内部控制研究的困惑与思考
内容提要:内控研究存在形式化、全能化和空洞化的弊端。基于新古典模型、奉行个体主义和新自由主义、依恃形式主义传统的COSO报告难以普世化,对内控的研究需要嵌入于社会结构之中,体现实体主义风格;需要打破内控被神化的格局,重新界定内控的边界,确立以风险防控为目标、以运营管理层为主体、以内部牵制为核心机制的内控内涵;需要关注内控之“神”——内部牵制机制及其实现形式的具体化、创新性研究,提升内控研究成果的实用价值。
关 键 词:内部控制 形式化 全能化 空洞化 内部牵制
作者简介:李心合,南京大学会计学系 210093
在我国,内控问题从登上学术殿堂到成为学术热点不到十年时间。时下,内控已成为学界和实务界的热门议题。但是,综观国内有关内控的研究文献,困惑很多,最为突出的表现就是“三化”(研究方法形式化、内控效用全能化、研究主题及内容空洞化)现象严重。凭借笔者主持设计30多家企业单位内控体系的经验判断,尽管学界高度关注,研究成果的有用性却非常有限,对企业单位内控制度设计和优化的实际指导价值更需提升。
一、被形式化和被普世化的内部控制研究
内控研究的普遍现象是COSO崇拜,众多学者怀抱普世主义情结,把美国1992年版和2004年版的COSO报告奉为权威和经典,不加怀疑与分析地搬到中国来,甚至被作为企业内控制度建设的理论指引和行动指针。
COSO报告真的能够“普世化”?这是在研究内控问题时首先必须明确的一个方法论问题。当学界崇拜COSO报告时,却忽视了COSO报告形成的特殊背景及其理论和方法论基础。实际上,综观COSO报告的框架及内容,一个重要的发现就是主流的“新古典分析模型”的应用。换句话说,COSO报告就是按照新古典模型构造的。新古典是西方经济学、管理学、财务学和会计学等学科的主流分析模型,作为主要的内控及风险管理整体框架性报告,COSO报告不可能超越这个主流模型。说到“新古典模型”,重要的思想基础是私有制、个人主义和新自由主义,基本的方法论传统是形式主义和个体主义,核心概念就是人所共知的经济人假设。新自由主义信奉自由市场制度及其两个基石——私有财产神圣不可侵犯和自由竞争的原则,并且坚持有效率的自由市场必须以法治为制度基础。形式主义传统假定所有的经济行为都具有共同的合理的内核,学术研究所关注的正是这些共同的内核,至于经济行为在现实世界所展现出来的历史相对性或个性,则在理论分析的视野之外。个体主义方法论认同个体的独立性,其行为动机或目的是个体的效用最大化,行为方式受个体内在驱动力的支配,不受外界干扰。经济人假设内含利己性或自利性、理性、最大化和一致性四个因子。新古典模型的这些思想基础、方法论传统和核心概念,是理解COSO报告、打开COSO之门必备的“钥匙”。
因为信奉新自由主义,所以整个报告是以私有制企业为研究对象,并且报告自始至终看不到“政府”的“踪影”,内控环境的研究边界仅仅限定于“内部环境”,无需涉及外部环境,特别是政府的实际影响。“小政府、大企业”的思想基础奠定了内控环境及机制的研究可以假定政府的影响力为零或小到可以忽略不计的程度,内控研究中可以不考虑政府。其次,即使美国现实存在着国有企业,但国有企业并不属于COSO报告的适用范围,新自由主义所认同的财产制度只能是私有制。
因为尊崇个人主义及个体主义方法论传统,并且坚守经济人模型,所以COSO报告所构造的牵制机制只是“分离式牵制”,并且主要是职责分离牵制,即使现实世界里广泛存在着“合作式牵制”,比如会议、会审、会签、集体决策等等,按照经济人假设也是应当视而不见,因为经济人的“天性”就是排斥合作。经济人排斥合作的缘由是:经济人是自利、自私的人,缺乏合作的动机;经济人具有超能力,可以搜集到所需要的全部信息、能够将这些信息加工成各种可供选择的方案、并且能够权衡利弊进行科学合理地选择,也不需要与他人合作;经济人是没有“道德”的、“机会主义”的、投机钻营的“坏人”,他人也不愿意与其合作;经济人关注的是“个人”或“个体”,不是合作后形成的“集体”或“群体”。很显然,经济人“鹤立独行”、与合作“水火不容”,自然也就不可能将“合作式牵制”纳入控制机制体系,这正是西方内控文献及参考西方内控文献撰写的内控教科书在介绍内部牵制机制时强调“分离式牵制”(不相容职务分离或职责分工)而避而不谈“合作式牵制”的理论及方法论根源。
