基于COSO內部控制要素嵌入的企業組織控制模型研究

姚凌云

（廈門大學管理學院福建廈門 361005）

基于COSO內部控制要素嵌入的企業組織控制模型研究

姚凌云

（廈門大學管理學院福建廈門 361005）

現代意義上的企業內部控制理論主要基于外部審計角度開展研究。然而，將主要以審計角度進行研究的內部控制理論成果運用于企業實踐時，卻出現成本高昂、效率低下等諸問題。因為企業管理人員是從管理學的角度，并非從外部審計對內部控制的研究成果的角度理解與實施組織各層級的控制行為，而管理學與外部審計兩者在目標與范圍方面又是不相同的，因此需要構建一個整合性的組織控制模型以解決這種差異導致的問題，并為企業實施內部控制提供指引。本文主要分析了COSO內部控制框架與管理學對控制的主要研究成果之間的差異，并在此基礎上構建基于COSO內部控制要素嵌入的企業組織控制模型。

COSO內部控制組織控制模型

一、引言

現代意義上的企業內部控制理論主要基于外部審計角度開展研究。美國注冊會計師協會于1949年在其專著《內部控制—協作體系的要素及其對于管理層和獨立公共會計師的重要性》中首次明確提出“內部控制”這一概念。此后，內部控制理論經歷了內部控制制度、內部控制結構與內部控制整合框架等發展階段。美國COSO委員會于1992年頒布的《內部控制——整合框架》被認為是內部控制理論發展的里程碑。然而，COSO委員會作為全美反舞弊財務報告委員會的發起組織，其肩負著提升公司財務報告可靠性的歷史使命，因而其興趣主要是對內部控制與財務報告有關的部分感興趣（Root，2004），這一點與外部審計師是相同的。導致內部控制理論更多地從審計角度開展研究的原因主要有兩方面：一方面是從外部審計角度考慮，審計界期望能建立一個測試企業內部控制的范圍與標準，以提高審計效率并減輕審計責任；另一方面20世紀70年代以來美國公司財務丑聞頻發，而根據Treadway委員會的調查，近50%的財務舞弊案件是由于或部分地由于內部控制失敗造成。因此，公司外部利益相關人期望企業擁有一個能合理保證財務報告可靠性、保障資產安全的內部控制體系，同時外部獨立審計師能予以鑒證。然而，將主要從外部審計角度研究所得出的內部控制理論成果運用于企業組織控制實踐時，卻出現諸多問題，如成本高昂、效率低下、失敗率居高不下、成功經驗難以移植（楊周南等，2007），內部控制的本質要求與實踐作用很不相稱（楊雄勝，2005）。德魯克認為企業管理人員付之實踐的是管理學而不是經濟學，不是計量方法，不是行為科學，后面這些都是管理人員的工具。筆者認為，正是由于企業管理人員是從管理學的角度，而并非從外部審計對控制的研究成果的角度理解與實施組織各層級的控制行為，而同時兩者在目標與范圍方面又是不盡相同的，進而導致外部審計角度研究的內部控制理論運用于實踐時出現諸多問題。筆者認為，應從企業管理的角度構建一個組織控制模型，該控制模型根本目標是為企業戰略實施服務，同時將外界對內部控制的規范要求嵌入到模型中，以解決外界對企業內部控制的期望要求。

二、管理學對控制相關研究綜述

（一）法約爾對控制的研究法約爾首先將控制明確納入管理過程進行系統性研究。法約爾認為，管理活動有五項職能：計劃、組織、指揮、協調與控制。而在一個企業中，控制就是要檢查核實各項工作是否都已遵照被采納的行動計劃運行，是否和下達的指標一致，是否和已定的原則相符。法約爾在其《工業管理與一般管理》中提到了“企業的內部控制”，并認為這種控制是專門為了幫助各個部門良好地運行而采取的，總體來說就是為了企業的順利發展。然而，法約爾主要是為了更清晰地論述其對控制的觀點，強調其所討論的控制并不是指“兩企業間”的控制而是指“企業內部”的控制。因此，法約爾提出的“企業內部控制”實際上與1949年AICPA定義的內部控制在著眼點與內容上都不相同。作為古典管理理論的代表人物，法約爾對后續管理學者在控制職能的研究方面奠定了框架基礎，但是其眼中的控制職能傾向于“作業控制”的范疇，重心在于工人工作的效率“是否和下達的指標一致”。

