基于現代系統思考的企業內部控制創新研究

[摘要]眾所周知，理論對實踐有巨大的影響，科學的理論能夠指導實踐；錯誤的理論干擾實踐活動，甚至會將實踐引上錯誤的道路。企業內部控制的理論概莫能外。目前內部控制成為國內外理論界、政界和商界共同關注的課題，而我N-L市公司對內部控制普遍不夠重視。美國SOX法案頒布5年來，褒貶不一。本文試圖從現代系統思考的角度，以跨學科的相關理論為前提，結合運用多種現代系統思考的方法研究企業內部控制問題，旨在厘清、補充和完善現有的內部控制理論和方法，重新構建內部控制的邊界、內部控制框架的目標和要素等，以期完善內部控制理論，更好地服務于企業內部控制的實踐。

[關鍵詞]內部控制； 系統思考； 管理范式創新；風險管理

自2001年美國的安然、世界通信等一大批著名國際公司發生財務丑聞以來，相似的報道不斷涌現。英國《泰晤士報》網站2007年2月24日報道：三洋股價暴跌，因為賬目調查使人們擔心出現“日本版安然事件”。2008年初，新聞媒體披露法國興業銀行因交易丑聞導致49億歐元的巨額損失，內部控制能否防范與人有關的風險成為人們關注的焦點。一些國家政府、各種專業組織和學者掀起了研究企業內部控制的熱潮，內部控制理論呈百花齊放狀態。與之相反，在我國，“上市公司自身對內部控制的認識程度普遍較低，且并未因《會計法》、《內部會計控制規范》等法律法規的頒布實施而有所改善”(楊雄勝，2007)。美國SOX法案頒布5年來，褒貶不一。理論失效將導致企業退化甚至使其成為威脅企業生命的疾病。本文試圖從現代系統思考的角度，以跨學科的相關理論創新為前提，結合運用多種現代系統思考的方法研究企業內部控制問題，旨在厘清、補充和完善現有的內部控制理論，以期更好地服務于企業內部控制的實踐。

一、內部控制理論與方法研究的現狀

(一)內部控制理論研究呈現“三觀”并立的局面

內部控制理論研究目前出現了風險觀、監督觀和遵循觀三觀并立的局面，令企業無所適從，無法引起企業的重視和引導企業內部控制的建設。持“風險觀”的主要有：美國國際會計師聯合會(IFAC)于2007年發布了《基于風險觀的內部控制》的訪談文章，采訪了來自全球不同企業的10位高層資深的管理人士，提出內部控制向風險控制轉變的觀念，主要包括：各類組織的風險的性質：建立關注驅動業績和幫助戰略目標實現的內部控制系統；提供有助于各個組織思考、改善其內部控制方法的成功經驗等。謝志華(2007)探討了內部控制、公司治理和風險管理三者的本質的相同性，以此為基礎，對三者進行了整合，提出了基于風險管理的整合框架。丁友剛、胡興國(2007)研究了內部控制、風險控制和風險管理三者之間的關系，認為內部控制作為一種內部風險控制機制融入到企業綜合風險管理框架之中?？梢?，風險控制已成為當代內部控制的主流觀之一。

COSO于2007年9月發布了“內部控制系統監督指南”(Guldance on Monltoring Internal Control Systems)的討論稿，本文下面簡稱監督指南。監督指南更加充分地開發了COSO1992年的“內部控制——整體框架”的監督要素，以改善內部控制系統的質量，確保內部控制系統持續有效地運行。監督指南在其行政高管概覽部分，闡述了監督的基本原理；監督使用的信息的性質；有效監督的設計；監督結果的交流和處理；監督的規模和結論，這是第二種觀點“監督觀”的典型代表。第三種是以美國薩班斯一奧克斯利法案(Sarbanes Oxley Act，縮寫為SOX)為代表的“遵循觀”。美國立法機構于2002年7月30日頒布了SOX法案，希望恢復公眾對美國企業的信心。然而，這種單純的“遵循觀”使該法案從一開始就飽受爭議，實施5年后證明，孤立地看待問題、簡單的解決方案已成為一把雙刃劍。如果說其突出的優點是迅速恢復了投資者的信心，那么卻是以上市公司付出巨額遵循成本為代價的；其次，人們批評SOX法案正在逐漸損害美國企業家的精神，指責SOX導致企業家對承擔風險的熱情不斷降低(Willianm Donaldson，2003)。可見，立法者或監管者鼓勵使用的內部控制主要是針對危機進行反應，防止不利的事情發生。

