重溯内部控制变迁

　　【摘要】笔者认为，内部控制作为组织内比照规则进行纠偏的机制，决定其变迁的应是规则的变化；而规则及纠偏机制的变化经历了从静态环节点、静态流程线到动态流程线的过程，内部控制的阶段变迁是继承和发展，而不是否定和取代。本文将从规则的新视角重新考察内部控制的演变。
　　
　　Merchant（1985）将规则定义为一切正规指令和控制，包括标准命令、工作定义、操作过程、实践指南和道德规范等。规则不经常变动，它们涉及从最细微到最重要的各种事件。内部控制是组织内比照规则进行纠偏的机制；内部控制和规则，相辅相成，互为条件。因此，可以说规则是促成内部控制演变的直接原因，也是划分阶段的唯一标准。然而，目前人们广为接受的有关内部控制各阶段的说法，却并未从这个角度出发，而是杂七杂八采用了多重分类标准（例如，有的按控制手段进行分类如内部牵制，有的将控制内容作为分类标准如内部控制制度，有的则将控制体系作为分类依据如内部控制结构和内部控制框架），而且普遍认为阶段更替是一种取代关系。其实，事实远非如此。
　　首先，控制手段、内容或体系的丰富发展只是内部控制变迁的外在表现，规则才是内部控制变迁的根本原因。因为没有赖以参考比对的规则，内部控制的纠偏无从谈起；没有防止误入歧途的内部控制，规则的约束作用也同样形同虚设。简言之，是规则的演变决定了偏离规则的风险变化，也就决定了降低该风险内部控制的变迁。
　　其次，内部控制的阶段变迁，是继承和发展，而不是否定和取代。人们认识规则需要经历一个从点到面、从静到动的渐进过程，为规则设置纠偏机制也自然是从最初的静态环节点逐渐延伸到静态流程线直至动态流程线。然而，没有点不成线，没有静何谈动，只要前一阶段规则仍合理有效，那么前一阶段控制就仍然是后一阶段控制不可或缺的基础和前提，内部控制变迁不过是内部控制随着规则范围扩大和层次加深而不断拓展和深化的过程。
　　
　　一、静态环节点内部控制
　　
　　内部控制的最初阶段起步于静态环节点，目的主要定位于财产保全，其产生基于两个基本设想：一是两个或两个以上的人无意识地犯同样错误的机会很小；二是两个或两个以上的人有意识地合伙舞弊的可能性大大低于单独一个人舞弊的可能性。传统上，这一阶段被称为内部牵制。实践证明这些设想是合理的，内部牵制制度确实有效地减少了错误和舞弊行为。
　　但这一阶段的内部牵制，主要是从某一环节或者某一部门出发进行的控制，不强调对整个业务过程进行系统控制。或者说，内部牵制是从公司经济业务的“环节点”出发进行的控制，控制范围仅限于“点”，不强调“点”与“点”之间的联系，不对公司整体业务进行把握。但事实上，内部牵制不仅能在同一部门内环节点职责分离控制上发挥作用，而且更能在流程线不同部门间的组织控制上大展身手。
　　目前，基本所有文献均将此阶段定义为“内部牵制”阶段，这自有其突出内部牵制是当时内部控制主要甚至唯一手段的一面，但是这种称谓也容易产生误解。本文并未采用通常的提法，主要是基于如下考虑：
　　（一）内部控制的发展取决于当时的实际需要和认识能力。最初阶段，人们只注意到某些部门或某些环节的风险问题，而且主要集中于财产安全方面，故发明出内部牵制制度，但这并不意味着随后发展的内部控制已不再需要在环节点上进行内部牵制，相反，无论内部控制制度如何发展，内部牵制将始终发挥重要作用。如此称谓，不符合内部控制的发展规律。
　　（二）内部控制的发展过程是拓展而不是取代。有些事物的发展是破旧立新，如人类社会制度；而有些事物的发展则是继往开来，如内部控制制度。内部控制的发展是层次上的逐渐深化，是内容的不断丰富，不是由后一层次取代前一层次，而是各层次并存、相辅相成。人类的认识是从点到线，从静态到动态，但这并不意味着有了后者就不再需要前者，前者永远是后者得以实现的根基。如此称谓，难免误导内部控制的发展方向。
　　（三）内部控制的阶段划分应采用同一标准。内部牵制，确切地说，应是内部控制的一种实现手段，并不能替代内部控制概念。内部牵制，只是内部控制的部分内容，而非全部。如果将内部牵制的手段特征作为最初阶段的命名根据，则其他阶段也应以其突出的手段特征进行称谓。然而，其他阶段却以“内部控制制度”、“内部控制结构”、“内部控制框架”等非手段特征进行命名。如此称谓，显然有悖分类的一贯标准。
　　
　　二、静态流程线内部控制
　　
