一、基于风险控制的制度的控制内生性

两权分离形成了所有者与经营者的委托受托经济责任关系，以及所有者与审计的委托受托审计责任关系。为了确保经营者履行所有者的授托责任，应建立完整的所有权监督体系，也就是审计监督体系。进行审计监督，就必须要确定被监督者的行为标准，监督者正是通过监督被监督者是否严格有效地履行了这些行为标准，以防范所有者可能面临的风险。当然，所有者也必须要对监督者的行为制定相应的标准，确保监督行为严格按照标准有效进行。所有这些标准都是为了避免和消除所有者可能面临的风险，也就是基于防范风险的制度体系。所有者与经营者或者审计通过讨价还价等方式确定这一制度体系，并以契约方式予以规定，从而形成了制度契约。

基于防范风险的制度契约的显著特征就是要有效地规避经营者和审计的行为对所有者可能造成的风险，通常把这种制度称之为所有者对经营者和审计所确定的责任的底线要求。这种制度作为契约，是一种显性的、相对静态的或者相对稳定和长期的契约，当然，也是经营者和审计必须长期遵循的。

两权分离后，所有者仅通过委派审计对经营者进行监督以防范风险是不够的，防范经营者的行为风险更需要通过经营者行为的自我约束，或者更准确地说，是通过两权分离的公司制企业的内部行为的自我约束以实现风险防范，这种风险防范具有内生性。要实现这种内生的自我约束的风险防范，关键是要制定一整套基于风险控制的制度体系。

一旦这一制度被经营者（或者审计）实际采用和有效执行，这一防范风险的制度就转化为他们的行为准则，只要按照准则行事，就能有效地控制风险，从而使得这种基于风险防范的制度的执行所带来的风险控制具有内生性。

在内部控制制度审计中，度量审计风险采用了固有风险、控制风险和检查风险三个概念。其中，固有风险是在没有任何内部控制制度的条件下，被审计主体产生错弊行为的可能性；控制风险是指在建立了内部控制制度的条件下，由于内部控制制度的缺陷而使被审主体产生错弊行为的可能性；检查风险则是通过审计进行检查，仍然没有发现被审主体产生错弊行为的可能性。准确地说，内部控制制度镶嵌在企业经营和管理活动中，只要企业内部人员进行经营和管理活动，就自然要执行内部控制制度的要求，这正是内部控制制度的内生性。而检查风险显然是指来自于独立于经营和管理活动之外的审计没有查出由于内部控制制度的缺陷而导致企业内部人员舞弊行为的可能性，它具有外生性。从这个视角出发，审计主体并不是内部控制制度的执行主体，而是检查主体。

二、基于风险控制的制度所要控制的风险

两权分离使得经营者对所有者承担了受托经济责任，审计对所有者承担了受托审计责任，如果经营者和审计不能有效地履行这些责任，就会给所有者带来相应的风险。所有者为了控制风险，必须通过制定相应的风险控制制度，作为经营者和审计的行为依据，既是其行为的规范，也是其行为本身。经营者和审计在履行责任的过程中，由于不履行责任或履行责任不当，必然给所有者带来相应的风险。所以，经营者和审计受托责任的内容相应决定了所有者面临的风险，主要包括以下方面：

（一）信息不对称风险

两权分离后，经营者对所有者受托经济责任的履行过程和履行结果的信息必须通过会计报告的形式向所有者进行披露，由此产生了会计责任。经营者在履行会计责任的过程中，相对于所有者具有信息优势，经营者可能基于自身的利益在信息披露时产生瞒报、假报和错报的行为。为了防止经营者的信息舞弊行为，必须要制定相应的制度进行控制。所有者必然要规定信息披露的内容、质量、形式和时间，经营者必须要按照所有者的规定进行信息披露，这即所谓会计责任的主要内容。就目前全世界通行的做法而言，首先是在国家层面（或者整个社会层面）制定一个通用的会计准则，这一准则具有公认性特征，也就是只有按照这一准则所提供的会计信息才能更好地满足会计信息用户的需要。由于会计信息的用户不仅仅是所有者，还包括企业的其他相关利益关系人，所以任何一个企业的所有者还必须根据自身的需要制定相应的会计制度，这一会计制度必然反映某一具体企业的所有者（对上市公司而言就是股东大会）的信息需求，所以某一企业的会计制度具有个性化特征，它既要符合公认会计准则的要求，更要满足某一企业所有者的信息需求。从这个意义出发，会计准则以及与此相应的某一企业的会计制度就是所有者为了防范信息不对称所带来的风险而确定的信息风险防范的契约，经营者必须要按照这一契约的要求履行会计责任。

