论内部控制目标的历史演进

论内部控制目标的历史演进

内容摘要：内部控制目标的发展经历了五个阶段：即财产安全性、财务报告可靠性、财务报告可靠性与经营效率和效果实现的合理保障、风险控制和基于企业战略实现的控制目标。文章通过探讨不同发展阶段内部控制在企业管理中的作用以及维系内部控制工作顺利展开的内在机制，以为当前内部控制目标的实现提供参考。

关键词：内部控制 目标 改进

内部控制目标的历史发展

（一）实物财产安全性控制

社会分工在提高效率的同时也导致了剩余财产的出现。财富的私人积累逐渐导致财产的保管权与所有权的分离。受托责任关系的存在引出为降低财产物资实物风险而采取的内部牵制措施，这也是内部控制最初的思想。公元前4000年的巴比伦到亚述的契约证书、古埃及国库支付、中国周朝的预算和官厅审计、古希腊的公共财产收支管理、古罗马的家长账簿等都体现了这一思想（Michael Chatfield， 1977）。

（二）财务报告可靠性控制

十字军东侵（1096-1291年）促成了地中海贸易的繁荣，也促进了商业和银行组织的产生和产权形式的复杂化。在短期定向贸易中，经营代理经济的不断发展导致产权的进一步分离，具体表现为财产的保管权、经营代理权和短期占用权从所有权中的分离。在这一时期产权所有者面临的风险主要是财产物资的实物风险和经营代理和占用之后的财务报告风险。为避免财务报告风险，复式记账法应运而生，形成了天然的内部会计控制（丁友刚，2007）。这一内部控制思想也被称为基于财务报告视角的内部控制。

1936年，美国注册会计师协会将内部控制定义为：为了保护公司现金和其他资产的安全、检查账簿记录准确性而在公司内部采用的各种手段和方法。这一时期的内部控制主要表现形式为内部会计控制。

（三）财务报告可靠性与经营效率和效果实现的控制

19世纪工业发展时期，企业管理层级组织和长期雇员的出现以及经营权与所有权进一步分离，经营风险问题由此变得突出。为了控制经营风险，出现了采用单个财务指标进行经营效率控制的措施。标准成本系统和预算控制、杜邦指标体系、弹性预算等管理控制体系出现了。这一系列的经营效率和效果的控制

系统本质上都属于层级组织的经营风险内部管理控制系统（H·Thomas Johnson，1987）。1949年，美国注册会计师协会（AICPA）对内部控制进行了相对于1936年更为周全的定义：内部控制包括组织的计划和企业为了保护资产，检查会计数据的准确性和可靠性，提高经营效率，以及促使遵循既定的管理方针等所采用的所有方法和措施。

1958年， SAP第29号明确将内部控制区分为包括以会计为特征和以管理为特征的控制活动。1973年SAS第1号对二者的功能做了进一步的说明：内部会计控制包括组织的计划，以及保证资产安全、财务数据的可靠性有关的记录和程序。内部管理控制的目的在于通过一系列管理控制活动，降低公司的经营风险。

（四）风险控制

20世纪80年代的金融危机暴露了会计控制和管理控制都比较良好的银行业在经营、财务报告以及资产的实物安全上都存在问题。1988年4月颁发的 SAS第55号对内部控制进行了新的阐述。该准则认为有效的经营风险控制除了需要诸如经营计划、预算、责任会计和内部审计等“硬性”的控制工具外，还必须依赖于管理哲学和经营作风等“软性”控制工具。这些硬性和软性因素共同构成了组织的控制环境，其强调了会计系统的作用就是要承担财务报告风险控制的使命，强调了控制程序的目的在于通过授权控制、分工控制、记录控制、机械控制等一系列技术手段实现资产实物风险控制。

1992年由COSO委员会颁布的《内部控制—整体框架》中，风险评估是第一次出现的要素。这一行为意味着有效的风险控制不再是被动地通过各个环节设置好的控制活动来预防风险的出现或发生，而是通过主动地开展风险评估，来识别和分析实现目标的相关风险，为风险控制奠定基础。

