论内部控制的内部性

白华　肖雨琦　吴志华　许有诚

在内部控制研究和实践中，长期以来存在一个认识误区，认为内部控制只是风险管理的一部分，除内部控制外，还有外部控制或其他控制措施，内外各种措施共同发挥作用，才能做好内部控制工作。但笔者认为，在组织管理中，外部控制或其他控制并不存在，内部控制具有内部性和唯一性，组织无论采取何种措施来防范风险、优化流程、加强管理，都只能称为内部控制。组织只有认识到管控融合、认识到内部控制的内部性和唯一性，才能认识到内部控制是管理的唯一手段，内部控制体现为业务流程。这样，组织的管理者才能将内部控制建设作为发自内心的自觉实践，使组织更好实现价值创造。

一、内部控制是管理的唯一手段

COSO（1992、2013）的《内部控制——整合框架》认为内部控制是合理保证组织目标实现的一个过程。在这一过程中，组织目标设定在前，控制手段实施在后，所以目标和控制手段不同。这一观点有一定的局限性。

组织的任何行为都是以目的（或称目标）为导向的一个过程，都要识别和评估实现目的所面临的各类风险，并采取相应的控制手段予以应对。虽然看起来目的是目的，手段是手段，一个是前提，一个是保障，二者泾渭分明，但实际上二者的界限并不清晰。以下用手段目的链来解释。终极目的或长远目的可分解为一系列近期目的，从近期采取的手段来看，近期目的可视为目的；而从终极目的或长远目的来看，近期目的只能被视为手段，于是目的变为手段。也就是说，在终极目的或长远目的下，存在一个由手段和近期目的构成的环环相扣的链条，即手段目的链。从组织管理来看，管理过程也可理解成一个手段目的链，在该链条中近期目的也可被视为手段。由此，管理过程就是一系列控制手段的集合。

以公司为例，一般通过使命、愿景、战略规划和年度预算层层分解确定年度目标，并在每日、周、旬、月、季、半年、年度采取一系列的控制手段保障目标的实现。使命通常是具有社会责任感和感召力、体现价值观的表述，难以量化评价，类似于终极目的，所以从长远来看，使命只具有象征和引领意义，公司实施的所有行为都可以称之为实现终极目的的控制手段。

如果阶段性目的的设定和实现都是控制手段，则人类活动史就是一部控制手段史。组织管理是人类社会实施的一类特殊活动，如果组织管理中制定战略规划、设定预算目标都只能被视为实现组织使命的控制手段，那么没有什么措施不能被视为防范风险的控制手段。因此，控制手段就是组织管理中可以运用的唯一手段。

二、内部控制需要明确控制主体

内部控制之说源于会计学界。最早文献用的是“内部牵制（Internal Check）”，出自1892年《审计学：审计人员的实务手册》。美国会计师协会（American Institute of Accountants，以下简称AIA）1939年使用了“内部牵制和控制（Internal Check and Control）”一词。1949年，AIA发布内部控制专题报告，在标题和正文中均使用“内部控制（Internal Control）”，并沿用至今。

谈控制首先需要明确控制主体。控制主体在实施内部控制时，要识别和评估影响其目标实现的内外各种风险因素并采取相应的应对措施。所谓外部控制，只不过是控制主体在实施内部控制时需要考虑的外部风险因素。譬如，政府合规监管看似外部控制，但对于被监管者而言，政府合规监管只是其进行合规管理时需要考虑的外部风险因素之一。被监管者作为控制主体，在识别和评估政府合规监管风险后，只能通过加强内部控制来应对这一风险。

