戰略導向內部控制研究

摘要:針對目前內部控制理論研究和實務中出現的一些問題，文章認為將內部控制的重點從糾錯防弊轉到戰略實現上來顯得更加重要和緊迫。戰略導向內部控制以戰略為軸心，通過戰略風險地圖將組織內部的風險因素鏈接起來形成一個邏輯嚴密的風險網絡，突出控制體系之間的戰略協調與邏輯性。

關鍵詞:戰略;內部控制;戰略風險地圖

一、 引言

2004年年底，針對企業面臨的激烈的市場環境以及國際企業界頻繁發生的高層管理人員舞弊現象，COSO在1992年的《內部控制——整合框架》(Internal Control-Integrated Framework，簡稱ICIF)上又頒布了一個概念全新的COSO報告——《企業風險管理——整合框架》(Enterprise Risk Management-Integrated Framework，簡稱ERMIF)。在我國，財政部等六部委頒布的《企業內部控制基本規范》主要是以ERMIF為依據，指出內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。但從內部控制三大指引的征求意見稿中，我們發現現階段我國內部控制還是以財務報告為主線，以差錯防弊確保信息真實和資產安全為目的，當然這于我們當前企業所處的環境有關，但從長遠看，內部控制要從企業內部管理的角度考慮投資者、債權人和管理者的本質需求。企業之所以會產生舞弊，最根本的原因是未實現其戰略目標而導致的經營業績不佳。企業制度經歷了自然人企業向公司制企業的過渡，自然人企業權力高度集中于一人，容易造成決策的重大失誤。世界各國的實踐證明，民營企業不容易長大，而且破產比例高，破產周期短(康涌泉，2005)，在很大程度上就是由一人決策的缺陷所導致的。正因為這樣，在企業制度的演變中，必須解決決策正確與否的問題，企業經營效率的高低最終取決于決策正確與否，包括戰略層面的決策和執行層面的決策。在自然人企業，一人決策的體制下，由于一人決策的主觀性、經驗的路徑依賴性、知識和專業能力的有限性和狹窄性，往往會導致決策失敗而使企業毀于一旦。所以，從治理的角度看，自然人企業向公司制企業演進，更為重要的目標是解決決策正確與否的問題。但是相伴這一問題的解決，也產生了負面效應。公司制企業的重要特征是兩權分離，使得經營者有可能產生背德和逆向選擇行為。盡管如此，從企業制度的歷史變遷看，公司制企業更加強調解決決策是否正確的問題。實際上，在自然人企業規模擴大到一定程度后，盡管是一人(或幾人)出資，一人決策，但是由于企業內部的分層管理，為了防止下屬各層次的背德行為就建立了內部牽制制度，后來進一步發展為內部控制制度。所以有關防止背德行為出現的控制制度是在公司制企業之前就已存在，顯然為公司制企業對可能產生的背德行為和逆向選擇行為的控制提供了理論與實踐基礎。 而有關決策正確與否的控制只是在形成公司制企業的前提下，才能夠較好的解決。從企業制度演進這個層面看，內部控制要解決的首要問題是決策問題，因此將內部控制的著力點放在更高層次上的戰略上，顯得更加重要和可行。本文就內部控制的戰略內涵以及戰略目標的實現進行探討。

二、 內部控制:戰略目標與戰略導向

COSO的ERMIF提出企業實施內部控制首要的任務是實現戰略目標，企業管理當局制訂戰略目標和選擇戰略，并在此基礎上自上而下地設定相應的目標，包括經營目標、報告目標和合法目標等。由此可以看出，ERMIF是以戰略目標貫穿其始終，以圍繞戰略目標的風險為管理的抓手，為戰略目標實現提供合理保證的全面風險管理體系。從這個角度看，內部控制是以戰略為導向的，我們在ERMIF的基礎上提出戰略導向內部控制的概念 。如圖1所示，戰略導向內部控制是以戰略為中心軸的風險控制，突出控制體系之間的戰略協同與協調，以戰略為中心軸，來協調企業內部管理各個部門和環節。將戰略分解到不同層次，再分析各個戰略層級的目標實施過程中的風險，通過對這些風險的控制來實現內部控制的目標。這里的風險是以風險組合的觀點看待風險，對相關的風險進行識別并采取措施使企業所承擔的風險在風險偏好的范圍內。

