关于企业内部控制本质与概念的理论反思_樊行健

关于企业内部控制本质与
概念的理论反思*
樊行健肖光红
（西南财经大学会计学院610074）
【摘要】本文运用马克思主义认识论，按照从具体到抽象、从抽象再到具体的思维方式，通过对内部控制演变过
程的纵向分析揭示企业内部控制的共性，通过对美、加、英等国内部控制的横向比较揭示企业内部控制的个性，进而归纳演绎出企业内部控制的本质属性和概念范畴。

在此基础上，对我国企业内部控制体系建设进行反思。

【关键词】内部控制本质概念
一、引言
关于研究对象的本质属性与概念范畴是任何理论体系中最基本的一个理论要素。

当前，内部控制已成为社会经济的热点问题，对内部控制本质属性与概念范畴的认识则成为了理论界争论的焦点。

西方理论界和实践界在内部控制本质认识上，曾出现过内部控制是一种“管理工具”（法约尔，1908；孔茨，1961）、一种“方法和措施”（美国会计师协会，1936、1949）、一项“制度”（法国金融监管局，2007）、一个“控制系统”（Turnbull报告，1999）、一个“管理过程”（COSO报告，1992、2013；ＲEM框架，2004；日本企业会计审议会，2007）、“管理活动的一个不可缺少的组成部分”（CoCo，1995）等观点；在内部控制概念认识上，产生过“内部牵制”（Ｒ．H．蒙哥马利，1912）、“内部会计控制”（AICPA，1936）、“内部控制结构（三要素）”（AICPA，1998）、“内部控制系统（四要素）”（CoCo，1995；Turnbull报告，1999）、“内部控制整合框架（五要素）”（COSO，1992、2013）、“内部控制过程（六要素）”（日本企业会计审议会，2007）、“企业风险管理框架（八要素）”（COSO，2004）等。

但是，至今仍缺乏一个具有普遍意义而又权威的企业内部控制定义，人们常常忽略内部控制本质而谈概念，或者混淆本质与概念的区别。

即便是企业内部控制理论与实践最发达的国家及组织—美国及COSO对于企业内部控制的概念给出了较权威的描述，但也颇具争议（张安明，2002；蔡吉甫，2006；刘霄仑，2010；白华等，2011；等等）。

在中国，学者们更多的是从纯理论的角度展开研究，套用企业内部控制的本质与概念。

有的学者以经济学某一理论为基础，认为企业内部控制是一种经济控制系统或者一项经济机制或制度（刘明辉等，2002；张宜霞，2007；李心合，2007；周继军，2011）；有的学者以管理学的某一理论为基础，认为企业内部控制是企业管理的一种特殊职能或一种工具或一个过程（欧阳电平等，2007；谢志华，2009；古淑萍，2011）；还有的学者直接从作用机制的表象出发，将企业内部控制等同于企业风险管理（丁友刚等，2007；戴文涛，2010；李桦等，2011）。

二十世纪以来，企业已发展为一种被德鲁克称之为集“经济性—
4*本文系财政部重点会计科研课题《企业内部控制设计操作流程与方法研究》（2010KJB005）和广东省哲学社会科学“十二五”规划
2013年度学科共建项目《我国企业内部控制体系的理论完善》（GD13XGL38）的阶段性成果。

政治性—社会性”三位一体的现代企业①，许多学者尝试从多学科角度来诠释企业内部控制（杨周南等，2007；杨雄胜，2011；王海兵等，2011），以期适应现代企业管理的要求，发挥其应有的功能与作用。

这种百花齐放、百家争鸣的景象，拓展了我国企业内部控制理论与实践的想象空间，造就了理论研究和实践应用的空前繁荣。

但从另一方面看，却又客观上造成了企业内部控制理论研究的杂乱无章与实践发展的无所适从。

尽管近年来，内控实践资料丰富，实证论文颇多，但对内部控制本质与概念问题少有涉及。

因此，正确认识与界定企业内部控制的本质属性与概念范畴，显得尤其重要。

本文将运用马克思主义认识论，从分析内部控制历史演变和主要发达国家企业内部控制实践入手，探索企业内部控制的本质属性，进而推断其概念范畴，并对我国企业内部控制体系建设进行反思。

