1.1 美国内部控制理论和实践的发展

1992年，由美国注册会计师协会（AICPA）、美国会计学会（AAA）、财务经理人协会（FEI）、国际内部审计师协会（IIA）和管理会计师协会（IMA）共同赞助成立的一个专门研究内部控制的问题委员会——COSO委员会（Committee of Sponsoring Organizations of the Treadway Commission，全美反舞弊性财务报告委员会发起组织），发布了指导内部控制实践的纲领性文件COSO研究报告：《内部控制——整合框架》（COSO—IC/1992）。该框架是至今管理当局和注册会计师在财务呈报内部控制有效性评价方面的依据之一。在COSO报告中，内部控制被定义为一个受企业员工行为影响，用以完成特定目标的过程。内部控制是一个受到董事会、管理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率、财务报告的可靠性、法律法规的遵循性。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控五个相互联系的要素，它们都包含在管理层经营企业的方式中。五项要素相互联系，作为评判内部控制系统是否有效的准则。

2002年，安然、世通公司突然垮台，施乐、默克等美国一系列大型企业相继出现财务丑闻，为整个金融市场敲响了警钟。这些丑闻的出现，不是偶然事件，与其对内部控制的过分疏忽有密切的关系。继这些丑闻曝光后，2002年7月30日，美国紧急出台了著名的《2002年公众公司会计改革和投资者保护法案》，又被称做2002年《萨班斯—奥克斯利法案》（简称《萨班斯法案》，SOX），同时成立了一个新的监管机构——上市公司会计监督委员会（The Public Company Accounting Oversight Board，PCAOB）取代美国注册会计师协会（AICPA）来监管会计职业界。该法案是1930年以来美国证券立法中最具影响的法案，它加重了公司主要管理者的法律责任，加强了对公司高级管理层的收入监管，对公司内部的审计委员会做出了法律规范；与此同时，该法案强化了对公司外部审计的监管，加强了信息披露制度和其他有关公司监管的规定。

《萨班斯法案》的影响已波及整个资本市场，各行各业都受到并将继续受到该法案的影响。该法案中的第404 条款管理层对内部控制的评估是最棘手的部分，它要求上市公司及其外部审计师对公司财务报告内部控制的有效性进行报告。

在《萨班斯法案》颁布之后，COSO 委员会于2004年9月29日正式发布了《企业风险管理——整合框架》（COSO—ERM/2004），将 COSO—IC/1992（见图1-1）纳入其中，企业不仅可以借助其来满足内部控制的需要，而且拓展至与企业风险管理这一更加宽泛的领域。COSO—ERM/2004 内部控制标准体系是公司内部管理当局与外部注册会计师完成财务呈报内部控制有效性评价的标准。

COSO 委员会提出，企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险，对企业目标的实现提供合理的保证。根据管理者经营的方式划分，企业风险管理包括八个相互关联的组成要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。内部环境是企业风险管理的基础，为企业风险管理所有其他组成部分的运行提供了平台和结构。企业风险管理的八个组成部分体现的是一个动态的过程，是一个有机的整体。

COSO—IC/1992到COSO—ERM/2004，不是局部的修补和简单改良，而是在理念上的本质突破。体现在：从“控制环境”到“内部环境”，这一修改使得企业关注的范围不再局限于控制方面，而是从更宽阔的视野，更综合、更直接地考虑各种因素对风险的影响；目标设定中增加“战略目标”，使企业在追求短期利益的同时，从战略的高度关注企业的长远目标和可持续发展；将“风险评估”扩展为“事项识别”、“风险评估”和“风险应对”，不是对原“风险评估”进行简单的细化，而是代表着企业风险意识日益增强和积极主动管理风险。美国上市公司监管机构推出的一系列针对内部控制的制度安排，对中国在美国上市公司具有直接影响，对中国市场监管也具有借鉴意义。

自COSO—IC/1992发布以来，企业的经营环境和管理模式经历了巨大变化，新技术和复杂组织结构的不断涌现，信息技术、互联网和电子商务迅猛发展，以及愈加严格的监管要求，促使企业在满足旧框架主要针对财务报告内控目标的基础上，越来越关注公司治理和风险管理，越来越重视非财务报告内部控制。近20年后，COSO 委员会于2011年12月19日发布新版《内部控制——整合框架》（草案），公开征求社会意见，2013年5月14日发布了正式稿（COSO—IC/2013）及其配套指南。

COSO—IC/2013 并没有改变 COSO—IC/1992 中关于内部控制的基本概念和核心内容，比如内部控制的定义、内部控制五要素（控制环境、风险评估、控制活动、信息与沟通、监控活动，见图1-2）、评估内控体系有效性的标准以及职业判断的运用等保持了一致。

COSO—IC/2013的变化主要表现在以下几个方面：

（1）注重原则（Principles）导向的方法。COSO—IC/2013提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则作为内部控制的基本概念，适用于所有的组织。每项原则都由多个关注点（Points of Focus）所支持，这些关注点代表着这些原则的相关特点。五项基本要素和17项原则组合起来就构成了内部控制的准则，而各个关注点则为管理层提供指引，协助其评估内部控制的各个要素是否存在并发挥效用。

（2）明确目标设定在内部控制中的角色。COSO—ERM/2004将目标设定作为内部控制的八要素之一。COSO—IC/2013同样强调目标设定是内部控制的前提，但明确指出目标设定不是内部控制的组成部分。

（3）反映了对信息技术越来越大的依赖性。自1992年以来，随着信息技术的广泛运用，各种技术已经从分批处理交易的大型独立主机环境，演变成高度复杂、分散式的移动应用程序，当中所涉及的多项实时活动横跨多个系统、组织和流程。技术发展的这一变化势必对内控实施带来影响。（4）强化公司治理的理念。COSO—IC/2013包括了更多的公司治理中有关董事会及其专门委员会（包括审计委员会、薪酬委员会、提名与治理委员会等）的内容。

（5）扩大报告的范畴。COSO—IC/1992在内控目标设定中仅仅关注财务报告目标，目的是确保编制可靠的公开发表的财务报告，主要来自企业面临的外部监管要求。COSO—IC/2013在报告对象和报告内容两个维度上进行了扩展，以满足利益相关者（Stakeholder）的要求。在报告对象上，既要面向外部投资者、债权人和监管部门，确保报告符合有关监管要求；又要面向董事会和管理层，满足企业经营管理决策的需要。在报告内容上，除了包括传统的财务报告，还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告等非财务报告。

（6）增加反欺诈与反腐败的内容。COSO—IC/2013包含了更多的关于反欺诈与反腐败的内容，并且把管理层评估欺诈风险作为内部控制的17项总体原则之一，重点加以阐述。

（7）考虑不同商业模式和组织结构的内部控制。随着经济全球化的发展、技术的不断进步和人才竞争的加剧，近年来企业的商业模式和组织结构发生了巨大变化，企业在运营过程中更多地使用第三方提供的产品或服务，管理层更加关注包括供应商和客户在内的价值链管理。为此，COSO—IC/2013专门分析了不同商业模式和组织结构下内部控制的有效性问题。