而外部控制者自身作为控制主体时，也要识别和评估与内外部环境有关的各种风险，并通过内部控制予以防范。仍以政府合规监管为例，监管者作为控制主体时，也要识别和评估其履行监管职责时面临的内外各种风险因素，并通过内部控制予以防范，来自被监管者的风险是其需要识别和评估的外部风险之一。监管者要想有效履行监管职责，就要充分识别和评估影响被监管者的内外各种风险因素，并进一步检查被监管者的内部控制是否有效防范这些风险。如果被监管者的内部控制没有有效防范合规风险，那么监管者就要提出处罚措施或改进建议，要求被监管者予以改正。监管者如果在前期调查阶段，了解到某一被监管者针对合规风险采取的内部控制设计合理、运行有效，则监管者就不必对该对象采取进一步监管措施，否则会浪费监管资源，导致监管无效。所以监管者要采取措施，保证监督检查对象选择适当、程序合法合规、结论公正合理，以提升监管效率和效果。这些措施无一例外都是监管者实施的内部控制，而不是外部控制。所以，监管者实施的监管措施也是内部控制措施。监管者和被监管者都把对方作为风险因素，都只能通过内部控制来防范风险。可见，明确了控制主体后，就没有所谓外部控制，控制主体都是在做内部控制。控制并无所谓内外之分，控制就是内部控制。

三、内部控制可控制组织边界外的风险

内部控制是组织内部实施的控制手段，但不意味着内部控制只能控制组织边界之内的风险。内部控制要防范的风险来自组织内外。在组织生态链上有不同的利益相关方，如供应商、客户、员工、投资者、债权人、社区、政府等，这些利益相关方给组织带来的内外各种风险都要组织采取内部控制措施来防范。

以采购和销售为例。供应商和客户都是组织外部的利益相关方，他们之所以愿意成为组织生态链上的一环，是因为组织可以为他们带来一定的利益。但是，组织是否让某一供应商和客户成为生态链上的一环，取决于组织在识别评估其风险后，是否认为双方可以实现共赢，且愿意在承受一定风险的基础上与其合作。所以，组织一般要制定供应商管理办法和客户信用管理办法，通过供应商资质认证和客户信用评价来遴选优质供应商和客户，将一些不具有相应资质的供应商和信用状况较差的客户排除在外，以防范采购和销售风险。这里组织制定的供应商管理办法和客户信用管理办法都是内部控制制度，这些内部控制制度可以控制供应商和客户等组织外部利益相关方带来的风险。与此同时，供应商和客户也要制定客户信用管理办法和供应商管理办法以防范该组织带来的风险。这样看来，组织生态链上的各方都分别将其他方视为风险因素，并采取内部控制措施予以防范。可见，内部控制可以控制组织边界之外的风险。

再以业务外包为例。2010年财政部等五部委发布的《企业内部控制应用指引第13号——业务外包》（以下简称第13号指引）认为，“企业的业务外包至少应当关注下列风险：（一）外包范围和价格确定不合理，承包方选择不当，可能导致企业遭受损失。（二）业务外包监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势。（三）业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案。”而针对这些风险，第13号指引指出：“企业应当建立和完善业务外包管理制度，规定业务外包的范围、方式、条件、程序和实施等相关内容，明确相关部门和岗位的职责权限，强化业务外包全过程的监控，防范外包风险，充分发挥业务外包的优势。”可以认为，企业建立的业务外包管理制度是一项内部控制制度，这一制度的实施可以将业务外包风险降到可以接受的程度。因此业务外包是内部控制，而不是外部控制。

综上，不能以商品和服务的提供方是否在组织边界内为标准，将控制措施分为内部控制和外部控制。只要是组织采取的控制措施，都应该被称为内部控制。组织本身只是生态链上的一环，组织所采取的控制措施在很多情况下都是用于防范来自组织之外的风险，所以，内部控制可以控制到组织边界之外是常态，而非例外。

四、内部控制体现为业务流程

内部控制的对象是影响目标实现的内外各种风险因素。组织在识别和评估风险后采取的控制措施体现为业务流程，业务流程就是应对风险的控制流程。业务流程由一系列控制点排列组合而成，这些控制点针对的是业务活动不同环节的风险点。业务流程中的不同环节都存在风险，风险点出现在哪里，相应的控制点就在哪里。对某些存在风险点的业务环节，组织可能出于成本效益考虑而未设置控制点，但只要存在业务流程，则流程中的不同环节就是应对风险的控制点。