二、对企业内部控制本质属性和概念范畴的认识
学术界对于什么是企业内部控制，有如瞎子摸象（张宜霞，2007），众说纷纭。

究其原因，有对于企业内部控制本质属性与概念范畴的认识问题。

亚里士多德认为事物的本质就是它的“种的属”（genous eidon ，a species of a genus ），含有两重意义：
一是指“普通的东西”
，一是指“个体的东西”。

毛泽东指出：“矛盾的普遍性和矛盾的特殊性的关系，就是矛盾的共性与个性的关系。

”②概念是反映对象的本质属性的思维形式。

人们在反复的实践和认识过程中，把所感知的事物共同的本质属性抽象出来，加以概括，从感性认识飞跃到理性认识，就成为概念。

概念具有内涵和外延两个基本特征。

前者是指该概念所反映的思维对象所特有的本质属性的总和；后者是指该概念所反映的思维对象的具体数量或范围。

企业内部控制一词的涵义取决于三个关键词：企业、内部和控制，其中，控制是其内涵与实质。

在
《说文》中，“控，引也”，基本释义是告状，指出罪恶；节制，驾驭。

“制，裁也”
，基本释义是规定；约束，管束；法规，制度；依照规定的标准做的。

两个字组合为“控制”
，其释义是：掌握住对象不使其任意活动或超出范围；或使其处于自己的占有、管理或影响之下，按控制者的意愿活动。

“企业”与“内部”
，其实是在界定控制的主体与客体、外延与范围。

这样，企业内部控制可初步解读为：企业为达到特定目标，企业内部各控制主体对控制客体的控制，并且是由存在于企业内部的具有约束、引导、监督、衡量与评价功能的规则、制度、程序、氛围等诸多因素有机地组合在一起而形成的经济控制系统（张宜霞，2007）。

张世英（2007）在考察了哲学家黑格尔、狄尔泰、胡塞尔的观点后，认为自然科学与人文科学对待事物之间的区别在于：前者重普遍性规律的追求，后者重个体性的人生价值意义的追求。

从自然物到文化物是一个由以普遍性为本质到以个体性为本质的转化过程。

我们认为，对于企业内部控制本质属性与概念范畴的认识，可以从以下两方面着手：一是属于人文科
学范畴的内部控制的本质更强调其“个性”。

二是内部控制概念应是“个性”与“共性”的统一，以“个性”确定内部控制的内涵和职能；以“共性”确定内部控制的外延和边界范围。

按照马克思主义认识论，对企业内部控制“共性（即矛盾的普遍性）”与“个性（即矛盾的特殊性）”的认识须经历两个阶段：一是共性的归纳，应是从具体到抽象，从实践到理论，它可从内部控制发展演变的纵向分析中，对内部控制各种现象及其外部联系进行归纳，总结出企业内部控制共同的规定性；5
①
②彼得·德鲁克．2006．新社会．石晓军，谭筱等译．北京：机械工业出版社，40 60毛泽东．1991．毛泽东选集．第1卷．北京：人民出版社，319
二是个性的演绎，应从抽象到具体，从理论到实践，它可从主要国家内部控制实践的横向比较中，推理出企业内部控制特殊的规定性，并揭示出它们之间的内在联系和规律性。

