扫码阅读

手机扫码阅读

"搞内控，要先读懂内部控制的前世今生：一篇系统性指南

118 2024-07-26

控制内部企业财务报告内控

我们非常重视原创文章，为尊重知识产权并避免潜在的版权问题，我们在此提供文章的摘要供您初步了解。如果您想要查阅更为详尽的内容，访问作者的公众号页面获取完整文章。

查看原文：

文章来源：

小江管悟

扫码关注公众号

在这个强调合规监管的时代，内部控制算是企业管理领域，尤其是IPO企业、上市公司、以及央国企，一个热门话题。

内部控制，对商业组织不可或缺，它就像企业成长的影子，始终跟随并支持着企业的每一步发展。

然而，让人遗憾的是，很多企业实施内部控制的动机并不是主动的，更多的是被动的。这，无疑和他们对内部控制的了解不够有关。

想要理解和实施好内部控制，我认为，首先需要回答几个问题。

内部控制从何而来？它的前世是什么样的？它又经历了哪些历史的变迁和演变？为何我们今天的政府监管机构如此重视它，并大力推广？

本文将带您探索内部控制的前世今生。先通过一张图，全景式地了解一下内部控制的前世今生，后文逐一解读。

内部牵制阶段

内部牵制理论，可追溯17世纪至18世纪古罗马时期，最初是指会计记账和钱币管理不能为同一个人，需要两个人分开独立操作，以形成相互监督，避免钱财损失。

内部牵制核心思想是任何个人不能单独控制任何一次或一部分业务，强调内部交叉复核或检查、内部制衡，以降低舞弊或错误率，以保护组织财产安全为目的，其核心手段是职责分工。

虽然该理论来源于西方，但内部牵制的思想在中国古代其实早有雏形，典型的是中国古代的相权制，通过设立两位或多位同级官员来达成相互制衡状态，以避免职权过大导致滥用职权现象。

譬如，在我国古代周朝，最初以王的亲属设立为诸侯，以削弱王权。

春秋时期，国君开始任命丞相协助其处理政务，丞相的地位和权力很大，为了防止丞相权力过大，国君设立两位丞相，使其相互制约，即所谓的“二丞相制”。

汉朝以后，皇帝设立太尉、御史大夫、丞相三个最高官职，形成互相制约。另外，汉朝还设置了类似御史台机构，负责对其他官员进行监察，以防止权力滥用。

明朝时期所建立的“内阁机制”，皇帝会任命几位大学士共同处理国家事务，大学士权力很大，可参与决策大政。但是，内阁大学士之间需要相互协商，相互制约，防止任何一个人独揽大权。

我国古代这些皇权制度实质属于分权制衡，属于内部牵制一种典型表现。

内部牵制，属于内部控制最原始、最朴素的理念，也是企业经营管理领域最有效力的一种管理思想，企中大量的管理机制正是内部牵制思想的应用体现，如不相容职务分离、集体商议、集体决策、流程会签、信息共享、公司法人治理、项目矩阵制，等等。

内控制度阶段

随着时间推移至上世纪30年代，以美丽国为代表的资本市场出现虚假繁荣，上市公众公司在资本市场上虚假披露财务信息等，给投资者造成了巨大的损失影响。

为完善资本市场、保护公众投资者，1934年，美丽国证监会颁布了《证券法》《证券交易法》，法规提出公众企业要建立内部会计控制制度，为对外披露真实可靠的财务会计信息提供合理保证，以避免误导投资者决策。

1958年，美丽国审计程序委员会发布《独立审计人员评价内部控制的范围的报告》，将内部控制分为内部会计控制和内部管理控制，内部管理控制关注组织内部管理方法和程序，强调内部人员遵守执行。内部管理控制与内部会计控制两者密切相关，要确保内部会计控制有效，内部管理控制得做好，二者是因果关系。

内部牵制阶段强调以职责分工手段实现控制目标，该阶段，将内部控制与流程、程序以及规则等相结合，要实现会计信息可靠，会计信息真实反映业务经营实际，必须要追溯至业务端。

