孙永尧

【摘要】通过比较国内外关于内部控制内涵与外延的各种观点， 分析企业管理、风险管理、合规管理及公司治理与内部控制之间的关系， 并在主体业务活动的客观实践基础上提出大内控观。 内部控制从最初的问题导向发展为风险导向， 深刻反映了经济世界的不确定性、复杂性、多元化与国际化的进程。 现有学派对内部控制本质的认识都是基于基础主义主张， 潜意识地承认了内部控制的本质是先天赋予而不是主体的实践反映。 不论是盈利活动还是提供公共服务， 实际上都是主体面临风险时朝向目标的有目的性的活动。 风险是内部控制的内容， 治理是内部控制的方式， 合规管理则是内部控制最基本的要求， 它们都统一于主体的控制目标。 按准则办事， 是内部控制的形式; 在运动中掌舵主体的发展方向， 是内部控制的本质。 内部控制的本质与形式贯穿于参与者的行为与行动过程中。

【关键词】内部控制;企业管理;风险管理;公司治理;合规管理;基础主义

【中图分类号】 F275     【文献标识码】A      【文章编号】1004-0994（2021）13-0095-9

对于什么是内部控制， 目前学术界尚未有一致的意见。 从内部控制理论发展史来看， 早期的理论家主要聚焦于诠释解析内部控制的含义与结构， 后来则将内部控制扩展到风险管理与治理领域， 辨析其与内部控制的关系， 而最近又出现了内部控制与合规管理思想。 本文研究了内部控制与企业管理、风险管理、公司治理、合规管理之间的关系， 试图从理论上对内部控制的内涵与外延做出创新性解释， 以对内部控制理论有所贡献。

一、内部控制内涵与争鸣

（一）美国内部控制内涵

“内部控制”这一专业术语何时产生、由谁提出， 笔者并非十分确定。 斯迪芬也认为， 没有人可以确定内部控制的起源[1] 。 不过， 美国较为流行的观点是， 内部控制概念最初来源于审计准则制定者。 从美国审计文献来看， 先后出现过内部控制制度、内部控制结构、内部控制整合框架、财务报告内部控制等概念， 美国注册会计师协会（AICPA）对内部控制的发展起到了重要的作用。 AICPA对内部控制的认识发生了如下变化： 1936年认为其是为保护公司资产与保证核算准确而采取的“手段和方法”， 实质是一种会计控制; 1949年认为其是保护公司资产安全、确保会计数据可靠、提高经营效率、促进管理政策实施的计划及相关“方法与措施”; 1951年认为其是保护资产与保证会计记录可靠的“方法和程序”; 1958年认为其包括内部会计控制与内部管理控制， 前者指关于财产安全和财物记录可靠性的方法和程序， 后者指与组织规划相关的所有方法和程序。 1988年， 美国注册会计师协会审计准则委员会（ASB）提出了以内部控制结构论代替内部控制制度论， 指出内部控制结构由控制环境、会计系统和控制程序三要素构成， 表现形式为政策与程序。

ASB的内部控制结构论思想对之后的内部控制研究产生了重要影响， 1992年与2013年美国反虚假财务报告委员会下属的发起人委员会（COSO）的内部控制框架正是这一思想的延续与提升。 1992年， COSO发布的《内部控制——整合框架》受到了国际内部控制理论界与实务界的高度关注， 也为各国内部控制标准制定机构所借鉴或采纳， 其中的内部控制过程论与五大要素的构建觀成为内部控制建设的标准模式。 COSO认为， 内部控制是“一个由主体的董事会、管理层和其他人员实施的， 旨在为经营、财务报告、合规目标实现提供合理保证的过程”， 是由内部环境、风险评估、控制活动、信息与沟通、内部监督五大要素构成的一个有机整体[2] 。 美国证券交易委员会（SEC）和美国公众公司会计监督委员会（PCAOB）均明确提出， COSO内部控制框架可以作为企业建立内部控制体系的参考性标准。 在随后的二十多年里， 由于企业经营环境与企业管理逐渐复杂化， 经营风险日益增加， 加上舞弊事件不断发生， 2013年COSO发布了新的内部控制框架， 其在内部控制的定义、五要素、有效性评价标准等方面与旧框架保持一致， 但提炼出了内部控制五大要素的十七项总体原则， 每一项总体原则又由代表其重要特征的多个关注点所支持。 相对于旧框架， 2013年的COSO内部控制框架具有广阔的应用前景， 但SEC与PCAOB都尚未表态是否采用。

2002年， 美国公布了萨班斯（SOX）法案， 其中404条款规定， 上市公司在公布年报时应说明管理层建设内部控制所承担的责任并声明其有效性。 为执行萨班斯法案， 美国于2003年修订了《证券交易法》， 首次提出了财务报告内部控制的概念。 由于内部控制概念一直解释不清， 修订过程中曾有不少人建议用“财务报告内部控制与程序”来代替内部控制， 也有人建议将内部控制与企业风险管理和公司治理联系起来， 但修订小组未采纳他们的观点， 理由是： 作为法律， 定义不能过于宽泛， 否则会大大增加公司披露成本， 并且404条款也是集中在与财务报告相关的内部控制要素方面; 从注册会计师方面来看， 他们并不对内部控制承担责任; 财务报告内部控制是投资者熟悉的词汇， 可以减少理解上的歧义， 更重要的是， 这一词汇最符合萨班斯法案的目标。 修改后的《证券交易法》将财务报告内部控制定义为“由总裁与首席财务官或执行类似职能人员所设计或监督的， 受董事会、管理层或其他职员影响的， 为财务报告可靠性以及为以下政策与程序的实施提供合理保证的过程： ①资产准确记录与公允反映; ②核算符合公认会计准则， 收入和支出得到授权; ③预防或及时发现未授权资产的取得、使用或处置”。 可见， SEC虽接受了COSO内部控制框架的基本思想， 但仅将其限定在财务报告方面。

