內部控制制度的幾個理論問題研究

【摘要】 內部控制制度由最初的內部牽制發展為風險管理，這一過程意味著內部控制概念的演進性。筆者提出了七個有關內部控制概念范疇形成需特別關注的方面，有助于準確理解內部控制制度的真正內涵。

【關鍵詞】 內部控制制度； 權變性； 全面風險管理； 準公共品； 國際趨同； 企業管理體系

從內部控制理論的發展進程看，經歷了內部牽制、內部控制制度、內部控制結構及內部控制整體框架四個階段，現正向內部控制與風險管理相結合的新階段邁進，如2004年美國COSO委員會風險管理（ERM）的提出；我國國務院國資委《中央企業全面風險管理指引》的制訂等。不同的研究視角對內部控制有著不同的理解并進而形成差異化的制度安排，本文認為內部控制統一的概念范疇形成還需要關注以下幾個方面的內容。

一、內部控制制度范疇的權變性

在一個充滿細節性復雜和動態性復雜的組織中，能夠控制一切只是一種錯覺。按照彼得·圣吉的理解，細節性復雜指企業管理中難以計數的變數和細節；動態性復雜指因果關系微妙，行動與后果之間存在時間滯延，無法用傳統的預測、規劃與分析方法處理的復雜關聯。組織如何不憑控制而達到控制？應該有怎樣行之有效的機制作保障？也就是說如何正確處理“有形的制度”與“無形的理念”之間的關系問題。韋爾奇曾說過“舊的組織建立在控制之上，但是世界已經改變。世界變化的速度太快，使得控制變成限制，使你的速度變慢。你必須在自由和控制之間取得平衡，但是你會有比想像中還多的自由。”

優秀公司對付日趨復雜的業務的方法是強調靈活流動，用以實驗為基礎的管理方式始終不斷地調整和改組機構。復雜中必須洞察單純之美，最理想的境界應該是以簡馭繁。系統思考所反對的就是施行更加復雜的方法來處理復雜的問題。業務日趨復雜同時意味著創新的作用，而內部控制不能成為通過創新為市場創造價值的障礙，也就是說，內部控制目標的實現不能以犧牲企業效率為代價。理論上，風險與收益的對稱性是成立的，當意圖用內部控制制度將可能的風險全部規避或防范的過程中，企業的收益水平也可能已經下降了。從這個角度講，內部控制制度范圍應該是限定性的，不能沒有明確的邊界。

在企業組織內部，授權與受權是一種雙向行為，其中授權與內部控制設計密切相關。“授權”與“受權”的過程并不是簡單的自上而下，因為權利向下分解與責任向上負責是對應的，而“權利向下”與“責任向上”的對稱機制就在于企業內部控制制度的構建。從這個角度講，內部控制制度是確保企業具體執行層面的行為不偏離企業戰略目標的保障機制，是內部控制制度建立的基準。從企業生命周期理論來看，處于成熟期的企業授權顯然與成長期不同，正如華盛頓大學商學院前院長維爾教授對授權的界定：“當下級員工感到上司真心期望他們為完成所負使命而發揮主觀能動性，即便超越他們的正常職權范圍也無需顧忌，而且要是出了差錯，哪怕是嚴重的差錯，他們也不會采取主動而受到專斷的責罰，那么這個企業中就存在著授權。”顯然，這是一種基于企業文化的授權。在其之前還存在著指令性授權與崗位性授權，這意味著企業內部控制制度設計的權變性是關鍵性問題，而正確界定影響權變性的具體因素則更是基礎。

二、內部控制制度與全面風險管理

風險已經成為日常生活的共生條件，危機也不再是非典型狀態，風險社會是我們共同面臨的新常態。企業風險來源很多，諸如產業類別、企業文化、產權結構等，因而應對風險管控的內部控制制度也就具有一定的特定性。從亞當·斯密的社會分工理論，泰勒的科學管理，到福特的流水線和斯隆的財務控制，現代工業建立了以“效率”為核心的管理體系。與有歷史的“生產效率的利潤”相比，“風險控制的利潤”更加敏感，以它為核心競爭能力更加不對稱，由此回報差異也巨大。追尋風險利潤的新競爭能力仍在形成過程中，但已顯出一些規律，即首先要準確理解并指認風險的內容和防范的價值。每項商業活動都包含自己獨特的風險因素，它難以用統一的保險精算語言來指稱。其次需要分離風險因素，組合控制風險的產品和服務。