三、纵向分析：从历史演变过程上看企业内部控制的共性
在内部控制概念出现前，内部控制的思想萌芽早已有之。

据苏美尔文化的史料记载，公元前3600年左右，古苏美尔人就开始建立了账目核对办法。

在古埃及，征收赋税时由两个官吏分别记录来相互牵制；谷物入仓时实行谷物运送、出入库、保管上的职务分离（文硕，1996）。

在我国周朝留下了“一毫财赋之出入，数人之耳目通焉”的记录。

这些史料记载，均反映了内部控制的基本思想，即以账目间的相互核对为主要内容并实施岗位分离。

我们认为，古代的内部控制实质上是建立在社会分工协作基础上的一种简单的经济牵制和管理约束关系，是生产经营活动有序进行的一种保障方式。

现代企业内部控制是从工业革命和工厂制度产生后才出现的，它经历了三个发展时期。

（一）企业内部控制雏形———内部牵制是企业管理的“代名词”
十八世纪后期，英国首先发生了工业革命，开始建立工厂制度。

在工厂制组织形式下，为防止内部分工精细化导致的财物管理手段和记录等方面出现混乱、差错，开始建立以职责牵制为基础的财物及其簿记的牵制制度。

到了19世纪中期，美国铁路企业出现组织管理创新，在组织结构、职责分配、业务程序、内部审计等方面摸索出了包括职务分离、簿记牵制和实物牵制等简单的内部控制体系，以此实现对钱、财、物等对象的控制，达到防护引导、查错防弊的目的。

进入20世纪后，审计的重心由查错防弊转向审核资产负债表项目的正确性和可靠性，在实践中发现：凡是存在内部牵制制度的企业，其错误与舞弊较少，资产负债表的可信度较高；凡是实施内部牵制的业务和环节，其审计结果较好。

这样，只要检查内部牵制是否建立、健全与有效，就能规划出审计重点。

于是，外部审计开始强化企业内部牵制。

可见，早期的内部控制呈现出：（1）内部牵制产生于工业革命，工厂制特别是公司制企业是内部牵制产生的前提条件与内在动力。

换言之，内部牵制是企业管理的内在需要，具有内生性特征。

（2）在当时管理理论与实践相对贫乏的情况下，控制几乎就是企业管理，而处于控制核心的内部牵制是被看作企业管理的“代名词”。

（3）内部牵制具有牵制约束、防护引导、查错防弊功能，被企业会计与外部审计师们用作防止财务舞弊、节约审计成本、提高审计效率的工具，并得以广泛推广。

换言之，内部会计管理和外部审计需要是内部牵制形成与发展的外在动力和推动者。

（二）审计技术导向的内部控制———本质偏离的内部控制
从20世纪30 80年代，企业内部控制大致经历了内部会计控制、内部控制制度和内部控制结构三个阶段，它们具有一个共同的特点，就是把源于企业管理内在需求的内部控制变成了外部监管者加诸在企业上的一项监管技术、措施、制度、政策或程序。

此时，企业管理的内在需求与外部监管者的外在推动共同影响内部控制的发展。

基于两权分离、委托代理关系、规模化经营、标准化生产所形成的内部稽核制度、监督与制衡机制和管理控制及其相应的管理活动是内部控制的本质属性；而作为治理会计虚假信息、减轻审计业务、提高审计效率、防护审计风险最有效手段而形成的一系列控制方法、措施、制度、政策或程序，是内部控制本质属性所派生出的次要属性。

但这种派生的属性却被强大的外部监管者，特别是注册会计师审计界“充分放大”和“绑架”了，导致“审计技术导向的内部控制”出现，并偏离了内部控制的本质。

这种内部控制存在着固有的缺陷：（1）本质的偏离，阻碍了内部控制理论与实践的发展。

审计技术的内控主要宗旨是监管、预防、查错与防弊，关注的是报告的准确性与可审性，而对于监督与制衡、制约与影响的固有职能，以及由此所涉及的企业目标、战略规划、经营效率效果，以及管理控制方法等少有关6
注与研究。

