內部控制法制化的理論依據、法律特征與實踐影響

鄭小榮 ，王美英

（1.南京審計學院，江蘇 南京 210029；2.中國人民大學 商學院，北京 100872）

一、引言

內部控制法制化就是運用法律手段對內部控制作出強制性規定，賦予企業管理者在內部控制問題上的法律義務和法律責任。內部控制法制化由內部控制披露制度、鑒證制度、責任聲明制度和法律責任制度等四項制度構成，其宗旨是要求企業建立并維持充分有效的內部控制，保證內部控制治理功能的充分發揮。內部控制成為一個獨特的法律問題，將對企業的管理行為產生廣泛而深遠的影響。

作為一個歷史過程，內部控制法制化起始于美國1977年的《反對海外行賄法》（FCPA）。該法案第一次將內部控制作為一個法律問題，要求企業保持內部會計控制的有效性。1991年FDICA將內部控制法制化擴展到美國的商業銀行系統，第一次確立了內部控制聲明與內部控制鑒證制度。這兩項制度的建立，為后續內部控制法制化進程指明了方向。2002年《上市公司會計改革與投資者保護法案》（Sarbnes-Oxley Act， SOX）將內部控制法制化推廣到在美國資本市場上融資的本土和海外公司，發展了FCPA和FDICA的內容，并引進了內部控制法律責任制度，成為內部控制發展史上的一個重大事件。我國內部控制法制化進程開始于1999年《會計法》對內部控制的有關規定，2001年6月22日財政部頒布并實行的《內部會計控制規范》對企業內部會計控制作了更為明確的要求， 2008年財政部會同證監會、審計署、銀監會、保監會制定并印發的《企業內部控制基本規范》，[1]借鑒了SOX的立法宗旨，參考了COSO1992年的ICIF框架，對我國上市公司的內部控制自我評估和披露作出指導性規定，代表了我國內部控制法制化的最新發展。

內部控制法制化改變了內部控制的性質，對管理理論提出了新的課題。首先，內部控制法制化把管理問題法律化，從而結束了內部控制的自由主義狀態。①在內部控制法制化以前，內部控制只是企業管理活動的工具。針對企業確定的任何目標、開展的任何業務以及涉及的任何人員，管理者都可以根據自己的管理風格、管理哲學、成本效益原則及對內部控制的態度，自主地設計、實施和執行相應的內部控制。內部控制法制化為企業的內部控制增加了法律約束，內部控制被納入法制化軌道。其次，內部控制法制化把管理問題治理化，使內部控制成為公司治理領域的新問題。在內部控制法制化以前，公司治理框架主要由財務報告、公司機構設置、利益相關各方的責權利安排等組成，內部控制被視為管理問題而不是治理問題游離于公司治理框架之外。內部控制法制化則將內部控制這一管理問題納入到公司治理的框架之內。最后，管理問題法律化和管理問題治理化使得內部控制由單純的管理問題轉變為集管理、治理和法律于一體的問題，這對傳統的企業理論提出了挑戰。

盡管內部控制法制化問題意義重大，但是目前對內部控制法制化的理論研究存在著重大缺陷。有的研究雖然觸及到了內部控制法制化問題的某些方面，但是并沒有把內部控制法制化作為專門的研究對象。有的研究則將內部控制法制化問題與內部控制標準化問題或內部控制基本理論問題相提并論，而沒有意識到內部控制法制化的獨特性。對內部控制法制化的研究則可以彌補理論上的這些缺陷。此外，內部控制法制化理論的研究成果可以用于指導內部控制法律規范的制定、修改和評價，將內部控制法制化作為專門的研究對象具有重大的實踐價值。為此，本文把內部控制法制化作為一個獨立的問題，對其存在的依據、法律特征和對企業管理實踐的影響等進行探索。

二、內部控制法制化的前提

美國SOX的目標是保護公眾利益，強化公司治理。[2]我國《企業內部控制基本規范》第一條也指出，其目標是通過加強和規范企業內部控制，提高企業經營管理水平和風險防范能力，促進企業可持續發展，進而維護社會主義市場經濟秩序和社會公眾利益。[3]這兩部內部控制法律規范都把“保護公眾利益”作為自己的目標之一。對于公司而言，公眾利益無非就是利益相關者的利益，而股東無疑是最為重要的利益相關者。因此，“保護公眾利益”最重要的意義之一也就是“保護股東利益”，即保護股東利益是內部控制法制化的基本目標。

