内部控制本质：理论框架和例证分析

冯秀果

【摘 要】 从本质上来说，内部控制是组织内部建立和实施的风险应对机制。内部控制的控制内容就是风险。内部控制的控制主体来源于组织内部。内部控制的控制方法是建立和实施风险应对机制。内部控制作为组织内部建立和实施的风险应对机制，能贯通到内部控制的所有基本问题。内部控制不一定是管理职能，各项管理职能中都有风险防范的要求，并不只是控制职能才防范风险。内部控制是管理体系的组成部分，定位于风险防范，内部控制要融于管理体系之中。内部控制与风险管理在本质上是一致的，风险管理是内部控制在风险社会的称呼。

【关键词】 风险； 内部控制； 管理体系； 管理职能

【中图分类号】 F239.44 【文献标识码】 A 【文章编号】 1004-5937（2018）09-0116-07

一、引言

理论是制度建构的基础，没有科学的理论为基础，科学的制度就难以形成。内部控制制度建构同样依赖于内部控制理论。在内部控制的诸多理论问题中，内部控制本质是最重要的问题之一。虽然内部控制作为一种人类活动已经有悠久的历史，作为一个学术问题也有几十年的历史了，然而，对于内部控制本质之认识仍然存在不少的分歧，主要的观点有过程论、管理活动论、控制职能论、经济控制系统论、免疫系统论、防范与保护论、新制度经济学视角的内部控制观。本文从方法论上进行改进，以辩证唯物主义认识论为基础，从内部控制现象中抽象出内部控制本质，并且将内部控制本质贯通到内部控制的其他基本问题，力争提出一个具有广泛适应性的内部控制本质之观点。

二、文献综述

关于内部控制本质，主流观点是COSO报告（1992）对内部控制的定义：“内部控制是由主体的各层次实施旨在为实现其主要目标提供合理保证的过程”。本文称之为过程论，有不少的文献支持过程论这种观点[1]。

除了过程论外，关于内部控制本质还有其他一些观点，主要有管理活动论、控制职能论、经济控制系统论、免疫系统论、防范与保护论、新制度经济学视角的内部控制观等，这些观点从不同的视角来认知内部控制的本质。管理活动论认为，内部控制是管理体系的组成部分，是管理层和员工实现控制目标而发生的一项管理活动[2-3]。控制职能论认为内部控制的本质是管理职能中的控制职能[4-6]。经济控制系统论认为内部控制是一种经济控制系统或者一项经济机制或制度[7-10]。免疫系统论认为内部控制是组织内部的免疫系统化[11]。防范与保护论认为，内部控制是个人、组织、社会各层面，运用识别、评估、计量、转化、抗御等专门方法，正确防范并遏制“非我与损我”，主动保护并促进“自我与益我”的系统化制度[12]。新制度经济学视角的内部控制观的共同特点是以新制度经济学为理论基础来研究内部控制本质，又有多种不同的观点，观点之一：内部控制的本质就是为了在降低交易费用的同时弥补契约不完备性而存在于组织内部的一个控制机制[13]；观点之二：弥补契约组合的不完备性，实现组织内部的均衡和有效运作，应当是系统和整体效率视角的内部控制的真正本质[14]；观点之三：内部控制的本质表现为组织体系中各相关的平等利益主体之间的相互制衡和各科层权力主体依上而下的监督[15]；观点之四：内部控制制度安排的核心是对组织公共领域产权的配置[16]。

上述观点从不同的视角认知内部控制之本質，丰富了人们对内部控制的认知。然而，各种观点都存在改进的潜力。过程论忽视了控制内容；管理活动论过于宽泛，并未说清楚内部控制与其他管理活动的区别；控制职能论缩小了内部控制的范围，事实上，管理的每个职能中都有风险防范；经济控制系统论过于抽象，谁来控制、控制什么、怎么控制都没有涉及；免疫系统论是对内部控制功能的一种比喻，并未说清楚内部控制的本质。例如，有观点认为，审计是免疫系统[17]，内部控制与审计都是免疫系统，二者有何区别？防范与保护论难以区分内部控制与管理体系之间的关系；而各种新制度经济学视角的内部控制观都忽视了物的因素可能带来的风险。本文以上述观点为基础，基于内部控制现象来抽象内部控制本质，同时，将内部控制本质之认知贯通到内部控制各基本问题。