戰略是與企業根本目標相關聯，支撐企業的根本目標，戰略是企業與其組織背景相互作用以實現組織目標的綜合性計劃，是管理者為實現其企業價值最大化根本目標而針對環境所做出的一種反應和選擇。戰略目標 是企業制訂戰略的基本依據和出發點，是戰略實施的指導方針和戰略控制的評價標準。戰略目標的實現借助于戰略管理，戰略管理包括戰略分析、戰略制訂和戰略實施。戰略管理具有很大的不確定性和模糊性，影響因素復雜、多變，難以預見和量化，ERMIF也明確指出相對于合法合規性目標，戰略目標的實現并不總是處在主體的控制范圍之內，但通過風險管理技術，它的確能夠增大管理當局作出更好的決策的可能性。戰略目標的實施通過層層分解，具體化到某個部門、某個員工，通過計劃或預算的方式將戰略目標反映到具體的業務和流程中來，將戰略目標落到實處。縱觀企業的使命和目標的層級結構，我們可以看出，主體設定其使命或愿景，并制訂戰略目標，戰略目標是協調和支撐其使命或愿景的高層次的目的，主體為了實現其戰略目標而制訂戰略，并設定與戰略目標相匹配的相關目標(經營目標、報告目標和合規目標)，主體通過各種事項識別和風險評估技術，識別與一系列戰略目標相關的風險，并考慮它們的影響。

從組織結構看，戰略從制定到執行經歷治理層、管理層、各職能部門到員工。治理層是企業戰略的制定者，他們通過對內外部環境的分析得出一系列戰略依據和條件假設，再根據這些依據和假設制定出戰略方案。管理層是戰略的執行者，由于戰略具有長期性，管理者要將戰略目標分解成一個一個的階段性目標，再將這些階段性目標分解到各個職能部門，職能部門再根據自身的特點，將戰略目標分解落實到具體的業務中去。戰略目標的層層的分解產生兩方面的主要風險，一是戰略目標準確、清晰的傳達到每個職能部門以及員工，職能部門及員工對戰略的正確理解與接受，以及各部門各員工之間的有效溝通和協調;二是戰略目標落實到具體的部門及員工的時候，由于戰略具有一定的前瞻性、挑戰性，員工在現有或創造條件下能否實現相應的目標。根據COSO的ERMIF框架，在目標給出的條件下，圍繞目標的相關風險就自動納入到企業風險管理的系統中來，風險經過風險管理系統的處理，要么被規避、要么被減少、或被共擔或接受，對風險的處理過程也就是戰略目標的實現過程。

三、 內部控制與戰略風險地圖

平衡計分卡是由美國哈佛大學的羅伯特·卡普蘭·(Robert.Kaplan)和戴維·諾頓(David.Norton)(1992年)首先提出的。在1993年以前平衡計分卡一直被當作一個創新的業績管理工具，并沒有考慮平衡計分卡在其它方面的應用。但是在卡普蘭和諾頓關于平衡計分卡的后續研究中，兩位作者發現有許多善于創新的公司將這個工具作為戰略實施的工具 。卡普蘭和諾頓于(2000)提出了平衡計分卡理論的又一個核心概念:戰略地圖——通過平衡計分卡描述企業戰略的一個地圖框架，這篇論文闡述了用戰略地圖來描述戰略的緣由，并提供了如何應用戰略地圖來描述戰略的案例。2004年卡普蘭和諾頓發表了“Measuring The Strategic Readiness of Intangible Assets”一文和出版了《戰略地圖——化無形資產為有形產出》一書，這兩篇文獻在前述概念的基礎之上提出了戰略準備度的概念，同時生動地顯示了如何創建顧客化的戰略地圖，以使企業組織能夠:闡明戰略并與全體員工溝通;確定驅動戰略成功的關鍵內部流程;使人力、技術和組織資本投資協調一致，取得最大效果;揭示戰略缺陷，盡早采取糾正措施通過提供戰略規劃和戰略實施之間遺漏的聯系，為描述、衡量、保持無形資產的協調一致并取得卓越業績提供藍圖。

卡普蘭和諾頓關于平衡計分卡的一系列理論，從戰略地圖，到平衡計分卡四維度設計，再到具體的指標體系的構建，形成了一個全方位、立體的從戰略到行動的戰略體系，而戰略的制訂和實施離不開風險，風險就可以相應的納入到ERMIF框架中來。吳選作(2006)系統的分析了ERMIF與平衡計分卡整合的可行性，認為平衡計分卡作為一種從戰略管理到經營管理的工具從主觀上兩者有整合的需要，從客觀上這二者也有整合的條件。這與陳關亭(2009)管理就是機會管理和風險管理的結合，二者缺一不可的觀點也是一致的。平衡計分卡作為機會管理具有施正作用，它能增加企業價值，風險管理是輔助作用的，它能防止減值，兩者相輔相成，它們的目標都是實現企業價值最大化。因此，將風險管理的思想嵌入到戰略地圖就形成了戰略風險地圖。如圖2所示，戰略風險地圖是由戰略地圖中各事項所對應的風險構成的一個風險框架，它描述了企業戰略實施過程中的各種風險事項，以及各風險事項之間邏輯關系。戰略風險地圖圍繞戰略目標以及具體的各維度目標及指標體系將戰略實施風險分解成財務維度風險、顧客維度風險、內部流程風險和學習與成長維度風險，強調各維度之間、各風險事項之間的因果邏輯關系，利用風險組合的觀點平衡各維度以及維度內的風險，對相關的風險進行識別并采取措施使企業所承擔的風險在風險偏好的范圍內，通過對風險事項的識別和控制，實現組織的戰略目標。