为保证经营者提供的会计报告信息的相关性、真实性、可靠性和及时性，所有者委托审计对其进行鉴证，审计鉴证本身也可能出现假证行为。如果审计作假证，也必然带来所有者与经营者信息不对称的风险，还会带来所有者与审计信息不对称的风险。所以所有者必须确保审计所提供的审计报告真实、可靠和及时，为此必须要对审计的行为进行规范。就目前全世界通行的做法而言，首先是在国家层面（或者整个社会层面）制定通用的审计准则，这一准则具有公认性特征。在这一前提下，所有者对于受托的外部审计必须要就每一个审计事项确定有关审计质量要求的契约，对于内部的代表所有者的审计，也必须制定一套基于所有者需要的审计规范。其目的就是要防范由于审计作假而导致的信息不对称的风险。从这个意义出发，审计准则以及与此相应的某一审计事项的审计质量要求和对代表所有者的内部审计的审计规范，就是所有者为了防范审计信息不对称所带来的风险而确定的信息风险防范的契约，审计必须要按照这一契约的要求履行审计责任。如果审计能够按照审计准则和所有者对审计的要求进行监督，就可以防止检查风险。

防止检查风险除借助经营者之外的监督力量，还须把所有者防止信息不对称风险的相关要求贯穿在经营者（或者企业）和审计的行为过程中，使两者具有高度的契合性，由此产生了有关保证企业和审计信息质量的内部控制制度的需要。在西方，把在企业中建立的这种内部控制制度也称之为会计控制，以区别于管理控制，而在审计组织内部建立的这种控制制度称之为审计质量控制体系。这种基于防止信息不对称风险的内部控制制度和审计质量控制体系是一种内生性契约，它属于所有者对经营者或者审计所确定的防止信息风险契约的一种重要形式。如果所有者所确定的内部控制制度或者审计质量控制体系不健全，或者不能被有效地执行，必然使得所有者面临信息不对称的风险，这种风险就是由于内部控制缺陷形成的控制风险。所以，为防止信息不对称的风险，所有者必须要确定三种防范信息风险的契约：一是会计信息的风险防范的契约，二是审计信息的风险防范的契约，三是内部会计控制制度或审计质量控制体系的风险防范的契约。这三个契约最终的目标就是要确保经营者履行会计责任和法律责任，而审计则要履行审计责任。

（二）权益损失风险

两权分离的公司制企业形成法人所有权，法人所有权的财产是由公司股东所投入的资本形成的，公司通过经营会形成相应的股东留存收益。股东投入的资本以及留存收益构成了股东权益或者所有者权益，所有者必然要求经营者保护其所有者权益从而承担相应的责任，这种责任就是要保证资产安全和完整。如果经营者（包括员工）不能有效地履行保证资产安全和完整的责任，必然会给所有者带来权益损失的风险。这种权益损失的风险至少包括两个方面：一是经营者（包括员工）基于自身的利益而侵吞公司财产的行为，由于经营者（包括员工）所拥有的经营权力以及信息的不对称性很容易导致这种行为的发生；二是经营者（包括员工）以外的公司相关利益关系人基于自身利益而侵吞公司财产的行为，这种行为有可能通过经营者的管理而得到有效控制，也可能由于经营者的管理不善而难以得到控制，还可能由于经营者与相关利益关系人的合谋而使这种行为的严重程度进一步提升。

为了防止权益损失的风险，所有者必须要制定以下几个方面的权益损失风险防范的契约：一是通过实物负责制以及各种财物进出企业的手续制度的确定，以控制经营者（包括员工）和其他利益相关关系人直接侵吞企业财产的风险防范契约；二是通过成本费用开支范围和标准的确定，以控制经营者（包括员工）和其他利益相关关系人通过在职消费或从成本费用中直接获得收入的风险防范契约；三是通过相关利益各方所发生的关联方交易的规定，以控制经营者（包括员工）和其他利益相关关系人进行利益输送的风险防范契约。这三个契约的最终目标就是要确保经营者（包括员工）履行财产责任和法律责任。

