周志刚

摘要：通过对内部控制的演化及其与公司治理耦合性的分析，进一步明确内部控制作为一种企业管理的重要职能手段，在业务执行的过程中对管理者的责任提出了更高要求，同时也促进了包括基层业务参与者在内的企业全体的共同责任的实现。为此内部控制在内涵上也表现为一种企业管理理念的转变，引导实施企业由“控制”向“管理”，由“被管理”向“自我管理”方向转换。因而，注重具体业务实施者的参与，强调参与主体的共同作用是内部控制对公司治理发展的贡献所在。

关键词：内部控制；全面风险管理；公司治理；COSO；SOX法；EMR框架

中图分类号：F239；F272.3 文献标志码.A

随着贸易壁垒的打破，资本国际化和金融市场的一体化，内部控制作为企业加强管控、抵御风险的重要措施受到了广泛的关注。当前内部控制的“权威性框架”以美国COSO委员会发布的EMR企业风险管理框架为代表（通称：企业风险管理整合框架）。

内部控制是基于内部牵制思想，逐渐发展起来的内部整体组织的“协调管理”体系。随着现代企业的发展和市场环境的变化，特别是安然、世通等公司事件后这种“协调管理”更多的聚焦于强化“风险管理”方面。作为现代企业管理职能的主要内容之一的“风险管理”在企业运营过程中越发表现出其重要性。EMR框架的“全面风险管理”是以企业的董事会、管理层和员工为主体，在企业决策和内部具体业务执行的各个层次和部门，对潜在的会导致不利影响的因素加以综合处理的过程。

2008年，国家财政部等部委发布了相关文件，要求以上市企业为对象在上海、深圳证券交易所范围内，形成以监管部门为主导，上市企业组织为对象，会计事务所为中介咨询服务的内部控制体系。内部控制在我国上市企业的实施反映出该制度在提高企业经营效率，全面促进企业安全发展的重要性。并且在实施形式和内容上主要参照和借鉴了COSO公布的EMR的风险管理基本内容，这对新时期我国上市企业的战略发展具有重要现实意义。

然而内部控制体系的多重性、复杂性的特点，造成许多企业组织对内部控制的理解只是停留在现行体系的表层。基于企业管理职能的前提，从内部控制产生和发展的背景及其理论依据出发，就其体系演化的过程加以说明。并从企业管理职能的角度对风险管理和内部控制的关系，内部控制和公司治理的耦合性等问题加以分析，进一步剖析内部控制的深层含义，为内部控制研究提供一个理论参考。

1 内部控制的历史演变及内涵的扩展

内部控制在保证企业安全和高效的运营、外部市场的正常运作方面发挥着愈加重要的作用。由于经济、法律等背景的差异和各领域发展的不均衡，不同实施国家和机构对内部控制内涵有着不同的理解。就内部控制的发展而言经历了一个漫长的历史演化过程，作为一个完整的概念于20世纪40年代首次提出，此后经过不断的理论完善，逐渐被社会所了解和接受，具体来说，内部控制的理论和实务大致经历了5个阶段，如表1所示。

现代经济的发展，股份公司的规模得到进一步扩大。伴随着企业所有权和经营权的分离，为在市场中提高运营效率，防范错弊，同时为了解决两权分离中的产生的“信息不对称”的矛盾，美国的一些企业逐渐探索出加强组织调节，制约及检查企业生产运营活动的办法。从20世纪40～70年代初，内部控制的概念以传统“内部牵制”为基础，结合了“内部牵制”与古典管理理论的思想而逐渐形成。

在社会化大生产，企业规模扩大，新技术的应用以及公司股份制形式等因素的推动下，以账户核对和岗位分工为核心内容的“内部牵制”，逐渐演变为通过组织、岗位、人员、业务程序，检查标准等要素构成的体系。内部控制在思想上突破了以往只限于财务会计等有关部门的局限。AICPA（美国注册会计师协会）在相关公报中进一步将内部控制分为“会计控制”和“管理控制”两大类。

进入20世纪70年代后，内部控制的相关理论研究取得了新的发展，AICPA于1988年5月发布的《审计准则公告第55号》中，指出“内部控制结构”在内容上由控制环境、会计制度、控制程序构成，这样内部控制的研究重点逐步向具体内容深化。

同时期，由AICPA等机构于联合成立反虚假财务报告委员会（Treadway委员会），并由其赞助机构设立了COSO委员会，专门就内部控制问题进行了研究。1992年最终形成了指导内部控制实践的重要报告《内部控制整体框架》，该报告的出台标志着内部控制进入重要阶段。

