白 华（博士生导师），彭俊英

在内部控制和审计领域有一个十分重要的概念——控制环境，或称为内部环境，其被广为接受的定义来自内部控制的权威研究机构——美国COSO委员会。但是，自1987年COSO的前身即美国反虚假财务报告委员会（Treadway委员会）提出控制环境概念以来，理论界对控制环境的定义和构成要素做出了各不相同的界定，这使得人们对控制环境的认识似是而非。本文将基于管控融合论，首先介绍控制环境概念和构成因素的发展演进过程，然后分析问题产生的根源，最后重新解释控制环境。

一、控制环境的演进

1.缘起。1987年，Treadway委员会在《美国反虚假财务报告委员会的报告》[1]（简称《报告》）中，首先提出了“控制环境”概念。虽然“内部会计控制”已于1977年写入了《反海外贿赂法》，并得以广泛实施，但是虚假财务报告并没有得到有效遏制。《报告》认为，“内部会计控制”主要针对那些有系统记录的程序性业务，一般由较低层级的员工执行，而管理层会凌驾于“内部会计控制”之上。因此，为防范虚假财务报告的产生，应该体现“高层基调”和“相关职能部门”的作用。于是，《报告》指出，从首席执行官开始，公司高层要设定基调和建立财务报告环境。

《报告》将控制环境界定为：“公司控制环境是实施内部会计控制和编制财务报告的氛围。控制环境包括管理哲学和经营风格，组织结构、沟通和执行权力，责任分配的方法，以及人事管理方法。控制环境对整个财务报告编制过程具有普遍影响（pervasive impact）。”[1]虽有明确的界定，但《报告》“附录F”中的一份“最佳实践指南”却指出：“对控制环境的界定具有主观性，对其进行评价显得困难。即便如此，一个具有聪明才智、丰富经验和判断力的人是可以评价控制环境的整体状况的。”这说明，“控制环境”是一个见仁见智的概念。而“控制环境”为何由四个因素构成，它究竟应该包含哪些因素？Treadway委员会并没有作出解释。

2.AICPA的初步探索。随着内部控制结构从三要素、五要素到八要素的发展，在美国注册会计师协会（AICPA）、COSO、国际审计与鉴证准则理事会（IAASB）、美国公众公司会计监管委员会（PCAOB）、美国证券交易委员会（SEC）等机构的共同努力下，“控制环境”的研究得到重视，其概念和所包含的因素也在不断发生变化。

在Treadway委员会的推动下，AICPA的审计准则委员会于1988年发布《审计准则公告第55号——财务报表审计中对内部控制结构的考虑》[2]（SAS No.55），提出了内部控制三要素结构，即控制环境、会计系统和控制程序。“控制环境”首次被写入审计准则。SAS No.55认为，控制环境代表了不同因素在建立、增强或减轻特定政策和程序的效果的综合影响（collective effect），反映了董事会、管理层、所有者和其他人对组织中控制的重要性的总体态度、意识和行为。这些因素包括：①管理层的理念和经营风格；②组织结构；③董事会及其下属委员会的作用，尤其是审计委员会；④权责分配的方法；⑤管理层监控和跟踪业绩的控制方法，包括内部审计；⑥人事政策和实务；⑦影响组织经营和实务的不同外部影响，如银行监管机构的检查。该表述与《报告》的不同之处在于：

其一，《报告》中没有将“内部会计控制”分成“会计系统”和“控制程序”两个要素，只是表明控制环境对财务报告编制过程具有普遍影响，而没有论及政策和程序。

其二，《报告》中使用的是“普遍影响（pervasive impact）”，而SAS No.55用的是“综合影响（collective effect）”。“普遍影响”强调的是影响面，而“综合影响”强调的是控制环境中不同因素的共同作用。相关规范中采用的是“普遍影响”的说法，如COSO（2006）的《财务报告内部控制——较小型公众公司指南》[3]（简称《小企业内控指南》）用的是“pervasive influence”，PCAOB（2004）的《第2号审计准则——与财务报表审计相结合的财务报告内部控制审计》[4]（AS No.2）用的是“pervasive effect”。