綜上所述，內部控制“三觀”并立的局面無力指導企業內部控制的實踐，從而局限了內部控制理論的創新和發展。因此，利用跨學科的系統思考的方法和相關學科理論的新范式對內部控制理論進行創新，拋棄建立在傳統的相關學科上過時的理論前提，完善內部控制理論和方法迫在眉睫。

(二)內部控制方法研究需要以多種系統思考方法結合運用，予以補足

早期的內部控制研究方法主要是內部控制的審計方法。進入2000年以來，受COSO框架的影響，研究的內容和范圍逐漸擴大，將內部控制框架與公司治理結合起來的研究也日益增多。近年主張內部控制采用管理方法的觀點不斷增加。楊雄勝(2005、2006)、張硯(2005)強調立足于管理口徑開展內部控制研究。李心合(2007)認為管理視角的內部控制研究更有現實意義，內部控制要從財務報告導向向價值創造導向轉型，提出了價值創造導向的內部控制框架。李心合(2007)認為內部控制框架仍聚焦在“內部”無法體現價值鏈上內部控制的要求，這也很難說能體現管理者的控制要求。

2006年后，一些學者用系統思考的方法研究內部控制，稱內部控制為系統工程。楊周南、吳鑫(2007)提出用工程學的方法將內部控制的理論和實踐結合起來，從工程學的特點著手，研究內部控制工程學的體系結構和主要內容，從工程模型、工程方法、工程工具和管理過程等四個方面構建和完善內部控制工程學。張宜霞(2007)從系統和整體效率的視角研究內部控制的理論體系，重新界定了企業內部控制的范圍和性質，從整體上形成內部控制的概念體系。從上述內部控制的研究方法看，還局限于審計和管理的方法；就系統思考的方法而言，主要是應用系統工程等硬系統思考方法，未能以現代系統思考的最新研究成果如復雜性理論、軟系統思考方法等加以補充，設計和建立企業內部控制系統。

綜上所述，無論從理論上還是從方法上看，主要是從單一視角和單一方法研究企業內部控制。筆者認為，若想清除內部控制理論和方法研究的障礙，為企業內部控制理論基礎和方法的創新帶來活力，必須以相關學科范式的創新對某些傳統的內部控制理論的前提條件進行更新。同時，結合運用跨學科的多種現代系統思考方法，重塑企業內部控制系統的邊界和框架，引導企業建立起與企業成功相聯系的內部控制系統，激發和調動企業建立內部控制系統的積極性。

二、系統思考對企業內部控制理論、方法創新的影響

系統思考的發展為傳統的內部控制理論創新帶來了巨大的契機。系統思考具有跨學科的特征，它從不同學科借用許多思想和概念，因此有可能利用這些學科的不同優點來加深對內部控制問題的認識?，F代系統思考與組織和管理理論結合在一起時尤其有益。當其與管理范式的創新、行為科學理論的人性假設的發展以及現代企業理論的基本假設等相結合時，開闊了企業內部控制理論的研究視野。隨著時代的發展，社會經濟環境日益復雜化，致使傳統的內部控制理論所基于的相關學科的某些假設已經過時，還有些需重新進行修正或更正，而現行的內部控制理論依然局限于傳統的某些已經過時的企業管理范式、組織理論以及單一的硬系統思考方法，對復雜、多變的企業內部控制問題提供簡單的解決方案，用其指導內部控制的實踐，產生了許多誤導，難以取得預期的效果。因此，現代系統思考的發展以及相關學科理論范式的創新成為補充和修正企業內部控制理論和方法的突破口。

(一)21世紀管理范式創新的影響

21世紀管理范式的創新使企業內部控制突破了“內部”范圍。彼得·德魯克(2006)認為在20世紀80年代以前還是正確的管理學假設“管理是對內部的管理”“已經被最終的和全新的管理范式所取代：“只要能影響組織的績效和成效的，就是管理的中心和責任，無論是在組織內部還是在組織外部，無論是組織能控制的，還是完全不能控制的。”。這一點對內部控制建設的啟示是：不能只關注“對內”業務流程的控制，還應關注“對外”如何在所處的環境中選擇與創造自己未來的生存空間，以及如何與外界各種機構和資源提供者維持平衡而互利的關系。否則，內部控制只能成為企業發展的束縛。而無邊界組織的出現，也充分說明必須拋棄企業內部控制的范圍是企業“內部”之說，無論在理論上還是在實踐中都已具備了條件。對于不能控制的，我們可以通過風險管理、戰略管理和軟系統思考方法等進行補充。

