王桂莲

[摘要]众所周知，理论对实践有巨大的影响，科学的理论能够指导实践；错误的理论干扰实践活动，甚至会将实践引上错误的道路。企业内部控制的理论概莫能外。目前内部控制成为国内外理论界、政界和商界共同关注的课题，而我N-L市公司对内部控制普遍不够重视。美国SOX法案颁布5年来，褒贬不一。本文试图从现代系统思考的角度，以跨学科的相关理论为前提，结合运用多种现代系统思考的方法研究企业内部控制问题，旨在厘清、补充和完善现有的内部控制理论和方法，重新构建内部控制的边界、内部控制框架的目标和要素等，以期完善内部控制理论，更好地服务于企业内部控制的实践。

[关键词]内部控制；系统思考；管理范式创新；风险管理

自2001年美国的安然、世界通信等一大批著名国际公司发生财务丑闻以来，相似的报道不断涌现。英国《泰晤士报》网站2007年2月24日报道：三洋股价暴跌，因为账目调查使人们担心出现“日本版安然事件”。2008年初，新闻媒体披露法国兴业银行因交易丑闻导致49亿欧元的巨额损失，内部控制能否防范与人有关的风险成为人们关注的焦点。一些国家政府、各种专业组织和学者掀起了研究企业内部控制的热潮，内部控制理论呈百花齐放状态。与之相反，在我国，“上市公司自身对内部控制的认识程度普遍较低，且并未因《会计法》、《内部会计控制规范》等法律法规的颁布实施而有所改善”(杨雄胜，2007)。美国SOX法案颁布5年来，褒贬不一。理论失效将导致企业退化甚至使其成为威胁企业生命的疾病。本文试图从现代系统思考的角度，以跨学科的相关理论创新为前提，结合运用多种现代系统思考的方法研究企业内部控制问题，旨在厘清、补充和完善现有的内部控制理论，以期更好地服务于企业内部控制的实践。

一、内部控制理论与方法研究的现状

(一)内部控制理论研究呈现“三观”并立的局面

内部控制理论研究目前出现了风险观、监督观和遵循观三观并立的局面，令企业无所适从，无法引起企业的重视和引导企业内部控制的建设。持“风险观”的主要有：美国国际会计师联合会(IFAC)于2007年发布了《基于风险观的内部控制》的访谈文章，采访了来自全球不同企业的10位高层资深的管理人士，提出内部控制向风险控制转变的观念，主要包括：各类组织的风险的性质：建立关注驱动业绩和帮助战略目标实现的内部控制系统；提供有助于各个组织思考、改善其内部控制方法的成功经验等。谢志华(2007)探讨了内部控制、公司治理和风险管理三者的本质的相同性，以此为基础，对三者进行了整合，提出了基于风险管理的整合框架。丁友刚、胡兴国(2007)研究了内部控制、风险控制和风险管理三者之间的关系，认为内部控制作为一种内部风险控制机制融入到企业综合风险管理框架之中。可见，风险控制已成为当代内部控制的主流观之一。

COSO于2007年9月发布了“内部控制系统监督指南”(Guldance on Monltoring Internal Control Systems)的讨论稿，本文下面简称监督指南。监督指南更加充分地开发了COSO1992年的“内部控制——整体框架”的监督要素，以改善内部控制系统的质量，确保内部控制系统持续有效地运行。监督指南在其行政高管概览部分，阐述了监督的基本原理；监督使用的信息的性质；有效监督的设计；监督结果的交流和处理；监督的规模和结论，这是第二种观点“监督观”的典型代表。第三种是以美国萨班斯一奥克斯利法案(Sarbanes Oxley Act，缩写为SOX)为代表的“遵循观”。美国立法机构于2002年7月30日颁布了SOX法案，希望恢复公众对美国企业的信心。然而，这种单纯的“遵循观”使该法案从一开始就饱受争议，实施5年后证明，孤立地看待问题、简单的解决方案已成为一把双刃剑。如果说其突出的优点是迅速恢复了投资者的信心，那么却是以上市公司付出巨额遵循成本为代价的；其次，人们批评SOX法案正在逐渐损害美国企业家的精神，指责SOX导致企业家对承担风险的热情不断降低(Willianm Donaldson，2003)。可见，立法者或监管者鼓励使用的内部控制主要是针对危机进行反应，防止不利的事情发生。

