第二章 内部控制理论的发展
一、内部控制理论的演变过程
内部控制己然成为世界各国政府企业的关注的焦点。国外学术界多数文献都提出内部控制包括控制环境、评估、控制活动、信息沟通及监督的五大要素,同时也指出值得我们学习借鉴的关于内部控制的新方法。随着历史的演进、社会生产力的发展,科技的不断进步,国外内部控制理论一直在不断更新和完善。笔者参照各国较为认可的划分标准及本人理解,将内部控制的发展分为四个发展时期和六个阶段:萌芽时期一一内部牵制阶段、发展时期一一内部控制制度阶段、完善时期一一内部控制结构阶段、繁荣时期一一内部控制整体框架阶段、企业风险管理框架阶段、内部控制综合框架阶段[24]。【1】
(一)内部控制萌芽期:内部牵制阶段
内部控制的发展历史悠久,一般将20世纪初以前的时期划分为内部控制的萌芽时期。随着18世纪工业革命的兴起,不断扩大企业的规模,从而出现了近代内部控制的概念。内部牵制的产生,也标志着内部控制雏形的诞生。R.H.蒙哥马利(1992) [25]在《审计:理论与实践》一书中为内部牵制下了定义:账户不能被一个人完全支配,且不能被另一个人独立的加以控制;20世纪30年代爆发经济危机,导致企业为应对经济危机,加强对生产经营的控制,内部控制的范围深入到企业的整个业务活动,而不仅仅局限于会计与财务,内部牵制有了进一步发展。
(二)内部控制发展期:内部控制制度阶段
产业革命在各国相继完成后,股份制公司逐渐成为西方各国的主要企业组织形式,因此内部牵制制度已无法满足企业经营发展的需求,20世纪30年代开始,内部牵制制度逐步向内部控制制度转变。美国(1934)率先提出了 “内部会计控制”的概念;美国的《SAPN0.19》(1953)对内部控制的定义进行修订,将内部控制分两部分,“会计控制”和“管理控制”;《审计准则公告第1号》(1972)又对“内部管理控制”和“内部会计控制”进行修订,认为管理控制包括但不限于组织及与上级部门授权办理的经济业务的决策相关的程序及记录;会计控制应当包括组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录。
(三)内部控制完善期:内部控制结构阶段
美国注册会计师协会发布的《审计准则公告第55号》(1988)首次提出了内部控制结构理论,标志着内部控制结构阶段的到来,该公告认为内部控制要素为三个:控制环境、会计系统以及控制程序,这将审计师在财务报表审计中考虑内部控制的责任拓宽,并对内部控制的定义做出修订,将内部控制修改为内部控制结构,并不再单独区分管理控制与会计控制[26]。
(四)内部控制繁荣期:内控整合框架、风险管理框架、内控综合框架阶段
美国COSO委员会(1992)指出,企业管理层认识到企业经营者负首要责任,积极建立内部控制制度,并对实施情况进行评价、监督并报告;因此,建立内部控制系统,以实现企业内部控制的目标,COSO委员会发布了《内部控制整合框架》,其核心为三大控制目标,五大构成要素,以内部控制来处理应对企业面临的风险,为企业发展建立良好基础。
COSO委员会(2004)发布的《企业风险管理-整合框架〉>,阐述风险管理理论包含内部控制理论,并且认为风险管理理论会全面取代内部控制理论,而内部控制理论向风险管理理论的发展具有合理性。同时,该框架将内部控制的五大要素扩展到八大要素,并针对美国发布的SOX法案的要求进行扩展,提出风险组合的观念。COSO委员会(2013)发布的《内部控制综合框架》,修订COSO委员会在1992年发布的旧版框架。新框架清晰的指出内部控制五大要素对应的17条核心原则,明确了目标设定在内部控制中的角色并不是要素之一,反映了科技与内部控制日益深入的相关性,更深入地讨论治理的理念,加强反舞弊的预期考虑,加大非财务目标的重视程度。
二、内部控制的作用及局限性
内部控制对于企业发展的重大作用不言而喻。现代企业也在不断完善企业内部控制,以应对随时出现的经营风险。那么内部控制对于企业而言,有怎样的作用?