（2）割裂了内部控制的整体性。

外部监管者基于其利益所推动的内部控制，人为地分割为会计控制和管理控制，导致其不可能形成合力和凝聚力。

正如凯罗鲁斯先生（1980）描绘的“将美玉击成了碎片”，并认为“在这块美玉完全修复以前，我们不可能有一个对管理人员有用、被管理人员理解的内部控制定义。

”
（三）管理导向的内部控制框架———本性回归与整合的内部控制
近三十年来，内部控制开始整合其范围，修复其功能，弥补其缺陷，回归其本性。

20世纪80年代，美国新一轮的财务失败事件导致大量的金融机构破产。

调查发现，几乎所有的案件都与审计师的失职有关联。

1992年COSO委员会发布了《内部控制———整合框架》报告（简称COSO报告），认为“内部控制是一个由企业董事会、管理层和其他员工实施的，为经营的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程。

”这一定义，一方面，接纳多数人的观点，为各方提供了一种通用语言和沟通的基础，使内部控制的交流更有效果；另一方面，认同了内部控制的管理属性，认为“内部控制由紧密融入到企业管理过程的控制环境、风险评估、控制活动、信息与沟通、监控等五大要素所组成，并且相互形成一个有机联系的整体”，从此，内控不再仅仅被看作是一项项制度和一条条机械的规定，而是动态的管理过程和有序的控制系统。

1996年COSO又发布了“衍生产品使用中的内部控制问题”的报告，建议用来管理衍生产品相关风险的模型就可以用于管理几乎任何类型的风险。

2001年COSO委托普华公司开发一个企业管理层评价和改进企业风险管理的框架。

在这期间，发生了安然、世通等案件，促使美国国会于2002年颁布了《萨班斯———奥克斯利法案》（简称SOX法案）。

该法案扩充了对公众公司保持内部控制制度的规定，要求管理当局证实、并由独立审计师鉴证这些制度。

2004年，在COSO报告和SOX法案的基础上，COSO推出了《企业风险管理———整体框架》（简称EＲM框架）。

EＲM框架基本完成了内部控制管理特性角色的变革，促使内部控制“管理导向”完全取代“审计技术导向”。

从概念上看，它突出了管理属性，认为“企业风险管理是企业的董事会、管理层和其他人员共同参与的一个过程”，“内部控制是风险管理的一部分，包含内部控制的风险管理框架为管理层提供了更强有力的概念。

”从内容上看，逐渐减少了制定主体（CO-SO）的立场偏见和利益取向，较好地体现为企业管理层服务的宗旨。

2013年，COSO基于商业环境趋向科技化及全球化、利益相关者致力于寻求更透明和更负责的内控体系来支持企业经营决策和公司治理，颁布了COSO报告的新版本。

新版本保留了内部控制定义、五要素的基本精神，更加认定内部控制是组织“由不间断的任务和活动所组成的一个过程”，强调“受到组织的董事会、管理阶层和其他人员的影响”。

从COSO报告（特别是COSO报告新版本）和EＲM框架的分析中，我们判断：第一，内部控制逐渐回归到企业管理需要的内生性本质上来；第二，内部控制被看作是企业管理的一个过程，抑或是一种工具。

通过对内部控制演变过程的分析，我们推导企业内部控制具有以下共性：
1．企业内部控制本质上是一项企业管理活动，它源于企业管理需求。

在理论演变上，经历了从最初自发形成的内部牵制论，到静态的“方法、措施、制度和程序论”，再到动态的“过程论”、“企业风险管理论”的变化过程；在实践发展上，经历了从以牵制约束、纠错防弊的自发产生，到以可靠性和符合性为主要目的，由外部监管者特别是注册会计师审计推动，再到以经营效率效果、防范风险为主要目的，由政府部门强力推行的一种逻辑演绎。

它体现了企业管理者与外部监管者之间的博弈，恰好佐证了内部控制作为管理活动的内在本质特征的客观性与不可逆性。

7
2．企业内部控制是企业生产经营活动正常进行和企业目标顺利实现的基本保障系统，它在不同时期发挥着不同的功能与作用，但最基本的职能依然是牵制与约束、防护与引导、监督与影响、衡量与评价，体现了企业管理控制的本质特性。

