基于企業管理職能視角下內部控制和公司治理的耦合性研究

周志剛

摘要：通過對內部控制的演化及其與公司治理耦合性的分析，進一步明確內部控制作為一種企業管理的重要職能手段，在業務執行的過程中對管理者的責任提出了更高要求，同時也促進了包括基層業務參與者在內的企業全體的共同責任的實現。為此內部控制在內涵上也表現為一種企業管理理念的轉變，引導實施企業由“控制”向“管理”，由“被管理”向“自我管理”方向轉換。因而，注重具體業務實施者的參與，強調參與主體的共同作用是內部控制對公司治理發展的貢獻所在。

關鍵詞：內部控制；全面風險管理；公司治理；COSO；SOX法；EMR框架

中圖分類號：F239；F272.3 文獻標志碼.A

隨著貿易壁壘的打破，資本國際化和金融市場的一體化，內部控制作為企業加強管控、抵御風險的重要措施受到了廣泛的關注。當前內部控制的“權威性框架”以美國COSO委員會發布的EMR企業風險管理框架為代表（通稱：企業風險管理整合框架）。

內部控制是基于內部牽制思想，逐漸發展起來的內部整體組織的“協調管理”體系。隨著現代企業的發展和市場環境的變化，特別是安然、世通等公司事件后這種“協調管理”更多的聚焦于強化“風險管理”方面。作為現代企業管理職能的主要內容之一的“風險管理”在企業運營過程中越發表現出其重要性。EMR框架的“全面風險管理”是以企業的董事會、管理層和員工為主體，在企業決策和內部具體業務執行的各個層次和部門，對潛在的會導致不利影響的因素加以綜合處理的過程。

2008年，國家財政部等部委發布了相關文件，要求以上市企業為對象在上海、深圳證券交易所范圍內，形成以監管部門為主導，上市企業組織為對象，會計事務所為中介咨詢服務的內部控制體系。內部控制在我國上市企業的實施反映出該制度在提高企業經營效率，全面促進企業安全發展的重要性。并且在實施形式和內容上主要參照和借鑒了COSO公布的EMR的風險管理基本內容，這對新時期我國上市企業的戰略發展具有重要現實意義。

然而內部控制體系的多重性、復雜性的特點，造成許多企業組織對內部控制的理解只是停留在現行體系的表層。基于企業管理職能的前提，從內部控制產生和發展的背景及其理論依據出發，就其體系演化的過程加以說明。并從企業管理職能的角度對風險管理和內部控制的關系，內部控制和公司治理的耦合性等問題加以分析，進一步剖析內部控制的深層含義，為內部控制研究提供一個理論參考。

1 內部控制的歷史演變及內涵的擴展

內部控制在保證企業安全和高效的運營、外部市場的正常運作方面發揮著愈加重要的作用。由于經濟、法律等背景的差異和各領域發展的不均衡，不同實施國家和機構對內部控制內涵有著不同的理解。就內部控制的發展而言經歷了一個漫長的歷史演化過程，作為一個完整的概念于20世紀40年代首次提出，此后經過不斷的理論完善，逐漸被社會所了解和接受，具體來說，內部控制的理論和實務大致經歷了5個階段，如表1所示。

現代經濟的發展，股份公司的規模得到進一步擴大。伴隨著企業所有權和經營權的分離，為在市場中提高運營效率，防范錯弊，同時為了解決兩權分離中的產生的“信息不對稱”的矛盾，美國的一些企業逐漸探索出加強組織調節，制約及檢查企業生產運營活動的辦法。從20世紀40～70年代初，內部控制的概念以傳統“內部牽制”為基礎，結合了“內部牽制”與古典管理理論的思想而逐漸形成。

在社會化大生產，企業規模擴大，新技術的應用以及公司股份制形式等因素的推動下，以賬戶核對和崗位分工為核心內容的“內部牽制”，逐漸演變為通過組織、崗位、人員、業務程序，檢查標準等要素構成的體系。內部控制在思想上突破了以往只限于財務會計等有關部門的局限。AICPA（美國注冊會計師協會）在相關公報中進一步將內部控制分為“會計控制”和“管理控制”兩大類。

進入20世紀70年代后，內部控制的相關理論研究取得了新的發展，AICPA于1988年5月發布的《審計準則公告第55號》中，指出“內部控制結構”在內容上由控制環境、會計制度、控制程序構成，這樣內部控制的研究重點逐步向具體內容深化。

同時期，由AICPA等機構于聯合成立反虛假財務報告委員會（Treadway委員會），并由其贊助機構設立了COSO委員會，專門就內部控制問題進行了研究。1992年最終形成了指導內部控制實踐的重要報告《內部控制整體框架》，該報告的出臺標志著內部控制進入重要階段。