(一)内部控制的作用
企业积极完善自身的内部控制制度,政府也已经花费了大量的人力,物力,财力,探讨内部控制制度的发展,宄其原因,在于内部控制对于企业的积极影响。
内部控制在产生及发展的过程中,对于企业的生存发展产生重大的作用:
1、预防作用。内部控制的制约机制能够起到“防患于未然”的效果,使企业能够应对危机,预防企业经营管理过程中产生的风险,减少企业不必要的损失,促进企业的发展;2、整合调节资源作用。内部控制运用于企业经营管理的整个过程,内部控制通过规范控制、环节控制等手段来协调各个部门,使各个部门相互配合,共同完成即定目标,充分的整合并调节资源,使资源不被浪费,节约企业的不必要的成本;3、激励作用。现代企业的管理机制把内部控制看成一种引导,在严密的监督和制约之下,能够反映出员工真实的业绩,从而真正达到公正奖励,点燃员工的工作热情,提升员工的积极性,提高员工的工作效率,为企业创造出更好的效益;4、完善企业的治理结构。企业将治理结构摆在关键位置,公司治理作为企业内部控制的环境构成要素,对内部控制的具体实施存在影响。因此,有效的内部控制对于治理结构也有着促进作用,能够使企业的治理结构得到完善和发展。
内部控制对于企业的积极作用还有很多,例如对促进企业的方针政策的实施、对于企业资产的维护、保证会计相关信息的真实完整、为审计工作提供良好基础等等,都体现出了内部控制的重要性,因此企业对于内部控制的完善应当重视。
(二)内部控制的局限性
企业不断完善自身的内部控制,因其有着不可忽视的积极作用,但是不可否认,再完善的内部控制,也会因为种种原因而失效,内部控制有着不可否认的局限性:
第一,内部控制因管理层对成本和收益的考虑、无法涉及企业所有的业务环节,这也导致内部控制无法提供完全保证。第二,由于管理当局的作风问题、管理者的各方面素质等对内部控制造成的不利影响,从而使得内部控制失效;第三,高层管理人员与公司的利益产生冲突,导致内部控制无法发挥作用;第四,人们在决策过程中的潜在判断缺陷,因人为原因(如失误、错误)而导致的可能的内控效果失灵;第五,共同舞弊。内部控制可能会因公司内两人或者多人的共同舞弊而导致失效。
内部控制存在局限性,所以正确的看待与运用内部控制至关重要。企业应当尽可能的减少内部控制局限性所带来的不利影响,使内部控制能够达到合理的效果。
三、COSO新框架的具体内容
COSO委员会对于内部控制的研宄比较深入细致,1992年发布《内部控制整合框架》,强调内部控制对于企业的重要性。COSO报告受到各方的关注和认可,并得到多方采纳和应用。但随着经济发展迅速,市场经济环境已不同于以往。
现代企业需更加注重公司治理监督;更关注风险以及应对风险的方法。而企业组织架构日趋复杂,并且科学技术的巨大进步都使得市场经济环境变得复杂多变。
频发的内部控制失效事件所带来的恶劣影响,上市公司的财务舞弊,这些失败案例在很多方面都为我们上了宝贵的一课,例如:无效的董事会监督、管理层越权、利益相关者冲突、不相容职责未分离、未协调统一风险管理等,都会对企业产生不利影响。因此,更新1992年颁布的框架(以下称旧框架)也被COSO委员会提上日程并实施。新框架清晰的指出了对应五大要素的17条核心原则,明确目标设定在内部控制中的角色,反映了科技与内部控制日益深入的相关性,更深入地探讨公司治理的概念,加强了对反舞弊预期的考虑,加大对非财务目标的关注程度。
(一)COSO新框架的变化
COSO新框架是对旧框架的是一个升级过程,COSO委员会将现有的框架的原则加以规范更新,使其更加清晰,利于内部控制评价的有效性。
1、注重“原则导向”的方法
COSO新框架提出了基于内部控制五大要素的17条核心原则及82个相关属性,为企业开展内部控制建立与评价提供依据;作为内部控制的基本概念,核心原则适用于所有的组织,属性代表原则相应的关注点。各要素和各项原则相结合,构成内部控制的基本准则,关注点则指导企业管理层,评估内部控制是否存在要素及其运行效果。企业通过COSO新框架的运用,能够更清晰的设定企业的目标。
2、明确“目标设定”的角色
COSO新框架认为目标设定是企业风险评估的前提条件,但指出目标设定不是企业内部控制的要素,而COSO在04年发布的风险框架中将目标设定作为一个要素。
3、强化“公司治理”的理念
COSO新框架包含更多的公司治理的内容,如董事会、专业委员会等,强调公司治理在企业经营发展中的重要地位,强化公司治理的理念。
4、扩大“财务报告”的范畴
COSO新框架在报告对象与内容两个部分,都提出扩大范围的要求。旧框架仅仅关注财务方面的目标,范围较小,企业主要目的在于确保编制可靠财务报表以应对主管部门的监管,导致了报告内容也相对不足;新框架在报告对象方面,除了要符合外部要求,如投资者、债权人和监管机关等相关者的要求;还要满足企业内部需求,如董事会和管理层对于企业经营管理的需求,在报告内容方面,除了包括传统的财务报告,还包括了市场调查分析报告、资产使用情况报告、人力资源分析报告、内部控制评价报告及其他的非财务报告。
5、增加“反舞弊”的内容
COSO新框架涵盖更多关于反舞弊的内容,研究和探讨了将舞弊作为内部控制的核心原则的潜在因素,并将管理层舞弊的风险评估作为核心原则加以强调,体现了 COSO新框架对于反舞弊的重视,也足见舞弊对于企业经营管理产生的不利影响。
6、考虑不同“商业模式”的内控
经济一体化的发展、科技的不断进步以及激烈的市场竞争,导致企业的商业模式发生巨变,第三方提供的劳务更多的被企业利用,管理层更注重价值链管理,为此,COSO新框架对企业处于不同的商业模式下,内部控制的有效运行进行了研究[27]。
7、反应“信息技术”的相关性
信息技术推动着现代企业的进步,越来越多的现代企业在日常经营中运用信息技术,而内控要素的运行也逐步依赖先进的信息技术手段。企业需要运用现代信息技术,将内部控制贯穿企业的经营活动。
(二)COSO新框架的原则
COSO新框架提出的17条核心原则,确保内部控制五要素与整个内部控制系统有效运行,帮助管理层更好地了解什么是内部控制有效性,通过内部控制框架来有效指导企业的内部控制建设,以及如何更好的实施和维护,为企业提供更好的支持。下面阐述17条核心原则的具体内容:【2】