三、理论框架

本文的目的是探究内部控制本质，采用辩证唯物主义的方法论，根据这种方法论，需要基于内部控制活动或现象来抽象出内部控制之本质。

内部控制作为一种人类活动已经有悠久的历史，有人认为，内部控制活动可以追溯公元前4 000年左右人类社会带有本能意义的内部牵制[18]；也有观点认为，内部控制活动最早可追溯到公元前3 000年左右的美索不达米亚文化时期[19]。在人类历史的长河中，内部控制得到了长足的发展，就微观组织来说，门、锁、印信、密码、条形码、保险柜、围墙、监视器、科层控制、不相容职能分工、激励机制、举报信箱、公开透明机制、道德教育等都属于微观层面的内部控制；就国家层面来说，国家结构形式、多党制衡、三权制衡、选举制度、国家预算制度、官员财产登记、边界线（例如，万里长城）、海关、边防检查等都属于国家层面的内部控制。时至今日，人类的内部控制活动已经非常丰富，有保障经营活动合规合法方面而实施的控制活动，有保障财务信息及业务信息真实完整而实施的控制活动，有保障财产安全而实施的控制活动，有保障人身安全而实施的控制活动，有防范经营风险而实施的控制活动，也有防范战略风险而实施的控制活动。

上述各种控制活动在人们面前展现了一个缤纷多彩的内部控制画卷，在这个画卷中，内部控制现象多姿多彩。基于不同的内部控制现象，可能形成对内部控制本质的不同认知。本质是现象的本质，根据不同的内部控制现象，可能得出不同的内部控制本质，根据一些局部的内部控制现象，可能概括出适用于本局部现象的内部控制本质。根据辩证唯物主义的方法论，要探究内部控制一般的本质，必须基于全部内部控制现象来概括其本质，这种本质是内部控制的共性本质，而不是个性本质。

那么，从历史的角度，内部控制的共性本质是什么呢？本文认为，不同的内部控制现象有一个共性属性，这就是抑制对本组织有负面影响的事项之发生，如果将这种负面事项称为风险，则从本质上来说，内部控制是组织内部建立和实施的风险应对机制。无论何种内部控制现象，都离不开这种属性，尽管其作用方式或路径有差异，但是，最终目的都是抑制对本组织有负面影响的事项之发生，这可以作为内部控制的共性本质。这个简要的内部控制本质回答了内部控制的三个基本问题：第一，控制什么——风险；第二，谁来控制——组织内部来实施；第三，怎么控制——风险应对机制。

下面，对上述三个方面做进一步阐述，将内部控制本质贯通到内部控制其他基本问题，并分析内部控制与相关问题的关系，以深化对内部控制本质的理解。

（一）控制什么

内部控制控制什么呢？也就是说，内部控制的控制内容是什么呢？基于内部控制是组织内部建立和实施的风险应对机制这个本质认识，内部控制的控制内容就是风险。问题的关键是，什么是风险？对于风险有多种理解，一种观点以组织目标为基础来认知风险，认为风险是在一定环境下和一定限期内客观存在的、影响组织目标实现的各种不确定性事项就是风险，或者说，风险就是指在一个特定的时间内和一定的环境条件下，人们所期望的目标与实际结果之间的差异程度。这种风险观强调组织目标，可以从影响组织实现的因素这个视角来认知风险，也可以从组织目标实现的偏差这个视角来认知风险，前者关注的是原因，后者关注的是结果。

另一种观点以组织影响为基础来认知风险，认为风险是组织遭受损失、伤害、不利或毁灭的可能性，或者说，风险就是发生不幸事件或是指一个事件产生组织所不希望的后果的可能性，通俗地说，风险就是对组织产生负面影响的不确定性事项。这种风险观并不强调不确定性事项对组织目标的影响，而是强调不确定性事项对组织的影响方向，凡是负面影响的，就是风险。换言之，在这种观点下，即使不确定性事项对组织目标没有影响，只要对组织带来负面影响，该不确定性事项就是风险。这种观点似乎对风险的界定更为广泛。然而，这只是表面现象，事实上，组织目标应该是一个分层级的体系，除了一般意义上的战略目标和业务营运目标外，组织还可以有其他许多的目标，例如，保障财产和人身安全、保障信息真实完整、保障履行社会责任、保障各种行为合规有合法、保障组织持续健康等等，如果组织目标得到完整的表述，则凡是对组织带来负面影响的不确定性事项也一定会影响到组织的某些目标。所以，总体来说，以组织目标为基础来认知风险和以组织影响为基础来认知风险，并不存在实质上的差异。当然，如果内部控制也可以仅仅关注影响某些组织目标的不确定性事项，则这种情形下的风险是特定的风险，并不是全部风险。

