摘要:根据权变理论,企业内部控制可视为一个动态过程,即将内部控制划分为内部控制系统设计、内部控制系统执行与内部控制评价与监督三个关键程序,内部控制作用的客体除了显性层,还有隐性层,本文尝试构建基于“动态过程观”同时兼容“层次性”的企业内部控制框架。
关键词:内部控制 动态过程 层次性 内部控制框架
内部控制是一个跨越多学科的热点问题,最初源于审计,后学者们借助经济学与管理学理论研究内部控制,取得了不少的成果,近几年也有学者就内部控制一些学科交叉领域的问题开展研究,由于各学科关注的重心与各位学者的研究视角不同,各学科的研究成果有时相互矛盾,梳理现有的研究成果予以整合,具有一定的现实意义。基于此,我们结合权变理论将企业内部控制视为一个动态过程,即将内部控制划分为内部控制系统设计、内部控制系统执行与内部控制评价与监督三个关键程序,内部控制作用的客体除了显性层,还有隐性层,本文尝试构建一个基于“动态过程观”同时兼容“层次性”的企业内部控制框架。
一、内部控制系统设计
( 一 )企业内部控制环境:商务生态环境 公司治理与内部控制的关系是内部管理监控系统与制度环境的关系(阎达五、杨有红,2001),内部控制环境缺陷突出表现为:控股股东与社会公众股东之间的权利失衡;公司的股权相对集中下股东异质性,导致了小股东与控股股东、控股股东与管理层间的双重委托代理问题。杨雄胜(2006)从内部控制的目标演化的驱动因素侧面研究内部控制环境及其地位,并将“商务生态环境”视为管理控制所应该解决的首要而最为关键的问题。陈志斌(2007)认为信息化生态环境是知识经济社会企业所共处的生态环境,这种环境已经形成而且越来越显著,急需解决如何完善信息化生态环境中企业内部控制机制。有关内部控制环境实证与案例研究得出类似的结论,如王允平(2005)认为我国企业公司治理不完善、不注重人力资源的有效运用、组织结构和职责划分不明确、管理者的品行与素质有待提高等。张士强(2009)实证分析得知:我国上市公司董事会结构不健全、高管人员考评激励机制不完善以及对人力资源建设和企业文化建设不够重视。丁瑞玲、吴益兵(2009)认为我国上市公司的股权结构影响内部控制质量水平。从文献看,公司内部控制变革的驱动力主要来自环境的变化,无论是理论研究还是实证分析,对内部控制环境的研究主要侧重公司治理结构与组织结构,而对无形的内部控制环境如企业文化与企业生存的外部环境等研究有所忽视,这是对企业内部控制环境认识的一个误区,知识经济时期,产业链不断地深化分解,企业拥有的价值链越来越短,产业链与企业价值链上的核心企业不再在整个产业链或价值链上起绝对地位,相反产业链与价值链由最弱成员决定,产业链与价值链上的成员企业彼此的依存度越来越高,可以说整个产业链或价值链任何成员受损,整个产业链或价值链很有可能濒临断裂风险,因此,现代企业如果着力于建设“商务生态环境”,对企业内部控制环境会有很大的改善,也有益于提高内部控制的效率。
( 二 )企业内部控制目标:企业战略 COSO委员会1992年将内部控制的目标归纳为:经营的有效性和效率,财务报告的可靠性,符合适应的法律法规。王棣华(2001)认为企业内部控制的最高境界(目的)是实现“无为而治”,即自我控制,自我管理。李武、席酉民(2002)运用和谐理论提出和谐控制的观点。杨雄胜(2006)提出的以“学习型组织”和“生态系统”的构建,深入研究,认为内部控制的目标是实现组织长寿,其最高目标是使企业赢得消费者(客户)的支持和社会的广泛认同,从而不断提高企业影响力。张先治、张晓东(2004)将内部控制分为内部会计控制与内部管理控制,认为会计控制重点是财务报告可靠性或向外部提供信息的真实性,管理控制的重点是确保战略目标实现的经营效率效果。有部分学者从动态视角来研究内部控制目标,李心合(2007)认为内部控制有两种起源与功能,即作为审计方法与管理方法的内部控制,比较而言,管理视角的内部控制研究更有现实意义,伴随公司环境的变化,内部控制需要从财务报告导向价值创造导向转型。丁友刚、胡兴国(2007)从组织目标出发,并从历史变迁的角度出发,认为内部控制的思想内涵在不断发展:从简单经济环境下的实物风险控制发展到报告风险控制,经营风险控制以及合规性风险控制,也就是说内部控制的目标是以企业风险为主线。从文献可知:内部控制目标随内部控制环境变迁不断演化,虽然在不同发展阶段有着不同的主导目标,但是内部控制的目标体系并没有发生质的变化,都是围绕企业战略演化与变迁,所有企业子目标与具体目标只是企业的战略目标的延伸,企业通过控制各种相关风险来实现企业战略。