（二）安冬尼對控制的研究羅伯特A·安冬尼于1965年出版AFrameworkforAnalysis專著，其將管理控制定義為：“管理人員在完成組織目標的過程中確保獲得所需資源并使資源得到有效和高效利用的過程”，安冬尼的研究對學術界產生很大影響（西蒙斯，1995）。此后，安冬尼在《管理控制系統》一書中將管理控制定義為：“為執行組織戰略，管理者向組織內的其他成員施加影響的過程”。安冬尼對管理控制概念理解的變化體現了其對戰略的重視，也體現了戰略學派對管理控制研究的影響。安冬尼認為組織中有三個包含計劃與控制的系統或者活動，即戰略形成、管理控制與任務控制。其中，戰略形成屬于最高層次，管理控制則是介于戰略形成與任務控制之間。安冬尼認為，戰略形成與管理控制之間最大的區別就是戰略形成在本質上是非系統的，管理控制過程則涉及到一系列按照較為固定的時間表進行預測的步驟，并且這些預測較為可靠。管理控制與任務控制之間最大的區別就是許多任務控制系統是科學的，而管理控制卻不可能簡化為科學。管理控制中的重點在組織單位；任務控制的重點在這些組織單位所執行的具體任務。對于管理控制系統的活動內容，安冬尼認為其包含：戰略計劃；預算準備；執行；業績衡量?？梢钥闯觯捕彷^明確地界定了管理控制系統的邊界，為整個組織控制研究奠定了良好的層級框架，同時將管理控制定義為戰略實施的過程也代表了現行控制的主流觀點。但從安冬尼論述管理控制系統活動的過程來看，安冬尼眼中的管理控制更多的是基于會計與財務角度的控制，控制的手段與工具主要是會計與財務導向的，對于非財務控制的考慮較為欠缺。

（三）西蒙斯對控制的研究西蒙斯將管理控制系統定義為：管理控制系統就是管理人員為保持或改變組織內部活動模式而采用的正式的、基于信息的例行程序和步驟。這個定義有兩個特點：一是管理控制系統是正式的例行程序和步驟；二是管理控制系統是基于信息的系統。當這些基于信息的系統用于保持或改變組織的活動模式時就成為控制系統。西蒙斯將實施戰略的管理控制系統區分為四種子系統，即信念系統、邊界系統、診斷控制系統、交互式控制系統。西蒙斯明確界定了在《控制》一書中所討論的管理控制系統不包括管理人員用來協調和管理業務活動的控制。因此，西蒙斯所討論的管理控制系統與安冬尼一樣，都不包括“任務控制”，不同之處在于，安冬尼的管理控制系統論述范圍更多地局限于西蒙斯的診斷控制系統，而西蒙斯則將視野擴大到信念系統、邊界系統，以及交互控制系統。西蒙斯同時也對“內部控制系統”做了研究，其認為內部控制是有效控制的基礎，內部控制用來防止盜用資產和確保會計記錄可靠，這對保證診斷控制系統的正常運轉非常關鍵。而內部控制的過程就是按步驟進行詳細的檢查和對比。在西蒙斯的視野里，內部控制僅僅是注冊會計師對公司管理控制的一些基本要求而已（楊雄勝，2006）。因此，從西蒙斯的研究中可以明顯看出管理學界對所謂“內部控制”的理解主要是審計學界對傳統內部控制的定義，而此后主要由會計與審計學界主導的內部控制研究逐漸擴展了傳統內部控制的范圍，這也直接導致了兩者間的差異日益增大，以至于企業內外部對內部控制期望愈發不一致。從以上綜述中可以看出，管理學界將“管理控制”視為戰略實施的過程，但這里的“管理控制”并不包括企業組織內所有的控制活動，后者還包括如生產計劃安排、質量控制等任務控制。同時，管理學界也將為保證企業資產安全完整、會計數據可靠的控制活動摒棄在管理控制活動之外。然而，如何界定任務控制與會計控制的關系，以及會計控制與管理控制的關系，管理學界并沒有給出較好的回答。