综上所述，内部控制“三观”并立的局面无力指导企业内部控制的实践，从而局限了内部控制理论的创新和发展。因此，利用跨学科的系统思考的方法和相关学科理论的新范式对内部控制理论进行创新，抛弃建立在传统的相关学科上过时的理论前提，完善内部控制理论和方法迫在眉睫。

(二)内部控制方法研究需要以多种系统思考方法结合运用，予以补足

早期的内部控制研究方法主要是内部控制的审计方法。进入2000年以来，受COSO框架的影响，研究的内容和范围逐渐扩大，将内部控制框架与公司治理结合起来的研究也日益增多。近年主张内部控制采用管理方法的观点不断增加。杨雄胜(2005、2006)、张砚(2005)强调立足于管理口径开展内部控制研究。李心合(2007)认为管理视角的内部控制研究更有现实意义，内部控制要从财务报告导向向价值创造导向转型，提出了价值创造导向的内部控制框架。李心合(2007)认为内部控制框架仍聚焦在“内部”无法体现价值链上内部控制的要求，这也很难说能体现管理者的控制要求。

2006年后，一些学者用系统思考的方法研究内部控制，称内部控制为系统工程。杨周南、吴鑫(2007)提出用工程学的方法将内部控制的理论和实践结合起来，从工程学的特点着手，研究内部控制工程学的体系结构和主要内容，从工程模型、工程方法、工程工具和管理过程等四个方面构建和完善内部控制工程学。张宜霞(2007)从系统和整体效率的视角研究内部控制的理论体系，重新界定了企业内部控制的范围和性质，从整体上形成内部控制的概念体系。从上述内部控制的研究方法看，还局限于审计和管理的方法；就系统思考的方法而言，主要是应用系统工程等硬系统思考方法，未能以现代系统思考的最新研究成果如复杂性理论、软系统思考方法等加以补充，设计和建立企业内部控制系统。

综上所述，无论从理论上还是从方法上看，主要是从单一视角和单一方法研究企业内部控制。笔者认为，若想清除内部控制理论和方法研究的障碍，为企业内部控制理论基础和方法的创新带来活力，必须以相关学科范式的创新对某些传统的内部控制理论的前提条件进行更新。同时，结合运用跨学科的多种现代系统思考方法，重塑企业内部控制系统的边界和框架，引导企业建立起与企业成功相联系的内部控制系统，激发和调动企业建立内部控制系统的积极性。

二、系统思考对企业内部控制理论、方法创新的影响

系统思考的发展为传统的内部控制理论创新带来了巨大的契机。系统思考具有跨学科的特征，它从不同学科借用许多思想和概念，因此有可能利用这些学科的不同优点来加深对内部控制

问题的认识。现代系统思考与组织和管理理论结合在一起时尤其有益。当其与管理范式的创新、行为科学理论的人性假设的发展以及现代企业理论的基本假设等相结合时，开阔了企业内部控制理论的研究视野。随着时代的发展，社会经济环境日益复杂化，致使传统的内部控制理论所基于的相关学科的某些假设已经过时，还有些需重新进行修正或更正，而现行的内部控制理论依然局限于传统的某些已经过时的企业管理范式、组织理论以及单一的硬系统思考方法，对复杂、多变的企业内部控制问题提供简单的解决方案，用其指导内部控制的实践，产生了许多误导，难以取得预期的效果。因此，现代系统思考的发展以及相关学科理论范式的创新成为补充和修正企业内部控制理论和方法的突破口。

(一)21世纪管理范式创新的影响

21世纪管理范式的创新使企业内部控制突破了“内部”范围。彼得·德鲁克(2006)认为在20世纪80年代以前还是正确的管理学假设“管理是对内部的管理”“已经被最终的和全新的管理范式所取代：“只要能影响组织的绩效和成效的，就是管理的中心和责任，无论是在组织内部还是在组织外部，无论是组织能控制的，还是完全不能控制的。”。这一点对内部控制建设的启示是：不能只关注“对内”业务流程的控制，还应关注“对外”如何在所处的环境中选择与创造自己未来的生存空间，以及如何与外界各种机构和资源提供者维持平衡而互利的关系。否则，内部控制只能成为企业发展的束缚。而无边界组织的出现，也充分说明必须抛弃企业内部控制的范围是企业“内部”之说，无论在理论上还是在实践中都已具备了条件。对于不能控制的，我们可以通过风险管理、战略管理和软系统思考方法等进行补充。