其三，《报告》中用的是“高层基调”，SAS No.55强调的是全员的“总体态度、意识和行为”。这两个表述具有内在一致性，因为“总体态度、意识和行为”要通过落实“高层基调”所建立的行为规范来逐渐养成。这为COSO（1992）[5]在控制环境的定义中强调“行为规范”的重要性而提出“诚信与道德价值观”因素做了铺垫。但因为表述上的不一致，会令人产生困惑。此外，IAASB（2003）的《国际审计准则第 315号——了解被审计单位及其环境并评估重大错报风险》[6]（ISA 315）中，虽在控制环境所包含因素的规定上，采用了COSO（1992）的观点，但对控制环境的定义却采用了SAS No.55的说法。可见，SAS No.55的控制环境定义影响深远。

其四，SAS No.55的控制环境因素比《报告》多3个，而这3个因素都可从《报告》的“附录F”中找到出处。这说明SAS No.55并没有超出《报告》对控制环境的认识。但是，SAS No.55和《报告》的“附录F”都将外部影响因素，即“⑦影响组织经营和实务的不同外部影响，如银行监管机构的检查”，纳入控制环境不妥。这是因为，外部环境虽可影响控制环境的建设，但是控制环境却只能规范公司内部因素。这也是COSO（1992）将其删除，而COSO（2004）[7]的八要素框架中将控制环境与内部环境等同的原因之所在。

3.COSO的权威界定。1992年COSO发布《内部控制——整合框架》，将内部控制结构发展成五要素，即控制环境、风险评估、控制活动、信息与沟通、监控。COSO（1992）认为，控制环境设定了组织的基调，影响了员工的控制意识，提供了员工进行活动和履行控制责任的氛围，是其他控制要素的基础，并为其提供约束（discipline）和结构。控制环境因素包括：①诚信和道德价值观；②对胜任能力的要求；③董事会或审计委员会；④管理层的理念和经营风格；⑤组织结构；⑥权力与责任分配；⑦人力资源政策与实务。COSO（1992）的这一表述相比《报告》和SAS No.55主要有两点不同：

其一，增加了“提供约束（discipline）和结构”的说法。“约束（discipline）”有“符合行为准则的行为”之意，主要指通过行为规范对员工行为进行约束。从构成因素来看，“约束”主要包括因素“①诚信和道德价值观”和“④管理层的理念和经营风格”；而“结构”主要指组织结构以及相关的职责划分、人事政策等，包括另外五个因素。其中，“结构”一说在COSO于2013年发布的COSO（1992）的修订版中被沿用。可以认为，“约束”和“结构”是COSO对控制环境构成因素的总括性表述。

其二，构成因素有增减变动。增加的“①诚信和道德价值观”在《报告》和SAS No.55中对“管理层的理念和经营风格”进行讨论时已论及，从中分离出来可能是为了强调行为规范的引导在形成员工“控制意识”中的重要性。增加的“②对胜任能力的要求”，可认为是从SAS No.55的“⑥人事政策和实务”中分离出来的，强调了员工素质对建立内部控制的重要性。删掉SAS No.55中的“⑤管理层监控和跟踪业绩的控制方法，包括内部审计”，可能是因为COSO（1992）强调的是财务报告内部控制，而业绩评价主要与管理会计相关，内部审计则可在审计委员会中讨论。删掉SAS No.55中的“⑦影响组织经营和实务的不同外部影响，如银行监管机构的检查”，是因其不属于控制环境，而是外部影响因素。

COSO（1992）的观点成为业界对控制环境的权威解释。AICPA（1995、2001）、COSO（2004）、IAASB（2003）、SEC（2003）、PCAOB（2004、2007）等各类规范中，在论及控制环境时，均以其为蓝本。

AICPA分别于1995年和2001年发布《审计准则公告第78号》[8]（SAS No.78）和《审计准则公告第94号》[9]（SAS No.94）。在控制环境的表述上，只有一点细微的变化，将COSO（1992）的“董事会或审计委员会”改为“董事会或审计委员会参与”。

