内部控制制度是企业管理的组成部分。企业需要内部控制来保证资产安全。内部控制能防止错误和舞弊。内部控制帮助企业管理风险。内部控制确保财务报告可靠。内部控制促进企业遵守法律。内部控制的研究很重要。学者们对内部控制有很多讨论。

早期人们已经认识到控制的重要性。二十世纪初企业管理面临挑战。企业规模扩大带来管理问题。管理人员需要监督下属工作。内部牵制思想开始出现。内部牵制强调职责分离。一个人不能单独完成重要业务。记录资产的人不能管理资产。支付现金的人不能记录现金。这种思想简单有效。内部牵制防止员工犯错。内部牵制减少盗窃机会。这是内部控制的起源。

二十世纪四十年代内部控制概念形成。审计人员需要评价企业控制。美国注册会计师协会发布报告。报告定义内部控制。内部控制包括组织计划。内部控制包括协调方法。这些措施保护企业资产。这些措施检查会计数据。内部控制范围扩大。不只关注会计控制。开始涉及管理控制。管理控制提高经营效率。管理控制督促员工遵守政策。这个定义影响广泛。

二十世纪七十年代发生许多舞弊案件。水门事件引起人们关注。美国国会进行调查。调查发现企业存在非法支付。这些支付通过会计系统完成。内部控制存在缺陷。国会通过《反国外贿赂法》。法律要求企业建立内部控制。企业必须保持会计记录。记录要准确反映交易。企业要设计内部控制。控制要保证资产安全。管理人员要评估控制。这是法律首次要求内部控制。

二十世纪八十年代研究继续深入。美国成立反虚假财务报告委员会。委员会关注财务报告舞弊。舞弊通常因为控制失效。委员会赞助机构研究内部控制。COSO委员会成立。COSO代表赞助组织委员会。COSO开始研究内部控制框架。

一九九二年COSO发布重要报告。报告名称是《内部控制整合框架》。框架定义内部控制。内部控制是企业的过程。这个过程受董事会影响。这个过程受管理层影响。这个过程受其他人员影响。内部控制提供合理保证。保证实现三类目标。第一类是经营目标。经营关乎企业效果效率。第二类是报告目标。报告关乎财务报告可靠。第三类是合规目标。合规关乎遵守法律。内部控制包括五个要素。第一个要素是控制环境。控制环境是基础。控制环境反映企业态度。管理层重视控制吗？员工有道德观念吗？第二个要素是风险评估。企业识别面临风险。风险可能来自外部。风险可能来自内部。企业分析风险影响。企业决定如何应对风险。第三个要素是控制活动。控制活动是具体措施。控制活动包括审批授权。控制活动包括职责分离。控制活动包括实物控制。控制活动保证管理指令执行。第四个要素是信息与沟通。企业需要收集信息。信息来自内部外部。信息必须及时传递。员工需要理解职责。员工需要沟通问题。第五个要素是监督活动。监督评价控制运行。监督通过日常活动进行。监督也通过单独评价进行。发现问题需要报告。发现问题需要改正。COSO框架非常系统。这个框架成为标准。许多国家采用这个框架。

二十一世纪初发生大公司丑闻。安然公司财务造假。世通公司财务造假。投资者损失巨大。公众对市场失去信心。美国国会通过新法律。萨班斯法案在二零零二年通过。法案要求严格内部控制。上市公司必须建立控制。管理层负责评价控制。审计师必须审计控制。法案强调财务报告控制。法案要求首席执行官签字。首席执行官保证报告真实。首席执行官保证控制有效。内部控制成为法律要求。企业必须遵守规定。COSO框架得到推广。

内部控制研究涉及很多方面。学者研究内部控制影响因素。公司规模影响控制。大公司资源更多。大公司控制更完善。小公司可能缺乏资源。小公司控制可能薄弱。股权结构影响控制。股权集中可能有利。大股东有动力监督。股权分散可能不利。股东监督力度减弱。管理层持股影响控制。管理层持股可能协调利益。管理层持股可能带来操纵。公司治理影响控制。董事会强大监督有力。审计委员会专业重要。独立董事作用关键。企业文化影响控制。文化强调诚信重要。文化容忍风险危险。行业特点影响控制。金融行业控制严格。科技行业控制灵活。

学者研究内部控制经济后果。内部控制影响会计信息。控制好信息质量高。控制差信息质量低。控制缺陷导致错误。控制缺陷可能被利用。内部控制影响审计费用。控制好审计风险低。审计师收费可能减少。控制差审计风险高。审计师收费可能增加。审计师可能辞职。内部控制影响资本成本。控制好投资者放心。投资者要求回报降低。控制差投资者担心。投资者要求回报提高。内部控制影响企业价值。控制好减少损失。控制好提高效率。控制差增加风险。控制差可能引发罚款。

学者研究内部控制评价方法。评价需要标准。COSO框架是常用标准。评价需要证据。证据包括文档记录。证据包括观察询问。证据包括测试运行。评价需要判断。判断控制设计好坏。判断控制执行效果。评价需要报告。报告说明控制缺陷。缺陷分为重大弱点。缺陷分为重要缺陷。缺陷分为一般缺陷。重大弱点影响严重。审计师可能否定意见。管理层需要改进控制。

信息技术发展改变内部控制。企业使用信息系统。系统处理大量交易。系统带来新风险。系统可能被入侵。数据可能被破坏。程序可能被篡改。内部控制需要适应。控制活动嵌入系统。系统自动进行校验。系统自动进行对账。系统限制操作权限。系统记录操作日志。信息技术提高效率。信息技术也带来挑战。员工需要新技能。审计师需要新知识。

不同国家内部控制存在差异。美国强调规则明确。法律要求具体详细。企业遵守萨班斯法案。中国学习国际经验。中国制定基本规范。规范要求企业建立控制。规范要求企业评价控制。中国情境具有特点。国有企业需要特殊考虑。转型经济环境不同。文化影响控制实施。学者研究中国问题。研究国有企业控制。研究家族企业控制。研究内部控制有效性。

内部控制研究还在发展。现在关注整合风险管理。企业面临各种风险。风险包括战略风险。风险包括经营风险。风险包括财务风险。内部控制是风险管理的一部分。COSO发布新框架。新框架叫企业风险管理。风险管理更加全面。风险管理考虑风险偏好。风险管理考虑风险应对。内部控制和风险管理联系紧密。

现在关注公司治理结合。董事会监督内部控制。审计委员会负责控制。管理层执行控制。职责需要清晰划分。权力需要有效制衡。现在关注行为因素影响。管理者风格影响控制。员工心理影响控制。诚实文化非常重要。现在关注新兴技术应用。大数据帮助监控风险。人工智能识别异常模式。区块链保证交易透明。这些技术提供新工具。

内部控制制度研究内容丰富。研究从简单到复杂。研究从会计到管理。研究从国内到国际。研究帮助企业发展。研究帮助监管完善。研究帮助投资者决策。内部控制很重要。企业需要建立好控制。社会需要关注控制。学者需要继续研究。