（三）越权行为风险

在两权分离后，理论上，所有者的基本权力至少包括三个方面：其一是凡涉及到公司的所有者权益变动的事项都属于所有者权力的基本范畴，经营者不得越权；其二是凡涉及改变公司所有者的风险偏好的事项都属于所有者权力的范畴，经营者必须要经得所有者同意后方可调整；其三是凡涉及到公司所有者自身的收益分配的事项也属于所有者的基本权力，经营者不得越权。为了确保所有者的这三项权力不得被经营者越权、更不得被经营者滥用，不仅要明确划定所有者与经营者在这三个方面的权力边界，而且要防止在信息不对称的条件下经营者私下越权或者滥用权力的行为。所有者为了控制越权风险，必须要与经营者签订相关的风险控制契约，这些契约包括股东大会的职责权限、董事会的职责权限、经理办公会的职责权限以及行使权力时所应履行的基本程序。这些内容通常都是在公司的章程中明确规定，实际上，公司章程是公司的根本大法，它必须要明确规定构成公司组织架构的各个部分的权责结构，并通过这种权责结构的界定控制越权的风险。不仅如此，还要通过公司组织架构的各个组成部分的行权程序内在地、有效地控制越权发生的可能性。从这个意义出发，公司章程就是所有者控制经营者越权风险的基本契约，这个契约的最终目标就是要确保经营者履行公司章程中所规定的法定责任（也就是法律责任）。

（四）经营低效风险

如果说信息不对称风险、权益损失风险和越权风险更具有道德性风险的特征，那么经营低效风险则具有能力风险的特征。经营低效风险的责任更多地归咎于所有者，往往是所有者选聘经营者不当所致。尽管如此，经营低效风险也可能是经营者主观努力不够或者主观一意孤行或独断专行所致，所以所有者必须要对经营者经营低效的风险进行有效地控制。经营是否有效取决于经营者决策的正确性和决策执行的有效性，经营低效就表现为经营者决策的失误或者决策执行的低效，也就是决策失误风险和执行低效风险。为了防止这两种风险的发生，所有者必须对经营者的决策行为进行有效地约束而制定相应的规则，这就形成了所有者对经营者的经营低效风险的控制契约。

为防止决策失误风险的发生，必须要实现两个目标：一是必须确保不能出现导致企业失败的决策；二是必须保证大多数决策都比较正确，从而能够保证企业可持续发展。尽管从理论上说，应保证所有的决策都趋于最优的状态，但事实上这只是一种理论设想，所以保证大多数决策都比较正确才符合客观实际，而大多数决策比较正确的标志就是能够保证企业可持续发展。为了实现这两个目标，所有者就必须要对公司的决策体系（包括决策主体、决策权限和决策责任）进行科学系统地设计，对决策的程序进行合理有效地构造，由此就形成了相关的基于决策风险控制的制度契约。在决策正确的条件下，还必须保证决策执行的高效率，决策执行的过程就是企业生产经营活动展开的过程，为了确保决策在生产经营活动过程中得到有效地落实，就必须建立相应的控制制度，以防止决策不执行、决策执行偏差甚至决策执行错误的风险。为了控制决策失误的风险，形成了公司治理准则或者规范。同时，在西方，传统上把内部控制制度分为会计控制和管理控制，前者更多地偏重于确保会计信息的真实性，后者更多地偏重于确保决策有效执行以提高决策执行效率。实际上，内部控制制度的进一步发展形成了风险控制体系（如COSO的《企业风险管理——整合框架》以及我国国有资产监督管理委员会的《中央企业全面风险管理指引》），风险控制体系更是直接地针对公司生产经营过程中可能产生的不经济、低效的行为实施控制，以确保公司决策执行行为的经济性和有效性，风险控制体系的主要内容之一就是基于决策执行的风险控制制度契约。决策失误和执行低效的风险控制的制度契约的最终目标就是要确保经营者履行所有者所授托的经营责任，实现所有者的预期投资收益目标。

三、基于风险控制的制度契约的发展历史及其演变规律

在两权分离后，所有者为了保证经营者履行所委托的四项责任，控制履行责任过程中所面临的各种风险，一直在不断地制定、完善和发展与此相关的风险控制的制度契约，它经历了内部牵制、内部控制制度、内部控制结构、内部控制整合框架以及全面风险管理五个发展阶段。每个发展阶段的基本特点是：

在内部牵制阶段，强调会计核算和损害所有者权益的行为的控制，其控制的重点是财产的安全性，为了实现控制目标采取的基本方法是岗位分离、账目核对以形成相互牵制。

在内部控制制度阶段，把内部控制制度区分为内部会计控制制度和内部管理控制制度，通过这两个相互联系、相互作用的控制制度，除了保护公司财产安全外，还包括提高会计信息可靠性和提高经营效率、确保既定管理方针的实现。与此同时，伴随着公司制企业的产生和发展，相应形成了有关公司的法律规定（公司法）以及公司所制定的公司章程，更加强调所有者权益和权力的保护。

在内部控制结构阶段，将内部控制环境也作为内部控制的对象纳入内部控制体系中，不再区分内部会计控制和内部管理控制。内部控制的目标是为了合理保证企业特定目标的实现而建立的各种政策和程序，包括内部控制环境、会计制度和控制程序。

