企业内部控制（2）

1、 湖南商学院 企业内部控制 课程教案 吴可夫一、内部控制与风险管理日益融合学者们一般把内部控制的发展历程划分为五个不同的阶段：内部牵制（internal check）阶段、内部控制制度（internal control system）阶段、内部控制结构（internal control structure）阶段、内部控制整体框架（internal control integrated framework）阶段、风险管理整体框架（risk management integrated framework）阶段。根据柯氏会计辞典（Kohlers Dictionary for Accountant）的定义，内部牵制是指“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计”。内部牵制的主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。在经历了19291933年“大危机”之后，美国于1934年颁布证券交易法（Securities Exchange Act of 1934），首次以

2、法律的形式明确企业对建立和评价财务报告内部控制（internal control over financial reporting）的责任。随着抽样审计的推广，注册会计师行业对发展内部控制起到了重要的推动作用。内部控制从早期较为简单的内部牵制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制制度体系。美国注册会计师协会（American Institute of Certified Public Accountants，AICPA）于1958年10月发布的第29号审计程序公告（Statement of Auditing Procedures，SAP）独立审计人员评价内部控制的范围（Scope of the Independent Auditors Review of Internal Control）19和1972年发布的第54号审计准则公告（SAS 54）审计师对内部控制的研究与评估（The Auditors Study and Evaluation of Internal Control）中，将内部控制划分为会计控制（accounting con

3、trol）和管理控制（administrative control）两个部分。其中，会计控制是直接与资产保护和财务记录相关的控制，管理控制主要关注运营效率和执行管理政策。内部控制发展到内部控制结构阶段的标志是AICPA在1988年发布的第55号审计准则公告（SAS 55）财务报表审计中对内部控制结构的考虑（Consideration of the Internal Control Structure in a Financial Statement Audit）。SAS 55首次提出了“内部控制结构”的概念，指出内部控制结构包括三要素：控制环境（control environment）、会计系统（accounting system）和具体控制程序（specific control procedures）。1985年，美国成立了“反虚假财务报告委员会”（National Commission on Fraudulent Financial Reporting，NCFR，即Treadway委员会 当时NCFR的主席是James Treadway，故有此称。）。1992年，NCFR下属的“C

4、OSO委员会”（Committee of Sponsoring Organizations of the Treadway Commission，COSO）发布报告内部控制：整体框架（Internal Control：Integrated Framework，IC框架），风险管理正式成为内部控制研究的核心要素。受其影响，AICPA于1996年发布第78号审计准则公告（SAS 78）财务报表审计中对内部控制的考虑：对55号审计准则公告的修订（Consideration of Internal Control in a Financial Statement Audit：An Amendment to SAS 55），全面接受了COSO报告的观点；英格兰和威尔士特许会计师协会（Institute of Chartered Accountant in England and Wales，ICAEW）下属的公司治理财务委员会（Cadbury委员会）于1994年11月发布的内部控制和财务报告（Internal Control and Financial Reporting，也称“Cadbury报

5、告”）、ICAEW 下属的公司内部控制工作小组（Turnbull小组）于1999年9月发布的内部控制关于联合规则的董事指南（Internal control：Guidance for Directors on the Combined Code，也称“Turnbull指南”）、加拿大特许会计师协会（CICA）下属的控制标准委员会（Criteria of Control Board，CoCo）于1995年11月发布的控制指南（Guidance on Control），都在很大程度上借鉴了1992版COSO报告的研究成果 为了避免较多重复，这些报告的具体内容将在下文“文献综述”部分详细介绍。进入21世纪，尤其是在“安然事件”等财务欺诈案爆发后，内部控制研究的重点侧重于寻求企业内部管理需要与外部市场监管要求之间的均衡，财务报告内部控制再次成为评估的对象和关注的焦点。2004年9月， COSO委员会发布报告企业风险管理：整体框架（Enterprise Risk Management：Integrated Framework，ERM框架），标志着内部控制进入了“风险管理整体框架”阶段。风险管理和

