大內部控制觀研究

孫永堯

【摘要】通過比較國內外關于內部控制內涵與外延的各種觀點， 分析企業管理、風險管理、合規管理及公司治理與內部控制之間的關系， 并在主體業務活動的客觀實踐基礎上提出大內控觀。 內部控制從最初的問題導向發展為風險導向， 深刻反映了經濟世界的不確定性、復雜性、多元化與國際化的進程。 現有學派對內部控制本質的認識都是基于基礎主義主張， 潛意識地承認了內部控制的本質是先天賦予而不是主體的實踐反映。 不論是盈利活動還是提供公共服務， 實際上都是主體面臨風險時朝向目標的有目的性的活動。 風險是內部控制的內容， 治理是內部控制的方式， 合規管理則是內部控制最基本的要求， 它們都統一于主體的控制目標。 按準則辦事， 是內部控制的形式; 在運動中掌舵主體的發展方向， 是內部控制的本質。 內部控制的本質與形式貫穿于參與者的行為與行動過程中。

【關鍵詞】內部控制;企業管理;風險管理;公司治理;合規管理;基礎主義

【中圖分類號】 F275? ? ?【文獻標識碼】A? ? ? 【文章編號】1004-0994（2021）13-0095-9

對于什么是內部控制， 目前學術界尚未有一致的意見。 從內部控制理論發展史來看， 早期的理論家主要聚焦于詮釋解析內部控制的含義與結構， 后來則將內部控制擴展到風險管理與治理領域， 辨析其與內部控制的關系， 而最近又出現了內部控制與合規管理思想。 本文研究了內部控制與企業管理、風險管理、公司治理、合規管理之間的關系， 試圖從理論上對內部控制的內涵與外延做出創新性解釋， 以對內部控制理論有所貢獻。

一、內部控制內涵與爭鳴

（一）美國內部控制內涵

“內部控制”這一專業術語何時產生、由誰提出， 筆者并非十分確定。 斯迪芬也認為， 沒有人可以確定內部控制的起源[1] 。 不過， 美國較為流行的觀點是， 內部控制概念最初來源于審計準則制定者。 從美國審計文獻來看， 先后出現過內部控制制度、內部控制結構、內部控制整合框架、財務報告內部控制等概念， 美國注冊會計師協會（AICPA）對內部控制的發展起到了重要的作用。 AICPA對內部控制的認識發生了如下變化： 1936年認為其是為保護公司資產與保證核算準確而采取的“手段和方法”， 實質是一種會計控制; 1949年認為其是保護公司資產安全、確保會計數據可靠、提高經營效率、促進管理政策實施的計劃及相關“方法與措施”; 1951年認為其是保護資產與保證會計記錄可靠的“方法和程序”; 1958年認為其包括內部會計控制與內部管理控制， 前者指關于財產安全和財物記錄可靠性的方法和程序， 后者指與組織規劃相關的所有方法和程序。 1988年， 美國注冊會計師協會審計準則委員會（ASB）提出了以內部控制結構論代替內部控制制度論， 指出內部控制結構由控制環境、會計系統和控制程序三要素構成， 表現形式為政策與程序。

ASB的內部控制結構論思想對之后的內部控制研究產生了重要影響， 1992年與2013年美國反虛假財務報告委員會下屬的發起人委員會（COSO）的內部控制框架正是這一思想的延續與提升。 1992年， COSO發布的《內部控制——整合框架》受到了國際內部控制理論界與實務界的高度關注， 也為各國內部控制標準制定機構所借鑒或采納， 其中的內部控制過程論與五大要素的構建觀成為內部控制建設的標準模式。 COSO認為， 內部控制是“一個由主體的董事會、管理層和其他人員實施的， 旨在為經營、財務報告、合規目標實現提供合理保證的過程”， 是由內部環境、風險評估、控制活動、信息與溝通、內部監督五大要素構成的一個有機整體[2] 。 美國證券交易委員會（SEC）和美國公眾公司會計監督委員會（PCAOB）均明確提出， COSO內部控制框架可以作為企業建立內部控制體系的參考性標準。 在隨后的二十多年里， 由于企業經營環境與企業管理逐漸復雜化， 經營風險日益增加， 加上舞弊事件不斷發生， 2013年COSO發布了新的內部控制框架， 其在內部控制的定義、五要素、有效性評價標準等方面與舊框架保持一致， 但提煉出了內部控制五大要素的十七項總體原則， 每一項總體原則又由代表其重要特征的多個關注點所支持。 相對于舊框架， 2013年的COSO內部控制框架具有廣闊的應用前景， 但SEC與PCAOB都尚未表態是否采用。

2002年， 美國公布了薩班斯（SOX）法案， 其中404條款規定， 上市公司在公布年報時應說明管理層建設內部控制所承擔的責任并聲明其有效性。 為執行薩班斯法案， 美國于2003年修訂了《證券交易法》， 首次提出了財務報告內部控制的概念。 由于內部控制概念一直解釋不清， 修訂過程中曾有不少人建議用“財務報告內部控制與程序”來代替內部控制， 也有人建議將內部控制與企業風險管理和公司治理聯系起來， 但修訂小組未采納他們的觀點， 理由是： 作為法律， 定義不能過于寬泛， 否則會大大增加公司披露成本， 并且404條款也是集中在與財務報告相關的內部控制要素方面; 從注冊會計師方面來看， 他們并不對內部控制承擔責任; 財務報告內部控制是投資者熟悉的詞匯， 可以減少理解上的歧義， 更重要的是， 這一詞匯最符合薩班斯法案的目標。 修改后的《證券交易法》將財務報告內部控制定義為“由總裁與首席財務官或執行類似職能人員所設計或監督的， 受董事會、管理層或其他職員影響的， 為財務報告可靠性以及為以下政策與程序的實施提供合理保證的過程： ①資產準確記錄與公允反映; ②核算符合公認會計準則， 收入和支出得到授權; ③預防或及時發現未授權資產的取得、使用或處置”。 可見， SEC雖接受了COSO內部控制框架的基本思想， 但僅將其限定在財務報告方面。

