第二章 内控的前世今生

内控的历史扫描

国际

近代公司存在于15世纪末到19世纪下半叶，也就是封建制度逐步解体，资本主义迅速发展的时期。15世纪末，随着新航线的开通和美洲大陆的发现，大西洋沿岸国家的商业贸易空前繁荣，加速了封建制度的解体。英法等国先后爆发了资产阶级革命，资本主义生产关系逐步生长，各国相继进入资本的原始积累阶段。继资产阶级革命之后又发生了“产业革命”，机器大工业取代工场手工业，为资本主义制度的确立提供了技术保障，也为商品经济的发展奠定了物质基础。为适应商品经济发展的需要，公司这种企业组织形式迅速发展起来，并逐步走向成熟。

从制度经济学的角度来看，交易成本的存在促使公司这样的组织形式得以出现，以便以低组织成本来替代高交易成本。所以，所有公司都有降低公司组织成本的原始冲动，由此出现了职能分工和制度流程。内部控制的出现，也是本着阻止风险的考虑。

但是内部控制作为一个专用名词和完整概念，直到20世纪30年代才被人们提出、认识和接受。其实，在此前的人类社会发展史中，早已存在着内部控制的基本思想和初级形式。

内控的实践最早可以追溯到公元前3 600年前的美索不达米亚文化时期，当时经手钱财的人要把付出的款项列出付款清单，并由记录员将这些清单汇总报告，在汇总报告时，记录员要在付款清单上打上点、钩、圈等核对符号，表明账目检查工作已经完成。公元前600年左右，古埃及建立了记录官、出纳官和监督官的三官牵制制度。古希腊时期对官吏的审查非常严格，官吏上任前要接受资格审查，任职期间要接受对其称职与否的信任投票，任期结束要接受卸任审查，即对其经手的钱财进行稽考交接。古罗马采用“双人记账制”，每一笔财产收付都由两个记账员同时记载，定期或不定期进行核对。

15世纪末，随着资本主义经济的初步发展与会计体系的成熟，内部牵制也发展到了一个新的阶段。以意大利出现的复式记账法为标志，内部牵制渐趋成熟，它以账目间的主要内容为依据并实施一定程度的岗位分离，在当时被认为是确保财产和账目正确无误的一种理想控制方法。

18世纪英国工业革命爆发后，出现了工厂这一新的组织形式。组织规模的扩大及内部结构的复杂性，要求工厂采用新的科学管理方法。美国一些企业逐渐摸索出一些组织、协调、制约和检查企业生产经营活动的方法，建立了内部牵制制度，规定有关经济业务处理的全过程不能由一个人或一个部门统揽。

作为现代内部控制雏形的内部牵制，是在当时生产规模较小和管理理论比较原始的条件下，总结以往的经验，并在实践的基础上逐渐形成的，主要以查错防弊为目的，以钱、账、物等会计事项为主要控制对象，以职务分离和核对账目为控制手段。内部牵制在现代内控理论中仍然占有重要地位，成为组织结构控制、职务分离控制的基础。

20世纪30年代，世界性经济危机爆发，许多企业为求生存，免遭破产的厄运，不得不加强了对生产经营过程的控制与监督，企业的内部控制开始超越会计及财务范畴，深入企业生产管理各部门及各环节，如生产标准、质量管理、统计分析和员工培训等方面。

1934年，美国颁布了《证券交易法》，率先提出了内部会计控制的概念，要求证券发行人设计并维护一套内部会计控制，作为抑制经济危机中虚假会计信息泛滥的措施之一。内部会计控制包括：交易依据管理部门的一般和特殊授权进行，交易记录必须满足依据公认会计准则或其他适当标准编制财务和经管责任的需要，接触资产必须经过一般和特殊授权，一定的时间间隔后，要将财产的账面记录与实物资产进行核对，并对差异采取适当的补救措施。

1949年，美国注册会计师协会所属的审计程序委员会在“内部控制：一种协调制度要素及其对管理当局和独立审计人员的重要性”的报告中，第一次正式给出了内部控制的定义：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。”该报告是从企业管理的角度来定位内部控制的，内容上不局限于与会计和财务部门直接有关的控制，还包括预算控制、成本控制、定期报告、统计分析、培训计划、内部审计以及技术与其他领域的活动。