虽然COSO内部控制框架非常著名， 但并未得到我国理论界的一致认可。 张安明[3] 认为其存在七大问题： 把内部控制限定在总裁之下， 对董事会的重要作用和董事会与总裁之间的联系和制衡关注不够; 内部控制评估和披露方式容易误导投资者; “合理保证”让社会用户增添了不少猜疑与无奈; 排除目标设定与战略规划不合理; 三类目标不完整且有重叠; 评价标准过于主观; 会计与审计色彩太浓。 蔡吉甫[4] 认为， COSO内部控制框架对内部控制的本质研究不够， 忽视了企业外部环境的作用， 对产权价值运动过程的风险考虑不充分， 监督内容也并未及时反映给主体。 刘霄仑[5] 指出， COSO内部控制框架在控制目标与控制流程方面存在逻辑断层和错位， 内部控制边界不清。 杨雄胜[6] 指出， COSO没有给内部控制设定确定无疑的边界， 让人无法区分内部控制与公司其他管控制度。 李心合[7] 指出， COSO内部控制框架的思想基础、建构模型及框架要素都带有鲜明的美国特征， 并不能普世化， 更不能万能化。 樊行健、肖光红[8] 不赞同COSO五大要素说法， 认为风险评估、信息与沟通分布在控制环境、控制活动、监督与评价基本要素之中， 并非单独存在。 白华[9] 认为， COSO内部控制结构犯了一个认识论上的错误： 五大要素是政策与程序的集合体， 而不是有机整体， 而COSO误读为方法论， 致使过程论走向了歧途， 把管理职能看作工作， 割裂了整体职能观。

（二）加拿大内部控制内涵

1992年， 加拿大特许会计师协会（CICA）成立了控制标准委员会（COCO）， 用于制定发布加拿大内部控制系统设计、评估和报告的标准。 1995年COCO借鉴COSO内部控制框架， 正式发布了关于内部控制的框架性文件——《控制指南》。 COCO使用控制一词代替了内部控制， 指出控制就是资源、系统、过程、文化、结构和任务为实现经营、报告与合规目标的组织要素的集合体， 控制框架由目的、承诺、能力、监督和学习四个要素以及与之相对应的二十条原则构成[10] 。 由于这一框架的实践指导性不强， 而且没有强制内部控制审计的制度安排， 因此逐渐走向衰退。

（三）英国内部控制内涵

1992年的卡德伯利报告（Cadbury Report）、1998年的哈姆佩尔报告（Hampel Report）以及1999年作为公司治理委员会联合准则（Combined Code of the Committee on Corporate Governance）指南的特恩布尔报告（Turnbull Report）是英国内部控制发展史上的三大里程碑[11] 。 卡德伯利报告从财务角度研究公司治理， 将内部控制置于公司治理的框架之下。 哈姆佩尔报告对内部控制概念进行拓展， 明确内部控制不应仅局限于公司治理和财务内部控制， 要求董事及管理人员对财务、经营、遵循性控制等方面进行复核评价。 特恩布尔报告就如何构建“健全的内部控制”提供了详细的指南， 并提出了内部控制系统论与“四要素”论， 指出内部控制是由董事会和管理层共同实施的旨在防止风险发生或使风险降低到可接受水平的系统， 该系统包括公司政策、过程、任务、行为和其他方面; 四要素是指控制环境、控制活动、信息与沟通、监督检查四项内容。

（四）法国内部控制内涵

法国认为， COSO内部控制框架过于理论化， 不适合本国国情。 2003年， 法国制定了《金融安全法》， 其中包括有关公司内部控制的规定， 2007年1月发布了内部控制指引框架[12] 。 该框架提出了内部控制系统论思想和“五要素”论， 指出内部控制是为实现公司目标的一个系统， 五要素包括组织架构系统、内部信息发布系统、风险确认与分析系统、控制运营过程及减少相关风险活动系统与监督检查系统。 该框架以财务报告内部控制程序为主， 为实现财务报告目标服务。

（五）日本内部控制内涵

日本企业会计审议会于2005年成立了内部控制专业委员会， 并于2007年2月正式发布《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定意见书》《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》。 参照COSO内部控制框架， 日本的内部控制框架包括定义、四个目标和六项要素等内容[13] 。 该框架指出， 内部控制是由组织内部所有人员实施的， 旨在为资产安全、运营绩效、财务报告可靠与合规目标的实现提供合理保证的过程。 控制环境、风险评估、控制活动、信息与沟通、监督以及信息技术应对是其六项构成要素。 显然， 日本内部控制属于财务报告内部控制范畴。

（六）我国内部控制内涵

近二十年来， 我国官方与学术界的内部控制研究十分活跃。 学者们主要从管理学、经济学、法学、哲学等多个角度进行了广泛研究， 而官方则主要从内部控制立法方面着手。 就官方而言， 主要以财政部为代表。 财政部会计司早在1996年的《会计基础工作规范》中就提出了内部会计控制思想; 1996年的《独立审计具体准则第9号——内部控制与审计风险》中提出了内部控制“三要素”论， 即控制环境、会计系统和控制程序; 1999年的《会计法》把内部控制看作是单位内部会计监督制度; 2001年的《内部会计控制规范——基本规范（试行）》给出了内部会計控制的官方定义， 即单位为了提高会计信息质量， 保护资产的安全、完整， 确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序; 2008年的《企业内部控制基本规范》是我国内部控制建设的官方指引， 其在借鉴COSO内部控制框架的基础上结合我国企业的实践， 提出了内部控制过程论与五要素的观点。