3．企业内部控制客观上与注册会计师审计有着千丝万缕的联系。

注册会计师审计有力地推动了内部控制的变迁，又适应了内部控制的发展要求。

这种联系，成为人们特别是利益相关者正确认识内部控制本质属性与概念框架的一种纠结。

四、横向比较：从美、加、英等国内部控制的比较来判断其个性
（一）美国COSO关于企业内部控制本质属性与概念范畴的理解
如前所述，无论是COSO报告，还是EＲM框架，在本质上，它们都认为内部控制是一个“过程”。

但在分析该过程时，认为“组织中各单位或各职能部门内部或跨单位或职能部门所实施的经营过程，都是通过计划、执行和监控等基本的管理过程来加以管理的。

内部控制是这些过程的一部分，并与它们整合在一起，内部控制能让这些管理过程发挥作用，并对其实施和持续的关联性进行监控。

内部控制是一个管理工具，而不是管理的替代品”（COSO，1992）。

新COSO报告强调内部控制是“由不间断的任务和活动所组成的一个过程，此为达到目的一个手段，而非本身就是目的”（COSO，2013）。

显然，COSO在企业内部控制本质认识上是：（1）将内部控制看成管理过程的一部分；（2）内部控制是一个管理工具，而不是管理的替代品；（3）内部控制被看作是保障管理过程发挥作用，并对管理过程进行监控的一种工具；（4）通过监控，提供一种合理的保证。

据此，我们认为，COSO本质上仍只是将内部控制看作履行监控职能的一种工具，其基本功能是为经营效率、报告可靠、法律遵从（EＲM框架增加了战略目标）提供合理保证。

因此，学术界将其归结为只是“管理导向”的内部控制，是不无道理的。

这种内部控制观，既在理论上存在争议（张安明，2002；蔡吉甫，2006；白华等，2011），又在逻辑上存在缺陷（刘霄仑，2010）。

究其原因是：（1）内部控制更多的是局外人（CPA）赋予其对企业进行监管的一项工具，未能提升到企业的一项管理活动，限制了内部控制职能与作用的发挥；（2）过于强调技术规范与口径一致性，忽视管理控制的个性差异；（3）企业内部控制概念实用性强，但其结构完整性、逻辑严密性和术语规范性欠缺。

总之，尽管C0SO报告是当今内部控制的集大成者，从技术角度上讲，它代表了当今内部控制的最高水平，但是，这种主要以外部监管者为制定主体、以建立内部控制技术标准为目标、按照美国文化方式制定的内部控制体系，难以成为不同社会制度国家的共同准则，且其在本质属性上有所偏离，在概念范畴上尚欠严谨，因此，从某种意义上讲，它不具有“普世价值”。

（二）加拿大CoCo对于“控制”本质与概念的创新与贡献
20世纪末，加拿大的企业内部控制出现以下趋势：企业从自身管理出发日益重视内部控制；社会公众要求企业公开披露内部控制有效性的呼声日益高涨；社会监管机构越来越重视内部控制以保护企业投资者的利益。

基于此，加拿大特许会计师协会（CICA）所属的控制规范委员会（Criteria of Control Board，简称CoCo），于1995年发布了《控制指南》，1999年发布了《评估控制指南》，2000年又发布了《董事指南：应对董事会的风险》。

CoCo以《控制指南》和《评估控制指南》为主体，以目的、承诺、能力、监控和学习四大控制要素及其衍生的20条原则为主要特色，形成了与COSO报告相提并论的、世界上公认的现代内部控制理论框架。

从内部控制本质与概念的认识上看，CoCo有以下创新与贡献：（1）界定了内部控制的管理属性，明确了“控制的本质”是企业管理不可或缺的组成部分。

鉴于对内控本质的全新认识，CoCo将“内部控制”扩展为“控制”，第一次明确区分了基于独立审计的内部控制观和基于公司8
治理的内部控制观，认为内部控制为企业管理目标的实现提供合理的保证，内部控制活动是管理活动的一个不可或缺的组成部分，是典型意义上的“管理活动论”。