因为固守形式主义研究传统,所以COSO报告的设计看不到不同类型的企业内部控制与风险管理的“个性”特征,通篇所分析描述的,是各种不同类型的企业在内部控制与风险管理上的“共性”特征,包括在控制目标、控制要素、控制机制等方面的“共性”特征。事实上,即使是在美国,国有企业与私有企业、上市公司与非上市公司、股权集中度大的公司与股权集中度小的公司、垄断型公司与非垄断型公司、家族制公司与非家族制公司、处于成长期的公司与处于成熟期的公司、不同行业的及不同宏观经济环境中的公司等等,在控制目标设定和控制机制选择上也会有所差别,但是,“形式主义传统”不关心它们的差别或个性特征,更别说会关注大陆法系国家与海洋法系国家、政府主导型国家与自由市场经济体制国家、大国与岛国的企业内控体系的重大差别了。
凡此种种,都证明COSO报告的思想基础、建构模型及框架要素,带有鲜明的美国特征或西方特征。这些特征,真的就能普世化吗?真的就能不改造、原封不动地搬到中国来吗?不争的事实是,国人对内控的研究风格和研究成果,形式主义和普世主义当属主流,一系列体现“实体主义”风格的内控议题,诸如中国国有企业内部控制特殊性、政府对企业及其内控运作的实际影响、企业所赖以存在的社会结构对内控机制的影响等等,均被大多数的内控文献所忽视或轻视,只有少得可怜的内控文献涉及或关注到了这类话题。而这些被学界忽略或冷落的话题,恰是内控研究“去形式化”和“实体化”必须关注的内容,也是最能展示中国企业内控研究风采的议题。
关于国企的内控问题。在中国,公有经济和国有企业始终占据主导地位,并且近年来的“国进民退”仍在强化其主导地位。国有企业在内控上的特殊性是显而易见的。首先,国企的目标结构中社会责任占据特别重要的位置,自然也就在国企内控目标体系中占据一席之地。对信奉“个体选择”和股东至上逻辑的私企来说,社会责任只是影响目标实现的环境性因素,但对实行“集体选择”的国企来说,与其把社会责任纳入内控环境要素不如整合进内控目标结构更加适当。现实中,出于社会责任的考量,国企或多或少地总是“以非经济角色从事经济活动”,并且即使是以经济角色从事经济活动,非经济因素作为一种结构背景存在,对国企的行为也起到很多的修正作用,这使得社会责任对国企内控研究具有特别重要的意义;其次,国企始终与对应层级的政府和国资委有着特殊的关系。尽管国有资产管理体制改革一直倡导“政资分离、政企分离”,但国有企业产权主体的层级结构与政府层级结构的高度一致性或对应性特征(有一级政府就有一级国企或公企),使得国企至今仍与对应层级的政府之间保持特殊的关系,尤其是政府搭建的各类投融资平台性的国企。在国企的内控研究中,忽视政府的作用注定是不恰当的。还有国资委,作为国有资本出资人代表,在国企的治理与内控中扮演特别重要的角色;再次,国企均设有中国共产党的基层组织,行政与党委的关系是国企内控研究中绕不开的话题,这与COSO报告的背景完全不同。COSO报告的对象是私有企业,没有党组织的存在,并且即使是美国的国企,也不像中国的国企设置有党组织,中国共产党的组织体系与美国民主党或共和党的组织体系完全不同。在美国,内控的研究可以不涉及党组织的问题,但在中国,回避行政与党委的关系无论如何都是不适当的,甚至可以说是完全错误的。①