内部控制现象主要是以组织影响为基础来认知风险的，本文后续内容中也采用这种观点。根据这种风险，对组织有影响的不确定性事项大致可以分为三类：积极事项、消极事项、机会事项。积极事项对本组织只有有利影响；消极事项对本组织只有不利影响；机会事项对本组织的影响方向不确定，可能是正面影响，也可能是负面影响。风险就是包括消极事项和机会事项。

COSO报告是以组织目标为基础来认知风险，这并不表明以组织影响为基础来认知风险存在什么缺陷，只是表明，COSO报告关注的风险是特定风险，并不是全部风险。例如，COSO报告的内部控制目标中并没有财产安全，但是，谁也不能否认，在内部控制的历史发展中，保护财产安全曾经是重要的内部控制目标，所以，需要将对财产安全带来负面影响的不确定性事项作为风险来防范。

（二）谁来控制

内部控制是谁来控制呢？也就是说，内部控制的控制主体是什么呢？基于内部控制是组织内部建立和实施的风险应对机制这个本质认识，内部控制的控制主体来源于组织内部。COSO报告（1992）指出，内部控制是由主体的各层次实施旨在为实现其主要目标提供合理保证的过程。我国的《企业内部控制基本规范》指出，内部控制是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一个过程。我国的《行政事业单位内部控制规范（试行）》指出，内部控制是指单位为实现控制目标，通过制定制度、实施措施和執行程序，对经济活动的风险进行防范和管控。这些内部控制权威规范尽管对控制主体的表述不同，但是，这些控制主体都是源于组织内部。对于每个组织来说，从最高管理者到最基层的每个员工，都有责任抑制对本组织有负面影响之不确定性事项的发生，所以，都是风险控制的主体。也正是每个员工都是内部控制主体，而这些员工都属于组织内部，所以，由这些主体实施的风险控制才叫内部控制，这里的内部就是控制主体来源于组织内部。

既然如此，难道还有组织外部的主体帮助本组织来控制影响本组织的风险吗？答案是肯定的，在本组织外部，有不少的机构或个人会帮助本组织控制对本组织有负面影响的风险事件。例如，（1）一些政府机构、行业组织和智库及时发布一些信息，这些信息或许有助于某些组织防范其业务营运或战略风险；（2）司法机关惩处各种犯罪行为、公安机关维护社会治安、纪检监察机关惩治腐败、行业规制部门惩处不正当竞争行为，都会一定程度上降低各个组织面临的风险；（3）消防机构、安全监管机构履行其职责，都会有利于各个组织控制消防和安全风险；（4）金融保险机构为投保人提供商业保险，如果某组织购买了某种商业保险，则相应的风险损失就可以得到保障；（5）社会媒体、舆论监督及一些社会组织的活动，也会有助于某些组织防范风险；（6）社会文化价值观的有利变化，对每个人的风险行为都有抑制作用，从而会降低每个组织防范面临的某些风险。

所以，对于特定的组织来说，风险应对的力量有两个来源，一是组织内部，二是组织外部，前者的风险应对称为内部控制，后者的风险应对可以称为外部控制。对于该特定组织来说，外部控制并不是本组织建立和实施的，而内部控制则需要本组织自己来建立和实施。

（三）怎么控制

确定了控制内容和控制主体之后，内部控制是怎么控制的呢？也就是说，内部控制的控制方法是什么呢？或者是说，内部控制是如何抑制风险的呢？基于内部控制是组织内部建立和实施的风险应对机制这个本质认识，内部控制的控制方法是建立和实施风险应对机制。这里有两组关键词，一是“风险应对机制”，二是“建立和实施”。下面分别来阐释。