( 三 )内部控制各关键构件的关系:明确的空间与时间逻辑 Rotch(1993)认为有效的控制系统应该包括如下五个方面的内容:战略、结构、业绩评价、动机和激励。内部牵制与内部控制制度时期并没有述及到要素,1988年美国会计师协会颁布的《审计准则公告》中形成由控制环境、会计系统和控制程序三要素组成的内部控制结构,1992年美国的COSO委员会提出由控制环境、风险评估、控制活动、信息与沟通、监督五要素组成内部控制框架, 2004年又增加了目标设定、事项识别与风险应对三要素,形成了基于风险管理视角的八要素观。在此基础上,董卉卿(2007)系统的概括了各个阶段各要素之间的关系,认为三要素是平面结构关系,五要素是立体三角锥结构关系,而八要素是立方体结构关系。周得孚(1998)认为内部控制按照企业经营管理环节可以划分为预算控制、决策过程控制、内部管理控制、资金管理控制、市场营销管理控制和信息管理控制六个方面。张先治(2003)指出内部控制系统由预算控制系统、制度控制系统、业绩考核系统和激励评价体系构成。谷祺(2003)提出内部控制由制度控制、文化控制与市场控制组成的三维系统观。池国华(2005)认为内部控制系统由战略计划、信息反馈、业绩评价和激励等四个子系统构成。基于内部控制设计,赵保卿(2005)从公司法人治理结构角度分析,内部控制存在控制结构,认为这个结构中的主要要素是控制主体、控制客体、控制目标与控制方式等,无论是所有者与经营管理者之间,还是所有者层面与经营者层面各自本身,都既要作为控制主体实施控制又要作为控制客体接受控制。徐虹、林钟高(2007)尝试构建以股东、经营者、管理者以及员工为主体的四层次内部控制系统。李心合(2007)认为价值导向的内部控制框架由控制环境、目标与预算、风险识别与应对、控制程序和方法、信息与沟通、绩效评价与激励、监控七要素组成。王海妹(2009)认为管理控制进入了开放、自然观阶段后,内部控制的内容要素发生了调整,由人力资源控制系统、财务价值控制系统、作业控制系统、管理信息系统等所构成。郑石桥(2008)发现:与内部控制环境相比,企业更重视控制活动;在控制活动中,与间接控制活动相比,企业更重视直接控制活动,与附加的控制活动相比,企业更重视融于流程中的内部控制,在控制环境中,企业对间接控制环境和直接控制环境的重视无差异。近年来,控制环境与控制活动都得加强,控制活动的加强程度要大于控制环境,在控制活动中,直接控制活动的加强程度大于间接控制活动,当整体控制水平不高时,控制活动与控制环境是正相关的。谢志华(2009)深入剖析了内部控制的本质与结构,认为企业内部控制的本质由企业内组织关系特征决定,企业内组织关系特征从纵向上表现为监督关系,从横向上表现为制衡关系,控制的结构由控制的本质决定,制衡关系决定了控制结构为平等双方的相互牵制和制约的结构,监督关系表现为高层对低层的单向控制结构。从文献看,对内部控制包含的要素开展研究,基于管理学、经济学视角研究比会计学视角更活跃,跳出会计学范畴,从管理学视角审视企业内部控制意义更大,管理的艺术性影响企业内部控制的要素划分没有一个统一的标准,甚至有些分类结果彼此矛盾,内部控制实务界误认为企业内部控制各要素之间只存在空间界定,并不存在严密的空间逻辑与时间逻辑,尤其是各要素具体化结果空间逻辑与时间逻辑更难明确了,确定认同度较高、兼容性较强的各具体要素空间逻辑与时间逻辑是内部控制急需解决的问题。
二、企业内部控制系统的执行机制与监督评价体系
( 一 )企业内部控制系统的执行机制:整合多元执行机制企业内部控制的质量如何,内部控制系统的执行过程很关键。杨雄胜(2006)认为通过技巧学习与惯例固化实现组织成员自适用学习是一种较理想的控制方式,也就是说内部控制随着企业演化,更应该强调员工自我控制。陈志斌(2007)认为应适当引用信息机制和声誉机制,强调责任主体的落实和检查监督,建立严格的问责机制和惩戒机制,以保证内部控制标准的有效实施。程新生(2008)也倾向于正式控制与非正式控制在战略层面与业务层面上的协同,并提出协同途径,如综合办公协调、联谊会等。池国华(2009)运用战略管理、系统论、管理控制等理论,构建了基于战略导向与系统整合的企业内部控制规范实施机制。