一、内部控制概述

　　内部控制是社会经济发展到一定阶段的产物，其内容是随着企业对内强化管理，对外满足社会需要而不断丰富和发展的，其发展大致经历了以下过程。

　　（一）上个世纪40年代前的内部牵制：

　　1、内部牵制是指以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。内部牵制基于以下两个基本设想：（1）两个或两个以上的入或部门无意识他犯同样错误的机会是很小的；（2）两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。2、内部牵制机能执行的分类大致可分为：（1）实物牵制；（2）机械牵制；（3）体制牵制；（4）簿记牵制。总之内部牵制着重组织内部分工的控制；它是现代内部控制理论中有关组织控制、职务分离控制的雏型。

　　（二）40年代末到70年代初的内部控制：由于二、三十年代世界性经济危机的影响和随着国际经济竞争的激化迫使企业加强生产经营的控制与监督，这就促使内部牵制超越了会计及财务范围，从而形成了组织规划和企业内部采用的所有协调方法和措施的内部控制。以便保护企业财产的完整；检查会计数据的正确性和可靠性；提高经营效率；坚持贯彻既定的管理方针；前两点正是会计控制的目标而后两者是管理控制的目标，会计控制主要包括授权和批准制度，从事财务记录和薄记与从事经营或财产保管职务分离，财产的实物控制等；管理控制包括统计分析、时动研究、业绩报告、雇员培训计划和质量控制等。

　　（三）70年代以来的内部控制：上世纪70年代以来，西方会计审计界对内部控制研究的重点逐渐从一般含义向具体内容深化，并采用结构分析法对内部控制进行研究，以使其内容更实在，条理更清楚。内部控制的结构具体包括：1、控制环境，即对建立、加强或削弱特定政策和程序效率发生影响的各种因素；2、会计系统，即汇总、分析、分类、记录、报告公司交易并保持对相关资产与负债的受托责任而建立的方法和记录；3、控制程序，即为了合理保证公司目标的实现而建立的政策和程序。上述内部控制结构将控制环境纳入内部控制范畴。因为当今企业处于高风险的社会经济环境中，对内部控制的考虑不可能脱离其赖以存在的环境，不可能不受到外部各种风险因素相互作用的影响。所以控制环境的好坏直接决定的企业其他控制能否实施或实施的效果。

　　综上所述，本文所指的内部控制制度是内部控制和内部控制结构相结合的产物，是一个从抽象到具体的融合过程。

　　二、内部控制制度的设立

　　（一）内部控制制度设立的理论基础一一控制论：控制论作为一门新兴科学是由美国数学家、生物学家请伯特·维纳在 1948年出版了《控制论》一书后创立的。它主要研究生物系统和非生物系统内部通信、调节和控制的一般规律。其基本观点是：1、一切有生命和无生命（机械设备等）的系统都是信息系统，具有信息交换的过程。控制论认为客观世界存在着一种普遍的联系即信息的联系，任何耦合谋一系统诸元素之间的因果关系）运行系统之所以能够保持自身的稳定性，正是由于它具有获得运用、保持和传递信息的方法和功能。而且，在实现上述联系和信息变换过程中又总是存在反馈信息的过程，即将输出的信息反作用于信息的再输入，并对信息的再输出发生影响，起到控制和调节的作用。如果没有信息及其变换过程就不存在反馈，如果没有信息反馈作用，也就不存在控制的机能。控制的全过程离不开信息及其变换过程，控制系统通过信息系统的处理才能达到目的。2、一切有生命和无生命的系统都是反馈系统，具有反馈控制原理，控制系统都是通过各种反馈来达到控制的目的。

　　内部控制所研究的组织，同样是一个信息系统，通过信息的变换和反馈，辅之以专门的施控方法达到控制的目的。所谓控制是施控主体对受控客体的一种能动作用，这种作用使受控客体为施控主体的目标所驱动以最终达到施控主体的预定目标。施控主体主要指组织的管理当局，受控客体是组织内部的各个构成元素及彼此间的耦合关系。

