一、内部控制的内容

关于内部控制的内容，比较成形的提法主要有以下几种。传统的两分法认为内部控制包括会计控制和管理控制。结构分析法认为内部控制结构包括：控制环境、会计制度、控制程序。《蒙氏审计学》第10版将会计控制的内容分为：（一）基础控制，包括：完整性控制、真实性控制、准确性控制、一贯性控制；（二）纪律控制，包括职责分工、监控；（三）实物控制。R.J.安德森在《外部审计》一书中，认为内部控制的内容包括：组织控制、系统开发控制、授权和报告控制、会计制度控制、附加保护控制、管理监督控制、文档控制。COSO框架将内部控制分为控制环境、风险评估、控制活动、信息与沟通、监督五个部分。

除了理论界对内部控制的内容进行探讨外，实务界对内部控制也有自己的看法。美国注册会计师David M. Willis和Susan S. Ligh博士对General Electric等78家公司关于内部控制的内容进行了调查。

他们认为内部控制的内容包括：内部审计、政策及程序维护、可靠员工的选拔与培养、职责分离、道德规范与行为准则。我们发现它们所认可的内部控制内容主要是传统意义上管理控制（包括会计控制）的内容，几乎没有涉及到企业治理控制的内容，笔者认为主要有以下几个原因：（一）被调查者主要是企业的经营管理人员，他们关注的焦点主要在经营管理；（二）在美国，企业运作的高度透明和比较完善的立法和执法体制为有效的企业治理提供了有利的保障，或者说市场这个相对比较完备的契约已经延伸到了企业的上层建筑，外部控制对内部控制进行了替代，而相对不完备的契约只是在管理控制部分比较突出。即便如此，在COSO报告中，还是把治理控制的影响作为内部控制的第一个组成部分（控制环境）单独列了出来。这说明他们已经开始关注企业内部控制深层次的原因和问题，或者说内部控制的内容要由管理控制向直接影响企业经营效率的企业治理控制扩展。

二、COSO框架的缺陷

就内部控制理论目前的发展来看，比较典型的要算COSO的内部控制整体框架，它提出的内部控制由五个要素组成：控制环境、风险评估、控制活动、信息与沟通、监督。COSO框架把建立、加强或削弱特定政策、程序及对其效率产生影响的各种因素概括为控制环境，其中包括了管理思想和经营方式、组织结构、审计委员会、责任授权和划分的方法，人力资源管理等多项内容；把企业确认和分析与其目标实现相关风险的过程概括为风险评估，作为管理风险的基础；把为了确保其指令被贯彻执行，管理当局制定的各种措施和程序概括为控制活动，一般包括授权和批准、职责划分、设计和运用恰当的凭证、恰当的安全措施.独立的检查和评价等；把企业在一定的时间内以一定的形式确定、收集和交换信息，从而使员工能够行使责任的过程槪括为信息和沟通；把评估内部控制运行质量的过程和管理当局用来督查会计系统和相关控制程序的手段概括为监督。COSO框架的提出从一定意义上来说，是内部控制理论发展的具有代表性的成果，尽管COSO框架虽然得到了各方的认可，但是，仔细分析一下COSO框架的五个要素，笔者认为尚存在以下问题值得探讨：

（一）控制环境的内容性质不一、缺乏逻辑性

管理思想和经营风格可以划作环境因素，但组织结构是指组织内各组成要素之间相互联系、相互作用的方式或秩序，是各要素之间在时间或空间上排列和组合的具体形式，是企业内部控制的实施框架，所以，把它划为环境因素是不可取的；同样，审计委员会是实施框架中的一个实体，同样不应当作为环境因素。责任授权和划分的方法是一种控制手段或方式，是控制的一种实施，划作环境同样也不合适。随着知识经济的出现，知识资源在现在企业生产、管理中的作用越来越重要，企业管理的重心也开始向知识资源倾斜，而人力资源作为知识资源中的一个重要组成部分，它的管理和控制在企业中的重要性可想而知，仅仅作为一种控制环境因素也很难令人信服。

（二）没有提出一个有效地控制过程

有效的控制应当是一个带有反馈回路的闭环控制过程，在实施有目的的控制活动之前必须进行风险评估，并在控制活动中进行适当的关注；而反馈就是通过关注某一时点的结果，并将信息及时传递给控制主体，以纠正偏离目标的差错，这就是监督。因此，把一个控制过程分解为风险评估、控制活动和监督三个部分分别作为与控制环境同等地位的一个要素，缺乏一个划分的明确标准，在某种意义上来说割裂了它们之间的有机联系，也破坏了系统的整体性。

（三）内部控制整体框架还没有从根本上脱离会计、审计的范畴

它只是在以往以财、物为中心的内部控制基础上，在新环境和新需求的影响下，初步从“控制环境”的角度考虑了企业内的其他相关因素，还没有完全从企业系统整体的角度来考虑问题，将影响企业经营效率和效果的企业治理、人力资源管理等重要问题纳入内部控制系统；或者说，它还仅仅只是一个框架，并没有形成一个有机的系统。

