内部控制五要素包括【基于COSO内部控制要素嵌入的企业组织控制模型研究】

　　摘要：现代意义上的企业内部控制理论主要基于外部审计角度开展研究。然而，将主要以审计角度进行研究的内部控制理论成果运用于企业实践时，却出现成本高昂、效率低下等诸问题。因为企业管理人员是从管理学的角度，并非从外部审计对内部控制的研究成果的角度理解与实施组织各层级的控制行为，而管理学与外部审计两者在目标与范围方面又是不相同的，因此需要构建一个整合性的组织控制模型以解决这种差异导致的问题，并为企业实施内部控制提供指引。本文主要分析了COSO内部控制框架与管理学对控制的主要研究成果之间的差异，并在此基础上构建基于COSO内部控制要素嵌入的企业组织控制模型。
　　关键词：COSO 内部控制 组织控制模型
　　
　　一、引言
　　现代意义上的企业内部控制理论主要基于外部审计角度开展研究。美国注册会计师协会于1949年在其专著《内部控制―协作体系的要素及其对于管理层和独立公共会计师的重要性》中首次明确提出“内部控制”这一概念。此后，内部控制理论经历了内部控制制度、内部控制结构与内部控制整合框架等发展阶段。美国COSO委员会于1992年颁布的《内部控制――整合框架》被认为是内部控制理论发展的里程碑。然而，COSO委员会作为全美反舞弊财务报告委员会的发起组织，其肩负着提升公司财务报告可靠性的历史使命，因而其兴趣主要是对内部控制与财务报告有关的部分感兴趣（Root，2004），这一点与外部审计师是相同的。导致内部控制理论更多地从审计角度开展研究的原因主要有两方面：一方面是从外部审计角度考虑，审计界期望能建立一个测试企业内部控制的范围与标准，以提高审计效率并减轻审计责任；另一方面20世纪70年代以来美国公司财务丑闻频发，而根据Treadway委员会的调查，近50%的财务舞弊案件是由于或部分地由于内部控制失败造成。因此，公司外部利益相关人期望企业拥有一个能合理保证财务报告可靠性、保障资产安全的内部控制体系，同时外部独立审计师能予以鉴证。然而，将主要从外部审计角度研究所得出的内部控制理论成果运用于企业组织控制实践时，却出现诸多问题，如成本高昂、效率低下、失败率居高不下、成功经验难以移植（杨周南等，2007），内部控制的本质要求与实践作用很不相称（杨雄胜，2005）。德鲁克认为企业管理人员付之实践的是管理学而不是经济学，不是计量方法，不是行为科学，后面这些都是管理人员的工具。笔者认为，正是由于企业管理人员是从管理学的角度，而并非从外部审计对控制的研究成果的角度理解与实施组织各层级的控制行为，而同时两者在目标与范围方面又是不尽相同的，进而导致外部审计角度研究的内部控制理论运用于实践时出现诸多问题。笔者认为，应从企业管理的角度构建一个组织控制模型，该控制模型根本目标是为企业战略实施服务，同时将外界对内部控制的规范要求嵌入到模型中，以解决外界对企业内部控制的期望要求。
　　二、管理学对控制相关研究综述
　　（一）法约尔对控制的研究法约尔首先将控制明确纳入管理过程进行系统性研究。法约尔认为，管理活动有五项职能：计划、组织、指挥、协调与控制。而在一个企业中，控制就是要检查核实各项工作是否都已遵照被采纳的行动计划运行，是否和下达的指标一致，是否和已定的原则相符。法约尔在其《工业管理与一般管理》中提到了“企业的内部控制”，并认为这种控制是专门为了帮助各个部门良好地运行而采取的，总体来说就是为了企业的顺利发展。然而，法约尔主要是为了更清晰地论述其对控制的观点，强调其所讨论的控制并不是指“两企业间”的控制而是指“企业内部”的控制。因此，法约尔提出的“企业内部控制”实际上与1949年AICPA定义的内部控制在着眼点与内容上都不相同。作为古典管理理论的代表人物，法约尔对后续管理学者在控制职能的研究方面奠定了框架基础，但是其眼中的控制职能倾向于“作业控制”的范畴，重心在于工人工作的效率“是否和下达的指标一致”。
