coso内部控制框架【内部控制框架中人的隐线索研究】

　　摘要：财政部等部门联合发布了我国第一部《企业内部控制基本规范》，并于2009年7月1日起首先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。此次颁布的《企业内部控制基本规范》，对于我国的内部控制体系的建立具有里程碑的意义，引起了社会各界的广泛关注。本文认为。风险产生的根源在于人的属性，在内部控制体系建设中应注重对人本身的研究，内部控制基本规范的建立也应以人为基本导向。
　　关键词：内部控制　风险管理　制度经济学　企业文化　复杂人的假设
　　
　　一、风险控制管理活动矛盾分析
　　
　　(一)风险是企业风险控制活动中的明线索美国COSO委员会发布的《企业风险管理――整体框架》将企业的风险管理看作包含八个要素并受到企业相关人员影响的过程，风险成为贯穿这一过程始终的明线索。风险管理的对象是来自企业内部和外部的经营风险，财务报告风险和财产实物风险。在各种风险的控制环境中，企业通过设定目标，事项识别，评估各个环节的风险，对不同的风险采用风险回避、风险降低、或风险转移的应对策略对风险进行控制，通过有效的信息沟通对已存在或可能存在的风险进行迅速反应。而监督是对企业内部控制有效性的评估和检查，是对内部控制自身存在风险的再控制。
　　(二)人是企业风险控制活动中的隐线索风险存在的必要条件是期望和不确定性，由于不确性的存在使结果偏离期望而产生了风险。内部控制的对象是企业经营中的风险，货币化为企业资本增值或收益率的风险。期望具体化为企业的目标，而不确定性产生于企业的内部和外部。企业外部的不确定性来自于周围环境的复杂性和动态性以及人的有限理性，而企业内部不确定性的主要来自于企业人员行为的道德风险，逆向选择问题。因为人的有限理性，在面对外部不确定性时，企业人员往往难以做出正确决策，带来外部风险性；因为人的道德风险，使得企业人员有可能做出损害委托人利益的行为带来内部风险性。内外部风险性的产生原因都包括了企业人员的行为风险。企业的风险管理活动就是要采取措施，控制内外部不确定性带来的各种风险，确保包括企业目标的实现。而人的因素是企业风险产生的重要原因，因此风险作为内部控制过程中的重要线索，其背后还有隐线索――人。
　　(三)人的双重角色与风险控制活动的矛盾在《内部控制――整体框架》中，内部控制被定义为由企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效果和效率；符合适用的法律和法规。在此定义中，作为控制活动施行者的人，是在一定的控制环境和契约性关系中更多地依靠程序化和制度化的设计实现内部控制的目标。因此，企业相关人员包括董事会、管理层和其他人员是企业内部控制的实现者，而其行为风险又是企业内部控制的重要对象，从而使得人的因素在企业的内部控制中扮演着施控者与受控者的双重角色。同一个人所承担角色的不同取决于其在委托代理关系中的不同地位。在董事会和管理层中，董事会是施控者，而管理层是受控者；在管理层和作业人员之间，管理层是施控者，而作业人员是受控者。面对外部环境的不确定性时，企业上至董事会下至一般作业人员均是施控者即内部控制的实现者。《企业风险管理――整体框架》指出：“企业风险管理是一个过程，受企业董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用”，不仅将内部控制纳入到了更为广泛的风险管理概念中，而且较《内部控制――整体框架》更加强调了企业人员对风险管理过程的影响，突显了人在内部控制中的能动作用以及人作为施控者在风险管理中的地位。在《企业风险管理――整体框架》中，人的因素贯穿了其所有组成要素。风险管理过程与控制活动就是在包含着一定企业文化的控制环境中由一定素质的企业人员进行的，而目标设定，事项识别，风险评估，风险应对，控制活动，信息与沟通以及监督都离不开作为施控者的企业人员。企业人员同时作为施控者和受控者，一方面风险管理控制活动必须由人的行为来完成，另一方面是人的行为本身具有风险性，于是矛盾的两方面成为了风险管理控制活动本身的风险性，笔者认为这是内部控制所具有的根本矛盾。监督检查，是指企业对其内部控制的健全性、合理性和有效性进行监督检查与评估。形成书面检查报告并作出相应处理的过程。监督检查可以及时发现企业内部控制中的重大风险和缺陷，缓解风险管理控制活动本身的风险性，但是要有效解决内部控制的根本矛盾，需要重视人在内部控制中的影响和作用。