惟有抛弃建立于各种传统的、过时的假设上的内部控制理论，创新企业内部控制系统的边界和范围，才能使内部控制理论适应当代经济发展的客观要求，突破内部控制理论发展的困境。

当内部控制的范围突破了企业内部的物理边界的局限后，企业内部控制框架之“内部环境”要素也得以突破，成为内、外部环境，即环境。在工作环境中，对与人有关的风险进行管理，在外部环境中应对广泛的风险进行管理，并与监管机构等外部机构协调共生。抓住机遇，实现战略目标。这些前提条件的创新，使内部控制更符合时代发展的需要。

(二)行为科学之人性假设发展的影响

1行为科学的发展由“硬”管理向“软”管理转变。

行为科学是研究人类行为规律的科学，其对管理的影响可以归纳为以下四个方面：由原来的以“事”为中心发展到以“人”为中心；由原来对“纪律”的研究发展到对“行为”的研究；由原来的“监督”管理发展到“人性激发”的管理；由原来的“独裁式”管理发展到职工参与决策的“民主”管理，以激发职工的积极性，提高劳动生产率，为企业创造更大的价值。管理的发展史明显地存在着由理性的科学管理即物本主义的“硬”管理向非理性的人文主义的人文管理即人本主义的“软”管理的转变。由此可见，企业内部控制研究如能辅以行为科学的思想，重视和关注人的要素，以“软控制”来补充和完善“硬控制”，加强长期被忽视的与人有关的风险管理，激励与监督并重，将有助于补长现行内部控制框架要素的短板。

2当代行为科学人性假设的新理念。

“企业需要采取不同的方式来管理不同的人”是对传统的管理人的方式的挑战。传统的奠定了有关组织中的人和对人的管理的所有其他假设的基础是：“企业采取或至少应采取一种管理人的方式。”这个假设几乎成为有关对人管理的所有著作或论文的基石。然而随着时间的推移，这个假设已完全与事实不符。行为科学论及了对人的管理的各种方式，但马斯洛在他的著作《优心管理》一书中不容反驳地指出，企业需要采取不同的方式来管理不同的人。但是由于人们深受道格拉斯·麦克雷戈的X-Y理论影响，至今很少有人重视这一点。

综上所述，有关对人的管理的传统假设“企业采取或至少应采取一种管理人的方式”早已根深蒂固，深入人心，然而，综合了当代的激励理论并经历了的间检验的观点：“企业需要采用不同的方式来管理不同的人”的假设是当前内部控制的盲区所在。企业业绩的提高终究应归功于人。内部控制应关注充分发挥和利用每个人的知识和优势，而不只是传统的约束和压制。

(三)现代企业理论的基本假设的影响

传统经济学中的“经济人”假设认为，个人具有完全的理性，完全用效用最大化的原则进行选择。而现代企业理论之所以成功地取代了传统的企业理论成为主流企业理论，最主要的原因是其基本假设更符合人的本性，更接近企业运作和社会活动的现实。现代企业理论的基本假设包括人和环境两个方面，其中，关于人的假设认为人的理性是有限的，人具有机会主义倾向；关于环境的假设是环境具有不确定性和信息压缩。

1从人的有限理性方面看，企业内部控制必须提倡学习与激励。

有限理性最早是由西蒙提出的，他认为组织中的人只是介于完全理性与非理性之间的“有限理性”的“管理人”，“管理人”假设才更接近现实世界的真实状态。按照有限理性的要求，行为主体要在所有可行的备选方案中作出选择，而在现实情况中。主体可能只想到有限的几个可行方案。总之，由于未来的不确定性和知识的不完整性，人们不可能对未来无所不知。可见，企业内部控制必须提倡学习与激励，透过学习进行控制，以弥补人的有限理性的不足。