从管理学角度研究企业内部控制， 主要有企业管理职能论、管理工具论、管理过程论、管理活动论等， 这些观点都认为内部控制是管理控制系统的组成部分[9] ， 是一种作业方式或作业标准[14] ， 是按照预先设定的规则行事[15] ， 是企业的一项管理活动[8] 。 从经济学角度来看， 学者们的主要观点包括： 内部控制是弥补企业契约不完备的一种控制机制[16] ， 是约束剩余权力的契约[17] ， 是一个开发性的控制系统[18] ， 是自我与益我的系统化制度[6] 。 从法学角度来看， 内部控制是利益的平衡机制[19] 。 从主体性哲学来看， 内部控制是以人为本的控制[20] 。 这些研究的一个共同特征是， 都以某一学科某一领域的一些经典理论作为基础， 然后嵌套出内部控制本质， 是典型的基础主义者， 导致的结果是内部控制本质会随着学科理论的发展而发展， 成为一个变动不居的概念。

二、内部控制外延与评述

虽然内部控制的理论研究取得了丰硕的成果， 但尚存在不少有待解决的问题。 在众多问题中， 以下四个问题比较突出： 内部控制与企业管理的关系， 内部控制与风险管理的关系， 内部控制与合规管理的关系， 内部控制与公司治理的关系。

（一）内部控制与企业管理的关系

内部控制与企业管理之间究竟是何种关系， 是企业管理包含内部控制， 还是内部控制独立于企业管理， 现有文献对此的界定并不清晰。 管理学派认为， 内部控制是一种控制工具， 只是完成管理的一项职能， 但从经济学角度来看， 则反之; 而内部控制契约论、系统论或制度论似乎又认为内部控制等同于管理或包含管理。 我国官方持全面内部控制思想， 认为企业内部控制不仅包括战略制定， 而且包含管理决策， 企业管理与内部控制的界线十分模糊。

1992年与2013年的COSO内部控制框架都持管理工具论， 将内部控制看作“嵌入式”的控制活动。 内部控制是一系列活动， 但这些活动都蕴含于管理层的经营行为之中， 而不是置之度外。 企业经营行为包括规划、执行与监督， 内部控制的目的是确保这些行为有效运行。 内部控制与业务流程整合， 其并非是一个单独存在的制度。 嵌入式控制工具是政策与程序， 政策由董事会或管理层来制定， 程序是落实政策的行为或行动。 按此推理， 目标设定（包括战略目标与具体操作目标制定）都是管理而不是内部控制， 落实目标却是内部控制。 同样， 纠正行为是管理而不是内部控制， 因为内部控制是去执行活动， 而纠偏是管理层的职责; 设定风险应对优先次序是管理而不是内部控制， 执行风险控制措施才是内部控制。 然而， 这些情况在现实中不太容易区分。 例如， 企业制定了一个会计核算办法， 这个办法是管理过程还是内部控制？ 按照COSO内部控制框架解读， 制定会计核算办法是管理， 评估会计核算办法在企业中的适用性是内部控制。 可是， 制定会计核算办法的过程本身就是国家规定与企业自身实际相结合的过程， 制度的形成不是一蹴而就的， 而是制定者反复讨论不断征询意见的过程。 由此可见， “制定规则是管理， 执行规则是内部控制”这种嵌入式的控制观是非常狭隘的， 仅仅是履行管理的控制职能罢了。

加拿大COCO内部控制框架的控制范围要比COSO广泛得多， 它仅把决策排除在控制范围之外。 COCO认为， 是否采取行动、采取何种行动是管理的事情， 不属于控制的范围。 而英国内部控制的范围则更加宽泛， 管理与内部控制的边界也不甚清晰。 因为英国内部控制与企业经营管理和文化紧密结合， 是公司治理准则的重要组成部分， 内嵌于公司治理准则之中。

白华[9] 通过解构COSO内部控制框架， 认为企业内部控制与管理控制是融合的， 内部控制结构是方法论， 据此重构了一个方圆结构的内部控制结构框架， 其包括文化、制度、控制环境和信息与沟通四大要素。 公开声明管理制度就是控制制度， 这是值得肯定的结论， 因为管理制度提供了控制依据， 内部控制理应包括制度本身的制定。 可是， COSO内部控制框架中并没有包括这项内容。 COSO认为， 制定标准与政策是管理部门的事情而不属于内部控制的范围， 直接导致了企业内部控制建设的空洞化与形式化， 不得不让人怀疑它的存在价值。 张宜霞[21] 从契约论出发， 重构了一个三层级别（治理控制、管理控制与财务报告控制）的内部控制结构。 但这样构建存在逻辑问题： 治理与管理是何种关系？ 管理控制与会计控制如何区分？ 这些争论多年的问题， 在内部控制结构中仍然存在。

（二）内部控制与风险管理的关系

内部控制因风险而产生， 是对风险的控制。 内部控制与风险管理究竟是何种关系引起了学术界的广泛讨论， 对此有两种基本观点： 包含关系与等同关系。 COSO内部控制框架与英国特恩布尔报告认为， 内部控制是风险管理不可分割的组成部分。 我国国资委、银保监会也持相同的观点。 但我国不少学认为两者是等同关系， 代表性观点如下： 内部控制与风险管理是控制风险的两种不同语义表达形式[22] ; 内部控制就是如何管理风险、控制风险的学科[23] ; 从战略管理角度看， 内部控制与风险管理应合为一体[24] ; 风险管理是内部控制的核心[25] 。 也有学者将内部控制看作是一种内部风险的控制机制， 认为其是企业综合风险管理的一部分[26] 。

