原创-关于内部控制文献综述

【关键词】内部控制信息披露 内控评价文献综述
一、引言
20世纪80年代后期以来，国内对内部控制问题逐渐关注，研究日趋繁荣，但未形成共识。进入21世纪，对内部控制的研究散见于专家学者的文章中，但也主要是针对内部控制与公司治理、内部会计控制等方面来做研究。随着现代企业制度的逐渐兴起和公司治理研究的深入，政府部门和相关协会开始重视推动企业内部控制规范的建设，有关规定见诸于若干法律、法规文件，但至今尚未提出类似COSO报告那样受到广泛认可的内部控制标准体系。本文主要从内部控制的总体构想、内部控制的评价、内部控制信息的披露、等方面对国内外有关企业内部审计的文献进行了总结归纳，以反映当今内控研究领域的现状以及提出一些实质性建议。
（四）契约经济学理论。林钟高、郑军在分析评述内部控制研究文献的基础上，引入契约经济学理论，首先确立了内部控制的契约属性，是一种评价利益关系的契约装置。同时从新制度经济学出发，进一步论述了内部控制契约是企业理性的各个要素主体之间关于经济利益的分配而构建的一个旨在协调其经济活动有序、有效运行的约束控制机制。文章最后分析了内部控制与契约公正的共生互动性，追求利益分配的公平和正义成为内部控制契约公正性的伦理诉求和道德评判。
由以上文献可以得出：内部控制自我评价是由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理保证的程度。尽管2007年年报披露内部控制自我评价报告和审计师审计报告时统一的内部控制基本规范尚未出台，但无论是财政部2001年颁布的《内部会计控制基本规范》，还是上海证券交易所的《上市公司内部控制指引》，遵循法律法规和企业内部公司章程及董事会议事规则等内部制度、合法授权使用和处置资产、财务报告及相关信息真实可靠都是内部控制要求达到的基本目标。因此，披露内部控制自我评价报告的公司，大都将财政部的《内部会计控制基本规范》，或是上海证券交易所的《上市公司内部控制指引》作为评价的依据。
（三）国外文献综述
内部控制兴起于20世纪40年代中期西方国家,总体上说内部控制的发展基本上经历了内部牵制、内部控制制度、内部控制结构和内部控制整体框架四个阶段。
早期的内部控制是保护资产的安全完整和财务记录的可能性,要求企业对交易实行授权与批准,对资产实行控制,对财务记录的审核与经营保管职务分离。
20世纪80年代,美国企业出现了大量的财务舞弊现象,一些大公司相继出现经营失败,这些现象引起了美国社会各界的空前关注。为了研究经营失败及虚假财务报告产生的原因,反对虚假财报告委员会(COSO)对财务舞弊事件进行了全而细致的调查研究。通过大量的调查发现,大部分财务舞弊事件都是由内部失控造成的,COSO随即开始研究企业内部控制问题。于20世纪90年代初期,发布了指导企业内部控制实践的纲领性文件《内部控制整体框架》即著名的COSO报告。
（二）我国内部控制的理论研究
我国的学者大多数从其他学科的视角来对内部控制的理论进行解析和研究，综观多年来主要包括以下几个角度：
（一）控制论。吴水澎等从控制论原理出发，对内部控制做了多层面的理解；在研究了内部控制理论的最新进展，即COSO报告出台的背景、具体内容及创新特点之后，提出该报告对构建我国企业内部控制综合框架的启发和借鉴意义体现在五个方面：即完善企业的控制环境、进行全面的风险评估、设立良好的控制活动、加强信息流动与沟通、加强企业的内部监督；同时，建议有关部门和团体制定企业内部控制准则或指南，为企业内部控制建设提供一个框架和参考。
二、国内外关于内部控制的总体论述
（一）国内相关背景
1986年,财政部颁发《会计基础工作规范》对内部控制作了明确定义。1996年财政部发布了《独立审计具体准则第9号——内部控制和审计风险》要求注册会计师审查企业的内部控制,提出内部控制三要素:控制环境、会计系统和控制程序,确定审计性质、时间与范围。
该定义是审计概念,明显地套用了A ICPA在1988年提出的内控定义。