2从人的机会主义倾向看，监督始终应是内部控制的要素之一。

机会主义被著名经济学家威廉姆森概括为“施诡计以求自利”，即指行为主体在交易活动中不仅追逐自利的目标，而且在追逐自利的目标的同时，使用策略性行为，这些策略性行为包括隐瞒真实信息、交易意图的不实陈述和欺诈等。这一假定是对新古典经济学中的“经济人”假定的一个基本扩展。也就是说，当人们有机会去满足欲望时，只要他人识别其行为需要花费较高的成本，人们就会采取自利行为。可见，财务报告的内部控制始终是内部控制的重点和难点所在，监督始终是必不可少的要素之一。但控制需要成本，受成本效益原则制约，因此，选择合适的人进入企业，可以大大降低成本，必须将加强软控制提到日程上来。

3从环境因素具有不确定性看，“风险观”成为内部控制的主流。

有限理性之所以重要，是因为环境通常复杂、多变和具有不确定性。当不确定性或复杂性不复存在时，人们在行动一开始就可以对这一行动的整个过程事先加以规定，这种情况下的行为通常被称为是理性的。对此，企业内部控制对生产经营工作流程可以采用系统工程的方法进行标准设计和控制；但对于复杂多变的问题则需要借助于企业风险管理、战略管理和人力资源管理等手段，并注意与系统环境交互影响的协调共生。

4从信息压缩方面看，必须调动人人参与内部控制的积极性。

信息压缩(1nformation lmpactedness)又译为信息冲撞，是

从不确定性和机会主义中推导出的另一个条件。它与有限理性也有关系，是指交易活动中一方掌握了与交易有关的更多信息，而另一方要想获得这一信息，通常是要花费一定代价的。一般认为，在交易活动中，如果信息在交易双方的分布是不对称的，则交易活动的风险就会出现。信息不对称的两个关键因素是：获得信息需要较高的成本；信息不对称所引起的机会主义倾向带来的问题是：拥有较多信息的一方会产生机会主义倾向。比如，作为财务人员可能粉饰了账目，但作为内部审计或外部审计的人员有可能未能发现，很难加以监督。因此，必须调动人人参与内部控制的积极性，实施内部控制的自我评价，建立人性化的内部控制系统。

(四)以软系统思考方法补长内部控制其他方法的短板

从内部控制研究方法上看，目前人们对如何运用系统思考的新的研究成果(如软系统思考的方法)补充内部控制工程学等硬方法的薄弱环节研究得较少。

1我国目前内部控制研究方法主要是硬系统思考的方法。

硬系统思考是切克兰德(1981)为在第二次世界大战期间及其结束稍后的一段时期内发展起来的、解决现实世界问题的各种系统方法给出的统称。与这个名词联系最紧密的是运筹学、系统分析、系统工程。其在内部控制中的运用之优点表现在：(1)系统工程将科学上的严谨带到管理问题的解决中来。因此。如果管理者目标明确，只是在寻求达到这些明确目标的不同手段，如设定目标的绩效标准并对其进行评价，这种方法是非常有帮助的。(2)系统工程方法帮助管理者处理所面对的大量操作性问题是有益的，但是，当用其处理现实世界中具有极端复杂性、多样性的问题时，理论家和实践者均明显感到这种方法的局限性和力不从心。因为有目的的行为不可能不带个人价值判断，在不存在任何偏见的情况下对复杂问题进行简化，常常不易做到。同时，还存在遗漏那些不能定量的有关因素的危险。如忽视环境因素、文化因素等。(3)它将企业比作机器，将系统中人的因素边缘化。人只是被当作可以设计的原件，而不是一个执行决定和实现计划的能动的行动者，这已不符合当代经济发展的特征。(4)系统工程方法对于具有不可预测性的战略问题和多样化的问题不予考虑，头痛医头，脚痛医脚，只找到解决问题的症状解。

出于对硬系统思考方法的弱项进行补充，软系统思考方法应运而生。主要包括以下三种具体方法：体现并检验战略设想(Strategic Assumption Surfacing Testlng)、软系统方法论(soft systems methodology)和互动式规划(interactive planning)等方法”。

