內部控制本質：理論框架和例證分析

馮秀果

【摘 要】 從本質上來說，內部控制是組織內部建立和實施的風險應對機制。內部控制的控制內容就是風險。內部控制的控制主體來源于組織內部。內部控制的控制方法是建立和實施風險應對機制。內部控制作為組織內部建立和實施的風險應對機制，能貫通到內部控制的所有基本問題。內部控制不一定是管理職能，各項管理職能中都有風險防范的要求，并不只是控制職能才防范風險。內部控制是管理體系的組成部分，定位于風險防范，內部控制要融于管理體系之中。內部控制與風險管理在本質上是一致的，風險管理是內部控制在風險社會的稱呼。

【關鍵詞】 風險； 內部控制； 管理體系； 管理職能

【中圖分類號】 F239.44 【文獻標識碼】 A 【文章編號】 1004-5937（2018）09-0116-07

一、引言

理論是制度建構的基礎，沒有科學的理論為基礎，科學的制度就難以形成。內部控制制度建構同樣依賴于內部控制理論。在內部控制的諸多理論問題中，內部控制本質是最重要的問題之一。雖然內部控制作為一種人類活動已經有悠久的歷史，作為一個學術問題也有幾十年的歷史了，然而，對于內部控制本質之認識仍然存在不少的分歧，主要的觀點有過程論、管理活動論、控制職能論、經濟控制系統論、免疫系統論、防范與保護論、新制度經濟學視角的內部控制觀。本文從方法論上進行改進，以辯證唯物主義認識論為基礎，從內部控制現象中抽象出內部控制本質，并且將內部控制本質貫通到內部控制的其他基本問題，力爭提出一個具有廣泛適應性的內部控制本質之觀點。

二、文獻綜述

關于內部控制本質，主流觀點是COSO報告（1992）對內部控制的定義：“內部控制是由主體的各層次實施旨在為實現其主要目標提供合理保證的過程”。本文稱之為過程論，有不少的文獻支持過程論這種觀點[1]。

除了過程論外，關于內部控制本質還有其他一些觀點，主要有管理活動論、控制職能論、經濟控制系統論、免疫系統論、防范與保護論、新制度經濟學視角的內部控制觀等，這些觀點從不同的視角來認知內部控制的本質。管理活動論認為，內部控制是管理體系的組成部分，是管理層和員工實現控制目標而發生的一項管理活動[2-3]。控制職能論認為內部控制的本質是管理職能中的控制職能[4-6]。經濟控制系統論認為內部控制是一種經濟控制系統或者一項經濟機制或制度[7-10]。免疫系統論認為內部控制是組織內部的免疫系統化[11]。防范與保護論認為，內部控制是個人、組織、社會各層面，運用識別、評估、計量、轉化、抗御等專門方法，正確防范并遏制“非我與損我”，主動保護并促進“自我與益我”的系統化制度[12]。新制度經濟學視角的內部控制觀的共同特點是以新制度經濟學為理論基礎來研究內部控制本質，又有多種不同的觀點，觀點之一：內部控制的本質就是為了在降低交易費用的同時彌補契約不完備性而存在于組織內部的一個控制機制[13]；觀點之二：彌補契約組合的不完備性，實現組織內部的均衡和有效運作，應當是系統和整體效率視角的內部控制的真正本質[14]；觀點之三：內部控制的本質表現為組織體系中各相關的平等利益主體之間的相互制衡和各科層權力主體依上而下的監督[15]；觀點之四：內部控制制度安排的核心是對組織公共領域產權的配置[16]。

上述觀點從不同的視角認知內部控制之本質，豐富了人們對內部控制的認知。然而，各種觀點都存在改進的潛力。過程論忽視了控制內容；管理活動論過于寬泛，并未說清楚內部控制與其他管理活動的區別；控制職能論縮小了內部控制的范圍，事實上，管理的每個職能中都有風險防范；經濟控制系統論過于抽象，誰來控制、控制什么、怎么控制都沒有涉及；免疫系統論是對內部控制功能的一種比喻，并未說清楚內部控制的本質。例如，有觀點認為，審計是免疫系統[17]，內部控制與審計都是免疫系統，二者有何區別？防范與保護論難以區分內部控制與管理體系之間的關系；而各種新制度經濟學視角的內部控制觀都忽視了物的因素可能帶來的風險。本文以上述觀點為基礎，基于內部控制現象來抽象內部控制本質，同時，將內部控制本質之認知貫通到內部控制各基本問題。

