【摘要】内部控制制度由最初的内部牵制发展为风险管理，这一过程意味着内部控制概念的演进性。笔者提出了七个有关内部控制概念范畴形成需特别关注的方面，有助于准确理解内部控制制度的真正内涵。

　　【关键词】内部控制制度；权变性；全面风险管理；准公共品；国际趋同；企业管理体系

　　从内部控制理论的发展进程看，经历了内部牵制、内部控制制度、内部控制结构及内部控制整体框架四个阶段，现正向内部控制与风险管理相结合的新阶段迈进，如2004年美国COSO委员会风险管理（ERM）的提出；我国国务院国资委《中央企业全面风险管理指引》的制订等。不同的研究视角对内部控制有着不同的理解并进而形成差异化的制度安排，本文认为内部控制统一的概念范畴形成还需要关注以下几个方面的内容。

　　一、内部控制制度范畴的权变性

　　在一个充满细节性复杂和动态性复杂的组织中，能够控制一切只是一种错觉。按照彼得·圣吉的理解，细节性复杂指企业管理中难以计数的变数和细节；动态性复杂指因果关系微妙，行动与后果之间存在时间滞延，无法用传统的预测、规划与分析方法处理的复杂关联。组织如何不凭控制而达到控制？应该有怎样行之有效的机制作保障？也就是说如何正确处理“有形的制度”与“无形的理念”之间的关系问题。韦尔奇曾说过“旧的组织建立在控制之上，但是世界已经改变。世界变化的速度太快，使得控制变成限制，使你的速度变慢。你必须在自由和控制之间取得平衡，但是你会有比想像中还多的自由。”

　　优秀公司对付日趋复杂的业务的方法是强调灵活流动，用以实验为基础的管理方式始终不断地调整和改组机构。复杂中必须洞察单纯之美，最理想的境界应该是以简驭繁。系统思考所反对的就是施行更加复杂的方法来处理复杂的问题。业务日趋复杂同时意味着创新的作用，而内部控制不能成为通过创新为市场创造价值的障碍，也就是说，内部控制目标的实现不能以牺牲企业效率为代价。理论上，风险与收益的对称性是成立的，当意图用内部控制制度将可能的风险全部规避或防范的过程中，企业的收益水平也可能已经下降了。从这个角度讲，内部控制制度范围应该是限定性的，不能没有明确的边界。

　　在企业组织内部，授权与受权是一种双向行为，其中授权与内部控制设计密切相关。“授权”与“受权”的过程并不是简单的自上而下，因为权利向下分解与责任向上负责是对应的，而“权利向下”与“责任向上”的对称机制就在于企业内部控制制度的构建。从这个角度讲，内部控制制度是确保企业具体执行层面的行为不偏离企业战略目标的保障机制，是内部控制制度建立的基准。从企业生命周期理论来看，处于成熟期的企业授权显然与成长期不同，正如华盛顿大学商学院前院长维尔教授对授权的界定：“当下级员工感到上司真心期望他们为完成所负使命而发挥主观能动性，即便超越他们的正常职权范围也无需顾忌，而且要是出了差错，哪怕是严重的差错，他们也不会采取主动而受到专断的责罚，那么这个企业中就存在着授权。”显然，这是一种基于企业文化的授权。在其之前还存在着指令性授权与岗位性授权，这意味着企业内部控制制度设计的权变性是关键性问题，而正确界定影响权变性的具体因素则更是基础。

　　二、内部控制制度与全面风险管理

　　风险已经成为日常生活的共生条件，危机也不再是非典型状态，风险社会是我们共同面临的新常态。企业风险来源很多，诸如产业类别、企业文化、产权结构等，因而应对风险管控的内部控制制度也就具有一定的特定性。从亚当·斯密的社会分工理论，泰勒的科学管理，到福特的流水线和斯隆的财务控制，现代工业建立了以“效率”为核心的管理体系。与有历史的“生产效率的利润”相比，“风险控制的利润”更加敏感，以它为核心竞争能力更加不对称，由此回报差异也巨大。追寻风险利润的新竞争能力仍在形成过程中，但已显出一些规律，即首先要准确理解并指认风险的内容和防范的价值。每项商业活动都包含自己独特的风险因素，它难以用统一的保险精算语言来指称。其次需要分离风险因素，组合控制风险的产品和服务。

