第一节　内部控制的概述与发展 　　一、内部控制的概念 　　内部控制是为确保实现企业目标而实施的程序和政策。内部控制系统涉及企业财务、运营、遵纪守法等具体运作层面。 　　不同国家对内部控制都有不同的认识和理解，但本质上这些定义和理解基本相同。 　　1.COSO委员会的定义 　　1992年9月，COSO委员会提出《内部控制——整合框架》，1994年又进行增补，简称《内部控制框架》，即COSO内部控制框架。在该框架中，COSO对内部控制的定义是：“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。”该定义比较全面，也比较权威。 　　2.美国上市公司会计监督委员会（PCAOB）对内部控制的定义 　　该定义主要是从保证对外财务报告的可靠性角度定义的，强调对财务报告形成过程的内部控制。 　　3.特恩布尔委员会对内部控制的定义 　　该定义与COSO的定义基本相似。 　　4.中国《企业内部控制基本规范》对内部控制的定义 　　内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和结果，促进企业实现发展战略。 　　 　　二、内部控制在国际间的演变与发展 　　1.内部牵制阶段 　　内部牵制是指提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。它以账目间的相互核对为主要内容并实施一定程度的岗位分离，基于以下两个假设：两个或两个以上的人或部门，无意识犯同样错误的可能性很小；两个或两个以上的人或部门，有意识地合伙舞弊的可能性大大低于一个人或部门舞弊的可能性。 　　2.内部控制制度阶段 　　1958年美国注册会计师协会下属的审计程序委员会将内部控制划分为内部会计控制和内部管理控制。前者是指与财产安全和会计记录的准确性、可靠性有直接联系的方法和程序，后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。 　　将内部控制一分为二使得审计人员在研究和评价企业内部控制制度的基础上来确定实质性测试的范围和方式成为可能。 　　3.内部控制结构阶段 　　控制环境逐步被纳入内部控制范畴。 　　美国注册会计师协会于1988年发布的《审计准则公告第55号》中明确提出了“内部控制结构”概念。该公告认为，“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”，并指出内部控制结构由控制环境、会计制度和控制程序三个方面组成。 　　控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素，诸如管理者的思想和经营作风、企业组织结构等。 　　会计制度规定各项经济业务的确定、分析、归类、登记和编报的方法，明确各项资产和负债的经营责任。 　　控制程序指管理当局所制定的政策和程序，如经济业务和活动的批准权，明确人员职责分工，资产和记录的接触控制等，从而达到一定的控制目的。 　　4.内部控制框架阶段 　　1992年由美国会计学会（AAA）、注册会计师协会（AICPA）、国际内部审计人员协会（IIA）、财务经理协会（FEI）和管理会计协会（IMA）等组成的COSO委员会（Committee of Sponsoring Organizations）提出《内部控制——整体框架》，并于1994年进行了修改。这就是著名的“COSO报告”。 　　 　　三、中国内部控制的发展状况 　　2005年10月证监会出台《关于提高上市公司质量的意见》； 　　2006年5月17日，中国证券监督管理委员会发布《首次公开发行股票并上市管理办法》； 　　2006年6月5日，上海证券交易所出台《上市公司内部控制指引》； 　　2006年6月6日，国务院国有资产监督管理委员会发布《中央企业全面风险管理指引》； 　　2006年9月28日，深圳证券交易所发布《上市公司内部控制指引》； 　　2008年6月28日，财政部会同审计署、证监会、银监会、保监会联合发布《企业内部控制基本规范》； 　　2010年4月15日，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》。 　　第二节　企业内部控制的目标和原则 　　一、内部控制的目标 　　内部控制涉及企业管理的方方面面，内部控制的目标也呈现出多元化、纵深化的趋势。 　　1.确保企业战略的有效实现 　　任何企业都有其特定的战略，要有效实现组织的战略，就必须及时对构成企业的资源（财产、人力、知识、信息等）进行合理的组织、整合与利用，这就意味着这些资源要处于控制之下或在一定的控制之中运营。如果一个企业未能实现其目标，那么该企业在从事自身活动时，一定是忽视了资源的整合作用，忽视了经济性和效率性的重要性。 　　2.服从政策、程序、规则和法律法规 　　为了协调企业的资源和行为以实现企业战略，管理者将制定政策、计划和程序，并以此来监督运行并适时做出必要的调整。另一方面，企业还必须服从由社会通过政府制定的法律法规、职业道德规则以及利益集团之间的竞争因素等所施加的外部控制。 　　内部控制系统必须保证遵循各项相关的法律法规和规则。 　　3.经济且有效地利用企业资源 　　所有的企业都是在一个资源有限的环境中运作，一个企业实现其目标的能力取决于能否充分地利用现有的资源，制定和设计的内部控制必须根据能否保证以最低廉的成本取得高质量的资源（经济性）和防止不必要的多余的工作和浪费（效率）。 　　管理者必须建立政策和程序来提高运作的经济性和效率，并建立运作标准来对行动进行监督。 　　4.确保信息的质量 　　除了建立企业的目标并沟通政策、计划和方法外，管理者还需利用相关、可靠和及时的信息来控制企业的行为。 　　同时，决策信息系统特别是会计信息系统也依赖于内部控制系统来确保提供相关、可靠和及时的信息。 　　内部控制系统必须与确保数据收集、处理和报告的正确性相联系。 　　5.有效保护组织的资源 　　资源的稀缺性客观上要求企业通过有效的内部控制系统确保其安全和完整。如果资源不可靠、损坏或丢失，企业实现其目标的能力就会受到影响。 　　保护各种有形与无形的资源，一是确保这些资源不被损害和流失，二是要求确保对资产的合理使用和必要的维护。 　　二、内部控制的原则 　　1.合法性原则 　　内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。 　　2.全面性原则 　　内部控制在层次上应当涵盖企业董事会、管理层和全体员工，在对象上应当覆盖企业各项业务和管理活动，在流程上应当渗透到决策、执行、监督、反馈等各个环节，避免内部控制出现空白和漏洞。 　　3.重要性原则 　　内部控制应当在兼顾全面的基础上突出重点，针对重要业务与事项、高风险领域与环节采取更为严格的控制措施，确保不存在重大缺陷。 　　4.有效性原则 　　内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。 　　5.制衡性原则 　　企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求，确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。 　　任何人不得拥有凌驾于内部控制之上的特殊权力。 　　6.适应性原则 　　内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求，并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。 　　7.成本效益原则 　　内部控制应当在保证内部控制有效性的前提下，合理权衡成本与效益的关系，争取以合理的成本实现更为有效的控制。