一、内部控制的前世

1、内部控制的由来

内部控制（Internal Control）是近代提出来的，最原始的控制思想的雏形来源于内部牵制（Internal Check），牵制思想的体现可以追溯到人类几千年以前的古文明时期，从美索不达米亚到古埃及、波斯、古罗马等地的国库管理职能的分工上，都有内部牵制思想的体现。

在《周礼》的记载中，中国早在西周时代的国库管理中，便分为了职内、职出和职币三个岗位，分别负责收入、支出和盘点登记。所谓牵制，是指职能和职能之间必要的相互弥补、相互约束，不能由一个职能完全支配一项业务活动而没有交叉检查和约束。

可以看出，牵制思想最早出现在财政管理（财务管理）中，这些牵制思想直至今天还被作为财务管理的基本制度延续了下来。需要说明一点的是，最开始的牵制思想体现其实不仅仅是在财务管理领域，对于管理领域来说，管理牵制也是一个很古老的话题，只不过是由于财务管理的特殊性和敏感地位体现的突出一点罢了。

今天牵制思想的体现也随处可见，比如重要的场所上两把锁，保险柜的密码分为两段、业务按不同权限授权不同岗位等等。

我们前面写风险管理发展历史的时候，其中有一个分支是财务管理领域，指的就是内部控制的发展前身内部牵制思想的源头。

随着内部牵制思想的发展，控制一词最早在17世纪被提了出来，含义为“由登记者之外的人对账册进行检查核对”。在这个阶段，内部控制主要体现在对会计账目和会计岗位的分离和牵制。

2、内部控制设计的初衷

从上面的分析我们可以看得出，内部牵制思想的出现是要避免两类问题的出现，一类是无意识的错误、另一类是有意识的舞弊。

无意识的错误，如由于粗心大意或信息遗漏，或信息传输过程中出现误差导致最终的结果和实际情况出现差异；

有意识的舞弊，则是指有计划、有预谋的为了达到一定的目的而采取的一系列行动，导致财务数据和真实经营情况不符，最终的公司利益受损。而有意识的舞弊情况也是内部控制关注的重点。

无论是通过设计内部控制进行不同岗位交叉检验还是相互约束，都会大大降低以上两个方面问题出现的概率。

3、内部控制理论的历史发展

20世纪是现代企业管理理论的发展形成阶段，同样也是内部控制理论发展成熟的阶段。我们就按照时间的脉络总结一下这个过程的一些重要的里程碑事件：

• 1912年，罗伯特.蒙哥马利在其审计领域经典著作《审计理论与实践》中对内部牵制进行了系统定义；

  
  

• 1934年，美国发布《证券交易法》，要求证券发行人需要设计并维护一套内部会计控制系统；

  
  

• 1949年，美国注册会计师协会（AICPA）发表《内部控制：协同的系统要素对管理层和会计师的重要性》，首次给出了内部控制的定义；

  
  

• 1953年，AICPA在《审计程序说明》中将内部控制分为两部分：会计控制和管理控制；

  
  

• 1958年，美国会计师协会审计程序委员会（CAP）发布了《独立审计人员评价企业内部控制的范围》中也确定了将内部控制分为会计控制和管理控制两类，这也被业内人士称之为内部控制“二元论”阶段；

  
  

• 1963年，CAP发布公告《审计准则程序》中针对1958年发布的会计控制和管理控制二项工作，针对审计人员对管理控制审计没有经验导致审计方法难以标准化且审计效果不理想等情况，CAP表示审计人员重点关心会计控制，而管理控制不直接影响会计记录，因此无需评价。

  
  

  历史总是惊人的相似，在中国财政部2010年发布的《企业内部控制审计指引》中，我们也是将企业内部控制分为了财务报告相关内部控制和非财务报告相关内部控制。当时研讨审计指引时，各大事务所也是针对要求事务所发表对企业非财务报告相关内部控制审计结论有很多不同声音。最后的审计指引不得不改为事务所主要针对财务报告相关内部控制发表意见，而对非财务报告相关的内部控制，则要求如果审计过程中有发现就披露，无发现就不必披露了，这一幕和50年前美国当时的情况如出一辙。

