审计领域内部控制的变迁

内部控制理论的发展是一个逐步演变的过程，大致可以区分为内部牵制、内部控制制度、内部控制结构、内部控制整体框架、风险管理框架5个阶段。

内部牵制制度

在20世纪30年代以前，人们通常使用内部牵制（internal check）概念，内部牵制是内部控制的最初形式，主要出于保护财产安全的目的而设计的。内部牵制的思想是以账目的相互核对为主要内容，并实行岗位分离。在古罗马时代，对会计账簿实施的“双人记账制”。R·H·蒙哥马利在1912年出版的《审计——理论与实践》将“内部牵制制度”解释为：指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度。也就是一名员工与另一名员工必须是相互控制、相互稽核的。他认为：“如果存在良好的内部牵制组织，审计人员就无需进行详细审计”。而且，“审计人员如果认为内部牵制组织是适当的，就不需要其他人再重复操作会计业务。”

内部牵制扩大到内部牵制与控制

1936年，AICPA颁布了《独立公共会计师对财务报表的审查》，首次定义了内部牵制制度与内部控制制度：“内部牵制与控制制度是指为保证公司现金和其他资产的安全，检查账簿记录的准确性而采取的各种措施和方法。”

1938年，麦克森·罗宾斯公司破产案推进了审计实务界对内部控制的测试和评价。

1949年AICPA修改了内部控制的定义：“内部控制制度包括企业内部采用的机构计划和所有有关的调整方法和措施，其目的在于保护企业的财产，检查其会计资料是否正确可靠，以及提高业务效率，促进经营方针、组织计划的贯彻和企业内部所有调查方法的实施。”

1958年，出于对审计人员测试与财务报表有关的内部控制的需要，AICPA将内部控制制度区分为内部会计控制制度和内部管理控制制度，指出审计人员测试的主要责任在于前者。

1973年AICPA对这两类内部控制制度作了解释：“内部会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施，目的在于保护企业资产、检查会计数据的准确性和可靠性。”它包括如下一些控制：授权与批准制度；记账、编制财务报表，保管资产及资产的分离；财产的事物控制以及内部审计。

“内部管理控制制度包括，但不仅仅限于组织机构的计划，以及关于管理部门对事项核准的决策步骤上的程序与记录，目的在于提高经营效率、促使有关人员遵守既定的管理方针。”管理控制包括如下一些控制：统计分析、时动研究、经营报告、雇员培训计划和质量控制等。

将内部控制区分为内部会计控制与内部管理控制之后，审计人员发现有些控制无法确切归属到前者或后者中，另外后者其实对前者有很大影响，无法在审计时完全忽略。

1988年AICPA发布第55号审计准则公告《财务报表审计中内部控制结构的考虑》，较大幅度地改变了内部控制的定义，以“内部控制结构”的概念取代了“内部控制制度”。

内部控制结构

1988年美国审计准则委员会发布的第55号审计准财公告《财务报表审计中内部控制结构的考虑》，较大幅度地修改了对内部控制的定义。内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，内部控制由3个要素组成：内控环境、会计制度和控制程序。(www.daowen.com)

●控制环境

控制环境是指对企业控制的建立和实施有重大影响的一组因素的统称，包括管理哲学和经营方式、组织结构、董事会、授权和分配责任的方式、管理控制方法、内部审计、人事政策与实务等。

●会计系统

会计系统是指公司为汇总、分析、分类、记录、报告业务处理的各种方法和记录，包括文件预先编号，业务复核、定期调节等。

●控制程序

控制程序是指为合理保证公司目标实现而建立的政策和程序，它包括适当授权、恰当的职责分离、充分的凭证、记录资产和记录的实务控制、业务的独立检查等。

内部控制整体框架阶段

1985年，由美国会计学会（AAA）、美国注册会计师协会（AICPA）、内部审计师协会（ILA）、财务经理协会（FEI）以及管理会计师协会（IMA）共同赞助成立了全国舞弊性财务报告委员会，即Treadway委员会（全美反欺诈报告委员会），以其主席而命名为特雷德威委员会，其主要目标是确认产生欺诈性财务报告的诱因，并提出建议来减少其发生。

其后，基于Treadway委员会的建议，其赞助机构又组成了一个专门研究内部控制问题的委员会——COSO委员会（The Committee of Sponsoring Organizations of the Treadway Commission，简称COSO）。

1992年COSO委员会提出报告《内部控制—整体框架》，1994年，进行了增补，即COSO内部控制框架。该框架指出“内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程”。

1996年年底美国审计委员会认可了COSO的研究成果，并修改相应的审计公告内容。

风险管理框架阶段

2001年，COSO委托普华永道开发一个对于管理当局评价和改进他们所在组织的企业风险管理的简便易行的框架，2004年9月《企业风险管理——整合框架》正式文本发布。《企业风险管理——整合框架》认为：“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”该框架拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。尽管风险框架不打算、也的确没有取代内部控制框架，但风险管理框架文本中指出风险管理框架将内部控制框架涵盖在其中。换言之，现代内部控制已发展成为风险管理为核心的风险控制阶段。

风险管理框架包括了8大要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。