关于内部控制与风险管理关系的讨论源于COSO关于内部控制理论发展的反复过程， 即： 从内部控制整合框架（1992年）到企业风险管理整合框架（2004年）再回归内部控制整合框架（2013年）， 而后又发展到整合战略与绩效的企业风险管理（2017年）。 2004年COSO认为， 企业风险管理关注主体如何创造、维护和实现价值， 而内部控制则侧重于主体具体目标的实现， 所以企业风险管理比内部控制更具前瞻性， 而不是事后反应。 而在我国2010年的《企业内部控制配套指引》中看不出这样的区别， 因为我国内部控制目标包括了战略目标， 也是面向未来的， 具体目标是战略目标的分解， 是為实现战略目标服务的。 2017年， COSO的企业风险管理概念有了较大变化， 认为企业风险管理是企业文化、能力和实践与战略目标实现的整合过程， 以达到创造价值的目的， 并提出了与之前完全不同的五大要素与二十项原则。 五大要素是指治理与文化、战略目标制定、绩效、评估与修正， 以及信息、沟通与报告。 仅从五大要素字面来看， 并未出现风险这一词汇， 因此看不出来其是讲风险管理的， 只有联系二十项原则后， 才会让人理解这一意义。

事实上， 我国企业内部控制五大要素中包括了以上思想： 控制环境包括了治理与文化、战略目标制定这两个要素， 绩效是风险评估要素与控制活动要素的整合， 评估与修正则综合了风险评估要素与内部监督要素。 2017年COSO所谓的风险管理新要素， 只不过是用不同的词汇表达罢了， 与内部控制五大要素相比， 并无实质区别。 可是， COSO不这样认为， 其认为： 内部控制与风险管理的关注点不同， 不能相互替代， 内部控制是企业风险管理的一个基础和组成部分。 诚然， 2017年版企业风险管理突出了风险治理与文化的关系、战略与绩效的关系， 创新了风险管理的词汇， 隐晦了内部控制原有词汇， 让人觉得风险管理与内部控制是两种完全不同的体系。

我国2006年《中央企业全面风险管理指引》将内部控制视为执行风险管理基本流程的一系列规章制度， 目的是控制风险， 实现风险管理目标。 事实上， 风险管理与内部控制的对象都是风险， 确实如谢志华[22] 所说的仅在语言表述上有所区别。 内部控制的风险评估， 是针对企业生产经营活动所面临的一切风险的评估， 涉及目标设定、风险识别、风险分析、风险评估以及风险应对， 最终落实到风险控制技术上， 如编制风险清单与风险控制矩阵。 COSO将风险容忍度的确定视为风险管理而不是内部控制， 将控制风险技术视为内部控制， 这纯粹是人为的规定而不是理论上的必然。 在企业管理中， 职责权限分为法定式与任意式， 风险管理目标事关企业可持续发展， 属于企业战略， 只有股东大会或董事会才有权决定， 管理层只是执行者， 但这不是风险管理与内部控制的区别， 而是法定。 进一步而言， 风险容忍度的确定由于涉及股东利益， 只有董事会才有权决策， 管理层只是执行这一控制要求， 因此其属于内部控制还是属于风险管理， 完全取决于法定与利益关系， 并非逻辑上的演绎关系。

（三）内部控制与合规管理的关系

我国关于内部控制与合规管理关系的讨论源于2018年国资委公布的《中央企业合规管理指引（试行）》。 该指引要求企业建立合规管理体系， 将合规要求覆盖各业务领域、各部门、各级子公司和分支机构、全体员工， 贯穿决策、执行、监督全流程。 这是否意味着企业合规管理与内部控制是两种体系， 如是， 两者又是何种关系？

黄胜忠、刘清[27] 认为， 合规管理和内部控制是从属关系， 合规管理是内部控制体系的一部分， 是内部控制的一种手段和方法。 笔者也支持这一观点。 合规管理内容的实质就是内部控制合规目标要求实现的内容。 根据上述指引， 合规管理是以有效防控合规风险为目的， 开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。 这些内容正是内部控制所要求的。 2019年， 国资委《关于加强中央企业内部控制体系建设与监督工作的实施意见》中指出， 内部控制体系包括强化集团管控、完善管理制度、健全监督评价体系等方面。 以风险管理为导向、合规管理监督为重点是建立健全内部控制体系的关键。 强内控、防风险、促合规是内部控制的管控目标之一。 如此看来， 国资委同样认为合规管理是内部控制的一部分， 只是特别强调了合规管理在内部控制中的重要性。

（四）内部控制与公司治理的关系

目前， 学术界对于内部控制和公司治理的关系存在较大的争议。 杨雄胜[28] 认为， 内部控制是公司治理的基础。 阎达五、杨有红[29] 则认为， 公司治理是内部控制的环境要素之一， 是内部控制的前提。 李连华[30] 认为， 内部控制与公司治理是“你中有我， 我中有你”的嵌合关系。 李维安、戴文涛[24] 认为， 内部控制与公司治理在内容、结构、方法与控制重点上都不相同。 这些争论的关键在于如何理解治理概念， 要剖析它们之间的关系， 需要深入考察经典理论家对于治理这一概念的诠释过程。