惟有拋棄建立于各種傳統的、過時的假設上的內部控制理論，創新企業內部控制系統的邊界和范圍，才能使內部控制理論適應當代經濟發展的客觀要求，突破內部控制理論發展的困境。

當內部控制的范圍突破了企業內部的物理邊界的局限后，企業內部控制框架之“內部環境”要素也得以突破，成為內、外部環境，即環境。在工作環境中，對與人有關的風險進行管理，在外部環境中應對廣泛的風險進行管理，并與監管機構等外部機構協調共生。抓住機遇，實現戰略目標。這些前提條件的創新，使內部控制更符合時代發展的需要。

(二)行為科學之人性假設發展的影響

1 行為科學的發展由“硬”管理向“軟”管理轉變。

行為科學是研究人類行為規律的科學，其對管理的影響可以歸納為以下四個方面：由原來的以“事”為中心發展到以“人”為中心；由原來對“紀律”的研究發展到對“行為”的研究；由原來的“監督”管理發展到“人性激發”的管理；由原來的“獨裁式”管理發展到職工參與決策的“民主”管理，以激發職工的積極性，提高勞動生產率，為企業創造更大的價值。管理的發展史明顯地存在著由理性的科學管理即物本主義的“硬”管理向非理性的人文主義的人文管理即人本主義的“軟”管理的轉變。由此可見，企業內部控制研究如能輔以行為科學的思想，重視和關注人的要素，以“軟控制”來補充和完善“硬控制”，加強長期被忽視的與人有關的風險管理，激勵與監督并重，將有助于補長現行內部控制框架要素的短板。

2 當代行為科學人性假設的新理念。

“企業需要采取不同的方式來管理不同的人”是對傳統的管理人的方式的挑戰。傳統的奠定了有關組織中的人和對人的管理的所有其他假設的基礎是：“企業采取或至少應采取一種管理人的方式?！边@個假設幾乎成為有關對人管理的所有著作或論文的基石。然而隨著時間的推移，這個假設已完全與事實不符。行為科學論及了對人的管理的各種方式，但馬斯洛在他的著作《優心管理》一書中不容反駁地指出，企業需要采取不同的方式來管理不同的人。但是由于人們深受道格拉斯·麥克雷戈的X-Y理論影響，至今很少有人重視這一點。

綜上所述，有關對人的管理的傳統假設“企業采取或至少應采取一種管理人的方式”早已根深蒂固，深入人心，然而，綜合了當代的激勵理論并經歷了的間檢驗的觀點：“企業需要采用不同的方式來管理不同的人”的假設是當前內部控制的盲區所在。企業業績的提高終究應歸功于人。內部控制應關注充分發揮和利用每個人的知識和優勢，而不只是傳統的約束和壓制。

(三)現代企業理論的基本假設的影響

傳統經濟學中的“經濟人”假設認為，個人具有完全的理性，完全用效用最大化的原則進行選擇。而現代企業理論之所以成功地取代了傳統的企業理論成為主流企業理論，最主要的原因是其基本假設更符合人的本性，更接近企業運作和社會活動的現實?，F代企業理論的基本假設包括人和環境兩個方面，其中，關于人的假設認為人的理性是有限的，人具有機會主義傾向；關于環境的假設是環境具有不確定性和信息壓縮。

1 從人的有限理性方面看，企業內部控制必須提倡學習與激勵。

有限理性最早是由西蒙提出的，他認為組織中的人只是介于完全理性與非理性之間的“有限理性”的“管理人”，“管理人”假設才更接近現實世界的真實狀態。按照有限理性的要求，行為主體要在所有可行的備選方案中作出選擇，而在現實情況中。主體可能只想到有限的幾個可行方案?？傊?，由于未來的不確定性和知識的不完整性，人們不可能對未來無所不知。可見，企業內部控制必須提倡學習與激勵，透過學習進行控制，以彌補人的有限理性的不足。