三、理論框架

本文的目的是探究內部控制本質，采用辯證唯物主義的方法論，根據這種方法論，需要基于內部控制活動或現象來抽象出內部控制之本質。

內部控制作為一種人類活動已經有悠久的歷史，有人認為，內部控制活動可以追溯公元前4 000年左右人類社會帶有本能意義的內部牽制[18]；也有觀點認為，內部控制活動最早可追溯到公元前3 000年左右的美索不達米亞文化時期[19]。在人類歷史的長河中，內部控制得到了長足的發展，就微觀組織來說，門、鎖、印信、密碼、條形碼、保險柜、圍墻、監視器、科層控制、不相容職能分工、激勵機制、舉報信箱、公開透明機制、道德教育等都屬于微觀層面的內部控制；就國家層面來說，國家結構形式、多黨制衡、三權制衡、選舉制度、國家預算制度、官員財產登記、邊界線（例如，萬里長城）、海關、邊防檢查等都屬于國家層面的內部控制。時至今日，人類的內部控制活動已經非常豐富，有保障經營活動合規合法方面而實施的控制活動，有保障財務信息及業務信息真實完整而實施的控制活動，有保障財產安全而實施的控制活動，有保障人身安全而實施的控制活動，有防范經營風險而實施的控制活動，也有防范戰略風險而實施的控制活動。

上述各種控制活動在人們面前展現了一個繽紛多彩的內部控制畫卷，在這個畫卷中，內部控制現象多姿多彩。基于不同的內部控制現象，可能形成對內部控制本質的不同認知。本質是現象的本質，根據不同的內部控制現象，可能得出不同的內部控制本質，根據一些局部的內部控制現象，可能概括出適用于本局部現象的內部控制本質。根據辯證唯物主義的方法論，要探究內部控制一般的本質，必須基于全部內部控制現象來概括其本質，這種本質是內部控制的共性本質，而不是個性本質。

那么，從歷史的角度，內部控制的共性本質是什么呢？本文認為，不同的內部控制現象有一個共性屬性，這就是抑制對本組織有負面影響的事項之發生，如果將這種負面事項稱為風險，則從本質上來說，內部控制是組織內部建立和實施的風險應對機制。無論何種內部控制現象，都離不開這種屬性，盡管其作用方式或路徑有差異，但是，最終目的都是抑制對本組織有負面影響的事項之發生，這可以作為內部控制的共性本質。這個簡要的內部控制本質回答了內部控制的三個基本問題：第一，控制什么——風險；第二，誰來控制——組織內部來實施；第三，怎么控制——風險應對機制。

下面，對上述三個方面做進一步闡述，將內部控制本質貫通到內部控制其他基本問題，并分析內部控制與相關問題的關系，以深化對內部控制本質的理解。

（一）控制什么

內部控制控制什么呢？也就是說，內部控制的控制內容是什么呢？基于內部控制是組織內部建立和實施的風險應對機制這個本質認識，內部控制的控制內容就是風險。問題的關鍵是，什么是風險？對于風險有多種理解，一種觀點以組織目標為基礎來認知風險，認為風險是在一定環境下和一定限期內客觀存在的、影響組織目標實現的各種不確定性事項就是風險，或者說，風險就是指在一個特定的時間內和一定的環境條件下，人們所期望的目標與實際結果之間的差異程度。這種風險觀強調組織目標，可以從影響組織實現的因素這個視角來認知風險，也可以從組織目標實現的偏差這個視角來認知風險，前者關注的是原因，后者關注的是結果。

另一種觀點以組織影響為基礎來認知風險，認為風險是組織遭受損失、傷害、不利或毀滅的可能性，或者說，風險就是發生不幸事件或是指一個事件產生組織所不希望的后果的可能性，通俗地說，風險就是對組織產生負面影響的不確定性事項。這種風險觀并不強調不確定性事項對組織目標的影響，而是強調不確定性事項對組織的影響方向，凡是負面影響的，就是風險。換言之，在這種觀點下，即使不確定性事項對組織目標沒有影響，只要對組織帶來負面影響，該不確定性事項就是風險。這種觀點似乎對風險的界定更為廣泛。然而，這只是表面現象，事實上，組織目標應該是一個分層級的體系，除了一般意義上的戰略目標和業務營運目標外，組織還可以有其他許多的目標，例如，保障財產和人身安全、保障信息真實完整、保障履行社會責任、保障各種行為合規有合法、保障組織持續健康等等，如果組織目標得到完整的表述，則凡是對組織帶來負面影響的不確定性事項也一定會影響到組織的某些目標。所以，總體來說，以組織目標為基礎來認知風險和以組織影響為基礎來認知風險，并不存在實質上的差異。當然，如果內部控制也可以僅僅關注影響某些組織目標的不確定性事項，則這種情形下的風險是特定的風險，并不是全部風險。