2软系统思考方法及其对内部控制建设的启示。

(1)体现并检验战略设想及其启示。长期以来，内部控制执迷于对窄小范围的战术问题的解决方案并不断进行完善，而管理者们面对的严峻的问题大多是呈现复杂的结构、本质上具有战略性的问题。因而始终清醒发展战略与使用技巧来解决问题同等重要。如果忽视对问题的明确表述，或错误地处理的话，管理者最终可能非常彻底且精确地解决了一个错误的问题。对企业内部控制系统的设计必须有助于促进战略目标的实现。实践表明，我国企业内部控制存在的问题恰恰是过于注重战术方面的控制点，而忽视与战略目标的互动和促进战略目标的实现。

(2)软系统方法论及其启示。“软系统方法论使其能够处理比工程情况更加复杂和模糊不清的管理问题(参见Check－land，1981；1999)。“软系统方法视管理工作是对一系列丰富地展开的关系进行管理，对环境或者文化等问题更关注。它补充了硬系统思考者一直寻求为物质系统、设计的系统等建立模型的狭隘做法。以软系统思考方法作为补充，重视人的价值和作用、加强软控制、加强学习都是内部控制系统需要加强的方面。

(3)互动式规划方法及其启示。“互动式规划(interactive planning)”中的互动二字是针对另外两类效果较差的规划方法而言的，即“事前预防式”(preactive)和“事后反应式”(reactive)。互动式规划方法是专门处理管理者在现代必须面对的因复杂性、变化和多样性所引起的“难题”。在一个充满多元价值观和不断变化的世界里，坚持优化就意味着失去对现实的理解。管理者应该通过激发组织的各种利益相关者并排除他们之间任何明显的冲突，追求对所有利益相关者的最佳效果和最大效率，达到服务于企业内部控制、人性化问题和服务于其生存的环境等各种目的，从而使内部及外部利益相关者继续通过该组织来追求利益，并保证组织持续的生命力和效果，使企业走向成功之路。

软系统思考方法使系统方法重新恢复活力，极大地增强了系统方法与经营和管理的相关性，成为完善内部控制理论和解决内部控制难题的方法。笔者认为，软、硬系统思考方法相辅相成。软系统方法的发展是以硬系统思考方法的存在为基础的，而硬系统思考方法又因软系统思考方法来提升；硬系统思考方法是基于西方的科学分析和定量化，软系统的方法论中包含的“天人合一”的中国古代管理思想，应该发扬光大。要创造性地将各种系统方法结合应用，促进实现企业的目的和目标。只靠系统工程这种硬系统思考的方法已不能满足发展变化中的组织的需要，而引入软系统思考方法对已有的内部控制的研究方法进行补充和完善，是时代发展的需要。

三、基于现代系统思考的企业内部控制系统的边界及框架重构

(一)基于现代系统思考的企业内部控制系统应具有整体性

关于如何判断整体有一个很重要的原则，就是要研究那些与要解决的问题相关的因素，而不是以我们的组织或系统中因功能而划分的人为的界限为出发点。彼得·圣吉在《第五项修炼——学习型组织的艺术与实务》中借用太空人史维加特在太空中飘浮的感受写到，“大自然(包括我们自己在内)不是由整体之中的各个部分所组成的，它是由整体中的整体所构成的。所有界限，包括国界在内，基本上都是人们强行认定的。我们制造了它们，然后，又很讽刺地发现自己最后被这些界限困住了”。我们在学科上的划分又何尝不是如此呢!我们希望通过内部牵制和审计来保护资产的安全，提高会计信息的质量；通过企业管理来提高经营活动的效率和效果；通过企业风险管理降低企业的损失；通过战略管理确定企业长远目标和愿景；通过公司治理进行权利的制衡；通过内部控制来控制活动和行为，而现实无情地证明：如此对学科内容的割裂，使得单一强调任何一个方面、忽视另一个方面，都无法实现我们所期望实现的内部控制的目标，从而使人觉得：战略目标是空洞的；内部控制是对下属人员的控制；公司治理是高层人员的安排；财务报告是会计人员和内部审计人员的事，风险管理是风险管理委员会的事。

由于各方之间缺乏相互影响、渗透与互动，反而成为相互制约的羁绊，比如，财务控制往往影响企业战略目标的实现；公司治

理与内部控制脱节，使内部控制成为制度化的无用的废纸：公司治理、内部控制与法律法规的脱节，使其成为空中楼阁、海市盾楼。究其原因在于破坏了系统的整体性，因而难以实现协同效应。