COSO报告反映出，广义上，内部控制是以公司业务的有效性和效率性；财务报告的信赖性；关联法规的遵守为目的。通过公司构成人员，董事会，管理者等来实现的一种业务进程。按照COSO报告说明，严格意义讲，其并不是一种制度，而是一种方法路径。COSO报告的内部控制就其内涵而言是以经营目的达成为目标，通过一系列活动而统合起来的架构。其内部控制构思具有以下特点：①内容上虽以会计控制为中心，其在企业经营活动中具有极其广义的内涵。②有效的内部控制的构筑，首先取决于负有公司业务的决策和运营责任的经营管理者。③内部控制是一种业务进程，其实施者不仅仅是经营管理者，也包括企业组织的所有成员。④内部控制报告是以公司审计机关的参与为前提，而形成的一个综合性的报告体系。

21世纪后，针对安然及世通的会计丑闻事件，2002年美国发布了《sOX法案》。该法案对美国传统的证券法，交易法进行了进一步完善，在会计事务所管理、公司治理、证券市场规范等方面有了更多新规定。该法案成为美国商业界有重大影响的法案，使得公司治理与内部控制再一次成为各方关注的焦点。

SOX法最重要的条款，404条款明确规定了管理层对内部控制设计及维护的职责，要求企业管理层对内部控制的有效性及相关评价提出报告，如表2所示，该法案显示内部控制是一个分阶段、有侧重、逐步实现的过程，蕴含着监管层的理念和前瞻性，是一种先进的具有操作性的监管思路和手段。

受SOX法案的影响，2003年COSO委员会发布了《企业风险管理框架（草案）》2004年正式公布了该报告的最终稿《企业风险管理整合框架》（ERM框架）。该框架在COSO报告的基础上又作了补充。表现在：进一步加强风险管理，把企业管理的重点转向全面管理；对战略目标及其相关要素进行拓展。在内部控制原有要素的基础上添加了：目标设定、事项识别和风险应对（这样当前内部控制共有8个要素）。使其与原来的风险评估共同构成一个风险评估全过程。

全面风险管理和内部控制目的保持一致，都是为了满足组织（企业）在不同环境对不确定性的应对管理，从而达到组织预期和目的以及持续发展。目前内部控制理论的发展除不断深化相互牵制理念、优化组织结构和明确权责分派体系之外，重点是对企业活动中的不确定性进行科学的认知、分析和应对策略研究制定，从而使控制活动更具针对性和合理性。

内部控制是全面风险管理的业务实施和组织保障，通过对风险的不确定性在应对策略方面进行具体的分解和落实，从而达到化解风险，控制不确定性的效果。总之两者的共同发展为组织（企业）运营提供了支持，在企业的实际需求之下，学科的交融和切人更好地为组织实际解决其运营中的各种不确定性提供了完整的解决方案。

通过内部控制的演化路径可以发现，其体系形成是一个不断扩充改进的过程。当前EMR框架下内部控制从内涵上包括2个层面：第一是公司战略层面，即立足于传统的经营权和所有权分离理论，强化公司治理结构，从而保障经营者科学决策，减少道德风险；第二是业务执行层面，即通过强化对生产经营的控制，对业务过程中的工作内容、人员状况、资金状况、信息等内部资源进行合理控制和监督，从而提高企业的运营效益。针对更为复杂的企业和市场的发展状况，现行体系本质上它起到了保障证券交易市场的良好运行，并提出了当代企业发展过程中需要实施的一些较为合理的要求。为此EMR框架下的内部控制体系作为保证企业经营管理效率化及健康发展的一种措施，已被许多国家和地区作为基准所采用。

2 内部控制和公司治理的耦合性分析

经济全球化的推进，市场规制的缓和，民营化的发展对世界金融市场带来了巨大影响。超越国家界限的资金的流动及其规模经济性的影响，促使众多产业在众多领域取得了快速进展。经济全球化的发展也使广大投资者对公司治理的关心和要求逐渐提高，进入21世纪后，随着互联网泡沫的崩溃，特别是以安然、世通公司的倒产为契机，对公司治理要密切关注和强化的呼声进一步高涨。

20世纪80年代诞生于美国的现代公司治理概念，其传统狭义的内涵更多的是强调了权力制衡中的内部治理关系，通过建立约束和激励机制以来对公司治理产生影响。而现代广义的公司治理已从狭义的以责权利制衡为核心的股东至上主义，转向以科学决策，平衡利益相关者利益，把公司价值最大化作为作为目标的广义概念。