李志斌(2009)运用组织社会学的规则理论解释内部控制的规则属性,认为正式控制与非正式控制的融合机制与执行中的权力分享制衡机制是内部控制执行机制的核心要素,执行反馈机制是组织知识积累的过程,促进了内部控制持续演进。而薛有志(2009)从高阶梯队理论视角出发,赞成随着企业多元化程度提高,企业将从战略控制转变为财务控制机制。以权变理论为基础的学者认同控制方式具有多变性,如李连华(2007)认为企业内部控制方式选择要适应企业特有的环境。贡华章(2004)对于中石油与袁琳(2003)对中石化等大型企业集团的内部控制制度实施问题进行案例分析。程新生等(2009)实证研究发现采用委托型控制方式的企业其控制绩效优于采用直接型方式的企业,采用非正式控制方式的企业,其控制绩效优于采用正式方式的企业,同时采用委托型控制与非正式控制方式的企业,控制绩效会优于其他交叉使用类型的企业。从文献可知:单元内部控制执行机制作用有限,要提高单一执行机制的效率,以及各执行机制的协同效益,企业须整合多元内部控制执行机制于一体,企业的内部控制制度有着质的区别,可以分为程序性内部控制制度与非程序性内部控制制度两类,对于质不同的内部控制制度应采用不同的执行机制,我们认为出于执行成本效益考虑,对程序性内部控制制度可以采用最佳单一执行机制,而对于非程序性内部控制制度由于执行过程中存在较大的职业判断控制,且执行结果并不具有可验证性,因此建议采用整合型内部控制执行机制,以求保证执行质量。
( 二 )内部控制评价与监督:凸现自我评价的内部控制评价体系通过内部控制评价,可以促进企业提升内部控制的效果,不同的主体对内部控制的评价,他们的评价目标、范围、方法、内容以及工作程序彼此之间有所不同。程新生(2002)认为应由股东和所有相关利益者自行选择监控模式,在国有独资公司可选择监事会主导的监控模式,在股份公司可选择董事会主导的监控模式,无论哪种监控模式都需完善信息披露和独立审计制度。戴彦(2006)认为我国内部控制评价实践多受限于审计业务,而未能发展成为独立的管理工具和体系,于增彪(2007)也认为如果是企业自身对构建的内部控制制度做出评价,则应考虑其构建内部控制制度的经营、会计和战略目标,评价的内容就不应该仅包含会计控制,还应该包括公司治理、业务和流程控制等方面的内容。从控制成本看,内部控制评价由控制主体实施自我评价,这是一种低成本控制的评价。在研究企业内部控制的有效性及其评价方法时,陈汉文(2008)提出评价企业内部控制的方法总体上分为详细评价法和风险基础法两种,风险基础法相对来说具有更高的成本效益和效率,这说明风险导向的内部控制评价不但适应性强、效率高,而且也符合成本效益原则。王海林(2009)研究认为内部控制评价应包括内部控制实施过程评价和实施结果评价,目前内部控制大都集中在内部控制实施效果上,提出内部控制能力评价的IC-CMM模型,将其研究对象定位于企业内部控制的实施过程,建立了企业内部控制过程评价。韩洪灵等(2009)认为内部控制的评价仅停留于概念和原则阐述监督要素未能为企业设计和执行监督程序提供有效的工具,其效果有限,引入风险导向的内部控制监督模型,提升内部控制评价要素的应用性。在此基础上,内部控制评价体系的建立引起了学者的重视,赵爱玲(2009)提出适应我国内部控制评价与报告框架体系应包括:内部控制自我评价、外部审计师审核鉴证、内部控制报告披露等三部分内容,内部控制自我评价和外部审计师审核鉴证应该相互独立的工作步骤和业务流程,自我评价报告与鉴定报告共同构成上市公司内部控制披露报告。在内部控制的监督过程中,有两项职能发挥着重要作用:一是控制自我评价,二是内部审计(吴水澎,2000)。内部控制的外部评价最初是出于注册会计师企业财务报表审计的需求,须对企业内部控制的有效性进行测试、评价,近期对内部控制的评价已经远远超过了这一范畴。在美国的发展大体经历了三个阶段:财务报表审计中的内部控制评价阶段;财务报告内部控制审核阶段和财务报告内部控制审计阶段(李明辉,2003),认为内部控制审计成为与财务报表审计并行的一种新审计业务(张龙平,2009)。缪艳娟(2007)分析了英美上市公司内部控制信息披露制度,借鉴各自的合理理念与做法,提出监督与引导兼举是我国当前对上市公司内部控制信息披露制度改革的现实选择,监督应着眼于狭义内部控制的范畴,而引导应采用广义内部控制概念。