2012年，财政部发布《行政事业单位内部控制规范（试行）》（财会[2012]21号，以下简称《规范》）也认为业务流程就是控制流程。《规范》指出：“单位应当根据本规范建立适合本单位实际情况的内部控制体系，并组织实施。具体工作包括梳理单位各类经济活动的业务流程，明确业务环节，系统分析经济活动风险，确定风险点，选择风险应对策略，在此基础上根据国家有关规定建立健全单位各项内部管理制度并督促相关工作人员认真执行。”《规范》是COSO（2004、2017）提出的风险管理方法的运用。COSO认为组织在风险管理中要识别风险事项，评估风险，并采取风险应对策略后，才能制定和实施控制措施。但《规范》中要求“单位建立健全”的并不是控制措施，而是“各项内部管理制度”。这表明内部管理制度就是内部控制制度，它由一系列应对风险的控制措施构成，否则这些制度不能构成内部控制体系。而内部控制体系中的每一项内部控制制度之所以要建立和实施，是因为需要防范业务流程中的风险。那么，业务流程就是控制流程，业务流程中的不同环节就是控制风险的控制环节，除控制环节外没有其他环节。因此，组织只有内部控制可管可进一步推论为组织只有业务流程可管，组织之间的竞争就是流程之间的竞争。

五、内部控制是价值创造型控制

组织制定和实施的业务流程不只是用于防范可能造成损失的风险或只是出于合规管理的需要，风险中也可能有机会，组织既要合规也要创造价值。

COSO（1992）认为内部控制是合理保证组织经营的效率效果、财务报告的可靠性、相关法律法规的遵循性等三大目标实现的一个过程。COSO（2013）将财务报告目标改为报告目标，删掉“财务”二字，拓展了报告目标的范围，将非财务报告目标涵盖在内，其他两个目标不变。这表明COSO一直主张各类组织不仅出于合规考虑而建设内部控制，同时也要考虑经营的效率效果。2008年，财政部等五部委发布《企业内部控制基本规范》时还将战略目标纳入内部控制目标体系，指出：“内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。”其中资产安全目标是从财务报告目标中引申出来的一个目标，强调了资产安全保护的重要性，便于账实相互核对。COSO（1992、2013）在内部控制框架中没有提出战略目标，COSO（2004、2017）在风险管理框架中才对战略目标有详细论述，认为这是风险管理框架和内部控制框架的主要区别之一。《企业内部控制基本规范》对内部控制目标体系的规定不囿于COSO观点，具有一定的创新性，认为战略目标也是内部控制需要合理保证并实现的目标之一。那么从控制目标来看，内部控制就不仅是合规控制，而是合规控制和效益控制的统一。组织完成了经营的效率效果目标，达成了发展战略目标，就是实现了价值创造。没有一个组织仅出于合规目标而实施控制，不创造价值的组织没有存在的价值。此外，组织是综合考虑战略和经营目标实现的需要制定和实施的控制措施，因此很难区分组织采取的控制措施是为了合理保证哪一类控制目标的实现。以行政事业单位业务外包为例，单位在选择承包方时，要遵循《政府采购货物和服务招标投标管理办法》（财政部令第18号）的规定，这是合规管理的要求。但这样做不仅是为了防范遭受损失的风险，也是为了遴选出合格的承包方以提高外包服务的质量，提升经营的效率和效果。因此，内部控制不仅是为合规和防范风险，而且还为实现价值创造，是价值创造型控制。

（本文系暨南大学管理学院重点学科建设育题基金、广东省消防救援总队财经领域内部控制体系建设实现路径探索项目的阶段性研究成果）

（作者单位：暨南大学

广东省消防救援总队）

责任编辑　刘田

主要参考文献

［1］白华，胡礼燕．超越COSO：中国内部控制规范体系探索[J]．会计与经济研究，2020，（6）：11-31．

［2］C·I·巴纳德．经理人员的职能[M]．孙耀君等译，北京：中国社会科学出版社，1997：146．

［3］赫伯特·西蒙．管理行为[M]．詹正茂译，北京：机械工业出版社，2004：33．

［4］李心合．内控流程的框架与解析[J]．财务与会计，2022，（3）：17-27．

［5］威廉·詹姆士．实用主义[M]．李步楼译，北京：商务印书馆，2016：79．