管理控制在企業中的應用

顧沁藍

隨著企業外部環境的復雜性和多變性不斷增強，管理控制作為一種企業內部管理職能在國際各大企業中擔當起日益重要的角色。反觀中國，大多數的企業往往因為企業結構不夠完善、經營理念不夠成熟、社會文化難以接軌，未能將管理控制的思想落實到企業管理實務的應用中，使得企業在經營活動過程中偏離目標而難以及時糾正，企業運營缺乏效率和成果。文章通過厘清管理控制的核心觀點，并比較其在兩種模型下的框架，以作為借鑒，使管理控制成為我國企業經濟管理的有效工具。

一、管理控制概念的厘清

（一）管理控制的定義

當今西方學界主要認為有兩種解釋：廣義的管理控制即通過對組織流程、組織行為和人力資源的控制來確保員工能夠實現組織目標的方法和手段。而狹義的管理控制則是由確定標準、評價業績、糾正偏差構成的一種信息反饋系統 。本文以廣義概念為討論背景，認為其在企業實務中的職能，主要表現為在確立目標定位、計劃編制和報告反饋的基礎上加以協調和控制，使得戰略、財務和組織流程富有經濟效率。基于此，管理控制在企業管理實務中所負責的內容有：預算、運營計劃編制和監控、戰略計劃編制和監控、內部報表、投資管理控制、成本核算、管理咨詢等。

（二）與財務管理的關系

在現代企業管理中管理控制較為宏觀，包括人力資源、生產、資金等多種管理控制活動，保證企業整體經營活動的有效性，而財務管理是通過對資金的管理讓企業在財務活動上實現利益最大化。由于兩者的包含關系，在管理對象和實施辦法上管理控制相較于財務管理也更為寬泛。管理控制的職能是管理者對于企業的整體經營活動進行監督與控制，可以通過貨幣計量和評估報告相結合的手段進行管理。而財務管理的職能是僅面向于企業財務活動的預算、核算、投資等進行管理，主要是以會計信息系統為手段。

（三）與風險管理的關系

管理控制與風險管理都以實現戰略目標為立足點，同時也具有共同的控制活動。但兩者在具體目標和實現方式上具有顯著差異。管理控制的目標是控制如何落實戰略的過程，它是以業績目標為導向來引導員工有效執行任務。而風險管理是將影響既定目標達成的風險控制在可接受水平之內，是通過減少控制薄弱環節來盡可能降低風險對于目標達成的損害。可以說，管理控制是對企業施加積極作用力以促進其實現戰略，而風險管理是通過減少企業內外部的消極作用力以保證其實現戰略。

二、管理控制理念在兩種框架下的運用

（一）COSO模型

由于目前在實務中大多數美國上市企業及在美國開展業務的國際企業在所披露的報告中仍然遵循2013年COSO （The Committee of Sponsoring Organizations of the Treadway Commission）發布的《內部控制整合框架》進行企業內部管理控制，因此將其作為本文探討的模型。這一內部控制框架面對五大要素提出了17項基本原則，并給出了具體的規范和指導，使企業在實務中更易執行和操作。在控制環境方面，對公司組織結構和權責分配進行嚴格的規定，同時要求具有獨立性的審計委員會對企業內部的管理控制負責;在風險評估方面，同時對經營風險、財務風險與企業總風險進行識別和應對，并強調要將風險降到可接受的水平以下;在控制活動方面，企業通常以風險評估的結果為基礎，運用規章制度和信息系統對企業的預算、財產保護、運營和績效進行預防的事前控制或及時的事后控制;在信息與溝通方面，要求信息具有及時性、可靠性和合規性，并認為反映企業經營管理的非財務信息也應在報告中進行披露;在監督方面，要求企業進行持續監控活動和內部審計，同時確認了外部監管主體在內控監督中的角色 。

（二）GRC模型

GRC（integrated governance，risk management and compliance model）是由SAP率先提出并由內部控制管理的體系，企業通過建立完整的公司治理結構、識別并設計受法規影響的流程、識別及評估風險、設計并實施內部控制系統、監督并改進內部控制系統有效性等工作使得企業滿足內部和外部的法定要求和標準 。同樣地，該模型以設定的戰略計劃為指引，以企業風險偏好為前提，將企業內部管理控制活動分解為公司治理、風險管理和合規活動，并構建了三道防線以明確企業在每條防線內的管理控制任務。同時，在此模型下衍生出了各類GRC系統以支持企業內部運營和管理控制，SAP、普華永道和德勤等咨詢部門都在此模型上提供了成熟的實施方案和軟件應用，為企業實務提供了更多可能性。

三、管理控制理念在我國企業中的運用

在我國，所有上市公司所披露的內部管理控制報告都是依據《企業內部控制基本規范》進行描述的，主要由控制范圍、評價工作依據及內部控制缺陷認定標準、控制缺陷認定及整改情況的適用與否構成。但整個企業管理控制體系的邏輯和實際控制標準與流程難以體現，難免流于形式。上市公司已然如此，其他中小企業的內部管理控制更是難以落實。明顯地，中國企業在內部管理控制實務中存在以下問題。