雖然COSO內部控制框架非常著名， 但并未得到我國理論界的一致認可。 張安明[3] 認為其存在七大問題： 把內部控制限定在總裁之下， 對董事會的重要作用和董事會與總裁之間的聯系和制衡關注不夠; 內部控制評估和披露方式容易誤導投資者; “合理保證”讓社會用戶增添了不少猜疑與無奈; 排除目標設定與戰略規劃不合理; 三類目標不完整且有重疊; 評價標準過于主觀; 會計與審計色彩太濃。 蔡吉甫[4] 認為， COSO內部控制框架對內部控制的本質研究不夠， 忽視了企業外部環境的作用， 對產權價值運動過程的風險考慮不充分， 監督內容也并未及時反映給主體。 劉霄侖[5] 指出， COSO內部控制框架在控制目標與控制流程方面存在邏輯斷層和錯位， 內部控制邊界不清。 楊雄勝[6] 指出， COSO沒有給內部控制設定確定無疑的邊界， 讓人無法區分內部控制與公司其他管控制度。 李心合[7] 指出， COSO內部控制框架的思想基礎、建構模型及框架要素都帶有鮮明的美國特征， 并不能普世化， 更不能萬能化。 樊行健、肖光紅[8] 不贊同COSO五大要素說法， 認為風險評估、信息與溝通分布在控制環境、控制活動、監督與評價基本要素之中， 并非單獨存在。 白華[9] 認為， COSO內部控制結構犯了一個認識論上的錯誤： 五大要素是政策與程序的集合體， 而不是有機整體， 而COSO誤讀為方法論， 致使過程論走向了歧途， 把管理職能看作工作， 割裂了整體職能觀。

（二）加拿大內部控制內涵

1992年， 加拿大特許會計師協會（CICA）成立了控制標準委員會（COCO）， 用于制定發布加拿大內部控制系統設計、評估和報告的標準。 1995年COCO借鑒COSO內部控制框架， 正式發布了關于內部控制的框架性文件——《控制指南》。 COCO使用控制一詞代替了內部控制， 指出控制就是資源、系統、過程、文化、結構和任務為實現經營、報告與合規目標的組織要素的集合體， 控制框架由目的、承諾、能力、監督和學習四個要素以及與之相對應的二十條原則構成[10] 。 由于這一框架的實踐指導性不強， 而且沒有強制內部控制審計的制度安排， 因此逐漸走向衰退。

（三）英國內部控制內涵

1992年的卡德伯利報告（Cadbury Report）、1998年的哈姆佩爾報告（Hampel Report）以及1999年作為公司治理委員會聯合準則（Combined Code of the Committee on Corporate Governance）指南的特恩布爾報告（Turnbull Report）是英國內部控制發展史上的三大里程碑[11] 。 卡德伯利報告從財務角度研究公司治理， 將內部控制置于公司治理的框架之下。 哈姆佩爾報告對內部控制概念進行拓展， 明確內部控制不應僅局限于公司治理和財務內部控制， 要求董事及管理人員對財務、經營、遵循性控制等方面進行復核評價。 特恩布爾報告就如何構建“健全的內部控制”提供了詳細的指南， 并提出了內部控制系統論與“四要素”論， 指出內部控制是由董事會和管理層共同實施的旨在防止風險發生或使風險降低到可接受水平的系統， 該系統包括公司政策、過程、任務、行為和其他方面; 四要素是指控制環境、控制活動、信息與溝通、監督檢查四項內容。

（四）法國內部控制內涵

法國認為， COSO內部控制框架過于理論化， 不適合本國國情。 2003年， 法國制定了《金融安全法》， 其中包括有關公司內部控制的規定， 2007年1月發布了內部控制指引框架[12] 。 該框架提出了內部控制系統論思想和“五要素”論， 指出內部控制是為實現公司目標的一個系統， 五要素包括組織架構系統、內部信息發布系統、風險確認與分析系統、控制運營過程及減少相關風險活動系統與監督檢查系統。 該框架以財務報告內部控制程序為主， 為實現財務報告目標服務。

（五）日本內部控制內涵

日本企業會計審議會于2005年成立了內部控制專業委員會， 并于2007年2月正式發布《關于財務報告內部控制評價與審計準則以及財務報告內部控制評價與審計實施準則的制定意見書》《財務報告內部控制評價與審計準則》和《財務報告內部控制評價與審計實施準則》。 參照COSO內部控制框架， 日本的內部控制框架包括定義、四個目標和六項要素等內容[13] 。 該框架指出， 內部控制是由組織內部所有人員實施的， 旨在為資產安全、運營績效、財務報告可靠與合規目標的實現提供合理保證的過程。 控制環境、風險評估、控制活動、信息與溝通、監督以及信息技術應對是其六項構成要素。 顯然， 日本內部控制屬于財務報告內部控制范疇。

（六）我國內部控制內涵

近二十年來， 我國官方與學術界的內部控制研究十分活躍。 學者們主要從管理學、經濟學、法學、哲學等多個角度進行了廣泛研究， 而官方則主要從內部控制立法方面著手。 就官方而言， 主要以財政部為代表。 財政部會計司早在1996年的《會計基礎工作規范》中就提出了內部會計控制思想; 1996年的《獨立審計具體準則第9號——內部控制與審計風險》中提出了內部控制“三要素”論， 即控制環境、會計系統和控制程序; 1999年的《會計法》把內部控制看作是單位內部會計監督制度; 2001年的《內部會計控制規范——基本規范（試行）》給出了內部會計控制的官方定義， 即單位為了提高會計信息質量， 保護資產的安全、完整， 確保有關法律法規和規章制度的貫徹執行等而制定和實施的一系列控制方法、措施和程序; 2008年的《企業內部控制基本規范》是我國內部控制建設的官方指引， 其在借鑒COSO內部控制框架的基礎上結合我國企業的實踐， 提出了內部控制過程論與五要素的觀點。