1973—1976年，美国政府、立法机构和规章制定部门开始密切关注内部控制问题。美国国会于1977年颁布了《反国外贿赂法》。该法案要求公司对外报告的披露者设计一个内部会计控制系统，并维持其有效性。公司管理层对内部控制的健全性负有特殊责任，要设置账簿记录和账户，以便正确、适当地反映资产的交易和处置，保证内部会计控制系统的充分有效性。该法案还规定，企业若达不到美国审计准则委员会提出的内部控制目标，可被罚款1万美元，责任者被处以5年以下监禁。《反国外贿赂法》被认为是内控发展史上的又一座重要的里程碑。它第一次强制性地将内控制度纳入法律管辖的范畴，使内控得到了广泛的重视。上市公司扩大了其内部审计职责，并更加密切地关注内控系统建设。

20世纪80年代到90年代初，内部控制进入内控结构阶段。在这一阶段，内控由偏重研究具体的控制程序和方法发展成为对内控系统全方位的研究，其突出的变化是日益重视对控制环境的研究。对内部控制的研究也逐步从一般含义向具体内容深化，学者们认为内部会计控制与内部管理控制是不可分割的，是相互影响、相互联系的。1988年4月，美国注册会计师协会发布的审计准则公告第55号《财务报表审计中对内部控制结构的考虑》中，用“内部控制结构”取代了原有的“内部控制”，不再区分内部会计控制和内部管理控制，而是确立了内部控制结构，指出“内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序”，明确了内部控制结构包括控制环境、会计系统和控制程序三个要素。

其中，控制环境是内部控制结构的基础和前提，会计系统是内部控制结构的关键要素，控制程序是保证内部控制结构有效运行的机制。内部控制结构这一概念特别强调了控制环境的重要作用，包括管理者对内部控制的态度、认识和行为等。内部控制结构的提出，适应了经济发展和企业经营管理的需要，同时得到了会计界和审计界的广泛认可。内部控制取得了两大重要突破：一是正式将控制环境纳入内部控制范畴，不再将控制环境作为内部控制的外部因素看待，而是强调控制环境是充分有效的内部控制体系得以建立和运行的基础和保证；二是不再区分会计控制与管理控制，而统一以要素来表述内部控制，由三个要素构成内部控制结构，实现了内部控制由零散到系统的转变和提升，反映了内部控制的性质。

进入20世纪90年代以后，世界经济变得越来越复杂与动荡，舞弊案件开始不断出现并引起人们的关注，反舞弊的呼声开始高涨并引起共鸣，对于内部控制的研究也因此进入一个新的阶段。

1992年9月，COSO（Committee of Sponsoring Organization）发布了指导内部控制实践的纲领性文件《内部控制——整合框架》（COSO报告）。COSO报告指出：“内部控制是由企业董事会、管理层和其他员工实施的，旨在为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现提供合理保证的过程。”COSO报告提出了内部控制由控制环境、风险评估、控制活动、信息与沟通、监控等五个相互独立又相互联系的要素构成。

COSO报告是内部控制发展史上的又一座重要里程碑，其提出的观点备受业内推崇，成为世界通行的内部控制权威标准，被国际组织和众多国家审计准则制定机构、银行监管机构及企业界所采纳。美国注册会计师协会宣布全面接受COSO报告的内部控制框架，并从1997年1月起取代1988年发布的《审计准则公告第55号》。

2001年以来，美国的安然、世界通信、施乐等公司财务舞弊案相继爆发，不但重创了美国资本市场及经济，同时也集中暴露出了美国公司在内部控制上存在的问题，如管理层越权、缺乏职责分离、透明度不足、董事会监督无效，以及存在会导致职能失调、渎职行为的薪酬结构失衡等。2002年7月，美国国会通过了著名的《萨班斯-奥克斯利法案》。该法案的第404条款明确规定，公司管理层需要对财务报告内部控制的有效性进行报告和评价，独立会计师要对管理层提供的内部控制评价报告进行鉴证。因此，该条款成了最“昂贵”的法律条款。该法案不仅明确了公司的首席执行官和首席财务官对内部控制负直接责任，并将承担经济与刑事后果，而且大幅度提高了对会计舞弊的处罚力度，强化了对内部审计与外部审计的监管。该法案也是美国政府制定的少有的涉及范围广、处罚措施严厉的公司法律。