內部控制現象主要是以組織影響為基礎來認知風險的，本文后續內容中也采用這種觀點。根據這種風險，對組織有影響的不確定性事項大致可以分為三類：積極事項、消極事項、機會事項。積極事項對本組織只有有利影響；消極事項對本組織只有不利影響；機會事項對本組織的影響方向不確定，可能是正面影響，也可能是負面影響。風險就是包括消極事項和機會事項。

COSO報告是以組織目標為基礎來認知風險，這并不表明以組織影響為基礎來認知風險存在什么缺陷，只是表明，COSO報告關注的風險是特定風險，并不是全部風險。例如，COSO報告的內部控制目標中并沒有財產安全，但是，誰也不能否認，在內部控制的歷史發展中，保護財產安全曾經是重要的內部控制目標，所以，需要將對財產安全帶來負面影響的不確定性事項作為風險來防范。

（二）誰來控制

內部控制是誰來控制呢？也就是說，內部控制的控制主體是什么呢？基于內部控制是組織內部建立和實施的風險應對機制這個本質認識，內部控制的控制主體來源于組織內部。COSO報告（1992）指出，內部控制是由主體的各層次實施旨在為實現其主要目標提供合理保證的過程。我國的《企業內部控制基本規范》指出，內部控制是指由企業董事會、管理層和全體員工共同實施的、旨在合理保證實現企業基本目標的一個過程。我國的《行政事業單位內部控制規范（試行）》指出，內部控制是指單位為實現控制目標，通過制定制度、實施措施和執行程序，對經濟活動的風險進行防范和管控。這些內部控制權威規范盡管對控制主體的表述不同，但是，這些控制主體都是源于組織內部。對于每個組織來說，從最高管理者到最基層的每個員工，都有責任抑制對本組織有負面影響之不確定性事項的發生，所以，都是風險控制的主體。也正是每個員工都是內部控制主體，而這些員工都屬于組織內部，所以，由這些主體實施的風險控制才叫內部控制，這里的內部就是控制主體來源于組織內部。

既然如此，難道還有組織外部的主體幫助本組織來控制影響本組織的風險嗎？答案是肯定的，在本組織外部，有不少的機構或個人會幫助本組織控制對本組織有負面影響的風險事件。例如，（1）一些政府機構、行業組織和智庫及時發布一些信息，這些信息或許有助于某些組織防范其業務營運或戰略風險；（2）司法機關懲處各種犯罪行為、公安機關維護社會治安、紀檢監察機關懲治腐敗、行業規制部門懲處不正當競爭行為，都會一定程度上降低各個組織面臨的風險；（3）消防機構、安全監管機構履行其職責，都會有利于各個組織控制消防和安全風險；（4）金融保險機構為投保人提供商業保險，如果某組織購買了某種商業保險，則相應的風險損失就可以得到保障；（5）社會媒體、輿論監督及一些社會組織的活動，也會有助于某些組織防范風險；（6）社會文化價值觀的有利變化，對每個人的風險行為都有抑制作用，從而會降低每個組織防范面臨的某些風險。

所以，對于特定的組織來說，風險應對的力量有兩個來源，一是組織內部，二是組織外部，前者的風險應對稱為內部控制，后者的風險應對可以稱為外部控制。對于該特定組織來說，外部控制并不是本組織建立和實施的，而內部控制則需要本組織自己來建立和實施。

（三）怎么控制

確定了控制內容和控制主體之后，內部控制是怎么控制的呢？也就是說，內部控制的控制方法是什么呢？或者是說，內部控制是如何抑制風險的呢？基于內部控制是組織內部建立和實施的風險應對機制這個本質認識，內部控制的控制方法是建立和實施風險應對機制。這里有兩組關鍵詞，一是“風險應對機制”，二是“建立和實施”。下面分別來闡釋。