内控制度阶段，是内部控制以政策立法形式进入公众视野，对于内部控制在企业组织内有效推行，想必起到了较大的作用。

内控结构阶段

1972年，美丽国总统尼克松的竞选团队在强大的政策和财务压力下，试图窃取对手的竞选策略，最终导致了“水门事件”。这一事件揭示了内部控制的重要性，尤其是在防止欺诈和滥用行为方面。事件后，美丽国公众对于公司的道德、诚信和公开透明度有了更高的期待。因此，1977年，美丽国政府出台《反海外腐败法》，涉及反行贿条款与内部控制条款，内部控制条款仍然针对上市公司内部会计系统控制。

到20世纪70年代后期，美丽国AICPA于1988年5月发布《审计准则公告第55号》，提出“内部控制结构”的概念，取代“内部控制制度”，该公告指出：“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序，认为内部控制包括三个方面：控制环境、会计系统和控制程序。

与内部控制制度阶段相比，变化较大的是把控制环境纳入内部控制范畴，控制环境强调公司治理结构、道德准则与诚信、内控理念与态度、问责机制等，提出控制环境概念，是一次重大突破与提升。

控制环境属于意识形态因素，而意识形态往往所起的作用却是最基础和决定性的，对内部控制整体效果起到宏观性作用，影响企业方方面面。

从当时美丽国资本市场公众公司实际表现来看，仅仅建立管理控制和会计控制，并不能很好预防企业财务舞弊风险现象，企业管理层会凌驾于管理控制和会计控制程序实施财务舞弊。因此，关键是要加强内部控制环境建设。

内控整合框架阶段

到20世纪90年代，美丽国反虚假财务报告组织委员会，简称COSO，由五个会计相关的专业委会员，包括注册会计师协会、内部审计师协会、管理会计师协会、美丽国会计协会和财务经理协会组成，发布了内部控制整合框架，这份框架是内部控制发展史上一次里程碑事件，对全世界各国内部控制实践产生了较为深远的影响。

COSO内部控制整合框架相比以往，更具有系统性和指导性，其最大特点是基于风险视角分析和解决问题。

内部控制整合框架提出内部控制三目标、五要素。三目标分别为财务报告信息真实、合法合规、及运营效率，涵盖企业日常经营管理方方面面。

内部控制五要素涉及内控环境、风险评估、控制活动、信息与沟通和监督，在此不作具体追溯。

21世纪初，由于安然、世通等财务作假丑闻，对美丽国资本市场形成了巨大的伤害，2002年7月30日，美丽国总统正式签署《萨班斯—奥克斯利法案》（简称SOX），包含了影响上市公司及其高管、以及审计师的有深远意义的条款，同时促成美丽国证监会成立了上市公司会计监督委员会（PCAOB），专门对上市公司和为上市公司进行审计的会计师事务所进行监管和督查。

法案第404节条款规定:

强调管理层建立和维护内部控制系统及相应控制程序充分有效的责任；
发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价，出具内控评价报告，评价报告要经CEO和CFO签字确认；
外部审计师要同时对财务报告和内部控制进行审计，出具审计报告。

SOX是非常令人敬畏的，一旦存在虚假记录导致重大错报，管理层要被刑法，是要坐牢的，很多高管因财务内控舞弊被判入狱，且在狱中度过了下半辈子或者将牢底坐穿，所以对管理层影响是深远和重大的。

企业风险管理整合框架阶段

美丽国COSO于2004年提出了企业风险管理整合框架，以实现企业发展战略目标为导向，从原来仅关注内部视角衍生到外部视角，不仅关注企业内部各种风险，而且关注企业所面临的外部风险影响，不仅关注资产安全、财务报告信息真实性、以及合规风险，而且上升到企业战略与经营层面。

随着新兴行业与技术发展，内部控制与风险管理也面临新的外部环境，内部控制与风险管理理论也在结合实践不断迭代。

COSO委员会先后于2013年和2017年发布《内部控制整合框架2013》和《企业风险管理框架2017》，相比之前框架，内部控制整合框架内容及要素变化不太大，主要是增加和更新了一些原则性要求。

企业风险管理框架变化相对比较大，对风险及风险管理定义、与战略与价值结合程度、以及新技术利用方面等均存在显著的变化，在此也不做过多追溯，日后有机会撰文介绍。

内部控制在中国发展历程

内部控制在我国的发展历程，如下图所示：

起步阶段

在我国，从政策层面看，内部控制起始于会计控制，以财政部《内部会计控制规范》出台为准。

2006年，随着对资本市场制度建设加强，证监会及交易所相继出台了内部控制相关指引或规范，主要以督促上市公司经营运作规范，保证对外披露财务信息真实可靠，是资本市场健康发展的一项基础性制度安排。