2 從人的機會主義傾向看，監督始終應是內部控制的要素之一。

機會主義被著名經濟學家威廉姆森概括為“施詭計以求自利”，即指行為主體在交易活動中不僅追逐自利的目標，而且在追逐自利的目標的同時，使用策略性行為，這些策略性行為包括隱瞞真實信息、交易意圖的不實陳述和欺詐等。這一假定是對新古典經濟學中的“經濟人”假定的一個基本擴展。也就是說，當人們有機會去滿足欲望時，只要他人識別其行為需要花費較高的成本，人們就會采取自利行為?？梢姡攧請蟾娴膬炔靠刂剖冀K是內部控制的重點和難點所在，監督始終是必不可少的要素之一。但控制需要成本，受成本效益原則制約，因此，選擇合適的人進入企業，可以大大降低成本，必須將加強軟控制提到日程上來。

3 從環境因素具有不確定性看，“風險觀”成為內部控制的主流。

有限理性之所以重要，是因為環境通常復雜、多變和具有不確定性。當不確定性或復雜性不復存在時，人們在行動一開始就可以對這一行動的整個過程事先加以規定，這種情況下的行為通常被稱為是理性的。對此，企業內部控制對生產經營工作流程可以采用系統工程的方法進行標準設計和控制；但對于復雜多變的問題則需要借助于企業風險管理、戰略管理和人力資源管理等手段，并注意與系統環境交互影響的協調共生。

4 從信息壓縮方面看，必須調動人人參與內部控制的積極性。

信息壓縮(1nformation lmpactedness)又譯為信息沖撞，是從不確定性和機會主義中推導出的另一個條件。它與有限理性也有關系，是指交易活動中一方掌握了與交易有關的更多信息，而另一方要想獲得這一信息，通常是要花費一定代價的。一般認為，在交易活動中，如果信息在交易雙方的分布是不對稱的，則交易活動的風險就會出現。信息不對稱的兩個關鍵因素是：獲得信息需要較高的成本；信息不對稱所引起的機會主義傾向帶來的問題是：擁有較多信息的一方會產生機會主義傾向。比如，作為財務人員可能粉飾了賬目，但作為內部審計或外部審計的人員有可能未能發現，很難加以監督。因此，必須調動人人參與內部控制的積極性，實施內部控制的自我評價，建立人性化的內部控制系統。

(四)以軟系統思考方法補長內部控制其他方法的短板

從內部控制研究方法上看，目前人們對如何運用系統思考的新的研究成果(如軟系統思考的方法)補充內部控制工程學等硬方法的薄弱環節研究得較少。

1 我國目前內部控制研究方法主要是硬系統思考的方法。

硬系統思考是切克蘭德(1981)為在第二次世界大戰期間及其結束稍后的一段時期內發展起來的、解決現實世界問題的各種系統方法給出的統稱。與這個名詞聯系最緊密的是運籌學、系統分析、系統工程。其在內部控制中的運用之優點表現在：(1)系統工程將科學上的嚴謹帶到管理問題的解決中來。因此。如果管理者目標明確，只是在尋求達到這些明確目標的不同手段，如設定目標的績效標準并對其進行評價，這種方法是非常有幫助的。(2)系統工程方法幫助管理者處理所面對的大量操作性問題是有益的，但是，當用其處理現實世界中具有極端復雜性、多樣性的問題時，理論家和實踐者均明顯感到這種方法的局限性和力不從心。因為有目的的行為不可能不帶個人價值判斷，在不存在任何偏見的情況下對復雜問題進行簡化，常常不易做到。同時，還存在遺漏那些不能定量的有關因素的危險。如忽視環境因素、文化因素等。(3)它將企業比作機器，將系統中人的因素邊緣化。人只是被當作可以設計的原件，而不是一個執行決定和實現計劃的能動的行動者，這已不符合當代經濟發展的特征。(4)系統工程方法對于具有不可預測性的戰略問題和多樣化的問題不予考慮，頭痛醫頭，腳痛醫腳，只找到解決問題的癥狀解。

出于對硬系統思考方法的弱項進行補充，軟系統思考方法應運而生。主要包括以下三種具體方法：體現并檢驗戰略設想(Strategic Assumption Surfacing Testlng)、軟系統方法論(soft systems methodology)和互動式規劃(interactive planning)等方法”。