（2）确定了控制的基本架构，并以此为基础，界定了内部控制的概念范畴。

它认为，在任何一个企业中，控制均包括目的、承诺、能力、监控和学习等四个最基本的要素，它们通过“行动”联结成一个循环（系统），这四要素客观地反映了控制环境、控制活动、监控与评价的控制全过程，构成了完整的内部控制基本架构。

（3）界定了企业内部控制的概念外延与范围。

CoCo控制指南不仅比COSO框架更宽泛，而且，更重要的是它更贴切地反映了企业的组织和运行方式。

（三）英国Turnbull报告对于企业内部控制的拓展与深化
从历史上看，英国是公司制度产生最早和股份公司最发达的国家之一，其公司法律、公司治理结构和治理机制设计最为完善。

英国内部控制的产生正是基于此。

1998年由英国伦敦股票交易所委托英国特许会计师协会（ICAEW）成立了以Turnbull先生为主席的专门委员会，负责研究与制定内部控制，并于1999年9月发布了《内部控制框架报告》（简称《Turnbull报告》）。

该报告是可与美国COSO报告相提并论的、具有典型代表意义的内部控制框架，尤其是全面拓展与深化了内控本质与概念的认识，表现在：（1）提出了风险管理导向的、广义的内部控制观。

它认为，内部控制是由董事会和管理层共同实施，旨在防止风险的发生或使风险降低到可接受水平的系统。

（2）将内部控制直接嵌入公司治理之中。

一方面，内部控制规范归属于公司治理法律体系之中，即“公司法→上市股票登记规则→公司治理联合准则→内部控制规范（Turnbull报告）”；另一方面，对内部控制的要求直接嵌入公司治理结构之中。

（3）更加重视资产安全目标，体现与审计技术导向不同的管理控制特性要求。

笔者认为，Turnbull报告，在本质上，确立了内部控制是一个风险管理的控制系统；在概念范畴上，确立了以风险控制为导向的、将内部控制嵌入公司治理的、控制范围更为广泛的、管理控制特性鲜明的内部控制。

比较分析美、加、英等有代表性意义的内部控制，可以发现它的一些特殊性质或规律性。

1．企业内部控制兼具社会性与技术性双重属性，社会属性是第一位的。

美国是以企业报告内部控制为主线，以防范风险和控制舞弊为中心的狭义内部控制。

相比之下，英国和加拿大是以企业业务流程为基础，以防范风险（Turnbull报告）和促进企业目标实现（CoCo）为中心的广义内部控制，更加重视企业治理结构、组织结构、业务结构和财务会计特征等内部因素，企业文化、信息技术、经济发展水平、政府管制、法律环境、社会风险等外部因素的影响，充分体现了内部控制的双重属性，代表着当今内部控制的发展方向。

2．在本质属性上，美、英、加等逐渐认同内部控制的管理属性，但在口径上，存在着过窄、稍偏和宽泛等三种代表性的观点。

内部控制本源上是企业管理的内在需求，是作为管理活动的一个有机组成部分而存在的，只是在不同的国家因其制度环境、运行机制和作用方式不同而有所区别。

可以说，内部控制的本质就是一项企业管理活动。

3．注重内部控制本质概念的框架性设计：概念框架整体上一致，定义范畴则各有千秋。

美国虽说是现代内部控制的典型代表和集大成者，是内部控制的范式，但在世界范围内采取完全统一的理论框架却不现实。

各国、各地区基于本身的特点和各自的主客观条件，以COSO框架为基础，制定适合于自身的内部控制框架或报告。

有的国家基本继承了COSO报告的控制思想，如法国、韩国、日本；有的国家则实现了对COSO框架的超越，建立了广义的内部控制概念及其框架体系，如加拿大、英国。

这些框架或报告既拓宽了内部控制的范围，也规范了各自企业所能采用的内部控制手段及其操作规则。

这种差异式的概念范畴代表了内部控制规范研究和实际应用的主要方向，也是最为各自国家广大内部控制实践者所接受的。

9。