IAASB（2003）的ISA 315出于采用风险导向审计方法的考虑，强调了控制环境中治理层的作用，将“董事会或审计委员会”改为“治理层的参与”。还有一点小变化是，在“诚信和道德价值观”前加上了“沟通和践行”。

SEC（2003）的《最终规则——管理层对财务报告内部控制的报告及其对定期披露的证明》[10]虽没有详细论述控制环境，但文中凡涉及控制环境的部分，基本采用了COSO（1992）的观点。

PCAOB（2004）的AS No.2对控制环境所包含因素的界定略有不同，主要论及高层基调、权力与责任分配和行为规范等。这可以看成是对COSO（1992）观点的一个总括说明。

在PCAOB（2007）的《第5号审计准则——与财务报表审计相整合的财务报告内部控制审计》[11]（AS No.5）中，删掉了AS No.2中关于控制环境因素的表述，采用了“管理层的理念和经营风格、诚信和道德价值观、董事会和审计委员会”的说法，这显然也出自COSO（1992）。

COSO（2004）的《企业风险管理——整合框架》进一步将内部控制五要素发展为八要素。相较于COSO（1992）的变化是，将“管理层的理念和经营风格”一分为二，即“风险管理理念”和“风险偏好”；将“董事会或审计委员会”改为“董事会”；将“人力资源政策与实务”改为“人力资源标准”。

但是，控制环境为何就是基础和氛围？它只能包括这七个因素吗？COSO并没有做出解释。

4.COSO的重新界定。2013年，COSO发布修订版的《内部控制——整合框架》[12]（含《内容提要》《框架和附录卷》《内部控制系统有效性评价的说明性工具卷》《外部财务报告内部控制：方法与举例概要卷》），其《框架和附录卷》从形式到内容都可以看成是COSO（2006）《中小型公众公司财务报告内部控制指南》[13]的翻版。

COSO（2006）提出了原则导向的内部控制建设思路，将内部控制要素所包含的因素发展成内部控制建设的原则，从五要素中阐发出了20条基本原则。从控制环境的定义来看，是指内部控制的其他构成要素的基础，它设定了组织基调。可以看出，这一定义源于COSO（1992），但没有采用“约束”和“结构”之说。其所包含的因素也是七个，与COSO（1992）几乎完全相同，不同的是，原是用一个词来表示的因素，变成了理解这一因素的一段话。譬如，从“诚信与道德价值观”因素阐发出的原则是：“确立良好的诚信和道德价值观，尤其是在最高管理层，并广为人知，且确立了财务报告的行为准则。”显然，这一变化很难说是进步，因为即便不将它看作原则，也需要具体阐述控制环境的构成因素。

COSO（2006）本来是为满足较小型公众公司财务报告内部控制建设所需而发布的，但文中又指出可适用于大公司，这就为COSO于2013年将其发展成具有普遍适用性的框架做出了铺垫。

COSO（2013）将COSO（2006）的20条原则改为17条原则，并重新界定了控制环境。在其《框架和附录卷》中指出：“控制环境是一套标准、流程和结构，能够为组织实施内部控制提供基础。董事会和高级管理层应在高层建立基调（包括期望的行为准则），强调内部控制的重要性。管理层应在组织的不同层级强化这一期望。控制环境包括：组织的诚信和道德价值观；使董事会行使监督职责的各种因素；组织结构以及权力与责任分配；对胜任能力的要求（吸引、培养和留用人才的程序）；实施问责制（用以实现绩效问责的严格的绩效衡量、激励和奖励）。控制环境对整个内部控制系统具有普遍影响。”相较于COSO（1992），COSO（2013）的不同之处主要有：

其一，将COSO（1992）中的“约束和结构”改为“标准、流程和结构”。其中的“约束”变成“标准、流程”的原因可能是，“约束”除了来自行为规范，组织建立的各类标准和流程都可以提供约束。