2 軟系統思考方法及其對內部控制建設的啟示。

(1)體現并檢驗戰略設想及其啟示。長期以來，內部控制執迷于對窄小范圍的戰術問題的解決方案并不斷進行完善，而管理者們面對的嚴峻的問題大多是呈現復雜的結構、本質上具有戰略性的問題。因而始終清醒發展戰略與使用技巧來解決問題同等重要。如果忽視對問題的明確表述，或錯誤地處理的話，管理者最終可能非常徹底且精確地解決了一個錯誤的問題。對企業內部控制系統的設計必須有助于促進戰略目標的實現。實踐表明，我國企業內部控制存在的問題恰恰是過于注重戰術方面的控制點，而忽視與戰略目標的互動和促進戰略目標的實現。

(2)軟系統方法論及其啟示?！败浵到y方法論使其能夠處理比工程情況更加復雜和模糊不清的管理問題(參見Check－land，1981；1999)?！败浵到y方法視管理工作是對一系列豐富地展開的關系進行管理，對環境或者文化等問題更關注。它補充了硬系統思考者一直尋求為物質系統、設計的系統等建立模型的狹隘做法。以軟系統思考方法作為補充，重視人的價值和作用、加強軟控制、加強學習都是內部控制系統需要加強的方面。

(3)互動式規劃方法及其啟示?！盎邮揭巹?interactive planning)”中的互動二字是針對另外兩類效果較差的規劃方法而言的，即“事前預防式”(preactive)和“事后反應式”(reactive)。互動式規劃方法是專門處理管理者在現代必須面對的因復雜性、變化和多樣性所引起的“難題”。在一個充滿多元價值觀和不斷變化的世界里，堅持優化就意味著失去對現實的理解。管理者應該通過激發組織的各種利益相關者并排除他們之間任何明顯的沖突，追求對所有利益相關者的最佳效果和最大效率，達到服務于企業內部控制、人性化問題和服務于其生存的環境等各種目的，從而使內部及外部利益相關者繼續通過該組織來追求利益，并保證組織持續的生命力和效果，使企業走向成功之路。

軟系統思考方法使系統方法重新恢復活力，極大地增強了系統方法與經營和管理的相關性，成為完善內部控制理論和解決內部控制難題的方法。筆者認為，軟、硬系統思考方法相輔相成。軟系統方法的發展是以硬系統思考方法的存在為基礎的，而硬系統思考方法又因軟系統思考方法來提升；硬系統思考方法是基于西方的科學分析和定量化，軟系統的方法論中包含的“天人合一”的中國古代管理思想，應該發揚光大。要創造性地將各種系統方法結合應用，促進實現企業的目的和目標。只靠系統工程這種硬系統思考的方法已不能滿足發展變化中的組織的需要，而引入軟系統思考方法對已有的內部控制的研究方法進行補充和完善，是時代發展的需要。

三、基于現代系統思考的企業內部控制系統的邊界及框架重構

(一)基于現代系統思考的企業內部控制系統應具有整體性

關于如何判斷整體有一個很重要的原則，就是要研究那些與要解決的問題相關的因素，而不是以我們的組織或系統中因功能而劃分的人為的界限為出發點。彼得·圣吉在《第五項修煉——學習型組織的藝術與實務》中借用太空人史維加特在太空中飄浮的感受寫到，“大自然(包括我們自己在內)不是由整體之中的各個部分所組成的，它是由整體中的整體所構成的。所有界限，包括國界在內，基本上都是人們強行認定的。我們制造了它們，然后，又很諷刺地發現自己最后被這些界限困住了”。我們在學科上的劃分又何嘗不是如此呢!我們希望通過內部牽制和審計來保護資產的安全，提高會計信息的質量；通過企業管理來提高經營活動的效率和效果；通過企業風險管理降低企業的損失；通過戰略管理確定企業長遠目標和愿景；通過公司治理進行權利的制衡；通過內部控制來控制活動和行為，而現實無情地證明：如此對學科內容的割裂，使得單一強調任何一個方面、忽視另一個方面，都無法實現我們所期望實現的內部控制的目標，從而使人覺得：戰略目標是空洞的；內部控制是對下屬人員的控制；公司治理是高層人員的安排；財務報告是會計人員和內部審計人員的事，風險管理是風險管理委員會的事。

由于各方之間缺乏相互影響、滲透與互動，反而成為相互制約的羈絆，比如，財務控制往往影響企業戰略目標的實現；公司治理與內部控制脫節，使內部控制成為制度化的無用的廢紙：公司治理、內部控制與法律法規的脫節，使其成為空中樓閣、海市盾樓。究其原因在于破壞了系統的整體性，因而難以實現協同效應。

