，要首先評估本公司的內部控制實施的有效性，并定期通過報告的形式對自身的執行情況進行披露。

為了進一步加強企業內部控制體系的完整性和有效性，財政部、證監會、銀監會、保監會、審計署五個部委在 2010 年 4 月又分別制定發布了一些列關于企業內部控制的指南，包括《企業內部控制應用指引》 《企業內部控制評價指引》 和《企業內部控制審計指引》。指引中規范了我國的所有上市企業需要從 2011 年 1 月1 日開始遵照新頒布的規范體系執行企業內部控制。

財政部和證監會于2012 年共同發布了一則公告，公告中強調要進一步擴大內控規范體系的實施范圍，明確指出主板市場所有國有控股上市公司必須依照新規定進行執行，這也成為我國上市企業管理實施重點進入到了分類分批實施的階段的重要標志。

三、內部控制理論研究對實踐操作的啟示

從上述國內外對內部控制理論發展的歷程的研究中，必須不斷完善我國內部控制相關法律、法規、制度。具體而言，一方面，站在政府的立場上，要切實加快立法進程，逐步實現有法可依、有法必依、違法必究，在結合中國國情的基礎之上制定出一套具有中國特色的、符合中國當前經濟發展情況的內部控制法律法規體系。另一方面，站在企業的立場上，堅定不移的做到有法必依，結合本企業的實際情況，從控制環境、信息系統與溝通等控制要素入手制定出符合本企業管理實際的流程體系。

（一）重視企業內部控制環境的營造

站在企業管理層的角度，重視內控控制環境的營造絕不是空喊口號，企業管理者應當充分了解并認可有效內部控制對企業經營發展的重要作用，集思廣益、整合資源，從而構建起一套有效健全、符合實際的內部控制機制。企業可以采取如下的具體措施：開展相關活動、組織相關課題培訓，以此途徑可以讓企業員工不斷加深對本公司文化、企業管理經營理念的認知，在實際工作中不斷強化職業道德觀念，不斷提升自我約束意識。站在公司治理層的角度，應該積極發揮公司治理的積極作用，為企業內部控制體系能夠有效、有序的推行提供制度保證。

（二）完善信息系統與溝通渠道

管理層的指令、政策的落實離不開企業每個部門、每位職工的通力合作，因此，暢通、有效的溝通渠道是企業實現完善內部控制體系的重要因素。第一，信息的傳遞最重要的就是信息的時效性，企業管理者應當審視本企業的信息溝通流程，一個好的溝通渠道絕不允許重復的、多余環節存在，應精簡、快速、流暢地將信息又好又快的傳遞出去。第二，信息在傳遞過程中應注重消息的反饋，了解下級是否真正接收到了消息、是否正確理解了指令的含義、是否正確的遵照執行并且取得了預期效果以及在執行過程中有無沖突、問題等。第三，信息在傳遞過程中是否出現了信息的失真、歪曲事實等情況，是否將管理層想要執行的政策不偏不倚、切實有效地傳遞下去，謹防傳遞過程中出現消息的偏差甚至是故意扭曲事實，這就要建立相應的處罰機制，減少此類現象的發生。

（三）重視企業風控管理

企業以盈利為目的，但在追求高收益的同時不能忽視隨之而來的高風險。企業管理者可以根據企業經營管理流程的實際需求設立單獨的風險管控部門，聘請專業人事對企業日常經營中出現的風險提前預防和應對。實務中，很多上市企業采取了這一方法。財務風險、涉稅風險、經營風險......這些都是企業在日常經營管理活動中經常遇見、不可避免的風險因素。企業管理必須根據企業業務流程特點梳理經營管理流程中常見的風險要點，聘請專業人事和團隊，以合法合規的手段采取措施預防風險。

（四）重視對內部控制的監督

COSO 框架認為內部控制的監督分為兩種主要類型，一是日常的監督，二是單獨的評價。前者指的是貫穿于企業日常生產經營中的監督。后者則主要指企業專門設立的獨立的內部審計部門，對企業日常經營管理的有效性進行專門的、單獨的評價并及時反聵更正。

具體而言，企業可以從部門設置上入手，比如上文提到的建立獨立的內部審計部門，或者還可以加強監事會的職權，充分發揮審計部門、監事會的監督職能，加強對企業經營活動，特別是涉及到財務信息的真實姓、公允性的審計和督察。此外，外部監督也是不容忽視的一種有力手段，外部審計的實質作用應引起國家相關部門的高度重視重視，審計實務中應凸顯對審計人員專業性、獨立性的重視，內部審計與外部監督有機結合，才可能有效落實企業內部控制機制。