先来看“风险应对机制”。任何事物都由不同的部分组成，并且不同部分组成的整体都具有某种功能，机制是以一定的方式把事物的各个部分联系起来，使它们协调运行而发挥作用。所以，机制涉及事物的构造、功能及其相互关系，机制有三个重点，一是功能，二是组成要素，三是协调各组成要素以发挥整体功能。风险应对机制也是如此，其功能是防范风险，也就是抑制对本组织有负面影响的不确定性事项之发生或减轻其负面影响；其组成要素也就是内部控制要素，包括寻找风险和应对风险两类要件，也包括使得上述两类要件能持续有效的要素，寻找风险主要体现为风险评估，应对风险有控制环境、控制活动，而信息与沟通为各类控制要素提供信息及其沟通的平台，内部监视则是保障内部控制持续有效的必要要素，上述这些组成要素解决了如何控制的问题——控制是一个寻找风险和应对风险的过程，而这个风险应对机制要有效运行，还需要控制原则和控制假设，它们是控制要素建立和实施的要求或前提。风险应对机制包括多个要素，各个要素之间的协调配合是这个机制发挥功能的前提，如果各要素之间不能良好地协调配合，则风险应对机制的整体功能也会难以发挥。通过风险应对机制的构成要素可以看出，内部控制作为一个风险应对机制其实质也就是一个风险识别和应对的过程。

再来看“建立和实施”。首先，风险应对机制必然要体现为一些制度文本，对风险应对机制各要素做出设计，可以是单独的制度文本，也可以融入管理体系之中，并且后者是主要情形，这些内容可以称为内部控制设计；其次，风险应对机制相关的制度文本，还需要组织内部相关人员来执行，如果有制度不执行，则这些制度当然无法发挥应对风险的作用，这些内容，可以称为内部控制执行。从某种意义来说，内部控制执行比内部控制设计更加重要。所以，从本质上来说，内部控制必须做到知行合一，制度执行比制度设计更加重要，对内部控制的理解不能只是停留在内部控制设计。同时，内部控制的“建立和实施”还有一层意思，这就是持续有效，风险应对机制不能有时能发挥作用，有时不能发挥作用，这种机制就不能有效地应对风险，因此，风险应对机制必须是持续有效的。怎么都能做到持续有效呢？主要的路径是内部监视，包括由内部控制当事人实施的内部控制自我监视和组织内部的内部审计机构这类独立机构实施的内部控制独立评估，通过内部监视，及时地发现内部控制缺陷，并推动整改，保障内部控制持续有效，进而持续有效地发挥其防范风险的作用。

（四）内部控制本质与内部控制其他基本问题的贯通

本文前面的文献综述指出，关于内部控制本质有多种观点。有些观点是就内部控制本质谈内部控制本质，其关于内部控制本质的观点无法贯通到内部控制的其他基本问题，这种内部控制本质的认知显然有片面性。例如，文献综述中提到，有一种观点认为，内部控制的本质就是为了在降低交易费用的同时弥补契约不完备性而存在于组织内部的一个控制机制。基于这种内部控制本质，无法解释一个小杂货铺为防范外部人士的偷窃行为而采取的防范措施。那么，“内部控制是组织内部建立和实施的风险应对机制”这种对内部控制本质的观点能否贯通到内部控制的其他基本问题呢？下面，来分析这个问题。

内部控制基本问题是建立和实施内部控制必须解决的一些关键问题，一般认为，下列14个问题是基本问题：内部控制本质、内部控制需求、内部控制目标、内部控制主体、内部控制客体、控制内容、内部控制假定、内部控制原则、内部控制要素、风险评估、控制环境、控制活动、信息与沟通、内部监视。下面来分析“内部控制是组织内部建立和实施的风险应对机制”能否贯通到其他13个基本问题。

