一个有关企业内部控制理论的基础框架

　　一、文献回顾与评析

　　尽管内部控制实践历史悠久、源远流长，但是对内部控制理论的研究却是20世纪30年代至40年代的事，至今已先后经历了内部控制系统、内部控制结构、内部控制整体框架和企业风险管理框架等几个阶段。这当中，《企业风险管理框架》研究报告目前刚刚投入使用，其效果如何还有待另行考察。COSO（1992）提出的由“三个目标”和“五个要素”构成的内部控制整体框架，因受到理论界和实务界的普遍认可而成为迄今为止最具权威的内部控制理论。由于《内部控制-整体框架》主要是由实务界特别是审计界和经济监管组织界定的，所以描述性较多，而对内部控制的本质则研究得不够。

　　从内部控制整体框架构成要素来看，整体框架强调了控制环境是内部控制的基础，但其只考虑了企业内部环境的影响，而忽视了企业外部环境的作用。就控制环境所包含的具体内容而言， 把组织结构、权责分派、董事会或审计委员会、人力资源政策和实施等视为控制环境的组成部分，显然缺乏一定的逻辑基础，因为从性质上看，它们都是企业经营者实施控制的一种手段。风险评价作为内部控制的一个组成部分有其必要性，但其对产权价值运动过程中遇到的风险则仅局限于评价而不采取措施加以防范和控制，所以风险评价的内涵过于狭窄。

　　对内部控制运行的效率和效果进行监督是内部控制得以有效实施的重要保障，因而监督也是内部控制体系一个不可缺少的组成部分，但把监督的内容仅局限于对内部控制的有效性、完整性和合理性作出评价，而不把基于监督基础之上的相关内部控制信息以内部控制报告的形式及时反馈给控制主体以便于决策，显然不利于内部控制的完善。所以，监督在外延上应包括内部控制信息的披露或传递。

　　我国财政部为配合《会计法》的贯彻实施，于2001年6月发布了《内部会计控制规范———基本规范（试行）》。该基本规范明确了单位建立和完善内部会计控制的基本框架和要求。但是，它只是个征求意见稿，规范的诸多内容很是原则，因而在实务中的可操作性相对较差。从层次上看，其相当于财务会计概念框架，而且也主要是对会计控制以及与会计有关的控制进行规范，既没有明确内部控制的构成要素，也没有考虑控制环境的影响，且在命名和内容上都有一定的局限性。所以，还不能将这个基本规范称为一个完整的内部控制理论框架。

　　我国理论界对内部控制的研究起步较晚，直至20世纪80年代，理论界才开始对这一领域进行探索和研究。不过，早期的研究主要局限于对国外审计理论与实践中所涉及到的内部控制进行翻译和介绍。进入20世纪90年代，特别是随着我国社会主义市场经济体制的确立和资本市场的建立，注册会计师审计得到了前所未有的发展，内部控制理论的研究也从对国外理论成果的介绍转向对我国实际情况的阐述，学者们也逐渐从站在审计的角度来讨论内部控制的作用和建立，到站在企业的角度来探讨内部控制对风险防范和规避的作用。

　　吴水澎等人指出，可以从完善企业的控制环境、进行全面的风险评估、设立良好的控制活动、加强信息流动与沟通、加强企业的内部监督等几个方面构建我国企业的内部控制整体框架。朱荣恩认为，单位内部控制可由组织结构、人员管理和业务程序等三个部分组成，并指出当前重点是要加强企业业务程序方面的内部控制。阎达五、杨有红指出，建立和完善内部控制应抓住关键因素，有步骤、分重点地构建内部控制。关键因素包括：健全管理机构；确定董事会在内部控制框架构建中的核心地位；内部审计机构的设置与科学定位；强化预算管理等。

　　于增彪则通过将“作业”及其相关的概念引进到内部控制制度，认为从如何设计和执行内部控制制度的角度考虑，可将内部控制制度的设计分为总体设计和单项设计。前者说明一个企业内部控制制度的整体结构或组成要素的设计，后者说明构成该整体结构的每个要素内容的设计。冯均科在对《内部控制-整体框架》进行全面理论修正的基础上，提出了由“一个目标（有效减少经济责任目标偏差）”和“四个要素（分别为岗位、文件、作业和流程）”构成的内部控制理论框架。

