一、内部控制理论的发展变化及特点

内部控制是社会经济发展到一定阶段的产物，其内容随着企业对外满足社会需要，对内强化管理不断丰富和发展，大致经历了五个阶段。

（一）内部牵制阶段这是内部控制的萌芽阶段，时间是从原始组织诞生之日至20世纪40年代。在这个阶段，内部控制是以内部牵制的形式出现，其构成要素和控制措施只是散见于企业各项管理制度、惯例和实务中，还没有提出内部控制的概念，目的在于查错防弊，特点就是职责分离和交叉核对，即企业的每一项业务必须经过多个人或多个部门交叉检查和控制，以减少无意识的出现差错和有意识的徇私舞弊的发生。

（二）内部控制制度阶段20世纪30年代的经济危机过后，企业纷纷加强了对生产经营的控制与监督，这也促进了控制理论的发展。1949年美国审计程序委员会首次提出了内部控制的概念，并从企业经营管理的角度来定位内部控制，即内部控制是所制定的旨在保护资产、保证会计资料可靠性和完整性、提高经营效率、推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。1958年，审计程序委员会又在《审计程序公告第29号》中，把内部控制制度分为内部会计控制和内部管理控制两部分，前者在于保护企业资产、检查会计数据的准确性和可靠性，后者在于提高经营效率、促使有关人员遵守既定的管理方针。此阶段仅仅从会计、审计理论的角度对内部控制的种类进行了简单划分，并没有阐明各要素对整个内部控制体系的影响，以及要素之间的相互影响和制约关系。

（三）内部控制结构阶段20世纪80年代，西方会计审计界对内部控制的研究不断从一般性概念向具体化内容深化，逐渐发现内部会计控制和内部管理控制两者是相互联系不可分割的，内部控制目标呈现多元化趋势，1988年美国注册会计师协会了《审计准则公告第55号》，首次以“内部控制结构”取代“内部控制”的概念，并提出内部控制包括控制环境、会计系统和控制程序三个要素。这一阶段最大的突破在于将控制环境纳入内部控制的范畴，特别强调了管理者对内部控制的态度、认识和行为等控制环境的重要作用，指出环境因素是充分有效的内部控制体系得以建立和运行的基础及保证；其次，会计系统这一提法将会计资料转变为动态的信息系统，将产生会计信息的各个环节联系起来。

（四）内部控制整体框架阶段20世纪90年代，随着企业内外部环境的不断变化和组织结构的日益复杂，在内部控制过程中对风险进行控制和管理成为一种内在需求和动力。1992年，一个由美国会计学会、国际内部审计师协会等众多组织组成的联盟，即COSO委员会提出了《内部控制—整体框架》报告。该报告将内部控制目标细分为三类子目标，即经营目标、报告目标和合规性目标；五个构成要素，即控制环境、风险评估、控制活动、信息与沟通、监控。这一阶段的特点表现为：一是风险评估要素的引入使内部控制的对象具体化为对影响控制目标实现的风险控制；二是控制程序到控制活动的转变使内部控制本身可作为一个自成体系的活动过程融于企业的整个经营管理之中；三是调整会计系统为信息与沟通，从过程出发，强调信息的流动和共享；四是监督要素的引入使企业行为在偏离其既定标准时能够及时纠正，规避风险。

（五）风险管理框架阶段2001年以来，美国的安然、世通等一大批著名国际大公司相继爆出重大财务丑闻，导致企业诚信受到普遍质疑，由此掀起了一股强大的完善企业内部控制的风暴，内部控制走向全面风险管理成为了必然。2002年美国政府颁布了《萨班斯—奥克斯利法案》，要求所有上市公司都要在年报中提供内部控制报告，评价公司内部控制设计及其执行的有效性，该法案的出台使内部控制披露由自愿进入了强制阶段。2004年9月，COSO委员会正式颁布了《企业风险管理整体框架》，它在1992年COSO报告的基础上，根据《萨班斯—奥克斯利法案》的要求进行扩展研究而出台。与COSO报告相比，一是目标方面增加了战略目标，并将其置于之首，这意味着企业的各项活动都要围绕战略目标进行,对企业的风险管理也向董事会或更高层次移动；二是要素方面控制环境到内部环境的转变表明，管理当局所关注的除了组织机构、管理理念、经营方式外，还包括风险偏好、管理哲学、企业文化等更宽泛的因素；同时目标制定、事项识别、风险反应的增加是对风险评估要素的扩展和深化，意味着风险评估上升到了风险管理的高度，且体现了风险管理由事中控制、事后反馈向事前预防转化的发展趋势。

二、内部会计控制与内部控制的关系

目前，对内部会计控制的概念认识不统一，主要有四种看法：第一种观点认为会计控制是会计的基本职能之一，会计职能除会计核算（会计反映）之外，就是会计控制，会计控制是会计对自身活动的一种管理；第二种观点认为会计控制既包括会计自身的职能，也包括控制会计，即会计控制既是对经济活动的控制又是对会计人员的控制；第三种观点，即会计控制的静态定义，认为会计控制是单位会计机构为了保证会计信息质量，保护资产的安全、完整，贯彻执行有关法律法规和规章制度等而制定和实施的一系列控制方法、措施和程序的总称；第四种观点，即会计控制的动态定义，认为会计控制是单位会计机构采用专门的手段，按照一定标准，保证会计信息质量，保护资产的安全、完整的进行过程。笔者认为，无论是会计职能部门还是非会计职能部门所实施的控制都可称为内部控制，而会计控制是指会计职能部门所实施的控制，从这个角度上来说，内部控制包含会计控制，会计控制是内部控制在会计职能部门的具体运用和体现，也就是说在会计职能部门方面会计控制等同于内部控制；另一方面，单位一切有关资金的运动和资产的变化都要通过会计核算表现出来，因此，会计核算所涉及的风险涵盖了单位所面临的主要风险（有关资金、资产的风险），而会计控制作为对这些风险所实施的控制，其内容构成了内部控制的重要内容。无论是内部控制还是内部会计控制，其控制的目的都是为了防范风险，这也决定了两者的控制目的具有一致性，即都是保证资产的安全和会计信息的真实。两者控制内容的包含和被包含关系和控制目的的一致性，都说明了两者的关系息息相关，即内部会计控制建立在内部控制程序基础之上以保证信息数据的可靠性；而内部控制程序则利用会计程序保证资产的安全、业务的真实。