6、内部控制开始相提并论、边界模糊，就像2004版COSO报告在序言中指出，“公司不仅可以借助ERM框架来满足它们内部控制的需要，还可以借此转向一个更加全面的风险管理过程”。通过以上梳理内部控制的发展历程可以看出，内部控制与风险管理日益走向融合，它们在基本目标、实施主体、控制对象和控制程序上逐渐表现出高度的一致性。王宏（2008）对内部控制与风险管理的关系进行了恰当的总结：风险管理是着眼点，内部控制是着力点，二者相互联系、相互交织，实际上是相互补充、相互促进的关系。二、美国的内部控制研究1审计准则中的内部控制概念内部控制概念的发展是整个内部控制发展轨迹的缩影。最早定义内部控制的是1936年美国会计师协会（American Institute of Accountants，AIA）的独立公众会计师对财务报表的审查（Examination of Financial Statements by Independent Public Accountants），该报告将内部控制定义为“为了保护公司现金及其他资产的安全、检查账簿记录准确性而在公司内部采用的各种手段和方法”。1949年AICPA审计程序

7、委员会在内部控制：协调制度诸要素及其对管理当局和独立公众会计师的重要性（Internal control：Elements of Coordinated System and its Importance to Management and the Independent Public Accountants）中，将内部控制定义为“为了保证财产的安全完整，检查会计资料的准确性和可靠性，提高企业的经营效率以及促进企业贯彻既定的经营方针，所设计的总体规划及所采用的与总体规划相适应的一切方法和措施”。1958年，AICPA发布SAP 29独立审计人员评价内部控制的范围，将内部控制划分为会计控制和管理控制两个部分，后经1972年SAS 54审计师对内部控制的研究与评估予以完善。其中，会计控制是直接与资产保护和财务记录相关的控制，包括所有旨在保护资产、确保会计记录的可靠性以及用来为下列事项提供合理保证的组织计划、程序和记录；管理控制（或称内部业务控制）主要关注运营效率和执行管理政策，包括统计分析、业绩报告、培训项目和质量控制程序等。1988年，AICPA发布SAS 55财务报表审计中对内部控制结

8、构的考虑，以“内部控制结构”代替“内部控制”，认为企业的内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序，提出内部控制的三要素：控制环境、会计系统和控制程序。其中，控制环境反映管理当局对控制的态度和行为，包括管理哲学、经营风格、组织机构、董事会及审计委员会的职能、人力资源政策、确定权责的方法等；会计系统是指对各项经济业务确认、计量、记录、分析和编制报表的方法，包括鉴定和登记经济业务、对各项业务进行适当分类作为编制报表的依据、计量业务的货币价值、确定会计期间、在报表中恰当地表述有关内容等；具体控制程序是指所采用的控制政策和方法，包括对经济业务和活动的授权审批、明确员工的职责分工、充分而必要的凭证、账簿设置和记录、资产和相关记录的接触控制、对业务的独立审核等。21992版COSO报告1985年，由美国会计学会（American Accounting Association，AAA）、美国注册会计师协会（AICPA）、内部审计师协会（Institute of Internal Auditors，IIA）、财务经理协会（Financial Executive Institute，F

9、EI）和管理会计学会（Institute of Management Accountants，IMA）等多个专业团体发起成立了美国“反虚假财务报告委员会”（NCFR，Treadway委员会），探讨包括内部控制不健全在内的产生虚假财务报告的原因。1987年，NCFR要求所有上市公司在其年度报告中提供内部控制报告，披露公司管理层对内部控制有效性的评估。1992年，NCFR下属的COSO委员会发布内部控制：整体框架（Internal Control：Integrated Framework，IC框架）。COSO报告分为四个部分：实施概览（Executive Summary）、框架（Framework）、对外报告（Reporting to External Parities）和评估工具（Evaluation Tools），将内部控制定义为“由企业董事会、管理层和其他员工实施的，为保证财务报告的可靠性、经营的效率和效果以及现行法规的遵循等目标而达成的提供合理保证的过程”。COSO报告指出：内部控制是一个过程，是实现结果的方法而非结果本身；内部控制是由人来实施的，涉及组织内每个层级的人；内部控制为企业管理层和董事会提供合理的保证而非绝对保证；内部控制可以划分为一种或多种类别，这些类别既相互区分又相互交叠。COSO报告提出了许多新的、有价值的观点 这些观点包括，明确内部控制的制定与实施责任、强调内部控制应与企业经营管理过程相结合、强调内部控制是一个“动态过程”、强调“人”的重要性、强调“软控制”的作用、强调风险意识、强调内部控制的分类及目标、指出内部控制只能做到“合理保证”、提出成本效益原则等。，划分了内部控制的五要素：控制环境（control environment）、风险评估（risk assessment）、控制活动（control activity）、信息与沟通（information and communication）和监督（monitoring）。控制环境构成了一个单位的氛围（tone），风险评估通过识别（identi

《企业内部控制（2）》由会员油条分享，可在线阅读，更多相关《企业内部控制（2）》请在金锄头文库上搜索。