内部控制对企业很重要。国外企业研究内部控制的时间很长。他们有很多好的做法。这些做法值得我们学习。我们看看他们的文献。这些文献讲了内部控制的道理。这些文献也讲了内部控制的方法。

内部控制是什么。内部控制是企业的一套流程。这套流程保证企业做事正确。这套流程保护企业的财产。这套流程保证企业遵守法律。这套流程帮助企业达成目标。内部控制像企业的免疫系统。它预防企业生病。它发现企业的问题。它帮助企业恢复健康。

国外很早就有内部控制的思想。十八世纪的工业革命改变了生产。工厂需要管理材料。工厂需要管理工人。工厂需要管理资金。简单的记账不够了。企业需要更系统的控制。二十世纪初泰勒提出科学管理。他把工作分成小块。他测量每块工作的时间。他设计最有效的工作方法。这是流程控制的开始。企业开始标准化操作。

二十世纪三十年代美国发生经济危机。很多公司倒闭。美国政府出台法律。法律要求公司公开财务信息。法律要求审计财务报表。审计师需要评价内部控制。内部控制成为正式的概念。1949年美国审计程序委员会发表报告。报告第一次定义内部控制。内部控制包括组织计划。内部控制包括保护资产的方法。内部控制包括核对账目的准确。这个定义很宽泛。

五十年代以后内部控制发展很快。企业规模越来越大。企业业务越来越复杂。跨国公司在很多国家运营。公司需要协调全球的业务。公司需要控制不同地区的风险。1977年美国颁布《反海外腐败法》。法律禁止美国公司贿赂外国官员。法律要求公司建立会计控制。公司必须保证交易记录真实。公司必须保证资产使用合理。这个法律推动很多公司加强内部控制。

八十年代计算机普及。企业使用信息系统。内部控制扩展到信息系统。控制要保证数据安全。控制要保证程序正确。控制要保证系统可靠。1988年美国注册会计师协会发布审计准则。准则把内部控制分为两类。一类是会计控制。会计控制保护资产。会计控制保证财务信息可靠。另一类是管理控制。管理控制提高运营效率。管理控制鼓励遵守政策。这个分类用了很多年。

九十年代发生很多大公司欺诈事件。投资者损失很大。社会要求更好的公司治理。1992年美国COSO委员会发布框架。这个框架影响全世界。COSO框架说内部控制有五个部分。控制环境是第一部分。控制环境是企业的氛围。管理层重视诚信吗。董事会独立吗。员工有道德吗。这是内部控制的基础。风险评估是第二部分。企业要找出可能的问题。市场变化是风险。新技术是风险。法律变化是风险。企业要评估风险的可能。企业要评估风险的影响。

控制活动是第三部分。控制活动是具体的行动。职责分工是控制活动。一个人不能管所有事。授权审批是控制活动。花钱需要领导批准。实物保护是控制活动。仓库要锁好。定期核对是控制活动。账本要和实物对照。信息与沟通是第四部分。员工需要知道自己的责任。员工需要知道公司的目标。信息要及时传递。上下级要沟通。公司内外要沟通。监督是第五部分。监督是检查内部控制是否有效。日常管理是监督。内部审计是监督。发现问题要改正。COSO框架很全面。很多国家采用这个框架。

二十一世纪发生更多公司丑闻。美国安然公司倒闭。世界通讯公司倒闭。这些公司财务报表造假。这些公司内部控制失效。2002年美国通过萨班斯法案。这个法案非常严格。法案要求CEO和CFO对财务报表负责。如果他们签字作假，他们要坐牢。法案要求公司评估内部控制。审计师必须审计内部控制。公司必须报告内部控制的缺陷。萨班斯法案之后，全球都加强内部控制。

欧洲也有内部控制的要求。英国的公司治理准则很出名。准则要求董事会负责内部控制。董事会要审查内部控制的效果。准则强调风险管理。公司要管理所有风险。财务风险是风险。运营风险是风险。战略风险也是风险。德国公司重视监事会。监事会监督管理层。日本公司重视集体决策。这些文化影响内部控制。

内部控制的文献有很多研究。研究者研究内部控制的效果。研究发现内部控制好的公司，财务报告更可靠。内部控制好的公司，浪费更少。内部控制好的公司，更少违反法律。内部控制好的公司，更容易获得贷款。银行相信这些公司。内部控制好的公司，股票价格更稳定。投资者信任这些公司。

研究者也研究内部控制的问题。内部控制成本很高。小公司觉得负担重。内部控制可能降低效率。太多审批让工作变慢。员工可能讨厌控制。员工觉得不被信任。内部控制可能失效。管理人员可能绕过控制。员工可能合伙欺骗。技术变化带来新风险。网络攻击是新风险。数据泄露是新风险。内部控制必须跟上变化。

研究者提出改进内部控制的方法。内部控制要适合公司。大公司需要复杂的控制。小公司需要简单的控制。内部控制要平衡成本和效益。控制不能比问题本身更贵。内部控制要利用技术。计算机可以自动检查错误。系统可以阻止违规操作。数据分析可以发现异常。内部控制需要全员参与。不只是审计部门的事。每个员工都有责任。销售人员要正确记录合同。采购人员要核对供应商。仓库人员要清点货物。管理层要以身作则。管理层不能违反制度。

国外企业的实践给我们启示。董事会必须重视控制。董事会要监督内部控制。高管要带头遵守制度。公司要建立诚信文化。公司要培训员工。员工要明白控制的目的。员工要学习控制的方法。公司要鼓励员工报告问题。员工不用担心报复。公司要定期更新控制。业务变了，控制也要变。风险变了，控制也要变。

内部控制的文献很多。这些文献是企业的经验。这些文献是研究的成果。我们学习这些文献。我们理解内部控制的重要。我们学习内部控制的方法。我们根据自己情况运用。企业需要健全的内部控制。内部控制帮助企业走远路。内部控制帮助企业在风浪中稳定。这是国外文献告诉我们的道理。