徐黎(2009)认为我国现行的由监事会、审计委员会和内部审计共同构筑的企业内部监督体系、职能存在重叠,各监督主体的独立性与其监督职能不完全匹配的内部监督流于形式,亟待根据我国公司治理的特点重新安排各监督主体的独立性,并根据其独立性配置相应的监督权限。张川(2009)实证研究认为审计师对内部控制的评价相比企业对内部控制的自评,既有替代作用,也有互补作用,即审计师的内部控制评价不仅包含了企业自身的内部控制评价,还具有其他的信息含量。从文献可知:企业内部控制评价既包括过程评价,又包括结果评价;既有内部评价,又有外部评价,可以说内部控制有着严谨的评价与报告框架体系,且会凸现由控制主体实施自我评价的地位。内部控制监督主要通过内部审计,但内部控制审计的独立性有限,内部控制要素缺乏适应性,从而使得内部控制监督效率不高,对内部控制要素须进一步细化为内部控制评价体系,使其具有较强的可操作性,内部控制信息披露也不失为一种高效的监督方式。
三、兼容“动态过程观”与“层次性”的企业内部控制框架
自企业的所有权与经营权分离,现代公司制企业中存在两层委托代理关系:资本所有者与经营者之间的委托代理关系和经营者与员工之间的委托代理关系(有些学者认为还包括大股东与中小股东之间的委托代理关系),而权变理论认为各种管理方式都可能在一定环境内有效,这说明组织控制存在层次性,且具有动态过程性。因此,要体现动态过程性,企业内部控制框架至少应该包括三个关键环节:内部控制系统设计、内部控制系统执行与内部控制的评价。如果不突出内部控制的三极,而简单的将内部控制视为一个闭合环路,相应会增加控制主体寻找关键控制点的成本,同时也有悖于企业控制的基本原则。企业内部控制的作用层面,有些学者简单将其分为业务层与公司层,也有学者将其分为业务层、管理层与治理层。从内部控制的变迁过程看,内部控制最初主要作用于业务层,然后才逐步向企业的金字塔顶端辐射,其实这只是一个表象,我们认为企业内部控制的作用将向两个相反方向延伸,一个是企业的显性层,包括上面讲到的业务层、管理层与治理层三个层次(或业务层与公司层两个层面),是现在理论与实务界比较关注的层面。另一个是企业的隐性层,如企业的学习能力、企业文化与企业伦理约束力等,只是关于隐性层的研究已经边缘化。为了突出隐性层的重要地位,我们认为如果内部控制只对显性层有效或对显性层的局部范畴有效,而对企业的隐性层低效或无效,企业的内部控制还只是任务型内部控制;只有对企业显性层与隐性层同时产生影响,尤其突显对隐性层影响的内部控制,才是真正意义上的战略型内部控制。战略型内部控制至少要体现以下方面:一是内部控制作用的企业隐性层将从显性层背后剥离出来,从后台置于前台,与显性层置于同等的地位,控制主体内心需重视内部控制对隐性层的影响。二是内部控制致力于培育企业生存的商务生态环境,企业内部控制系统设计、执行与评价都须基于企业战略视角。三是企业有着集成度较高的多元内部控制执行机制与凸现自我评价为主导的内部控制评价体系。四是内部控制各要素之间,尤其是具体要素详细化的结果都存在明确的时间逻辑与空间逻辑。我们提出的战略型内部控制,不是要撇开2004年美国COSO委员会提出的八要素内部控制框架,另外构建一个内部控制框架,而是在八要素内部控制框架内构建,以求对八要素内部控制框架的补充。
*本文系广西教育厅科研项目“公正内部控制评价模式构建及在集群中企业的应用”(项目编号:200911LX426);“基于社会资本治理提升广西地方产业集群的研究”(项目编号:200911LX432);梧州学院科研项目“利益相关者视角的企业内部控制改进优化研究”、“基于社会资本视角的企业管理控制创新”阶段性成果
参考文献:
[1]池国华:《企业内部控制规范实施机制构建:战略导向与系统整合》,《会计研究》2009年第9期。
[2]张先治:《企业内部控制系统模式创新与选择研究》,《东北大学学报(社会科学版)》2009年第1期。
[3]杨雄胜:《内部控制的性质与目标:来自演化经济学的观点》,《会计研究》2006年第11期。
[4]李志斌:《内部控制的规则属性及其执行机制研究――来自组织社会学规则理论的解释》,《会计研究》2009年第2期。
[5]谢志华:《内部控制:本质与结构》,《会计研究》2009年第12期。
[6]石意如:《重构企业公正内部控制行为评价框架》,《财会通讯》2010年第2期。
[7]王海妹、张相洲:《基于开放、自然管理控制观的内部控制问题研究》,《会计研究》2009年第8期。
(编辑 聂慧丽)