　　然而，现阶段常规风险管理思维还囿于内部控制技术与制度框架，但由于社会的整体不确定性，不可能完全清晰地在企业内部与外部间被标准化分离，风险角度的内部控制所应对风险与企业外部风险之间具有联动性，两种风险共同组成了企业全面风险。由此可见，一般意义上的内部控制的核心作用是尽最大努力创造制度效应以规避内部风险的泛化，即使激进型内部控制将其所应对的风险敞口面向市场，以市场化方式实现“内部”风险的外部化，也不足以等价于全面风险管理。内部控制具有明确的边界性也在表明内部控制有着自身的职能范畴而不能无限度扩展，因此，以内部控制制度来进行全面风险管理有其固有不足。

　　内部控制制度本身作为一种制度安排，也涉及制度设定的具体环境适应性问题。显然，内部控制制度存在经济学视角的一般性与管理学视角的个案性的均衡问题，可以将该问题视为内部控制制度的“趋同”与“个性”的并存。“趋同”与“个性”间的比例关系决定着内部控制制度的多样化程度。多样化程度决定了内部控制制度设计的总体原则、运行机制及其效果评价，这是内部控制制度应考虑的第一层面问题。继而是内部控制制度在企业内部具体执行层面的配置问题。由于企业内部呈现为资源投入与成果产出间最大化转换效率过程，因此就要求企业内部组织间是系统化的协同运作。然而这面临着内部控制制度如何在确保总体成本效益对称情况下的灵活性与统一性的兼顾。灵活性对应着企业面对风险变化的主观能动，统一性对应着企业整体上的目标一致。内部控制制度应该与灵活性和统一性各自保持一致而不是相反。

　　三、内部控制制度与内部控制技术自身风险性

　　在现代社会，技术的巨大力量让越来越多的人认为只有掌握了更好的技术才可能取得更好的效果，并且几乎完全内筑于日常生产和生活中。然而，技术只能提高做某些事的效率而不能提升根本能力。正如德国社会学家伯克在其《风险社会：新现代社会现象》中所强调的，技术在创造财富和功效的同时也制造了风险和遗害，于是每次生产与消费都必然伴生风险的阴影与危机的累积。与自然资源相比，人造的技术资源没有通过亿万年进化除错，其除错过程是交织在使用它的功能的过程中，因此沉淀了风险种类，增大了危机概率。

　　从企业具体组织层面来看，企业内部具体执行层面间又因存在各自的利益导向而存在矛盾甚至是冲突，这主要体现在他们之间合作博弈的讨价还价关系。他们各自都是完成企业整体目标的某一方面，而在有限资源约束及配置下，不同职能部门都表现出团队生产性，即使相互关联极高的职能部门在作自身的决策时也很难将各自的关联方考虑进入。在没有特殊制度保证或企业总流程设计科学合理的前提下，企业内部控制制度的相互牵制甚至是全面风险管理都会遇到同样的境况。内部控制制度整体预期效果会因部门职能分割所导致的内部沟通成本大增而大打折扣。

　　解决企业内部不同职能部门间高沟通成本的思路不外乎如下几种：其一是在企业整体目标的指引下对企业内部各职能部门间的行为都予以严格的标准化，将灵活性完全纳入企业设定的统一性中。其二是设计一套独立的机制并以之协调各职能部门间的灵活性而防范他们的行为偏离企业既定目标。其三是在充分论证各职能部门流程的基础上，使他们以独立的面目用市场表现作为衡量的唯一标准，他们之间的关系完全是市场关系。显然第一种与第三种表示了高度计划性与高度市场性，而第二种可以说是另外两种的某种程度的组合。