企業是社會的細胞，無時不受社會政治、經濟、競爭、技術等環境的影響，以整體論的視角認識企業內部控制系統邊界，融合上述被嚴重割裂的各項理論，構筑有效的內部控制系統是時代發展的要求。

(二)基于現代系統思考的企業內部控制系統的邊界

相關學科理論和實踐的創新表明了重新界定內部控制系統邊界的必要性。

1 無邊界組織的出現證實了德魯克在其著作《21世紀的管理挑戰》中所駁斥的：現在“組織內部是管理的領域”的假設繼續存在不再有任何意義的觀點之正確性。因而，企業內部控制系統屬企業內部的傳統認識也應受到挑戰。

2 軟系統思考方法是對系統工程方法的有力補充，它不是把整體當作可以孤立地改善的部分的聚合體，其核心理念是把注意力從一個一個的部件轉移到系統各部件之間的互動關系上來，因為部分之間的相互作用才是最根本的，那才是需要進行管理的地方。否則，會給管理造成致命的失誤，不會帶來企業整體表現的任何改善。而傳統的內部控制系統恰恰是在單獨地、孤立地去改善系統中的部分?；谏鲜稣J識，企業內部控制系統應是社會系統整體中的系統。其目標的實現既受企業內部各部分相互作用的影響，也受企業實體外部競爭環境、經濟環境和政治環境及政府法律法規的影響。有了系統，就自然產生邊界。而內部控制系統的邊界不同的劃法，將極大地影響如何看待問題和對問題的解決方案。

3 企業內部控制屬于微觀層次的管理研究，但不能脫離于宏觀層次的管理的影響。企業是社會的細胞，存活在社會環境中。雅可比斯(Jane Jacobs)于1994年發表了在西方頗有影響的著作“存活系統——關于商業和政治道德基礎的對話”，將社會分成兩大類，或兩個系統：商業系統和監護系統。商業系統向社會提供物質財富，以納稅形式支持監護系統；而監護系統則對內防止腐敗和權力濫用，對外維護國家安全。

可見，不同的存活方式構成了兩個系統不同的道德和價值系統。社會監管系統對內部控制系統有正面或不利的影響，企業內部控制系統邊界超越了傳統的企業內部的范圍，是開放的社會系統的邊界，受環境影響并影響環境。因而，政府有關內部控制的法律法規應綜合考慮對企業活動系統和整個社會經濟的影響，每個系統都必須保持自身的特色和完整性，才可帶來整個社會的和諧。否則SQX法案實施后的負面效果會繼續出現。

(三)基于現代系統思考的企業內部控制框架設計

1 基于現代系統思考的企業內部控制框架之目標。

為了提高企業對內部控制的理解和信心，為企業內部控制標準的制定提供一個更為嚴格的方法，需要基于現代系統思考創新內部控制框架?？蚣艿哪繕说拇_定受系統邊界的影響。由于系統的邊界是開放的社會系統，其邊界的構成如圖1所示：

圖1中心部位的橢圓形是系統中的難題，即財務報告的內部控制。它既是系統的核心問題，又是更為復雜的企業內部控制問題的觸發點，這個問題的邊界是十分明顯的，因而用實線劃出。相應的解決辦法主要是承襲傳統的財務報告內部控制的做法。圖中第二個橢圓形被加上了更多的內容，代表的問題更加復雜化，從作業層面轉到業務層面。表明企業不僅要關注作業層面。還要關注業務層和流程等經營過程的控制。關于經營活動的控制，現在已開發了許多方法，包括工程學的方法。但主要是關注流程，忽視人的因素的作用與影響。當我們加上更多的復雜性時，系統邊界進一步擴大，如治理層面的控制和戰略規劃。這些問題的解決涉及更復雜的情境，已經不能、也不適合采用傳統的方法，如采用數量的方法進行研究，因而很難給出固定的答案并進行檢驗，其邊界已經不再是封閉的，故用虛線標出。當問題進一步擴大到影響企業目標實現的社會層戰略，即回答好企業對社會的作用和對利益相關者的態度等問題時，其復雜性進一步增強。到了系統的最外層面，已經是超系統的精神層面的問題，涉及人的道德和價值觀等，更是硬控制方法無法奏效的，不過對于有人參與的有目的的社會系統而言，這個層面對系統目標的實現變得越發重要。