三、COSO內部控制框架與管理學對控制研究的差異分析

（一）控制目標的差異COSO內部控制框架是在繼承此前的內部控制兩分法與內部控制結構的基礎上發展而來。AICPA于1958年在其審計程序公告中將內部控制劃分為內部會計控制與內部管理控制，其主要目的是為了明確審計師測試企業內部控制的范圍與責任；1988年，AICPA在其55號審計準則公告中將內部控制擴展為內部控制結構，即控制環境、會計制度和控制程序。而COSO委員會在其《內部控制——整合框架》中則將內部控制按要素劃分為控制環境、風險評估、控制活動、信息與溝通、監督。吳水澎等（2001）認為COSO報告一個有價值的發現就是揉和了管理與控制的界限。然而，這種“揉和”同時也意味著目標的揉和。COSO內部控制框架認為內部控制是為下述目標提供合理保證的過程：經營效率與效果；財務報告的可靠性；符合適用的法律與法規。管理學界對控制所下的各種定義大多是將其定義為一種戰略過程（西蒙斯，1995），具體而言，是確保完成組織戰略目標的過程。相較而言，COSO框架對內部控制目標的界定顯然更為關注控制的外部利益要求，亦即財務報告與法律法規的遵守；而管理學界對控制目標的界定顯然是服從于管理本身的宗旨與目標，對于財務報告與法律法規的遵守是組織戰略目標達成的必要條件，而非目標本身。表面上來看，COSO內部控制框架界定的目標之一——經營效率與效果似乎與管理學對控制目標的界定比較契合。然而，仔細分析COSO內部控制框架，COSO對于經營效率與效果這項目標的討論是比較保守的，一方面，此項目標包含了業界頗為關注的保護資產安全與完整的目標，另一方面，COSO認為：“內部控制不能防止錯誤的判斷或決策，也不能阻止可能造成主體無法實現經營目標的外部事項。對于這些目標而言，內部控制體系只能就管理層以及發行履行監督職能的董事會及時了解該主體它們邁進的程度提供合理保證”。顯然，COSO此言是為了降低各方對內部控制的期望。綜合起來，對于COSO眼中的內部控制的經營效率與效果的目標，實際上就是為了保護資產安全與完整，以及為管理層與董事會就經營目標的邁進程度提供可靠的信息。而這與西蒙斯視野中的“內部控制”差異并不大。事實上，管理控制系統的確是基于信息的系統，信息是控制決策的基礎，但提供信息目標與決策目標兩者的宗旨雖然一致，但層級并不相同，信息應該是決策的手段與必要條件，而其本身并非目標。

（二）控制范圍的差異一般認為，如果COSO內部控制框架是繼承內部控制兩分法（內部會計控制與內部管理控制）與內部控制結構的基礎發展而來，并且其范圍有擴大趨勢，那么似乎COSO內部控制應包含管理控制。筆者認為，COSO內部控制的范圍是否包納管理控制的前提在于COSO自身對其框架的范圍界定，以及管理控制本身的范圍。COSO在論述內部控制的有效性時，論及了內部控制與管理過程的關系，由于內部控制是管理過程的一部分，因此對構成要素的討論是在管理層在經營企業的過程中做了什么這一背景下進行的。但是，管理層所做的每一件事情并不是都是內部控制的元素。由此COSO將使命與價值觀陳述、戰略規劃、活動層次目標設定、風險管理與矯正措施等排除在內部控制范圍之外。在這些管理活動中，使命與價值觀陳述實際上為西蒙斯管理控制系統中信念系統與邊界系統的內容之一，同時使命與價值觀陳述雖然不是行政官僚控制的方法，但卻是文化控制的重要方法之一；活動層次目標設定與矯正措施則是控制系統必不可少的兩項要素，孔茨認為，任何基本的控制流程，不管它用在哪里，控制的對象是什么，都要包含以下三個步驟：制定標準；借助這些標準來度量績效；采取措施修正相對于標準和計劃的偏差。從這方面來看，COSO內部控制框架的范圍并未完全包含管理學對控制的范圍界定。從另外一方面來看，如果按安冬尼與西蒙斯的劃分，將管理控制與任務控制做明確界定，那么管理控制的范圍實際上也未包含COSO內部控制框架所界定的范圍。COSO內部控制在控制活動要素中實際上更傾向于任務控制，如高層審核、直接的職能或活動管理（Directfunctionaloractivitymanagement）、信息處理（Informationprocessing）、實物控制、職能分離等，這些控制活動實際上是嵌套進管理控制與任務控制，并且在資產安全與信息可靠方面更加傾向于任務控制?？偨Y起來，如果將企業戰略執行控制系統（記為A）劃分為管理控制（記為B）與任務控制（記為C）視為，即：A=B∪C，那么COSO內部控制（記為D）與戰略執行控制的關系為：D?A，與管理控制則呈相交關系，即：B∩D?B，如（圖1）所示.總體來說，從兩者研究的立場上來看，對于控制目標與控制范圍的研究差異是正常的。COSO委員會作為反虛假財務報告委員會的發起組織，自其誕生之日起就擔負了如何有效防范財務報告舞弊進而維護資本市場秩序的歷史使命，而其興趣主要是對內部控制與財務報告有關的部分感興趣（Root，2004）。而管理學界的研究同樣也是秉承了管理學本身的宗旨，控制的目標融于管理的目標，管理的目標融于組織的目標。宗旨與目標的不一致必然影響到范圍的差異。這種研究宗旨、目標與范圍的不一致必然導致內外部對企業內部控制的期望不一致，以至于外部規范下的內部控制難以實施與評價，或實施與評價不符合成本效益原則。