　　张宜霞认为，从“生产”和“规制”的角度考虑，一个完整的内部控制理论体系应由以下四个部分组成，即企业治理控制、企业管理控制、管理信息系统和企业文化。刘金文同样在对《内部控制-整体框架》进行深入研究的基础上，提出了由三个要素构成的内部控制理论框架，即控制环境、控制系统和监督与评价，并按照一定的逻辑顺序对每个要素的内容构成进行了重新组合。

　　仔细分析上述观点，不难看出，上述学者不同程度地理解和借鉴了COSO的《内部控制-整体框架》研究报告的内容，是对研究报告中某些要素的具体细化。不可否认，这些研究对于如何构建完整的现代企业内部控制框架提供了一种有益的探索。

　　不过，认真分析亦可发现，上述内部控制理论也存在两个明显的缺陷：一是忽视了对内部控制本质的研究。内部控制本质问题是内部控制理论的关键和核心问题，是贯穿内部控制理论的主线。其他内部控制理论，如内部控制对象、目标、内涵、功能和框架构成等均是因内部控制本质而起。因此，对内部控制的本质进行研究是必要的。二是所构建的内部控制体系缺少所有者，在许多情况下，其实施控制的主体都是经营者，是所谓的以经营者为中心的内部控制。

　　作为一类理性契约主体，要素所有者在现代企业契约中占有特殊的地位。他们把要素使用权事先承诺给企业，且在取得要素使用权应得的份额之前，同意在一个相当长的时期内把要素使用权让渡给企业。这种缺少要素所有者的内部控制体系是否完整还有待考察。

　　笔者认为，一个完整的内部控制理论框架应考虑现代企业不完全契约的特征，结合企业的性质进行构建，要对内部控制存在的制度性原因加以探讨，进而揭示出内部控制的本质。只有在此基础上构建的内部控制体系才是全面和完整的。理论框架的重点不仅仅是指导一个企业如何设计其内部控制，更重要的是要提高一个企业对内部控制理论的认识，从而能更全面和更广泛地理解和应用理论来完善现代企业内部控制的建设问题。

　　二、基于产权视角的重构现代企业内部控制理论框架的基本思路

　　构建现代企业内部控制理论框架，关键是要抓住现代企业的本质特征。威廉姆森认为，企业不是作为传统选择理论所说的一种生产功能出现的，而是作为一种治理结构出现的。现代企业作为一种重要的治理结构，其典型特征是所有权和控制权出现了某种分离，产权结构和产权关系比较复杂，职业经理取代了要素所有者并控制了企业的日常经营和管理，从而使现代企业作为一组理性的利益相关主体的产权交易契约的联结更具有代表性。

　　要素所有者委托产权的目的是为了在产权价值保值基础上追求最大化增值，而产权价值要实现在保值基础上的增值最大化，就只有借助于企业这种契约才成为可能。从产权经营的角度来看，一个完整的产权价值运动过程是由要素所有者委托产权、产权在企业内部参与价值创造活动和（增加了的）产权价值实现等环节构成的。现代企业产权主体的多样性决定了产权价值运动过程中的曲折性。这是因为，现代企业作为一组要素所有者交易产权的契约联结，其特别之处在于契约中包含了对专用性人力资本———管理才能的使用，且按两权分离来理解。这种专用性人力资本是不归要素所有者而归职业经理所有的。

　　与非人力资本及其所有者可分离的产权特征相比，专用性人力资本的产权天然属于其所有者，且无法分离，非“激励”难以调动。这种产权特性会造成当对人力资本的激励机制出现问题时，非人力资本有可能被人力资本当作“人质”而受到“虐待”。由此决定了现代企业契约只能采用一种不完全契约。换言之，契约是有“漏洞”的。这就意味着要素所有者的委托产权在缺乏必要的控制时，其安全性和要素所有者追求的产权价值在保值基础上的增值最大化目标的实现难以得到有效保障。

　　因此，要素所有者为维护自己的权益，需要对委托产权进行控制。同时，鉴于现代企业内部的层级委托代理关系和联合投入的团队生产特征，经营者为了有效履行产权受托责任，也需要对产权价值在企业内部的运动过程实施控制，以提高企业内部的产权交易效率。所以，考虑到现代企业不完全契约的性质，笔者认为，一个完整的现代企业内部控制理论框架的内容构成在总体上应包括两个部分：一是内部控制基础理论，二是内部控制应用理论。