基于系統思考的企業內部控制系統是開放的系統，它置身于自然環境和社會政治經濟環境之中，無時不與環境發生互動影響，因而涉及與人和與環境有關的各種風險。因此，內部控制框架的目標不應只局限于考慮可控的因素，還要考慮不可控的因素。除了財務報告可靠性、經營活動的效率和效果、法律法規的遵循三個基本目標外，還應包括戰略目標、在有利和不利的情況下可持續發展以及對所有利益相關者負責，而不只是服務于股東的價值。總的原則是化解風險和抓住機遇，最終目標是促進企業走向成功。

2 基于現代系統思考的企業內部控制框架目標的層次。

目標的設定是內部控制的先決條件，也是促成內部控制的必要條件，直接影響到內部控制是否有存在的必要及存在的價值。企業內部控制目標的形成是以內部控制社會系統中現時存在的利益沖突為基礎的，企業內部控制系統是企業、用戶(包括股東、債權人和政府機構等，但為了簡化問題，下面對于用戶項目以政府機構為代表)以及會計職業界等三類利益集團相互作用的結果。

企業構成了參與內部控制社會系統的主要部分，其目標是為了提高生產經營活動的效率和效果，進行企業風險管理，增加和創造企業價值，實現企業業績；政府構成了第二個利益集團。政府要求企業提供準確的財務報告和防止財務欺詐，影響到企業內部控制系統的建立；會計職業界構成了可能影響企業內部控制的第三個利益集團。注冊會計師主要行使負責證明財務報表與公認會計原則是否相符的“審計人員”的職能，對企業建立內部控制系統進行鑒證。

三個利益集團的相互作用影響著企業內部控制目標形成的方法。第一種方法是以企業為導向的、只關心企業目標實現的管理方法的內部控制，實務界經管人員持內部控制的風險觀，期望內部控制的目標有助于促進企業的成功，是一種更關注活動、更關注人的方法；第二種方法是會計職業界為導向的審計方法的內部控制，只關心與財務報告有關的內部控制，以減少審計風險；第三種方法是政府監管為導向的遵循觀的遵循控制，關注的是社會公眾利益而非企業利益。這三類集團的相互作用形成的利益交集是有限的。毋庸置疑，政府立法在構建內部控制理論中占主導地位，因此，在內部控制目標的形成過程中，政府機構占支配地位。事實上，以政府監管為導向的遵循控制被美國政府用來作為內部控制的目標，COSO委員會提供的目標也包含了遵循控制的目標。因而，最佳的方法是將政府監管導向和會計職業界的導向的方法形成的目標需求融合在企業內部控制系統目標的設立之中，而不是單獨建立額外的控制系統，畢竟在符合成本效益的原則下，政府和會計職業界的目標與企業目標并不沖突。

通過上述分析表明：企業內部控制的目標分為兩個大的層次。第一層次是企業風險控制，綜合各方利益的考慮，分為以下六個具體層次(如表1所示)，從下邊往上看，分別是會計職業界、政府機構和企業的目標，最上邊的四個層次的目標為企業內部控制不容忽視的目標。

第二個層次是總目標，取決于6個目標的協同作用，共同促進創造企業價值，促進企業成功。

3 基于現代系統思考的企業內部控制框架之要素。

在企業內部控制框架中，框架的要素應該涵蓋企業管理的全過程(無論企業內部還是企業外部)，要素是內部控制目標實現的手段。在前述理論研究的基礎上，基于現代系統思考方法，強調人的能動因素，筆者確認的企業內部控制框架的要素還需要重新提煉。包括以下幾個方面：

(1)人的要素：全體員工。

第一層是對組織的認同感，包括道德價值觀、忠誠和信任；董事會和高管的經營管理理念和權責、經營管理責任；人力發展各種政策和實務；遵循法律法規，防止欺詐；軟控制。內部控制是一種責任，缺乏適當的責任是系統失敗的原因之一。第二層是員工勝任能力要求，包括各種知識、資格和資質、技術和工具的掌握和使用、交流過程和能力、團隊合作。要求員工必須是有勝任能力的；經理人員必須是可靠和具有領導能力和洞察力的。第三層是發展觀，包括設計激勵機制、鼓勵創新方案，提倡利益相關者價值，建立公司文化和政策。對人的要素控制宜采用文化控制或軟系統思考方法等，為取得理想的效果，應實施軟控制，建立人性化的內部控制系統。