四、基于內部控制要素嵌入的戰略控制模型構建

（一）企業組織控制模型特征為有效解決企業內外部對內部控制的理解與期望的差異，必須構建一個能夠將COSO內部控制要素嵌入于企業組織控制的模型，并且該模型必須擁有以下特點：模型必須能夠反映出利益相關人除了企業績效方面，對于企業內部控制的規范要求，而不能僅僅只考慮組織戰略的實施；如果將外部內部控制規范視為較為剛性的制度要求，那么模型必須能夠反映出這種制度要求是如何嵌套進企業戰略控制的及之間的差異；模型的邏輯必須符合企業管理過程的基本邏輯?；谝陨显瓌t，構建如（圖2）所示的基于內部控制要素嵌入的企業組織控制模型。

（二）模型內部結構橢圓代表企業內部，這也代表了企業的戰略控制是指對企業內部的戰略實施過程進行控制，其責任主體為企業的董事會、高層管理人員與其領導下的員工。虛線矩形內表示企業的組織控制系統，其目標在于企業戰略的實施并產生績效，同時戰略控制系統并非是封閉的系統，其在社會責任、公司治理與對外報告等方面與外部產生互動。如果按管理過程學派的代表人物羅賓斯的劃分，即將管理職能劃分為計劃、組織、領導和控制，那么這里的組織控制系統實際是指廣義的控制，即將羅賓斯概念中的組織、領導與控制三者融合，從而組織管理整合成為計劃與控制兩大活動。企業組織控制系統由三個子系統組成：內部環境系統、信息報告系統與執行控制系統。內部環境系統傾向于羅賓斯概念中的組織與領導，同時包絡西蒙斯管理控制系統中的信念系統與邊界系統；信息報告系統是企業內外部信息交流的平臺，其在企業內部承擔著企業上下級之間與業務單元之間的信息收集、加工、處理與報告的職能；執行控制系統包含兩個層面的控制，即管理控制層面與任務控制層面。管理控制層面包含基于即定戰略的目標設定與分解、預算編制、業務衡量與偏差糾正等；而任務控制層面傾向于具體業務活動的執行效率與效果，如生產進度安排、協調訂貨、質量控制等。

（三）模型與外部環境的銜接企業的控制系統并非封閉的，其受制于外部環境同時又反作用于外部。企業的控制系統的目標在于實現企業的戰略與使命，而企業的戰略本身受到宏觀經濟環境與產業環境影響，因此控制系統實際上是通過企業戰略規劃間接受制于同時反作用于企業競爭環境；企業的績效目標并不完全取決于企業經營管理人員，資本市場對企業績效的壓力實質上會影響企業戰略規劃，進而影響企業戰略的實施與控制；德魯克認為，企業管理的任務之一即是“處理本機構的社會影響和對社會的責任”，因此企業的執行控制系統中的例如生產控制、質量控制系統等等必須考慮企業產品與廢棄物對社區與社會的影響；企業內部環境系統與外部銜接點在于利益相關者的公司治理要求。公司治理解決的是企業所有權與經營權分離情況下股東、董事會與管理者三者之間的代理問題。而三者之間的制衡關系也將影響到企業戰略規劃與實施以及信息的傳遞要求；企業信息報告系統一方面必須滿足企業戰略控制的信息需求，另一方面信息報告系統承擔著以財務報告為主的對外信息傳遞職能，因此信息報告系統的設計不能僅僅考慮內部管理需求，而應將外部信息需求融合進管理需求之中，這種受托責任的履行是企業生存的必要條件。