保護股東利益，意味著股東的利益會遭受侵害。在企業的日常運作中，內部控制的設計、執行與監督權力掌握在管理者手中，在內部控制問題上最有可能侵害股東利益的是管理者。因此，保護股東利益意味著主要是保護股東利益不受管理者的侵害。由此可以推論內部控制法制化的一個前提假設，那就是，管理者具有侵害股東內部控制利益的動機和途徑。

（一）管理者具有侵害股東內部控制利益的動機

1.侵害股東利益的動機來源于內部控制利益沖突

如果股東與管理者的內部控制利益沒有沖突，則意味著兩者利益不相關或者利益一致。在利益互不相關的情況下，管理者在內部控制方面的決策和行動并不會影響股東的利益，此時，理性的管理者根本沒有動機去侵害股東利益，因為利益不相關則損人無法利己，而利己則需損人；在管理者與股東的內部控制利益保持一致的情況下，只有符合股東利益的內部控制才符合管理者的利益，偏離股東利益的內部控制也會偏離管理者的利益，損人等于損己、利人等于利己，此時管理者也沒有動機去侵害股東的內部控制利益。只有當股東與管理者的內部控制利益存在沖突，管理者才有侵害股東內部控制利益的動機。

2.內部控制的利益沖突來源于內部控制的治理功能

內部控制對股東和管理者存在著不同的利益影響，是內部控制利益沖突的必要條件，而內部控制對管理者和股東利益的影響則是通過內部控制功能的發揮而產生的。

任何內部控制同時具有治理和管理兩種功能。一方面，內部控制作為企業管理內部事務的工具，具有控制員工行動、保證管理者意圖得到執行、滿足企業管理內在需要，從而滿足管理者利益最大化的管理功能；②另一方面，內部控制作為公司治理內部機制，具有約束管理者行動、保障投資者利益不受侵害，從而滿足股東利益最大化的治理功能。③在這兩種功能中，治理功能是內部控制利益沖突的根源，而管理功能則不會導致兩者的利益沖突。這是因為，治理功能和管理功能對股東和管理者的利益影響是不同的。

內部控制管理功能對管理者和股東有著相同的利益影響。一方面，內部控制的管理功能以員工為“控制”對象而以管理者為服務對象，代表著管理者的剩余控制權的實現，[4]體現管理者的意圖，直接服務于管理者的利益；另一方面，在有效的利益分成機制下，股東利益的實現依賴于管理者利益的實現，內部控制管理功能間接服務于股東的利益。但是，作為組織內部治理機制，內部控制治理功能對管理者和股東有著截然不同的利益影響，治理功能對股東而言是利益保護機制，對管理者而言則是利益減損機制。因為，內部控制治理功能以管理者為治理對象而以投資者為服務對象，對管理者侵害股東利益的機會主義行為和剩余控制權構成限制和障礙。

（二）管理者侵害股東內部控制利益的途徑

從管理者角度看，內部控制兩種功能有著不同的影響，管理功能強化管理者的利益，而治理功能弱化管理者利益，因此管理者總是本能地排斥內部控制的治理功能，而歡迎內部控制的管理功能。然而，內部控制的治理功能和管理功能都是一種客觀存在，是內部控制內在固有的，只有管理功能而沒有治理功能的內部控制是不存在的，同樣，只有治理功能而沒有管理功能的內部控制也是不存在的。因此，盡管管理者從主觀上企圖完全擺脫治理功能，但在實踐上完全摒棄內部控制的治理功能是不現實的。內部控制只要存在，管理者就必須接受它的治理功能，管理者不可能在內部控制治理功能與管理功能之間做出選擇。

