内部控制的前世与今生（内部控制的前世与今生的关系）

内部控制起源于内部牵制，它伴随着社会经济的发展，先后经历了内部牵制、内部控制制度、内部控制结构和内部控制整体框架四个不同的发展阶段。　

一、内部牵制阶段

内部控制最初表现为内部牵制，主要体现在账目之间的相互核对，实施岗位分离等。美国会计师协会1936年在《由独立的会计师执行的财务报表检查》中将内部控制定义为，为保护公司现金和其他资产，检查簿记事务的准确性而在公司内部采用的手段和方法；并提出审计师在制定审计程序时，应审查企业的内部牵制和控制，由此内部控制进入了内部牵制阶段。

1949年美国审计程序委员会对内部控制提出了更为全面的定义，即内部控制是指内部控制组织的计划和企业为了保护资产，检查会计数据的准确性和可靠性，提高经营效率，以及促使遵循既定的管理方针等所采用的所有方法和措施。在此定义中，提高经营效率首次被提出，这表明内部控制不再仅仅限于与会计和财务部门直接关系的控制，还包括其他经营活动。它赋予了内部控制更为宽泛的内涵，得到了经理们的普遍赞同，然而审计师认为此定义中的内部控制内容过于广泛，显然超出了他们评价被审计单位内部控制所应承担的职责。

二、内部控制制度阶段

1953年美国审计程序委员会对内部控制定义做了进一步修正，将内部控制分为两部分：会计控制和管理控制。会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此相关的方法和程序构成，包括授权和批准制度，财产的实物控制，记账、编制财务报表、保管财物资产等职务的分离，以及内部审计等。管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接相关的方法或程序构成，管理控制的方法和程序一般只与财务记录发生间接的关系，包括统计分析、时动分析、雇员培训计划、经营报告和质量控制等（吴水澎，陈汉文，2000）。1963年审计程序委员会进一步指出独立审计师主要检查会计控制。修正后的内部控制定义极大地缩小了注册会计师的责任范围，然而管理人员却认为此定义中的内部控制过多地关注纠错防弊，可能无法适应管理部门的需要。

三、内部控制结构阶段

20世纪以来大量公司倒闭和陷入财务困境引发了审计诉讼浪潮，审计师们开始思考一个问题：外部投资者对审计师的审计期望往往很高，而审计师在小范围内检查内部控制可能并不能满足投资者的需要，这就加大了审计师的审计风险。同时，随着组织规模越来越大，经营环境越来越复杂，“会计控制”越来越不可能在提高审计效率、降低审计成本的同时保证审计质量。由此美国会计师协会1988年发布了第55号审计准则公告《会计报表审计中对内部控制结构的关注》，不再区分会计控制和管理控制，用“内部控制结构”取代了“内部控制”，并指出“内部控制结构是为合理保证达到特定目标而建立的各种政策和程序”，包括控制环境、会计系统和控制程序三个要素，这标志着是内部控制走向结构化和体系化，也拓展了审计师在财务报表审计中考虑内部控制的责任范围。

四、内部控制整体框架时期

20世纪70年代，美国频频发生公司财务失败和可疑的商业行为，全美反欺骗财务报告委员会，即Treadway委员会由此产生。Treadway委员会调查发现其所研究的欺诈性财务报告案例中，有大约50%是由于内部控制失效造成的，于是Treadway委员会成立了COSO委员会来制定内部控制指南。COSO是全国虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文缩写。

1977年，美国国会通过了《反国外贿赂法》(FCPA)，在反贿赂条款之外，又规定了与会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》。随后，在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。财务经理人员协会(FEI)发布了《美国公司的内部控制：现状》。美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。

1985年，由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务报告委员会(National Commission On Fraudulent Financial Reporting)，即tread－way委员会。Tread－way委员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内部控制不健全的问题。Tread－way委员会就内部控制问题提出了许多有价值的建议，并倡议建立一个专门研究内部控制问题的委员会。因此，Tread－way委员会的赞助机构成立了私人性质的COSO，其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。

1992年，COSO提出了《内部控制整体框架》报告，并在1994年进行了增补。在报告中内部控制被定义为由企业董事会、经理阶层和其他员工实施的，为达成营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标而提供合理保证的过程，它包含五个要素：控制环境、风险评估、控制活动、信息与沟通、监控等。由此内部会计控制与内部管理控制已经完全融入内部控制的框架整体中，也成为了现代内部控制最具有权威性的框架。

2001年11月下旬，美国最大的能源企业安然承认自1997年以来，通过非法手段虚报利润5.86亿美元；在与关联公司内部交易中，不断隐藏债务和损失，管理层从中非法获益。消息传出，立刻引起美国金融市场的巨大动荡。

为了应对安然财务丑闻及随后的一系列上市公司财务欺诈事件所造成的美国股市危机，重树投资者对股市的信心，2002年7月26日，美国国会以绝对多数通过了关于会计和公司治理一揽子改革的《萨班斯-奥克斯利公司治理法案》(简称《萨班斯法案》)。四天后，布什总统在白宫签署法案，使其正式生效。

按法案要求，2003年6月5日，美国证券交易委员会（SEC）颁布了「财务报告内部控制系统的管理层报告书」的「最终条例」 (Final Rule)作为《萨-奥法案》404条款的执行细则。2004年3月9日，美国上市公司会计监管委员会（PCAOB）最终确定了内部控制「审计标准」作为404条款的审计细则。「最终条例」「审计标准」均明确提到 COSO(Committee of Sponsoring Organizations of the Treadway Commission即反虚假财务报告委员会的赞助组织委员会)提出的内部控制框架可以作为企业内部控制体系建立的标准。

2004年COSO委员会又进一步发布了《企业风险管理——整合框架》，并指出企业风险管理是一个过程，它是由一个主题的董事会、管理层和其他人员实施的，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主题的潜在事项，管理风险以使其在该主体的风险容量之内，为主体目标的实现提供合理保证。与1992年的报告相比，这次的报告更加关注企业风险管理这一更加宽泛的领域，增加了战略目标，扩大了报告目标的范围；强调了控制的重点是企业风险；在五个要素的基础上增加了目标设定、事项识别和风险应对等三个风险管理要素。

　 五、我国企业内部控制的起源与发展

1999年10月31日，修订后的《会计法》首次以法律的形式对建立健全内部控制提出原则要求。其中，第四章《会计监督》第27条要求，各单位应当建立、健全本单位内部会计监督制度。

2001年6月22日，财政部发布《内部会计控制规范——基本规范(试行)》、《内部会计控制规范——货币资金(试行)》。

2006年5月17日，证监会发布《首次公开发行股票并上市管理办法》。第29条规定“发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告”。这是中国首次对上市公司内部控制提出具体的要求。

2006年6月16日，国资委发布《中央企业全面风险管理指引》，对内控、全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等进行了详细阐述。

2006年7月15日，财政部发起成立了企业内部控制标准委员会；中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。

2007年2月1日，证监会发布《上市公司信息披露管理办法》，明确提出上市公司必须建立信息披露内部管理制度。

2007年3月2日，企业内部控制标准委员会公布《企业内部控制规范——基本规范》和17项具体规范的征求意见稿，广泛征求意见。

2008年5月22日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。

2010年4月26日，财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会，隆重发布了《企业内部控制配套指引》（以下简称配套指引），包括《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。该配套指引连同2008年5月发布的《企业内部控制基本规范》，共同构建了中国企业内部控制规范体系，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。政府监管部门将对相关企业执行内部控制规范体系的情况进行监督检查。