COSO報告反映出，廣義上，內部控制是以公司業務的有效性和效率性；財務報告的信賴性；關聯法規的遵守為目的。通過公司構成人員，董事會，管理者等來實現的一種業務進程。按照COSO報告說明，嚴格意義講，其并不是一種制度，而是一種方法路徑。COSO報告的內部控制就其內涵而言是以經營目的達成為目標，通過一系列活動而統合起來的架構。其內部控制構思具有以下特點：①內容上雖以會計控制為中心，其在企業經營活動中具有極其廣義的內涵。②有效的內部控制的構筑，首先取決于負有公司業務的決策和運營責任的經營管理者。③內部控制是一種業務進程，其實施者不僅僅是經營管理者，也包括企業組織的所有成員。④內部控制報告是以公司審計機關的參與為前提，而形成的一個綜合性的報告體系。

21世紀后，針對安然及世通的會計丑聞事件，2002年美國發布了《sOX法案》。該法案對美國傳統的證券法，交易法進行了進一步完善，在會計事務所管理、公司治理、證券市場規范等方面有了更多新規定。該法案成為美國商業界有重大影響的法案，使得公司治理與內部控制再一次成為各方關注的焦點。

SOX法最重要的條款，404條款明確規定了管理層對內部控制設計及維護的職責，要求企業管理層對內部控制的有效性及相關評價提出報告，如表2所示，該法案顯示內部控制是一個分階段、有側重、逐步實現的過程，蘊含著監管層的理念和前瞻性，是一種先進的具有操作性的監管思路和手段。

受SOX法案的影響，2003年COSO委員會發布了《企業風險管理框架（草案）》2004年正式公布了該報告的最終稿《企業風險管理整合框架》（ERM框架）。該框架在COSO報告的基礎上又作了補充。表現在：進一步加強風險管理，把企業管理的重點轉向全面管理；對戰略目標及其相關要素進行拓展。在內部控制原有要素的基礎上添加了：目標設定、事項識別和風險應對（這樣當前內部控制共有8個要素）。使其與原來的風險評估共同構成一個風險評估全過程。

全面風險管理和內部控制目的保持一致，都是為了滿足組織（企業）在不同環境對不確定性的應對管理，從而達到組織預期和目的以及持續發展。目前內部控制理論的發展除不斷深化相互牽制理念、優化組織結構和明確權責分派體系之外，重點是對企業活動中的不確定性進行科學的認知、分析和應對策略研究制定，從而使控制活動更具針對性和合理性。

內部控制是全面風險管理的業務實施和組織保障，通過對風險的不確定性在應對策略方面進行具體的分解和落實，從而達到化解風險，控制不確定性的效果。總之兩者的共同發展為組織（企業）運營提供了支持，在企業的實際需求之下，學科的交融和切人更好地為組織實際解決其運營中的各種不確定性提供了完整的解決方案。

通過內部控制的演化路徑可以發現，其體系形成是一個不斷擴充改進的過程。當前EMR框架下內部控制從內涵上包括2個層面：第一是公司戰略層面，即立足于傳統的經營權和所有權分離理論，強化公司治理結構，從而保障經營者科學決策，減少道德風險；第二是業務執行層面，即通過強化對生產經營的控制，對業務過程中的工作內容、人員狀況、資金狀況、信息等內部資源進行合理控制和監督，從而提高企業的運營效益。針對更為復雜的企業和市場的發展狀況，現行體系本質上它起到了保障證券交易市場的良好運行，并提出了當代企業發展過程中需要實施的一些較為合理的要求。為此EMR框架下的內部控制體系作為保證企業經營管理效率化及健康發展的一種措施，已被許多國家和地區作為基準所采用。

2 內部控制和公司治理的耦合性分析

經濟全球化的推進，市場規制的緩和，民營化的發展對世界金融市場帶來了巨大影響。超越國家界限的資金的流動及其規模經濟性的影響，促使眾多產業在眾多領域取得了快速進展。經濟全球化的發展也使廣大投資者對公司治理的關心和要求逐漸提高，進入21世紀后，隨著互聯網泡沫的崩潰，特別是以安然、世通公司的倒產為契機，對公司治理要密切關注和強化的呼聲進一步高漲。

20世紀80年代誕生于美國的現代公司治理概念，其傳統狹義的內涵更多的是強調了權力制衡中的內部治理關系，通過建立約束和激勵機制以來對公司治理產生影響。而現代廣義的公司治理已從狹義的以責權利制衡為核心的股東至上主義，轉向以科學決策，平衡利益相關者利益，把公司價值最大化作為作為目標的廣義概念。