理论界对于风险导向内部审计的含义有不同的解释。李曼（2010）认为：风险导向内部审计是指内部审计人员在内部审计的全过程自始至终都要关注风险，依据风险选择项目，识别风险，测试管理者降低风险的方法，并以风险为中心出具审计报告，协助企业风险管理。这里的“风险”不仅是指“审计风险”，还包括企业在生产经营过程中所面临的各种风险，即那些可能对企业战略和目标的实现产生影响的事件、行为和环境，包括经营风险、市场风险、信贷风险、技术风险、人事风险等。’风险导向内部审计既是基于降低审计风险，又是为降低企业经营风险，进行风险管理的一种有效工具，在企业风险管理中起到举足轻重的作用。
2001年发布《关于利用计算机信息系统开展审计工作有关问题的通知》从内容上来看,这些规定主要都是停留在对信息系统环境下会计信息的审计,计算机仅是作为一种辅助审计工具,其对内部控制的影响并没有引起足够重视。
2001年6月,为了配合《会计法》的实施，财政部又颁布了《内部会计控制规范——基本规范(试行)》和《内部会计控制规范——货币资金(试行)》。其中《内部会计控制基本规范》第四章内部会计控制方法中尤其提到电子信息技术控制。
Bodnar G.（1975）通过建立模型来衡量内部控制的可靠性，结果发现，随着新内控措施的引进，内部控制的可靠性在下降，这一结论与人们的常识相违背。
Rajendra P.Strivastava（1985）建立了一个包含系列控制措施的内控系统的模型解释了Bodnar G.（1975）的悖论，模型表明内部控制输出信息的可靠性可能会随着新的控制措施的增加而增加或减少。如果一种控制措施能够以较高的概率拒绝错误的输入信息并且该措施将正确的信息误读为错误信息的概率较低，那么这种新的控制措施引入内部控制系统会增加内部控制系统的可靠性；如果一种控制措施不能纠正错误的输入信息并且可能将正确的信息误读为错误信息，那么这种新的控制措施引入内部控制系统会降低内部控制系统的可靠性。
企业内部控制相关问题探讨：国内外文献综述
小组成员：侯俊志 吴双舟 马敏 高写婷 王静颐 胡志磊 伍倩倩 李思宇
【摘要】随着社会主义市场经济的建立与发展，企业的内部控制问题逐渐引起我国理论界和实务界的关注。本文对如今备受瞩目的国内外有关企业内部控制的相关文献进行了梳理，发现国内外主要从内部控制的总体构想、内部控制的评价、内部控制信息的披露、等Fra Baidu bibliotek面对企业内部审计进行了研究。
（二）管理学和审计学。扬胜雄从经济学、管理学、审计学等相关理论研究入手，提出内部控制研究只有运用丰富的公司治理理论并以管理控制口径来定位，才能取得突破性的进展，并形成有效指导内部控制实务的理论成果。
（三）委托代理理论、组织学理论。程新生以委托代理理论、组织学理论解释公司治理、内部控制与组织结构之间的关系，提出以科学决策和效率经营为核心，以决策机制、激励机制、监督约束机制为纽带，建立治理型内部控制；指出对治理效率和经营效率的共同追求推动了内部控制演进。
二、关于内部控制评价的文献综述
在以企业为纽带的博弈各方中，内部控制自我评价和审计师对内控的鉴证能够释放企业内部控制有效性的信息，使得投资者得以对管理层内部控制行动和自身的投资风险做出判断。与内部控制其他理论在我国的蓬勃发展不同，近年内部控制自我评价的相关研究在我国并不多见，内容主要集中在以下两个方面：早期的文献多着眼于介绍内部控制自我评价的相关思路及方法(林朝华、唐予华, 2003；王立勇，2004)；近期的文献多数集中于个案或某一切入点(比如某种具体方法的研究(张谏忠、吴轶伦，2005；戴彦，2006；于增彪等，2007；陈汉文、张宜霞，2008)。纵观我国内部控制自我评价方面的研究，鲜见对企业执行内部控制自我评价规范的实际情况进行分析的文献。近年来，我国在内部控制自我评价规范构建方面取得了显著进展，在这一过程中，如果能对相关法规的实施效果进行实证分析，对相关政策的完善与企业内部控制体系的构建无疑具有重要意义。2006年沪深两个交易所分别颁布了针对上市公司的《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》。