本文前面的分析中，内部控制需求源于风险对本组织带来的负面影响，所以，内部控制需求离不开内部控制本质；内部控制目标是对于特定风险的控制，因此对组织有负面影响的风险很多，内部控制如果只是关注其中的一些特定风险，则对于这些风险的控制就成为内部控制目标，所以，内部控制目标要以内部控制本质为基础；内部控制主体主要涉及谁来控制，内部控制本质中已经表明，是组织内部主体建立和实施的；内部控制客体主要涉及控制谁，一般来说，谁给本组织带来风险，谁就是本组织建立和实施内部控制的控制客体；控制内容主要涉及控制什么，内部控制本质中已经清楚地说明，控制内容是风险，也就是对本组织带来负面影响的不确定性事项；内部控制假定是风险应对的前提条件，而这些前提条件也就是风险应对机制的前提条件；內部控制原则是关于内部控制设计和内部控制执行的普通原则，也属于风险应对机制的普通要求；内部控制要素主要涉及怎么控制，属于风险应对机制的组成部分；风险评估、控制环境、控制活动、信息与沟通和内部监视是内部控制的五要素，共同组成回应怎么控制的问题。所以，总体来说，将内部控制界定为“组织内部建立和实施的风险应对机制”，这种内部控制本质能贯通到内部控制的所有其他基本问题，这种内部控制本质研究不是就本质谈本质，而是基于对内部控制各基本问题考虑的基础上所形成的内部控制本质。从方法论上来说，不是谋局部得出的局部问题的结论，而是在谋全局的基础上，对局部问题得出的结论。

（五）相关问题

研究内部控制本质有几个相关的问题无法回避，一是内部控制与管理职能是什么关系，二是内部控制与管理体系是什么关系，三是内部控制与风险管理是什么关系。

1.内部控制与管理职能的关系

法约尔认为，管理职能包括计划、组织、指挥、协调、控制这五种。后来，对管理职能出现了不同的观点，但是，各种观点都是对法约尔管理五职能的细化或重新组合，法约尔的五职能是管理职能中最有代表性的观点。那么，内部控制与管理五职能是什么关系呢？本文前面的文献综述提到，控制职能论认为内部控制的本质是管理职能中的控制职能。本文认为，这种观点有失偏颇。理由有两个方面：

第一，内部控制不一定是管理职能。管理职能是管理者行使的职能，内部控制不一定是管理职能，全体员工都要参与内部控制，并不是全体员工都在实现管理职能，例如，单位的门卫是内部控制职工，但是，不一定是行使管理职能。

第二，各项管理职能中都有风险防范的要求，并不只是控制职能才防范风险。计划是对未来活动进行的一种预先的谋划，很显然，这种谋划不当会对本组织带来负面影响，所以，计划职能中要有应对可能的计划不当之措施；同时，对未来的谋划要考虑可能出现的不利因素，避免这些不利因素可能造成的损害。组织是为实现组织目标，对组织机构、员工配置及责权关系的规定，很显然，机构设置、员工配置及权责设计都要考虑风险防范的要求，授权批准控制、不相容职能分离、岗位轮换、职业道德要求是组织职能中内部控制措施的典型代表。指挥是指管理者利用组织所赋予的权力去影响和激励组织成员为实现组织目标而努力工作，这其中当然包括影响和激励组织成员应对可能对本组织目标带来负面影响的风险之应对。协调职能是指管理者及时排除各种障碍，理顺各方面关系，促进组织机构正常运转，这些协调中，当然可以包括协调大家来应对风险。控制是为保证组织各部门各环节能按预定要求运作而实现组织目标的管理活动，很显然，控制职能要寻找和应对偏差组织目标的情形，这其中就包括风险应对的成分。总体来说，管理各职能都包括风险应对的要素。

所以，内部控制的本质不是管理职能中的控制职能，各项管理职能中都有风险应对的功能，同时，管理职能之外还有风险应对行为。

2.内部控制与管理体系的关系

管理体系是通过正式制度和非正式制度对本组织所有事项的规范，内部控制与管理体系的关系有两个方面，一是内部控制在管理体系中的定位，二是内部控制要融于管理体系之中。

先来看内部控制在管理体系中的定位。任何组织的管理体系设计要同时关注两个重要的主题，一是提高效率，二是防范风险。组织目标的达成及保持组织持续健康都依赖于提高效率和防范风险。所以，任何一项管理事项的规范，在设计规范体系时，既要考虑如何通过该管理规范来提高效率；同时，还要考虑如何通过该管理规范来防范风险。一般来说，提高效率和防范风险有一定的矛盾，为了提高效率，可能要放弃对一些风险的防范，而为了防范风险，有可能一定程度上会降低效率，所以，需要综合考虑提高效率和防范风险的要求之后，再确定管理规范。在管理体系的两个主题中，内部控制定位于风险防范，它通过防范对组织有负面影响的不确定性事项来为组织目标的达成和组织持续健康做出贡献。这种定位似乎有些消极，但是，正是这种消极定位，能防范组织突变或防范重大不利事项的发生，发挥免疫系统的功能。

