在《论社会控制的四种基本力量与架构——兼论内部控制的作用原理》一文（《财务与会计》2013年第12期）中，笔者探讨了关于社会控制具有自然架构、文化架构、活动架构和法制架构四种基本控制力量和架构的问题。企业是一种社会组织，这四种控制力量和架构也适用于企业内部控制。同时，企业作为一种独特的社会组织形式，其内部控制又具有自身的特性。在本文中笔者进一步谈谈企业内部控制的有关问题。

一、什么是企业内部控制

不同机构对企业内部控制进行过大同小异的定义。COSO1992年9月发布的《内部控制——整合框架》认为：（企业）内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程：经营的有效性和效率；财务报告的可靠性；符合适用的法律和法规。中国人民银行2002年9月发布的《商业银行内部控制指引》认为：（银行）内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。我国财政部等五部委2008年6月发布的《企业内部控制基本规范》认为：（企业）内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。借鉴这些机构的定义，结合控制、企业性质的相关分析，笔者认为，企业内部控制是为实现企业经营目标，企业各层级人员针对交易或事项中的风险所实施的各种预防及约束性活动。从内部控制的作用关系角度看，其包括控制目标、控制主体、控制对象、控制内容、控制活动五项基本构成要素。

二、企业内部控制目标

内部控制旨在实现企业目标。一般认为，内部控制有经营性目标、合规性目标和可靠性目标三个基本目标。经营性目标是指内部控制应确保企业发展战略和经营目标的全面实施和充分实现；合规性目标是指内部控制应确保国家法律规定和企业内部规章制度的贯彻执行；可靠性目标是指内部控制应确保业务记录、财务信息和其他管理信息的及时、真实和完整。

从企业作为一项长期契约类交易的角度看，上述三类目标都服务于一个根本目标：确保受托管理财产的安全及增值。因此，从价值管理角度讲，不论是经营目标，还是可靠性目标和合规性目标，都可归结为保障财产（资产、负债以及资金流转）安全与实现增值。这是内部控制的根本目标。财产安全可分为静的安全和动的安全。静的安全是指存量财产处于持有状态时没有损失发生；动的安全是指财产处于交易流转过程中时没有损失发生。财产处于安全状态，应具备以下四个基本特征：一是存在性，即其是客观存在的，既不会无中生有，也不会被人巧取豪夺；二是完整性，即其是完好的，没有遗漏、破损或技术性贬损；三是归属性，即从权利归属上看，其是属于资产、资金持有人的，“为我所有”；四是计价正确性，即资产、资金的金额是计算正确的。依据对财产安全性的诠释，可以将内部控制的具体目标概括为：保障财产的存在性、完整性、归属性、计价正确性和增值性或收益性。一切内部控制活动和措施最终都是为了实现这“五性”。因此，在设定一项内部控制措施时，要考虑其是否指涉了上述具体目标。如果没有明确指涉，那么，这些内部控制措施可能就是冗余的。

三、企业内部控制主体

内部控制是企业行为，包括两层含义：一方面，内部控制是企业内在需求激发的活动，它是企业确保经营目标实现的自觉管理行动，而不是外在强加的约束措施，企业的外部利益相关方并非内部控制的责任主体；另一方面，企业是多重委托——受托经济责任关系结成的实体，包括董事会、各管理层级和业务操作人员在内的所有企业人员都是内部控制的责任主体。总之，内部控制的责任主体是企业和企业中的每一位员工。

不过，值得注意的是，在企业内部控制主体方面，应区分责任主体和实施主体两个概念。责任主体是指要对交易或事项风险的控制承担岗位责任的主体，而实施主体是指对交易或事项风险施加了控制作用的主体。责任主体基于制度规定，实施主体基于客观行为。这两个主体可以是统一的，也可以是分离的。企业内部从董事会至基层的每一位员工，既是内部控制责任主体，又是内部控制实施主体。而企业外部利益相关方并非企业内部控制的责任主体，却常常充当企业内部控制的实施主体。比如，企业与交易对方对账、银行开户对客户实地核查、银行对票据的查询查复、客户交易需输入密码、有些业务需要客户本人办理、抵押贷款需要中介机构对抵押物进行评估等。在这些内部控制行动中，客户、评估师并不承担企业内部控制责任，但他们的参与客观上对交易或事项施加了约束作用，是事实上的控制实施主体。外部利益相关方发挥的这种控制作用属于社会控制中的“活动架构约束”，即是“在一项具体的活动中，一个具体的他者对活动及其参与者所施加的约束”。外部利益相关方通常是企业的交易对方或第三方，其与企业之间具有权利和义务的对应性，基于自身权益的保护，其更能严谨、客观地发挥控制作用。因此，从内部控制实践看，交易的外部利益相关方参与实施的控制，往往比内部员工实施的控制更有效。比如，在账户资金安全保障方面，客户对账、客户指纹授权等措施，往往比内部员工实施的换人复核、定期检查等措施更有效。基于这一特征，企业内部控制建设要注重通过交易等活动架构的设计，充分发挥外部利益相关方的客观控制作用。