  
  

• 1972年，由于美国总统选举导致的"水门事件"的发生，在后续调查的调查中发现众多美国公司在全球进行非法捐款和贿赂，所以在后续出台的《反海外贿赂法》即FCPA，要求所有的美国公司都要建立和保持健全的会计记录和内部控制，所以水门事件也被看做是内部控制发展史上的里程碑事件；

  
  

• 1985年，为了遏制日益猖獗的企业会计舞弊行为，美国的5家相关领域的权威机构联合成立了一个美国反财务造假委员会，就是我们今天熟悉的COSO（The Committee of Sponsoring Organization of the Treadway Commission），关于COSO的介绍请见前期文章COSO委员会组织简介（点击打开）；

• 1988年，AICPA发布了《审计准则公告55号：在财务报告审计中考虑内部控制结构》，其中将内部控制分为了控制环境、会计系统、控制程序三部分。其中，本次加入了控制环境的要素需要重点关注，这是在前期摸索的基础上，发现内部控制的建立和生效需要有一个良好的土壤，如果土壤条件不具备，那内部控制体系建立的再完善也无法存活。至此，内部控制走上了“三元论”时代。

  
  

• 1992年，COSO委员会公布《内部控制-整合框架》，这是一部划时代的框架，也是一部对今天的内部控制理论和实践有重要指导意义的文件，这个框架作为此领域最具代表和权威性的框架，被全球多个国家借鉴和采用，并修订形成了当地国的内部控制框架，其中包括中国2008年发布的《企业内部控制基本规范》，就是此框架为蓝本起草形成的。此框架对于内部控制的定义也作为一个被广泛认可的定义一直沿用至今：

  
  

  “内部控制是一个过程，由组织的董事会、管理层和所有员工共同实施，旨在为经营的效率效果、财务报告的可靠性、法律法规的遵循性提供合理保证。”

  
  

  也正是此框架，将内部控制分为了五要素“内部环境、风险评估、控制活动、信息沟通、监督改进”，从而将内部控制带入“五元论”时代。

从上述的发展历史可以看得出来，先是出现了牵制思想，而后作为组织的审计内容的一部分被系统的定义和要求，我们之前的相关文章中谈过内部审计的发展历史，在这就不在重复了，在审计职能的要求和推动下，又发展为今天专门的内部控制理论体系，继而又发展孕育了风险管理体系。

这种思想的演变我们也能从中国公司的身上找到影子，华为公司的内部职能机构的演变也能印证这种过程，华为内部是先有内部审计部门，后来从内部审计部门衍生独立出来内部控制部门，再后来从内部控制部衍生独立出来风险管理部门，和我们历史的发展规律完全一致。

二、内部控制的今生

我们以新世纪为一个标志点，把2000年之后至今的内部控制发展阶段，称其为内部控制的今生。

1、21世纪初的系列财务造假案

2001年，新千年伊始，对于美利坚合众国来说，可谓流年不利、祸不单行，先是遭受了在美国本土历史上影响力最大的911恐怖袭击，对美国政治和经济各个领域造成了极大的影响。紧接着又发生了以安然事件为代表的一连串大型公众公司财务造假的事件，重创了美国资本市场和全球投资者的信心。

2000年，安然公司位列世界500强第7位，曾一度是全球最大的能源交易商，对于这样一个巨无霸企业，突然在2001年宣布破产，让所有人始料未及。安然的股票价格也从最高每股将近100美金跌至26美分，让手中掌握大量安然股票的机构投资者和普通投资者血本无归。