企业是社会的细胞，无时不受社会政治、经济、竞争、技术等环境的影响，以整体论的视角认识企业内部控制系统边界，融合上述被严重割裂的各项理论，构筑有效的内部控制系统是时代发展的要求。

(二)基于现代系统思考的企业内部控制系统的边界

相关学科理论和实践的创新表明了重新界定内部控制系统边界的必要性。

1无边界组织的出现证实了德鲁克在其著作《21世纪的管理挑战》中所驳斥的：现在“组织内部是管理的领域”的假设继续存在不再有任何意义的观点之正确性。因而，企业内部控制系统属企业内部的传统认识也应受到挑战。

2软系统思考方法是对系统工程方法的有力补充，它不是把整体当作可以孤立地改善的部分的聚合体，其核心理念是把注意力从一个一个的部件转移到系统各部件之间的互动关系上来，因为部分之间的相互作用才是最根本的，那才是需要进行管理的地方。否则，会给管理造成致命的失误，不会带来企业整体表现的任何改善。而传统的内部控制系统恰恰是在单独地、孤立地去改善系统中的部分。基于上述认识，企业内部控制系统应是社会系统整体中的系统。其目标的实现既受企业内部各部分相互作用的影响，也受企业实体外部竞争环境、经济环境和政治环境及政府法律法规的影响。有了系统，就自然产生边界。而内部控制系统的边界不同的划法，将极大地影响如何看待问题和对问题的解决方案。

3企业内部控制属于微观层次的管理研究，但不能脱离于宏观层次的管理的影响。企业是社会的细胞，存活在社会环境中。雅可比斯(Jane Jacobs)于1994年发表了在西方颇有影响的著作“存活系统——关于商业和政治道德基础的对话”，将社会分成两大类，或两个系统：商业系统和监护系统。商业系统向社会提供物质财富，以纳税形式支持监护系统；而监护系统则对内防止腐败和权力滥用，对外维护国家安全。

可见，不同的存活方式构成了两个系统不同的道德和价值系统。社会监管系统对内部控制系统有正面或不利的影响，企业内部控制系统边界超越了传统的企业内部的范围，是开放的社会系统的边界，受环境影响并影响环境。因而，政府有关内部控制的法律法规应综合考虑对企业活动系统和整个社会经济的影响，每个系统都必须保持自身的特色和完整性，才可带来整个社会的和谐。否则SQX法案实施后的负面效果会继续出现。

(三)基于现代系统思考的企业内部控制框架设计

1基于现代系统思考的企业内部控制框架之目标。

为了提高企业对内部控制的理解和信心，为企业内部控制标准的制定提供一个更为严格的方法，需要基于现代系统思考创新内部控制框架。框架的目标的确定受系统边界的影响。由于系统的边界是开放的社会系统，其边界的构成如图1所示：

图1中心部位的椭圆形是系统中的难题，即财务报告的内部控制。它既是系统的核心问题，又是更为复杂的企业内部控制问题的触发点，这个问题的边界是十分明显的，因而用实线划出。相应的解决办法主要是承袭传统的财务报告内部控制的做法。图中第二个椭圆形被加上了更多的内容，代表的问题更加复杂化，从作业层面转到业务层面。表明企业不仅要关注作业层面。还要关注业务层和流程等经营过程的控制。关于经营活动的控制，现在已开发了许多方法，包括工程学的方法。但主要是关注流程，忽视人的因素的作用与影响。当我们加上更多的复杂性时，系统边界进一步扩大，如治理层面的控制和战略规划。这些问题的解决涉及更复杂的情境，已经不能、也不适合采用传统的方法，如采用数量的方法进行研究，因而很难给出固定的答案并进行检验，其边界已经不再是封闭的，故用虚线标出。当问题进一步扩大到影响企业目标实现的社会层战略，即回答好企业对社会的作用和对利益相关者的态度等问题时，其复杂性进一步增强。到了系统的最外层面，已经是超系统的精神层面的问题，涉及人的道德和价值观等，更是硬控制方法无法奏效的，不过对于有人参与的有目的的社会系统而言，这个层面对系统目标的实现变得越发重要。