　　内部控制基础理论是根本，它主要依据现代企业不完全契约的特征，运用产权理论，对内部控制存在的制度性原因、本质、对象、目标、内涵和功能等基础性问题进行研究，旨在为内部控制应用理论提供指导。内部控制应用理论则是对内部控制实践的总结，并对内部控制实践提供指导。其构成要素包括控制环境、控制机制、风险管理和内部控制报告。理由综述如下：

　　企业为实现特定目标构建的内部控制必然会受到所处环境的影响。控制环境的好坏直接决定着企业其他控制措施能否实施或实施的效果。所以，控制环境构成内部控制理论框架的必然组成部分和整个内部控制应用理论的基础。它具有高度的综合性，包含了内部控制实践的全部内容，并孕育着其他内部控制应用理论要素的全部“胚胎”。以控制环境作为构建内部控制应用理论的基础，可以深刻地揭示出内部控制演变过程中的全部因素和客观规律，由此所构建的现代企业内部控制理论框架才是全面和完整的。

　　要对产权价值运动过程和结果进行有效的控制，企业契约主体为此必须建立相应的控制机制。全面有效的控制机制是实现内部控制目标的必要手段，因而控制机制是内部控制体系必不可少的组成部分。

　　由于环境的复杂性、未来的不确定性、企业契约的不完全性，以及人的有限理性和机会主义行为特征，致使控制主体在运用控制机制对产权价值实现过程进行控制时，必然会遇到各种风险。如何对产权价值运动过程中遇到的风险进行识别、衡量、防范并加以控制以减少风险所带来的不利影响，并为制定具体的控制措施和实施必要的控制活动提供建议和参考，就成为控制主体必须考虑的问题。所以，风险管理也是内部控制体系的一个有机组成要素，它和控制机制一起构成内部控制应用理论的核心。

　　内部控制本身是一个动态的过程，它不能仅仅局限于一些控制手段和方法的表现形式方面。因此，不仅要在了解企业特点和分析控制环境的基础上制定相关的控制制度、手段和方法，而且还要对这些控制制度、手段和方法的效率和效果进行持续监督和定期评价，并把监督和评价的信息以内部控制报告的形式及时反馈给控制主体供其决策。建立在持续监督和定期评价基础之上的内部控制报告可以为内部控制的有效运行和内部控制目标的实现提供保障作用，所以包含了内部控制报告的内部控制体系才是完整和有效的。

　　三、现代企业内部控制理论框架的内容构成及其相互关系的产权分析

　　内部控制基础理论旨在揭示内部控制存在的制度性原因、本质、对象、目标、内涵和功能。鉴于现代企业不完全契约的特征，内部控制实际上是为了弥补现代企业契约的不完全性而产生的一个控制系统，是企业契约本质的实现机制。它是在既定的条件下人们追求效率和利益最大化的结果。内部控制作为一种他律性行为，从某种意义上讲，是由控制者对被控制者行为制约的过程。因而，内部控制的主体通常是人，同时人也构成内部控制的客体，所以，内部控制主要是发生在人与人之间的经济关系活动。按照康芒斯对交易的分类，内部控制属于交易活动中的第二类，即管理的交易。

　　故从本质上说，内部控制属于制度经济学中的交易活动范畴。由于一切交易的内容都是权利的转移或配置，所以内部控制的对象可以简单地概括为产权变动及由此形成的产权关系。具体来说，它是指对企业契约主体的交易对象———产权及其运动过程进行控制。这是因为，产权是由一束权利构成的，因而在现实生活中，企业契约主体之间的任何经济活动作为一种交易，其背后都是权利的变更，都是产权的运动或变动。内部控制的目标就是要通过对企业各契约主体的产权及其运动进行控制，达到节约交易费用、提高企业契约主体产权交易效率的目的，为产权价值在保值基础上的增值最大化或企业契约的有效履行创造一个基础性条件。

　　内部控制的有效性决定企业契约主体的产权交易效率。因此，基于内部控制的本质、对象和目标，我们可以把内部控制的内涵从产权的视角界定为：企业契约主体为了维护委托产权的安全性和提高产权交易效率，实现产权价值在保值基础上的增值最大化目标，通过权利的配置或安排，对产权价值运动过程和结果提供合理保证的过程。而要实现内部控制的目标，就必须具备相应的功能。从内部控制内涵界定上可以看出，内部控制的功能须具有双重性：既要满足管理生产和提高经济效益的目的，还要维护相关主体的产权利益和产权关系。换言之，内部控制应具备节约交易费用、提高企业契约主体产权交易效率的功能与界定和维护产权的功能。在回答了内部控制存在的制度性原因、本质、目标、内涵和功能等基础性问题之后，就可以对内部控制应用理论构成要素的具体内容加以确定。