從管理學角度研究企業內部控制， 主要有企業管理職能論、管理工具論、管理過程論、管理活動論等， 這些觀點都認為內部控制是管理控制系統的組成部分[9] ， 是一種作業方式或作業標準[14] ， 是按照預先設定的規則行事[15] ， 是企業的一項管理活動[8] 。 從經濟學角度來看， 學者們的主要觀點包括： 內部控制是彌補企業契約不完備的一種控制機制[16] ， 是約束剩余權力的契約[17] ， 是一個開發性的控制系統[18] ， 是自我與益我的系統化制度[6] 。 從法學角度來看， 內部控制是利益的平衡機制[19] 。 從主體性哲學來看， 內部控制是以人為本的控制[20] 。 這些研究的一個共同特征是， 都以某一學科某一領域的一些經典理論作為基礎， 然后嵌套出內部控制本質， 是典型的基礎主義者， 導致的結果是內部控制本質會隨著學科理論的發展而發展， 成為一個變動不居的概念。

二、內部控制外延與評述

雖然內部控制的理論研究取得了豐碩的成果， 但尚存在不少有待解決的問題。 在眾多問題中， 以下四個問題比較突出： 內部控制與企業管理的關系， 內部控制與風險管理的關系， 內部控制與合規管理的關系， 內部控制與公司治理的關系。

（一）內部控制與企業管理的關系

內部控制與企業管理之間究竟是何種關系， 是企業管理包含內部控制， 還是內部控制獨立于企業管理， 現有文獻對此的界定并不清晰。 管理學派認為， 內部控制是一種控制工具， 只是完成管理的一項職能， 但從經濟學角度來看， 則反之; 而內部控制契約論、系統論或制度論似乎又認為內部控制等同于管理或包含管理。 我國官方持全面內部控制思想， 認為企業內部控制不僅包括戰略制定， 而且包含管理決策， 企業管理與內部控制的界線十分模糊。

1992年與2013年的COSO內部控制框架都持管理工具論， 將內部控制看作“嵌入式”的控制活動。 內部控制是一系列活動， 但這些活動都蘊含于管理層的經營行為之中， 而不是置之度外。 企業經營行為包括規劃、執行與監督， 內部控制的目的是確保這些行為有效運行。 內部控制與業務流程整合， 其并非是一個單獨存在的制度。 嵌入式控制工具是政策與程序， 政策由董事會或管理層來制定， 程序是落實政策的行為或行動。 按此推理， 目標設定（包括戰略目標與具體操作目標制定）都是管理而不是內部控制， 落實目標卻是內部控制。 同樣， 糾正行為是管理而不是內部控制， 因為內部控制是去執行活動， 而糾偏是管理層的職責; 設定風險應對優先次序是管理而不是內部控制， 執行風險控制措施才是內部控制。 然而， 這些情況在現實中不太容易區分。 例如， 企業制定了一個會計核算辦法， 這個辦法是管理過程還是內部控制？ 按照COSO內部控制框架解讀， 制定會計核算辦法是管理， 評估會計核算辦法在企業中的適用性是內部控制。 可是， 制定會計核算辦法的過程本身就是國家規定與企業自身實際相結合的過程， 制度的形成不是一蹴而就的， 而是制定者反復討論不斷征詢意見的過程。 由此可見， “制定規則是管理， 執行規則是內部控制”這種嵌入式的控制觀是非常狹隘的， 僅僅是履行管理的控制職能罷了。

加拿大COCO內部控制框架的控制范圍要比COSO廣泛得多， 它僅把決策排除在控制范圍之外。 COCO認為， 是否采取行動、采取何種行動是管理的事情， 不屬于控制的范圍。 而英國內部控制的范圍則更加寬泛， 管理與內部控制的邊界也不甚清晰。 因為英國內部控制與企業經營管理和文化緊密結合， 是公司治理準則的重要組成部分， 內嵌于公司治理準則之中。

白華[9] 通過解構COSO內部控制框架， 認為企業內部控制與管理控制是融合的， 內部控制結構是方法論， 據此重構了一個方圓結構的內部控制結構框架， 其包括文化、制度、控制環境和信息與溝通四大要素。 公開聲明管理制度就是控制制度， 這是值得肯定的結論， 因為管理制度提供了控制依據， 內部控制理應包括制度本身的制定。 可是， COSO內部控制框架中并沒有包括這項內容。 COSO認為， 制定標準與政策是管理部門的事情而不屬于內部控制的范圍， 直接導致了企業內部控制建設的空洞化與形式化， 不得不讓人懷疑它的存在價值。 張宜霞[21] 從契約論出發， 重構了一個三層級別（治理控制、管理控制與財務報告控制）的內部控制結構。 但這樣構建存在邏輯問題： 治理與管理是何種關系？ 管理控制與會計控制如何區分？ 這些爭論多年的問題， 在內部控制結構中仍然存在。

（二）內部控制與風險管理的關系

內部控制因風險而產生， 是對風險的控制。 內部控制與風險管理究竟是何種關系引起了學術界的廣泛討論， 對此有兩種基本觀點： 包含關系與等同關系。 COSO內部控制框架與英國特恩布爾報告認為， 內部控制是風險管理不可分割的組成部分。 我國國資委、銀保監會也持相同的觀點。 但我國不少學認為兩者是等同關系， 代表性觀點如下： 內部控制與風險管理是控制風險的兩種不同語義表達形式[22] ; 內部控制就是如何管理風險、控制風險的學科[23] ; 從戰略管理角度看， 內部控制與風險管理應合為一體[24] ; 風險管理是內部控制的核心[25] 。 也有學者將內部控制看作是一種內部風險的控制機制， 認為其是企業綜合風險管理的一部分[26] 。