　　将史蒂芬·柯维在其《高绩效人士的七个习惯》中所表达的意思用于企业，即若企业总是将视线聚焦于“没完没了的监视、评估、纠错或控制”上，那么等于教唆企业员工玩猫捉老鼠的游戏。持续的杰作不是监控出来的，只有那些受强烈的内在需求驱使的人方能创造杰作。如何让企业具有这种内在原动力呢？显然答案在于发自员工及合作伙伴内心的执著。这可以被界定为原则，而区别于此的行为都可以界定为规则。前者是内在的而后者是外在的；前者受内心的需求而为自己做事，后者依赖严格规章与奖罚机制。由此，我们必须追求内部控制由技术观念上升到制度观念直至形成企业的行为习惯，这就一定要突破COSO那种片段式的简单拼接以期形成全面性框架的构建思路。

　　四、内部控制制度“准公共品”性

　　当内部控制超越“内部”而更多地“外部化”为通用标准为社会所共同遵守之时，其一定程度上就表现为准公共品性质，也就是说内部控制制度的完全统一性意味着它具有公共品性质；但内部控制的本质却在于其“内部性”。不同企业可能存在相同或相似的关键价值因素，即使是两家相同战略定位的企业由于总体制度安排的不同、程度的差异也会导致内部控制关键控制环节的不同，这时用统一的具有外部规则性质的制度来规范多样化的企业管理行为显然是不现实的。这就暗含了企业外部的统一性规制与内部控制制度应该界定出明晰的界限或称内部控制的边界，边界的确定就是一个内外均衡点的寻求过程。

　　理论上，这一寻求过程应该包括如下层次：第一层次是探究企业与市场之间的边界，因为市场组织与企业组织并不是均质一致的，市场定价机制与企业内部定价机制既不遵循简单的两分法又不是两者的完全融合；第二层次是市场对企业运营的影响方式及效果评价，显然，我们现阶段市场经济还不完全具备西方成熟市场经济的市场理念与相应法律文化，因而要明确具体市场环境对企业的作用机理；第三层次是企业价值创造过程中关键价值因素的最佳实践所具有的共性及技术上的趋同程度，内部控制的共性描绘其统一性，是企业合规经营的要求；第四层次是当内部控制已经形成为企业受强烈内在需求驱使的无形理念时则形成了企业核心竞争力的组成部分甚至就是企业的核心竞争力。也就是说，终极的内部控制应该完全融入到企业组织的整体文化之中而不是以自身清晰、完整的“序列”而存在。

　　以逻辑关系而构建的上述层次表明成熟市场经济有着共同的理念，而作为依附于企业业务行为的内部控制则表现出多样化特征。事实上，不同的企业环境中内部控制被有效执行的前提条件是什么？市场机制、企业组织结构选择、内部控制制度构造与内部控制关键因素之间有怎样的逻辑关系？如何处理有效执行与理性约束间的均衡等都是需要结合具体企业的运作环境而定的。

　　五、内部控制制度设计起点

　　任何一种制度的形成都要有其自身的逻辑起点，在确定了相应的逻辑起点后，才能够在一定的约束条件下依选定的路径进行意义建构。就国内外内部控制制度的内容来看，内部控制制度的逻辑起点基本上定位于确保财务报表项目的真实，约束条件基本上界定为企业业务活动与信息反映的对称，选定的路径为简单的因果关联性。这样做的好处就在于具有较强的可操作性并有现成的账户体系作依托。而现状也正是将基于上述研究思路而形成的内部控制实践推崇为最佳实践，并相应地以COSO报告框架作为成熟理念加以推广。