（四）横向视角与纵向实务的“分歧”

内部控制整体框架可以看作是对企业内部控制的一种横向解剖，它所提出的五个要素构成了内部控制的横切面，或者说从一个静态的角度来看的一种结果。但是，控制往往存在一定的层次，或者权力与职责的分配，往往需要通过一个过程来完成，或者说从纵向和动态的角度来看，内部控制的构成就又是另外一种景象，可以看到它的层次性、看到各层次之间相互影响相互制约的关系，也就更能寻找到当前企业内部控制失效的根本原因所在。而且，从横向的视角来分析内部控制从理论是可行的，但是，众所周知，到目前为止，所有企业的内部控制体系和控制过程都是纵向的，这种横向的分析对企业内部控制建设的指导性并不是最佳的，容易导致对内部控制理解和实务应用上的“要素化”或“零敲碎打”，而不是从过程，从系统的角度来考虑。

三、基于企业本质的内部控制框架

经济学对企业的两个基本假定隐含了从“生产”和“规制”两个方面理解企业的本质：Q=Q（L，K）表明从“生产”属性上看企业组织是一个生产性知识集合；PMAX=P（Q）－C（Q）表明从“规制”属性上看企业是以股东利润最大化为目的的契约组织。传统意义上的内部控制比较注重管理控制，或者主要从企业“生产”的属性来分析企业问题。新制度经济学把企业看作是一种契约性组织，更强调从“规制”属性的角度考虑和分析企业问题，主要涉及企业上层的治理控制。构筑一个系统、有效的内部控制体系，也必须体现企业的这两个本质。“生产”的属性直接与管理控制和作业控制相对应，“规制”的属性直接与治理控制相对应；管理控制直接与合同收入相关，而治理控制直接与剩余收入相关，因此，从企业系统整体的角度，体现企业的两个经济学本质。(www.daowen.com)

在这个框架中，内部控制整体上主要由五个要素构成：企业治理控制、企业管理控制、作业控制、信息系统和企业文化。

（一）企业治理控制（corporate governance control）

凯德伯瑞爵士认为，公司治理是一个指导和控制公司的制度或过程。公司治理包括董事和董事会的思维方式、理论和做法。它研究董事会和股东、高层管理部门、决策者、审计员以及其他利益相关者的关系企业。国内学者普遍接受的一个观点就是：公司治理就是协调股东和其他利益相关者相互之间关系的一种制度，涉及指挥、控制、激励等方面的活动。狭义的公司治理，是指在企业的所有权和管理权分离的条件下，公司蓳事会的结构与功能、董事长与经理的权利和义务以及相应的聘选、激励与监督方面的制度安排等内容。狭义的公司治理是一种指导和控制公司的体系，其目的在于明确公司的不同参与者（如董事会、经理、股东和其他利益相关者）之间的权利和义务的分配，并清楚说明就公司事务进行决策的规则和程序，同时也提供公司目标的确定、实现这些目标的手段和业绩监控的结构。所以，在这个层次上的控制在企业的战略规划、经营管理中发挥着重要的作用，而以往的内部控制理论出于保护行业利益等原因，而不愿涉及，很少讨论公司治理结构本身在控制的作用。

鉴于此，我们把这个层次的控制称为治理控制。治理控制是内部控制的第一个层次，是整个企业内部控制的上层建筑，它以所有权为基础，直接影响着下层的企业管理控制。它的一般表现形式主要是股东会、董事会以及其所属委员会、高级管理人员之间的控制、约束管理，既包括显性的组织结构上的职权分配控制，又包括隐性的各种激励机制。它要确保企业长期战略目标和计划得以确立，确保整个管理机构能够按部就班的实现这些目标和计划，还要确保整个管理机构能够维护企业的向心力和完整，保持和提高企业的声誉等，它所直接面对的是企业的战略规划活动。作为公司治理中控制权合约安排的内部控制无论在目标还是在内容构成上都远远超出了传统的内部控制制度，直接关注影响企业经营效率和效果的根本因素。

（二）企业管理控制（corporate management control）

安东尼（1965）认为，管理控制是管理者为了实现组织目标，富有效率和效果地获取和使用资源地过程。管理控制是处于战略计划和操作控制之间的过程，管理控制运行的基础是组织的等级制度。战略计划的任务是为整体组织设置长期发展的目标，操作控制的任务是确保组织内各项随机任务的实现，管理控制则是联结二者的过程。罗沃依（1971）认为管理控制系统是“一种为组织信息的寻找、收集、传输和反馈而设计的系统，目的在于确保组织适应外部环境的变化，并使员工的工作行为根据一系列经营目标（符合组织整体目标）得以衡量，以使二者的差异得以协调和纠正。”从全局的角度来看，管理控制处于战略计划和任务执行的中间，即其一端是战略规划，另一端是任务执行。