1. 治理概念的歷史。 “治理”在当今是一个比较令人瞩目的词汇， 大批社会科学研究者对其给予了极大的关注。 剖析治理理论有助于理解内部控制与公司治理的关系。 不同的治理理论有着不同的目的， 有的关注权威决策如何能够产生集体行动的结果， 有的关注不同社会阶层在治理过程中所起的作用， 有的关注如何设计、组织与安排治理， 有的则关注治理绩效， 还有的研究了治理为什么会失败以及如何改善治理。 总的来说， 这些治理理论为复杂的行为、碎片化的信息、变动不居的社会提供了一种分析性框架。 治理理论涉及的领域非常广泛， 跨越于政治学、公共管理学、社会学、法学与经济学之间， 甚至还延伸到许多应用学科。 尽管治理理论多种多样， 似乎没有一种是纯粹的， 但它们之间有不少重叠， 且都是基于政府、市场与公民社会的认知， 提出了种种改良主张。

治理观念暗喻了市场与公民社会的参与者才是公共政策的来源与制定者。 这是一个积极公民社会的理念， 是一个去权力中心化的设想， 目的是达到受管制的自我调节状态。 治理一词虽然非常显眼， 但其含义还是很不清晰。 事实上， 它经常作为一个后缀词来使用。 格里·斯托克等[31] 认为， 治理与政府治理是同义词， 都是指创造条件以保证有秩序的集体行动。 全球治理是指设置全球问题的管制政策; 多元治理是指一个政府部门之间持续协商的系统; 在新公共管理理论中甚至提出了新治理的概念。 纵使有这些加了前缀词的治理的解释， 我们仍然不知道究竟什么是治理。 Treib等[32] 曾对治理的概念进行了总结， 认为以下三种定义比较具有代表性： 治理就是形成集体意志; 治理是调整社会与政治参与者行为的规则系统; 治理是指采取合作方式从政治上操纵社会与经济关系。 但这三种定义也受到了治理学者们的不少批评， 如Christopher Ansell和Jacob Torfing[33] 就指出， 这些定义都没有反映出治理的本质特征， 因为它们与政治、法律以及政策紧密联系， 无法区分。

关于治理的定义， 一些较为权威的文献常被学者们提及。 世界银行（The World Bank）[34] 认为， 治理是这样一个过程： 选择政治决策者; 政府管理资源与实施政策的能力; 尊重制度。 该定义是规范性的且有单边化的倾向， 与治理理念不甚吻合。 虽然世界银行提到了制度需要互动， 但还是基于政府原有的体制与程序。 Jessop[35] 认为， 治理就是组织本能反映的差异化等级结构。 这一定义也是规范性的， 并且隐含了一个假设： 与政府和市场相比， 公民社会更能达成一致性， 更容易平均化， 更能取得信任， 考虑更周全。 Klijn[36] 认为， 治理就是网络治理， 它既是政府与市场的结合， 又是它们的替代。 这一定义看似更清晰， 实则过于狭隘， 其有意避开了操纵、控制与协商方面的问题。 Rhodes[37] 倾向于把治理看作是自由主义的语言博弈， 这是一种后基础主义的观点， 他认为， 治理不是制度、过程或者方式， 而是一种情景参与者的叙事。 按此解读， 治理就是一切， 同时又是虚无[38] ， 使得治理概念又过于泛化。 Torfing等[38] 认为， 定义治理不能离开治理这一词汇的词源含义。 在拉丁文与希腊文中， 治理一词的本意是掌舵、操纵与指引， 这是治理的中心点。 据此， 将治理与公民社会、市场联系起来， 其含义就是为了实现公共目标， 通过集体行动来统领社会与市场的过程。 虽然治理的本质含义可以有多种模式， 但其不会局限于任何特殊的制度形式。 显然， 这一定义既避免了治理狭隘化的倾向， 又防止了漫无边际的解读。 治理是管理与调节社会和市场的过程， 这是治理的本质， 其运作方式是有目的的共同行动， 治理目标要取得公认。

以上关于治理概念的种种理解， 出现了形形色色的治理理论。 2016年， 由Christopher Ansell和Jacob Torfing[33] 主编， 并集中全球63位治理学者出版的《治理理论手册》（Handbook on Theories of Governance）， 就包括集体行动、组织、公共管理、网络、风险、参与、合法性、责任、透明度、掌舵等44种治理理论。 治理理论的这种图景， 被学术界称为“概念丛林”， 让人感觉难以掌握治理的精神实质。 那么， 是否能将各种治理理论统一起来并加以系统化表达呢？ Mark Bevir[39] 、Peters和Pierre[40] 做了这方面的尝试， 他们从不同角度对治理理论进行提炼与升华， 并取得了富有成效的结果。 Mark Bevir[39] 在后基础主义与去中心化这两个关键概念的基础上， 采取历史叙事与人文主义相结合的方式， 根源于人类活动的实践， 遵循哲学—社会—政治的思路， 提出了一般治理理论， 认为治理就是统治行为的所有过程， 是人类创造与再创造的多种多样实践活动持续不断的过程。 Mark Bevir是采用整体意义论来建构一般治理理论， 而Peters和Pierre[40] 则让治理回归功能主义。 他们认为， 现有的治理理论过分抬高社会参与者而忽视了政府的作用， 过于倾向实用主义， 治理应更关注合法性与绩效， 而不是参与者的实际需求。