关于政府与企业内控的关系问题。受新自由主义思想的影响,COSO报告是避而不谈政府的,即使现实世界里政府事实上是在干预着企业的,并且在国际金融危机来临之际政府实施了强干预政策的,但是用个体主义方法论构建的内控理论框架也是“不能”涉及政府的。同样的情形并不适用中国,中国的企业内控研究是绕不开政府问题的,原因在于中国实施的是政府主导型的市场经济体制。在这种体制中,不仅国企与政府有着特别紧密的联系,就是私企也会面对政府(包括中央政府和地方政府)各式各样的干预或管制。仅以私企的项目投资为例,很多项目必须经过政府的审批。尽管2004年国务院《关于投资体制改革的决定》给企业及资本放了权,压缩了审批制的投资范围,扩大了核准制和备案制的范围,但在操作中,迄今仍有很多投资项目需要经过各级政府的严格审批。因此,设计中国企业的投资控制理论及规范体系,不可能把政府的投资管制搁置一边,遵从什么新自由主义的投资管理理论框架。
关于社会文化与企业内控的关系问题。COSO报告也谈文化,但是特指组织内部成员的诚信、道德价值观等组织文化,所以被纳入“内部环境”要素来描述。COSO不谈社会文化,或把社会文化作为外生变量或既定前提来处理,也许与报告采用的形式主义传统及个体主义方法论有关,因为形式主义和个体主义方法论不关注个体所赖以存在的社会文化条件。形式主义的“零嵌入性”立场,排斥对影响个体行为的社会因素的研究。依照“去社会化”或“社会化不足”的形式主义传统,社会文化因素自然不会被纳入企业个体内部控制理论框架。但是,正如“实体主义”者所坚持认为的那样,经济过程始终嵌入在社会关系之中,受社会结构的限定,受社会文化的实实在在的影响。如同西方社会学家们所描述的那样,中国是“特殊主义”国家,社会文化的异质性和特殊性以及当代社会文化的急剧变迁或变异性,决定了在研究中国企业的经济行为时更应关注社会文化和社会结构的影响及限定作用。以中国企业的融资行为研究为例,如果只关注“契约”的作用而忽视社会文化或“关系运作”的实际影响,研究成果的适用性和研究结论的可靠性就非常值得怀疑。
因此,即使在COSO报告所设计的内部控制整体框架中只是强调“内部环境”而轻视“外部环境”,特别是轻视政府和社会文化对企业内控的实际影响,但同样的框架却不能应用到中国。在中国,内控研究和内控规范的制定所关注的环境性因素,应当既包括“内部环境”又包括“外部环境”,也就是应当关注整体的“内控环境”(内部环境与外部环境的集合),而不是仅仅关注和定义“内部环境”,并且应当遵循“实体主义”传统,将内控研究嵌入于社会结构之中。只有这样,内控研究和内控规范的制定才能“去形式化”,才能与中国的社会结构和社会文化相适应。也许,中国更需要“实体主义”风格的内控研究。
二、被全能化和被神化的内部控制研究
细心的学者其实早已发现,内部控制的功效已被学界全能化和神化了。说到内部控制,国内外文献的解释大同小异,基本的定义是:企业董事会、监事会、经理班子和全体员工共同实施的、旨在实现控制目标的过程。文献定义的内控其实是“全能化”的。首先,内控“无所不能”:信息的真实可靠、业务或经营活动的效率效果、资产的安全完整、法律法规(包括企业内部规章制度)的有效实施、战略的有效实现等等都能保证,企业的价值创造和风险防范、责任性和效率性的各类目标均能实现;其次,内控“无所不包”:业务活动、财务活动和管理活动等各项活动“全覆盖”,治理层面、管理层面和操作层面“全包括”,纵向组织体系和横向组织体系“全进入”,高管人员、中层管理人员和普通员工“全员工”;再次,内控“无所不做”:工作内容涉及战略、组织、决策、计划、核算、控制、分析、考评等各项管理职能,覆盖“战略-预算-控制-信息反馈-分析-绩效考评”整个管理循环;最后,内控“无时不有”,控制时序跨度涵盖事前、事中和事后,囊括事前控制、事中控制与事后控制。无所不能、无所不包、无所不做、无时不有,这“四无”的结论集中到一点就是:内控已经被全能化和被神化了。问题是,内控是怎样被神化的?有怎样的负面效应?又怎样解决?