其二，将COSO（1992）中“管理层的理念与经营风格”并入“组织的诚信与道德价值观”，并且在“原则1组织应体现对诚信和道德价值观的承诺”的第一个关注点“设定高层基调”中，讨论了管理层的理念和经营风格。这就又回归到《报告》和SAS No.55的做法，只不过是用“组织的诚信与道德价值观”合并“管理层的理念与经营风格”，而原来正相反。虽然表述不同，但强调的都是高层基调的重要性。

其三，将COSO（1992）中的“组织结构”和“权力与责任分配”，以及“对胜任能力的要求”和“人力资源政策与实务”均合二为一。

其四，增加了一条“实施问责制”。问责制是内部控制能对组织目标的实现提供合理保证的诸多控制措施中的一项必不可少的措施。有目标、有措施，当然要问责。但是，提出“实施问责制”并无新意。其实，COSO（1992）在“诚信与道德价值观”中就曾提及不合理的业绩目标会带来压力，进而造成舞弊，并在“人力资源政策与实务”中提到了业绩评价和薪酬激励的重要性。SAS No.55也论及“⑤管理层监控和跟踪业绩的控制方法，包括内部审计”。而COSO（2013）将其单独作为一个因素，可能的原因是：COSO（1992）强调财务报告内部控制，至于业绩目标达成与否，如何激励，是企业自己的事，注册会计师一般不需要评价。只有在目标设定中过分考虑短期业绩而给被审计单位相关人员带来压力，可能造成财务报表舞弊时，注册会计师才会关注。因此，COSO（1992）没有将其独立作为一个因素。而COSO（2013）将财务报告目标拓展为报告目标，不再仅仅强调财务报告目标，问责的重要性就突显出来了。但是，问责制可以涵盖在“人力资源政策和实务”中，作为其中的一个构成因素。

总之，从上述文件中关于控制环境的论述来看，在概念和所含因素的表述上随意性较大，概念的用词多样而含义不明，所含因素分分合合而不作解释。因此，控制环境是一个没有得到合理界定的概念。

二、现行控制环境界定中存在问题的根源

虽然控制环境的概念和所含因素不断变化，但是隐隐约约能看到一条主线，那就是管理过程学派的管理职能体系在其中发挥作用。

COSO（1992）指出：“在组织中的各个单元或职能之内，或者跨单元或职能而实施的经营过程，都是通过计划、执行和监督等基本的管理过程来加以管理的。内部控制是这些过程的一部分，与其整合在一起。它使这些过程得以推行，并对其实施和持续的关联性进行监督。它是管理的工具，而不是管理的替代品。”在COSO（2013）中也有类似表述。

管理过程学派则认为，管理是一个过程，由计划、组织、人事、领导、控制等职能构成。在管理中要先做计划，再对计划的执行情况进行监控[14]。对比COSO的五要素和管理过程学派的五项职能，似乎没有一一对应关系。但如果把管理过程学派的五项职能重新组合，将“组织、人事、领导”合称“控制环境”，将“计划”分解为“风险评估”和“信息与沟通”，将“控制”分解为“控制活动”和“监督”，则可与CO⁃SO的五要素匹配。那么，Treadway委员会和COSO是否将“组织、人事、领导”合称为“控制环境”？

Treadway委员会（1987）指出：“控制环境包括管理哲学和经营风格、组织结构、沟通和执行权力及责任分配的方法、人事管理方法。”其中：“管理哲学和经营风格”与“领导”对应；“组织结构、沟通和执行权力及责任分配的方法”与“组织”对应；而“人事管理方法”与“人事”对应。

如前所述，COSO（1992）认为控制环境包括七个因素，其中：“①诚信和道德价值观；④管理层的理念和经营风格”与“领导”对应；“③董事会或审计委员会；⑤组织结构；⑥权力与责任分配”与“组织”对应；“②对胜任能力的要求；⑦人力资源政策与实务”与“人事”对应。COSO（2013）则认为控制环境包括五大因素，其中：“组织的诚信和道德价值观”与“领导”对应；“使董事会行使监督职责的各种因素、组织结构以及权力与责任分配”与“组织”对应；“对胜任能力的要求（吸引、培养和留用人才的程序）”与“人事”对应。“实施问责制（用以实现绩效问责的严格的绩效衡量、激励和奖励）”为COSO（2013）新增内容，可以视为从“人事”中分离出来的。

