内部控制发展方向:风险导向
内部控制与风险管理是紧密联系的。如何正确认识这两者间的关系,无论对学术研究还是企业的经营管理实践,都具有现实意义。本文在梳理内部控制理论演进历史的基础上,分析了企业风险管理框架对内部控制框架的继承和发展,明确指出内部控制和风险管理已日益融合,风险导向已成为内部控制的发展方向。
一、内部控制理论的演进历史
内部控制的思想和实践历史悠久,其伴随着组织的形成而产生。内部控制理论的发展大体上经历了内部牵制、内部控制制度、内部控制结构、内部控制框架等四个阶段。在每一阶段,内部控制都被赋予不同的内涵。
(一)内部牵制阶段。一般认为,20世纪40年代以前是内部牵制阶段。内部控制思想的萌芽早在五千多年前就出现了。苏美尔文化的史料记载中会计账簿数字边的标记、古埃及古物入仓时的职务分离、我国周朝留下的记录——“一毫财赋之出入,数人之耳目通焉”等,均反映了内部牵制的基本原理,即以账目间的相互核对为主要内容并实施岗位分离。内部牵制理论建立在两个基本假设之上:两个或两个以上的人或部门无意识地犯同样错误的可能性很小;两个或两个以上的人或部门有意识地串通舞弊的可能性大大低于单独一个人或部门舞弊的可能性。美国著名审计学家蒙哥马利1912年所著的《审计——理论与实践》一书中已明确表述过这种思想,这种思想在早期被认为是确保所有账目正确无误的一种理想控制方法。
(二)内部控制制度阶段。20世纪40年代到20世纪70年代,在内部牵制思想的基础上逐渐产生了内部控制概念。1949年美国注册会计师协会(AICPA)所属的审计程序委员会发表了一份题为《内部控制:系统协调的要素及其对管理部门和独立公共会计师的重要性》的特别报告,首次正式提出了内部控制的定义:“内部控制包括组织的计划和企业为了保护资产,检查会计数据的准确性和可靠性,提高经营效率,以及促使遵循既定的管理方针等所采用的所有方法和措施”。这一概念突破了与财务会计部门直接有关的控制局限,使内部控制扩大到企业内部各个领域。内部控制的内容也发生了变化,从内部牵制时期的账户核对和职务分离逐步演变为由组织机构、岗位职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。
1958年,出于审计人员测试与财务报表有关的内部控制的需要,审计程序委员会又将内部控制分为内部会计控制和内部管理控制。前者是指与财产安全和会计记录的准确性、可靠性有直接联系的.方法和程序;后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。将内部控制一分为二使得审计人员在研究和评价企业内部控制制度的基础上来确定实质性测试的范围和方式成为可能。由此内部控制进入“制度二分法”阶段。
(三)内部控制结构阶段。20世纪70年代以后,内部控制的理论研究又有了新的发展,研究重点逐步从一般涵义向具体内容深化。在实践中审计人员发现很难确切区分内部会计控制和内部管理控制,而且后者对前者其实有很大影响,无法在审计时完全忽略。于是,1988年5月AICPA发布了第55号审计准则公告《财务报表审计中内部控制结构的考虑》,以“内部控制结构”的概念取代了“内部控制制度”。该公告认为:“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”,并指出内部控制结构包括三个组成要素:控制环境,会计制度和控制程序。从而,内部控制从“制度二分法”步入“结构分析法”阶段,这是内部控制发展史上的一次重要改变。
(四)内部控制整体框架阶段。1992年9月,由美国注册会计师协会、美国会计学会(AAA)、国际内部审计师协会(IIA)、财务经理协会(FEI)以及管理会计师协会(IMA)共同组成的COSO委员会发布了指导内部控制实践的纲领性文件COSO研究报告:《内部控制——整体框架》(IC-IF),并于1994年作了修改。该报告重新定义了内部控制:“内部控制是受董事会、管理当局和其他职员影响,为企业经营活动的效率和效果、财务报告的可靠性,相关法律法规的遵循性等目标的实现提供合理保证的过程。”内部控制整体框架由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素组成。同以往的内部控制理论及研究成果相比,COSO报告提出了许多有价值的新观点,阐述了内部控制的各个组成部分,客观地指出了内部控制的局限性,而且明确了不同人员在内部控制中的角色和责任。