　　常规意义上的内部控制制度的设计起点是值得商榷的。因为企业是一个具有复杂系统的有机体，在和企业外部其他组织发生交易或是企业组织内部事项时，任何活动都不仅仅是单纯的技术问题。如果简单地将企业活动区域进行界定的话，按照递进层次就是要正确处理价值标准与观念、政治、组织、交易与会计五者间的基本关系，基本关系可以描述为价值标准与观念→政治→组织和交易→会计。其中前者概念是后者概念的条件，逆向相关关系同时存在，第四层次对第三及潜移默化地对第二与第一层次产生有影响。基本关系可以具体化为如下方面：一是用会计规则来实现政治目的的严重后果就是破坏了会计的反映经济真实这一基本职能，政府管制对会计信息真实性产生严重不良影响。二是用会计规则来规范交易行为能维护会计反映经济真实这一基本职能。三是会计规则与组织规则必须相互协调。政治均衡状况决定了会计制度变迁过程中的国家特征程度；组织是会计活动的空间，组织的创新必然要求会计规则的协调；交易是会计的最主要对象，交易的成功需要会计规则的支持。显然，组织、交易与会计三者之间具有较强的互补性，但它们协调发展状况很大程度取决于政治管制框架。

　　激励相容的制度安排应该是实现企业组织内部有独立完整地完成具体决策任务的主体抑或活动单元，换言之，如果仅仅从内部控制效率最大化角度考虑问题，极有可能打乱企业组织原有的正常的活动流程而出现为控制而设立的一系列条块分割状态，导致企业活动效率的下降。而且，企业组织内部能够被激励或业绩评价的前提条件之一就是各自主体地位的清晰界定及不同主体间的责、权、利边界的明晰。像内部控制的最初形态是内部牵制，该种制度安排并不利于最优决策及其执行。

　　六、内部控制制度国际趋同性

　　趋同的准确含义是指在一定的相同或相近的语境下实现可比性，其首要特征是国家或地区间建立在较高程度的共性基础上。趋同更加注重过程，目标是寻找恰当的方法共同构建高质量制度安排。经济学趋同研究可细分为δ趋同、绝对β趋同与条件β趋同，同时已经有学者开始采用时间序列方法来研究趋同问题。与上述三类经济学趋同涵义相对应，内部控制国际趋同也有着三层面的理解：其一是δ趋同，其首要特征是把内部控制描述为一系列技术方法的组合，技术模仿是一种有效的趋同机制，目标是技术完善。内部控制趋同的衡量侧重于选定一组公认内部控制技术及技术组合变量，用被研究对象与之对比的差异状况（标准差）来判断趋同程度。绝对β趋同是指由于后发优势的绝对存在而使得落后经济体内部控制无条件地加快制度变迁以实现趋同。相对β趋同是指在正视内部控制初始状态的基础上，分析约束条件，选择合适的演进路径（优化原先路径依赖方式），把内部控制技术与其所处应用环境匹配对称地一体化，在充分认识到内部控制趋同目标内生性与外生性的相应内涵及本质不同的前提下，诸多利益相关者积极参与并自动推进的过程。三类趋同的联系在于它们之间的递进性，可以认为内部控制δ趋同与相对β趋同是形式与实质的联系，而绝对β趋同则可以认为是可能性的存在。

　　我国的现实也正是如此，当作为中国版“萨班斯”的《企业内部控制规范》体系渐行渐近之时，上交所与深交所却提出了差异化内部控制版本，背后的深层次原因是什么？出于竞争还是两者不同的内控知识的供给差异，或其他？难道在内部控制概念背后有不同的真实动因？但这终归是在一国之内的具有同质性的制度环境中，或是因深沪两市存在微观证券市场结构差异而生？

　　即使从纯粹的技术角度分析内部控制制度，其国际趋同的广度与深度也是存在边界的。我们可作如下分析：财务报告→报表项目→业务行为→管理能力→制度安排→文化。显然，即使我们将内部控制界定在财务报告内部控制这样的起点上，其终极层面也会延伸至文化。尤其重要的是，将内部控制具体规范界定于财务报表项目为起点的外在局限在于财务会计准则核算体系的缺陷。传统财务会计核算由于过于注重标准化的易于沟通性而简化了业务数据与财务结果的对应性，即基于财务会计准则完全对称的一因一果型或多因一果型。但现实经济活动中更突出的表现可能是模糊对称的多因多果型，包括合因多果型与合因合果型等具体形式。从简单完全对称因果向模糊对称多因多果认识的深入，是提高传统财务会计核算所形成会计信息含量不足的思想基础。