　　（二）内部控制的方法：内部控制的方法必须从控制论中吸取营养：在控制论中，按控制的过程形式分为四种控制方式。

　　1、程序控制：是指在已知系统的状态变量和控制变量的前提下，预先确定出控制变量的时间序列，保证系统状态的时间序列沿着既定的步骤运行的一种控制方式。

　　2、跟踪控制：指不直接根据输出的变化调节输入，而是通过一个跟踪变量来调节输出以改变被控系统状态的一种控制方式。

　　3、自适应控制：指发生在没有明确先行量的情况下，以系统前提或即刻已达状态的输出量来主动改变控制系统中的控制变量。以保证系统达到期望的最优状态的一种控制方式。这种控制方式的一个重要内容是学习过程，这个过程是按系统自身运行过程中的经验来得出实施何种程序才能使系统达到预定的最优工作状态。

　　4、最佳控制：又称极值控制，它是指控制系统的控制标准是由某一函数最大值或最小值决定的这类系统进行控制的一种方式。

　　内部控制吸收控制论的合理内核；其基本控制方式有：

　　1、制定业务流程（程序控制）：任何组织不论规模大小，都具有一套如何主办、记载、汇集、交易事项的规定方法，并以手续说明书或活页流程图的方式印制，并随手续的变动而修改。

　　2、设立良好的表格和单据制度（跟踪控制）：记载所有部门的作业，必须具有设计良好的表格和单据制度。这里必须指出两点，其一：内部单据如由利害相对立的两部门共同参与编制；可靠性将大为提高；其二：所有文件应须顺序编号，这不仅有利于编号控制所发文件的号码和统计汇总，也便于控制遗漏凭证和日后查阅。

　　3、随机控制（自适应控制）：就是根据一个因素的变化来控制另一个因素的变化，通常我们把前一因素称为控制先行量。

　　4、模型控制（最佳控制）：一般地说，内部控制越严密，越有控制力。但制度的设计与运行需要花费众多的制度成本或控制成本。如果这些成本高于制度所产生的效益，则显然是不合算的。依据重要性原则，重要的制度就应设计得严密些，非重要的制度可设计的松驰些。因此，借助于控制论基本原理，可以建立内部控制模型，对受控客体施行最佳控制。

　　（三）设置内部控制体系：从前所述可知，内部控制的三种主要形态及主要控制方式，现在如果把内部会计控制、内部管理控制及内部审计控制按结构分析法划分为具体的控制环节，然后把控制方法寓于其中，便可勾画出内部控制体系的基本框架。

　　（四）内部控制评价：一个组织建立了内部控制制度，并不意味着它在实际工作中得到了不折不扣地贯彻和执行，因为内部控制的工作受到控制环境的影响，诸如人员素质和领导素质等。因此需要对内部控制进行评价，使之更加完善，主要从以下方面进行：

　　1、评价内部控制的健全性。

　　2、评价内部控制的合理性。

　　3、评价内部控制的有效性。

　　经过测试，可能会发现控制薄弱环节，这些环节必须会给企业带来危害和损失，因此要进行“控制弱点分析”：

　　（1）分析是否有补偿性控制：所谓补偿性控制是能消除该控制弱点可能带来的影响，显然，在每一类经济业务处理流程中控制弱点出现得越早，获得补偿性控制的机会就越多。（2）分析该控制弱点是否会产生潜在错误，主要是对信息可能失真的影响作出分析。（3）分析这种潜在错误是否有重要影响并采取相应的测试程序即审计阶段的实质测试。

　　这样经过内部控制的测试与评价，及时发现并纠正控制弱点，使内部控制在形式与内容、效率与效果上达到完美统一，真正发挥管理的职能。

　　三、内部控制制度的发展

　　计算机的出现和使用对传统会计和审计来说不啻于一场革命，它改变了会计控制的性质改变了会计信息存放、传输及加工处理的技术基础，并由此带来了一系列特殊的内部控制问题。从系统论的角度看，会计电算化系统是由多种要素、多个层次构成的复杂信息系统。这一系统有两大子系统，它们以人机界面为分水岭。一个以计算机为中心，由计算机软件硬件和会计应用软件构成；另一个则以人为中心，由操作使用人员，管理人员及相应的管理机构构成。与系统的“人权”划分相适应，内部控制也可作两类划分，一类是计算机程序来实现，我们称之为程序化内部控制，另一类由人来实施，我们称之为制度化内部控制。