基于系统思考的企业内部控制系统是开放的系统，它置身于自然环境和社会政治经济环境之中，无时不与环境发生互动影响，因而涉及与人和与环境有关的各种风险。因此，内部控制框架的目标不应只局限于考虑可控的因素，还要考虑不可控的因素。除了财务报告可靠性、经营活动的效率和效果、法律法规的遵循三个基本目标外，还应包括战略目标、在有利和不利的情况下可持续发展以及对所有利益相关者负责，而不只是服务于股东的价值。总的原则是化解风险和抓住机遇，最终目标是促进企业走向成功。

2基于现代系统思考的企业内部控制框架目标的层次。

目标的设定是内部控制的先决条件，也是促成内部控制的必要条件，直接影响到内部控制是否有存在的必要及存在的价值。企业内部控制目标的形成是以内部控制社会系统中现时存在的利益冲突为基础的，企业内部控制系统是企业、用户(包括股东、债权人和政府机构等，但为了简化问题，下面对于用户项目以政府机构为代表)以及会计职业界等三类利益集团相互作用的结果。

企业构成了参与内部控制社会系统的主要部分，其目标是为了提高生产经营活动的效率和效果，进行企业风险管理，增加和创造企业价值，实现企业业绩；政府构成了第二个利益集团。政府要求企业提供准确的财务报告和防止财务欺诈，影响到企业内部控制系统的建立；会计职业界构成了可能影响企业内部控制的第三个利益集团。注册会计师主要行使负责证明财务报表与公认会计原则是否相符的“审计人员”的职能，对企业建立内部控制系统进行鉴证。

三个利益集团的相互作用影响着企业内部控制目标形成的方法。第一种方法是以企业为导向的、只关心企业目标实现的管理方法的内部控制，实务界经管人员持内部控制的风险观，期望内部控制的目标有助于促进企业的成功，是一种更关注活动、更关注人的方法；第二种方法是会计职业界为导向的审计方法的内部控制，只关心与财务报告有关的内部控制，以减少审计风险；第三种方法是政府监管为导向的遵循观的遵循控制，关注的是社会公众利益而非企业利益。这三类集团的相互作用形成的利益交集是有限的。毋庸置疑，政府立法在构建内部控制理论中占主导地位，因此，在内部控制目标的形成过程中，政府机构占支配地位。事实上，以政府监管为导向的遵循控制被美国政府用来作为内部控制的目标，COSO委员会提供的目标也包含了遵循控制的目标。因而，最佳的方法是将政府监管导向和会计职业界的导向的方法形成的目标需求融合在企业内部控制系统目标的设立之中，而不是单独建立额外的控制系统，毕竟在符合成本效益的原则下，政府和会计职业界的目标与企业目标并不冲突。

通过上述分析表明：企业内部控制的目标分为两个大的层次。第一层次是企业风险控制，综合各方利益的考虑，分为以下六个具体层次(如表1所示)，从下边往上看，分别是会计职业界、政府机构和企业的目标，最上边的四个层次的目标为企业内部控制不容忽视的目标。

第二个层次是总目标，取决于6个目标的协同作用，共同促进创造企业价值，促进企业成功。

3基于现代系统思考的企业内部控制框架之要素。

在企业内部控制框架中，框架的要素应该涵盖企业管理的全过程(无论企业内部还是企业外部)，要素是内部控制目标实现的手段。在前述理论研究的基础上，基于现代系统思考方法，强调人的能动因素，笔者确认的企业内部控制框架的要素还需要重新提炼。包括以下几个方面：

(1)人的要素：全体员工。

第一层是对组织的认同感，包括道德价值观、忠诚和信任；董事会和高管的经营管理理念和权责、经营管理责任；人力发展各种政策和实务；遵循法律法规，防止欺诈；软控制。内部控制是一种责任，缺乏适当的责任是系统失败的原因之一。第二层是员工胜任能力要求，包括各种知识、资格和资质、技术和工具的掌握和使用、交流过程和能力、团队合作。要求员工必须是有胜任能力的；经理人员必须是可靠和具有领导能力和洞察力的。第三层是发展观，包括设计激励机制、鼓励创新方案，提倡利益相关者价值，建立公司文化和政策。对人的要素控制宜采用文化控制或软系统思考方法等，为取得理想的效果，应实施软控制，建立人性化的内部控制系统。