再来看内部控制要融于管理体系之中。由于管理体系设计要同时关注风险和效率两个主题，所以，绝大多数管理设计都同时具有提高效率和防范风险的双重功能，只提高效率或只防范风险的管理设计很少。也正是因为如此，绝大多数的内部控制不能离开管理体系而存在，而是融于管理体系之中，或者说，在管理体系设计中，同时考虑了提高效率和防范风险的双重要求之后，这种管理体系本身已经具有了内部控制的功能。所以，内部控制与管理体系融为一体，成为管理体系的有机组成部分。

当然，内部控制基于其防范风险的定位，也可能存在一些特殊的控制措施，这些控制措施完全是为了防范风险而存在的，这些措施并不具有提高效率功能，这些内部控制是专门的内部控制，与此相适应，本文将融于管理体系中的内部控制称为双重功能的内部控制（提高效率和防范风险双重功能）。一般来说，在一个组织中，双重功能的内部控制是主流，专门的内部控制是辅助性的。

与此相关的一个问题是，任何一个单位可能有管理制度汇编，那么，能否有独立的内部控制制度汇编呢？本文认为，并不存在单独的内部控制制度汇编，如果一定要拿出内部控制制度汇编，可以将管理制度汇编中与风险防范无关的内容删除，再加上专门的内部控制，就得到了单独的内部控制制度汇编。

3.内部控制与风险管理的关系

内部控制与风险管理的关系是实务界和学术界都关注的一个话题，由于COSO委员会分别发布内部控制框架和风险管理框架，并且对内部控制与风险管理的关系语焉不详，使得二者的关系莫衷一是。基于“内部控制是组织内部建立和实施的风险应对机制”这种认识，本文认为，风险管理的本质也是组织内部建立和实施的风险应对机制，风险管理与内部控制在本质上是一致的。但是，由于内部控制并不一定要关注全部风险，在其发展的不同阶段，关注的风险内容不同，从而出现不同的称呼，风险管理是内部控制在目前这个发展阶段的称呼。在內部牵制阶段，内部控制主要关注财产安全风险，内部控制称为内部牵制；在会计控制阶段，内部控制主要关注会计信息错弊风险，内部控制称为会计控制；在内部控制阶段，内部控制关注财产安全风险、会计信息错弊风险及经营风险，由于关注的风险已经多样，所以，内部控制已经称为内部控制；在会计控制与管理控制阶段，审计师主要关注会计信息错弊风险，内部控制分解为会计控制和管理控制，管理控制与会计信息错弊风险无关；在内部控制结构阶段，关注的风险不只是会计信息错弊风险，同时，将控制环境、会计系统及控制程序作为内部控制的组成要素，所以，称为内部控制结构；在内部控制整合框架阶段，关注的风险涉及合规合法性、财务信息真实完整性、经营效率和效果，所以，称为内部控制整合框架。在风险管理整合框架阶段，内部控制关注的风险越来越广泛，并且关注风险已经成为这个时代的重要管理主题，社会已经进入风险社会，适应这个时代的需要，内部控制称为风险管理。所以，内部控制是一个总概念，风险管理是其现阶段的发展状况，随着控制范围和控制目标的变化，内部控制呈现不同的发展阶段，现阶段是风险管理阶段。

四、例证分析

以上提出了“内部控制是组织内部建立和实施的风险应对机制”，这种关于内部控制本质之认知是否正确呢？由于这个命题难以进行规范的实证检验，本文用这个观点来分析一些权威机构发布的内部控制概念，以验证这个命题的解释力，从而一定程度上验证这个命题的正确性。

（一）《柯氏会计辞典》界定的内部牵制

著名的《柯氏会计辞典》（Kohler's Dictionary for Accountant）对内部牵制的界定是，“内部牵制是为提供有效的组织和经营并防止错误和其他非法业务发生而制定的业务流程。”