由上述分析可以发现， 治理涉及的内容十分广泛、内涵含糊且不同学派之间存在冲突， 一味遵循某种理论未必会产生预期的治理效果。 治理理论给我们的启示是， 随着背景条件的变化， 现存的规则体系尚存在某些不完善之处， 经过调整后会变得更好。 治理作为一种新兴的社会科学理论， 至少有以下四个方面值得我们思考： ①上述治理理论几乎是同时产生的， 虽然其研究视角与研究问题不尽相同， 但它们促进了不同学科的融合。 多视角的治理理论本身就是一种理论优势。 去中心化、商谈公共价值、转型、重叠共识， 本身就描述了制度化的治理过程。 ②权力、合法性、责任这些经典的社会科学概念成了治理理论的构建基础。 随着时代的变迁， 新情况、新问题不断涌现， 治理理论重新诠释了这些古典概念， 并赋予了其新时代的含义， 增强了社会科学的生命力。 ③治理概念体现了不同学科的交集， 打破了学科之间的界线， 有利于社会科学的交流与对话。 ④随着治理理论研究的不断深入与完善， 治理概念不断被弹性使用， 虽显主观但也有利于治理理论的发展。 尽管如此， 由于治理概念的过于不确定似乎陷入了相对性， 让人感觉到其在严密性与周延性方面存在问题。 定义清晰、论证规范、分析透彻， 都是社会科学研究者所追求的目标。 治理作为一种新的解释现实世界的理论工具， 尚需持续不断地讨论与发展。

2. 公司治理的基本含义。 公司治理是治理概念在微观经济领域的应用， 是治理理论的具体化， 公司理论是其基础。 公司治理的目的是保证公司朝着既定方向可持续地发展， 使其不会停止或消亡。 掌舵是公司治理最基本的含义。 掌舵公司就是引领公司克服各种风险与挑战， 以达到掌舵者的目的。 掌舵公司涉及掌舵的条件、模式、方式与工具。 掌舵条件即公司环境， 包括组织结构、公司文化、人事政策、社会责任等方面的内容。 就掌舵这一含义来说， 公司决策机构、决策机制与决策方式最为重要， 因为其直接关系到公司的生存与发展。 公司组织形式与职能机构有法定方面的要求， 也有非法定方面的要求， 非法定方面的要求主要由公司根据自身形式、业务特点、管理水平等而确定。

去中心化、分权而不是集权， 是掌舵衍生出来的第一层含义。 它要求公司的重大决策需要有一种制约机制， 而不能放任由一人独自任意决定。 因为一人决策的风险很高， 很难取得一致的集体行动， 会出现一些逆向行为严重影响决策的执行效果。 因此， 公司治理要求引进一种上下互动的“商谈”机制， 以形成能够使各方面都满意的决策结果。 然而， 这又是不现实的事情， 一致满意通常不太可能达到， 基本同意就已经不错了。 决策是为了实现公司目标而不是为了满足职工個人的需要， 过于强调个人价值会损害公司的利益。 我国企业内部控制中“三重一大”（重大事项决策、重要干部任免、重要项目安排和大额度资金使用）的决策机制正是这方面的创新， 成功地解决了一直困扰西方学者的关于公司决策如何达到控制目标的问题。

合法性、制度与绩效管理也是公司治理的应有含义。 合法性在公司治理语境下是指决策程序要符合一定的规范要求， 由此形成的制度才能取得普遍的认可， 才不会出现合法性危机。 当公司无法唤起足够的承诺或权威来治理时， 就会出现正当性与合理性问题， 这样就无法具备维持或建立有效实现其最终目标的管理能力。 制度与绩效是公司的治理工具。 按制度办事， 按制度去行动， 制度既是公司有效治理的手段， 也是公司运行程序化、流程化与规范化的基础， 而绩效管理则进一步提升了公司的治理水平。

由此可见， 公司治理的这些内容本身就是内部控制的组成部分， 并未超出内部控制的范畴， 只是完善公司内部控制建设罢了。

三、内部控制定义

（一）内部控制含义的变与不变

由上文的分析可知， 内部控制总是面对审计、合规、风险、治理、目标等相关主题， 只不过是随着社会经济的发展体现了时间化的动态序列， 不存在永恒不变的内容。 内部控制的变与不变本身是一对矛盾。 当我们谈到内部控制不变的时候， 是指内部控制本质不会变。 正如一个词汇的基本含义， 无论是否出现在词典中， 它的意思总会被人们所认可与理解。 内部控制的核心精神是控制， 是对主体活动内容的控制， 通过控制以达到预期的目的。 这就涉及对控制这一概念的解读。 其解读方式可以多种多样， 但不管采用何种解读方式， 总有一些永恒的含义。

制度论者认为内部控制是纯粹的管理工具; 管理活动论者对于内部控制的定义外延过大， 无法区分管理与控制; 系统论者将整个控制对象看成是系统， 而内部控制是一个个子系统， 泛化了内部控制， 无法确定其边界; 过程论者深受治理理论发展的影响， 将控制视为实现治理目标的过程。 这些内部控制观点都没有离开控制这一精神， 它们几乎都以某一学科理论作为基础， 然后演绎出内部控制应该是什么， 即内部控制的本质由其他知识所决定， 这是基础主义主张的典型表现。 基础主义者表达了这样一种观点： 有理由相信的绝大多数命题之所以具有这种地位， 只是因为我们承认了比内部控制更基本的命题。

当我们谈及内部控制变化的时候， 是指其内容与对象不断扩大与深化， 而不是指本质发生改变。 内部控制是对主体业务活动与人自身的控制， 其内容必将受主体业务规模扩大与复杂化、组织结构多元化、技术变更与创新、世界经济一体化形成等因素的影响， 问题会越来越多， 风险会越来越大， 对控制能力的要求越来越高， 控制形式也越来越丰富， 变化必然是一个与时俱进的过程。 内部控制首先是为了解决问题而产生的， 没有问题就无所谓控制。 问题导向是内部控制的一个基本特征。 合规是主体的最根本要求， 无论是经济活动还是公共服务， 无论是文化层面还是价值层面， 无论是民族的还是地域的， 无论是国际的还是国别的， 确保主体活动的合法性是内部控制的首要目标。 可是， 由于主体活动的不确定性与复杂性， 不合规问题经常发生， 纠偏是内部控制的一项重要职能， 目的是使主体的活动沿着既定的方向前进而不会因此受阻。

