当今世界，在企业规模不断扩大，组织结构和组织形式愈加复杂的情况下，一个企业的内部控制体系是否有效，往往决定了企业的生死存亡。同时，内部控制体系的建设受到国内外理论界和实务界更多关注，所以有必要对内部控制这一概念加深理解。

本文从四个方面出发，主要阐述内部控制理论的历史变迁、COSO内部控制整体框架、企业风险管理整合框架和内部控制理论对我国企业的启示。

依据内部控制理论本身内在发展逻辑，研究内部控制理论历史变迁过程，将其分为萌芽期、建立期和发展期三个阶段 （如图一所示）。

图一：内部控制理论的历史变迁

我国西周财计中的出纳组织就分为“职内”“职岁”“职币”三方面，分掌“收入”、“支出”和“结余”，在他们之前形成了有效的经济牵制，这在当时贯彻“量入为出”财政原则方面起到重要的作用 古埃及会计被称为“书吏”，其责任与权力都比较大，不仅负责事项的记录，而且还负责对全部库存财产的监督。 这种以“书吏”工作为基础，在国库长官、国库出纳官、国库书吏和国库监督官之间初步建立起一种经济牵制关系。这些官吏各司其职，又相互制约，并把重点放在支出方面。（郭道扬，2004）

由此可见，当时内部牵制这一概念主要依存于政府（官厅）财会组织之中，是检验财会组织是否完善的重要依据。自十五世纪，意大利一些城市萌发了资本主义经济关系。在日常交易中，对核算收入与费用的重视，以及复式记账的使用，催生了管理和内部牵制在民间组织中的兴起。虽然在这一时期中逐渐完成内部牵制由政府主导向民间组织主导的转变，但理论上只是通过组织制度表现出来的经济制约的一般性实践活动，并未形成内部控制的概念。而这一时期利用内部牵制的主要目的也仅仅是查错防弊。

起初，内部控制制度建设与发展得到关注来源于注册会计师对企业财务会计信息质量的要求。在1936年美国会计师协会和美国联邦储备委员会联合发布了《注册会计师对财务报表的审查》，其中将内部控制初步定义为“为了保护公司现金和其他资产的安全，检查账簿记录的正确性而在公司内部采用的各种手段和方法”。此后几年，美国会计师协会在此基础上又对内部控制加深定义，虽然站在企业管理角度系统地阐明了内部控制，但在注册会计师的审计职责划分上依然存在模糊性。

1953年，美国注册会计师所属的审计程序委员会在《审计程序公告第19号》中对内部控制定义进行重新修订，修订后为：

“广义上，内部控制按其特点可以划分为会计控制和管理控制；（1） 会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成； （2） 管理控制有组织计划和所有为提高经营效率、保证管理部门所指定的各项政策得到贯彻执行火雨此直接有关的方法和程序构成。”

由此可见，在这一阶段中，内部控制不仅得到企业更广泛的重视，而且丰富和扩展了其定义。此外，内部控制中的两大分支——会计控制和管理控制已经逐步成型，同时成为企业某个部门综合的、长期的和稳定的行为规范。尽管理论界和实务界对内部控制的研究取得了很大成果，但问题依然存在。例如，两大分支仍停留在企业部门的层面，无法从企业全局的大环境着手，另外在实际操作中也难以将它们明确区分。

1988年，美国注册会计师协会发布《审计准则公告第55号》，该公告首次使用“内部控制结构”一词，并将其定义为：“内部控制结构包括为合理保证企业特定目标实现而建立的各种政策和程序”， 指出内部控制在结构上由控制环境、会计制度和控制程序三个要素构成。

美国COSO委员会（Committee of Sponsoring Organisation of the Tread-way Commission）是由美国反对虚假财务报告委员会发起的，一个旨在通过商业道德、有效的内部控制和公司治理结构以改善财务报告的美国民间组织。1992年，COSO委员会提出了著名的《内部控制—整体框架》报告，两年后又在原基础上进行增补。这份报告真正将内部控制理论清晰化、系统化、丰富化，大大提升了内部控制建设的可行性。它强调企业应加强对业务流程的动态控制，培育先进的企业内部控制环境文化，有效地评估风险状况，建立科学的信息传导与沟通机制，加强监督，强调控制活动的效率和效果。

在这份报告中，内部控制被定义为：“内部控制是由企业董事会、经理阶层和其他员工共同设计和实施的，为营运的效率和效果、财务报告的可靠性、现有法律法规的遵循性等目标的达成而提供合理保证的过程。”同时，该报告提出了三项具体木不爱和五个构成要素（见图二）。三项目标分别是指合理保证经营的效率和有效性、合理保证财务报告的可靠性、适度保证对现有法律法规的遵循性。五个构成要素分别是控制环境、风险评估、控制活动、信息与沟通及监督。