COSO报告认为，资产的安全性目标主要从属于经营与报告目标。不断出现的企业舞弊与失败案件表明，经营活动的合法合规性显然是组织目标实现的前提。组织内部必须要有相应的控制程序，确保组织行为不违背市场、定价、税收、环境以及国际贸易等方面相关的法律和规制，以避免违法违规给利益相关者的价值带来损害。因此，COSO报告发展了合规性风险控制目标，并且将资产实物风险控制目标融入经营风险控制和报告风险控制目标中。

（五）财务报告导向与管理控制的契合

衍生金融工具的不断涌现，一些大型公司的相继破产引出控制的本质可能不仅在于仅仅控制风险，而是如何实现企业既定的目标，以及如何设定目标，再对目标实现过程进行控制以促使企业价值的实现。组织的控制目标应是管理目标的具体反映。

斯蒂芬·P·罗宾斯将管理定义为一个协调工作活动的过程，以便能够有效率和有效果地一起或通过别人实现组织的目标。作为管理活动要素之一的内部控制，也为这一目标服务。相对于虚假财务报告而言，价值创造的业绩不佳更容易导致

企业失败。与财务报告质量相比，与价值创造相关的商业战略及其有效实施更应成为内部控制关注的重点。当前，CEO在内部控制体系中居主导地位，是关键的制定和实施主体。证券监管机构和注册会计师比较关注内部控制在维护财务报告质量和遏制财务舞弊方面的功能，但CEO关注的还是通过有效的内部控制来服务于公司的价值创造（李心合，2007）。

2004年9月， COSO发布了《企业风险管理—整合框架》。在原有风险控制的三个目标基础上，增加了一个战略目标；在原有的五个要素的基础上，增加了目标设定、事项识别和风险应对3个要素。进一步说明了内部控制作为组织内部的控制机制在企业价值实现中的作用和地位。而管理理论中将控制目标一般表述为监视组织的各种活动以保证他们按计划进行，并纠正各种重要偏差的过程。因此，战略目标的引入体现了管理与财务报告导向职能的结合。

内部控制目标界定存在的问题

我国内控规范中关于内控目标的表述：内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

COSO关于内控目标的表述：内部控制是一个企业的董事长、管理层和其他人员实现的过程，旨在为下列目标提供合理的保证：一是财务报告的可靠性；二是经营的效果和效率；三是符合适用的法律和法规；四是战略目标的达成。

由此可以看出，我国内部控制规范中关于内部控制目标的界定是在COSO报告的界定的基础上多了一项“资产安全”。目标的各要素间没有划分层次，呈现出一个平行的关系。虽然现行的内部控制规范体现了其在最终促使企业实现战略目标方面的功能。但目标陈述及相关要素依然存在以下问题：

（一）目标界定交叉且边界不够清晰

资产安全性以及财务报告及相关信息真实完整的要求已经内化在了合法合规的要求之中。在我国，财务报告的编制是标准化的，而编制财务报告的标准（包括会计法、会计准则、企业会计制度、企业财务通则等）在中国本身就是法规的组成部分。公司只要是在所颁布的会计法规或会计标准的界限内编制财务报告，就是“合规”的，因而也是能够满足财务报告质量要求的。

（二）夸大了内部控制的职能

控制，在《现代汉语词典》中的解释为：掌握住不使任意活动或越出范围；使处于自己的占有、管理、或影响之下。 掌握住对象不使任意活动或超出范围；或使其按控制者的意愿活动。管理理论中关于控制表述：监视组织的各种活动以保证他们按计划进行并纠正各种重要偏差的过程。内部控制的本质是一种偏差控制，合理控制某项活动不偏离预期的目标。内部控制本身并不创造价值。我国内部控制规范体系中把“提高经营效率和效果”作为内部控制的目标之一，相对夸大

了内部控制的职能。比较而言，COSO报告中的陈述为“经营效果和效率实现的合理保证”更为契合。