　　将史蒂芬·柯维在其《高绩效人士的七个习惯》中所表达的意思用于企业，即若企业总是将视线聚焦于“没完没了的监视、评估、纠错或控制”上，那么等于教唆企业员工玩猫捉老鼠的游戏。持续的杰作不是监控出来的，只有那些受强烈的内在需求驱使的人方能创造杰作。如何让企业具有这种内在原动力呢？显然答案在于发自员工及合作伙伴内心的执著。这可以被界定为原则，而区别于此的行为都可以界定为规则。前者是内在的而后者是外在的；前者受内心的需求而为自己做事，后者依赖严格规章与奖罚机制。由此，我们必须追求内部控制由技术观念上升到制度观念直至形成企业的行为习惯，这就一定要突破COSO那种片段式的简单拼接以期形成全面性框架的构建思路。

　　四、内部控制制度“准公共品”性

　　当内部控制超越“内部”而更多地“外部化”为通用标准为社会所共同遵守之时，其一定程度上就表现为准公共品性质，也就是说内部控制制度的完全统一性意味着它具有公共品性质；但内部控制的本质却在于其“内部性”。不同企业可能存在相同或相似的关键价值因素，即使是两家相同战略定位的企业由于总体制度安排的不同、程度的差异也会导致内部控制关键控制环节的不同，这时用统一的具有外部规则性质的制度来规范多样化的企业管理行为显然是不现实的。这就暗含了企业外部的统一性规制与内部控制制度应该界定出明晰的界限或称内部控制的边界，边界的确定就是一个内外均衡点的寻求过程。

　　理论上，这一寻求过程应该包括如下层次：第一层次是探究企业与市场之间的边界，因为市场组织与企业组织并不是均质一致的，市场定价机制与企业内部定价机制既不遵循简单的两分法又不是两者的完全融合；第二层次是市场对企业运营的影响方式及效果评价，显然，我们现阶段市场经济还不完全具备西方成熟市场经济的市场理念与相应法律文化，因而要明确具体市场环境对企业的作用机理；第三层次是企业价值创造过程中关键价值因素的最佳实践所具有的共性及技术上的趋同程度，内部控制的共性描绘其统一性，是企业合规经营的要求；第四层次是当内部控制已经形成为企业受强烈内在需求驱使的无形理念时则形成了企业核心竞争力的组成部分甚至就是企业的核心竞争力。也就是说，终极的内部控制应该完全融入到企业组织的整体文化之中而不是以自身清晰、完整的“序列”而存在。

　　以逻辑关系而构建的上述层次表明成熟市场经济有着共同的理念，而作为依附于企业业务行为的内部控制则表现出多样化特征。事实上，不同的企业环境中内部控制被有效执行的前提条件是什么？市场机制、企业组织结构选择、内部控制制度构造与内部控制关键因素之间有怎样的逻辑关系？如何处理有效执行与理性约束间的均衡等都是需要结合具体企业的运作环境而定的。

　　五、内部控制制度设计起点

　　任何一种制度的形成都要有其自身的逻辑起点，在确定了相应的逻辑起点后，才能够在一定的约束条件下依选定的路径进行意义建构。就国内外内部控制制度的内容来看，内部控制制度的逻辑起点基本上定位于确保财务报表项目的真实，约束条件基本上界定为企业业务活动与信息反映的对称，选定的路径为简单的因果关联性。这样做的好处就在于具有较强的可操作性并有现成的账户体系作依托。而现状也正是将基于上述研究思路而形成的内部控制实践推崇为最佳实践，并相应地以COSO报告框架作为成熟理念加以推广。