追溯历史,内部控制是在其历史演进中一步步被推上神坛的。文献记载,内部控制一词于20世纪早期伴随财务报告丑闻而应外部审计师的要求而产生。内部控制概念的前身是以职责分工为特征的“内部牵制”,其目的是保护企业内部现金资产的安全和账簿记录的准确性。20世纪初,“内部牵制”向“内部会计控制”概念扩展。1938年,轰动美国的商业丑闻——“麦克森—罗宾斯丑闻”——引发了SEC和会计职业界对审计中内部控制问题的极大关注,尽管SEC强调审计师“应扩大到对交易方式的全面了解”,但控制的边界依然是“内部会计控制”,尚未向“业务控制”延伸。1949年,美国AICPA出版的史上第一部内部控制研究专著——《内部控制—协作体系的要素及其对于管理层和独立公共会计师的重要性》,尽管没有彻底改变内控的主要用途——财务报告导向,但此时已经开始从“审计师”向“管理层”扩展。AICPA所定义的内控实际上已是对会计与管理、财务与业务具有全覆盖特征的全面性控制体系。这个定义,为1958年AICPA下属机构CAP(审计程序委员会)明确将内控界定为会计控制与管理控制奠定了基础,这类的解释一直延续到70年代。按照CAP的解释,内控分为管理控制和会计控制,其中,内部管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录,内部会计控制是为资产安全、财务记录可靠及一些具体事项提供合理保证的组织结构、程序及记录。
AICPA的内控理论,显然是囊括了传统的会计控制和管理学的“管理控制”。内控概念之所以被扩展、“管理控制”之所以被纳入内控体系,一个重要的原因也许正是管理学发展的影响。事实上,管理学领域在泰罗(1911)的《科学管理原理》和法约尔(1916)的《工业管理和一般管理》就已经正式提出“控制”概念,法约尔甚至把“控制”作为五大管理职能之一来看待。自此之后,“控制”一直为管理职能理论所重视,在整个管理学概念体系中占有重要地位。严格地说,管理学上的“控制”概念也是针对组织内部的,因而也是属于“内部控制”的范畴。AICPA要研究内控问题,显然不能无视管理学控制理论的发展,也就是不能无视与“计划或预算”相关联的“管理控制”的概念。不过,AICPA对管理学“管理控制”范畴的吸纳与对内控概念的扩展,事实上已经把“内部控制”概念设定为一个既与会计学、审计学、管理学等学科交叉又独立于这些学科的一个完全独立的概念或学科了。AICPA的内控理论,为内控概念被全能化提供了一个开端。
80年代,美国COSO委员会,试图从更宽泛地立场,也就是综合考虑独立审计师和公司管理层的角色和态度,关注内控统一指南的制定,其于1992年发表的内控整合框架,被封为研究内控问题的最经典文献。在COSO报告中,内控被定义为“一个过程,该过程受到公司董事会、管理层和其他人员的影响,其目的是为下列目标实现提供合理保证,这些目标包括财务报告的可靠性、经营的效率和效果、企业运作的合规性。”1994年COSO委员会又将确保资产安全完整纳入内控目标结构。尽管COSO报告还部分地保留有“财务报告导向优先”的印记,但其五大要素的整体框架差不多已经是“全能型”的了。2004年COSO的风险管理整合框架,更是把内控的“四无”神化推向极致。风险管理整合框架是对内控整合框架的扩展:一方面,控制目标向“战略”领域延伸,强调内控及风险管理在战略实现中的重要作用;另一方面,将内控整合框架五要素中的风险评估展开为目标设定、事项识别、风险评估和风险应对,使内控五大要素扩展为八大要素。这一扩展,等于是在内部控制被神化的道路上又前进了一步。