　　
　　二、有限理性经济人假设下的制度安排
　　
　　(一)人的交易活动与企业边界
　　按照制度经济学家的解释，人类所从事的经济活动大体上可以分为两类：一类是生产活动。表现为人与自然界发生关系的活动；另一类是交易活动，表现为人与人之间发生经济关系的活动。制度经济学就是在有限理性的经济人假设之下研究人与人之间的交易活动。制度经济学创始人科斯使用交易费用阐释了企业替代市场的机制，解释了企业存在的原因。科斯认为，由于市场中交易费用的存在，企业用契约关系代替外部市场关系将交易费用内部化，使得复杂的市场关系和市场行为可以用科层制与行政命令来代替，免除了市场交易中的交易费用。但企业内部契约和委托代理关系的实施需要相应的监督和治理，从而产生了内部控制的需要。而内部控制是需要成本的，随着企业规模的扩大，当内部控制和管理边际成本高于所消除的外部边际交易费用时，企业边界便形成了。
　　(二)有限理性的经济人与内部控制的制度经济学解释制度经济学中“交易”的涵义不仅指一般的市场行为，更重要的指人们之间的经济关系。因此企业只是将市场交易内部化为内部交易，以阿尔钦和德姆塞茨为代表的“团队生产理论”，认为企业实质上是在团队生产方式下实行激励相容的契约安排。威廉姆森指出不确定性和人的有限理性带来了契约的不完备性。企业契约的不完善性给人的机会主义行为创造了条件，从而也产生了道德风险和逆向选择问题。制度经济学派采用边际和最大化思想对企形成机制进行了阐释，并在有限理性的经济人假设和企业契约不完善性的基础上解释了企业内部控制的必要性。有限理性的经济人仍然具有追求自身利益最大化的本性，然而其对外部信息的认知和处理能力是有限的，因此两蒙认为其决策不是以最大化为目标而只能以满意为目标。经济人追求自身利益最大化的本性，带来了道德风险和逆向选择问题；而有限理性带来了其在面对外部环境不确定性时的决策问题。前者需要对契约的监督和利益制衡机制，后者需要相关的程序和章程来使人员行为模式化以降低不确定性。笔者认为这便是传统内部控制的基础。我国企业改制过程中暴露出的个人专权，缺乏有效监督机制等问题表明企业“人治问题”严重，在企业管理方面过分依赖高层的个人能力和道德素质，而这与有限理性的经济人思想是相悖的，国有企业必须完善现代企业制度，建立起有效的内部控制体系，防范各层级人员的道德风险问题，并使其在面对外来风险时不是依靠个人的独断专行而是严格按照内部控制制度决策。
　　
　　三、社会人假设下的企业文化设计
　　
　　(一)企业文化作为内部控制制度补充的可能性
　　管理学家梅奥认为，职工是社会人，个人不仅受经济因素的激励，而且受各种 不同的社会和心理因素的激励。因而，企业人员不仅以追求自身经济利益作为其行为目标，而且还受到价值观和相关社会需求的影响。我国学者宝贡敏认为，决定人的行为的社会性、心理性的要素有个性、小群体文化，组织文化，区域、语言、宗教群体文化，人类共性。这些理论为“社会人假设”下企业人员行为风险的管理控制提供了基础，使得企业文化以信念和价值观为介质影响企业人员的行为，并最终作用于企业风险控制成为可能。社会人的假设表明人的行为不仅受到经济因素的驱动，还可能具有相关社会因素包括获得友谊和尊重，拥有归属感，追求自我价值的实现等需求。社会性的需求使得企业人员不是作为独立个体存在于企业中，而是企业组织中的一部分，强烈受到周围企业人员的影响。组织文化是组织成员所共有的信念，价值观和基本假设，是组织成员所共有的思想观念、思维方式、行为方式以及组织规范、组织生存氛围的总和，既是一种客观存在，又是对客观存在的反映。组织文化是通过信念，价值观和基本假设影响组织成员的思想观念、思维方式和行为方式，从而对企业人员的行为风险产生作用。组织文化的可改造性是多数学者所公认的，从而使组织文化可以成为企业实现内部控制的重要因素。组织文化的形成、发展和变化过程具有滞后性，短时期内组织文化作为企业不可改造的客观存在是内部控制的控制环境，但是在～定的时间尺度内，组织文化是发展变化的并受到管理者和政策制定者的影响，从而成为内部控制的选择途径。