可见，COSO所提出的控制环境就源于管理职能体系中的“组织、领导、人事”。但由于管理过程学派的管理职能体系存在局限性，这使得控制环境的界定存在先天不足。

管理过程学派没有认识到管理职能或管理环节是一个有机整体，而将组织的各项活动都分别归入这些职能或环节之中，并将其整合成一个管理系统，该系统被称为管理职能体系[14]。在该体系中，管理的职能得到系统研究，而各项活动却被分割在不同管理职能中，以致难以构成一个整体。这是一种本末倒置的做法。只有活动，如战略、采购、生产、销售、研发等，才能构成一个管理系统。而管理职能体系只是一套方法体系，其发挥作用的方式是将管理职能视为一个有机整体，使其共同作用于各项活动之上。也就是说，组织开展任何一项活动，都需要有计划、组织、人事、领导、控制等五项管理职能共同发挥作用，缺一不可。作用的结果是制订和实施了控制活动和监督活动。如果这样，方法体系如何构成一个管理系统？

管理过程学派将管理职能体系中的各个环节割裂开来的做法影响了COSO。COSO构建内部控制系统的思路与管理过程学派如出一辙。可以认为，COSO框架就是管理职能体系的翻版。COSO误以为按照五要素可以构建起内部控制系统，其实COSO框架只是一套方法论。由于理论基础有误，COSO对控制环境的界定存在局限性也就在所难免。

三、控制环境的重构

1.理论基础。控制环境是内部控制系统的组成部分，要重新界定控制环境，就需要先讨论内部控制系统的构成，而这需要新的理论基础，即管控融合论。

较早观察到管控融合的是美国著名管理学家迈克尔·波特。1985年，波特在竞争三部曲的第二部《竞争优势》中提出了众所周知的价值链模型。一般认为，价值链是一个战略实施工具。殊不知，价值链是波特针对活动构建的管理系统。波特在该书前言中指出，该书的核心是企业活动基础论（activitybased theory）。企业是一系列活动的集合。活动是企业日常行为的体现，是实在的，能为人所见。波特还进一步指出：“价值链并非是独立活动的集合，而是这些看似独立的活动所构成的一个系统。”[15]可见，波特认识到，在企业管理中只有活动是可见的，并将活动排列有序，构建了一个管理系统。

但是，波特并没有指出活动就是控制活动和监督活动，也没有指出体现为“价值链”的管理系统是企业唯一的管理系统。这为COSO的内部控制系统留下了存在的空间。COSO（1992）曾试图将波特的价值链纳入其控制活动要素中，这是一种本末倒置的做法。组织只有针对控制活动和监督活动，将其排列有序所构建的系统才是真正的内部控制系统，除此之外，无其他系统存在。

控制活动可分为三类。第一类是基础性控制活动，它是其他控制活动发挥作用的基础，可称为控制基础，具体包括八个构成因素：文化、战略、社会责任、制度、公司治理、组织结构、权责分配、人力资源管理。COSO（1992、2003）将此类控制活动中的文化、公司治理、组织结构、权责分配、人力资源管理等称为控制环境。我国五部委《企业内部控制基本规范》和《企业内部控制配套指引》在COSO控制环境的基础上，增加了发展战略、社会责任、内部审计作为构成因素。考虑到制度建设在内部控制规范化建设中的重要性，内部审计又是一种监督活动，所以，本文确定上述八个构成因素作为控制基础。第二类是一般性控制活动，它能够对两项或多项控制活动产生影响，具体包括全面预算管理、信息系统管理等。只要符合本文对一般性控制活动的界定，均可归入此类，如全面质量管理、平衡计分卡等。第三类是专项控制活动，它是某项业务或财务活动中采取的控制活动，具体包括采购、生产、销售、投资、筹资、营运资金、合同、固定资产、在建工程、财务报告等。该类控制活动也可称为业务层面控制，可借鉴波特价值链将其排列有序。