關于內部控制與風險管理關系的討論源于COSO關于內部控制理論發展的反復過程， 即： 從內部控制整合框架（1992年）到企業風險管理整合框架（2004年）再回歸內部控制整合框架（2013年）， 而后又發展到整合戰略與績效的企業風險管理（2017年）。 2004年COSO認為， 企業風險管理關注主體如何創造、維護和實現價值， 而內部控制則側重于主體具體目標的實現， 所以企業風險管理比內部控制更具前瞻性， 而不是事后反應。 而在我國2010年的《企業內部控制配套指引》中看不出這樣的區別， 因為我國內部控制目標包括了戰略目標， 也是面向未來的， 具體目標是戰略目標的分解， 是為實現戰略目標服務的。 2017年， COSO的企業風險管理概念有了較大變化， 認為企業風險管理是企業文化、能力和實踐與戰略目標實現的整合過程， 以達到創造價值的目的， 并提出了與之前完全不同的五大要素與二十項原則。 五大要素是指治理與文化、戰略目標制定、績效、評估與修正， 以及信息、溝通與報告。 僅從五大要素字面來看， 并未出現風險這一詞匯， 因此看不出來其是講風險管理的， 只有聯系二十項原則后， 才會讓人理解這一意義。

事實上， 我國企業內部控制五大要素中包括了以上思想： 控制環境包括了治理與文化、戰略目標制定這兩個要素， 績效是風險評估要素與控制活動要素的整合， 評估與修正則綜合了風險評估要素與內部監督要素。 2017年COSO所謂的風險管理新要素， 只不過是用不同的詞匯表達罷了， 與內部控制五大要素相比， 并無實質區別。 可是， COSO不這樣認為， 其認為： 內部控制與風險管理的關注點不同， 不能相互替代， 內部控制是企業風險管理的一個基礎和組成部分。 誠然， 2017年版企業風險管理突出了風險治理與文化的關系、戰略與績效的關系， 創新了風險管理的詞匯， 隱晦了內部控制原有詞匯， 讓人覺得風險管理與內部控制是兩種完全不同的體系。

我國2006年《中央企業全面風險管理指引》將內部控制視為執行風險管理基本流程的一系列規章制度， 目的是控制風險， 實現風險管理目標。 事實上， 風險管理與內部控制的對象都是風險， 確實如謝志華[22] 所說的僅在語言表述上有所區別。 內部控制的風險評估， 是針對企業生產經營活動所面臨的一切風險的評估， 涉及目標設定、風險識別、風險分析、風險評估以及風險應對， 最終落實到風險控制技術上， 如編制風險清單與風險控制矩陣。 COSO將風險容忍度的確定視為風險管理而不是內部控制， 將控制風險技術視為內部控制， 這純粹是人為的規定而不是理論上的必然。 在企業管理中， 職責權限分為法定式與任意式， 風險管理目標事關企業可持續發展， 屬于企業戰略， 只有股東大會或董事會才有權決定， 管理層只是執行者， 但這不是風險管理與內部控制的區別， 而是法定。 進一步而言， 風險容忍度的確定由于涉及股東利益， 只有董事會才有權決策， 管理層只是執行這一控制要求， 因此其屬于內部控制還是屬于風險管理， 完全取決于法定與利益關系， 并非邏輯上的演繹關系。

（三）內部控制與合規管理的關系

我國關于內部控制與合規管理關系的討論源于2018年國資委公布的《中央企業合規管理指引（試行）》。 該指引要求企業建立合規管理體系， 將合規要求覆蓋各業務領域、各部門、各級子公司和分支機構、全體員工， 貫穿決策、執行、監督全流程。 這是否意味著企業合規管理與內部控制是兩種體系， 如是， 兩者又是何種關系？

黃勝忠、劉清[27] 認為， 合規管理和內部控制是從屬關系， 合規管理是內部控制體系的一部分， 是內部控制的一種手段和方法。 筆者也支持這一觀點。 合規管理內容的實質就是內部控制合規目標要求實現的內容。 根據上述指引， 合規管理是以有效防控合規風險為目的， 開展包括制度制定、風險識別、合規審查、風險應對、責任追究、考核評價、合規培訓等有組織、有計劃的管理活動。 這些內容正是內部控制所要求的。 2019年， 國資委《關于加強中央企業內部控制體系建設與監督工作的實施意見》中指出， 內部控制體系包括強化集團管控、完善管理制度、健全監督評價體系等方面。 以風險管理為導向、合規管理監督為重點是建立健全內部控制體系的關鍵。 強內控、防風險、促合規是內部控制的管控目標之一。 如此看來， 國資委同樣認為合規管理是內部控制的一部分， 只是特別強調了合規管理在內部控制中的重要性。

（四）內部控制與公司治理的關系

目前， 學術界對于內部控制和公司治理的關系存在較大的爭議。 楊雄勝[28] 認為， 內部控制是公司治理的基礎。 閻達五、楊有紅[29] 則認為， 公司治理是內部控制的環境要素之一， 是內部控制的前提。 李連華[30] 認為， 內部控制與公司治理是“你中有我， 我中有你”的嵌合關系。 李維安、戴文濤[24] 認為， 內部控制與公司治理在內容、結構、方法與控制重點上都不相同。 這些爭論的關鍵在于如何理解治理概念， 要剖析它們之間的關系， 需要深入考察經典理論家對于治理這一概念的詮釋過程。

