内部控制是企业的一项重要制度安排,是一种特殊形式的管理制度,它对内防错纠弊、保护资产,对外为注册会计师提高审计效率提供有效途径。因此,建立健全企业内部控制,对促进资本市场健康发展、完善公司治理机制具有积极的意义。
一、中美内部控制变迁比较
(一)我国内部控制变迁
早在西周时,便有统治者为防止官吏贪污盗窃、弄虚作假,制定了分工控制和交互考核的措施,实行职务、职权的相互牵制和制约。其作用正如朱熹所说,“毫财赋之出入,数人之耳目通焉”。西汉时期出现了上计制度,地方须将其户口、垦田、钱财、谷物等情况编册上报,并呈报皇帝审查。及至宋太祖时期,实行“官职分离”、“职差分离”的官职制,“主库吏三年一易”。与今天的职务轮换制类似。清朝时,政府在财物出纳、调拨、储运、保管方面,建立了一系列的制度、程序。内部控制的现代理论研究大约起于上世纪80年代。90年代开始,我国政府加大企业内部控制的推进力度。1996年财政部发布《独立审计具体准则第9号——内部控制和审计风险》,提出内部控制的定义和内容,规定CPA审查企业的内部控制,1997年中国人民银行颁布《加强金融机构内部控制的指导原则》,1999年新修订的《会计法》第37条规定:“会计机构内部应当建立稽核制度”,2001年6月财政部颁布了《内部会计控制规范——基本规范(试行)》,将内部控制定位于内部会计控制,2004年底“审计风险准则(征求意见稿)”提出了基于COSO框架的评价方法。但这都只是从审计角度出发,还无法为企业实际操作提供直接依据。
(二)美国内部控制变迁
美国的内部控制是以英国为蓝本发展起来的。十八世纪的产业革命掀起了经济发展的高潮,出现了公司制这种企业组织形式。当时的美国铁路公司为控制、考核各地的运输业务,采用内部稽核制,取得了显著效果,各大企业起而效之。二十世纪初,经济的发展使股份公司规模不断扩大,所有权和经营权分离,一些企业建立起了“内部牵制制度”,规定交易的处理不能由一人或一个部门包揽全过程。二战后,生产连续化、自动化、社会化程度的空前提高,对生产管理提出了更高的要求,一方面要求管理者实行分权管理,调动员工积极性,另一方面要求采取更完善的控制制度,以便有效经营。二十世纪80年代以来,内部控制的研究进一步向具体内容深化。1988年,美国注册会计师协会发布《审计准则公告第55号》(SAS-55),以“内部控制结构”取代“内部控制制度”。90年代COSO委员会出台《内部控制——整体框架》,该文件提出了内部控制构成的概念,并指出内部控制整体框架包含五个相互联系的要素:控制环境、风险评估、控制活动、信息与沟通、监督,其涵盖的范围比原有的任一概念都要广泛。报告建议,由管理当局或其指定人员(如内审人员)定期评价企业内部控制的设计与执行情况,出具评价报告,注册会计师则对管理当局的内部控制报告出具审核意见,评价报告和验证报告一并对外披露。但现实中,公司内部控制未能成为强制性信息披露的内容。2000年安然、世通的发案暴露了公司内部控制存在缺陷,2002年美国国会通过萨班斯法案,提出披露内部控制报告的强制要求,SEC相应地于2003年8月发布规则,具体规定了财务报告内部控制报告的内容和格式。从两国内部控制历史发展来看,内部控制经历了稽核、牵制、控制三个发展阶段。早期的内部牵制通过,通过职务分工、权力制衡,来防范错弊,近代,美国内部控制发展步伐加快,且不断融入科学管理的思想和实践经验,使内部控制理论不断得以充实,体系不断丰满。
二、中美内部控制概念比较
(一)我国内部控制概念界定
我国《独立审计具体准则第9号——内部控制与审计风险》中对其定义为:内部控制,“是指审计单位为了保证业务活动的有效进行,保证资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序”。2004年《独立审计具体准则第29号一了解被审计单位及其环境并评估重大错报风险》(征求意见稿)中则提出内部控制是,“为了合理保证财务报告的完整性、经营的效率和效果以及对法律法规的遵循,由治理当局、管理当局和其他人员设计和执行的政策和程序”,这其中借鉴了COSO框架的概念定义。
(二)美国内部控制概念界定
1949年,美国注册公共会计师协会在《内部控制——协调系统的要素及其对管理部门和独立职业会计师的重要性》中对内部控制进行了阐述:“内部控制是指一个经济实体内部采用的组织计划和所有有关的协调方法和措施,其目的是保护该组织的资产,检查会计数据的正确性和可靠性,提高经营效率,促使有关人员遵循既定的管理方针”。1988年的SAS--55将内部控制定义为:“为了对实现特定公司目标提供合理保证,而建立的一系列政策和程序”。1992年美国COSO委员会发布报告《内部控制——整体框架》,指出“内部控制是由企业董事会、经理阶层以及其他员工实施的,为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现而提供合理保证的过程”。2004年新的COSO报告《企业风险管理——总体框架》(Enterprise Risk Management,ERM)出台并指出,内部控制是一个过程,由企业董事会、经理阶层以及其他员工实施。应用于企业的战略制定并贯穿于整个企业,识别可能影响公司的潜在事项,将风险管理在一定的范围内,为实现企业目标提供合理保证。由此可以看出,内部控制具有以下特征:把企业、经济实体或单位作为一个总体、一个系统,在该系统内建立、实施内部控制;内部控制的主体即实施者是企业或单位的内部人员,但是他们所处的地位不同,控制的任务、范围也就相对不同;内部控制是一种内部管理制度,是企业内部人员的内部行为,它最终是为整个企业或单位的管理目标、战略目标服务;内部控制不是孤立的、互不相关的各种控制措施的简单集合,而是相互联系、相互制约的控制措施的有机整合,具有系统化、程序化的特点。我国的内部控制概念界定停留在对财务报告的完整性、经营的效率和效果以及对法律法规的遵循上,即主要突出对“三性”的合理保证。美国ERM框架则将此概念的视角延伸到对战略目标的贯穿、对未来风险的理性识别上,更具有前瞻性和预警性,这也对内部控制人员的综合素质提出了更高的要求。