先來看“風險應對機制”。任何事物都由不同的部分組成，并且不同部分組成的整體都具有某種功能，機制是以一定的方式把事物的各個部分聯系起來，使它們協調運行而發揮作用。所以，機制涉及事物的構造、功能及其相互關系，機制有三個重點，一是功能，二是組成要素，三是協調各組成要素以發揮整體功能。風險應對機制也是如此，其功能是防范風險，也就是抑制對本組織有負面影響的不確定性事項之發生或減輕其負面影響；其組成要素也就是內部控制要素，包括尋找風險和應對風險兩類要件，也包括使得上述兩類要件能持續有效的要素，尋找風險主要體現為風險評估，應對風險有控制環境、控制活動，而信息與溝通為各類控制要素提供信息及其溝通的平臺，內部監視則是保障內部控制持續有效的必要要素，上述這些組成要素解決了如何控制的問題——控制是一個尋找風險和應對風險的過程，而這個風險應對機制要有效運行，還需要控制原則和控制假設，它們是控制要素建立和實施的要求或前提。風險應對機制包括多個要素，各個要素之間的協調配合是這個機制發揮功能的前提，如果各要素之間不能良好地協調配合，則風險應對機制的整體功能也會難以發揮。通過風險應對機制的構成要素可以看出，內部控制作為一個風險應對機制其實質也就是一個風險識別和應對的過程。

再來看“建立和實施”。首先，風險應對機制必然要體現為一些制度文本，對風險應對機制各要素做出設計，可以是單獨的制度文本，也可以融入管理體系之中，并且后者是主要情形，這些內容可以稱為內部控制設計；其次，風險應對機制相關的制度文本，還需要組織內部相關人員來執行，如果有制度不執行，則這些制度當然無法發揮應對風險的作用，這些內容，可以稱為內部控制執行。從某種意義來說，內部控制執行比內部控制設計更加重要。所以，從本質上來說，內部控制必須做到知行合一，制度執行比制度設計更加重要，對內部控制的理解不能只是停留在內部控制設計。同時，內部控制的“建立和實施”還有一層意思，這就是持續有效，風險應對機制不能有時能發揮作用，有時不能發揮作用，這種機制就不能有效地應對風險，因此，風險應對機制必須是持續有效的。怎么都能做到持續有效呢？主要的路徑是內部監視，包括由內部控制當事人實施的內部控制自我監視和組織內部的內部審計機構這類獨立機構實施的內部控制獨立評估，通過內部監視，及時地發現內部控制缺陷，并推動整改，保障內部控制持續有效，進而持續有效地發揮其防范風險的作用。

（四）內部控制本質與內部控制其他基本問題的貫通

本文前面的文獻綜述指出，關于內部控制本質有多種觀點。有些觀點是就內部控制本質談內部控制本質，其關于內部控制本質的觀點無法貫通到內部控制的其他基本問題，這種內部控制本質的認知顯然有片面性。例如，文獻綜述中提到，有一種觀點認為，內部控制的本質就是為了在降低交易費用的同時彌補契約不完備性而存在于組織內部的一個控制機制。基于這種內部控制本質，無法解釋一個小雜貨鋪為防范外部人士的偷竊行為而采取的防范措施。那么，“內部控制是組織內部建立和實施的風險應對機制”這種對內部控制本質的觀點能否貫通到內部控制的其他基本問題呢？下面，來分析這個問題。

內部控制基本問題是建立和實施內部控制必須解決的一些關鍵問題，一般認為，下列14個問題是基本問題：內部控制本質、內部控制需求、內部控制目標、內部控制主體、內部控制客體、控制內容、內部控制假定、內部控制原則、內部控制要素、風險評估、控制環境、控制活動、信息與溝通、內部監視。下面來分析“內部控制是組織內部建立和實施的風險應對機制”能否貫通到其他13個基本問題。

