內部控製與風險管理的起源和發展

內部控製與風險管理的概念是在實踐中逐步產生、發展和完善起來的。內部控製理論的發展大致可以分為內部牽製、內部控製製度、內部控製結構、內部控製整合框架及企業風險管理整合框架五個階段。

在內部牽製階段，內部控製的主要內容是賬目間的相互核對，內部控製的主要方式是設立不兼容崗位，這在早期被認為是確保所有賬目正確無誤的一種理想控製方法。在內部控製製度階段，內部控製以內部會計控製為核心，重點是建立健全的規章製度。在內部控製結構階段，內部控製被認為是為合理保證企業特定目標的實現而建立的各種政策和程序，分為內控環境、會計製度和控製程序三個方麵。內部控製整合框架階段，就是在以上三個階段的基礎上，把內部控製要素整合成五個相互關聯的部分，被稱為內部控製的第四個階段。第五個階段是在內部控製整合框架五要素基礎上的一次拓展，成為八個相互關聯的整體；同時，內部控製與風險管理理念貫穿其中，所以這個整體被稱為企業風險整合框架。

以上是內部控製產生的理論脈絡，從外部環境看，內部控製的產生可以追溯到19世紀末20世紀初。

20世紀30年代的經濟大蕭條以後，美國各界紛紛致力於治理會計秩序和財務報告，美國證券交易委員會（SEC）的成立也推動著會計和審計實務朝著標準化方向發展。1949年，美國注冊會計師協會（AICPA）出版了第一本審計學意義上的內部控製研究專著《內部控製——協作體係的要素及其對於管理層和獨立公共會計師的重要性》，並首次給內部控製做了權威性的定義。

20世紀70年代中期，在對美國“水門事件”調查中，發現不少美國大公司進行違法的國內捐款，甚至賄賂外國政府官員，這使得立法機關與行政機關開始注意內部控製問題。針對調查的結果，美國國會於1979年通過了《反海外賄賂法》（FCPA）。FCPA除規定了有關反賄賂的條款外，還規定了與會計及內部控製有關的條款。此後不久，美國證券交易委員會發布了《管理階層對內部會計控製的報告書》，強製公司對其內部會計控製提出報告書，因此美國許多機構都加強了對內部控製的研究並提出了許多建議。

1985年，由美國注冊會計師協會、美國會計協會（AAA）、國際財務經理人協會（FEI）、國際內部審計師協會（IIA）、美國管理會計師協會（IMA）聯合創建了反虛假財務報告委員會（通常稱Treadway委員會），旨在探討財務報告中產生舞弊的原因，並尋找解決之道。兩年後，基於該委員會的建議，其讚助機構成立COSO（Committee of Sponsoring Organization）委員會，專門研究內部控製問題。1992年9月，COSO委員會發布了《內部控製整合框架》（簡稱COSO報告，1994年進行了增補），標誌著內部控製進入第四個階段，此階段將內部控製分為控製環境、風險評估、控製活動、信息與溝通以及監督五大部分。由於COSO《內部控製整合框架》提出的內部控製理論和體係集內部控製理論和實踐發展之大成，成為現代內部控製最具有權威性的框架，因此在業內備受推崇，在美國及全球得到廣泛推廣和應用。

2001年“安然事件”之後，美國又相繼出現世通等一係列公司舞弊醜案，誠信危機極大地震撼著美國及國際社會，人們對美國式自由市場經濟製度產生質疑，全球輿論的焦點集中於美國企業的假賬醜聞。為了提高民眾對美國金融市場、政府經濟政策的信心，2002年7月30日，美國國會緊急出台了公司改革法案《薩班斯—奧克斯利法案》，要求所有在美國上市的公司必須建立和完善內控體係。該法案是1930年以來美國證券立法中最有影響的法案，它加重了公司主要管理者的法律責任，加強了對公司高級管理層的收入監管，對公司內部的審計委員會做出法律規範，強化了對公司外部審計的監管，加強了信息披露製度和其他有關公司監管的規定。

2003年8月，COSO委員會又發布了《企業風險管理整合框架》征求意見稿，在內部控製整體框架基礎上提出了風險管理的框架，由此將內部控製的五個要素擴充為基於風險管理的八個要素，將內控為風險管理服務的理念發揮得淋漓盡致。2004年9月，COSO委員會發布了《企業風險管理整合框架》終稿，標誌著內部控製進入了第五個階段，此階段將內部控製分為內部環境、目標設定、事項識別、風險評估、風險反應、控製活動、信息和溝通以及監督八個相互關聯的部分。這是內部控製發展到風險管理層麵的一個裏程碑。隨著全球經濟波動和商業環境日趨複雜多變，2011年11月，COSO委員會發布了更新內部控製框架的草案，並於2013年5月發布了《COSO內部控製整合框架》正式版。新的COSO框架保留了內部控製的核心定義及其五大要素，並加入對相關概念的指引，同時還引入和更新實際案例，以更易於使用和應用。

除美國外，英國、法國、德國、日本等國家也先後開始了內部控製和風險管理研究。1995年由澳大利亞和新西蘭聯合製定的AS/NZS 4360明確定義了風險管理的標準程序，這就是我們通常說的澳新ERM標準，它標誌著第一個國家風險管理標準的誕生。英國改善內部控製的努力可見諸於1999年問世的《公司治理綜合法典》。加拿大也製定了自己的標準來改善內部控製，安大略證券委員會之Multi-lateral Instrument 52-109（與SOX302相似）和52-111（與SOX404相似）要求企業年報一同提交相關內部控製報告。歐盟2002年改革白皮書強調內部控製是企業各經理層的責任，並提出內部控製包括控製環境、業績和風險管理、信息和溝通、控製活動、審計和評估五個方麵。此外，國際銀行業也在積極改善內部控製係統，2004年6月，“十國集團”發布了被稱為“BaselⅡ”的資本充足性框架，這一框架於2006年生效。BaselⅡ第744節和第745節要求就內部控製架構進行獨立檢查，包括風險管理、建立監管內部政策合規性的方法，以及驗證內部控製係統在保證企業有序和謹慎經營的程度；第751節和第752節要求企業對內部控製環境進行評估，包括信息報告流程和體係的質量、企業經營風險和活動之間的聯係，以及企業管理當局應對風險的記錄。各銀行依據其風險情況和風險管理程序的應用程度以及內部控製來決定資本充足度。

內部控製與風險管理在我國的發展

中國在內部控製與風險管理方麵的研究開始於20世紀80年代。我國係統的內控製度建設是在有了《會計法》之後。1999年修訂的《會計法》第一次以法律的形式對建立健全內部控製提出原則要求，財政部隨即連續製定發布了《內部會計控製規範——基本規範》等七項內部會計控製規範。但從更寬泛的管理意義上來說，真正將內部控製和風險管理形成法規，是受到美國“安然事件”和“世通公司財務欺詐案”及隨後的《薩班斯法案》的影響。