(2)物的要素：控制活動及過程。

提供企業的穩健觀，包括組織結構；各種控制程序和方法、計劃的連續性；目標的設定；業績的目標與指標、預算編制、績效考核與評價。

對控制活動宜采用制度控制的方法或工程學的方法等進行控制，以取得較好的效果。

(3)信息要素：信息與溝通。

提供組織的靈活性，COSO在其2007年發布的監督指南中，對信息與交流提出下面的看法：在有效的內部控制系統中。信息與溝通具有中樞神經功能，企業必須能夠識別和獲取來自于內部和外部有關的信息，并以適時的方式在全體員工之間進行交流，以使全體員工能夠實施他們的責任。筆者贊同這一看法。信息系統使用或提供的報告既包括經營、財務和與遵循有關的信息，又包括與風險管理有關的信息，所有這些信息使得對企業的經營和控制具有可能性。當然。有效的交流也應在董事會層面進行，并且便于在整個組織上下交流和傳遞，所有員工必須清晰地收到高層的信息，必須理解其在控制系統中的作用以及理解個人的活動與他人工作相關的信息。而且。應建立和保持員工投訴與申訴渠道的暢通。此外，信息的溝通與交流也包括與外部各方的有效交流，如客戶、供應商、監管者和股東等。筆者認為，在信息過載的情況下，如何獲得對內部控制有效的信息還需要對信息進行分析。

(4)環境要素：內、外部環境。

內、外部環境提供組織的成功觀。其中，內部環境指工作環境，是和工作崗位相關的各種因素，由人文環境和物理環境組成。內部環境中，人與人之間的關系包括管理者與員工之間的關系以及員工與員工之間的關系。管理當局和董事會對控制的態度、有效的公司治理機制和內部審計；建立和諧的工作氛圍和工作環境以調動員工的工作狀態。外部環境包括競爭環境、社會政治經濟環境和自然環境，因而強調競爭力、競爭杠桿、持續核心競爭力；戰略思維、戰略規劃以及承擔風險。

對內、外部環境中風險要素的控制(包括與人有關的風險)可以采用軟控制、企業風險管理和戰略規劃的方法挑戰現實、化解或降低風險，同時抓住機遇。

(5)與人的復雜性有關的要素：監督與學習。

提供組織的紀律觀與發展觀，對照目標監督業績；評估信息需要和系統、建立跟蹤程序以及評估控制的效果。建立正確的政策和程序并確保持續地進行適當的監督，有助于降低日常管理贊用并鞏固和增強已構筑的競爭優勢。同時，通過提倡組織學習，適應多變的、復雜的經濟發展形式的需要，持續改進。在COSO的框架中，監督要素主要包括董事會的監督和日常監督，筆者設計的框架中的監督要素除這個方面外，還應包括在人人參與的內部控制自我評價中發揮的自我監督和檢查，以及明晰內部審計的地位，厘清隸屬關系，確保內部審計監督作用的發揮。

這重新整合的五類要素相互聯系，結合在一起。共同促進組織目標的實現。從內部控制的范圍看，內部控制和風險管理是由企業全員參與的過程，包括企業內部和外部、可控制的因素和不可控制的因素。內部控制的風險觀有助于促進企業的長期成功。

總之，企業內部控制理論的創新需要從理論前提和方法兩個方面進行突破，跨學科的系統思考起到了橋梁的紐帶作用。企業作為一個開放的系統，無論其能控制的還是不能控制的，只要影響企業業績，都是企業內部控制應考慮的范圍，企業內部控制與企業風險管理是同一事物的兩個不同方面。風險管理不只包括與過程有關的風險，更應重視與人有關的風險。相應地，要求內部控制框架的目標和要素進行調整，建立驅動業績和促進戰略目標實現的內部控制系統；關注各個業務流程之間的互動；更多地關注人的行為，設計與實施軟控制，管理與人有關的風險。建立一個隨著時間的推移適時地評估其內部控制系統的監督機制。只有將內部控制融于企業的日常經營管理活動中，引導企業走向成功，才能從根本上提高內部控制的有效性，進而提高企業建立內部控制的積極性，實現政府與企業在內部控制建設上的雙贏。