投资者不禁追问，这么个庞然大物发展到这么严重的破产事件，为什么前期一点征兆都没有，财务数据为什么没有一点反应？

实际上，安然从1995年开始由于投资的连续失误导致公司的业绩一路下滑，公司的管理层为了稳定投资者信心和股价、兑现管理层的绩效奖励，采取了铤而走险的做法：通过虚增收入和关联交易等手段对损失进行掩盖，用造假的财务数据粉饰财务报表，并买通了其外部审计机构-安达信会计师事务所（Arthur Andersen）对其出具了无保留意见的审计报告。安达信作为当时全球五大会计师事务所之一，由于在此次安然事件中扮演了帮凶的角色，安然事件发生后，安达信也跟着安然的破产而倒闭了。

安然事件的出现，也凸显了美国社会的“数字迷恋”程度，认为只要通过研究企业报表就可以掌握一家企业的经营情况，这种迷恋来自第二次世界大战中，美军通过精确的数字计算从而在战争中取得的最优化作战胜利。

战争结束后，数字化的管理模式传入了企业管理领域，助推了几个大型企业的崛起，让美国人陷入一种认为可以通过数字看到一切、洞悉一切、掌握一切的幻象中，著名的质量管理专家戴明更是说出了“除了上帝，任何人都应该用数据说话”的名言。所以，安然公司虽然过去这些年经营一直滑坡，但利用财务数据造假粉饰报表的手段也撑了超过半个时代而没有被人察觉。

另外，造成安然接连出现失误而业绩大幅下滑的原因还包括安然的激进的企业文化。在安然，经营者追求的目标就是“高获利、高股价、高成长”。安然公司的主管们建立了以盈利增长为核心的文化，安然鼓励的是不惜一切代价追求利润的冒险精神，用高盈利换取高报酬、高奖金、高回扣、高期权。

安然事件从外部和表面上看是内部控制出现漏洞，导致财务报表没有真实反映公司的实际经营成果，从本质上看还是败在了从战略到投资、从经营到文化的风险管理失效和失衡上。

安然事件发生后，众多美国全球知名公司都接连被爆出财务造假的事实，包括世通、施乐、默克、强生、IBM、思科、摩根大通等，其中部分公司也申请了破产保护，世通的破产规模更是超越了安然公司。

2、萨班斯法案（Sarbanes-Oxley Act）的出台

2002年，美国国会称这一系列的财务造假丑闻“彻底打击了投资者对美国资本市场的信心”，为了挽回全球投资者的信心，国会的参议院和众议院联合以最快的速度起草并提交了萨班斯法案，最后法案由时任总统布什签署生效，布什称其为：自罗斯福总统（颁布了证券法）以来美国商业界影响最为深远的改革法案。

萨班斯法案中明确提出对于公众公司建立和保持内部控制有效性方面的强制要求，提高企业财务报告和审计的质量和透明度。如其中的302，404，906条款都是和内部控制紧密相关的内容，并且制定了非常严苛的惩罚条件，这也是让所有公司管理层都特别重视的原因之一，篇幅原因我们就不展开说明了。

在执行过程中，美国证券交易委员会(SEC)唯一推荐使用的就是我们前面提到的COSO在1992年发布的《内部控制-整合框架》，同时美国公众公司会计监督委员会（PACOB）发布的审计细则中也明确将COSO内部控制框架模板作为评估企业内部控制的标准。这让COSO的内控框架名气大增，对其发展成为全球内部控制框架权威参考文件起到了巨大的推动作用。

从全球范围来看，除了COSO的内部控制框架，各个国家其实都发展出了相关的内部控制相关文件，如英国的Turnbull、加拿大的COCO、南非的King、日本、韩国等等。中国香港颁布的《公司管治常规守则》中，也明确要求了关于内部控制的内容。上面这些提到的内控框架中有一部分是参考采用了COSO的内控五要素框架，有些则没有。

3、中国内部控制体系建设

2008年，在前期国家各部委和部门发布的内部控制文件的基础上，中国财政部参考了COSO的5要素内控框架，经过几年的调研起草，联合证监会、银监会、保监会、审计署等5部委发布了《企业内部控制基本规范》。