　　（二）安冬尼对控制的研究 罗伯特 A・安冬尼于1965年出版A Framework for Analysis专著，其将管理控制定义为：“管理人员在完成组织目标的过程中确保获得所需资源并使资源得到有效和高效利用的过程”，安冬尼的研究对学术界产生很大影响（西蒙斯，1995）。此后，安冬尼在《管理控制系统》一书中将管理控制定义为：“为执行组织战略，管理者向组织内的其他成员施加影响的过程”。安冬尼对管理控制概念理解的变化体现了其对战略的重视，也体现了战略学派对管理控制研究的影响。安冬尼认为组织中有三个包含计划与控制的系统或者活动，即战略形成、管理控制与任务控制。其中，战略形成属于最高层次，管理控制则是介于战略形成与任务控制之间。安冬尼认为，战略形成与管理控制之间最大的区别就是战略形成在本质上是非系统的，管理控制过程则涉及到一系列按照较为固定的时间表进行预测的步骤，并且这些预测较为可靠。管理控制与任务控制之间最大的区别就是许多任务控制系统是科学的，而管理控制却不可能简化为科学。管理控制中的重点在组织单位；任务控制的重点在这些组织单位所执行的具体任务。对于管理控制系统的活动内容，安冬尼认为其包含：战略计划；预算准备；执行；业绩衡量。可以看出，安冬尼较明确地界定了管理控制系统的边界，为整个组织控制研究奠定了良好的层级框架，同时将管理控制定义为战略实施的过程也代表了现行控制的主流观点。但从安冬尼论述管理控制系统活动的过程来看，安冬尼眼中的管理控制更多的是基于会计与财务角度的控制，控制的手段与工具主要是会计与财务导向的，对于非财务控制的考虑较为欠缺。
　　（三）西蒙斯对控制的研究西蒙斯将管理控制系统定义为：管理控制系统就是管理人员为保持或改变组织内部活动模式而采用的正式的、基于信息的例行程序和步骤。这个定义有两个特点：一是管理控制系统是正式的例行程序和步骤；二是管理控制系统是基于信息的系统。当这些基于信息的系统用于保持或改变组织的活动模式时就成为控制系统。西蒙斯将实施战略的管理控制系统区分为四种子系统，即信念系统、边界系统、诊断控制系统、交互式控制系统。西蒙斯明确界定了在《控制》一书中所讨论的管理控制系统不包括管理人员用来协调和管理业务活动的控制。因此，西蒙斯所讨论的管理控制系统与安冬尼一样，都不包括“任务控制”，不同之处在于，安冬尼的管理控制系统论述范围更多地局限于西蒙斯的诊断控制系统，而西蒙斯则将视野扩大到信念系统、边界系统，以及交互控制系统。西蒙斯同时也对“内部控制系统”做了研究，其认为内部控制是有效控制的基础，内部控制用来防止盗用资产和确保会计记录可靠，这对保证诊断控制系统的正常运转非常关键。而内部控制的过程就是按步骤进行详细的检查和对比。在西蒙斯的视野里，内部控制仅仅是注册会计师对公司管理控制的一些基本要求而已（杨雄胜，2006）。因此，从西蒙斯的研究中可以明显看出管理学界对所谓“内部控制”的理解主要是审计学界对传统内部控制的定义，而此后主要由会计与审计学界主导的内部控制研究逐渐扩展了传统内部控制的范围，这也直接导致了两者间的差异日益增大，以至于企业内外部对内部控制期望愈发不一致。从以上综述中可以看出，管理学界将“管理控制”视为战略实施的过程，但这里的“管理控制”并不包括企业组织内所有的控制活动，后者还包括如生产计划安排、质量控制等任务控制。同时，管理学界也将为保证企业资产安全完整、会计数据可靠的控制活动摒弃在管理控制活动之外。然而，如何界定任务控制与会计控制的关系，以及会计控制与管理控制的关系，管理学界并没有给出较好的回答。
　　三、COSO内部控制框架与管理学对控制研究的差异分析