1. 治理概念的歷史。 “治理”在當今是一個比較令人矚目的詞匯， 大批社會科學研究者對其給予了極大的關注。 剖析治理理論有助于理解內部控制與公司治理的關系。 不同的治理理論有著不同的目的， 有的關注權威決策如何能夠產生集體行動的結果， 有的關注不同社會階層在治理過程中所起的作用， 有的關注如何設計、組織與安排治理， 有的則關注治理績效， 還有的研究了治理為什么會失敗以及如何改善治理。 總的來說， 這些治理理論為復雜的行為、碎片化的信息、變動不居的社會提供了一種分析性框架。 治理理論涉及的領域非常廣泛， 跨越于政治學、公共管理學、社會學、法學與經濟學之間， 甚至還延伸到許多應用學科。 盡管治理理論多種多樣， 似乎沒有一種是純粹的， 但它們之間有不少重疊， 且都是基于政府、市場與公民社會的認知， 提出了種種改良主張。

治理觀念暗喻了市場與公民社會的參與者才是公共政策的來源與制定者。 這是一個積極公民社會的理念， 是一個去權力中心化的設想， 目的是達到受管制的自我調節狀態。 治理一詞雖然非常顯眼， 但其含義還是很不清晰。 事實上， 它經常作為一個后綴詞來使用。 格里·斯托克等[31] 認為， 治理與政府治理是同義詞， 都是指創造條件以保證有秩序的集體行動。 全球治理是指設置全球問題的管制政策; 多元治理是指一個政府部門之間持續協商的系統; 在新公共管理理論中甚至提出了新治理的概念。 縱使有這些加了前綴詞的治理的解釋， 我們仍然不知道究竟什么是治理。 Treib等[32] 曾對治理的概念進行了總結， 認為以下三種定義比較具有代表性： 治理就是形成集體意志; 治理是調整社會與政治參與者行為的規則系統; 治理是指采取合作方式從政治上操縱社會與經濟關系。 但這三種定義也受到了治理學者們的不少批評， 如Christopher Ansell和Jacob Torfing[33] 就指出， 這些定義都沒有反映出治理的本質特征， 因為它們與政治、法律以及政策緊密聯系， 無法區分。

關于治理的定義， 一些較為權威的文獻常被學者們提及。 世界銀行（The World Bank）[34] 認為， 治理是這樣一個過程： 選擇政治決策者; 政府管理資源與實施政策的能力; 尊重制度。 該定義是規范性的且有單邊化的傾向， 與治理理念不甚吻合。 雖然世界銀行提到了制度需要互動， 但還是基于政府原有的體制與程序。 Jessop[35] 認為， 治理就是組織本能反映的差異化等級結構。 這一定義也是規范性的， 并且隱含了一個假設： 與政府和市場相比， 公民社會更能達成一致性， 更容易平均化， 更能取得信任， 考慮更周全。 Klijn[36] 認為， 治理就是網絡治理， 它既是政府與市場的結合， 又是它們的替代。 這一定義看似更清晰， 實則過于狹隘， 其有意避開了操縱、控制與協商方面的問題。 Rhodes[37] 傾向于把治理看作是自由主義的語言博弈， 這是一種后基礎主義的觀點， 他認為， 治理不是制度、過程或者方式， 而是一種情景參與者的敘事。 按此解讀， 治理就是一切， 同時又是虛無[38] ， 使得治理概念又過于泛化。 Torfing等[38] 認為， 定義治理不能離開治理這一詞匯的詞源含義。 在拉丁文與希臘文中， 治理一詞的本意是掌舵、操縱與指引， 這是治理的中心點。 據此， 將治理與公民社會、市場聯系起來， 其含義就是為了實現公共目標， 通過集體行動來統領社會與市場的過程。 雖然治理的本質含義可以有多種模式， 但其不會局限于任何特殊的制度形式。 顯然， 這一定義既避免了治理狹隘化的傾向， 又防止了漫無邊際的解讀。 治理是管理與調節社會和市場的過程， 這是治理的本質， 其運作方式是有目的的共同行動， 治理目標要取得公認。

以上關于治理概念的種種理解， 出現了形形色色的治理理論。 2016年， 由Christopher Ansell和Jacob Torfing[33] 主編， 并集中全球63位治理學者出版的《治理理論手冊》（Handbook on Theories of Governance）， 就包括集體行動、組織、公共管理、網絡、風險、參與、合法性、責任、透明度、掌舵等44種治理理論。 治理理論的這種圖景， 被學術界稱為“概念叢林”， 讓人感覺難以掌握治理的精神實質。 那么， 是否能將各種治理理論統一起來并加以系統化表達呢？ Mark Bevir[39] 、Peters和Pierre[40] 做了這方面的嘗試， 他們從不同角度對治理理論進行提煉與升華， 并取得了富有成效的結果。 Mark Bevir[39] 在后基礎主義與去中心化這兩個關鍵概念的基礎上， 采取歷史敘事與人文主義相結合的方式， 根源于人類活動的實踐， 遵循哲學—社會—政治的思路， 提出了一般治理理論， 認為治理就是統治行為的所有過程， 是人類創造與再創造的多種多樣實踐活動持續不斷的過程。 Mark Bevir是采用整體意義論來建構一般治理理論， 而Peters和Pierre[40] 則讓治理回歸功能主義。 他們認為， 現有的治理理論過分抬高社會參與者而忽視了政府的作用， 過于傾向實用主義， 治理應更關注合法性與績效， 而不是參與者的實際需求。