公司治理问题在全球环境下被关注的背景，表现在2个方面。

第一，长期以来，围绕着公司是谁的，公司的治理者是谁等问题展开的争论和分析，主要是受财产权，经营者控制论等一系列理论研究的影响。

第二，随着对公司治理理论的发展和实践，公司治理取得了很大的进展，但是从现实社会的企业活动来看，违背社会伦理的不正当行为，尤其是企业丑闻的发生常见不鲜。面对这样的事实，如何抑制企业不正当的行为使其在健康的轨道上发展，对公司治理模式的再构筑提出了更高要求。这些因素成为社会对公司治理关注的另外一个重要原因。

总之，作为公司治理的主要对象的大中型股份公司，具有两重性的特征，一方面是作为社会的构成单位，有着社会性的特征，另一方面为了企业的生存发展，必然也有着营利性追求的特性。随着经济环境的变化及企业间竞争的激化，董事会、经营层的行为规范显得越来越重要。如何对公司经营内容进行监督强化及回避风险，如何提高公司治理的效率性，确保经营组织的合理性在很多国家被广泛的加以关注。

然而，在公司治理和内部控制的关系上目前仍没有明确的界定，OECD确定了《公司治理准则》、COSO制定了内部控制的整体框架，但都没有立足于对方的立场加以深入的探讨。国内学者对两者关系也持“环境论”等不同观点，代表性的有阎达五等认为：作为内部控制的环境因素，内部控制框架与公司治理结构是内部管理监控与制度环境的关系等观点。总之较多的研究是从制度的角度对两者加以分析，在管理职能方面对内部控制和公司治理关系的研究较少。

为此，企业的管理职能这一本源出发，对公司治理和内部控制的内涵加以分析，如图1所示，可以发现耦合性关联更能准确反映两者的相互关系。耦合是指2种、2种以上的“体系”及“运动形式”之间相互作用、相互影响以至融合起来的物理现象。耦合实际上表现为系统之间的存在方式，这种现象是自组织管理理论的一种普遍范式。

就公司治理的内涵而言，由于研究视角的不同有众多的解释。按照李维安的分析，公司治理可以表现为一种制度或机制的设计和安排，公司治理不完全是一种制度。它以某种制度或机制来实现公司科学化决策、效率化的运营、正当性为目标。从而达到协调公司与所有利益相关者之间的利益关系的一种系统或体系。这样一般来说，公司治理可以分为内部治理和外部治理2个层面，通过一系列机制的实施保证公司决策的科学化，并顾及到公司各个方面的利益。作为一种系统和体系，公司治理和内部控制相同，都受到企业内外部环境的影响。

公司治理对企业的竞争力也有着重要影响，公司治理作为协调企业责权利的重要运作手段，对管理制度的制定和运营决策产生重要作用，在充分协调各个组织层面的基础上，发挥战略决策和监督职能。企业竞争力最终体现为企业获得外部环境承认的能力，其根源很大程度上也取决于公司治理。

基于管理职能的角度，对公司治理和内部控制两种体系的耦合性加以分析，可以进一步了解两者的关系。

2.1管理职能上战略目标的一致性

都着眼于促进企业的战略发展这一目标。内部控制在基本目标上强调会计信息的真实性、确保企业资产安全等具体业务的实施，进而确保企业实现整体发展。而公司治理从企业运行的正当性出发，确保代理人的管理层不损害委托人股东的利益，最终保障企业决策科学化，运营效率化的发展方向。两者都统一于企业管理目标的实现。

2.2内涵的差异和区别

在内容上存在区别，公司治理解决的主要是股东大会及董事会、监事会、经营执行层“三会四权”的协调和监督问题；而内部控制则更多的是强调以管理层设计的内部制度为基础，加强企业运营和财务报告做成过程的管控，更多的关注内部具体业务层面的问题。同时在实施主体上，内部控制体系更加强调包括员工在内的业务基层的参与。在具体业务目标上也存在一定差异，内部控制的最基本的目标是为了提高经营效率。公司治理的目标重点在于各主体之间有效的责权利制衡机制。

2.3公司治理对内部控制的影响

（1）外部治理的影响。其更多的是强调外部政策或非政策客观因素对公司决策的影响和要求，这对内部控制的制定和实施产生间接的作用。公司外部治理的过程中要顾及公司周边环境、政府、消费者、债权人、国家政策法律及市场的因素。例如SOX法作为外部治理的法制表现对内部控制产生了重要影响。因此，外部治理环境的这种要求也是内部控制目标实施的一种前提条件。