内部控制系统框架图

如图所示，构建内部控制系统的思路是：在控制基础之上，运用全面预算管理、信息系统管理等一般性控制活动，开展业务层面的专项控制活动，并采取监督活动保障其有效实施。以采购业务为例予以说明：采购业务活动要体现组织文化、社会责任和发展战略的要求；要有采购管理制度；要在治理结构之下建立采购的组织架构、权责分配和人事政策；要有采购预算管理、信息系统管理；要有对采购工作的监督。所以，内部控制系统可构成一个有机整体。由于本文研究的主题是控制环境，而不是内部控制系统的构建，故仅简要描述其构建思路。

显然，管控融合论的提出为控制环境的界定提供了理论依据。

2.控制环境的概念和构成因素。环境是指周围的条件，它总是与某一中心事物对应，并且对其产生影响。而COSO称控制环境为内部控制的基础、氛围、前提，是从控制环境对其他内部控制要素具有影响的含义中引申出来的。所以，界定控制环境先要明确“中心事物”，即影响对象，再考虑其影响因素，即环境。Treadway委员会的《报告》指出：“控制环境对整个财务报告编制过程具有普遍影响（pervasive impact）。”这里，控制环境所影响的对象是“整个财务报告编制过程”。SAS No.55认为，控制环境代表了不同因素在建立、增强或减轻特定政策和程序的效果的综合影响（collective effect）。这里，控制环境所影响的是内部控制三要素结构中的“会计系统”和“控制程序”这两个要素，因为它们都是控制活动，所以在表述中用了特定政策和程序。COSO（1992）指出：“控制环境对经营活动的结构、目标设定和风险评估产生普遍影响。它也影响控制活动、信息与沟通系统和监控活动。”这里，控制环境影响的是内部控制系统中的其他要素，以及这些要素在设计和实施时考虑的因素。而这些需要考虑的因素在COSO（2004）中被列为风险管理框架的要素，如目标设定、事项识别、风险评估和风险应对，由此，COSO提出了风险管理八要素框架。在COSO（2004）中，控制环境被称为内部环境。

可以认为，Treadway委员会、AICPA、COSO均是根据“环境”一词的本意，并考虑其影响对象来界定控制环境的。但是，由于现行内部控制系统存在局限性，该系统并非由控制活动和监督活动排列而成，这导致在界定控制环境时，所确定的影响对象各不相同。对象不明，则控制环境难以界定。

在本文构建的内部控制系统框架中，可将影响对象确定为业务活动，则业务活动之外的控制活动和监督活动均可视为控制环境。此时，控制环境可以界定为：在内部控制系统中对业务层面控制产生普遍影响的要素，具体包括控制基础、一般性控制活动和监督活动。若仅强调控制基础对控制活动和监督活动的普遍影响，也可将控制基础界定为控制环境。

需要指出的是，虽然重构后控制环境的构成因素与COSO框架中的某些构成因素看似相同，但其实是不同范式中的表述。COSO框架以管理过程学派的管理职能体系作为理论基础，将组织、领导、人事等职能合称为控制环境。而本文以管控融合论为理论基础，认为管理职能体系是一个有机的整体，只能共同作用于控制对象之上，而不能割裂开来分别实施。虽然二者都有文化、治理结构、组织结构、权责分配、人力资源管理等构成因素，但这些因素具有不可通约性[14]。以组织结构为例，本文所称组织结构是计划、组织、领导、人事、控制等职能共同发挥作用后，提出的应对组织结构方面的风险而采取的控制活动。而COSO之组织结构直接源于管理职能体系，它与计划、领导、人事、控制等职能彼此相对独立。因此，组织结构等构成因素看似相同，但其实已经分属于不同的研究范式。