内部控制：制度抑或职能？

内部控制是制度吗？这是一个看似简单而又很难回答的问题。

截至2010年5月20日，沪深两市A股1820家上市公司，在其2009年年报或招股说明书（2010年新上市公司）中均认为，其建立和实施了内部控制制度。更何况，监管当局明确要求“企业建立健全内部控制制度”。

如果内部控制不是制度，企业该怎样建立健全？“内部控制是制度”似乎是一个不用证明、显而易见的命题。但正是这一近乎公理的命题成为阻碍我们正确理解内部控制诸多问题的一层迷雾。

内部控制究竟是什么？

那么，内部控制究竟是什么？根据1992年COSO（美国科索委员会）对内部控制的权威定义。内部控制是一个由企业董事会、管理层和其他员工实施的，为经营的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程。如果撇开所有的修饰语，这一定义可以简化为“内部控制是过程”。

如果我们的理解仅限于此，那么，我们还没有揭示出COSO所讲的内部控制究竟是什么？先看COSO的表述，在分析内部控制是一个过程时，COSO指出：“组织中各单位或各职能部门内部或跨单位或职能部门所实施的经营过程，都是通过计划、执行和监控等基本的管理过程来加以管理的。内部控制是这些过程的一部分，并与它们整合在一起。内部控制能让这些管理过程发挥作用，并对其实施和持续的关联性进行监控。内部控制是一个管理工具，而不是管理的替代品”（COSO，1992）。

COSO讲到了管理过程，有必要结合管理学对管理职能的界定来做进一步分析。“管理理论之父”亨利·法约尔认为管理有五大职能，即计划、组织、指挥、协调和控制等职能。他认为：“在一个企业里，控制就是要证实一下是否各项工作都与已定计划相吻合，是否与下达的指示及已定原则相吻合。控制的目的在于指出工作中的缺点和错误，以便加以纠正并避免重犯”（H·法约尔，1982）。

美国著名管理学家史蒂芬·罗宾斯认为管理有四大职能，即计划、组织、领导和控制。他认为控制职能是指监控计划执行、比较分析偏差、纠正错误，确保计划顺利实施（Robbins，1994）。通过对比分析，笔者发现，COSO对内部控制的解释与管理学中对“控制”的解释并无不同，它们都讲了要保证计划的实施，都讲了要对偏差进行监控。

我们之所以称“控制”为“内部控制”是相对于外部监管而言的，强调的是企业自身应该重视对其经营管理活动的有效监控。

因此，虽然我们可以要求企业建立健全内部控制系统，但是，内部控制本身却不能独立地成为一个制度。按照建立健全内部控制的要求设计的制度，应该以其所规范的对象和内容来命名，如“董事会议事规则”、“总经理工作细则”、“预算管理制度”、“固定资产管理制度”等等。企业的管理制度只有一套，不可能还有一套命名为“内部控制制度”的所谓制度。

综上所述，内部控制就是“控制”，是职能，而不是制度。

内部控制与公司治理、风险管理是何关系？

研究内部控制，绕不开的一个话题是内部控制与公司治理、风险管理的关系。理论界围绕这一问题已经进行了大量的研究，观点不一。其中，有些研究侧重于制度实施，譬如，谢志华（2007）提出了“整合论”；池国华[0.10 0.00%]（2009）提出了基于战略导向与系统整合的企业内部控制规范实施机制。有些研究侧重于理论探讨。譬如，阎达五、杨有红（2001）提出了“环境论”，即内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系；李连华（2005）提出了“嵌合论”，他认为内部控制与公司治理之间存在交叉重合的部分；杨雄胜（2005）提出了“基础论”，即内部控制是实现公司治理的基础设施。而关于内部控制与风险管理之间的关系，谢志华（2007）认为二者在实质上是相同的。COSO（2004）认为风险管理涵盖内部控制，其表述是：“内部控制是企业风险管理不可分割的一部分。”笔者发现，现有研究之所以存在较大争议，主要原因在于这些研究中都或隐或现地存在着一个不适当的假设，即先验地认为内部控制是制度。这样，现有文献就不可避免地陷入了为一个本不存在的制度寻找存在的理由和落脚点的尴尬境地。

笔者认为，内部控制并非制度，而是一项管理职能。那么，企业建立和实施的制度包括哪些？内部控制和公司治理、风险管理究竟是何关系？从广义上讲，治理和管理制度可以不分彼此。因此，企业的治理和管理制度中都渗透着内控思想，体现着控制职能的要求。不存在内部控制与公司治理谁包含谁，谁是环境谁是基础，或哪些部分是交叉重叠的问题；也不存在内部控制与公司治理的产生谁先谁后的问题。二者水乳交融合为一体。

如何看待内部控制和风险管理之间的关系？我们从COSO的两个框架谈起。COSO《企业风险管理—— —整合框架》顾名思义是一套研究如何控制风险的理论，其研究对象是风险及其控制。

而COSO《内部控制—— —整合框架》也是一套关于控制的理论。作为管理职能中的关键要素而渗透在各项管理制度中的控制职能，也是为了控制风险。所以，《内部控制—— —整合框架》研究的对象也是风险及其控制问题。

可以说，这两个整合框架只是在命名上考虑问题的侧重点有所不同，而实质上具有一致性。用内部控制，是从管理职能上来讲的，侧重于强调控制职能的发挥；讲风险管理则是从控制的对象上来讲的，侧重于强调风险控制的重要性，二者涵义相同。那么，为什么COSO认为风险管理涵盖内部控制？对此，我们可以将《企业风险管理—— —整合框架》看成是对《内部控制—— —整合框架》的发展。这与内部控制是一个不断发展的过程的思想是相符的。

按照上述理解，我们就能解释国际标准化组织《ISO31000风险管理—— —原则与指南》、中华人民共和国国家标准《GB/T24353-2009风险管理—— —原则与实施指南》、国资委《中央企业全面风险管理指引》和财政部等五部委《企业内部控制基本规范》之间的协调问题了。它们所规范的对象都是企业的风险管理，可以综合考虑这些规范的要求来设计企业的治理和管理制度，不需要分别建立几套所谓的制度以满足这些规范的要求。

（本文获2011年中国企业内部控制建设有奖征文活动一等奖，有删节）