公司治理問題在全球環境下被關注的背景，表現在2個方面。

第一，長期以來，圍繞著公司是誰的，公司的治理者是誰等問題展開的爭論和分析，主要是受財產權，經營者控制論等一系列理論研究的影響。

第二，隨著對公司治理理論的發展和實踐，公司治理取得了很大的進展，但是從現實社會的企業活動來看，違背社會倫理的不正當行為，尤其是企業丑聞的發生常見不鮮。面對這樣的事實，如何抑制企業不正當的行為使其在健康的軌道上發展，對公司治理模式的再構筑提出了更高要求。這些因素成為社會對公司治理關注的另外一個重要原因。

總之，作為公司治理的主要對象的大中型股份公司，具有兩重性的特征，一方面是作為社會的構成單位，有著社會性的特征，另一方面為了企業的生存發展，必然也有著營利性追求的特性。隨著經濟環境的變化及企業間競爭的激化，董事會、經營層的行為規范顯得越來越重要。如何對公司經營內容進行監督強化及回避風險，如何提高公司治理的效率性，確保經營組織的合理性在很多國家被廣泛的加以關注。

然而，在公司治理和內部控制的關系上目前仍沒有明確的界定，OECD確定了《公司治理準則》、COSO制定了內部控制的整體框架，但都沒有立足于對方的立場加以深入的探討。國內學者對兩者關系也持“環境論”等不同觀點，代表性的有閻達五等認為：作為內部控制的環境因素，內部控制框架與公司治理結構是內部管理監控與制度環境的關系等觀點。總之較多的研究是從制度的角度對兩者加以分析，在管理職能方面對內部控制和公司治理關系的研究較少。

為此，企業的管理職能這一本源出發，對公司治理和內部控制的內涵加以分析，如圖1所示，可以發現耦合性關聯更能準確反映兩者的相互關系。耦合是指2種、2種以上的“體系”及“運動形式”之間相互作用、相互影響以至融合起來的物理現象。耦合實際上表現為系統之間的存在方式，這種現象是自組織管理理論的一種普遍范式。

就公司治理的內涵而言，由于研究視角的不同有眾多的解釋。按照李維安的分析，公司治理可以表現為一種制度或機制的設計和安排，公司治理不完全是一種制度。它以某種制度或機制來實現公司科學化決策、效率化的運營、正當性為目標。從而達到協調公司與所有利益相關者之間的利益關系的一種系統或體系。這樣一般來說，公司治理可以分為內部治理和外部治理2個層面，通過一系列機制的實施保證公司決策的科學化，并顧及到公司各個方面的利益。作為一種系統和體系，公司治理和內部控制相同，都受到企業內外部環境的影響。

公司治理對企業的競爭力也有著重要影響，公司治理作為協調企業責權利的重要運作手段，對管理制度的制定和運營決策產生重要作用，在充分協調各個組織層面的基礎上，發揮戰略決策和監督職能。企業競爭力最終體現為企業獲得外部環境承認的能力，其根源很大程度上也取決于公司治理。

基于管理職能的角度，對公司治理和內部控制兩種體系的耦合性加以分析，可以進一步了解兩者的關系。

2.1管理職能上戰略目標的一致性

都著眼于促進企業的戰略發展這一目標。內部控制在基本目標上強調會計信息的真實性、確保企業資產安全等具體業務的實施，進而確保企業實現整體發展。而公司治理從企業運行的正當性出發，確保代理人的管理層不損害委托人股東的利益，最終保障企業決策科學化，運營效率化的發展方向。兩者都統一于企業管理目標的實現。

2.2內涵的差異和區別

在內容上存在區別，公司治理解決的主要是股東大會及董事會、監事會、經營執行層“三會四權”的協調和監督問題；而內部控制則更多的是強調以管理層設計的內部制度為基礎，加強企業運營和財務報告做成過程的管控，更多的關注內部具體業務層面的問題。同時在實施主體上，內部控制體系更加強調包括員工在內的業務基層的參與。在具體業務目標上也存在一定差異，內部控制的最基本的目標是為了提高經營效率。公司治理的目標重點在于各主體之間有效的責權利制衡機制。

2.3公司治理對內部控制的影響

（1）外部治理的影響。其更多的是強調外部政策或非政策客觀因素對公司決策的影響和要求，這對內部控制的制定和實施產生間接的作用。公司外部治理的過程中要顧及公司周邊環境、政府、消費者、債權人、國家政策法律及市場的因素。例如SOX法作為外部治理的法制表現對內部控制產生了重要影響。因此，外部治理環境的這種要求也是內部控制目標實施的一種前提條件。

