设计和评价一个企业的内部控制体系,首先需要明确三个问题:为谁控制、控制什么、如何控制,即内部控制维护谁的利益、控制什么内容、如何实现控制。
可以想见,内部控制必然源于组织内部分工及其带来的相应的协作和统一问题。由此,内部控制的雏形是以职务分离、账户核对为主要内容的内部牵制。内部牵制指一人不能完全支配帐户,另一个人也不能独立地加以控制的制度。比如古埃及在记录官、出纳官和监督官之间建立的内部牵制制度;比如古罗马帝国宫廷库房采取的“双人记账制”和“对账制度”。
随着组织规模的扩大,内部控制逐渐从对单项经济活动进行独立控制为主向对全部经济活动进行系统控制为主发展,进而形成包括组织结构、岗位责任、人员条件、业务程序、处理手续、检查标准和内部审计在内的严密的控制系统。
而股份公司的涌现,即存在所有权与经营权的分离,使得管理层对股东以及控股股东对中小股东的利益侵占成为可能,因此内部控制能否提供有效信息使得投资者更好地评估管理层受托责任的完成,并且确保财务报表以及由会计系统生成的其他未经审计的财务信息的可靠性显得尤为重要。
1958年10月,为摆脱由于内部控制定义太广,导致审计人员不可能承担诸多责任,美国会计师协会审计委员会曾将内部控制划分为会计控制和管理控制,并说明:“注册会计师应主要检查会计控制…管理控制通常只是对财务记录产生间接影响,因此审计人员可以不对其做出评价。”而1988年4月,美国注册会计师委员会针对80年代大量的财务失败所导致的投资者损失(美国虚假财务报告全国委员会发现,在所调查的舞弊财务报告中,50%是由于内部控制的失效),发布的《审计公告准则第55号》已经将内部控制环境纳入内部控制的范畴,不再区分会计控制和管理控制。
显然,企业内部控制是维护包括中小股东在内所有股东,而非控股股东的利益;内部控制是解决分工以及所有权与经营权分离带来的一系列问题,其需要在公司治理结构、权责分配、业务处理程序和政策、激励机制等方面做出明确的约定,以保证公司财务报告的可靠性、经营效果和效率以及符合适用的法律和法规。
在以上背景下,COSO委员会于1992年发布、于1994年增补的“内部控制—整体框架”将内部控制划分为控制环境、风险评估、控制活动、信息与沟通和监控五种要素。
有效实施内部控制首先要在组织中建立良好的控制氛围,这是控制环境的范畴。控制环境提供了内部控制的约束和结构,是其他内部控制要素的基础,其确定公司的总体态度,包括职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施等内容。
描述、分析企业所面临的重要风险,并实施风险管理,将为实现三大内控目标提供合理的保证。2002年,COSO提出了企业风险管理的概念。风险评估是识别及分析影响公司目标实现的风险的过程,其为风险管理的基础。控制活动则是内部控制的核心部分,它是确保管理层指令得到贯彻执行的公司的政策和程序,其有助于确保采取必要的行动进行风险管理和保证企业总体目标的实现。控制活动存在于整个机构内所有级别和职能部门,包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动。
相关信息的选择和沟通必须在一定时间内进行,并使得员工能够各负其责。信息系统产生包含有关运营、财务和合规性的信息的报告,帮助管理层经营和控制公司。该要素不仅包括内部产生的数据,还包括在了解各方信息的情况下进行决策和外部报告时所需的关于外部事件、活动和状况的信息。
企业还需要通过持续性的监督活动和独立的评估来判断内部控制系统是否继续与企业情况相适应并应对新的风险。监督是对内部控制体系有效性进行评估的持续过程,包括持续监督、独立评估和缺陷报告等。
由此可见,企业内部控制是一个持续改进的系统工程。
而2001年底以来,美国安然、世通、施乐、默克制药等一批大公司的会计丑闻则暴露了美国公司制度的缺陷,其主要表现在公司治理结构的不平衡和外部监督的缺失。随后颁布的《萨班斯—奥科斯利法案》在会计师行业监管、外部审计师独立性以及上市公司管理层责任等方面提出许多新的严格要求。显然,企业内部控制需要内外部市场共同关注。