由上述分析可以發現， 治理涉及的內容十分廣泛、內涵含糊且不同學派之間存在沖突， 一味遵循某種理論未必會產生預期的治理效果。 治理理論給我們的啟示是， 隨著背景條件的變化， 現存的規則體系尚存在某些不完善之處， 經過調整后會變得更好。 治理作為一種新興的社會科學理論， 至少有以下四個方面值得我們思考： ①上述治理理論幾乎是同時產生的， 雖然其研究視角與研究問題不盡相同， 但它們促進了不同學科的融合。 多視角的治理理論本身就是一種理論優勢。 去中心化、商談公共價值、轉型、重疊共識， 本身就描述了制度化的治理過程。 ②權力、合法性、責任這些經典的社會科學概念成了治理理論的構建基礎。 隨著時代的變遷， 新情況、新問題不斷涌現， 治理理論重新詮釋了這些古典概念， 并賦予了其新時代的含義， 增強了社會科學的生命力。 ③治理概念體現了不同學科的交集， 打破了學科之間的界線， 有利于社會科學的交流與對話。 ④隨著治理理論研究的不斷深入與完善， 治理概念不斷被彈性使用， 雖顯主觀但也有利于治理理論的發展。 盡管如此， 由于治理概念的過于不確定似乎陷入了相對性， 讓人感覺到其在嚴密性與周延性方面存在問題。 定義清晰、論證規范、分析透徹， 都是社會科學研究者所追求的目標。 治理作為一種新的解釋現實世界的理論工具， 尚需持續不斷地討論與發展。

2. 公司治理的基本含義。 公司治理是治理概念在微觀經濟領域的應用， 是治理理論的具體化， 公司理論是其基礎。 公司治理的目的是保證公司朝著既定方向可持續地發展， 使其不會停止或消亡。 掌舵是公司治理最基本的含義。 掌舵公司就是引領公司克服各種風險與挑戰， 以達到掌舵者的目的。 掌舵公司涉及掌舵的條件、模式、方式與工具。 掌舵條件即公司環境， 包括組織結構、公司文化、人事政策、社會責任等方面的內容。 就掌舵這一含義來說， 公司決策機構、決策機制與決策方式最為重要， 因為其直接關系到公司的生存與發展。 公司組織形式與職能機構有法定方面的要求， 也有非法定方面的要求， 非法定方面的要求主要由公司根據自身形式、業務特點、管理水平等而確定。

去中心化、分權而不是集權， 是掌舵衍生出來的第一層含義。 它要求公司的重大決策需要有一種制約機制， 而不能放任由一人獨自任意決定。 因為一人決策的風險很高， 很難取得一致的集體行動， 會出現一些逆向行為嚴重影響決策的執行效果。 因此， 公司治理要求引進一種上下互動的“商談”機制， 以形成能夠使各方面都滿意的決策結果。 然而， 這又是不現實的事情， 一致滿意通常不太可能達到， 基本同意就已經不錯了。 決策是為了實現公司目標而不是為了滿足職工個人的需要， 過于強調個人價值會損害公司的利益。 我國企業內部控制中“三重一大”（重大事項決策、重要干部任免、重要項目安排和大額度資金使用）的決策機制正是這方面的創新， 成功地解決了一直困擾西方學者的關于公司決策如何達到控制目標的問題。

合法性、制度與績效管理也是公司治理的應有含義。 合法性在公司治理語境下是指決策程序要符合一定的規范要求， 由此形成的制度才能取得普遍的認可， 才不會出現合法性危機。 當公司無法喚起足夠的承諾或權威來治理時， 就會出現正當性與合理性問題， 這樣就無法具備維持或建立有效實現其最終目標的管理能力。 制度與績效是公司的治理工具。 按制度辦事， 按制度去行動， 制度既是公司有效治理的手段， 也是公司運行程序化、流程化與規范化的基礎， 而績效管理則進一步提升了公司的治理水平。

由此可見， 公司治理的這些內容本身就是內部控制的組成部分， 并未超出內部控制的范疇， 只是完善公司內部控制建設罷了。

三、內部控制定義

（一）內部控制含義的變與不變

由上文的分析可知， 內部控制總是面對審計、合規、風險、治理、目標等相關主題， 只不過是隨著社會經濟的發展體現了時間化的動態序列， 不存在永恒不變的內容。 內部控制的變與不變本身是一對矛盾。 當我們談到內部控制不變的時候， 是指內部控制本質不會變。 正如一個詞匯的基本含義， 無論是否出現在詞典中， 它的意思總會被人們所認可與理解。 內部控制的核心精神是控制， 是對主體活動內容的控制， 通過控制以達到預期的目的。 這就涉及對控制這一概念的解讀。 其解讀方式可以多種多樣， 但不管采用何種解讀方式， 總有一些永恒的含義。

制度論者認為內部控制是純粹的管理工具; 管理活動論者對于內部控制的定義外延過大， 無法區分管理與控制; 系統論者將整個控制對象看成是系統， 而內部控制是一個個子系統， 泛化了內部控制， 無法確定其邊界; 過程論者深受治理理論發展的影響， 將控制視為實現治理目標的過程。 這些內部控制觀點都沒有離開控制這一精神， 它們幾乎都以某一學科理論作為基礎， 然后演繹出內部控制應該是什么， 即內部控制的本質由其他知識所決定， 這是基礎主義主張的典型表現。 基礎主義者表達了這樣一種觀點： 有理由相信的絕大多數命題之所以具有這種地位， 只是因為我們承認了比內部控制更基本的命題。

當我們談及內部控制變化的時候， 是指其內容與對象不斷擴大與深化， 而不是指本質發生改變。 內部控制是對主體業務活動與人自身的控制， 其內容必將受主體業務規模擴大與復雜化、組織結構多元化、技術變更與創新、世界經濟一體化形成等因素的影響， 問題會越來越多， 風險會越來越大， 對控制能力的要求越來越高， 控制形式也越來越豐富， 變化必然是一個與時俱進的過程。 內部控制首先是為了解決問題而產生的， 沒有問題就無所謂控制。 問題導向是內部控制的一個基本特征。 合規是主體的最根本要求， 無論是經濟活動還是公共服務， 無論是文化層面還是價值層面， 無論是民族的還是地域的， 無論是國際的還是國別的， 確保主體活動的合法性是內部控制的首要目標。 可是， 由于主體活動的不確定性與復雜性， 不合規問題經常發生， 糾偏是內部控制的一項重要職能， 目的是使主體的活動沿著既定的方向前進而不會因此受阻。