（一）缺乏統一的控制評價系統

在實際執行中，《企業內部控制基本規范》對于企業缺乏有效的指引，各企業納入評價的范圍不盡相同，遵循的評價標準并不統一，無論是定量指標還是定性指標的認定，企業都有較大的自主選擇的空間和自由解釋的余地。因此，對內來說不能有效服務于企業管理層有效實施和持續改進內部控制，對外來說對于企業間內部控制系統的有效性無法進行分析比較。

（二）缺乏與企業戰略接軌的控制系統

國內現有的企業內部控制體系往往是基于會計系統構建的，管理控制的邏輯是從會計工作出發，再到業務流程的監控，主要是在運營活動上實施。然而建立內部控制體系的關鍵在于如何讓管理控制從企業活動中創造價值，使得企業的管理控制制度作為綜合戰略的一部分與之相互依存。僅僅從業務運營出發的財務管理與公司戰略是不適應的，這樣的內部控制只是一種公式化的流程。

（三）缺乏有效的執行主體

在絕大多數德國企業中都設有獨立的管理控制部門，在其中工作的管理控制師擔負信息供給者、計劃編制者以及監控者的多重職責。而在美國企業內部則建立了以外部監督為主的監事會制度和獨立的審計委員會，利用審計機構和投資者作為強有力的監督主體來規范公司運作。而在中國企業內部通常僅僅依靠內部審計和財務控制部門進行財務活動上的管理控制，而對于企業戰略和運營上的控制則主要依賴于管理層進行簡單決策，這同時也是上文提到的管理控制系統脫節的表現。

針對以上問題，基于之前分析的COSO模型和GRC模型，筆者對完善我國企業內部管理控制系統提出以下建議：

第一，重塑管理控制邏輯。《企業內部控制基本規范》主要是在借鑒COSO模型的基礎上，結合我國國情進行適當修改完善后形成的。然而COSO 模型本身存在著五要素并行且難以劃分的問題，其具體細則又無法一一對應中國企業的經營規則進行實施，因此有學者提出重構內部控制要素框架，將內部環境作為第一層次，將內部控制實施的過程作為第二層次。第二層次保留風險評估、控制活動和內部監督，形成“依據—行為—反饋”的閉環。最后，將信息系統構建作為內部控制運行的基礎，將其并入內部環境，而將其他信息和溝通的內容按其發生環節并入其他要素。

第二，完善規章制度指引。《企業內部控制基本規范》只對中國企業建立內部管理控制制度的基本原則、目標、及18個主要控制內容進行了一般性規定，而對于各個內容具體的評估指標和認定標準缺乏統一的界定。因此，為了使得各企業在進行管理控制體系建設和內控制度披露時有據可依，政府應細化對于企業內部控制制度的要求并盡可能地定量化其評價標準。在統一明確的制度地指引下，企業才能夠通過建立健全并持續改進內部控制制度及評價體系，合理規避經營風險，保證資產安全，提高經營效率和效果。

第三，加強企業部門建設和信息化建設。在企業實務中，可以引入借鑒整合的GRC模型，建立GRC管理的流程和機制。這給予了中國企業兩條思路，一是建立相關部門與業務運營進行同步協調由于涉及到公司各個部門，只有建立明確的工作協調機制，才能確保各項工作的有序、高效開展。二是提高信息化水平，當今社會信息系統支持的支持對企業內部管理控制體系的建立至關重要。如果企業在管理中能夠運用好GRC系統的解決方案，不僅能提升管理控制工作的效率，也能降低隨之產生的成本。

四、結語

身處中國市場而面向全球經濟，無論是上市公司或是中小型企業，都必須面臨如何有效進行企業管理的挑戰。然而，如果沒有統一的綜合治理觀念來指導管理控制實務，企業就無法有效監控運營合規性和經營風險，也無法調整業務流程以滿足不斷變化的市場趨勢和政府監管要求，更無法有效實現企業戰略。因此，對于政府來說應該積極修繕法律制度以引導企業成功“轉型”，而對于企業來說則應該將重心放在更新管理理念并且優化管理控制的手段，以更好地促進企業穩定持續發展。

參考文獻：

[1]何淼.基于COSO框架的企業內部控制建設探究[J].企業改革與管理，2018（17）：37-38.

[2]趙彬.如何借助IT提升GRC管理能力[N].中國計算機報，2016-10-17（006）.

[3]張巧良，宋穎超，李艷.基于GRC整合視角的企業綜合防御系統框架的構建[J].南京審計學院學報，2008（03）：33-36.

[4]杜棟.管理控制[M].北京：清華大學出版社，2006：97-104.

[5]羅伯特·安東尼.維杰伊·戈文達拉楊.管理控制系統（第12版）[M].人民郵電出版社，2014：48-49.

[6]黃靜.COSO內部控制框架演進發展研究[J].審計月刊，2018（04）：38-40.

[7]烏茨·舍費爾，吳煜婷，于悅.德國企業管理控制師的計劃編制和監控職能[J].會計之友，2013（06）：4-8.

[8]宋建波，蘇子豪，王德宏.中國特色內部控制規范體系建設的思考[J].會計研究，2018（09）：11-16.

（作者單位：同濟大學）