深度:一文读透企业内部控制的前世今生(上)
过去很长一段时间,跟大家分享的都是关于企业风险管理理论和实践方面的内容,有很多同仁私下交流时,希望我写一写企业内部控制方面的内容,因为无论对于国际企业还是国内企业来说,其都走过了一段不同寻常的企业风险管理和内部控制工作的发展之路。
为什么一直都在写企业风险管理,但没有提内部控制,一方面是因为这两年风险管理领域的动作比较大,COSO和ISO接连出台革命性的风险管理框架,我们需要花费大量的时间和精力给大家讲清楚这两个框架;第二,跟内部控制相比,风险管理更难把握一些,所以我们希望先把难啃的骨头一口气啃下来,然后再展开其他话题。
其实,在之前的一段时间,企业界邀请我进行分享的,大多是企业内部控制体系的话题,因为在工作角度而言,和风险管理来比,内部控制范围的内容更具有操作性,强调和制度与流程的融合,效果看得见、摸得着,所以对于操作层面的人来说,还是更喜欢内部控制,便于落地执行。
从在四大接触系统的内部控制理论,包括对美国萨班斯的内控要求及全球各国“萨班斯”们的理解,到在不同类型的企业实践,再到后来帮助企业进行内部控制和其他体系的融合,我记得最多的时候一年完成了12个内部控制的顾问项目。如此说来,确实应该分享下内部控制的心得体会。我们尝试用这两篇文章将内部控制的发展由来,主要里程碑事件以及东西方对于内部控制的认识差异给大家讲清楚,让大家先从宏观的角度对这套体系有一个整体的认识。
一、内部控制的前世
1、内部控制的由来
内部控制(Internal Control)是近代提出来的,最原始的控制思想的雏形来源于内部牵制(Internal Check),牵制思想的体现可以追溯到人类几千年以前的古文明时期,从美索不达米亚到古埃及、波斯、古罗马等地的国库管理职能的分工上,都有内部牵制思想的体现。在《周礼》的记载中,中国早在西周时代的国库管理中,便分为了职内、职出和职币三个岗位,分别负责收入、支出和盘点登记。所谓牵制,是指职能和职能之间必要的相互弥补、相互约束,不能由一个职能完全支配一项业务活动而没有交叉检查和约束。
可以看出,牵制思想最早出现在财政管理(财务管理)中,这些牵制思想直至今天还被作为财务管理的基本制度延续了下来。需要说明一点的是,最开始的牵制思想体现其实不仅仅是在财务管理领域,对于管理领域来说,管理牵制也是一个很古老的话题,只不过是由于财务管理的特殊性和敏感地位体现的突出一点罢了。
今天牵制思想的体现也随处可见,比如重要的场所上两把锁,保险柜的密码分为两段、业务按不同权限授权不同岗位等等。
我们前面写风险管理发展历史的时候,其中有一个分支是财务管理领域,指的就是内部控制的发展前身内部牵制思想的源头。
随着内部牵制思想的发展,控制一词最早在17世纪被提了出来,含义为“由登记者之外的人对账册进行检查核对”。在这个阶段,内部控制主要体现在对会计账目和会计岗位的分离和牵制。
2、内部控制设计的初衷
从上面的分析我们可以看得出,内部牵制思想的出现是要避免两类问题的出现,一类是无意识的错误、另一类是有意识的舞弊。
无意识的错误,如由于粗心大意或信息遗漏,或信息传输过程中出现误差导致最终的结果和实际情况出现差异;
有意识的舞弊,则是指有计划、有预谋的为了达到一定的目的而采取的一系列行动,导致财务数据和真实经营情况不符,最终的公司利益受损。而有意识的舞弊情况也是内部控制关注的重点。
无论是通过设计内部控制进行不同岗位交叉检验还是相互约束,都会大大降低以上两个方面问题出现的概率。
3、内部控制理论的历史发展
20世纪是现代企业管理理论的发展形成阶段,同样也是内部控制理论发展成熟的阶段。我们就按照时间的脉络总结一下这个过程的一些重要的里程碑事件:
1912年,罗伯特.蒙哥马利在其审计领域经典著作《审计理论与实践》中对内部牵制进行了系统定义;
1934年,美国发布《证券交易法》,要求证券发行人需要设计并维护一套内部会计控制系统;
1949年,美国注册会计师协会(AICPA)发表《内部控制:协同的系统要素对管理层和会计师的重要性》,首次给出了内部控制的定义;