（2）内部治理的影响。其对内部控制体系有着更多的直接影响。按照法律的要求由所有者、董事会、经理层（高级管理人员）三者组成的上层组织结构体现了内部控制环境的要求。同时在这种组织结构中，三者之间形成一定的责权利的制衡关系。依据法律的程序，严格按照公司的规章制度，各负其责保证公司在正确的方向上运营。

2.4内部控制对公司治理的影响

首先，表现在能够促进公司治理理念的转变。传统公司治理往往更多的强调了对公司上层管理构造的责权利的制衡及外部治理的影响作用。而内部控制在参与主体上除强调上层管理层的主导作用之外，更加重视基层员工的积极参加和相关责任。这对于注重对经营层的监督和激励的公司治理体系而言，可以说是一种责任的强化和分担，便于共同治理的展开。同时，也督促公司管理层和具体业务执行层之间由“被治理”向“自我治理”转化，从而进一步完善公司治理机制的功能。

其次，有效的内部控制对公司的具体业务行为加以规范，确保企业资产的安全和完整。企业各利益相关主体可以根据可靠的会计信息，对企业的董事和经理阶层的业绩作出适当的评价，以此来推动公司治理的不断完善。

因此，内部控制和公司治理之间虽然存在差异，但两者的耦合性决定了它们之间的彼此的依赖关系。内部控制其有效性除了来自公司管理层面的公司上层决策监督机构的作用外，更多的是需要业务运营的众多实施参与者的努力。该体系的实施一方面能够从具体实施者的角度制约经营层无视该制度内容的独裁，也对经营层的“自我治理”提出了更高的要求。

3 结语

COSO报告中除反映了董事会及审计委员会等组织结构的权责划分外、对企业管理职能、企业的社会责任、管理哲学和经营作风、员工素质管理等方面也有详细说明，这反映出从管理职能角度加强对内部控制体系构建的要求。企业管理职能视角下内部控制的性质和作用主要表现在以下几个方面。

（1）企业管理职能的重要手段具有广泛的内涵。内部控制从战略控制、管理控制、作业控制几个层次对企业的运营产生影响。战略控制主要致力于制定和设置整个组织的长期目标和战略规划。管理控制主要确保整体目标的进一步落实和分解，并要求组织所有成员以合作的形式加以实施，从而实现组织的战略目标。作业控制要求确保业务的正确执行。从内部控制的演化中可以看出，内控框架涵盖的控制已和公司管理职能相融合，涉及到公司管理的各个层次，为此控制与管理的界限和职能正变得模糊。

（2）内部控制的运行机制，为企业防范风险，持续健康地发展提供了重要保证。在预防机制方面通过优化控制环境奠定企业良好的风险管理基础，运用不相容职务相互分离、授权审批等方法建立相互制衡的控制体系，防止企业在生产运营中出现重大失误以及员工利用职务之便舞弊；同时通过监控手段对已发的失控事件及时制止，并采取补救措施加以防范，引导组织内不同目标的个体向企业既定目标努力，对个体行为结果进行奖励与惩罚。同时，企业保障资产安全、完整，提高会计信息质量上发挥着重要作用。

（3）对公司治理发展的重要影响。内部控制强调了上级管理层的主导作用，更加关注基层员工的积极参加和相关责任。这对更多依靠对经营层进行监督和激励的传统公司治理架构而言，可以说是对经营层责任的一种分担，便于共同治理的展开。同时，也督促公司管理层和具体业务执行层之间由“被治理”向“自我治理”转化，从而补充和完善了公司治理。

当然和任何企业管理体系相同，其也有自身的局限性。表现在由于受到成本效益原则的制约，管理层在设计和实施内部控制的某些具体内容时，要综合权衡利弊得失，如果控制环节的增加过多地降低了工作效率，就可能会放弃实施这项内容。由于企业资源有限，对很少发生或不经常发生的经济业务也不会制定内部控制。同时，内部控制的设计会受到设计人员经验的制约。同时，当员工合伙舞弊和内外串通共谋时，会导致内部控制的失灵。

总之，内部控制并不是万能药，就像COSO说明的：内部控制并非实现企业经营目标的绝对保障，仅仅是提供了一种比较合理的保障。内部控制在实施的过程中要结合各国国情和企业具体的状况来加以运营。

[编辑：王劲松]