(2)物的要素：控制活动及过程。

提供企业的稳健观，包括组织结构；各种控制程序和方法、计划的连续性；目标的设定；业绩的目标与指标、预算编制、绩效考核与评价。

对控制活动宜采用制度控制的方法或工程学的方法等进行控制，以取得较好的效果。

(3)信息要素：信息与沟通。

提供组织的灵活性，COSO在其2007年发布的监督指南中，对信息与交流提出下面的看法：在有效的内部控制系统中。信息与沟通具有中枢神经功能，企业必须能够识别和获取来自于内部和外部有关的信息，并以适时的方式在全体员工之间进行交流，以使全体员工能够实施他们的责任。笔者赞同这一看法。信息系统使用或提供的报告既包括经营、财务和与遵循有关的信息，又包括与风险管理有关的信息，所有这些信息使得对企业的经营和控制具有可能性。当然。有效的交流也应在董事会层面进行，并且便于在整个组织上下交流和传递，所有员工必须清晰地收到高层的信息，必须理解其在控制系统中的作用以及理解个人的活动与他人工作相关的信息。而且。应建立和保持员工投诉与申诉渠道的畅通。此外，信息的沟通与交流也包括与外部各方的有效交流，如客户、供应商、监管者和股东等。笔者认为，在信息过载的情况下，如何获得对内部控制有效的信息还需要对信息进行分析。

(4)环境要素：内、外部环境。

内、外部环境提供组织的成功观。其中，内部环境指工作环境，是和工作岗位相关的各种因素，由人文环境和物理环境组成。内部环境中，人与人之间的关系包括管理者与员工之间的关系以及员工与员工之间的关系。管理当局和董事会对控制的态度、有效的公司治理机制和内部审计；建立和谐的工作氛围和工作环境以调动员工的工作状态。外部环境包括竞争环境、社会政治经济环境和自然环境，因而强调竞争力、竞争杠杆、持续核心竞争力；战略思维、战略规划以及承担风险。

对内、外部环境中风险要素的控制(包括与人有关的风险)可以采用软控制、企业风险管理和战略规划的方法挑战现实、化解或降低风险，同时抓住机遇。

(5)与人的复杂性有关的要素：监督与学习。

提供组织的纪律观与发展观，对照目标监督业绩；评估信息需要和系统、建立跟踪程序以及评估控制的效果。建立正确的政策和程序并确保持续地进行适当的监督，有助于降低日常管理赞用并巩固和增强已构筑的竞争优势。同时，通过提倡组织学习，适应多变的、复杂的经济发展形式的需要，持续改进。在COSO的框架中，监督要素主要包括董事会的监督和日常监督，笔者设计的框架中的监督要素除这个方面外，还应包括在人人参与的内部控制自我评价中发挥的自我监督和检查，以及明晰内部审计的地位，厘清隶属关系，确保内部审计监督作用的发挥。

这重新整合的五类要素相互联系，结合在一起。共同促进组织目标的实现。从内部控制的范围看，内部控制和风险管理是由企业全员参与的过程，包括企业内部和外部、可控制的因素和不可控制的因素。内部控制的风险观有助于促进企业的长期成功。

总之，企业内部控制理论的创新需要从理论前提和方法两个方面进行突破，跨学科的系统思考起到了桥梁的纽带作用。企业作为一个开放的系统，无论其能控制的还是不能控制的，只要影响企业业绩，都是企业内部控制应考虑的范围，企业内部控制与企业风险管理是同一事物的两个不同方面。风险管理不只包括与过程有关的风险，更应重视与人有关的风险。相应地，要求内部控制框架的目标和要素进行调整，建立驱动业绩和促进战略目标实现的内部控制系统；关注各个业务流程之间的互动；更多地关注人的行为，设计与实施软控制，管理与人有关的风险。建立一个随着时间的推移适时地评估其内部控制系统的监督机制。只有将内部控制融于企业的日常经营管理活动中，引导企业走向成功，才能从根本上提高内部控制的有效性，进而提高企业建立内部控制的积极性，实现政府与企业在内部控制建设上的双赢。