然而，在自由主義狀態下，管理者可以運用內部控制的設計權，對特定形式的內部控制設置與否做出選擇。由于治理功能與管理功能在不同的內部控制結構與形式中的分布是不同的，不同結構與形式的內部控制具有不同的治理功能和管理功能，有些內部控制的治理功能大于管理功能，有些內部控制的治理功能小于管理功能。因此，管理者可以減少設置或者不設置治理功能大于管理功能的內部控制，而更多設置治理功能小于管理功能的內部控制，以達到弱化治理功能而強化管理功能的目標。可見，管理者侵害股東內部控制利益的途徑，就是在內部控制設計問題上采取機會主義行動，弱化內部控制治理功能。

（三）內部控制法制化以管理者侵害股東內部控制利益為前提

內部控制功能導致了內部控制利益的存在，內部控制治理功能導致股東與管理者內部控制利益的沖突，內部控制利益沖突為內部控制法制化提供了合理的依據。利益沖突意味著，符合管理者利益的內部控制偏離股東的利益；反之，符合股東利益的內部控制則可能會偏離管理者的利益。在內部控制決策權掌握在管理者手中的自由主義狀態下，理性的管理者必將選擇設計和執行符合自己利益的內部控制，而不會選擇設計和執行違背自身利益而符合股東利益的內部控制。也就是說，管理者將借助內部控制設置權，進行內部控制的策略性設計，弱化整個內部控制系統的治理功能，采取偏離股東利益的機會主義行動。因此，為了保護股東在內部控制上的利益，就需要用法律手段來限制管理者在內部控制方面的權力，規范管理者內部控制設計與執行行為，強化內部控制的治理功能，進而強制管理者采取符合股東利益的內部控制。

簡言之，內部控制的利益沖突，使得管理者產生了偏離股東內部控制利益的動機，而內部控制兩種功能的差異，使得管理者具備了侵害股東的途徑。這樣，股東與管理者之間在內部控制利益上的沖突就成為必然，而這種必然性正是內部控制法制化得以合理存在的依據。

三、內部控制法制化的法律特征

（一）內部控制法律上的有效性獨立于管理上的有效性

首先，法律上的有效性是外在的，必須從司法或監管的角度用公司治理或監管的標準來衡量。在內部控制有效性的司法評估中，內部控制管理上的有效性最多只能成為抗辯理由，而不能成為免責的決定性因素。其次，內部控制管理上的有效性通常通過企業運行的結果來確定，內部控制法律上的有效性則需要通過司法實踐加以證明。管理上有效的內部控制可能因為無法證明其存在性或充分性而被法院判定為無效，同樣，管理上無效的內部控制則可能因為能夠證明其存在性或充分性而被法院判定為有效。

（二）內部控制的法律義務獨立于財務報告的法律義務

內部控制有效性與財務報告可靠性之間存在重要的因果關系，[5]然而，不管企業如何評價內部控制與財務報告可靠性之間的相關性，也不管內部控制與財務報告可靠性之間實際的相關性如何，管理者都必須獨立承擔內部控制有效性方面的法律義務。管理者既不能因為承擔了財務報告方面的法律義務，而拒絕承擔內部控制有效性方面的義務；也不能因為承擔了內部控制有效性方面的法律義務，而拒絕承擔財務報告可靠性方面的法律義務。

（三）內部控制的法律責任獨立于財務報告的法律責任

內部控制的法律責任獨立于財務報告的法律責任意味著，企業不能因財務報告的可靠性而要求免除在內部控制有效性方面的法律責任，也不能只是因財務報告不可靠而承擔內部控制的法律責任。對內部控制法律責任的認定以內部控制自身的有效性為依據，而與企業在財務報告方面的法律責任無關。具體表現如下：第一，假如企業未能按照法律的要求履行財務報告披露義務并構成違法行為，而且可以證明這一違法行為本來完全可以由有效的內部控制加以防范，此時，管理者需要分別就內部控制方面的缺陷和違法行為承擔各自的法律責任，而不能因管理者已經承擔了違法行為本身的法律責任而免除在內部控制方面的法律責任。第二，企業未能有效履行財務報告的披露義務而構成違法行為，而且這一行為在事先無法由專門的內部控制加以防范，但是，如果在案件的調查過程中發現并證明了其他方面內部控制的缺陷，那么管理者需要分別就這些方面的內部控制缺陷和違法行為本身承擔各自的法律責任，不能因內部控制的有效性和違法行為之間沒有因果關系而免除法律責任。第三，企業并沒有違背法律監管而構成違法行為，只是通過其他的途徑發現并證明了企業內部控制的缺陷，那么管理者需要單獨就內部控制方面的缺陷承擔相應的法律責任，而不能因內部控制沒有導致違法行為的發生而免除法律責任。第四，如果企業未能有效履行財務報告的披露義務而產生法律責任，但是，這種行為是由于內部控制以外的管理者越權和決策失誤造成的，內部控制本身是有效的，那么管理者無需就內部控制的有效性承擔責任。

