什么是内控?

　　联系性，但重点逐步从一般含义向具体内容深化。这一变化的标志是1988年4月AICPA发布的《审计准则公告第55号》，规定从1990年1月起以文告取代1972年发布的《审计准则公告第1号》。该公告的颁布和实施是内部控制理论研究的突破性成果，它首次以“内部控制结构”一词代替原有的“内部控制”。指出：“企业的内部控制结构包括为提供企业特定目标的合理保证而建立的各种政策和程序。”并明确解释了内部控制结构的三要素，即控制环境、会计制度、控制程序及它们的具体内容。20世纪90年代后，由美国会计学会、注册会计师协会、国际内部审计人员协会等组织参与的“发起组织委员会”（简称为COSO）发布报告《内部控制———整体框架》。1996年美国注册会计师协会发《审计准则公告第78号》，全面接受COSO报告的内容，并从1997年1月起取代1988年发布的《审计准则公告第55号》。公告中指出内部控制是由一个企业董事会、管理阶层和其他人员实现的过程。旨在为实现经营的效果和效率、财务报告的可靠性、符合适用的法律和法规等目标提供保证。将内部控制结构分为控制环境、风险评估、控制活动、信息与沟通、监督5个要素。

　　内控-发展

　　内部控制的发展阶段,即形成阶段和发展与完善阶段

　　第一个阶段：20世纪80年代前，人们对内部控制的认识源于内部牵制的理论假设，这一阶段的特点为：在企业内部形成了比较系统的内部控制措施、程序和方法，基本上形成了业务处理程序化、业务分工标准化、企业员工间协作与制约制度化，以及与经营目标关联化的理论格局。另一方面，我们也可以发现这一理论在于以内部会计控制为主，重点集中在如何防弊纠错上，使内部控制在面对企业管理实际时显得过于消极和狭窄。

　　第二阶段：20世纪80年代以后，受系统论、控制论等理论的影响，以及90年代信息产业和高风险行业兴起的冲击，学术界对内部控制的研究发生了较大的变化，具体表现为内部控制结构和内部控制整体框架两种观点。虽然二者存在有一定的差异，但这一阶段的理论特点则反映了人们对内部控制研究重点的转移，即逐步从一般向具体深化，并将内部控制“要素化”，体现了内部控制源于管理阶层的经营方式与管理过程相结合的特点。

　　内控-评价体系

　　国内外内部控制评价标准的体系及特点

　　（一）美国上市公司的内部控制评价标准体系

　　尽管美国SEC基于灵活性的考虑并没有制定内部控制的评价标准，而是规定了评价标准适当与否的条件，但指出COSO的内部控制框架为适当的标准，PCAOB也以此制定审计准则，从总体上来看，形成了一个层次清晰的体系。

　　1.评价标准。根据适用企业的规模与内部控制的内容分为：

　　（1）COSO《内部控制——整合框架》：适用于一般企业，涉及经营、财务报告和合规三类目标。它由COSO发布，包括5个要素，得到了公司管理层、审计师的认可和广泛应用，也得到了SEC和PCAOB的认可，适用于一般上市公司。它提供了一个识别内部控制要素和目标的整合框架和评价有效性的标准，但没有对评价过程中必须遵循的步骤提出详细的指南。

　　（2）COSO《财务报告内部控制——小规模公众公司指引》：适用于小规模企业，涉及财务报告的可靠性一类目标。它由COSO发布，主要基于内部控制评价的成本效益性考虑，适用于小规模企业财务报告内部控制的评估，它有与《内部控制——整合框架》相一致的原则和特征，内部控制框架不变。目的是应对财务报告目标的唯一需求，但许多原则和特征适用于所有三类控制目标。主要内容包括5个要素，20条原则和79个属性。

　　（3）COSO《企业风险管理——整合框架》：适用于一般企业，涉及战略、经营、财务报告和合规四类目标。它由COSO发布，包括八个要素，在范围上风险管理包括内部控制；在构成上，以“内部环境”取代“控制环境”，体现风险管理的理念，拓展风险评估要素，进一步细分为目标设定、事项识别、风险评估和风险应对四个要素。