然而， 主體的誠信問題是內部控制面臨的最棘手、最普遍的問題， 造假、挪用資金與盜竊等非正常主體活動， 正是內部控制產生的最初的經濟根源。 隨著經濟的發展， 金融工具不斷創新， 主體所面臨的風險加大， 內部控制導向發生了變化， 控制風險成為內部控制的主題， 問題導向上升為風險導向。 若沒有諸如此類的問題， 內部控制就不會成為管理學的一個獨立分支， 受到的關注也會大大降低。 近年來， 隨著主體經濟資源的無效使用與不當使用增加， 績效管理日益受到重視， 加強績效評估與考核的呼聲不斷出現， 內部控制又升華到了一個新的發展階段。

（二）內部控制的本質

內部控制的本質是指其不變的部分， 這部分內容是跨越時空的， 適用于任何主體的任何情況。 雖然基礎主義的內部控制本質觀也承認它的存在， 但讓人覺得內部控制本質似乎是先天給予的而不是出于自然。 當然， 筆者并非反基礎主義者， 只是想反思這樣一個問題： 是不是沒有其他學科的知識內部控制就不存在了？ 答案是否定的。 筆者認為， 這是一種緣木求魚的構建法， 完全脫離了內部控制產生的土壤。 內部控制的本質只能從主體實踐活動中去挖掘、去發現， 它決非建立在形而上學的虛無之上， 而是來源于現實的生活世界。 主體的實踐活動， 在企業中表現為盈利活動， 在行政事業單位中表現為提供公共服務活動。 無論哪種類型的活動， 都是決策者、執行者與監督者共同參與的為達到既定目的的活動。 實踐活動的參與者達到了預期的目的， 其內部控制就是正確的、有效果的; 反之， 就是不正確的、無效果的。 主體的實踐活動是客觀的， 內部控制是主觀的， 內部控制的本質就是主觀見之于與客觀的反映。 只有正確地反映了主體實踐活動的整體面貌， 內部控制才能有效發揮作用， 否則就會適得其反， 不但無助于主體活動， 而且會阻礙主體的運行與發展。 主體的這種客觀實踐活動觀才是內部控制本質的構建基礎。

企業在追求目標的實踐活動過程中做出的每一個選擇都有風險。 從日常運營安排到董事會的權衡， 都面臨著具有風險的決策。 當企業尋求優化一系列可能的結果時， 決策很少是二元的（要么正確， 要么錯誤）。 這就是內部控制可以被稱為一門藝術和科學的原因。 內部控制促使企業在制定戰略和業務目標時考慮風險， 從而有助于優化結果。 由于世界經濟越來越不穩定， 越來越復雜， 越來越模糊， 企業必定會遇到影響可靠性、相關性和信任的挑戰。 不僅如此， 由于利益相關者越來越多地參與到企業中， 要求企業增加透明度和建立問責機制， 控制風險的影響變得尤為迫切。 企業需要更加適應變化， 戰略性地思考如何控制經濟活動日益增加的波動性、復雜性和模糊性。 而內部控制可以增強企業的應變能力， 即預測和應對變化的能力。 它可以幫助企業確定代表風險與變化的因素以及變化是如何影響績效的， 并使戰略轉變為必要， 這些都為董事會提供了正確的框架以評估風險與彈性思維。

內部控制并不是企業的一項職能， 而是將企業文化、能力和實踐與戰略制定相結合的過程， 目的是在創造、維護和實現企業價值的過程中控制風險。 內部控制也不僅僅是一個風險清單， 它還包括諸如戰略制定、治理、與利益相關者的溝通以及績效衡量等方面的實踐活動。 內部控制的表現形式包括業務流程圖、控制程序、控制依據、風險控制矩陣等， 并形成了一個監控、學習與提高績效的制度。

雖然內部控制有諸多表現形式， 但最終是為了實現對人的控制。 控制形式為人的活動提供了行為準則與行動指南， 使人的活動朝著管理者既定的方向前進， 以保證能夠實現可以預見的目標。 內部控制的參與者必須定位好自己的角色與切實履行自己的崗位義務， 否則， 會受到懲戒。 不同崗位角色的人的活動構成了企業活動的總體， 參與者的活動形式表現了企業活動的內容。 參與者的這種活動異于自己本身的日常活動， 屬于受企業控制的活動。 這是一個動態的持續不斷的過程， 只要企業存在， 必然有相應的各種各樣控制參與者的活動。 當然， 這種控制并非一次性的活動， 而是似流水一般不間斷地趨向目標的運動。 它是結果導向與過程導向的統一， 只有控制過程才能達到控制結果的目的。 只有一切活動過程規范化、程序化與制度化， 才能保證結果的可持續性。 風險導向與過程導向也是一致的， 控制過程也就控制了風險， 但過程導向這一詞匯要比風險導向更符合內部控制是要讓主體沿著正確軌跡方向發展的本意。 因為過程控制是通過人的行為與行動結合的過程來完成， 是做人與做事的統一。 按準則辦事， 雖符合內部控制的要求， 但態度與價值觀的引導也很重要。 內部控制不僅僅規范崗位責任人如何做事， 還應內含一種企業精神， 可激勵不同角色定位的人把事情做得更好。

綜上， 筆者認為， 內部控制就是決策者、執行者、監督者與其他參與者共同實施的旨在實現主體的合規、運營、績效與戰略目標的過程。

【 主 要 參 考 文 獻 】

[1] Steven J. Root著.付濤，盧遠矚，黃翠竹譯.超越COSO——加強公司治理的內部控制[M].北京：清華大學出版社，2004：59.

