内部控制的基本理论解析

现代管理理论中，内部控制的作用越来越重要，其侧重于预防不良现象的发生，将违规违法行为扼杀在摇篮中，确保企业与事业单位的整体管理水平^[2]。

（一）内部控制的概念

联邦储备委员会和美国注册会计师协会，1929年联合颁布了最早的内部控制相关文献《汇集报表的验证》。1934年《证券交易法》首次使用了“内部会计控制”这个专业术语。1972年美国注册会计师协会定义了会计控制，“会计控制是组织中会计工作的计划和相关方法、程序，这些方法、程序即：①保护资产，就是在进行资产处理、处置和业务处理的过程中，为了使资产不会造成过失错误、故意致错或舞弊这样的损失而予以保护。②确保对外披露报告的相关财务信息和资料的可靠性。”COSO委员会在1995年《内部控制——整体框架》报告中指出：“内部控制是企业董事会、高级管理层及其员工通过合理的机制和措施，保证企业制定真实、科学的财务报告，执行有效的经营活动，遵守行业的相关政策、法规。”

我国研究内部控制的理论相对国外要晚一些，只是依据国外规定好的概念来定义内部控制，我国对内部控制进行的最早定义内容是：内部控制是一种管理手段和方法，它是在企业内部这样的环境中运用、实施的。定义并没有对内部控制进行进一步深挖并说明。笔者对我国内部控制概念的定义是这样理解的：内部控制的执行主体是组织内部职能机构、部门和工作人员，内部控制是在组织经济业务过程中的一种联系并制约的管理方法。内部控制包括三个基本方面：第一，内部控制要确认组织内部行政管理人员和各职能部门的权责，在此基础上确定其在处理经济业务过程中所具有的价值和作用；第二，内部控制要确定每项经济业务的手续和规范流程，即每项经济业务必须通过哪些手续，明确负责办理的人员，他们之间交流联系的方法，了解所要采用的具体处理办法等；第三，内控需要制定出处理每项经济业务的处理者之间相互制约的机制，即办理业务的人员在办理之前需要经过相关规定者的批准，并明确对这些办理业务人员的监督办法，相互之间形成制约的关系。

（二）内部控制理论的发展

内部控制理论是企业管理人员在生产经营管理过程中，经过不断完善和发展最终建立起来的，在不断完善和发展过程中，经历了初创期、完善期和稳定期三个阶段。

1.初创期——内部牵制

内部牵制的提出是在20世纪初期，内部牵制是企业内部控制的初始状态。最早的内部牵制对象是组织中财资管理部门的经济管理流程各个环节，实施内部牵制的前提是职务分离，会计对象包括钱、财、物等会计事项，内部牵制的方法是建立科学合理的管理机制，对组织中所有的经营活动过程进行控制，并且对相关工作人员在其业务中的活动进行监控，防止他们可能出现的错误行为、违法行为、违规行为。

内部牵制的目标有以下几点：首先对公司经济业务进行全面管控；其次对财产管理部门的物资和财产进行管控，并且实施的管控机制要符合企业实际管理情况和经济情况。然而，内部牵制一般是针对某一个流程环节或者一个部门进行管控的，不能从宏观层面上对整个组织业务过程和程序所有方面的经济业务进行系统的战略性控制。换句话说，内部牵制是以公司经济业务的“业务控制点”为基础进行控制管理的，控制面较窄，而且往往会忽视“点”与“点”之间的关联，缺乏对公司整体业务的控制。在现代，企业管理的经济活动应属于系统管理，只针对单一的业务点进行管控的模式已不适应当代企业。

2.完善期——内部控制（内部会计控制与内部管控）

内部控制的主要特征是必须对控制的业务进行内部牵制，加强企业在某一经济业务程序或某一方面的管控。换句话说，内部控制是通过对公司的某些程序或某些机构的工作内容进行管控，它的突出特征是体现了对“线”和“面”的控制。内部控制是由内部牵制发展而来，它主要是针对业务点的管控，在这个前提下进行流程、程序的控制，从管理范围的角度看，内部控制比内部牵制范围更广，控制区域更大，控制方法也更科学、系统。

3.成熟期——内部控制框架

20世纪80年代，美国审计总署、IMA等机构共同建立舞弊性财报委员会，在建立委员会两年后，该委员会就提出很多有意义的建议、方案。美国舞弊性财务报告委员会并未对内部控制下结论，但是它所指定的报告还是引起了很多组织的兴趣，这些组织还做出了回应。在该委员会的提议之下，一个专门研究内部控制问题的组织成立了，这个组织就是COSO委员会。这个委员会也制定了《内部控制——整体框架》的报告，1994年进行增补。该报告中指出：内部控制工作实施的主体是企业董事会、经理层和所有员工；内部控制的效果体现在其能够保证公司良好运营，确保公司财报真实、合法、合规。(www.xing528.com)

（三）内部控制构成要素

1.控制环境

公司战略方向和公司环境应该是内部控制环境的基础，而且会使员工对内部控制的观念产生影响。控制环境是其他四个要素的基础，并构建了内部控制的规则和架构。控制环境包括以下几个方面：组织人员的信用程度、职业素养、道德和能力；管理水平和经营哲学；权力和责任的分配方法、组织中人事的政策；董事会经营战略和发展目标等。

2.风险评估

但凡组织均要面对内外部各种有待评估的风险。组织经营目标在各层次上互相联系，保持共生关系是风险评估的前提条件。风险评估为实现目标主要依据科学的方法和工具来识别和分析风险，这样风险评估就成为风险管理的基础。因为整个社会的经济环境、产业发展、法规制定和经营环境的变更，所以建立一种机制去识别和应对这些变化带来的风险是有必要的。

3.控制活动

控制活动就是组织制定政策和流程使管理层的决策能够顺利实施。控制行为是为了使实现组织目标而去维护管理风险的措施能够顺利执行。组织各业务方面和部门都需控制，包括批准、授权、核对、资产保护等活动。

4.信息和沟通

组织必须对公共信息进行确认、吸收并及时传递，使员工能够更好地履行职责。信息系统的应用更好地保证了组织的良好运营，因为它可以为组织提供所需的经营信息、财务信息和其他相关业务的报告。信息系统不仅要对公司内部信息进行处理，还要对公司外部事件和行为进行处理，这些外部事件是关于组织战略决策和对外报告的。管理层必须使员工了解清楚的信息，并认真执行控制责任。员工需要了解其在内部控制系统中的作用。另外，企业也需同外部如供应商、客户、股东之间进行有效的沟通。

5.监控

组织需要监督和控制内部控制系统，即监控系统有效性评估的整个过程。内部系统监控可以通过持续的监控工作、独立性评估行为或两者同时进行来完成。持续监控包括组织的管理、所有组织人员履行职责的行为，该监控活动应该出现在组织每天的经营、生产、管理工作中。独立性评估行为的范围和频率是基于日常监控程序和风险评估的有效性。组织管理者必须制定内部控制缺陷从下往上的报告制度，如果发现严重缺陷应向最高层汇报。

以上五要素相辅相成，构成了一个完整的体系，能够在不断变化的环境中及时应变。内部控制制度与组织的业务活动是密切相关的。所有企业、单位组织想让内部控制体系发挥最大作用，必须使其成为组织内部架构的核心和基础。内部控制不仅可以避免资源浪费，还可以保证经营的质量和组织权责运转，并能迅速针对环境变化采取相应措施。