　　控制环境是指对建立、加强或削弱特定政策和程序效率产生影响的各种因素的总称。在内部控制理论演进中的内部控制结构阶段、内部控制整体框架阶段和企业风险管理框架阶段都认为控制环境是内部控制理论体系不可分割的组成部分。

　　内部控制结构把控制环境分为七个方面，即管理者的思想和经营作风；组织结构；董事会及其所属委员会，特别是审计委员会发挥的职能；确定职权和分配责任的方法；管理者监控和检查工作时所用的控制方法；人事工作方针及其执行；影响本企业业务的各种外部关系。内部控制整体框架也把控制环境分为七个方面，但内容有所不同，包括员工的诚实性和道德观；员工的胜任能力；董事会或审计委员会；管理哲学和经营方式；组织结构；授予权利和责任的方式；人力资源政策和实施。企业风险管理框架则认为控制环境由风险管理理念；风险文化；董事会；操守和价值观；对胜任能力的承诺；管理方法和经营模式；风险偏好；组织结构；职责和权限的分配；人力资源政策和实务等九个方面构成。

　　以上所列举的内容中有些项目具有共同的特征，可以对其进行适当归并，如诚实性和道德观；员工的胜任能力；管理哲学和经营方式；风险管理理念；风险文化；操守和价值观；风险偏好等都与企业的组织理念有关，因此可以把它们统一归为企业文化之列。而有些项目则不属于控制环境的内容，如组织结构；董事会或审计委员会；授予权利和责任的方式；人力资源政策和实施等本身构成控制主体实施控制的手段，将其作为控制环境的组成部分显然不恰当，也缺乏一定的逻辑性，应从控制环境中剔除。此外，在确定控制环境的具体内容时只考虑企业内环境的影响是不够的。

　　一个企业所在的一国经济、技术、社会文化和政治制度等外环境也会对企业内部控制产生影响，这可以从内部控制的历史演变中看出。所以，内部控制环境不应局限于企业内环境，还应包括企业外环境。而且，一个有效的内部控制体系离不开信息的支持，企业的信息与沟通系统畅通与否必然会对内部控制的效率和效果产生重要影响，因为它是有效实施内部控制的必要前提，所以控制环境还应包括企业的信息与沟通系统。

　　因此，现代企业的控制环境应由企业内环境和企业外环境构成。其中，内环境又可分为企业文化和信息与沟通系统。企业文化影响内部控制的意识和理念，信息与沟通系统是实施内部控制的必要条件。企业外环境则对内部控制的发展具有促进和阻滞作用。

　　控制机制是指控制主体为合理保证内部控制目标的实现而建立的一系列政策和程序。内部控制通过一定的手段，合理配置企业的相关权力，从而形成有效的相互约束和制衡的控制体系，目的在于协调企业各个利益相关者之间的产权关系，促使产权主体之间长期合作，保证企业内部控制目标的实现。内部控制的目标在于降低交易费用、提高企业契约主体的产权交易效率，最终表现为对产权价值运动过程和结果实施有效的控制。

　　鉴于产权从要素所有者投入到实现价值增值是一个完整不可分割的有机整体，因此，从产权价值运动过程来看，要实现对产权的有效控制，现代企业为此需要按照控制主体的性质不同建立两个相互关联的内部控制层次：一是要素所有者为维护自身权益对委托产权的控制；二是经营者为了有效履行产权经营受托责任所需实施的控制。由于经营者在现代企业契约中处于中心签约人的地位，这就决定了其行为对要素所有者追求在产权价值保值基础上最大化增值目标的实现有很大的影响，因而第一层次的内部控制通常表现为要素所有者对经营者的控制，这种内部控制也就是所谓的现代企业治理控制。

　　因此，企业治理控制构成了现代企业内部控制体系的有机组成部分，其控制是以实现要素所有者的权益为目标，相应的控制机制主要采用激励加约束的方式。第二层次的内部控制一般表现为经营者对企业员工行为的控制，这种内部控制亦即企业的管理控制，其控制是以有效履行产权经营受托责任，实现产权经营的效率和效果性为目标，现实中常用的控制措施有会计控制、财务控制、内部审计控制和制度控制等。要素所有者为维护委托产权的安全性和实现产权价值在保值基础上的增值最大化而对经营者进行的控制，经营者为有效履行产权经营受托责任而对企业员工实施的控制，就构成了一个完整不可分割的现代企业内部控制体系。