本文前面的分析中，內部控制需求源于風險對本組織帶來的負面影響，所以，內部控制需求離不開內部控制本質；內部控制目標是對于特定風險的控制，因此對組織有負面影響的風險很多，內部控制如果只是關注其中的一些特定風險，則對于這些風險的控制就成為內部控制目標，所以，內部控制目標要以內部控制本質為基礎；內部控制主體主要涉及誰來控制，內部控制本質中已經表明，是組織內部主體建立和實施的；內部控制客體主要涉及控制誰，一般來說，誰給本組織帶來風險，誰就是本組織建立和實施內部控制的控制客體；控制內容主要涉及控制什么，內部控制本質中已經清楚地說明，控制內容是風險，也就是對本組織帶來負面影響的不確定性事項；內部控制假定是風險應對的前提條件，而這些前提條件也就是風險應對機制的前提條件；內部控制原則是關于內部控制設計和內部控制執行的普通原則，也屬于風險應對機制的普通要求；內部控制要素主要涉及怎么控制，屬于風險應對機制的組成部分；風險評估、控制環境、控制活動、信息與溝通和內部監視是內部控制的五要素，共同組成回應怎么控制的問題。所以，總體來說，將內部控制界定為“組織內部建立和實施的風險應對機制”，這種內部控制本質能貫通到內部控制的所有其他基本問題，這種內部控制本質研究不是就本質談本質，而是基于對內部控制各基本問題考慮的基礎上所形成的內部控制本質。從方法論上來說，不是謀局部得出的局部問題的結論，而是在謀全局的基礎上，對局部問題得出的結論。

（五）相關問題

研究內部控制本質有幾個相關的問題無法回避，一是內部控制與管理職能是什么關系，二是內部控制與管理體系是什么關系，三是內部控制與風險管理是什么關系。

1.內部控制與管理職能的關系

法約爾認為，管理職能包括計劃、組織、指揮、協調、控制這五種。后來，對管理職能出現了不同的觀點，但是，各種觀點都是對法約爾管理五職能的細化或重新組合，法約爾的五職能是管理職能中最有代表性的觀點。那么，內部控制與管理五職能是什么關系呢？本文前面的文獻綜述提到，控制職能論認為內部控制的本質是管理職能中的控制職能。本文認為，這種觀點有失偏頗。理由有兩個方面：

第一，內部控制不一定是管理職能。管理職能是管理者行使的職能，內部控制不一定是管理職能，全體員工都要參與內部控制，并不是全體員工都在實現管理職能，例如，單位的門衛是內部控制職工，但是，不一定是行使管理職能。

第二，各項管理職能中都有風險防范的要求，并不只是控制職能才防范風險。計劃是對未來活動進行的一種預先的謀劃，很顯然，這種謀劃不當會對本組織帶來負面影響，所以，計劃職能中要有應對可能的計劃不當之措施；同時，對未來的謀劃要考慮可能出現的不利因素，避免這些不利因素可能造成的損害。組織是為實現組織目標，對組織機構、員工配置及責權關系的規定，很顯然，機構設置、員工配置及權責設計都要考慮風險防范的要求，授權批準控制、不相容職能分離、崗位輪換、職業道德要求是組織職能中內部控制措施的典型代表。指揮是指管理者利用組織所賦予的權力去影響和激勵組織成員為實現組織目標而努力工作，這其中當然包括影響和激勵組織成員應對可能對本組織目標帶來負面影響的風險之應對。協調職能是指管理者及時排除各種障礙，理順各方面關系，促進組織機構正常運轉，這些協調中，當然可以包括協調大家來應對風險。控制是為保證組織各部門各環節能按預定要求運作而實現組織目標的管理活動，很顯然，控制職能要尋找和應對偏差組織目標的情形，這其中就包括風險應對的成分。總體來說，管理各職能都包括風險應對的要素。

所以，內部控制的本質不是管理職能中的控制職能，各項管理職能中都有風險應對的功能，同時，管理職能之外還有風險應對行為。

2.內部控制與管理體系的關系

管理體系是通過正式制度和非正式制度對本組織所有事項的規范，內部控制與管理體系的關系有兩個方面，一是內部控制在管理體系中的定位，二是內部控制要融于管理體系之中。

先來看內部控制在管理體系中的定位。任何組織的管理體系設計要同時關注兩個重要的主題，一是提高效率，二是防范風險。組織目標的達成及保持組織持續健康都依賴于提高效率和防范風險。所以，任何一項管理事項的規范，在設計規范體系時，既要考慮如何通過該管理規范來提高效率；同時，還要考慮如何通過該管理規范來防范風險。一般來說，提高效率和防范風險有一定的矛盾，為了提高效率，可能要放棄對一些風險的防范，而為了防范風險，有可能一定程度上會降低效率，所以，需要綜合考慮提高效率和防范風險的要求之后，再確定管理規范。在管理體系的兩個主題中，內部控制定位于風險防范，它通過防范對組織有負面影響的不確定性事項來為組織目標的達成和組織持續健康做出貢獻。這種定位似乎有些消極，但是，正是這種消極定位，能防范組織突變或防范重大不利事項的發生，發揮免疫系統的功能。