但，上述内控监管政策在实际操作层面存在一些问题，很多企业不知道如何将监管政策要求与公司经营管理活动有效结合，政策监管精神与企业实际执行间存在鸿沟。

基本建成

为解决上述问题，2007年，财政部联合国资委、证监会、银监会、保监会（当时，银监会和保监会是分开的）等五部委，共同研究起草并出台了《企业内部控制基本规范》，这部法规出台，在我国内部控制发展史上是具有划时代意义。

其一，由国家五个部委共同联合发布，打破以往各部委各自为政局面，从顶层设计上保持了一致，是我国上市公司、IPO企业、以及国有非上市企业等，共同遵循的基本准则；

其二，规范对企业内部控制定义、目标、原则、要素等作了系统性规定，对我国企业实施内部控制起到统领驾驭作用，也是对《内部会计控制基本规范（试行）》、证监会及交易所所出台的内部控制政策的有效集成。

其三，强调全面性内控，不局限于会计控制、资产安全控制等，强调内部控制体系系统性和整体性，涵盖企业战略、运营、财务报告、资产及合规等，更加符合企业经营管理实质和需要。

随后，财政部等五部委在2010年出台三个配套指引，分别为《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》。

三指引为企业内部控制体系建设、评价及审计工作开展提供了有力指导，如《企业内部控制应用指引》一共18项，涉及企业战略、组织架构、人力资源、企业文化、人力资源政策、资金活动、销售、采购、财务报告等各领域，指引内容具有较强的普适性，为企业内部控制建设提供了有益的借鉴，当然，还得要与企业实际相结合，绝不可照搬。

分批实施

从2010年开始，内部控制在A股主板上市公司摔先推行，逐步过度到创业板上市公司，但并非强制。

为更好推广企业内部控制基本规范及其配套指引，财政部在规范推行之初，专门发布了两个解释文号，分别为《企业内部控制规范体系实施中相关问题解释第1号》与《企业内部控制规范体系实施中相关问题解释第2号》，对上市公司内部控制实施过程中碰到的困惑给予解答。

除上市公司外，央企、省属及部分地市国有企业，也相继被逐渐推行。

在长达10年内控实践过程中，企业基本上都完成内部控制体系建立与不断更新循环，逐渐进入常态化阶段，企业管理水平应该说有了长足进步。

全面强化时代

随着资本市场注册制全面开启，强调财务报告及相关信息披露质量，监管机构对拟IPO发行企业财务报告内部控制的审核力度越发严格，不管外部会计师、投行保荐人等面临较大的审核压力与责任风险。

同时，近些年上市公司造假手段的多样化，经常被爆出惊天大瓜，对资本市场、监管机构及会计师事务所形成了很大的压力。

针对上市公司，财政部与证监会2022年出台《关于进一步提升上市公司财务报告内部控制有效性的通知》，强调内部控制，特别是财务报告内部控制，是加强财会监督、遏制财务造假、提高上市公司会计信息质量的重要基础，要充分发挥内部控制在上市公司财务报告中的控制关口前移、提升披露透明度、保护投资者权益等重要作用。

同时，2023年财政部和证监会联合发布《关于关于强化上市公司及拟上市企业内部控制建设推进内部控制评价和审计的通知》，从2024年开始，内部控制在我国资本市场所有板块（主板、创业板、科创板、北交所）全面推行，标志着中国版SOX正式步入全面强化时代，也意味着内部控制将成为企业必选项。

总结

内部控制理论及法规是随着资本市场和企业实践的不断发展而被逐渐丰富。从内部控制发展史可以看到，内部控制价值由单一变得多元，从以保护组织财产和防止舞弊为目标，到以保证财务报告信息可靠为目标、经营合法合规、再到追求组织运营效率与效果提升目标。

换个角度说，实施内部控制的驱动因素，不仅基于财产安全、防范舞弊、经营合规，还基于运营效率与效果提升诉求，也就是常说的管理提升。