图二：内部控制—整体框架

依据这五个要素在内部控制中扮演的角色，COSO分别为每个要素中添加了详尽的原则，具体如下表所示：

表一：内部控制要素及其原则

COSO框架并不是世界上唯一的内部控制框架，但却是国际上受到普遍认可且应用范围最广泛的框架，因此委员会对框架的修订更新一直在持续。尤其是近几年，国际商业环境与经济形势发生了显著变化，以互联网为代表的现代信息技术的广泛运用使得组织的运营模式和管理方法产生了重大变革，全球一体化的趋势和金融危机的爆发客观上加速了利益相关者对健全、有效、透明的内部控制体系的迫切需求。

2000年初，陆续出现了如安然、世通等知名公司的会计丑闻。这些事件不仅震惊世界，而且充分暴露了公司关键管理人员凌驾于内部控制之上、企业内部控制制度的信息披露徒具形式等问题。为避免再次发生类似情况，美国国会于2002年颁布了萨班斯—奥克斯利法案（Sarbanes-Oxley Act of 2002）。该法案明确要求公众公司管理当局对企业内部控制的有效性进行披露，注册会计师必须对该报告进行审计。

随着法案及相关规则的出台和执行，COSO被迫重新审视1994年发布的内部控制整体框架中存在的问题。其中关键的问题之一就是忽视了企业风险管理的重要性，没有将内部控制与风险管理相结合。因此，COSO委员会在内部控制整体框架的基础上于2004年正式发布《企业风险管理整合框架》。

企业风险管理整合框架将原来的内部控制整体框架包含在内，使两者成为不可分割的整体，从而形成一个更全面、更强有力的有关风险的概念。总的来说，企业风险管理整合框架在内部控制整体框架的基础上增加了“一个新观念，一个战略目标，两个概念和三个要素”， 即锋线组合观，战略目标，风险偏好、风险可接受成都的概念以及目标设定、事项识别、风险应对要素等内容（如图三所示）。

图三：企业风险管理框架

风险管理整合框架取得的成就主要表现在以下方面：

（一）从风险管理的高度重新定位内部控制：内部控制是风险管理的重要组成部分，从此不再以单独形式存在。

（二）战略目标的提出：战略目标是其他三个目标的前提，为内部控制的设置指引方向。

（三）风险管理的细化：新增三个要素和两个概念丰富了风险管理的内涵，提高了实际中的可操作性。

（四）报告目标的扩展：框架中的报告不再仅限于财务报告，范围扩展到企业编制内的所有报告。

（五）对重大风险的关注程度：强调合理安排管理资源和内控成本，不要因过分关注细节问题而忽略重大风险。

从上述内部控制的萌芽期中可以看到，我国内部牵制的管理思想启蒙很早，与同时代西方国家相比毫不逊色，甚至超出。但当西方国家开始发展资本经济，同时从实践和理论两个领域对内部控制体系不断摸索、创新，我国在内部控制方面却停滞不前，以至于出现很长的空白期。直到1986年，内部控制制度首次在财政部颁布的《会计基础工作规范》中被明确规定。1999年，我国出台的《中华人民共和国会计法》是第一步体现内部会计控制的法律，其中明确提出，各单位应当建立、健全本单位内部会计监督制度。

尽管进入21世纪后，我国颁布了一系列有关内部控制的相关法规，但这些仅仅是原则性的规定、方向上的指引，各法律法规的衔接不够紧密，没有提供完整的行业规范体系，内部控制的框架还未形成，其可操作性、可矫正形、可评价性还不够，还有待于进一步完善和发展。所以在学习研究外国内部控制的先进知识的同时，还应该根据我国自身国情，制定出符合中国特色的内部控制制度。

根据此种情况，可以提出三条建议：

（一）整顿企业内部体制（公司治理机制）

目前我国正处在经济转型时期，经济体制的不完善和政府职能的错位，导致许多企业管理层的行为发生扭曲。其原因不单是道德水准或职业操守问题，更多的是并未充分激励管理者控制风险，还有对管理者的约束、制衡不力。因此，为加强企业内部控制建设，有必要进一步推动经济体制改革。

（二）落实框架中的要素，建立企业文化

我国企业存在的另一个问题是企业内部上下之间存在信息不对称，从而管理层的评估和监控出现瑕疵，规章制度的执行发生偏差，最终产生不可回避的风险。建立良好的企业文化，有助于培养具有风险意识以及高水准职业道德的员工，为企业在内部控制中提供便利。

（三）综合考虑内部控制建设所涉及的成本和收益

所有的控制和管理活动都需要花费成本，同时也能为企业带来收益。内部控制的建设需要比较成本与风险降低所带来的收益，最优内部控制并不意味着将风险降到零，在建设内部控制制度的过程中，需要企业在两者之间找到平衡点。