四、內部控制法制化對內部控制實踐的影響

內部控制法制化改變了企業管理的外部法律環境，對企業內部控制活動賦予了法律義務并施加了法律責任。因此理性的管理者必然對此作出反應，調整內部控制的決策與行動，并將這種調整貫徹到內部控制設計和執行等環節。

（一）內部控制法制化對內部控制設計的影響

1.內部控制法制化對內部控制設計總體思路的影響

在自由主義狀態下，內部控制設計的總體思路是：以成本效益、治理功能與管理功能對比為指導原則，選擇治理功能小于管理功能的內部控制，舍棄治理功能大于管理功能的內部控制，立足于內部控制的管理功能，在保證管理功能的前提下盡量弱化治理功能。在內部控制法制化條件下，內部控制設計的總體思路將變為：以內部控制法律法規的遵循性為指導原則，盡量選擇那些具有較強治理功能、并且治理功能更容易被證明的內部控制，在保證治理功能的前提下盡量強化管理功能。

2.內部控制法制化對內部控制具體形式選擇的影響

在自由主義狀態下，內部控制的具體形式處于從屬地位，服從于內部控制的目標，在保證內部控制目標實現的前提下，內部控制形式的選擇遵循成本效益、[6]治理功能和管理功能對比的原則。此外，內部控制并沒有更多的要求，管理者可以根據企業的風險特征和控制環境、人員和業務特征、資源情況作出選擇。企業可能采用簡單形式的內部控制實現重大的風險控制，也可以采用復雜形式的內部控制應對一般風險。比如，對于特定的控制目標和控制風險，既可以采用內部牽制，也可以采用內部審計；既可以采用程序控制，也可以采用內部環境控制，內部控制的選擇無需考慮其他因素。在內部控制法制化條件下，面對內部控制法律責任，內部控制的形式成為一個極其重要的問題，將成為內部控制設計中需要考慮的核心因素。除了需要考慮在自由主義狀態下的那些因素外，還需要增加更多的考量因素：一是內部控制形式在法律上的可證明性。由于在法律上的內部控制需要向法院證明，為了在內部控制訴訟發生的情況下免除或減免法律責任，[7]需要管理者仔細考察、識別和挑選出那些法律上容易證明的內部控制形式。二是內部控制形式的充分性（存在性和完備性）。內部控制的有效性難以在法律上得到證明，但內部控制的充分性則更容易在法律上得到確認?；趦炔靠刂朴行耘c充分性之間的相關性，法律上通常根據內部控制的充分性來評估內部控制的有效性。一般地，充分的內部控制更容易被確認為是有效的，而不充分的內部控制則更容易被確認為是無效的。因此要求企業努力提高內部控制的存在性和完備性，設置更多內部控制的程序，細化相容職務的分離，增加控制環節，強化授權和審批制度，保持更加完整和詳細的會計記錄，更加充分體現內部牽制，強化內部審計的職能等。[8]三是制度文件化。內部控制的充分性在法律上通常由相應的內部控制制度的充分性加以證明，內部控制制度文件越充分，法律上就認為內部控制越充分，進而認為內部控制越有效，反之亦然。這樣，管理者就必然將內部控制制度文件化作為內部控制設計的重要任務。