然而， 主体的诚信问题是内部控制面临的最棘手、最普遍的问题， 造假、挪用资金与盗窃等非正常主体活动， 正是内部控制产生的最初的经济根源。 随着经济的发展， 金融工具不断创新， 主体所面临的风险加大， 内部控制导向发生了变化， 控制风险成为内部控制的主题， 问题导向上升为风险导向。 若没有诸如此类的问题， 内部控制就不会成为管理学的一个独立分支， 受到的关注也会大大降低。 近年来， 随着主体经济资源的无效使用與不当使用增加， 绩效管理日益受到重视， 加强绩效评估与考核的呼声不断出现， 内部控制又升华到了一个新的发展阶段。

（二）内部控制的本质

内部控制的本质是指其不变的部分， 这部分内容是跨越时空的， 适用于任何主体的任何情况。 虽然基础主义的内部控制本质观也承认它的存在， 但让人觉得内部控制本质似乎是先天给予的而不是出于自然。 当然， 笔者并非反基础主义者， 只是想反思这样一个问题： 是不是没有其他学科的知识内部控制就不存在了？ 答案是否定的。 笔者认为， 这是一种缘木求鱼的构建法， 完全脱离了内部控制产生的土壤。 内部控制的本质只能从主体实践活动中去挖掘、去发现， 它决非建立在形而上学的虚无之上， 而是来源于现实的生活世界。 主体的实践活动， 在企业中表现为盈利活动， 在行政事业单位中表现为提供公共服务活动。 无论哪种类型的活动， 都是决策者、执行者与监督者共同参与的为达到既定目的的活动。 实践活动的参与者达到了预期的目的， 其内部控制就是正确的、有效果的; 反之， 就是不正确的、无效果的。 主体的实践活动是客观的， 内部控制是主观的， 内部控制的本质就是主观见之于与客观的反映。 只有正确地反映了主体实践活动的整体面貌， 内部控制才能有效发挥作用， 否则就会适得其反， 不但无助于主体活动， 而且会阻碍主体的运行与发展。 主体的这种客观实践活动观才是内部控制本质的构建基础。

企业在追求目标的实践活动过程中做出的每一个选择都有风险。 从日常运营安排到董事会的权衡， 都面临着具有风险的决策。 当企业寻求优化一系列可能的结果时， 决策很少是二元的（要么正确， 要么错误）。 这就是内部控制可以被称为一门艺术和科学的原因。 内部控制促使企业在制定战略和业务目标时考虑风险， 从而有助于优化结果。 由于世界经济越来越不稳定， 越来越复杂， 越来越模糊， 企业必定会遇到影响可靠性、相关性和信任的挑战。 不仅如此， 由于利益相关者越来越多地参与到企业中， 要求企业增加透明度和建立问责机制， 控制风险的影响变得尤为迫切。 企业需要更加适应变化， 战略性地思考如何控制经济活动日益增加的波动性、复杂性和模糊性。 而内部控制可以增强企业的应变能力， 即预测和应对变化的能力。 它可以帮助企业确定代表风险与变化的因素以及变化是如何影响绩效的， 并使战略转变为必要， 这些都为董事会提供了正确的框架以评估风险与弹性思维。

内部控制并不是企业的一项职能， 而是将企业文化、能力和实践与战略制定相结合的过程， 目的是在创造、维护和实现企业价值的过程中控制风险。 内部控制也不仅仅是一个风险清单， 它还包括诸如战略制定、治理、与利益相关者的沟通以及绩效衡量等方面的实践活动。 内部控制的表现形式包括业务流程图、控制程序、控制依据、风险控制矩阵等， 并形成了一个监控、学习与提高绩效的制度。

虽然内部控制有诸多表现形式， 但最终是为了实现对人的控制。 控制形式为人的活动提供了行为准则与行动指南， 使人的活动朝着管理者既定的方向前进， 以保证能够实现可以预见的目标。 内部控制的参与者必须定位好自己的角色与切实履行自己的岗位义务， 否则， 会受到惩戒。 不同岗位角色的人的活动构成了企业活动的总体， 参与者的活动形式表现了企业活动的内容。 参与者的这种活动异于自己本身的日常活动， 属于受企业控制的活动。 这是一个动态的持续不断的过程， 只要企业存在， 必然有相应的各种各样控制参与者的活动。 当然， 这种控制并非一次性的活动， 而是似流水一般不间断地趋向目标的运动。 它是结果导向与过程导向的统一， 只有控制过程才能达到控制结果的目的。 只有一切活动过程规范化、程序化与制度化， 才能保证结果的可持续性。 风险导向与过程导向也是一致的， 控制过程也就控制了风险， 但过程导向这一词汇要比风险导向更符合内部控制是要让主体沿着正确轨迹方向发展的本意。 因为过程控制是通过人的行为与行动结合的过程来完成， 是做人与做事的统一。 按准则办事， 虽符合内部控制的要求， 但态度与价值观的引导也很重要。 内部控制不仅仅规范岗位责任人如何做事， 还应内含一种企业精神， 可激励不同角色定位的人把事情做得更好。

综上， 笔者认为， 内部控制就是决策者、执行者、监督者与其他参与者共同实施的旨在实现主体的合规、运营、绩效与战略目标的过程。

【 主 要 参 考 文 献 】

[1] Steven J. Root著.付涛，卢远瞩，黄翠竹译.超越COSO——加强公司治理的内部控制[M].北京：清华大学出版社，2004：59.