四、企业内部控制对象

内部控制的控制对象是交易或事项。内部控制的目标是保障财产的安全与增值，那么财产是从哪里来的呢？存量财产是在过去的经营业务中产生的，即是从过去的交易或事项中产生的；而流转中的财产是处在现时及未来经营业务中的，即处在现时及未来交易或事项中。一句话，财产产生、存在、流转于交易或事项中。内部控制保障财产安全与增值，其控制作用的对象就是交易或事项。

交易是经济主体的契约化行为，由经济主体主动发起并操控；而事项对于特定经济主体是非契约化的，主要系由外在因素引致，而经济主体往往被动承受（具有不可控特性）。事项可以分为人为事项和非人为事项。人为事项是特定个人或群体对特定主体有影响的行为，如人为破坏或盗窃行为等。人为事项往往内含主体之间的财产关系。比如，盗窃可能因为赔偿在盗者与被盗主体之间引起财产关系。非人为事项是对特定主体有影响的自然事件，或者非特定个人或群体对特定主体有影响的行为，前者如天灾、流行疾病等，后者如市场价格变动、宏观政策变动等。非人为事项通常并不内含主体之间的财产关系，但会对特定经济主体的财物造成影响，从而会对经济主体之间的其他经济关系造成影响。比如水灾淹没了银行的计算机房，老鼠咬碎了金库的重要空白凭证或钞票等。一个事项通常包括主体、财物、时间、地点、经济主体之间的经济关系等构成要素。从企业性质上看，事项并不是企业必然组成的一部分，不过事项却会对企业造成影响，影响其受托责任目标的实现，因此其也是企业内部控制的重要对象。

从上述分析可知，任何交易事件或事项都包括以下几个基本要素：人物（主体）、财物（对象）、工具、时间、地点（空间）以及这几个方面之间的相互关系。任何内部控制措施的具体作用对象不外乎交易或事项的这五个基本要素。比如，未取得会计证不能办理柜台业务，这是对交易主体的控制要求；非上市公司法人股权不得用于质押，这是对交易对象的控制要求；办理存款要使用一定精度的验钞机，这是对交易工具的要求；金库不能设在闹市区，这是对空间的控制要求；营业终了员工未经许可不得进入营业柜台，这是对时间的控制要求；等等。基于此，在设定一项内部控制制度时，要评估其是否指向这五个基本要素。如果没有明确指涉对象，这样的内部控制措施往往是难以实施的。

五、企业内部控制内容

内部控制的控制内容是风险。企业内部控制与营销活动的共同目标都是实现财产安全增值。实现这一目标都要靠“交易”，都需要考虑交易的参与人、对象（产品或服务）、时间、地点等要素的组合结构。但两者的侧重点是不一样的。营销重在创生交易，以扩张规模与数量，而内部控制要求按可接受的风险水平创生交易，以保障安全与质量。营销和内部控制的双重作用要求企业按可接受风险水平安排交易结构。

企业内部控制与风险之间的基本关系是：通过对交易或事项施加控制作用，消除交易或事项中的部分固有风险，将剩余风险限定在企业可接受的风险水平以内。其中：固有风险是指假定不采取任何内部控制措施的经营风险；剩余风险是指采取了内部控制措施后的经营风险；可接受风险是企业可承受或容忍的经营风险。处理企业内部控制与风险之间的关系，应注意几点：一是企业内部控制仅通过消除一部分固有风险将风险降低至企业可承担的范围内，但其并不消灭所有风险。二是内部控制并非单向地降低剩余风险。在可接受风险水平以内，内部控制对剩余风险发挥的是“调节”作用，即内部控制既管控企业的风险，也管控企业的收益机会。三是内部控制总是要指向特定风险事件或事项，其才可能消除相应风险，也才具有存在价值。否则，内部控制制度或措施再多，也很难实现风险防控的初衷。

六、企业内部控制活动

企业内部控制的核心是活动，其在本质上是一项预防性和约束性活动。这一界定将内部控制活动与企业风险管理活动区分开。首先，内部控制和风险管理处理的对象都是“风险与机会（不确定性管理）”，内部控制是风险管理活动的构成部分，内部控制活动都属于风险管理活动。其次，内部控制并不能等价于风险管理。我们仅将企业针对交易或事项要素所实施的预防性、约束性活动归为内部控制，而不具备这类特征的风险应对活动则归结为更宽泛的风险管理活动。比如，可接受风险水平的设定，通常归类为风险管理，并不归为内部控制；风险计量模型选择归类风险管理，而不归类为内部控制；进行压力测试是风险管理活动，却一般不归类为内部控制活动；在发生流动性风险时，采用发行债券来缓解风险，这是一项风险管理举措，在传统上却不归类为内部控制。不过，在内部控制发展到内部控制架构阶段后，其内涵和外延都拓展了很多，与风险管理的界限也越来越模糊了。