1953年,AICPA在《审计程序说明》中将内部控制分为两部分:会计控制和管理控制;
1958年,美国会计师协会审计程序委员会(CAP)发布了《独立审计人员评价企业内部控制的范围》中也确定了将内部控制分为会计控制和管理控制两类,这也被业内人士称之为内部控制“二元论”阶段;
1963年,CAP发布公告《审计准则程序》中针对1958年发布的会计控制和管理控制二项工作,针对审计人员对管理控制审计没有经验导致审计方法难以标准化且审计效果不理想等情况,CAP表示审计人员重点关心会计控制,而管理控制不直接影响会计记录,因此无需评价。
历史总是惊人的相似,在中国财政部2010年发布的《企业内部控制审计指引》中,我们也是将企业内部控制分为了财务报告相关内部控制和非财务报告相关内部控制。当时研讨审计指引时,各大事务所也是针对要求事务所发表对企业非财务报告相关内部控制审计结论有很多不同声音。最后的审计指引不得不改为事务所主要针对财务报告相关内部控制发表意见,而对非财务报告相关的内部控制,则要求如果审计过程中有发现就披露,无发现就不必披露了,这一幕和50年前美国当时的情况如出一辙。
1972年,由于美国总统选举导致的"水门事件"的发生,在后续调查的调查中发现众多美国公司在全球进行非法捐款和贿赂,所以在后续出台的《反海外贿赂法》即FCPA,要求所有的美国公司都要建立和保持健全的会计记录和内部控制,所以水门事件也被看做是内部控制发展史上的里程碑事件;
1985年,为了遏制日益猖獗的企业会计舞弊行为,美国的5家相关领域的权威机构联合成立了一个美国反财务造假委员会,就是我们今天熟悉的COSO(The Committee of Sponsoring Organization of the Treadway Commission),关于COSO的介绍请见前期文章COSO委员会组织简介(点击打开);
1988年,AICPA发布了《审计准则公告55号:在财务报告审计中考虑内部控制结构》,其中将内部控制分为了控制环境、会计系统、控制程序三部分。其中,本次加入了控制环境的要素需要重点关注,这是在前期摸索的基础上,发现内部控制的建立和生效需要有一个良好的土壤,如果土壤条件不具备,那内部控制体系建立的再完善也无法存活。至此,内部控制走上了“三元论”时代。
1992年,COSO委员会公布《内部控制-整合框架》,这是一部划时代的框架,也是一部对今天的内部控制理论和实践有重要指导意义的文件,这个框架作为此领域最具代表和权威性的框架,被全球多个国家借鉴和采用,并修订形成了当地国的内部控制框架,其中包括中国2008年发布的《企业内部控制基本规范》,就是此框架为蓝本起草形成的。此框架对于内部控制的定义也作为一个被广泛认可的定义一直沿用至今:“内部控制是一个过程,由组织的董事会、管理层和所有员工共同实施,旨在为经营的效率效果、财务报告的可靠性、法律法规的遵循性提供合理保证。” 也正是此框架,将内部控制分为了五要素“内部环境、风险评估、控制活动、信息沟通、监督改进”,从而将内部控制带入“五元论”时代。
从上述的发展历史可以看得出来,先是出现了牵制思想,而后作为组织的审计内容的一部分被系统的定义和要求,我们之前的相关文章中谈过内部审计的发展历史,在这就不在重复了,在审计职能的要求和推动下,又发展为今天专门的内部控制理论体系,继而又发展孕育了风险管理体系。
这种思想的演变我们也能从中国公司的身上找到影子,华为公司的内部职能机构的演变也能印证这种过程,华为内部是先有内部审计部门,后来从内部审计部门衍生独立出来内部控制部门,再后来从内部控制部衍生独立出来风险管理部门,和我们历史的发展规律完全一致。
下篇文章我们将分享如下内部控制的今生和未来的内容,谢谢关注!
二、内部控制的今生
1、21世纪初的系列财务假造案
2、萨班斯法案的出台
3、2013年COSO内部控制框架的更新
4、中国财政部的内部控制基本规范和指引
5、东西方对内部控制体系的理解差异
三、内部控制的未来
经典阅读:
ISO31000:2017《风险管理原则与指南》送审版先睹为快