　　(二)内部控制妁契约性质
　　按照制度经济学家康芒斯的理解，人与人之间的关系通常表现为经济利益关系，而经济利益关系的本质则是一种交易。内部控制往往表现为职位分工，权责安排与利益制衡关系，属于交易的范畴。交易过程中必然存在契约，因此内部控制具有契约的性质。根据有限理性经济人的假设，契约总是不完备的，因此传统内部控制方式是不完善的。这一结论与风险控制管理活动本身风险性的根本矛盾是吻合的。
　　(三)企业文化作为内部控制制度补充的必要性根据制度经济学，公司治理应属于企业契约关系设计的范畴，是内部控制的控制环境，而内部控制是因企业契约的不完善性而产生的。传统的内部控制在有限理性的经济人假设之下倾向于使用企业内部流程设计，职位分工，规章制度，政策和程序的制定等硬性约束。由前所述，企业人员贯穿了《企业风险管理――整体框架》所包含的八个因素，具有施控者和受控者的双重角色，促成了风险管理控制活动本身的风险性的矛盾。而在企业面临的风险迅速上升的今天，传统的内部控制和风险管理方式已不能完全解决这对矛盾，需要软约束的企业文化补充。处于复杂和不确定性环境中的企业面对着更多的风险，从而倾向于制定更多的程序和政策。然而，内部控制给企业带来的附加成本随着企业政策和程序的制定，相关文件的发放，信息沟通以及监督等活动而产生。繁琐的程序和政策不仅加大了内部控制的运作成本，而且延缓了企业对外界环境变化的反应速度，反而又阻碍了企业对来自外部风险的控制和管理。这些都暴露了传统内部控制的缺陷。企业文化不仅可以提高生产效率，降低企业成本，而且还可以提高企业对外界风险的反应速度，然而其运作本身并不产生成本。因此企业文化作为内部控制的外部环境，可以成为传统内部控制方式的补充。为发挥企业文化在内部控制中的良性作用，企业领导应在经营管理过程中倡导和传输某种理念和信念，形成企业组织成员共有的价值观，文化氛围作为无形的力量约束员工的行为，是对有形的制度性约束的补充，一定条件下可以达到制度性约束无法达到的效果。
　　(四)我国企业文化与内部控制社会人假设认为企业文化中的价值观和信念可以有效影响个人的行为，从而影响风险控制活动本身的风险。我国正处在计划经济转型和市场经济建设过程中，企业组织文化的形成受到以往计划经济时期的影响，同时又根植了我国封建文化的烙印，不利于我国企业内部控制的施行。许多企业存在着文化的惰性和组织价值理念变成僵化准则的现象，传统文化中的“面子”，“关系”等假设恶化了企业舞弊和个人权力寻租的问题。建立起高效的企业文化，形成良好的内部控制环境，是我国企业，特别是国有企业改革中的重点内容。当企业文化深入到企业人员和团体中时，内部控制制度自身风险性的矛盾可能得到有效缓解。
　　
　　四、基于“复杂的人”假设下的内部控制
　　
　　(一)“复杂人”的假设　美国科学家德加，沙因首先提出了“复杂人”人性假设。该理论认为，人不是单纯的“经济人”，也不是完全的“社会人”，而应是因时、因地、因各种情况采取适当反应的“复杂人”。在复杂人性假设的前提下，现代管理理论认为，人的需求可以分成很多种，需求随着人的发展阶段，生活条件的不同而变化，需求的内容和层次因人而异。人在同一时间内会有各种需求和动机，叉相互作用、相互结合，形成错综复杂的动机体系。同时人在组织中，可以产生新的需求和动机，在特定条件下，其动机模式总是在内在需求和外界环境相互作用下形成。一个人在不同的单位或在一个单位的不同部门工作时，也会形成不同的需求。一个人是否感到满足，是否充分发挥积极性，一方面取决于其动机模式，另一方面也取决于其同组织的关系。在现代管理理论中关于“复杂人”假设的指导下，笔者认为没有万能的管理方法，同样不存在万能的企业风险管理控制模式。基于有限理性的经济人假设之上的内部控制制度性安排，和基于社会人假设之上的内部控制的企业文化补充都是有效的。同时片面强调某一方面均是有限的。在复杂人假设之上，人的需求的多样性和变动性给企业内部控制设计带来了多种途径，但是同时也增加了企业内部控制的风险性。