再來看內部控制要融于管理體系之中。由于管理體系設計要同時關注風險和效率兩個主題，所以，絕大多數管理設計都同時具有提高效率和防范風險的雙重功能，只提高效率或只防范風險的管理設計很少。也正是因為如此，絕大多數的內部控制不能離開管理體系而存在，而是融于管理體系之中，或者說，在管理體系設計中，同時考慮了提高效率和防范風險的雙重要求之后，這種管理體系本身已經具有了內部控制的功能。所以，內部控制與管理體系融為一體，成為管理體系的有機組成部分。

當然，內部控制基于其防范風險的定位，也可能存在一些特殊的控制措施，這些控制措施完全是為了防范風險而存在的，這些措施并不具有提高效率功能，這些內部控制是專門的內部控制，與此相適應，本文將融于管理體系中的內部控制稱為雙重功能的內部控制（提高效率和防范風險雙重功能）。一般來說，在一個組織中，雙重功能的內部控制是主流，專門的內部控制是輔助性的。

與此相關的一個問題是，任何一個單位可能有管理制度匯編，那么，能否有獨立的內部控制制度匯編呢？本文認為，并不存在單獨的內部控制制度匯編，如果一定要拿出內部控制制度匯編，可以將管理制度匯編中與風險防范無關的內容刪除，再加上專門的內部控制，就得到了單獨的內部控制制度匯編。

3.內部控制與風險管理的關系

內部控制與風險管理的關系是實務界和學術界都關注的一個話題，由于COSO委員會分別發布內部控制框架和風險管理框架，并且對內部控制與風險管理的關系語焉不詳，使得二者的關系莫衷一是。基于“內部控制是組織內部建立和實施的風險應對機制”這種認識，本文認為，風險管理的本質也是組織內部建立和實施的風險應對機制，風險管理與內部控制在本質上是一致的。但是，由于內部控制并不一定要關注全部風險，在其發展的不同階段，關注的風險內容不同，從而出現不同的稱呼，風險管理是內部控制在目前這個發展階段的稱呼。在內部牽制階段，內部控制主要關注財產安全風險，內部控制稱為內部牽制；在會計控制階段，內部控制主要關注會計信息錯弊風險，內部控制稱為會計控制；在內部控制階段，內部控制關注財產安全風險、會計信息錯弊風險及經營風險，由于關注的風險已經多樣，所以，內部控制已經稱為內部控制；在會計控制與管理控制階段，審計師主要關注會計信息錯弊風險，內部控制分解為會計控制和管理控制，管理控制與會計信息錯弊風險無關；在內部控制結構階段，關注的風險不只是會計信息錯弊風險，同時，將控制環境、會計系統及控制程序作為內部控制的組成要素，所以，稱為內部控制結構；在內部控制整合框架階段，關注的風險涉及合規合法性、財務信息真實完整性、經營效率和效果，所以，稱為內部控制整合框架。在風險管理整合框架階段，內部控制關注的風險越來越廣泛，并且關注風險已經成為這個時代的重要管理主題，社會已經進入風險社會，適應這個時代的需要，內部控制稱為風險管理。所以，內部控制是一個總概念，風險管理是其現階段的發展狀況，隨著控制范圍和控制目標的變化，內部控制呈現不同的發展階段，現階段是風險管理階段。

四、例證分析

以上提出了“內部控制是組織內部建立和實施的風險應對機制”，這種關于內部控制本質之認知是否正確呢？由于這個命題難以進行規范的實證檢驗，本文用這個觀點來分析一些權威機構發布的內部控制概念，以驗證這個命題的解釋力，從而一定程度上驗證這個命題的正確性。

（一）《柯氏會計辭典》界定的內部牽制

著名的《柯氏會計辭典》（Kohler's Dictionary for Accountant）對內部牽制的界定是，“內部牽制是為提供有效的組織和經營并防止錯誤和其他非法業務發生而制定的業務流程。”

分析：很顯然，“錯誤和其他非法業務”都屬于對本組織有負面影響的事項，內部牽制以其特有的方式來防止這些事項的發生，這是一種特殊的內部控制，其關注的風險也是特定的風險，符合本文的內部控制定義。