　　二者的关系是：前一层内部控制是后一层内部控制的基础，后一层内部控制则是前一层内部控制的延伸；没有前一层内部控制便无后一层内部控制。任何割裂这两层内部控制的有机联系都是不适当的，所构建的现代企业内部控制体系也是不完整的，存有缺陷的。以上两个相互关联的内部控制层次之间统驭关系的形成是以产权受托责任为依据的，其中要素所有者居于产权委托的主体地位，所以具有支配作用。经营者对产权价值运动的过程和结果承担受托责任，因而处于内部控制体系的中心位置。

　　鉴于内部控制的核心是权利的配置，因此，如何在要素所有者与经营者之间以及现代企业内部不同层级之间划分权利，是现代企业内部控制体系构建的关键。

　　风险管理是指企业契约主体在组织、指导产权经营活动时，对产权价值实现过程中可能遇到的风险进行识别、衡量、防范和控制，以最小的成本获得产权价值运动过程最大的安全保障的一种价值创造活动。提高企业契约主体产权交易效率的内部控制目标能否实现，还必须对现代企业产权价值创造和实现过程中可能遇到的各种风险进行正确的识别和衡量，在此基础上，针对内部控制目标和可能存在的风险制定恰当的防范和控制措施并使之有效实施，这样才有可能规避风险和保证控制目标的实现。因此，一个完整的风险管理过程应包括对风险的识别、衡量、防范和控制。

　　内部控制报告是指在对企业内部控制运行效率和效果进行监督和评价的基础上以书面文件的形式对外披露内部控制信息的过程。它是受控客体有效履行产权受托责任的一种反映。监督是对偏离内部控制目标的差错进行纠正。通过监督，能够保证内部控制运行的质量，必要时对其加以纠正。评价是定期对内部控制存在的缺陷提出改进建议，使内部控制更加完善和有效。通过评价，能够发现内部控制的薄弱环节，并建议控制主体加以改进。

　　监督是一个持续性的经常活动，评价是定期进行的。持续性监督可以为定期评价提供所需信息，定期评价的结果又可以揭示出监督中存在的问题，两者是相辅相成、相互促进和相互补充的。在监督和评价的基础上形成的内部控制报告，可以把与内部控制效率有关的信息及时地传递给控制主体，以便其决策，促进内部控制体系的有效运转。

　　由于一个有效的内部控制体系应是一个带有反馈回路的闭环控制过程，因此在对内部控制监督和评价的基础上以书面文件的形式及时向控制主体报告，就成为内部控制体系不可或缺的环节。内部控制整体框架和企业风险管理框架把对内部控制质量的评价统称为“监督”显然不恰当。

　　总之，内部控制基础理论和应用理论是一个相互联系、综合作用的整体。内部控制本质、目标、对象、内涵、功能和存在的制度性原因是基础，它为现代企业构建一个完整的内部控制框架提供理论指导。控制环境为内部控制应用体系提供支撑，控制机制和风险管理是整个内部控制应用体系的核心，内部控制报告为内部控制应用体系的有效运转提供保障。同时，控制环境、控制机制和风险管理为内部控制报告提供信息和依据，内部控制报告反过来又影响控制环境、控制机制和风险管理，为优化控制环境和完善控制机制与风险管理提供意见和建议。上述内容构成了一个完整的现代企业内部控制理论框架。

　　四、内部控制框架构建产权理论研究的简单结论

　　产权理论及其发展对内部控制的影响至少体现在以下几方面：一是利用产权理论对现有的内部控制理论和内部控制实践作出更合理、更科学的解释；二是由于现实的产权变动为内部控制提出了新的问题，需要人们去解决。

　　内部控制框架构建产权理论研究的结果可简单地概括如下：

　　（1）现代企业的内部控制体系因企业契约主体之间的产权受托责任而产生，并为维护特定的契约主体的产权关系而存在。

　　（2）现代企业的内部控制框架是有层次性的，且是建立在产权价值运动论的基础之上的。其典型特征是所要调节的经济利益关系扩大了，它不仅要调节经营者与企业一般员工的经济利益关系，而且还要调节要素所有者和经营者之间的经济利益关系。这里，内部控制的范围涵盖了要素所有者、经营者和企业一般员工等。