[2] Treadway委員會發起組織委員會著.方紅星譯.內部控制——整合框架[M].大連：東北財經大學出版社，2008：3.

[3] 張安明.從美國財務危機看COSO報告[ J].會計研究，2002（8）：61 ～ 62.

[4] 蔡吉甫.內部控制框架構建的產權理論研究[ J].審計與經濟研究，2006（4）：85 ～ 89.

[5] 劉霄侖.風險控制理論的再思考：基于對COSO 內部控制理念的分析[ J].會計研究，2010（3）：36 ～ 43.

[6] 楊雄勝.內部控制范疇定義探索[ J].會計研究，2011（8）：46 ～ 52.

[7] 李心合.內部控制研究的困惑與思考[ J].會計研究，2013（6）：54 ～ 61.

[8] 樊行健，肖光紅.關于企業內部控制本質與概念的理論反思[ J].會計研究，2014（2）：10 ～ 11.

[9] 白華.COSO內部控制結構之謎[ J].會計研究，2015（2）：58 ～ 65.

[10] 李劍.內部控制指南（COCO）節譯[ J].上海會計，2008（4）：59 ～ 62.

[11] 財政部會計司考察團.關于赴英國、西班牙開展企業內部控制調研情況的報告[EB/OL].http：//kjs.mof.gov.cn/diaochayanjiu/201906/t20190606_3272984.htm.，2019-06-06.

[12] 財政部會計司考察團.英國和法國企業內部控制考察報告[ J].會計研究，2007（9）：74 ～ 82.

[13] 張影.日本內部控制審計及其對中國的啟示[ J].上海立信會計學院學報，2010（4）：52 ～ 61.

[14] 《亞新科集團內控管理程序修正》 課題組.現代企業內控制度：概念界定與設計思路[ J].會計研究，2001（11）：19 ～ 28.

[15] 謝志華.內部控制：本質與結構[ J].會計研究，2009（12）：70 ～ 75.

[16] 劉明輝，張宜霞.內部控制的經濟學思考[ J].會計研究，2002（8）：54 ～ 56.

[17] 黎文靖，張帆.利益相關者導向內部控制設計[ J].中國金融，2005（22）：42 ～ 43.

[18] 李心合.內部控制：從財務報告導向到價值創造導向[ J].會計研究，2007（4）：54 ～ 60.

[19] 何云，蘇寧，閆瑞華.內部控制是利益的平衡機制——法的價值與人本思想的銜接[ J].新疆財經學院學報，2007（1）：37 ～ 39.

[20] 王海兵，伍中信，李文君，田冠軍.企業內部控制的人本解讀與框架重構[ J].會計研究，2011（7）：59 ～ 65.

[21] 張宜霞.企業內部控制的范圍、性質與概念體系——基于系統和整體效率視角的研究[ J].會計研究，2007（7）：36 ～ 43.

[22] 謝志華.內部控制、公司治理、風險管理：關系與整合[ J].會計研究，2007（10）：37 ～ 45.

[23] 戴文濤.內部控制學科體系構建[ J].審計與經濟研究， 2010（2）：80 ～ 86.

[24] 李維安，戴文濤.公司治理、內部控制、風險管理的關系框架——基于戰略管理視角[ J].審計與經濟研究，2013（4）：3 ～ 11.

[25] 方紅星，陳作華.高質量內部控制能有效應對特質風險和系統風險嗎？[ J].會計研究，2015（4）：70 ～ 77.

[26] 丁友剛，胡興國.內部控制、風險控制與風險管理——基于組織目標的概念解說與思想演進[ J].會計研究，2007（12）：51 ～ 54.

[27] 黃勝忠，劉清.企業內部控制與合規管理的整合[ J].財會通訊，2019（17）：105 ～ 108.

[28] 楊雄勝.內部控制理論研究新視野[ J].會計研究，2005（7）：49 ～ 54.

[29] 閻達五，楊有紅.內部控制框架的構建[ J].會計研究，2001（2）：9 ～ 14.

[30] 李連華.公司治理結構與內部控制的鏈接與互動[ J].會計研究，2005（2）：64 ～ 69.

[31] 格里·斯托克，華夏風.作為理論的治理：五個論點[ J].國際社會科學雜志（中文版），2019（3）：23 ～ 24.

[32] Treib O.， H. B?hr， G. Falkner. Modes of governance：Towards a conceptual clarification[ J].Journal of European Public Policy，2007（1）：1 ～ 20.

[33] Christopher Ansell， Jacob Torfing. Handbook on theories of governance[M].Massachusetts： Edward Elgar Publishing，Inc.， 2016：1 ～ 15.

[34] The World Bank. A decade for measuring the quality of governance[R].Washington D. C.：The World Bank，2007.

[35] Jessop B.. The rise of governance and the risks of failure： The case of economic development[ J].International Social Science Journal，1998（155）：29 ～ 45.

[36] Klijn E. H.. Governance and governance networks in Europe[ J].Public Management Review，2008（4）：505 ～ 525.

[37] Rhodes R. A. W.. The governance narrative：? Key findings and lessons from the ESRC's Whitehall Programme[ J].Public Administration，2000（2）：345 ～ 364.

[38] Torfing J.， B. G. Peters，? J. Pierre， E. S?rensen. Interactive governance： Advancing the paradigm[M].Oxford：Oxford University Press，2012：13 ～ 14.

[39] Mark Bevir. A theory of governance[M].Berkeley： University of California Press，2013：1 ～ 2.

[40] Peters B.， Pierre J.. Comparative governance：Rediscovering the functional dimension of governing[M].Cambridge：Cambridge University Press，2016：84 ～ 224.