（二）AICPA所屬審計程序委員會對內部控制的界定

AICPA所屬審計程序委員會于1949年發表了題為《內部控制—— 一種協調制度要素及其對管理當局和獨立審計人員的重要性》的專題報告，對內部控制首次做出了如下權威定義：“內部控制包括組織的組成結構及該組織為保護其財產安全、檢查其會計資料的準確性和可靠性，提高經營效率，保證既定的管理政策得以實施而采取的所有方法和措施。”

分析：“保護其財產安全、檢查其會計資料的準確性和可靠性，提高經營效率，保證既定的管理政策得以實施”，就是要防范對財產安全、會計資料的準確性和可靠性、經營效率、管理政策實施有負面影響的事項之發生，這是只關注這些特定風險的內部控制，符合本文的內部控制定義。

（三）AICPA所屬審計程序委員會對會計控制和管理控制的界定

1953年10月，審計程序委員會發布《審計程序公告第19號》（SAP No.19），對內部控制進行了如下劃分：“廣義地說，內部控制按其特點劃分為會計控制和管理控制，（1）會計控制由組織計劃和所有保護資產、保護會計記錄可靠性或與此有關的方法和程序構成；（2）管理控制由組織計劃和所有為提高經營效率、保證管理部門所制定的各項政策得到貫徹執行或與此直接有關的方法和程序構成。”

分析：會計控制“保護資產、保護會計記錄可靠性”，就是要防范影響資產安全、影響會計記錄可靠性的事項之發生，這是特定的風險，所以，會計控制是針對特定風險的內部控制。管理控制“提高經營效率、保證管理部門所制定的各項政策得到貫徹執行”，就是要防范對經營效率和各項政策貫徹執行有負面影響的事項之發生，這是特定的風險防范，所以，管理控制是針對特定風險的內部控制。本文對內部控制界定能容納會計控制和管理控制。

（四）審計準則委員會1988年發布的第55號《審計準則公告》對內部控制結構的界定

1988年，美國審計準則委員會發布第55號《審計準則公告》提出“內部控制結構”這一概念，該準則規定，內部控制結構是指，“為了對實現特定公司目標提供合理保證而建立的一系列政策和程序的有機總體，包括控制環境、會計系統及控制程序。”

分析：“對實現特定公司目標提供合理保證”，其保證方式通過防范對特定公司目標有負面影響的事項的影響力，而這些有負面影響的事項就是風險。所以，內部控制結構只是關注對“特定公司目標”有影響的風險，屬于針對特定風險的內部控制，符合本文的內部控制定義。

（五）COSO報告1992年對內部控制的界定

1992年的COSO報告提出了內部控制整體框架，對內部控制的定義是，“內部控制是由組織董事會、管理當局和其他員工實施的，旨在為確保經營的效率和效果、財務報告的可靠性以及對現行法規的遵循提供合理保證的過程”。

分析：“確保經營的效率和效果、財務報告的可靠性以及對現行法規的遵循”，其確保的方式就是防范對經營效率和效果、財務報告可靠性以及對現行法規遵循有負面影響的事項之發生，這些事項也就是有特定影響的風險，所以，這里的內部控制是針對特定風險的內部控制，也是風險應對機制，符合本文的內部控制定義。

（六）COSO報告2013年對內部控制的界定

2013年的COSO報告對內部控制的定義是，“內部控制是由組織的董事會、管理階層及其他人員實施的，用來為經營效率效果、可靠的報告及遵守相關法令提供合理保障的一個過程”。

分析：這個內部控制定義與1992版的COSO報告無實質性區別，只是表述方式有差異。“為經營效率效果、可靠的報告及遵守相關法令提供合理保障”，其路徑還是防范對這些目標有負面影響之事項的發生，所以，這里的內部控制是針對這些特定風險的內部控制，符合本文的內部控制定義。

總體來說，本文提出的“內部控制是組織內部建立和實施的風險應對機制”，能解釋權威機構關于內部控制的定義，這些內部控制定義只是針對特定風險的內部控制，而本文提出的“內部控制是組織內部建立和實施的風險應對機制”，具有廣泛的適應性。