分析：很显然，“错误和其他非法业务”都属于对本组织有负面影响的事项，内部牵制以其特有的方式来防止这些事项的发生，这是一种特殊的内部控制，其关注的风险也是特定的风险，符合本文的内部控制定义。

（二）AICPA所属审计程序委员会对内部控制的界定

AICPA所属审计程序委员会于1949年发表了题为《内部控制—— 一种协调制度要素及其对管理当局和独立审计人员的重要性》的专题报告，对内部控制首次做出了如下权威定义：“内部控制包括组织的组成结构及该组织为保护其财产安全、检查其会计资料的准确性和可靠性，提高经营效率，保证既定的管理政策得以实施而采取的所有方法和措施。”

分析：“保护其财产安全、检查其会计资料的准确性和可靠性，提高经营效率，保证既定的管理政策得以实施”，就是要防范对财产安全、会计资料的准确性和可靠性、经营效率、管理政策实施有负面影响的事项之发生，这是只关注这些特定风险的内部控制，符合本文的内部控制定义。

（三）AICPA所属审计程序委员会对会计控制和管理控制的界定

1953年10月，审计程序委员会发布《审计程序公告第19号》（SAP No.19），对内部控制进行了如下划分：“广义地说，内部控制按其特点划分为会计控制和管理控制，（1）会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成；（2）管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成。”

分析：会计控制“保护资产、保护会计记录可靠性”，就是要防范影响资产安全、影响会计记录可靠性的事项之发生，这是特定的风险，所以，会计控制是针对特定风险的内部控制。管理控制“提高经营效率、保证管理部门所制定的各项政策得到贯彻执行”，就是要防范对经营效率和各项政策贯彻执行有负面影响的事项之发生，这是特定的风险防范，所以，管理控制是针对特定风险的内部控制。本文对内部控制界定能容纳会计控制和管理控制。

（四）审计准则委员会1988年发布的第55号《审计准则公告》对内部控制结构的界定

1988年，美国审计准则委员会发布第55号《审计准则公告》提出“内部控制结构”这一概念，该准则规定，内部控制结构是指，“为了对实现特定公司目标提供合理保证而建立的一系列政策和程序的有机总体，包括控制环境、会计系统及控制程序。”

分析：“对实现特定公司目标提供合理保证”，其保证方式通过防范对特定公司目标有负面影响的事项的影响力，而这些有负面影响的事项就是风险。所以，内部控制结构只是关注对“特定公司目标”有影响的风险，属于针对特定风险的内部控制，符合本文的内部控制定义。

（五）COSO报告1992年对内部控制的界定

1992年的COSO报告提出了内部控制整体框架，对内部控制的定义是，“内部控制是由组织董事会、管理当局和其他员工实施的，旨在为确保经营的效率和效果、财务报告的可靠性以及对现行法规的遵循提供合理保证的过程”。

分析：“确保经营的效率和效果、财务报告的可靠性以及对现行法规的遵循”，其确保的方式就是防范对经营效率和效果、财务报告可靠性以及对现行法规遵循有负面影响的事项之发生，这些事项也就是有特定影响的风险，所以，这里的内部控制是针对特定风险的内部控制，也是风险应对机制，符合本文的内部控制定义。

（六）COSO报告2013年对内部控制的界定

2013年的COSO报告对内部控制的定义是，“内部控制是由组织的董事会、管理阶层及其他人员实施的，用来为经营效率效果、可靠的报告及遵守相关法令提供合理保障的一个过程”。

分析：这个内部控制定义与1992版的COSO报告无实质性区别，只是表述方式有差异。“为经营效率效果、可靠的报告及遵守相关法令提供合理保障”，其路径还是防范对这些目标有负面影响之事项的发生，所以，这里的内部控制是针对这些特定风险的内部控制，符合本文的内部控制定义。

总体来说，本文提出的“内部控制是组织内部建立和实施的风险应对机制”，能解释权威机构关于内部控制的定义，这些内部控制定义只是针对特定风险的内部控制，而本文提出的“内部控制是组织内部建立和实施的风险应对机制”，具有广泛的适应性。