根据控制系统的一般结构，企业内部控制活动包括内部环境、风险评估、行动措施、信息与沟通、监督与纠正五项构造要素。

（一）内部环境是内部控制活动的基础条件。其影响控制主体的构成及其意识、思想与行动，并可能对控制过程形成“干扰”。与内部控制相关的内部环境因素包括：员工诚信和道德价值观、员工胜任能力、董事会治理能力、管理层理念和经营风格、组织结构、权责分配、人力资源政策和实务等。在控制活动各要素中，内部环境塑造企业文化，影响控制主体的群体构成及每个控制主体的做事态度、精神气质和能力水平，主要发挥类似“文化架构”的控制作用。

（二）风险评估是对风险的识别、分析和评估。从风险产生的源头看，企业需要识别的风险包括：市场风险、信用风险、流行性风险和操作风险。市场风险是市场价格波动造成的影响；信用风险是因交易对手信用不足造成的影响；流动性风险是资金不能满足支付需要造成的影响；操作风险是员工、外部事项、系统、流程缺陷等因素造成的影响。从影响层面看，企业需要识别两个层次的风险：一是主体层次的风险，主要是内外部事项对企业整体经营活动的影响；二是活动层次的风险，主要是具体交易活动相关的风险。风险评估包括识别风险类型及相应事件或事项、评估风险严重性和发生可能性（概率）、考虑需要采取的应对措施等具体活动。

（三）行动措施是处置风险所制定的应对政策、程序和动作要求。行动措施是控制活动的核心。内部控制有效发挥作用，对行动措施有两个基本要求：一是行动措施必须对应特定风险。没有对应特定风险的控制行动，即便实施了，做的也是无用功。二是行动措施必须执行到位。内部控制政策、程序和动作要求规定得再严密，不能得到有效执行，也不过是“纸上谈兵”，不能产生实战效果。

（四）信息与沟通为控制活动提供决策条件。信息是交易或事项存在与运行状态的反映。信息与内部控制之间的关系，恰如血液与人的生命之间的关系，没有血液生命难以存续，没有信息内部控制即无法运转。为支持内部控制有效运转，信息应具备以下质量特征：内容适当——是内部控制决策所需要的信息；数量充分——足以支持做出控制决策；可获得——是容易取得的；及时——在需要做出控制决策时即能获得；准确——信息是交易或事项状态的真实反映，不存在虚假、误导、错漏或偏离。支持内部控制有效运转，信息必须流转起来，这就需要沟通。沟通即建立信息流转渠道并确保信息按预期正常流转。从流向上看，信息沟通包括自上而下、自下而上、自内而外、自外而内、同级流转等交流方式。为了保证信息质量，要求沟通的渠道数量要适量、渠道宽度要适度、渠道长度要尽量短、渠道路径要畅通无阻、渠道环境要干净而不存在污染等。

（五）监督与纠正是内部控制的自我发现、自我纠偏活动。监督是一种反馈活动，即通过持续监控和定期检测活动揭示内部控制运行状态，发现运行偏差与缺陷，并通过信息沟通将该结果反馈或报告给相关内部控制责任主体。持续监控行为包括视频监控、现场巡视、实时运行报告等；定期检测包括专业检查、内部审计等。纠正是一种调节活动，即内部控制责任主体根据信息反馈结果，修正行动措施，调整内部控制的运行状态。为了确保监督与纠正的有效性，应注意遵循以下原则：一是无例外原则，即任何内部控制主体及其实施的控制活动均应该接受监督（没有人有不受监督的特权）；二是独立性原则，即任何内部控制主体及其实施的控制活动均应受到该控制主体之外的主体监督（控制主体通常自己无法监督自己）；三是充分反映原则，即内部控制缺陷至少均应向直接责任主体的直接上一级管理者报告（让管理者知晓）；四是无遗漏原则，即确保所有内部控制缺陷均已进行过评估，并采取了相应应对策略或措施。

从内部控制行动措施的演进来看，最有效的行动措施是将控制器“内置”于被控主体自身的结构中。自然架构类控制措施也是如此。比如，身份控制从身份证识别到指纹识别或面部扫描识别遵循的即是这一逻辑。将来可能进一步演变为DNA身份识别，人体内在的“生物密码”成为身份控制的构件。而DNA复制技术也许会令DNA的唯一身份特征也失效；在克隆技术条件下，也许还需要在人体内置一个身份识别的唯一密码。不独自然架构类控制措施如此，所有文化架构类控制措施也必须植根于人的心灵才能更有效地发挥作用。因此，政策、宣传、教育和培训等措施必须深入人心。循此思路更进一步，每一个体是自身的最有效控制者。个体的喜怒哀乐、动静困扰便是其以自身的信念、智识和经验作为“自控器”的输出。因此，企业内部控制不应忽视个体自律的作用，各类内部控制要素及控制措施均应注重提升个体自律的意识和行动力。唯有如此，才能够真正发挥企业内部控制的作用。■

责任编辑 刘黎静