一、企业内部控制的发展演变历程

20世纪以来，随着企业规模的扩大及组织机构的变化，现代意义上的企业内部控制应运而生。企业内部控制经历了内部牵制时期(20世纪40年代前)、内部会计控制和内部管理控制时期(20世纪40年代末至70年代)、内部控制结构时期(20世纪80年代至90年代)、内部控制整体框架时期(20世纪90 年代至今)四个阶段①。

20世纪90年代初期美国COSO委员发布了《内部控制——整体框架》，对企业内部控制给出了明确的界定，即企业内部控制是由企业董事会、经理层以及其他员工实施的，为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现而提供合理保证的过程②。同时，提出企业内部控制的整体框架主要包括五要素：控制环境、风险评估、控制活动、信息沟通和检查监督。其中，控制环境(Control Environment)包括企业在进行内部控制时所面临的内部和外部环境，外部环境包括国际形势、国家政治、经济、社会以及行业的发展环境等宏观因素，内部环境包括企业的组织结构、职责划分、企业价值观、人力资源政策等微观因素，其中内部环境对企业个体而言具有更为重要的意义。风险评估(Risk Assessment)是分析、辨认并适当处理或规避该风险的过程，风险指影响企业实现内部控制目标的关键变量。控制活动(Control Activity)是指内部控制流程中确保指令贯彻执行的政策和程序，包括控制标准的制定、核准、授权、验证、信息报告、执行评估、纠正偏差、业绩评价以及激励机制等一系列的环节。信息与沟通(Information and Communication)主要指内部控制要素之间信息的及时传递，包括内部信息和外部信息，也包括系统信息和人力信息，其方式是多样性和多方向的，也是内部控制系统高效实施的基础与保证。监督(Monitor)是指对内部控制系统的设计和运作情况及绩效进行评估、改善的过程。目前，这一理论得到了广泛认同和应用。