五、结论和启示

理论是制度建构的基础，没有科学的理论为基础，科学的制度就难以形成。内部控制制度建构同样依赖于内部控制理论。在内部控制的诸多理论问题中，内部控制本质是最重要的问题之一。本文基于内部控制现象来概括内部控制的共性本质，提出一个关于内部控制本质的一般性的理论框架，并用这个理论框架来分析权威机构关于内部控制的定义。

从本质上来说，内部控制是组织内部建立和实施的风险应对机制。内部控制的控制内容就是风险。内部控制的控制主体来源于组织内部。内部控制的控制方法是建立和实施风险应对机制。内部控制作为组织内部建立和实施的风险应对机制，能贯通到内部控制的所有基本问题。内部控制不一定是管理职能，各项管理职能中都有风险防范的要求，并不只是控制职能才防范风险。内部控制是管理体系的组成部分，定位于风险防范，内部控制要融于管理体系之中。内部控制与风险管理在本质上是一致的，风险管理是内部控制在风险社会的称呼。

《柯氏会计辞典》界定的内部牵制、AICPA所属审计程序委员会1949年界定的内部控制、AICPA所属审计程序委员会1953年界定的会计控制和管理控制、美国审计准则委员会1988年发布的第55号《审计准则公告》界定的内部控制结构、COSO报告1992年对内部控制的界定及COSO报告2013年对内部控制的界定，都是针对这些特定风险的内部控制，属于本文所界定内部控制的特定形态，本文提出的“内部控制是组织内部建立和实施的风险应对机制”具有广泛适应性。

本文的研究启发我们，内部控制的核心内涵是组织内部建立和实施的风险应对机制，控制什么风险、如何控制这些风险，都需要从本组织的特定环境出发来确定，任何权威机构发布的内部控制规范都只有参考价值，照搬照抄他人的内部控制就更逊一个档次了。所以，如何根据中国的特定环境来建构具有中国特色的内部控制指引体系是理论界和实务界需要努力的头等大事。

【参考文献】

[1] 樊行健，刘光忠.关于构建政府部门内部控制概念框架的若干思考[J].会计研究，2011（10）：34-41.

[2] 郑石桥，徐国强.论融入管理体系中的内部控制设计[C]//中国会计学会.中国会计学会内部控制专业委员会2009内部控制专题学术研讨会论文集，2009.

[3] 樊行健，肖光红.关于企业内部控制本质与概念的理论反思[J].会计研究，2014（2）：4-11.

[4] 何九妹，从法约尔的五职能理论浅谈内部控制的范围[J].会计之友，2010（9）：64-65.

[5] 白华，郑晓晓.内部控制：制度抑或系统[J].中国注册会计师，2011（1）：98-101.

[6] 白华.内部控制、公司治理与风险管理：一个职能论的视角[J].经济学家，2012（3）：46-54.

[7] 丁友刚，胡兴国.内部控制、风险控制与风险管理——基于组织目标的概念解说与思想演进[J].会计研究，2007（12）：51-54.

[8] 郑石桥.内部控制缺陷判断差异：基于管理层和外部审计师视角[J].会计之友，2017（21）：126-131.

[9] 戴文涛.内部控制学科体系构建[J].审计与经济研究，2010（3）：80-86.

[10] 李桦，周曙光.内部控制理论演进视角下内部控制本质研究[J].财会通讯，2011（2）：99-100.

[11] 杨兴龙，孙芳城，陈丽蓉.内部控制与免疫系统：基于功能分析法的思考[J].会计研究，2013（3）：65-71.

[12] 杨雄胜.内部控制范畴定义探索[J].會计研究，2011（8）：46-52.

[13] 刘明辉，张宜霞.内部控制的经济学思考[J].会计研究，2002（8）：54-56.

[14] 张宜霞.企业内部控制的范围、性质与概念体系：基于系统和整体效率视角的研究[J].会计研究，2007（7）：36-43.

[15] 谢志华.内部控制：本质与结构[J].会计研究，2009（12）：70-75.

[16] 杜海霞.基于产权理论的内部控制本质研究[J].商业研究，2012（1）：67-70.

[17] 刘家义.树立科学审计理念 发挥审计监督“免疫系统”功能[J].求是，2009（10）：28-30.

[18] 张砚.内部控制历史发展的组织演化研究[J].会计研究，2005（2）：76-81.

[19] 张宜霞.企业内部控制论[M].大连：东北财经大学出版社，2008：101-102.