三、对内部会计控制的新思考

内部控制的发展过程是企业不断适应各种内外部环境变化，应对各种风险和不确定性因素的过程，也是其理论基础、目标观念、服务对象和构成内容不断改进和完善的过程，这为作为其重要构成内容的会计控制提供了很好的借鉴意义，即必须以崭新的视角来重新审视和思考内部会计控制的构建。

（一）会计控制是各要素组成的动态系统内部控制的内容由最初的行为控制到最新的八要素的变化，说明了内部控制的关注重心由单一个体向系统整体发展，而且站在全局的高度统领企业整体。会计控制如同内部控制一样，并不是各种制度、措施的简单加总，也不能简单地停留在只用制度加以规范的阶段，致使制度流于形式，因此，应转变传统观念，以新的角度诠释和思考，应认识到会计控制不仅是由多个因素组成的系统，而且在这个系统中，这些因素相互关联，形成了动态的过程，即内部会计控制的构建不仅涉及到部门内的具体岗位设置、业务操作等相对细节的问题，更为重要的是它需要相关各职能部门的通力协作，共同营造良好的控制环境、关注业务的风险评估、在各负其责的同时加强部门间的信息沟通，只有这样，才能不断促进会计控制的良性运行，真正达到防范资金风险确保资金安全的目的。

（二）内部环境的建设是基础会计控制作为一个系统或机制，离不开所存在的环境，而且在不同的环境下，会计控制作用的发挥程度不尽相同，会计控制作用是否有效，很大程度上取决于单位管理层对内部会计控制的重视程度、全体员工对内部会计控制认识的影响，它是充分有效的内部会计控制体系得以建立和运行的基础及保证，因此，应逐渐认识到内部环境也是内部会计控制的一个组成部分。许多案件的深刻教训也警示我们，案件的发生不是没有制度，而是制度没有得到真正落实，制度之所以落实难的原因就在于，没有一个良好的环境来约束人的行为，防范人的道德风险。因此，内部环境是基础，必须从营造良好的环境做起，提倡风险管理文化，增强员工的诚实性和道德观，即将风险管理意识贯穿到每一个员工、每一个部门、每一个岗位，使风险意识深入到人心，同时强调全员的参与，塑造企业文化，形成良好的内部环境氛围。

（三）风险要素的管理是关键控制的目的就是要防范风险，若不存在风险也就没有实施控制的必要，COSO报告指出，所有的企业，不论其规模、结构与性质，其组织的不同层级都会遭遇风险，管理当局必须密切关注各层级的风险，并采取措施尽量将风险控制在可接受水平。随着计算机技术在会计核算中的运用，会计控制所涉及的风险包括法律风险、声誉风险、资产风险、信息技术风险、效率风险和操作风险，这些风险与核算业务的流程息息相关，因此，内部会计控制的构建应从风险因素出发，加强对业务资金流程的分析，即首先要按业务性质进行归类，找出各个流程中的主要风险点；其次要按照业务风险的信息结构和风险源的性质，有针对性地制定出科学适用的风险计量方法，同时要结合控制流程的概念，找出相应的控制措施，建立一套完备的业务流程风险控制体系。

（四）事前事中的控制是切入点内部控制的目标是从控制当事人的行为观到提高会计信息质量的信息观、最终到管理企业风险战略观的转变，这是从事中控制到事前管理的发展，是从降低风险到风险控制直至风险管理的一个过程。同样，会计控制中事后控制的出现就是对事前、事中控制的不信任，也就是说，若事前、事中真能够做到把握住风险，事后控制存在的意义不大，另外一方面，事后控制一般只就会计核算的“结果”进行监督，前台在核算及业务处理过程中，是否全面、严格地执行有关制度，事后控制只从所提供的核算资料的形式上进行审验或被动地接受前台的反映的结果，而且事后控制有其固有的局限性，即时间的滞后性，因此，要把风险在变为实际的损失之前降低到可接受的最低水平，真正做到防患于未然，就要加强事前、事中的控制，做到及早发现和识别，及早将风险消灭在萌芽状态。

（五）信息的沟通交流是保障内部会计控制作为一个动态系统，它包括不同环节之间持续不断的信息流和资金流，且其每个控制环节都执行不同程序，并与其它环节相互作用与影响。因此，整体会计控制价值最大化的实现需要加强上下级之间、不同部门之间和同一部门内的交流和沟通，这就需要，一方面某部门牵头组织各成员间的沟通，以实现信息共享，优势互补，有针对性地开展工作，同时有助于消除部门间的误解和疑虑；另一方面各职能部门要加强自身员工间的沟通，培养和提高员工参与会计控制的意识，以便开展自评。由此可以看出，信息交流渠道是否畅通，直接影响内部控制动态过程的实现，同时也有助于控制环境的完善、风险管理的加强；否则，相关职能部门将处于相对封闭的状态，各自为战，造成信息资源的过度浪费。实践中，最有效的解决方法就是促使信息沟通的制度化，形成一种约束机制，有利于各职能部门在明确各自职责的同时，从整体上实现会计控制的目标。