在内部控制整合框架阶段，美国COSO发布了《内部控制——整合框架》，指出“内部控制是受企业董事会、管理层和其他人员影响，为经营的效率和效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”内部控制的目标有三个，而内部控制的要素包括控制环境、风险评估、控制活动、信息与沟通、监督，这些要素就形成了整合框架，它从企业运营的业务中衍生出来，并整合在管理之中。与此相应，为了保证企业的决策效率，提出了公司治理的结构框架。

在全面风险管理阶段，COSO发布了《企业风险管理——整合框架》，该框架认为，企业风险管理是一个过程，由一个主体的董事会、管理当局和其他人员实施，应用于战略制定，并贯穿于企业之中，旨在识别可能影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标实现提供合理保证。风险管理整合框架有三个维度：一是企业目标；二是全面风险管理要素，包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督；三是企业层级，包括主体层级、各分部、各业务单元及其下属各子公司。在这个阶段，内部控制和公司治理逐渐融合到风险管理的整合框架中。

从基于风险控制制度契约的发展历史及其演变过程可得出以下结论：一是风险控制的目标在不断完善，从最早的财产安全控制进一步发展到对会计信息的真实性、可靠性的控制以及经营效率和效果的提高和法律法规的执行控制，直至风险控制目标最终扩展到战略目标、经营目标、报告目标和合规目标四个方面，这显然是一种公司全方位的风险控制目标；二是风险控制所涉及的主体也由主要是公司内部的特殊岗位（如会计岗位及其关联岗位），进一步扩展至公司的所有岗位，具有全主体风险控制的特征；三是风险控制的层次由过去的企业最基层岗位层次进一步扩展至中层、管理当局和董事会，以至股东大会，具有全层次风险控制的特征；四是风险控制的内容由财产变动进一步扩展到会计信息、经营活动和管理活动，实际上包含了企业的一切事项；五是风险控制的方法实现了结果监督与过程控制相结合，过程控制越来越强化制衡的作用，而且控制过程与经营和管理过程高度融合。

更为重要的是，站在出资者财务的视角，上述基于风险控制的制度契约的历史演变也显示了这样的特征：其一是风险控制的最基本目标就是报告目标、安全目标和合规目标，这些目标具有长期的稳定性，而这些目标与出资者财务的监管目标完全一致；其二是风险控制的最基本内容就是会计信息、财产变动、行为合规，也是始终不变的，它也属于出资者财务监管的内容。由于出资者财务涉及到投资、存量资本结构的调整和收益分配，进而使得出资者财务的风险控制也拓展到这些领域；其三是风险控制所涉及的最主要的主体是董事会和管理当局，实际上，两权分离以后，所有者主要对经营者实施风险控制，而经营者是董事会和管理当局的有机整体。经营者作为决策者，所进行的主要决策包括投资决策、筹资决策以及由此而引起的其他相关决策，也包括收购兼并和收益分配的决策，这些决策属于财务决策的范畴；其四是所有者进行上述风险控制采取的办法是制定相应的风险控制制度，并要求被控制主体在经营管理活动过程中予以实施，从而形成了基于风险控制的制度契约。各个国家形成这种制度契约的方式存在一定的差异，如美国是由民间机构代表全体所有者制定出统一的标准，而我国则是由不同的政府监管机构针对不同的被控制对象制定相应的统一标准，如国家法律、国务院国资委针对所有的国有企业制定统一的标准，证监会针对上市公司制定统一的标准，如此等等。这些标准包括会计准则和审计准则、公司法、内部控制制度、公司治理框架、风险管理的框架、企业收益分配的有关规定等，这些制度规定都与所有者利益保护和所有者风险控制相关。尽管如此，针对每一个具体的公司，其股东大会必须要制定在统一标准指引下的适合于本公司的风险控制的具体制度，包括每个公司的财务会计制度、审计制度、公司章程、内部控制制度、公司治理体系和风险控制体系。只有通过制定这一制度并被公司所执行，所有者才能确信由于两权分离而导致其所面临的信息不对称风险、权益损失风险、越权风险和经营低效风险才能被有效地控制。

（本文受到国家社科基金重大项目“国家治理视角下国有资本经营预算制度研究”〈14ZDA027〉、国家社科基金重点项目“国有资本授权关系及实现模式研究”〈14AJY005〉、科技成果转化和产业化——北京市国有企业预算管理体系完善对策及实施〈PXM2013_014213_000099〉、北京市教委创新团队项目“投资者保护的会计实现机制及其效果研究”〈IDHT20140503〉、北京工商大学国有资产管理协同创新中心项目〈GZ20130801〉、科研基地建设-科技创新平台-现代商科特色项目〈PXM2015_014213_000063〉和财政部会计名家培养工程支持项目〈财会[2014]25号〉的支持）

责任编辑 李斐然