然而，現階段常規風險管理思維還囿于內部控制技術與制度框架，但由于社會的整體不確定性，不可能完全清晰地在企業內部與外部間被標準化分離，風險角度的內部控制所應對風險與企業外部風險之間具有聯動性，兩種風險共同組成了企業全面風險。由此可見，一般意義上的內部控制的核心作用是盡最大努力創造制度效應以規避內部風險的泛化，即使激進型內部控制將其所應對的風險敞口面向市場，以市場化方式實現“內部”風險的外部化，也不足以等價于全面風險管理。內部控制具有明確的邊界性也在表明內部控制有著自身的職能范疇而不能無限度擴展，因此，以內部控制制度來進行全面風險管理有其固有不足。

內部控制制度本身作為一種制度安排，也涉及制度設定的具體環境適應性問題。顯然，內部控制制度存在經濟學視角的一般性與管理學視角的個案性的均衡問題，可以將該問題視為內部控制制度的“趨同”與“個性”的并存。“趨同”與“個性”間的比例關系決定著內部控制制度的多樣化程度。多樣化程度決定了內部控制制度設計的總體原則、運行機制及其效果評價，這是內部控制制度應考慮的第一層面問題。繼而是內部控制制度在企業內部具體執行層面的配置問題。由于企業內部呈現為資源投入與成果產出間最大化轉換效率過程，因此就要求企業內部組織間是系統化的協同運作。然而這面臨著內部控制制度如何在確保總體成本效益對稱情況下的靈活性與統一性的兼顧。靈活性對應著企業面對風險變化的主觀能動，統一性對應著企業整體上的目標一致。內部控制制度應該與靈活性和統一性各自保持一致而不是相反。

三、內部控制制度與內部控制技術自身風險性

在現代社會，技術的巨大力量讓越來越多的人認為只有掌握了更好的技術才可能取得更好的效果，并且幾乎完全內筑于日常生產和生活中。然而，技術只能提高做某些事的效率而不能提升根本能力。正如德國社會學家伯克在其《風險社會：新現代社會現象》中所強調的，技術在創造財富和功效的同時也制造了風險和遺害，于是每次生產與消費都必然伴生風險的陰影與危機的累積。與自然資源相比，人造的技術資源沒有通過億萬年進化除錯，其除錯過程是交織在使用它的功能的過程中，因此沉淀了風險種類，增大了危機概率。

從企業具體組織層面來看，企業內部具體執行層面間又因存在各自的利益導向而存在矛盾甚至是沖突，這主要體現在他們之間合作博弈的討價還價關系。他們各自都是完成企業整體目標的某一方面，而在有限資源約束及配置下，不同職能部門都表現出團隊生產性，即使相互關聯極高的職能部門在作自身的決策時也很難將各自的關聯方考慮進入。在沒有特殊制度保證或企業總流程設計科學合理的前提下，企業內部控制制度的相互牽制甚至是全面風險管理都會遇到同樣的境況。內部控制制度整體預期效果會因部門職能分割所導致的內部溝通成本大增而大打折扣。

解決企業內部不同職能部門間高溝通成本的思路不外乎如下幾種：其一是在企業整體目標的指引下對企業內部各職能部門間的行為都予以嚴格的標準化，將靈活性完全納入企業設定的統一性中。其二是設計一套獨立的機制并以之協調各職能部門間的靈活性而防范他們的行為偏離企業既定目標。其三是在充分論證各職能部門流程的基礎上，使他們以獨立的面目用市場表現作為衡量的唯一標準，他們之間的關系完全是市場關系。顯然第一種與第三種表示了高度計劃性與高度市場性，而第二種可以說是另外兩種的某種程度的組合。