　　常规意义上的内部控制制度的设计起点是值得商榷的。因为企业是一个具有复杂系统的有机体，在和企业外部其他组织发生交易或是企业组织内部事项时，任何活动都不仅仅是单纯的技术问题。如果简单地将企业活动区域进行界定的话，按照递进层次就是要正确处理价值标准与观念、政治、组织、交易与会计五者间的基本关系，基本关系可以描述为价值标准与观念→政治→组织和交易→会计。其中前者概念是后者概念的条件，逆向相关关系同时存在，第四层次对第三及潜移默化地对第二与第一层次产生有影响。基本关系可以具体化为如下方面：一是用会计规则来实现政治目的的严重后果就是破坏了会计的反映经济真实这一基本职能，政府管制对会计信息真实性产生严重不良影响。二是用会计规则来规范交易行为能维护会计反映经济真实这一基本职能。三是会计规则与组织规则必须相互协调。政治均衡状况决定了会计制度变迁过程中的国家特征程度；组织是会计活动的空间，组织的创新必然要求会计规则的协调；交易是会计的最主要对象，交易的成功需要会计规则的支持。显然，组织、交易与会计三者之间具有较强的互补性，但它们协调发展状况很大程度取决于政治管制框架。

　　激励相容的制度安排应该是实现企业组织内部有独立完整地完成具体决策任务的主体抑或活动单元，换言之，如果仅仅从内部控制效率最大化角度考虑问题，极有可能打乱企业组织原有的正常的活动流程而出现为控制而设立的一系列条块分割状态，导致企业活动效率的下降。而且，企业组织内部能够被激励或业绩评价的前提条件之一就是各自主体地位的清晰界定及不同主体间的责、权、利边界的明晰。像内部控制的最初形态是内部牵制，该种制度安排并不利于最优决策及其执行。

　　六、内部控制制度国际趋同性

　　趋同的准确含义是指在一定的相同或相近的语境下实现可比性，其首要特征是国家或地区间建立在较高程度的共性基础上。趋同更加注重过程，目标是寻找恰当的方法共同构建高质量制度安排。经济学趋同研究可细分为δ趋同、绝对β趋同与条件β趋同，同时已经有学者开始采用时间序列方法来研究趋同问题。与上述三类经济学趋同涵义相对应，内部控制国际趋同也有着三层面的理解：其一是δ趋同，其首要特征是把内部控制描述为一系列技术方法的组合，技术模仿是一种有效的趋同机制，目标是技术完善。内部控制趋同的衡量侧重于选定一组公认内部控制技术及技术组合变量，用被研究对象与之对比的差异状况（标准差）来判断趋同程度。绝对β趋同是指由于后发优势的绝对存在而使得落后经济体内部控制无条件地加快制度变迁以实现趋同。相对β趋同是指在正视内部控制初始状态的基础上，分析约束条件，选择合适的演进路径（优化原先路径依赖方式），把内部控制技术与其所处应用环境匹配对称地一体化，在充分认识到内部控制趋同目标内生性与外生性的相应内涵及本质不同的前提下，诸多利益相关者积极参与并自动推进的过程。三类趋同的联系在于它们之间的递进性，可以认为内部控制δ趋同与相对β趋同是形式与实质的联系，而绝对β趋同则可以认为是可能性的存在。

　　我国的现实也正是如此，当作为中国版“萨班斯”的《企业内部控制规范》体系渐行渐近之时，上交所与深交所却提出了差异化内部控制版本，背后的深层次原因是什么？出于竞争还是两者不同的内控知识的供给差异，或其他？难道在内部控制概念背后有不同的真实动因？但这终归是在一国之内的具有同质性的制度环境中，或是因深沪两市存在微观证券市场结构差异而生？

　　即使从纯粹的技术角度分析内部控制制度，其国际趋同的广度与深度也是存在边界的。我们可作如下分析：财务报告→报表项目→业务行为→管理能力→制度安排→文化。显然，即使我们将内部控制界定在财务报告内部控制这样的起点上，其终极层面也会延伸至文化。尤其重要的是，将内部控制具体规范界定于财务报表项目为起点的外在局限在于财务会计准则核算体系的缺陷。传统财务会计核算由于过于注重标准化的易于沟通性而简化了业务数据与财务结果的对应性，即基于财务会计准则完全对称的一因一果型或多因一果型。但现实经济活动中更突出的表现可能是模糊对称的多因多果型，包括合因多果型与合因合果型等具体形式。从简单完全对称因果向模糊对称多因多果认识的深入，是提高传统财务会计核算所形成会计信息含量不足的思想基础。