　　（一）控制目标的差异COSO内部控制框架是在继承此前的内部控制两分法与内部控制结构的基础上发展而来。AICPA于1958年在其审计程序公告中将内部控制划分为内部会计控制与内部管理控制，其主要目的是为了明确审计师测试企业内部控制的范围与责任；1988年，AICPA在其55号审计准则公告中将内部控制扩展为内部控制结构，即控制环境、会计制度和控制程序。而COSO委员会在其《内部控制――整合框架》中则将内部控制按要素划分为控制环境、风险评估、控制活动、信息与沟通、监督。吴水澎等（2001）认为COSO报告一个有价值的发现就是揉和了管理与控制的界限。然而，这种“揉和”同时也意味着目标的揉和。COSO内部控制框架认为内部控制是为下述目标提供合理保证的过程：经营效率与效果；财务报告的可靠性；符合适用的法律与法规。管理学界对控制所下的各种定义大多是将其定义为一种战略过程（西蒙斯，1995），具体而言，是确保完成组织战略目标的过程。相较而言，COSO框架对内部控制目标的界定显然更为关注控制的外部利益要求，亦即财务报告与法律法规的遵守；而管理学界对控制目标的界定显然是服从于管理本身的宗旨与目标，对于财务报告与法律法规的遵守是组织战略目标达成的必要条件，而非目标本身。表面上来看，COSO内部控制框架界定的目标之一――经营效率与效果似乎与管理学对控制目标的界定比较契合。然而，仔细分析COSO内部控制框架，COSO对于经营效率与效果这项目标的讨论是比较保守的，一方面，此项目标包含了业界颇为关注的保护资产安全与完整的目标，另一方面，COSO认为：“内部控制不能防止错误的判断或决策，也不能阻止可能造成主体无法实现经营目标的外部事项。对于这些目标而言，内部控制体系只能就管理层以及发行履行监督职能的董事会及时了解该主体它们迈进的程度提供合理保证”。 显然，COSO此言是为了降低各方对内部控制的期望。综合起来，对于COSO眼中的内部控制的经营效率与效果的目标，实际上就是为了保护资产安全与完整，以及为管理层与董事会就经营目标的迈进程度提供可靠的信息。而这与西蒙斯视野中的“内部控制”差异并不大。事实上，管理控制系统的确是基于信息的系统，信息是控制决策的基础，但提供信息目标与决策目标两者的宗旨虽然一致，但层级并不相同，信息应该是决策的手段与必要条件，而其本身并非目标。
　　（二）控制范围的差异一般认为，如果COSO内部控制框架是继承内部控制两分法（内部会计控制与内部管理控制）与内部控制结构的基础发展而来，并且其范围有扩大趋势，那么似乎COSO内部控制应包含管理控制。笔者认为，COSO内部控制的范围是否包纳管理控制的前提在于COSO自身对其框架的范围界定，以及管理控制本身的范围。COSO在论述内部控制的有效性时，论及了内部控制与管理过程的关系，由于内部控制是管理过程的一部分，因此对构成要素的讨论是在管理层在经营企业的过程中做了什么这一背景下进行的。但是，管理层所做的每一件事情并不是都是内部控制的元素。由此COSO将使命与价值观陈述、战略规划、活动层次目标设定、风险管理与矫正措施等排除在内部控制范围之外。在这些管理活动中，使命与价值观陈述实际上为西蒙斯管理控制系统中信念系统与边界系统的内容之一，同时使命与价值观陈述虽然不是行政官僚控制的方法，但却是文化控制的重要方法之一；活动层次目标设定与矫正措施则是控制系统必不可少的两项要素，孔茨认为，任何基本的控制流程，不管它用在哪里，控制的对象是什么，都要包含以下三个步骤：制定标准；借助这些标准来度量绩效；采取措施修正相对于标准和计划的偏差。从这方面来看，COSO内部控制框架的范围并未完全包含管理学对控制的范围界定。从另外一方面来看，如果按安冬尼与西蒙斯的划分，将管理控制与任务控制做明确界定，那么管理控制的范围实际上也未包含COSO内部控制框架所界定的范围。COSO内部控制在控制活动要素中实际上更倾向于任务控制，如高层审核、直接的职能或活动管理（Direct functional or activity management）、信息处理（Information processing）、实物控制、职能分离等，这些控制活动实际上是嵌套进管理控制与任务控制，并且在资产安全与信息可靠方面更加倾向于任务控制。