將史蒂芬·柯維在其《高績效人士的七個習慣》中所表達的意思用于企業，即若企業總是將視線聚焦于“沒完沒了的監視、評估、糾錯或控制”上，那么等于教唆企業員工玩貓捉老鼠的游戲。持續的杰作不是監控出來的，只有那些受強烈的內在需求驅使的人方能創造杰作。如何讓企業具有這種內在原動力呢？顯然答案在于發自員工及合作伙伴內心的執著。這可以被界定為原則，而區別于此的行為都可以界定為規則。前者是內在的而后者是外在的；前者受內心的需求而為自己做事，后者依賴嚴格規章與獎罰機制。由此，我們必須追求內部控制由技術觀念上升到制度觀念直至形成企業的行為習慣，這就一定要突破COSO那種片段式的簡單拼接以期形成全面性框架的構建思路。

四、內部控制制度“準公共品”性

當內部控制超越“內部”而更多地“外部化”為通用標準為社會所共同遵守之時，其一定程度上就表現為準公共品性質，也就是說內部控制制度的完全統一性意味著它具有公共品性質；但內部控制的本質卻在于其“內部性”。不同企業可能存在相同或相似的關鍵價值因素，即使是兩家相同戰略定位的企業由于總體制度安排的不同、程度的差異也會導致內部控制關鍵控制環節的不同，這時用統一的具有外部規則性質的制度來規范多樣化的企業管理行為顯然是不現實的。這就暗含了企業外部的統一性規制與內部控制制度應該界定出明晰的界限或稱內部控制的邊界，邊界的確定就是一個內外均衡點的尋求過程。

理論上，這一尋求過程應該包括如下層次：第一層次是探究企業與市場之間的邊界，因為市場組織與企業組織并不是均質一致的，市場定價機制與企業內部定價機制既不遵循簡單的兩分法又不是兩者的完全融合；第二層次是市場對企業運營的影響方式及效果評價，顯然，我們現階段市場經濟還不完全具備西方成熟市場經濟的市場理念與相應法律文化，因而要明確具體市場環境對企業的作用機理；第三層次是企業價值創造過程中關鍵價值因素的最佳實踐所具有的共性及技術上的趨同程度，內部控制的共性描繪其統一性，是企業合規經營的要求；第四層次是當內部控制已經形成為企業受強烈內在需求驅使的無形理念時則形成了企業核心競爭力的組成部分甚至就是企業的核心競爭力。也就是說，終極的內部控制應該完全融入到企業組織的整體文化之中而不是以自身清晰、完整的“序列”而存在。

以邏輯關系而構建的上述層次表明成熟市場經濟有著共同的理念，而作為依附于企業業務行為的內部控制則表現出多樣化特征。事實上，不同的企業環境中內部控制被有效執行的前提條件是什么？市場機制、企業組織結構選擇、內部控制制度構造與內部控制關鍵因素之間有怎樣的邏輯關系？如何處理有效執行與理性約束間的均衡等都是需要結合具體企業的運作環境而定的。

五、內部控制制度設計起點

任何一種制度的形成都要有其自身的邏輯起點，在確定了相應的邏輯起點后，才能夠在一定的約束條件下依選定的路徑進行意義建構。就國內外內部控制制度的內容來看，內部控制制度的邏輯起點基本上定位于確保財務報表項目的真實，約束條件基本上界定為企業業務活動與信息反映的對稱，選定的路徑為簡單的因果關聯性。這樣做的好處就在于具有較強的可操作性并有現成的賬戶體系作依托。而現狀也正是將基于上述研究思路而形成的內部控制實踐推崇為最佳實踐，并相應地以COSO報告框架作為成熟理念加以推廣。