五、結論和啟示

理論是制度建構的基礎，沒有科學的理論為基礎，科學的制度就難以形成。內部控制制度建構同樣依賴于內部控制理論。在內部控制的諸多理論問題中，內部控制本質是最重要的問題之一。本文基于內部控制現象來概括內部控制的共性本質，提出一個關于內部控制本質的一般性的理論框架，并用這個理論框架來分析權威機構關于內部控制的定義。

從本質上來說，內部控制是組織內部建立和實施的風險應對機制。內部控制的控制內容就是風險。內部控制的控制主體來源于組織內部。內部控制的控制方法是建立和實施風險應對機制。內部控制作為組織內部建立和實施的風險應對機制，能貫通到內部控制的所有基本問題。內部控制不一定是管理職能，各項管理職能中都有風險防范的要求，并不只是控制職能才防范風險。內部控制是管理體系的組成部分，定位于風險防范，內部控制要融于管理體系之中。內部控制與風險管理在本質上是一致的，風險管理是內部控制在風險社會的稱呼。

《柯氏會計辭典》界定的內部牽制、AICPA所屬審計程序委員會1949年界定的內部控制、AICPA所屬審計程序委員會1953年界定的會計控制和管理控制、美國審計準則委員會1988年發布的第55號《審計準則公告》界定的內部控制結構、COSO報告1992年對內部控制的界定及COSO報告2013年對內部控制的界定，都是針對這些特定風險的內部控制，屬于本文所界定內部控制的特定形態，本文提出的“內部控制是組織內部建立和實施的風險應對機制”具有廣泛適應性。

本文的研究啟發我們，內部控制的核心內涵是組織內部建立和實施的風險應對機制，控制什么風險、如何控制這些風險，都需要從本組織的特定環境出發來確定，任何權威機構發布的內部控制規范都只有參考價值，照搬照抄他人的內部控制就更遜一個檔次了。所以，如何根據中國的特定環境來建構具有中國特色的內部控制指引體系是理論界和實務界需要努力的頭等大事。

【參考文獻】

[1] 樊行健，劉光忠.關于構建政府部門內部控制概念框架的若干思考[J].會計研究，2011（10）：34-41.

[2] 鄭石橋，徐國強.論融入管理體系中的內部控制設計[C]//中國會計學會.中國會計學會內部控制專業委員會2009內部控制專題學術研討會論文集，2009.

[3] 樊行健，肖光紅.關于企業內部控制本質與概念的理論反思[J].會計研究，2014（2）：4-11.

[4] 何九妹，從法約爾的五職能理論淺談內部控制的范圍[J].會計之友，2010（9）：64-65.

[5] 白華，鄭曉曉.內部控制：制度抑或系統[J].中國注冊會計師，2011（1）：98-101.

[6] 白華.內部控制、公司治理與風險管理：一個職能論的視角[J].經濟學家，2012（3）：46-54.

[7] 丁友剛，胡興國.內部控制、風險控制與風險管理——基于組織目標的概念解說與思想演進[J].會計研究，2007（12）：51-54.

[8] 鄭石橋.內部控制缺陷判斷差異：基于管理層和外部審計師視角[J].會計之友，2017（21）：126-131.

[9] 戴文濤.內部控制學科體系構建[J].審計與經濟研究，2010（3）：80-86.

[10] 李樺，周曙光.內部控制理論演進視角下內部控制本質研究[J].財會通訊，2011（2）：99-100.

[11] 楊興龍，孫芳城，陳麗蓉.內部控制與免疫系統：基于功能分析法的思考[J].會計研究，2013（3）：65-71.

[12] 楊雄勝.內部控制范疇定義探索[J].會計研究，2011（8）：46-52.

[13] 劉明輝，張宜霞.內部控制的經濟學思考[J].會計研究，2002（8）：54-56.

[14] 張宜霞.企業內部控制的范圍、性質與概念體系：基于系統和整體效率視角的研究[J].會計研究，2007（7）：36-43.

[15] 謝志華.內部控制：本質與結構[J].會計研究，2009（12）：70-75.

[16] 杜海霞.基于產權理論的內部控制本質研究[J].商業研究，2012（1）：67-70.

[17] 劉家義.樹立科學審計理念 發揮審計監督“免疫系統”功能[J].求是，2009（10）：28-30.

[18] 張硯.內部控制歷史發展的組織演化研究[J].會計研究，2005（2）：76-81.

[19] 張宜霞.企業內部控制論[M].大連：東北財經大學出版社，2008：101-102.