[2] Treadway委员会发起组织委员会著.方红星译.内部控制——整合框架[M].大连：东北财经大学出版社，2008：3.

[3] 张安明.从美国财务危机看COSO报告[ J].会计研究，2002（8）：61 ～ 62.

[4] 蔡吉甫.内部控制框架构建的产权理论研究[ J].审计与经济研究，2006（4）：85 ～ 89.

[5] 刘霄仑.风险控制理论的再思考：基于对COSO 内部控制理念的分析[ J].会计研究，2010（3）：36 ～ 43.

[6] 杨雄胜.内部控制范畴定义探索[ J].会计研究，2011（8）：46 ～ 52.

[7] 李心合.内部控制研究的困惑与思考[ J].会计研究，2013（6）：54 ～ 61.

[8] 樊行健，肖光红.关于企业内部控制本质与概念的理论反思[ J].会计研究，2014（2）：10 ～ 11.

[9] 白华.COSO内部控制结构之谜[ J].会计研究，2015（2）：58 ～ 65.

[10] 李剑.内部控制指南（COCO）节译[ J].上海会计，2008（4）：59 ～ 62.

[11] 财政部会计司考察团.关于赴英国、西班牙开展企业内部控制调研情况的报告[EB/OL].http：//kjs.mof.gov.cn/diaochayanjiu/201906/t20190606_3272984.htm.，2019-06-06.

[12] 財政部会计司考察团.英国和法国企业内部控制考察报告[ J].会计研究，2007（9）：74 ～ 82.

[13] 张影.日本内部控制审计及其对中国的启示[ J].上海立信会计学院学报，2010（4）：52 ～ 61.

[14] 《亚新科集团内控管理程序修正》 课题组.现代企业内控制度：概念界定与设计思路[ J].会计研究，2001（11）：19 ～ 28.

[15] 谢志华.内部控制：本质与结构[ J].会计研究，2009（12）：70 ～ 75.

[16] 刘明辉，张宜霞.内部控制的经济学思考[ J].会计研究，2002（8）：54 ～ 56.

[17] 黎文靖，张帆.利益相关者导向内部控制设计[ J].中国金融，2005（22）：42 ～ 43.

[18] 李心合.内部控制：从财务报告导向到价值创造导向[ J].会计研究，2007（4）：54 ～ 60.

[19] 何云，苏宁，闫瑞华.内部控制是利益的平衡机制——法的价值与人本思想的衔接[ J].新疆财经学院学报，2007（1）：37 ～ 39.

[20] 王海兵，伍中信，李文君，田冠军.企业内部控制的人本解读与框架重构[ J].会计研究，2011（7）：59 ～ 65.

[21] 张宜霞.企业内部控制的范围、性质与概念体系——基于系统和整体效率视角的研究[ J].会计研究，2007（7）：36 ～ 43.

[22] 谢志华.内部控制、公司治理、风险管理：关系与整合[ J].会计研究，2007（10）：37 ～ 45.

[23] 戴文涛.内部控制学科体系构建[ J].审计与经济研究， 2010（2）：80 ～ 86.

[24] 李维安，戴文涛.公司治理、内部控制、风险管理的关系框架——基于战略管理视角[ J].审计与经济研究，2013（4）：3 ～ 11.

[25] 方红星，陈作华.高质量内部控制能有效应对特质风险和系统风险吗？[ J].会计研究，2015（4）：70 ～ 77.

[26] 丁友刚，胡兴国.内部控制、风险控制与风险管理——基于组织目标的概念解说与思想演进[ J].会计研究，2007（12）：51 ～ 54.

[27] 黄胜忠，刘清.企业内部控制与合规管理的整合[ J].财会通讯，2019（17）：105 ～ 108.

[28] 杨雄胜.内部控制理论研究新视野[ J].会计研究，2005（7）：49 ～ 54.

[29] 阎达五，杨有红.内部控制框架的构建[ J].会计研究，2001（2）：9 ～ 14.

[30] 李连华.公司治理结构与内部控制的链接与互动[ J].会计研究，2005（2）：64 ～ 69.

[31] 格里·斯托克，华夏风.作为理论的治理：五个论点[ J].国际社会科学杂志（中文版），2019（3）：23 ～ 24.

[32] Treib O.， H. B?hr， G. Falkner. Modes of governance：Towards a conceptual clarification[ J].Journal of European Public Policy，2007（1）：1 ～ 20.

[33] Christopher Ansell， Jacob Torfing. Handbook on theories of governance[M].Massachusetts： Edward Elgar Publishing，Inc.， 2016：1 ～ 15.

[34] The World Bank. A decade for measuring the quality of governance[R].Washington D. C.：The World Bank，2007.

[35] Jessop B.. The rise of governance and the risks of failure： The case of economic development[ J].International Social Science Journal，1998（155）：29 ～ 45.

[36] Klijn E. H.. Governance and governance networks in Europe[ J].Public Management Review，2008（4）：505 ～ 525.

[37] Rhodes R. A. W.. The governance narrative：  Key findings and lessons from the ESRC's Whitehall Programme[ J].Public Administration，2000（2）：345 ～ 364.

[38] Torfing J.， B. G. Peters，  J. Pierre， E. S?rensen. Interactive governance： Advancing the paradigm[M].Oxford：Oxford University Press，2012：13 ～ 14.

[39] Mark Bevir. A theory of governance[M].Berkeley： University of California Press，2013：1 ～ 2.

[40] Peters B.， Pierre J.. Comparative governance：Rediscovering the functional dimension of governing[M].Cambridge：Cambridge University Press，2016：84 ～ 224.