在内控被神化的过程中,中国学者也是“功不可没”。相对于西方国家内控理论的发展而言,中国学者和实务界对内控问题的关注起步较晚。尽管20世纪(尤其是70年代到90年代)学界和实务界也有关于内部牵制和内部会计控制的理论研究和实务规范,但真正属于内控的研究和规范,还是进入新千年以后,2000年之前鲜有“内部控制”概念的出现。不过,后来者居上。一方面,研究文献急剧膨胀。2000-2010年间,仅《会计研究》和《审计研究》杂志就发表以内控作为关键词和主题词的文献160余篇,其中《会计研究》100篇(朱华建等,2011);另一方面,内控规范化和法制化的进程推进迅速。仅2006-2010年间,先后就有国务院国资委、上交所、深交所、财政部、证监会、审计署、保监会、银监会等部门机构或分别或联合制定有关内控制度规范和行业指导文件近40项,为世界各国之最,其中尤以2008年财政部牵头、五部委联合发布的《企业内部控制基本规范》(简称《基本规范》)和2010年发布的《企业内部控制配套指引》最具代表性。综观国内有关内控的研究和规范,一个重要的特征就是无限制地扩充内控的内涵和扩展内控的边界。检索相关文献,内控的理论基础或渊源无限制地向哲学、经济学、制度经济学、演化经济学、管理学、组织行为学乃至仿生学等学科延伸;内控的实务向公司价值创造、战略管理、风险管理、公司治理、流程再造、公司文化、信息系统建设(比如ERP)等领域融合或扩展;内控与风险管理的关系倒置,在COSO的风险管理整合框架中,内控从属于风险管理,而在我国内控规范文件中,内控则是凌驾于风险管理之上的概念,这种关系的倒置无疑也是放大内控功能、提升内控地位的体现。五部委的《基本规范》和《配套指引》、公司战略、组织架构、人力资源管理、公司文化、公司社会责任等等,均被纳入内控规范框架,如此的安排,除内控之外,涉及企业内部运营及管理层面的能够留给其他概念或学科的东西几乎已经没有了,内控神化的程度因此而被提高到一个无所能及的高度。
以上的粗略分析,给人描述的是一个神化的故事:内控的范围或边界被一步步持续放大,以至于发展到现时代,内控事实上已经成为“管理”的代名词。伴随内控概念的被泛化、被全能化和被神化,内控也就成了一个“大箩筐”,什么都能往里面装。试想,就连发展战略、公司治理、组织架构、薪酬政策、公司文化、公司社会责任等等,都被装进了“内部控制”范畴,还有什么事项或活动不能为“内部控制”概念所涵盖呢?设计一家公司的内控体系,我的感觉就是对一家公司进行全方位的、立体式的设计,事无巨细,包罗万象,事事都必须考虑,项项都必须纳入内控体系。
内控概念的被泛化、被全能化和被神化,拓宽了内控的覆盖面,有利于公司内部运作体系的一体化,但是其理论和实践两方面的负面效果也不容小视。从理论上说,内控全能化的后果直接导致了既有的概念体系乃至学科体系的混乱。原本,“控制”一词在管理学上有其特定的含义,是与组织、决策、计划、分析、考评等“平行”的概念,是管理职能循环体系中的一个环节而已,是“监视组织的各项活动以保证按计划进行,并对计划执行中的重要偏差进行纠正的过程”。在管理学上,控制包括三个要素:衡量实际绩效;将实际绩效与标准进行比较;采取行动纠偏或不适当的标准。管理学上的控制也是针对组织内部的,实际上就是内部控制的概念,只不过是“小口径”的内部控制概念。现在,“控制”概念的口径被扩大化了,带来的新问题是:内控与企业管理的关系、内控与公司治理的关系、内控与风险管理的关系等等,都成了新的“剪不断理还乱”的关系。在笔者主持设计企业单位的内控体系的过程中,经常遇到这样的提问:内控与企业管理是何种关系?实实在在的感受是:内控似乎是覆盖了因而也取代了企业管理。有了内控概念或学科,企业管理概念或学科就找不到位置了。
从实践上看,内控体系更难把握或驾驭,内控的效果因此也有可能被弱化。关于后者,也许人们难以理解,然而事实上,限于知识和经验结构的限制,很少会有人甚至根本就没有人能够全面理解、系统把握、完整驾驭起这个全能型的内控体系,直接的后果就是影响内控体系设计、审查、评价的科学性、合理性和有效性。面对现实我们不得不承认,现实中很多做法,孰是孰非,审计师、咨询机构乃至高校教授都难以判断。合同是分散管理还是集中管理、费用报销时是先审后批还是先批后审、招投标活动中的发标接标和评标三种活动在组织上是分还是合、事业部应该是过渡方案还是理想模式、集团内部的体制再造方向是集中监控还是集中运作、预算编制流程是自下而上还是自上而下、有预算与无预算时审批流程是否应该有所差别、审批程序应繁还是应简、文化与流程如何对接等等,诸如此类,很少能有人恰当把握。在这样的情形下,内控体系的优化不就是一句空话吗?也许这就是实务中内控缺陷众多的重要原因。试想,有谁能够拥有全能型内控的知识和经验结构呢?!