　　20世纪30年代，出现世界性经济大危机，迫使企pEtxoeiA0rr4rcJFDRZcUA==业对生产经营全过程进一步加强监控，人们的关注焦点也从部门内部牵制深入到部门间业务活动控制。于是，出现了纵向、跨部门的内部控制——静态流程线内部控制。这一阶段，传统上被称为内部控制制度，“广义上包括下列既有会计又有管理特征的控制：会计控制包括与财产安全和财务记录可靠性有直接联系的组织规划的所有方法和程序……管理控制包括主要与经营效率和贯彻管理方针有关、通常只与财务记录有间接联系的组织规划的所有方法和程序。”这种将内部控制分为内部会计控制和内部管理控制的思想，一直延续到20世纪80年代。尽管今天回过头来看这种分类，批评多于肯定，但其定位的超越会计、纵贯企业的“程序”式内部控制却由此建立。
　　由此可见，这一阶段的内部控制，是在静态环节点的基础上延伸至静态流程线，进一步强调公司在某一个经济业务程序或者某一项经济业务方面的控制。也就是说，静态流程线内部控制不仅强调对某一业务“点”的控制，更强调了“点”和“点”之间的联系。该内部控制是对业务流程“线”的控制，其面更广，范围更大。
　　值得说明的是，笔者不赞同将内部控制划分为内部会计控制和内部管理控制的思想，具体原因如下：
　　（一）“将美玉击成了碎片”。将内部控制主观地分为内部会计控制和内部管理控制，虽然满足了审计人员的需要，但却破坏了管理的整体性。毕竟内部控制本质上是一个统一整体，本不可分，强行分割只能是一种武断行为。
　　（二）内部控制不仅为审计人员所需，更应为管理人员所用。内部控制，作为一种管理思想，源远流长。虽然内部控制为近代所重视，确实是因现代审计发展使然。但是，这并不代表内部控制是因审计需要而存在的，相反，内部控制是因管理需要而产生、发展和完善的，然后为审计所借用的。内部控制是管理的一项基础工作，能帮助管理人员尽可能避免错弊、达到目标。
　　（三）“内部管理控制”称谓混淆管理和会计的关系。内部控制之为内部控制，仅仅是取其在组织内主动实施之意，以示与外部强加控制相区别。实际上，内部控制就是管理五项职能之一的“控制”职能，就是管理控制，或称为内部管理控制。四者的关系是：管理五项职能中的控制职能=管理控制=内部管理控制=内部控制。而按照此阶段的内部控制概念，则内部控制＝内部会计控制＋内部管理控制。如此一来，内部管理控制＝内部会计控制＋内部管理控制，岂不矛盾？正确的说法应是，所有内部控制都是内部管理控制，只不过由不同的部门执行。会计部门执行的就是会计内部控制（或称内部会计控制），其他部门执行的就是其他什么内部控制，例如人力资源内部控制、物料流通内部控制。所以说，将全集的内部管理控制与子集的内部会计控制并提，不符合科学的分类标准，应该摒弃。
　　如果非要分离出或强调内部会计控制，则不妨遵循冯淑萍（2000）所提出的“应当突出会计核算和会计监督环节，即从会计环节入手，并向其他管理环节延伸”和刘玉廷（2001）在论述内部控制和内部会计控制关系的定位时主张的内部控制“以单位内部会计控制为主，同时兼顾与会计相关的控制”。这些观点都没有将内部会计控制以外的内部控制称为内部管理控制。
　　
　　
　　三、动态流程线内部控制
　　
　　20世纪80年代，一系列财务报告舞弊和破产事件导致人们对会计信息乃至内部控制的可靠性产生了怀疑；同时，信息技术的突飞猛进又使得企业机动灵活地随机应变成为可能。于是，动态流程线内部控制应运而生。这一阶段，包括传统上的内部控制结构和内部控制框架。其中，内部控制结构认为，企业的内部控制应“包括为合理保证企业特定目标的实现而建立的各种政策和程序”，可分为控制环境、会计系统和控制程序三方面要素；但实际上这个概念虽未像内部控制制度阶段那样“将美玉击成碎片”，但却仍然含糊不清，因为控制程序这一要素并不能与控制环境及会计系统相并列，控制环境和会计系统中也包含有控制程序。内部控制框架认为，“内部控制是由企业董事会、经理阶层以及其他员工实施的，为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现而提供合理保证的过程。其构成要素包括：控制环境、风险评估、控制活动、信息与沟通和监控。”这一概念为设计更广泛的控制系统提供了指南，并使各界对内部控制的认识得以统一。
　　无论是内部控制结构还是内部控制框架，都在试图改变内部控制一分为二的尴尬局面，也都试图满足日益增长的灵活性需要。如果说此前的流程呈静止不动的固定模式的话，那么这一阶段的内部控制则是以“控制程序”或“控制活动”为主线的动态多变的弹性模式。该内部控制不仅强调对某一条业务“线”的控制，更强调通过围绕主线的立体空间的随机调整来对企业整体活动进行灵活控制。这与现代信息技术提供的企业环境——集中而灵活，密不可分。在现代信息技术环境下，企业实时收集海量信息、迅速进行精确处理、及时辅助决策制定的各项能力，都为内部控制从封闭走向开放、变僵化教条的制度为充满生机活力的动态框架提供了可能。
