內部控制與風險管理是緊密聯繫的。如何正確認識這兩者間的關係,無論對學術研究還是企業的經營管理實踐,都具有現實意義。本文在梳理內部控制理論演進歷史的基礎上,分析了企業風險管理框架對內部控制框架的繼承和發展,明確指出內部控制和風險管理已日益融合,風險導向已成爲內部控制的發展方向。
一、內部控制理論的演進歷史
內部控制的思想和實踐歷史悠久,其伴隨着組織的形成而產生。內部控制理論的發展大體上經歷了內部牽制、內部控制制度、內部控制結構、內部控制框架等四個階段。在每一階段,內部控制都被賦予不同的內涵。
(一)內部牽制階段。一般認爲,20世紀40年代以前是內部牽制階段。內部控制思想的萌芽早在五千多年前就出現了。蘇美爾文化的史料記載中會計賬簿數字邊的標記、古埃及古物入倉時的職務分離、我國周朝留下的記錄——“一毫財賦之出入,數人之耳目通焉”等,均反映了內部牽制的基本原理,即以賬目間的相互覈對爲主要內容並實施崗位分離。內部牽制理論建立在兩個基本假設之上:兩個或兩個以上的人或部門無意識地犯同樣錯誤的可能性很小;兩個或兩個以上的人或部門有意識地串通舞弊的可能性大大低於單獨一個人或部門舞弊的可能性。美國著名審計學家蒙哥馬利1912年所著的《審計——理論與實踐》一書中已明確表述過這種思想,這種思想在早期被認爲是確保所有賬目正確無誤的一種理想控制方法。
(二)內部控制制度階段。20世紀40年代到20世紀70年代,在內部牽制思想的基礎上逐漸產生了內部控制概念。1949年美國註冊會計師協會(AICPA)所屬的審計程序委員會發表了一份題爲《內部控制:系統協調的要素及其對管理部門和獨立公共會計師的重要性》的特別報告,首次正式提出了內部控制的定義:“內部控制包括組織的計劃和企業爲了保護資產,檢查會計數據的準確性和可靠性,提高經營效率,以及促使遵循既定的管理方針等所採用的所有方法和措施”。這一概念突破了與財務會計部門直接有關的控制侷限,使內部控制擴大到企業內部各個領域。內部控制的內容也發生了變化,從內部牽制時期的帳戶覈對和職務分離逐步演變爲由組織機構、崗位職責、人員條件、業務處理程序、檢查標準和內部審計等要素構成的較爲嚴密的內部控制系統。
1958年,出於審計人員測試與財務報表有關的內部控制的需要,審計程序委員會又將內部控制分爲內部會計控制和內部管理控制。前者是指與財產安全和會計記錄的準確性、可靠性有直接聯繫的.方法和程序;後者主要是與貫徹管理方針和提高經營效率有關的方法和程序。將內部控制一分爲二使得審計人員在研究和評價企業內部控制制度的基礎上來確定實質性測試的範圍和方式成爲可能。由此內部控制進入“制度二分法”階段。
(三)內部控制結構階段。20世紀70年代以後,內部控制的理論研究又有了新的發展,研究重點逐步從一般涵義向具體內容深化。在實踐中審計人員發現很難確切區分內部會計控制和內部管理控制,而且後者對前者其實有很大影響,無法在審計時完全忽略。於是,1988年5月AICPA發佈了第55號審計準則公告《財務報表審計中內部控制結構的考慮》,以“內部控制結構”的概念取代了“內部控制制度”。該公告認爲:“企業內部控制結構包括爲提供取得企業特定目標的合理保證而建立的各種政策和程序”,並指出內部控制結構包括三個組成要素:控制環境,會計制度和控制程序。從而,內部控制從“制度二分法”步入“結構分析法”階段,這是內部控制發展史上的一次重要改變。
(四)內部控制整體框架階段。1992年9月,由美國註冊會計師協會、美國會計學會(AAA)、國際內部審計師協會(IIA)、財務經理協會(FEI)以及管理會計師協會(IMA)共同組成的COSO委員會發布了指導內部控制實踐的綱領性檔案COSO研究報告:《內部控制——整體框架》(IC-IF),並於1994年作了修改。該報告重新定義了內部控制:“內部控制是受董事會、管理當局和其他職員影響,爲企業經營活動的效率和效果、財務報告的可靠性,相關法律法規的遵循性等目標的實現提供合理保證的過程。”內部控制整體框架由控制環境、風險評估、控制活動、資訊與溝通、監控等五個要素組成。同以往的內部控制理論及研究成果相比,COSO報告提出了許多有價值的新觀點,闡述了內部控制的各個組成部分,客觀地指出了內部控制的侷限性,而且明確了不同人員在內部控制中的角色和責任。