1997年5月,中国人民银行颁布了《加强金融机构内部控制的指导原则》。这是我国第一个关于内部控制的行政规定。该项规定对金融机构内部控制的原则、目标、基本内容、管理与检查等方面进行了明确的规范。成为我国商业银行内部控制建设的纲领性文件。
1999年审计署发布的《独立审计具体准则第20号——计算机信息系统环境下的审计》开始对信息系统的控制予以关注。
（七）组织演化论。张砚从组织演化的角度探讨了内部控制的历史沿革，认为内部控制的发展与组织的发展是密不可分的，随着社会主要组织形式的变化，内部控制也经历了从“自控制”到“他控制”，进而到更高层次的“自控制”的过程。内部控制的发展取决于四方面的因素，即经济的发展水平、组织内和组织间权力的配置情况、风险因素的差异和技术的专有性。
Srivastava（1983）、Srinidhi and Vasarhelyi（1986）使用工程机械学的理论建立了相关模型，将会计循环和相关控制纳入模型。Barfield（1975）使用Markov过程建立了内部控制过程的时间序列模型。这些模型全面考虑了误差的条件概率，详细地分析了各种内部控制之间的相关性。但是，这些模型的应用并不广泛，主要是因为在实践中使用这些模型成本会比较高，此外，这些模型的假设也难以被实务界接受。
2003年12月审计署第5号令发布的《审计机关内部控制测评准则》( 2004年2月1日起实行)第二条中定义内部控制为“被审计单位为了维护资产的安全、完整，确保会计信息的真实、可靠，保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规，而制订和实施相关政策、程序和措施的过程”。对比COSO报告，《审计机关内部控制测评准则》明显借鉴了COSO报告的基本内核。从中看出我国政府审计机关对内部控制的认识也在向国际靠拢。2004年底新的《审计风险准则(征求意见稿)》提出基于COSO框架的评价方法，从被审计单位的控制环境、风险评估过程、信息系统合沟通、控制活动、对控制活动的监督五个方面刻画内部控制系统。但是该准则只是从审计的角度发布的,却无法作为指导企业设计和执行内部控制的直接依据。
国外关于内部控制的研究主要分为了以下几个方面：
Lauraf. Spira（2003）指出Turnbull指南的公布从根本上重新定义了内控的性质，尤其是将内部控制与风险管理相接合。文章使用了社会学关于风险的观点构建了关于内部控制与风险的讨论，深入研究了这种变化。文章通过回顾内部审计的最新发展证明了提供公司治理报告的要求为利益相关者评价公司的风险和管理提供了机会。通常认为增加新的内部控制程序会使内部控制的可靠性会提高。一些学者试图用科学模型去证明这一结论。
三、关于内部控制信息披露的文献综述
（一）国外文献综述
1、内部控制信息披露新要求——萨班斯法案的强制性披露要求，针对安然等财务欺诈事件，2002年美国通过了《萨班斯——奥克斯利法案》，正式提出公司披露内部控制报告的强制要求。
Hollis等（2006）发现上市公司在按照《萨班斯法案》404条款进行披露时存在很多问题，例如内部控制投入较少和由于不披露内部控制问题而导致较多的审计人员辞职等，Ge.McVay（2005）认为，上市公司披露的实质性缺陷和公司经营的复杂性有关，但和公司规模、盈利能力关系不大。
（五）内部控制与会计控制的关系。刘玉廷强调了《内部会计控制规范》作为《会计法》的配套规章，是解决当前一些单位内部管理松弛、控制弱化的重要举措，是从源头上治理腐败的一项制度安排，是适应我国加入WTO的客观要求，是新形势下加强单位内部会计监督的里程碑。
（六）内部控制与公司治理和风险管理的关系。谢志华指出为了控制企业可能存在的风险，在企业的发展过程中，相继产生了内部控制、公司治理和风险管理等框架，三者关系的讨论就不仅仅是理论问题，而是实践中必须要解决的问题了。从历史回顾和逻辑推理的角度，探讨了三者本质的相同性，以此为基础，对三者进行了整合，构建了基于风险管理的整合框架。这既避免了企业管理体系的交叉、重复，又实现了各种管理体系的一体化。