企业管理控制是企业内部控制的第二个层次，所涉及的主要是企业日常生产经营活动的控制与约束，它以经营权为基础。当企业设定了目标之后，就开始制定计划，向各部门分派任务，雇佣人员，对人员进行培训和激励。为了保证业务活动按照既定的计划进行，就需要监控组织的绩效，将实际的表现与预先设定的目标进行比较。如果出现任何显著的偏差，就采取措施使其回到正确的轨道上来。因此，企业管理控制是对企业管理的直接控制，它直接对企业生产经营中的各种资源（包括物质资源和知识资源）进行监督和控制，直接影响到企业的效益和效果，直接影响到企业利润目标的实现。企业管理控制的实体一般包括高级管理层、中层管理层、内部审计组织、一般员工、生产资源等之间的控制机制。管理控制所直接面对的是企业的战术活动。

（三）作业控制（activitycontrol）

作业控制层次是确保各项业务活动能充分有效地完成，所进行的步骤一般都相当稳定，进行决策和行动通常需要持续的时间较短。作业控制子系统的信息支持主要有日常业务处理、财务处理、报表处理和查询处理。作业控制层处理的主要都是企业内部的业务数据，数据处理量大，是企业信息系统的基础。作业控制主要由中层管理者以下的员工来完成，所面对的主要是企业内的日常业务和事项。

作业控制是内部控制系统的藥三个层次，它是以部门以及部门内部的职责分工为基础的，是企业员工与作业之间的一种控制关系。作业控制是企业内部控制系统最基础的部分，是最基层的控制。在企业中实际存在的操作方面的规章制度大多是这个层面上的控制。

（四）信息系统（information system）

一个良好的信息系统可以使企业及时掌握营运状况和企业中发生的各种情况，可以及时的为企业的员工提供履行职责所需的各种信息，从而使企业的经营和管理流畅的进行下去。企业治理控制、企业管理控制、作业控制、企业治理、企业管理、作业管理以及企业文化之间进行信息传递和信息反馈的所有通道构成信息系统，它是由人和计算机组成的进行数据的收集、处理、存储、传递（包括反馈）的系统。它通过对一个组织内部和外部数据的收集和处理来获得有关信息，并传递给控制主体，从而对经营活动做出调整，以实现对风险的控制。比如，会计信息系统是企业信息系统中的一个重要的子系统，是组织处理会计业务并为企业提供财务信息、定向信息和决策信息并辅助企业管理控制的有机整体。有效的信息系统可以及时地提供各方所需要的会计信息，包括提供企业各部门控制生产、考核工作成果以及提供企业高层决策人员制定经营方针、制定规划、进行决策所需的会计和管理信息。只有企业的人员通过信息系统了解了企业目前的状况，才能对可能发生的异常状况做出反应，从而及时报告，以防止重大损失的发生。

（五）企业文化（enterprise culture）

在每个组织中，都存在着随时间演变的价值观、信念、仪式、神话及实践的体系或模式，这些共有的价值观和模式在很大程度上，决定了雇员的看法及对周围世界的反应，这就是企业文化。它是组织内部的一套通用价值体系，用这套价值体系在无形中约束组织和组织成员的言行，使之向着实现组织目标的方向前进。COSO框架控制环境中的管理哲学和经营风格以及正直与价值观等内容都包含在这个要素中。企业文化构成内部控制的内环境，企业内所有的人都“沐浴”在这种既成事实又常常根据企业长期战略的需要不断做出调整的氛围中，它直接影响企业员工思考问题的方式和态度。企业治理控制、企业管理控制一旦形成一种风格、一种习惯，这种风格或习惯就会成为企业文化的一部分；反过来，现有的企业文化也会对企业管理控制、企业治理控制产生一定的影响。“人本主义”作为构建内部控制机制的信条已越来越多地被企业接受，道德品行并不单纯只是内部控制的环境因素，它也日益成为内部控制结构的有机组成部分。

从企业整体上来看，企业治理控制、企业管理控制和作业控制是企业整体内部控制的三个子系统，每个系统都有各自的运作机制，又通过系统间有机的联系和作用结合在一起构成整个内部控制系统。框架体系的五个部分存在着有机的联系：企业文化构成企业内部控制的内环境，是一种非强制性的氛围，对企业各种资源的控制都是在这种氛围中进行的；企业治理控制是内部控制的核心和起点；作业控制是内部控制的终点，通过对作业管理的影响，实现各种资源的有效控制和使用，从而促进企业整体目标的实现。如果说企业治理控制是内部控制的上层建筑，那么管理控制就是内部控制的实施，作业控制就是内部控制的具体操作。信息系统为三个层次的控制提供所需的信息，并传递控制的信息和反馈的信息，是控制实施的通路。