四、 戰略導向內部控制的幾個基本問題

1. 戰略導向內部控制與ERMIF的關系。ERMIF是一個具有普遍適用性的風險管理框架，只要控制對象納入其控制的范圍，它就會通過一些系列的程序來識別、評估、應對這些風險，通過具體的控制措施實現控制目標。戰略導向內部控制也是建立在ERMIF的基礎之上的，它把分散在組織內部的各種散亂的風險因素通過戰略風險地圖形成一個邏輯嚴密的風險網絡，同時將不斷變化的風險因素通過戰略中心軸傳達到內部控制體系，對風險進行實時的更新。如果把ERMIF比作殺毒軟件的話，ERMIF具有查殺病毒的功能，而戰略導向內部控制如同給ERMIF這個殺毒軟件定義了病毒的標準(戰略風險地圖)，并增加了其自動進行實時的病毒庫更新的功能。

2. 戰略與戰略導向。此處的戰略導向是指戰略在組織內部的實施過程，從戰略目標的制定，到戰略目標在各職能部門的分解，落實到具體的業務流程、具體的工作的崗位的一個全過程。由于每一種具體戰略 在組織中的實施具有普遍性的規律也有特殊性的規律，所以我們在次研究的戰略導向內部控制更多的是一個框架，可以從不同的方面進行具體的研究。

3. 戰略目標與其他內部控制的目標。內部控制的目標除了戰略目標外還包括經營效率目標、報告目標和合法合規性目標。戰略目標的層次高于其他三個目標，其他三個目標通過不同的形式體現在戰略的實施過程中，實現企業經營的有效性和效率的經營目標、報告可靠和遵循適用的法律法規只是企業戰略目標實現的前提和基礎。

4. 戰略導向內部控制與公司的管理體系。現在普遍接受的觀點是管理包括計劃職能，組織職能，領導職能，控制職能，那么管理的控制職能與內部控制的控制職能又有什么區別呢?控制本質上一種行為引導，管理的控制職能主要通過對業績的計量和激勵來引導控制對象的行為來實現管理的目標，注重對結果與目標之間的差異分析，進而進行獎懲。而內部控制是通過具體的控制程序和方法(比如業務過程中的不相容職位的分離、授權審批等)，來引導控制對象的行為。前者注重結果控制，后者則更多的是過程控制，它們相互補充，所以內部控制并不是一個獨立于企業管理系統之外的一套系統，它應該嵌入到企業的管理系統當中(鄭石橋，2003)。

五、 小結

本文認為將內部控制的重點從糾錯防弊轉到戰略實現上來顯得更加重要和緊迫，從企業舞弊動機來看，企業之所以會產生舞弊，最根本的原因是未實現其戰略目標而導致的經營業績不佳;從風險管理的角度來看，風險必須要有一定的界定標準、識別應對措施，戰略中心軸為風險提供了一個界定和應對的統一標準，內部控制可以看成是為了實現企業戰略目標而對一系列的圍繞企業戰略實現的相關風險進行識別、評估與應對的過程。戰略風險地圖為我們描述了企業戰略實施過程中的各種風險事項，以及各風險事項之間邏輯關系，為戰略導向內部控制的提供了一個以戰略為中心的風險框架。當然，本文在此只是提供了一個戰略導向內部控制的基本框架，還有很多地方值得去深入研究。

參考文獻:

1. COSO.Enterprise Risk Management-Integrated F- ramework.http://www.coso.org，2004.

2. Robert.R.Kaplan，David.P.Norton. The Strateg- y-Focused Oranization:How Balanced Scorecard Compa- nies Thrive in the New Business Environment.Harvard Business School Press，2000.

3. 李心合.內部控制:從財務報告導向到價值創造導向.會計研究，2007，(4).

4. 吳選作.企業風險管理和平衡計分卡的整合分析.財會通訊，2006，(7).

5. 周航，趙曉萌.風險管理平衡計分卡的設計與應用研究.環渤海經濟瞭望，2005，(12).

6. 嚴復海，張冉.企業風險管理與業績評價整合:基于平衡計分卡的研究.北京工商大學學報(社會科學版)，2008，(5).

7. 王海林.價值鏈內部控制模型研究.會計研究，2006，(2).

8. 謝志華.內部控制:本質與結構.會計研究，2009(12).

9. 毛新述，楊有紅.內部控制與風險管理—中國會計學會2009內部控制專題學術研討會綜述.會計研究，2009，(5).

重點項目:本文受謝志華教授主持的北京市高等學校人才強教深化計劃“高層次人才資助計劃”項目(PHR2010 0512)支持。

作者簡介:楊克智，中央財經大學會計學院博士生;李睿，中央財經大學會計學院博士生。

收稿日期:2009-12-27。