总结起来，如果将企业战略执行控制系统（记为A）划分为管理控制（记为B）与任务控制（记为C）视为，即：A=B∪C，那么COSO内部控制（记为D）与战略执行控制的关系为：D?奂A，与管理控制则呈相交关系，即：B∩D?奂B，如（图1）所示.总体来说，从两者研究的立场上来看，对于控制目标与控制范围的研究差异是正常的。COSO委员会作为反虚假财务报告委员会的发起组织，自其诞生之日起就担负了如何有效防范财务报告舞弊进而维护资本市场秩序的历史使命，而其兴趣主要是对内部控制与财务报告有关的部分感兴趣（Root，2004）。而管理学界的研究同样也是秉承了管理学本身的宗旨，控制的目标融于管理的目标，管理的目标融于组织的目标。宗旨与目标的不一致必然影响到范围的差异。这种研究宗旨、目标与范围的不一致必然导致内外部对企业内部控制的期望不一致，以至于外部规范下的内部控制难以实施与评价，或实施与评价不符合成本效益原则。
　　四、基于内部控制要素嵌入的战略控制模型构建
　　（一）企业组织控制模型特征 为有效解决企业内外部对内部控制的理解与期望的差异，必须构建一个能够将COSO内部控制要素嵌入于企业组织控制的模型，并且该模型必须拥有以下特点：模型必须能够反映出利益相关人除了企业绩效方面，对于企业内部控制的规范要求，而不能仅仅只考虑组织战略的实施；如果将外部内部控制规范视为较为刚性的制度要求，那么模型必须能够反映出这种制度要求是如何嵌套进企业战略控制的及之间的差异；模型的逻辑必须符合企业管理过程的基本逻辑。基于以上原则，构建如（图2）所示的基于内部控制要素嵌入的企业组织控制模型。
　　（二）模型内部结构 椭圆代表企业内部，这也代表了企业的战略控制是指对企业内部的战略实施过程进行控制，其责任主体为企业的董事会、高层管理人员与其领导下的员工。虚线矩形内表示企业的组织控制系统，其目标在于企业战略的实施并产生绩效，同时战略控制系统并非是封闭的系统，其在社会责任、公司治理与对外报告等方面与外部产生互动。如果按管理过程学派的代表人物罗宾斯的划分，即将管理职能划分为计划、组织、领导和控制，那么这里的组织控制系统实际是指广义的控制，即将罗宾斯概念中的组织、领导与控制三者融合，从而组织管理整合成为计划与控制两大活动。企业组织控制系统由三个子系统组成：内部环境系统、信息报告系统与执行控制系统。内部环境系统倾向于罗宾斯概念中的组织与领导，同时包络西蒙斯管理控制系统中的信念系统与边界系统；信息报告系统是企业内外部信息交流的平台，其在企业内部承担着企业上下级之间与业务单元之间的信息收集、加工、处理与报告的职能；执行控制系统包含两个层面的控制，即管理控制层面与任务控制层面。管理控制层面包含基于即定战略的目标设定与分解、预算编制、业务衡量与偏差纠正等；而任务控制层面倾向于具体业务活动的执行效率与效果，如生产进度安排、协调订货、质量控制等。
　　（三）模型与外部环境的衔接企业的控制系统并非封闭的，其受制于外部环境同时又反作用于外部。企业的控制系统的目标在于实现企业的战略与使命，而企业的战略本身受到宏观经济环境与产业环境影响，因此控制系统实际上是通过企业战略规划间接受制于同时反作用于企业竞争环境；企业的绩效目标并不完全取决于企业经营管理人员，资本市场对企业绩效的压力实质上会影响企业战略规划，进而影响企业战略的实施与控制；德鲁克认为，企业管理的任务之一即是“处理本机构的社会影响和对社会的责任”，因此企业的执行控制系统中的例如生产控制、质量控制系统等等必须考虑企业产品与废弃物对社区与社会的影响；企业内部环境系统与外部衔接点在于利益相关者的公司治理要求。公司治理解决的是企业所有权与经营权分离情况下股东、董事会与管理者三者之间的代理问题。而三者之间的制衡关系也将影响到企业战略规划与实施以及信息的传递要求；企业信息报告系统一方面必须满足企业战略控制的信息需求，另一方面信息报告系统承担着以财务报告为主的对外信息传递职能，因此信息报告系统的设计不能仅仅考虑内部管理需求，而应将外部信息需求融合进管理需求之中，这种受托责任的履行是企业生存的必要条件。