（四）模型與COSO內部控制框架的關系控制模型的設計必須考慮能夠內在邏輯一致地將外部控制制度要求嵌入，以實現內外部對控制要求的銜接。（圖2）的企業組織控制系統的總體范圍包含COSO內部控制框架，但其劃分維度與COSO內部控制框架并不相同，即對于任何一個子系統都可能包含兩個或兩個以上的COSO控制要素。如內部環境系統中除了涉及控制環境要素外，其邊界控制機制即是為了限制企業接近某些機會以防止經營重心分散而增大風險（風險評估要素），而組織設置中的內部審計安排則是為了有效監控企業的戰略實施與風險防范（監控要素）。對于執行控制系統與信息報告系統而言，其在標準設定和業績衡量中過程中需要大量的協調與溝通（信息與溝通要素），以及執行過程的監控（監控要素）；對于信息報告系統而言，其職能在于收集、處理與報告企業決策和外部要求所需信息，因此信息本身的相關性與可靠性就要求有良好的風險評估、控制程序與監控活動。企業組織控制系統的總體范圍包含COSO內部控制框架，也即意味著企業組織控制系統中必然有一部分活動不屬于COSO內部控制框架范圍之內。在企業組織控制系統中，內部環境系統與信息報告系統都屬于內部控制要素范圍。執行控制系統可以按其按內部活動程序劃分為：標準設定（或目標設定）、執行監控、業績衡量、矯正措施，而根據COSO對內部控制與管理過程關系的闡述，COSO內部控制框架僅僅包含執行監控與業績衡量兩項活動，標準設定與矯正措施并未在其框架范圍之內，如（表1）所示。

表1 企業組織控制系統與COSO內部控制框架的關系

五、結論

本文系統性地研究了COSO內部控制框架與管理學對控制研究成果的差異，筆者認為這種概念認知的差異將導致企業內外部對內部控制期望的不一致，進而影響外部所規范的內部控制要求在企業中的實施效率與效果。而基于企業內部控制的實施主體是企業管理人員，因此減輕這種差異的方法就是構建一個從管理學邏輯出發的，考慮外部對企業內部控制規范要求（COSO內部控制框架）的綜合性的企業組織控制模型。本文構建了一個企業組織控制模型，并系統分析了模型的邏輯及其與COSO內部控制框架的關系。

［1］楊周南等：《內部控制工程學研究》，《會計研究》2007年第3期。

［2］楊雄勝：《內部控制理論研究新視野》，《會計研究》2005年第7期。

［3］李心合：《內部控制：從財務報告導向到價值創造導向》，《會計研究》2007年第4期。

［4］韓子貴：《管理理論的發展與行為控制模式的演變》，《經濟管理》2006年第14期。

［5］楊雄勝：《內部控制理論面臨的困境及其出路》，《會計研究》2006年第2期。

［6］吳水澎等：《企業內部控制理論的發展與啟示》，《會計研究》2000年第5期。

［7］閻達五等：《內部控制框架的構建》《會計研究》2001年第2期。

［8］亨利·法約爾：《工業管理與一般管理》，機械工業出版社2007年版。

［9］羅伯特A·安冬尼等：《管理控制系統》，機械工業出版社2004年版。

［10］羅伯特·西蒙斯：《控制》，機械工業出版社2004年版。

［11］哈羅德·孔茨等：《管理學精要》，機械工業出版社2005年版。

［12］彼德·德魯克：《管理：使命、責任、實務》，機械工業出版社2007年版。

［13］斯蒂芬·P·羅賓斯等：《管理學》，中國人民大學出版社2004年版。

［14］StevenJ．Root：《超越COSO——加強公司治理的內部控制》，清華大學出版社2004年版。

Research on Control Model of Organization Embedded by COSO Internal Control Components

Yao Lingyun

（Management School,Xiamen University,Xiamen,Fujian 361005）

The current theory of internal control is based on the research from external audit point of view.However,it is costly,low efficient when this theory is applied to business practices.The reason is that executives comprehend and implement control actions not in the perspective of the theory of internal control based on external audit,but the theory of management.And there are differences between the two theories.Therefore,it is necessary to establish an integrated control model oforganization so that the problems caused by the differences can be resolved and executives can implement the control actions more efficiently under the guidance of the model.This paper analyzed the differences between COSO internal control framework and the control theory of management,on the base ofwhich the control model oforganization embedded byCOSOinternal control components was established.

COSOInternal controlModel oforganization control

姚凌云（1981-），男，福建南平人，廈門大學管理學院博士研究生

book=122,ebook=307

（編輯 梁恒）