（二）內部控制法制化對內部控制執行的影響

管理者執行內部控制同樣遵循成本效益和治理管理功能對比原則，對于一項業已存在的內部控制，如果符合管理者的利益，管理者就會嚴格執行它；如果不符合管理者的利益，管理者就會默認下級超越、授權下級超越、甚至自己超越內部控制，任由內部控制形同虛設；如果一項內部控制部分滿足管理者利益，管理者就只是期望有限地執行它。在自由主義狀態下，內部控制的設計權掌握在管理者手中，理性的管理者是不可能設置出不符合自己利益的內部控制的，而符合管理者利益的內部控制，將被得到嚴格的執行。

在內部控制法制化環境下，內部控制構建是法律責任導向的，管理者為了降低潛在的法律風險，將按照法律要求建立充分的內部控制，但是并非所有的內部控制都符合管理者利益。具體講，管理者將在內部控制法制化環境下建立兩類內部控制：一類是完全符合管理者利益的內部控制，即使在自由主義狀態下無法律要求，管理者也會設計的內部控制；二類是完全出于法律強制性要求而設置，在自由主義狀態下管理者根本不會設置的內部控制。理性管理者有執行前一類內部控制而回避后一類內部控制的動機，而內部控制執行上的難驗證性（司法上難以找到證據肯定或否定管理者是否執行過某項內部控制），使得管理者可以毫無法律風險地將內部控制執行上的機會主義動機轉變成現實的機會主義行為。這樣，在內部控制法制化條件下，管理者在內部控制設計上的機會主義行為雖然受到有效抑制，但是卻為內部控制執行上的機會主義行為所部分抵償。

五、研究結論

內部控制法制化是用法律手段對內部控制問題作出強制性規范，它將傳統上屬于自由主義領域的內部控制問題納入法律規范的范疇，從而為強化公司治理提供了新的法律途徑，擴展了公司治理的法律框架，給企業管理者增加了新的約束。內部控制法制化可以確保企業建立起體系完整、有詳盡文件支持的制度化內部控制體系，使內部控制的治理功能得到充分的體現。然而，由于內部控制執行難以在法律上得到有效證明，內部控制法制化也無法確保管理者執行這些符合法律要求的內部控制制度。管理者依據內部控制的執行權而采取的策略性行動，將消極執行或干脆不執行那些純粹為了應對內部控制法制化要求而建立起來的內部控制，而只積極執行那些與企業管理需要相吻合的內部控制。在內部控制法制化條件下，自由主義狀態下存在的內部控制設計上的機會主義為內部控制執行上的機會主義所代替，內部控制制度最終依然只是服務于管理者對內部控制管理功能的追求，而無法真正保證公司治理目標的實現。由于從法律上確認企業內部控制執行存在著嚴重的困難，內部控制法制化的有效性將由此受到影響。因此，要有效推行內部控制法制化，就必須著手解決內部控制執行的法律認定問題。

注 釋：

① 詳見《2002年公眾公司會計改革和投資者保護法案》的第404、302和906條款。

②內部控制管理功能主要體現在提高企業效率和降低企業風險兩個方面。

③關于公司治理的目標有兩種主要的觀點，即利益相關者利益最大化和股東利益最大化。為了表述方便，本文采用投資者利益最大化的觀點。

[1]秦榮生.內部控制與審計[M].北京：中信出版社，2008：15-18，46-52.

[2]秦榮生.從國際視角看我國內部審計的發展方向[J].當代財經，2009，(10)：110-115.

[3]張維迎.產權·激勵與公司治理[M].北京：經濟科學出版社，2005：111-115.

[4]財政部，證監會，審計署，銀監會，保監會.企業內部控制基本規范[EB/OL].http∶//www.easyfinance.com.cn/special/Internal-Control-Basic-Principles.asp，2008-05-28.

[5]Sarbanes-Oxley Act of 2002[EB/OL].http∶sec.gov/about/laws/soa2002.

[6]Committee of Sponsoring organizations of the Treadway Commission.Internal Control-Integrated Framework[R].May，1992.

[7]Committee of Sponsoring organizations of the Treadway Commission.Enterprise Risk Management-Integrated Framework[R].2004.

[8]Steven J.Root.Beyond COSO∶Internal Control to Enhance Corporate Governance[M].John Wiley&Sons，Inc.1998.