　　（四）模型与COSO内部控制框架的关系控制模型的设计必须考虑能够内在逻辑一致地将外部控制制度要求嵌入，以实现内外部对控制要求的衔接。（图2）的企业组织控制系统的总体范围包含COSO内部控制框架，但其划分维度与COSO内部控制框架并不相同，即对于任何一个子系统都可能包含两个或两个以上的COSO控制要素。如内部环境系统中除了涉及控制环境要素外，其边界控制机制即是为了限制企业接近某些机会以防止经营重心分散而增大风险（风险评估要素），而组织设置中的内部审计安排则是为了有效监控企业的战略实施与风险防范（监控要素）。对于执行控制系统与信息报告系统而言，其在标准设定和业绩衡量中过程中需要大量的协调与沟通（信息与沟通要素），以及执行过程的监控（监控要素）；对于信息报告系统而言，其职能在于收集、处理与报告企业决策和外部要求所需信息，因此信息本身的相关性与可靠性就要求有良好的风险评估、控制程序与监控活动。企业组织控制系统的总体范围包含COSO内部控制框架，也即意味着企业组织控制系统中必然有一部分活动不属于COSO内部控制框架范围之内。在企业组织控制系统中，内部环境系统与信息报告系统都属于内部控制要素范围。执行控制系统可以按其按内部活动程序划分为：标准设定（或目标设定）、执行监控、业绩衡量、矫正措施，而根据COSO对内部控制与管理过程关系的阐述，COSO内部控制框架仅仅包含执行监控与业绩衡量两项活动，标准设定与矫正措施并未在其框架范围之内，如（表1）所示。
　　五、结论
　　本文系统性地研究了COSO内部控制框架与管理学对控制研究成果的差异，笔者认为这种概念认知的差异将导致企业内外部对内部控制期望的不一致，进而影响外部所规范的内部控制要求在企业中的实施效率与效果。而基于企业内部控制的实施主体是企业管理人员，因此减轻这种差异的方法就是构建一个从管理学逻辑出发的，考虑外部对企业内部控制规范要求（COSO内部控制框架）的综合性的企业组织控制模型。本文构建了一个企业组织控制模型，并系统分析了模型的逻辑及其与COSO内部控制框架的关系。
　　
　　参考文献：
　　［1］杨周南等：《内部控制工程学研究》，《会计研究》2007年第3期。
　　［2］杨雄胜：《内部控制理论研究新视野》，《会计研究》2005年第7期。
　　［3］李心合：《内部控制：从财务报告导向到价值创造导向》，《会计研究》2007年第4期。
　　［4］韩子贵：《管理理论的发展与行为控制模式的演变》，《经济管理》2006年第14期。
　　［5］杨雄胜：《内部控制理论面临的困境及其出路》，《会计研究》2006年第2期。
　　［6］吴水澎等：《企业内部控制理论的发展与启示》，《会计研究》2000年第5期。
　　［7］阎达五等：《内部控制框架的构建》《会计研究》2001年第2期。
　　［8］亨利・法约尔：《工业管理与一般管理》，机械工业出版社2007年版。
　　［9］罗伯特A・安冬尼等：《管理控制系统》，机械工业出版社2004年版。
　　［10］罗伯特・西蒙斯：《控制》，机械工业出版社2004年版。
　　［11］哈罗德・孔茨等：《管理学精要》，机械工业出版社2005年版。
　　［12］彼德・德鲁克：《管理：使命、责任、实务》，机械工业出版社2007年版。
　　［13］斯蒂芬・P・罗宾斯等：《管理学》，中国人民大学出版社2004年版。
　　［14］Steven J．Root：《超越COSO――加强公司治理的内部控制》，清华大学出版社2004年版。（编辑梁恒）
　　注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文