　　这一阶段所提出的内部控制，较二分法的内部控制制度概念有了很大突破：
　　（一）内部控制是一个整体。内部控制不再以会计部门为标准和核心划分为会计控制和非会计控制（即所谓的管理控制）。会计系统只是内部控制（内部控制结构）的一种要素甚至是内部控制（内部控制框架）中不需再单独分离出来的一种手段；内部控制不再是以会计角度为主的一种行业规范，不再是只为会计审计人员服务的一种制度。内部控制是纵贯企业的一连串行动，是在流程中内设各种风险防范要求的纠偏机制，是管理的一部分，会计融入其中；内部控制与经营过程紧密结合，以使经营达到预期效果，并监督经营过程的持续进行，是管理的重要手段。至于确保会计信息质量只是其结果之一。可以这样说，这一阶段的内部控制概念解决了内部会计控制与内部管理控制的分合问题，强调了内部控制应该与企业经营过程的全面结合。此时的内部控制已经跳出会计审计的狭隘范围，是管理界的内部控制概念，反映的是现实生活中已存在qe/qEYP5iYahZqwFcHLW8w==的内部控制内容。
　　（二）内部控制是一种结构或框架。相对以前的内部控制概念而言，这一阶段的内部控制是一种立体格局，是以控制程序或控制活动为中轴的多维机制。该概念不仅突出强调“软控制”的作用，即控制环境等精神层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等；还格外重视信息沟通（在内部控制结构中以“会计系统”表示，在内部控制框架中则指整个信息系统）对整合集成控制的影响，将信息沟通视为内部控制上传下达的通道，突出体现了信息对反馈系统的重要作用；此外，在内部控制框架中还增加了监督自省机制，使内部控制更成为一个可以不断发展进步的自省组织。
　　（三）内部控制是一个动态过程。内部控制是对企业整个经营过程进行监控，而企业的经营活动是随内外因素而不断变化的，因此内部控制是一个“动态过程”。内部控制不是一项僵化的制度或一个机械的规定，而是一个不断发现问题、分析问题、解决问题的循环往复的过程。内部控制的整体性和结构性或框架性为内部控制的灵活机动提供了可能。
　　（四）内部控制的制定以风险为导向。内部控制的最终目的是执行规则，手段是纠偏，规则与控制之间的联系就是风险，即“偏”，内部控制的价值就在于降低该风险。一般来讲，规则为组织提供了行为标准，而偏离该标准的种种可能即风险则决定了相应的内部控制方式。目标——规则——风险——控制——监督，循环往复构成内部控制的制定和完善过程。传统内部控制，在漫长的手工环境下形成了各种控制方式，这些特定措施似乎已经成为内部控制制度不可或缺、不可变更的一部分，如传统的职责分离和复核。但实际上，实施特定控制程序是为了减少或消除产生风险的条件，而不是为了该程序的执行而执行。控制的纠偏目标是固定不变的，否则也不称其为控制；而风险不是一成不变的，是随控制环境、信息技术等变化的。因此，制定内部控制时，应把注意力集中于识别特定环境和技术下的特定风险，而不是拘泥于特定的控制程序。也就是说，制定内部控制制度应以风险为导向，与时俱进：规则在，风险在，控制在；规则变，风险变，控制变；规则无，风险无，控制无；偏离规则的风险与降低风险的控制共存亡。这也是本文将风险评估和控制活动放在一起讨论的原因，否则无从理解目标不变的情况下控制何以要变。
　　然而，优点即缺点，这一阶段的内部控制也相应产生了很多问题：
　　一是内部控制泛化。在COSO报告中，控制已不再是管理的一部分，管理和控制的职能与界限已经模糊，内部控制大有取代管理之势。尤其是“软控制”的介入，诸如管理范式、企业文化等管理的其他传统内容都被列入内部控制，管理和控制的关系被打乱，模糊了管理职能的划分和内部控制的定位。
　　二是内部控制不可控。内部控制本质上是比照规则进行纠偏，但“软控制”的引入和灵活性要求的增加，用以衡量偏否的参照物越来越无法参照，内部控制也就变得越来越不可控制。
　　三是内部控制无人负责。虽然内部控制框架要素之一的监督，要求对整个内部控制过程必须施以恰当监督，必要时对其加以修正。然而监督的执行方却含糊不清，内部审计对于部分内部控制内容如控制环境等无权干涉，缺乏权威性。企业如不单独成立权威、专门的内部控制部门，不仅对内部控制设计完善性和执行有效性的监督无法执行，就连内部控制的建立健全都非常困难。
　　总之，作为比照规则进行纠偏的内部控制，其范围随着规则的延伸而不断拓展，层次随着规则的深入而逐渐深化。一言以蔽之，规则的演化决定了内部控制的变迁。重溯内部控制的发展过程，可以发现这样一条规律：内部控制从一点到一线，从静态到动态；从硬性到弹性；从正式到非正式；原有控制仍然存在并继续发挥重要作用，点线静动各项控制各司其职，互不替代。