2004年9月，COSO结合《萨班斯-奥克斯利法案》的具体要求，在内部控制整合框架概念的基础上，提出了《企业风险管理——整合框架》（ERM框架），使内控进入了一个新的发展阶段。ERM框架将内部控制融入风险管理，形成了一套更为健全的概念体系与管理依据，强调内部控制的持续有效性。

近年来，国际商业环境与经济形势发生了深刻变化，以互联网为代表的信息技术的广泛运用使组织的运营模式和管理方法发生了重大变革，经济全球化与金融危机的爆发促使管理者、投资者、监管部门和其他利益相关者迫切需要利用科学有效的内部控制框架识别、应对和控制风险，防止欺诈行为的发生，减小大规模爆发金融危机的可能性。COSO在2013年5月正式发布了新版的《内部控制——整合框架》（2013）。新框架延续并保留了内部控制的核心概念、内部控制五大核心要素和内部控制有效性的评价标准。

2016年，COSO又公布了针对2004年ERM框架的修改草案，草案全称为《企业风险管理——通过策略与绩效调整风险》。草案认为企业风险管理是“组织在创造、维护和实现价值的过程中，进行风险管理时所依赖的与战略和执行紧密结合的文化、能力和实践”。此定义与2004年COSO-ERM框架迥异，更强调文化、能力和价值创造的实践。新框架由23条原则支撑五要素，五个要素分别是：风险治理与文化，风险、策略与目标制定，执行中的风险，风险信息、沟通与报告，监测ERM的绩效。对比2004年的旧版，新版改动较大，包括双向性的风险定义，风险管理在战略选择中的决定作用，全面风险管理框架的新结构，弃用了熟悉的“立方体”结构。新框架旗帜鲜明地提出风险管理与内控的关系，并指出COSO在2013年版涵盖的五大单元和17项原则的内部控制框架，并不会被新框架所取代。但是全面风险管理涵盖了比内控更多的内容，内控是全面风险管理的不可分割的子集。

其实，除了美国的COSO框架，关于内部控制，还存在其他框架。比如，在加拿大出现过COCO框架。与COSO框架所采用的基于独立审计的内控观不同，该框架采用基于公司治理和管理活动的内控观，以适应内控概念的拓展和内控实务的复杂化，以及由此导致的内控与管理活动之间的界限越来越模糊，内控逐渐往管理方向靠拢的管理现状。但正如加拿大COCO委员会前任主席迈克尔·冈恩斯所言，由于美国COSO内控框架在全球内部控制领域的领先地位，加上COCO内控框架的实践指导性不强，且没有强制内控审计的制度安排，COCO内控框架正逐渐走向衰退。

从内部控制产生与发展的历史进程我们可以看到，人们对内控的认识经历了一个从部分到整体、从简单到复杂、从单一目标到多个目标、从零散到系统的不断发展与完善的过程，也是一个跟随企业管理的发展变化而不断成熟完善的过程。内控是扎根于企业管理实践的一门实践性学科。

国内

在我国，最早的内部控制制度起源于西周时期，体现在统治者对政权的控制中。西周时期实施了分权控制和九府出纳方法。西周的财务、行政、会计、国库组织各自成系统，并在其间形成相互牵制的关系，司会主天下之大计，九府出纳制度使各个出纳部门责任清楚，分工明确，控制着整个王朝的财物收支活动，而九府又统归司会控制，使王朝的财物出纳保管权都集中在司会的控制之下，宰夫则行稽查之权。西周出现了上计制度的萌芽，每年各地的官吏将地方上的税赋收入和各项财政收入，用书面的形式呈报给皇帝，皇帝则每年进行一次听计，由负责审计的官员将各地报来的收支账目念给皇帝听，以此审查官员的经管责任。到了秦代，则实行严密的上计制度和御史监察制度，这两种制度是控制社会经济和政治发展的重要监督制度。宋朝时期则规定“主库吏三年一易”，也就是主管仓库的官员必须每三年更换一次，这相当于现代的岗位轮换制度。