2010年，又出台了18项具体业务的《企业内部控制应用指引》和《企业内部控制评价指引》及《企业内部控制审计指引》，标志着中国企业内部控制进入标准化、常态化的发展阶段，我们也将这套文件称作中国版萨班斯（C-SOX）。其实，财政部在正式出台这些文件之前就发布过不止一版征求意见稿。2006年，我协助青岛啤酒建立内部控制体系时，就是参考的其征求意见稿文件。

2010年内部控制体系文件发布后，由于境内外同时上市的企业在赴海外上市时，经历过一次内部控制的审核历练，所以这些企业被作为第一批按照中国模式要求建立内部控制体系，并逐年扩展到国内主板上市公司和非上市大中型企业。2010年后，在中国执业的会计师事务所及相关咨询公司迎来了一波由于内部控制监管要求推动的业务增长期。

2012年，财政部和国务院国资委联合发文，推动中央企业用两年时间建立覆盖全集团的内部控制体系。

2014年，财政部又出台了《行政事业单位内部控制规范》，要求所有党政机关和事业单位建立健全内部控制体系。至此，中国的内部控制体系建设全面铺开。

4、2013年COSO内部控制框架的更新

时隔20年后，COSO对其第一版发布的具有国际影响力的内部控制框架进行了更新。针对原有5要素的立方体框架没有做根本性调整，只是对更新文件采用了国际通行的要素加原则的书写方式，详述了企业内部控制的5个要素20个原则以及82个关注点。

由于中国在推行2008及2010年财政部发布的内部控制框架，所以尽管财政部引进并组织翻译了COSO2013年的更新文件，在中国企业界并没有引起更多的关注。财政部也解释称在起草中国内控文件时，新版COSO内控框架的更新内容已在考虑范围之内，因此中国的内部控制文件无需更新。

5、东西方对内部控制体系的理解差异

根据这么多年协助企业实施中外企业内部控制框架的经验，结合自己的思考，我们来分析下中国的内部控制体系和西方的内部控制体系到底有什么差异？

首先，我们通过上面的分析能够看得出来，西方内部控制的发展历程，从牵制到财务、审计到控制，从安然事件到萨班斯法案，有一个显著的特点，这些要求就是为了使企业达到内部控制设计时的一个最基本的目标-财务报告目标。企业建立内部控制的体系首先保证财务数据的真实性和可靠性，但是财务数据是否真实可靠，不仅仅和财务部门相关，很多有价值的数据都是在运营中生成，和业务紧密相关。

从这点出发，内部控制又向业务端进行了延伸，所以在执行萨班斯内部控制项目时，虽然有些内容是与运营和合规目标相关，但也是以财务的视角进行的审视。

从西方的投资者角度而言，财务报告可以说是其判断一个企业是否具有投资价值的最重要的依据材料，所以监管机构必须以一种强制要求的形式使企业保持有效的内部控制来更好的保护投资者。对于监管机构来说，这就是最核心的目的。

所以，对于一个美国上市企业，事务所要给出内部控制是否有效的结论，需要按照财务报表划定范围，对重要的业务循环进行大量的抽样测试，合理保证从业务端到会计科目的数字是准确可靠的。

而中国的内部控制体系，与西方不同的是，我们投入了大量的精力，发布了十几项具体的业务内部控制指引，虽然我们采用的是比COSO更全面的五目标体系，但实际执行的过程中，我们的目标定位从财务报告目标转向了具体业务控制。

坦白讲，这样的一个变化是有利有弊。

从我们分析安然的案例看，导致安然破产的根本原因是业务风险控制出了问题，而后通过会计造假进行的掩盖，这样来看，财务报告的真实可靠并不代表业务风险控制的好。所以中国的内控体系从财务报告转向业务，应该是更接近风险的本源，这是有利的一面。