常規意義上的內部控制制度的設計起點是值得商榷的。因為企業是一個具有復雜系統的有機體，在和企業外部其他組織發生交易或是企業組織內部事項時，任何活動都不僅僅是單純的技術問題。如果簡單地將企業活動區域進行界定的話，按照遞進層次就是要正確處理價值標準與觀念、政治、組織、交易與會計五者間的基本關系，基本關系可以描述為價值標準與觀念→政治→組織和交易→會計。其中前者概念是后者概念的條件，逆向相關關系同時存在，第四層次對第三及潛移默化地對第二與第一層次產生有影響。基本關系可以具體化為如下方面：一是用會計規則來實現政治目的的嚴重后果就是破壞了會計的反映經濟真實這一基本職能，政府管制對會計信息真實性產生嚴重不良影響。二是用會計規則來規范交易行為能維護會計反映經濟真實這一基本職能。三是會計規則與組織規則必須相互協調。政治均衡狀況決定了會計制度變遷過程中的國家特征程度；組織是會計活動的空間，組織的創新必然要求會計規則的協調；交易是會計的最主要對象，交易的成功需要會計規則的支持。顯然，組織、交易與會計三者之間具有較強的互補性，但它們協調發展狀況很大程度取決于政治管制框架。

激勵相容的制度安排應該是實現企業組織內部有獨立完整地完成具體決策任務的主體抑或活動單元，換言之，如果僅僅從內部控制效率最大化角度考慮問題，極有可能打亂企業組織原有的正常的活動流程而出現為控制而設立的一系列條塊分割狀態，導致企業活動效率的下降。而且，企業組織內部能夠被激勵或業績評價的前提條件之一就是各自主體地位的清晰界定及不同主體間的責、權、利邊界的明晰。像內部控制的最初形態是內部牽制，該種制度安排并不利于最優決策及其執行。

六、內部控制制度國際趨同性

趨同的準確含義是指在一定的相同或相近的語境下實現可比性，其首要特征是國家或地區間建立在較高程度的共性基礎上。趨同更加注重過程，目標是尋找恰當的方法共同構建高質量制度安排。經濟學趨同研究可細分為δ趨同、絕對β趨同與條件β趨同，同時已經有學者開始采用時間序列方法來研究趨同問題。與上述三類經濟學趨同涵義相對應，內部控制國際趨同也有著三層面的理解：其一是δ趨同，其首要特征是把內部控制描述為一系列技術方法的組合，技術模仿是一種有效的趨同機制，目標是技術完善。內部控制趨同的衡量側重于選定一組公認內部控制技術及技術組合變量，用被研究對象與之對比的差異狀況（標準差）來判斷趨同程度。絕對β趨同是指由于后發優勢的絕對存在而使得落后經濟體內部控制無條件地加快制度變遷以實現趨同。相對β趨同是指在正視內部控制初始狀態的基礎上，分析約束條件，選擇合適的演進路徑（優化原先路徑依賴方式），把內部控制技術與其所處應用環境匹配對稱地一體化，在充分認識到內部控制趨同目標內生性與外生性的相應內涵及本質不同的前提下，諸多利益相關者積極參與并自動推進的過程。三類趨同的聯系在于它們之間的遞進性，可以認為內部控制δ趨同與相對β趨同是形式與實質的聯系，而絕對β趨同則可以認為是可能性的存在。

我國的現實也正是如此，當作為中國版“薩班斯”的《企業內部控制規范》體系漸行漸近之時，上交所與深交所卻提出了差異化內部控制版本，背后的深層次原因是什么？出于競爭還是兩者不同的內控知識的供給差異，或其他？難道在內部控制概念背后有不同的真實動因？但這終歸是在一國之內的具有同質性的制度環境中，或是因深滬兩市存在微觀證券市場結構差異而生？

即使從純粹的技術角度分析內部控制制度，其國際趨同的廣度與深度也是存在邊界的。我們可作如下分析：財務報告→報表項目→業務行為→管理能力→制度安排→文化。顯然，即使我們將內部控制界定在財務報告內部控制這樣的起點上，其終極層面也會延伸至文化。尤其重要的是，將內部控制具體規范界定于財務報表項目為起點的外在局限在于財務會計準則核算體系的缺陷。傳統財務會計核算由于過于注重標準化的易于溝通性而簡化了業務數據與財務結果的對應性，即基于財務會計準則完全對稱的一因一果型或多因一果型。但現實經濟活動中更突出的表現可能是模糊對稱的多因多果型，包括合因多果型與合因合果型等具體形式。從簡單完全對稱因果向模糊對稱多因多果認識的深入，是提高傳統財務會計核算所形成會計信息含量不足的思想基礎。