　　（－）程序化内部控制：程序化内部控制是由程序来实现的，下面给出的所有控制都属于这一类：1、计算机硬件层次上的所有控制，硬件控制通常是由计算机硬件制造商设计并安排在计算机硬件设备上，如边界保护、二模冗余，N模表决、双电路等，设置这种控制的目的是为了使计算机有更高的可靠性，在环境出现一些细微干扰的时候不至于影响计算机的运行。2、系统支持软件中的控制，系统支持软件主要指单机、网络操作系统、数据库管理系统等基础软件，这类软件中的控制如访问控制、隔离控制、加密变换、四个控制等必须是相当全面的，同时所采用的技术也必须是高人一筹的，因为系统支持软件是各种应用软件的基础，负责计算机各类资源的全面管理，需要对硬软件运行过程中的各类资源进行预测并尽量排除。3、会计应用软件中的控制，与上述两种控制相比，这种控制不具有普通性，它们是针对会计信息的处理特点来设置的，受会计电算化管理规章的约束。内部控制大多是通过程序来实现的，如对会计凭证修改的审计线索、结账后对上一会计期间的会计凭证不能再输入、对机内会计报表不提供直接修改的功能、体现职责分工的权限控制及口令控制、凭证的输入、修改和审核授权控制等。

　　（二）制度化内部控制。制度化内部控制分为以下六个方面：1、组织控制，即将系统中的不相容职责进行分离，首先是将电算化部门与用户部门的职责相分离，即单独设立一个电算化部门，主要负责电算化方面的有关事宜，各用户部门则负责各种交易的具体执行。其次是在电算化部门内部进行适当的职责分工。一般来说，应出系统设计与编程、上机操作、输入与输出控制以及档案资料保管等责任岗位。2、系统开发控制，主要适用于那些自行开发电算软件的企业，内部控制的制度化管理在这一阶段主要指对开发计划、并发过程人员、文档资料的管理等。3、安全控制，这项控制是为了保证系统的日常运行安全，主要包括接触控制和环境安全控制。前者是防止未经授权的人擅自运用系统的各种资源，后者则是为了尽量减少因外界因素所致的计算机故障，包括机房环境保护、保护性设备配备以及安全供电系统安装等。4、操作控制，制定上机守则与操作规程是操作控制制度化的体现，前者主要是对机房内工作所作的一般规定，后者则要求提供计算机业务处理过程的具体操作步骤和具体要求，包括各种操作命令、使用说明及非常情况处理等。5、内部审计，从系统开发到日常运行的各个阶段，都离不开内部审计，要运用计算机审计技术从而达到控制目的。6、与程序化控制相配合的控制，这一类控制需要把两者相配合才能实现其控制功能，如访问授权控制。

　　（三）制度化与程序化构建之间的关系：把一种控制划归为程序化或制度化，实际上也即确定了这种控制的构建机制，那么一种控制究竟应采用几种构建策略，我认为主要取决于以下这样一些方面：

　　1、控制本身的特点：通常在电算系统中越靠近硬件的层次上，以程序化方式构建的控制也越多。

　　2、控制的建立成本与执行成本：程序化控制往往有较高的建立成本，这要视其所采用的技术难易程度而定，但是其执行成本却较低，控制程序的运行可能要挤占一些计算机资源，却不存在懈怠、差错，不执行一类的问题，也不需要经常性监督。然而制度化控制则相反，它的建立成本低，执行成本却很高。

　　3、风险形式的转变：任何一项控制都有着特定的风险对象，但同时又会带来新的风险，我们称这种情况为风险形式的转变。其中有两类转变最值得注意，一是风险从非技术领域转向技术或高技术领域，二是从众多的普通工作人员向少数管理人员或专业人员转变。

　　4.技术进步：众所周知，计算机技术的发展呈现着日新月异的变化，技术的进步，往往会使原来在技术上难以实现的控制现在变为可能，而原来清水不漏的控制却变得弱不禁风。因此，电算控制系统应不断调整、改善，才能真正做到保护企业资产、增进会计数据的可靠性和真实性、提高企业的经营效益。