不利的一面是什么呢？

前些年西方的内部控制体系推行过程中，为了达到财务报告真实可靠的目标，积累了一套最佳实践，所有的工作都是冲着这个目标来的。现在我们的目标转向了业务控制，目前并没有一套成熟的最佳实践明确的告知，在各个业务角度来看，怎么叫好？怎么叫不好？怎么评价？怎么审计？怎么叫合规？工作量到底有多大？在这些问题没有被明确的定义之前，企业搭建一个内部控制体系的灵活度会非常大。

反应的直接一点，这些不确定性会造成咨询机构在市场上乱开价、乱竞争的现象。前些年，国内的一些海外上市的公司需要花费上千万完成内部控制体系的建设。而这几年，国内的上市公司花几十万甚至几万都能有机构愿意协助，都流于了形式，就是上面提到的这些原因。其实这些，并不利于企业内部控制体系的真正落地和发展，妨碍了企业真正掌握和理解这套体系的价值和精髓所在。

为了让大家看得更直观，我绘制了如下的一张图来表达：

三、内部控制的未来

我们介绍了内部控制的前世今生，以及目前国内实施内部控制过程中存在的一些问题，目的是让大家可以从一个更全面的角度认识企业内部控制。目前看来，企业还远远没有认识到这套体系可以带来的价值。根据我这些年和数十家中国的大中型企业的深入接触的感受，中国企业的平均管理水平真正做到现代化、科学化和精细化的程度还有很大一块距离，而企业内部控制这套体系提供了一个全视角的控制要素集合，对完善企业现有管理要素有非常积极的作用。

1、一套成系统的规则体系

企业内部控制体系中包含了关于审批、授权、关键控制点设置等一整套和公司制度、流程相结合的要求，不仅强调制度的设计，也强调制度的执行，这实际是在帮助企业建立一套规则体系。而以这套规则体系来看中国的很多企业的管理，都不合格。

对于部分管理活动而言，有的企业是没有规则，有的是规则本身设计不具操作性，有的是有规则不执行，无论哪里存在灰色地带，哪里就有可能成为管理缺陷和业务失控的区域。企业内部控制其实是要帮助企业建立一套“有法可依、有法必依、执法必严、违法必究”的管理机制。

我曾经在腾讯大学讲授内部控制课程时，有一次来了一位之前连续创业失败的企业家，他听完之后感慨道，如果早点了解有这么一套东西，原来的创业项目可能就不会破产了。

2、一套企业管理的基本功体系

我经常和企业交流，中国发布的内部控制体系文件，提供的是一套企业管理控制的最低标准、及格标准，并不是最高要求，但是最低标准是底线、是基本功，对于企业来说是不可或缺的，无论是初创型企业还是大中企业，越早接触越好，越早融入管理体系越好。

2018年我写了一篇关于中兴事件的案例分析文章，我说中兴事件暴露了中国企业管理软实力的脆弱性，而提升软实力最重要的是要把企业管理的基本功打好，企业内部控制提供了一个很好的建立企业基本功的方法和路径，是一个很好的切入点。

3、一套精细化的管理体系

前些年有一本比较火的书叫《细节决定成败》，中国企业也曾经刮过一段时间的精细化管理、精益化管理的变革思潮。由于中国特殊的文化背景，中国企业实现精细化管理的路途不会非常平坦，管理界说，你所忽略的细节，你的敌人会告诉你。中航油事件陈九霖先生回忆说：魔鬼都藏在细节里！

很多企业经营管理的经验告诉我们，企业管理要横到边、纵到底、360度无死角才能保证企业发展处在可预期和可控范围内。企业内部控制体系和所有业务融合并提出具体的控制规则，从这一点来说，企业内部控制体系可以作为建立和完善企业精细化管理的一套工具在企业实施。

我们不仅在尖端的技术领域需要核心竞争力，在管理领域也需要形成自己的核心竞争力，而这，会惠及更广泛的正在崛起的中国企业。

转自：大风控

【中国内控管理师直聘平台】

响应国家战略

搭建企业内控管理人才队伍

积极发挥ICM桥梁纽带作用

由财政部中国财政科学研究院培训中心内控管理师办公室打造。

内控管理师ICM证书学员求职的企业直通车！