七、內部控制制度與企業管理體系

企業管理存在戰略性、策略性與經營性三個層面。我們的問題是，內部控制制度本身會是一套完善的自我系統嗎？作為復雜系統構造的企業是由一系列子系統構成的，諸多子系統間的有序運轉需要制度維系（如果沒有這樣的制度維系還能很好運轉，則必然表明各子系統間是完美的“嵌入”，比如依靠基于企業全員自發的動機），則該制度顯然不是內部控制制度。事實上，全面風險管理也并不意味著在企業組織內部存在一個單獨運作的具有顯性的制度外形的系統來承擔全面風險管理職能。

企業組織結構正在從集中化向網絡化轉變，而風險管理模式卻沒有跟上變化的步伐。大多數企業風險管理（ERM）方案依賴于“節點解決”（Point solutions），通過強化薄弱環節來降低風險。這也使得企業管理當局和董事只專注于具體的脆弱環節，而不能為危及利潤來源的破壞提供全面的預防。傳統企業風險管理沒有考慮到企業縱向和橫向的相互依存，因此往往低估企業面臨的風險的范圍和嚴重性。網絡性破壞呈幾何級增長，失去控制會使企業遭遇前所未有的損失。

傳統觀念從來沒有在利潤核心來源的環境下來考察風險，而是把風險彼此孤立地進行分類，由此財務風險由CFO來管理，運營風險是COO的責任，網絡安全則是CIO的任務。他們之間并沒有為實現一個總體戰略目標而相互聯系起來。企業應該運用更加一體化的方法進行風險管理。因此，企業應該有透明而統一的風險觀，在成本收益分析的基礎上把跨部門風險管理計劃與企業戰略和運營模式相協調，同時，風險管理的過程本身又伴隨著不斷的新增風險和復雜性，企業必須有相應的權衡措施。總之，企業應該運用更加一體化的方法進行風險管理。

【參考文獻】

［1］ ［美］史蒂文·J·魯特.超越COSO［M］.中信出版社，2004.

［2］ ［美］史蒂芬·柯維在其.高績效人士的七個習慣［M］.中國青年出

版社，2007.

［3］ 龔文.文化授權盛年期企業管理的新境界［J］.中外管理，2007，（10）.

［4］ ［美］彼得·圣吉.第五項修煉——學習型組織的藝術與實務［M］.上海三聯書店，2003.

王仲兵教授簡介

王仲兵，1972年出生于天津，北京工商大學商學院教授（2007年）、中央財經大學管理學（會計學）博士、財政部財政科學研究所應用經濟學博士后。北京市屬市管高等學校中青年骨干教師，首期全國會計學術帶頭人后備人才，中國商業會計學會學術委員會委員。在《經濟科學》、《經濟學動態》、《經濟理論與經濟管理》、《財政研究》、《會計研究》及《改革》等國家級刊物發表學術論文13篇，省部級核心及其他期刊近90篇，其中8篇被中國人民大學復印報刊資料《財務與會計》與《企業管理研究》全文轉載及《新華文摘》篇目輯覽。主持或參與國家及省部級課題13項，曾獲國家國內貿易局科學技術進步二等獎，北京市第四、九屆哲學社會科學優秀成果二等獎。國家級“十五”及“十一五”規劃教材《財務分析》副主編，合著《企業集團組建與運行中的財務與會計問題研究》，已出版個人學術專著《資本保全會計研究》、《應訴反傾銷會計——理論框架與運作實務》與《成本控制系統建構研究》，主編及參編教材25本。研究興趣及方向是現代企業成本控制、企業本質、內部控制、現代財務會計理論與方法以及國有資產管理體制等。