（2）內部治理的影響。其對內部控制體系有著更多的直接影響。按照法律的要求由所有者、董事會、經理層（高級管理人員）三者組成的上層組織結構體現了內部控制環境的要求。同時在這種組織結構中，三者之間形成一定的責權利的制衡關系。依據法律的程序，嚴格按照公司的規章制度，各負其責保證公司在正確的方向上運營。

2.4內部控制對公司治理的影響

首先，表現在能夠促進公司治理理念的轉變。傳統公司治理往往更多的強調了對公司上層管理構造的責權利的制衡及外部治理的影響作用。而內部控制在參與主體上除強調上層管理層的主導作用之外，更加重視基層員工的積極參加和相關責任。這對于注重對經營層的監督和激勵的公司治理體系而言，可以說是一種責任的強化和分擔，便于共同治理的展開。同時，也督促公司管理層和具體業務執行層之間由“被治理”向“自我治理”轉化，從而進一步完善公司治理機制的功能。

其次，有效的內部控制對公司的具體業務行為加以規范，確保企業資產的安全和完整。企業各利益相關主體可以根據可靠的會計信息，對企業的董事和經理階層的業績作出適當的評價，以此來推動公司治理的不斷完善。

因此，內部控制和公司治理之間雖然存在差異，但兩者的耦合性決定了它們之間的彼此的依賴關系。內部控制其有效性除了來自公司管理層面的公司上層決策監督機構的作用外，更多的是需要業務運營的眾多實施參與者的努力。該體系的實施一方面能夠從具體實施者的角度制約經營層無視該制度內容的獨裁，也對經營層的“自我治理”提出了更高的要求。

3 結語

COSO報告中除反映了董事會及審計委員會等組織結構的權責劃分外、對企業管理職能、企業的社會責任、管理哲學和經營作風、員工素質管理等方面也有詳細說明，這反映出從管理職能角度加強對內部控制體系構建的要求。企業管理職能視角下內部控制的性質和作用主要表現在以下幾個方面。

（1）企業管理職能的重要手段具有廣泛的內涵。內部控制從戰略控制、管理控制、作業控制幾個層次對企業的運營產生影響。戰略控制主要致力于制定和設置整個組織的長期目標和戰略規劃。管理控制主要確保整體目標的進一步落實和分解，并要求組織所有成員以合作的形式加以實施，從而實現組織的戰略目標。作業控制要求確保業務的正確執行。從內部控制的演化中可以看出，內控框架涵蓋的控制已和公司管理職能相融合，涉及到公司管理的各個層次，為此控制與管理的界限和職能正變得模糊。

（2）內部控制的運行機制，為企業防范風險，持續健康地發展提供了重要保證。在預防機制方面通過優化控制環境奠定企業良好的風險管理基礎，運用不相容職務相互分離、授權審批等方法建立相互制衡的控制體系，防止企業在生產運營中出現重大失誤以及員工利用職務之便舞弊；同時通過監控手段對已發的失控事件及時制止，并采取補救措施加以防范，引導組織內不同目標的個體向企業既定目標努力，對個體行為結果進行獎勵與懲罰。同時，企業保障資產安全、完整，提高會計信息質量上發揮著重要作用。

（3）對公司治理發展的重要影響。內部控制強調了上級管理層的主導作用，更加關注基層員工的積極參加和相關責任。這對更多依靠對經營層進行監督和激勵的傳統公司治理架構而言，可以說是對經營層責任的一種分擔，便于共同治理的展開。同時，也督促公司管理層和具體業務執行層之間由“被治理”向“自我治理”轉化，從而補充和完善了公司治理。

當然和任何企業管理體系相同，其也有自身的局限性。表現在由于受到成本效益原則的制約，管理層在設計和實施內部控制的某些具體內容時，要綜合權衡利弊得失，如果控制環節的增加過多地降低了工作效率，就可能會放棄實施這項內容。由于企業資源有限，對很少發生或不經常發生的經濟業務也不會制定內部控制。同時，內部控制的設計會受到設計人員經驗的制約。同時，當員工合伙舞弊和內外串通共謀時，會導致內部控制的失靈。

總之，內部控制并不是萬能藥，就像COSO說明的：內部控制并非實現企業經營目標的絕對保障，僅僅是提供了一種比較合理的保障。內部控制在實施的過程中要結合各國國情和企業具體的狀況來加以運營。

[編輯：王勁松]