　　2.评价实施标准，用来规范、指导如何评价和审计内部控制，它包括：

　　（1）COSO《内部控制——整合框架》中的内部控制要素评估工具。COSO在发布《内部控制——整合框架》的同时发布的内容，它对于内部控制的评价具有一定的指导作用。

　　（2）SEC发布的管理层评价内部控制的解释性指南。SEC指出，上市公司的管理层按照这一指南实施的内部控制评价能满足SEC相关规则的要求，因此，它应当是半强制性的。

　　（3）PCAOB发布的内部控制审计准则。PCAOB发布的内部控制审计准则是注册会计师在审计上市公司的内部控制时必须遵守的规则，它是强制性的。

　　（二）英国上市公司内部控制评价的标准

　　英国上市公司内部控制评价的标准具有高度的原则性和市场导向，没有提出非常具体的要求，只有一个Turnbull指南对内部控制评价标准进行了原则性规定，但包含了许多规制方面的内容。Turnbull指南具有以下特点：

　　1.既要帮助公司遵守《联合规则》有关内部控制的要求，又要反映优良的业务实践，不限制公司以适合其特定情况的方式应用指南的能力。

　　2.涵盖所有内部控制，而不仅仅是财务方面的。

　　3.高层次和原则导向，使用风险基础方法。

　　4.指出有效内部系统的构成要素包括：控制活动；信息与沟通过程；监督内部控制系统持续有效性的过程。

　　5.只给出一些在控制风险时应当考虑的原则，并没有规定应该实施哪些步骤和程序。一方面，这些原则很难变成直接的行动指南，可操作性不强；另一方面，采用原则的形式使之具有充分的弹性，公司可以根据变化的业务环境对这些原则进行取舍，以实施、强化和整合其风险控制战略。

　　6.不要求董事会对内部控制的有效性做出对外报告。

　　7.不要求外部审计师审计内部控制。

　　8．“遵守或解释”原则，可以不遵守相关要求，只需说明原因。

　　COSO内部控制框架与Turnbull指南的比较如下表所示：

　　三、我国企业内部控制评价标准体系的设计

　　（一）我国企业内部控制评价标准的总体设计思路

　　基于上述理论分析和比较研究，我国企业内部控制评价标准的总体设计思路应当是：

　　1.将内部控制定位于广义的内部控制。选择战略、经营、报告和合规的四目标模式，以保证广泛的适用性、企业管理的实用性与内部控制发展的前瞻性。

　　2.从企业经营管理的实际出发，以最佳实践为基础，充分满足企业战略管理和经营管理的需要，提高其对企业的价值，避免仅仅成为一种法规的遵循。

　　3.应当考虑规模不同企业内部控制的差异，优化标准的可伸缩性，以提高效率和成本效益。

　　4.原则基础。为了保证标准的适用性以及允许企业有充分的灵活性，无论是评价标准还是评价实施指南都应当是原则性的。

　　5.建立完整的内部控制标准体系。从大的方面可以分为内部控制评价的标准和内部控制评价（审计）实施的标准。

　　（二）我国企业内部控制评价标准体系的设计

　　我国企业内部控制评价标准体系总体上包括两个组成部分：内部控制评价的标准和内部控制评价（审计）实施的指南。

　　1.内部控制评价的标准

　　我国企业内部控制评价的标准应当包括：

　　（1）《企业内部控制基本规范》，将其作为内部控制评价的一般标准，适用于上市公司及大型企业。

　　（2）《小企业内部控制基本规范》，将其作为适用于中小型企业内部控制评价的一般标准，可在《企业内部控制基本规范》的基础上考虑中小型企业的特点作适当修改。

　　2.内部控制评价（审计）实施的标准

　　我国企业内部控制评价（审计）实施的标准应当包括：

　　（1）《企业内部控制评价规范》。将其作为企业管理层评价内部控制的实施指南，对内部控制评价的基本方法和程序进行指导。

　　（2）《中国注册会计师审计准则第X号——内部控制审计》，用来规范和指导注册会计师对内部控制的审计。

　　总之，我国应当在借鉴美、英等国上市公司内部控制规制的成功经验、吸取相关教训的基础上确定自己的总体设计思路，制定和形成广义的、基于最佳实践的、原则基础的、完整的企业内部控制评价标准体系。