一、內部控制不同階段

　　內部控制是組織為了控制資源，實現管理目標而自發的一種管理行為和方式。內部控制的概念是審計人員為了提高審計效率，降低審計成本，從組織已有的內部管理中概括出來的；內部控制理論研究的發起者也是審計人員，因此多數內部控制是從注冊會計師執行內部控制審核的角度定義的，內部控制理論的發展也與審計密切相關。理論上認為內部控制經歷了四個階段：內部牽制、內部控制制度、內部控制結構和內部控制整體框架。

　　內部牽制思想以賬目間的相互核對為主要內容并實施崗位分離，主要目的是確保賬目正確無誤。內部控制制度思想認為內部控制應分為內部會計控制與內部管理控制兩個部分。前者的目的是保護資產、檢查會計數據的準確性與可靠性；后者的目的是提高經營效率，促使有關人員遵守既定的管理方針。以上兩個階段是從目標、控制措施方面對內部控制進行的定義。由于第二個階段擴大了內部控制的范圍，導致第三階段必須從更高、更系統的角度定義內部控制。所以第三階段以內部控制結構取代了內部控制制度。內部控制結構的概念認為，“內部控制結構包括為合理保證組織特定目標的實現而建立的各種政策和程序”，并明確了內部控制結構的內容為控制環境、會計制度和控制程序三個方面。第四階段則進一步系統地整合了內部控制結構的概念，提出內部控制整體框架，認為內部控制是由董事會、經理階層和其他員工實施的，為營運的效率性和效果性、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程，其構成要素來源于管理階層經營組織的方式，并與管理過程相結合，具體包括：控制環境、風險評估、控制活動、信息和溝通、監督五個部分，每個組成要素適用于所有的目標類別，每一個組成要素與每一個目標都相關。

　　從內部控制發展過程，我們可以看出：

　　1、內部控制從狹義內部控制逐步發展為廣義內部控制。狹義內部控制指與會計有關的部分，主要用以保證財務報告的可靠性，例如會計人員關注的內部會計監督制度，審計人員所關注的內部會計控制制度等。廣義內部控制除以上內容外，還包括與保證經營活動效率有關的部分，即組織管理當局所關注的內部控制，如董事會的設立、管理者的素質、企業文化等。由于內部控制的概念是審計人員提出的，因此第一階段內部控制的措施是會計的方法，如賬目核對。崗位分離也是指會計崗位的分離，控制目的則是以保證賬目正確無誤為主。而內部控制是伴隨著組織的形成而產生的，它是組織中內生的，并不是外部管制、規范的要求和審計等外力催生的，不可避免地從第二階段開始，內部控制就涉及到了內部管理控制的內容。盡管從審計角度看該定義范圍過于寬泛，使該定義有爭議，但第三階段也只是從內部控制結構方面定義內部控制，并沒有調整內部控制的范圍。內部控制的最新發展：COSO定義，不僅進一步擴大了內部控制的范圍，包括了控制環境、風險評估等內容，而且將前期處于分離的內部會計控制與內部管理控制用結構，系統的方式整合在一起。甚至強調內部控制與管理過程的結合，揉合了管理與控制的界限。

　　2、內部控制的控制對象、控制方法、研究方法從簡單到復雜，定義從一般到具體。早期內部控制，以賬、錢，物為控制對象，后期則以業務過程、管理過程、信息過程等為控制對象。早期內部控制以崗位的內部牽制為主，到后期盡管內部牽制仍為主要手段，但它還涉及到更多的控制程序、控制方法（如風險評估、信息與溝通），并從會計、審計層次的研究上升到制度、組織協調、系統等角度的研究。從一般到具體表現為早期內部控制的定義是從控制內容、控制目的入手，側重于控制目的的表述。在第二階段對內部控制的目的取得一致看法（即包括會計方面的目的與管理方面的目的）后，后期對內部控制的定義除了對目的、內容進行說明外，更多地是從內部控制的結構、框架等方面進行具體表述。

　　3、IT統一了內部控制實踐與理論，整合了內部控制各個部分。內部控制定義的發展，一方面是由于審計對象的發展促使內部控制定義變化，另一方面則是由于管理實踐與理論的發展引起的。兩個方面中，IT的作用都是不可忽視的。IT在組織整個價值鏈中的深入應用，使組織的業務過程、管理過程有機地整合在一起，將內部控制的理論、方法與組織的管理實踐有機結合在一起，使內部控制實踐與理論殊途同歸。 IT在組織管理、會計、審計中的全面應用，使組織從物質流、資金流、人才流中分離出了以處理信息流為主的信息系統。該信息系統從分散、零散的狀態變為集中、系統狀態，并將內部控制的各個部分整合在一起。在COSO的定義中，信息與溝通的主要對象與工具就是以IT為基礎的信息系統。

　　二、內部控制與組織模型

　　控制是指根據系統的目標，對系統進行調節以克服系統的不確定性，使之達到所需要狀態的活動和過程。在此定義中，系統需要達到的狀態為系統目標即控制目標；為實現控制目標采取措施的實施者為控制主體；影響系統不能達到目標的因素、控制實施的范圍則是控制客體；控制主體所采取的作用于控制客體的方法是控制手段。在整個控制過程中，依靠信息溝通渠道進行控制主體與控制客體之間的信息交流。筆者認為，內部控制是控制主體與控制客體處于同一系統時的控制。

　　組織是一個穩定、正式的社會結構，它從環境中利用資源并將其加工成產品又輸出給環境。組織是一個權利、特權、責任、義務的集合，其中諸方面在一定時期通過沖突及其解決而達到微妙的平衡。從系統的角度看組織是一個系統，其模型如下：組織的特定目標是創造價值，任何組織都由一系列相關的、相互聯系的三個過程組成。一是業務過程。用來提供商品和服務，業務過程至少有三種類型：獲取／支付過程，轉換過程，銷售／收款過程。二是管理過程。由組織領導負責，管理對象是業務過程，管理活動主要有計劃、執行、控制和評價等。三是信息過程。管理的中心是決策，決策需要信息，因此需要信息系統。信息系統具有如下活動：記錄與業務活動相關的數據，維護和保持與組織相關的和最新的數據，報告對執行、控制和評價業務過程有用的信息，這些活動構成信息過程。

　　業務過程與向客戶提供商品和服務直接相關，管理人員從信息系統獲得的信息可以輔助他們管理業務過程，他們對每個業務過程的計劃、執行、控制和評價做出決策，信息系統通過信息過程來提供對這些決策有用的信息。當組織的業務和管理過程變化時，信息過程也必須跟著變化。當業務過程、信息過程和管理過程融為一體時，組織完成其目標的可能性大大增強。組織的內部控制是使以上三個過程融為一體，使組織不會處于不協調和無效狀態的基本方法。影響組織完成其目標的因素很多：成本過高，技術不可靠，生產的產品不符合市場需求，經濟環境不好，戰爭等宏觀與微觀的原因。為了使組織完成其目標，創造價值，需要各種控制措施，使以上三個過程處于平衡。由于組織是社會中的一種組成元素，對它的外部控制主要通過對其環境（社會）產生影響而進行，這主要靠國家政策、制度等宏觀政策來進行調控。組織的內部控制則是使組織在同樣的外部環境中更好、更快地達到目標的主要途徑。由于系統具有層次性，組織的內部控制也具有層次，也正是這種層次性導致了內部控制的不同視圖。

下頁