　　(二)需求为中心的“权变”内部控制
　　笔者认为，“复杂人假设”否定了刚性的内部控制设计，要求在内部控制中引入“权变”的思想。权变理论的中心思想是：企业组织是社会大系统中的一个开放型的子系统，受到环境的影响，因此必须根据企业组织在社会大系统中的处境和作用，采取相应的组织管理措施，从而保持对环境的最佳适应。组织的活动是在不断变动的条件下以反馈形式趋向组织目标的过程，因此必须根据组织的近远期目标以及当时的条件，采取依势而行的管理方式。管理的功效体现在管理活动和组织的各要素相互作用的过程中，因此必须根据组织的各要素的关系类型及各要素与管理活动之间相互作用时的一定函数关系来确定不同的管理方式。权变理论要求根据具体情况采取适当的管理措施，因此内部控制应该是权变的内部控制，是动态的和多维度的，以适应企业人员需求的动态性，多样性和不可预测性。美国COSO委员会发布的《企业风险管理――整体框架》和我国2008年发布的《企业内部控制基本规范》都是在内部控制的基本理论框架下对企业内部控制作出的原则性规定，两者都体现了内部控制的权变性。
　　企业内部控制的具体设计和规划也应是权变的。笔者认为应以企业人员需求为中心，进行多维度的内部控制设计。企业是具有一定目标的组织，目标是企业一切工作或活动的出发点和归宿。按照目标的性质进行划分，企业目标可以分为战略目标与战术目标。其中战略目标是对企业战略经营活动预期取得的主要成果的期望值。战略目标的设定，同时也是企业宗旨的展开和具体化，是企业 宗旨中确认的企业经营目的、社会使命的进一步阐明和界定，也是企业在既定的战略经营领域展开战略经营活动所要达到的水平的具体规定。战略目标涉及到企业的宗旨和存在的理由，是企业的最高层次的目标。为保证企业目标的实现，企业需要一系列内部控制的设计和实施。我国《企业内部控制基本规范》将战略目标的实现设定为企业内部控制的基本目标，从而使内部控制上升到企业战略层次，使内部控制的实施参与到企业战略的执行过程中去。企业目标与企业人员的个人目标常会发生冲突，从而使企业人员产生道德风险和逆向选择问题。但是刚性的内部控制设计往往偏重于企业人员某一方面的需求，而人的需求是变化的和多样的，因此不能发挥理想效果。过多地强调有限理性经济人的假设，常使用违规成本来吓阻企业人员，期望用高于违规收益的违规成本达到防范道德风险和逆向选择的目的。利益制衡机制是其经常使用的另一种手段，治理结构和内部职位分工可以减少企业人员的窜谋和舞弊的概率，达到内部控制的目的。这是典型的传统内部控制设计方式，其产生和发展是具有历史根源的。在生产力落后和组织结构简单的条件下，传统内部控制具有其合理性。根据人的需求层次理论，在生产力落后的条件下，人的生理和经济需求占主导地位，使内部控制的经济手段能够有效发挥作用。并且在简单的组织结构和外部环境下，制度、规章和程序等机械形式足以满足企业内部控制的要求。因此，笔者认为，生产力欠发达时期机械的内部控制设计是企业在成本与效益原则下的最优选择。现代企业处在生产力高度发达，周围环境高度变化的状态下。人的生理和经济需求在很大程度上已得到满足，其它复杂需求被引致出来，如社交需求，获得尊重的需求，自我实现的需求等高等需求，甚至占据了主导地位，人的需求结构变得更加多样和难以预测。这样的需求结构给传统内部控制提出了挑战，单纯地强调有限理性经济人假设或社会人假设可能都是无效的，复杂的层级组织结构也难以适应外部环境的多变性。生产力的发展以及经济技术的一系列变迁促使了二十世纪末二十―世纪初企业内部控制的变革。传统内部控制设计越来越难以适应现代环境的要求。权变的内部控制强调环境的复杂性和企业人员需求的多变性，使得企业在内部控制中更加灵活和变通，能更好地实现企业战略目标与企业人员目标的统一，从而能够更加适应不断变化的内外部环境，是更和谐，更有效的内部控制理念。
　　笔者认为，我国的内部控制规范也许应在复杂人假设之下，加强制度性建设的同时建立新型企业文化，以对人的研究作为内部控制规范建立的导向，或许可以为解决风险管理控制活动自身存在风险的根本矛盾开拓新思路。
　　
　　(编辑　刘姗)