虽然我国内部控制思想和实践起步较早，但后期发展比较曲折，未能与现代企业内部控制发展历程相对接。我国企业内控相关规范建设开始于改革开放之后，随着经济发展而迅速发展、完善，逐步系统化、体系化。

20世纪90年代后期，由于会计信息失真严重、经济犯罪案件频发、市场竞争激烈、企业效益不高、经营风险增加等原因，政府主管部门加强了对单位内控制度建设的关注，财政部、证监会、中国人民银行、国资委、审计署、银监会、保监会等部门先后制定和发布了一系列有关内部控制的法规和规章制度，对建立并完善内控制度发挥了重要的作用。

与美国相类似，我国的内控建设也是发端于内部会计控制，经由外部审计予以加强。最早的内控规范多数是从内部会计控制提出要求，而后发展为对整个企业内部控制提出要求，并要求注册会计师对企业的内部控制进行评价，注册会计师的审计服务对加强企业内部控制具有审核和指导作用。

从行业来看，我国现代企业内部控制规制的范围主要集中在银行业。主要是因为银行业本就是一个高风险的行业，而且分支机构遍布全国甚至全球，又涉及广大客户的资产安全，内控稍有不慎，就会造成无法预料的损失。而随着证券市场的迅猛发展，上市公司内控又成为我国企业内控关注的焦点。

在很长一段时间内，不同的政府部门或机构根据其管理权限各自颁布了不同的内控指导原则、指引、规范，这些不同的内控规范形式多样、标准不一，对内控概念的界定、控制目标的确立、应遵循的控制原则、内部控制要素的构成等内容均有不同的解释和规定，这样不利于构建统一的企业内控规范体系。其更多是从重点行业和重点企业，如银行业、证券业、期货经纪行业、上市公司、中央企业等角度，原则性地提出内控标准，并未下沉到操作层面。没有统一的标准，没有统筹负责的机构来推动，既有的控制标准也无法有效地贯彻落实，因此，大家都在呼唤一套统一、完整的内控框架。

2008年5月22日，在原有内控原则的指导下，在国内企业内控实践的基础上，财政部、证监会、审计署、银监会、保监会五部委联合发布了我国第一部《企业内部控制基本规范》，要求自2009年7月1日起在上市公司范围内执行，并且鼓励非上市的其他大中型企业执行。《企业内部控制基本规范》的颁布，是我国内部控制体系建设的重大突破，标志着我国内部控制体系建设取得了重大的阶段性成果。

2010年4月26日，财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制配套指引》，包括《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》，规定自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行，并择机在中小板和创业板上市的公司施行，同时也鼓励非上市大中型企业提前执行。执行内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告中有关内部控制的有效性进行审计，出具审计报告。

我国企业的内控发展用短短的几十年走完了西方国家两三百年的发展历程（见图2-1）。虽然我国的内控理论和实践研究发展得还不充分，但我国的经济发展与企业发展为内控研究提供了坚实的基础和丰富的素材，相信我们将会开拓内控理论研究的新领域，拥有内控实践研究的新天地。

内控历史总结

对内控历史的梳理给了我们以下三点启示。

1.内控发端于工业革命，发展于20世纪，盛行于21世纪。从工业革命开始，社会生产力提升迅猛，促使社会分工进一步深化，从而促进了现代意义上的内部控制的产生。而20世纪的经济危机、金融危机对市场中的组织主体产生了现实的生存压力，同时也给内部控制提供了进一步展示自己的机会。伴随着内控实践在全球的普遍推行，再配以相应的理论研究，内部控制在21世纪开始盛行起来，广为职场中人所熟知。

2.内控是随着政治、经济和社会的发展而发展的，非独立存在，也非发展的推动性力量。但这并不是说内控就没有了存在的意义，从过往的发展历程看，内控是不可或缺的，并且随着社会分工的进一步细化变得越发重要。将来也会如此，即使是在AI时代，内部控制的范围、领域、技术等也许会跟现在大相径庭，但其目标、原理以及思维模式还是不会变的。

3.内控已然是个大概念，贯穿于组织运营的始终，涉及社会的各个方面。从内部牵制、内部会计控制、内部控制到企业风险管理，再到内控整合框架，内控的疆域越发宽广，从局部到全局，从一维到多维，由线到面再到体，应用的范围也从作为市场主体的企业组织拓展到了非营利组织、政府部门等。