不管学者们是否愿意,内控都应该走下神坛!从对内控起源和演进的脉络分析中可以看出,内控被全能化和被神化的关键性原因,是在它演进过程中不断地改变立场、添加新元素、扩充新内容,特别是“审计学内部控制”之外扩充了“管理学控制”、在“审计师”需要的内部控制之外添加了“管理者”的内部控制、在“与财务报告相关的内部控制”之外融合了“与价值创造相关的内部控制”。如果AICPA和COSO不是那么“贪婪”,内控概念如今也不会演变成一个“大箩筐”。走下神坛,关键的是要重新梳理内控概念与企业管理、公司治理、风险管理的概念或学科的关系,重新设定内控口径和划定内控边界。尽管实践中内部控制作为企业管理体系的一部分难以与企业管理截然划清界限,但内控作为一个独立的范畴或一门独立的学科,应有其特殊的目标、范围和机制。从目标上看,内控应以防范和控制风险为基本目标,具体包括战略风险、运营风险、报告风险和合规风险四大方面,其中报告风险既包括内部报告风险又包括外部报告风险,既有财务报告风险又有非财务报告风险;从范围上看,内控应以业务运作层面的控制体系为主,在组织体系上是以经营班子为主的运营管理层面为主,与公司治理交叉但不重叠;从机制上看,内控的运作机制和实现形式以“内部牵制”为核心,围绕各类业务和财务活动构筑一套有效的牵制机制体系。内部控制,说到底就是通过构建一套覆盖公司各类业务和财务活动的内部牵制体系,有效防范和控制战略风险、运营风险、报告风险和合规风险。新界定的内控概念,既给企业管理、公司治理等概念留足空间,又清晰了风险管理与内部控制的关系(对接与包含),同时还理顺了内部控制与内部牵制的关系;既有利于内部控制学科的构建,又为企业单位内部控制制度建设指明方向和重点。
三、被空洞化和有形无神的内部控制研究
对内控研究主题的检索不难发现,学者们所关注的常常是框架、要素、理论基础等宏大、空洞的论题,很少涉及结合业务的具体控制机制和方法性论题,给人的感觉是这些具体机制和方法等实在性论题还不应该登上学术殿堂;对企业内部控制制度建设的实践进行考察和分析也不难发现,制度设计者的关注点常常是控制程序的改进和优化,作为内控体系核心要素的内部牵制备受冷落;对内控研究、规范设计及内控实践的全面观察又能发现,人们的关注点是内控的“形”而不是“神”,以至于程序异常繁琐的内控体系常常堵不住舞弊及腐败的陷阱、封不住重大风险及损失的漏洞。
学界对内控框架和要素的关注,实务界对内控流程优化的关注,实际上都可以归为内控之“形”的范畴。“形”固然重要,“形”的研究固然必要,但“重形轻神”、“有形无神”的研究就属避重就轻、本末倒置。问题是,内控之“神”为何?依笔者多年的内控设计经验判断,内控之“神”就是“内部牵制”。尽管不同业务或事项的控制流程和措施有别,但所有业务或事项控制流程和措施中最关键也是最薄弱的东西就是如何解决牵制或制衡的问题;尽管风险的起源和性质各异,但所有业务和财务风险管理的最重要的机制还是牵制机制;尽管不同性质的组织其内部控制的具体方法也会不同,但所有组织目前所面临的最大困难也在于如何实现有效牵制;尽管内部控制整合框架的各个要素均在内部控制运作中发挥作用,都影响内部控制运作的效果,但扮演关键角色的要素仍是控制活动或控制机制中的内部牵制;尽管国内外企业单位围绕内部控制机制的改革措施很多,但很多措施的实质性效果就是为了实现有效牵制。诸如:政府的招投标制度改革、财政的收支两条线管理和国库集中支付制度的改革、银行的审贷分离改革、集团化企业内部分散管理向集中管理转型、公司法人治理结构的完善、上市公司信息披露制度建设、公司运作中管办分离改革、财权与事权分离改革、政府的信息公开制度、官员的财产公示制度等等,其核心要素就是构造良好的牵制机制。试想,如果没有了牵制机制,或者牵制机制存在重大缺陷,整个内部控制体系都会功亏一篑。这样的定位,还不能把内部牵制置于内部控制之“神”或之“魂”的位置上来理解吗?
问题是,内控之“神”并未受到学界和实务界应有的尊重和重视!在学界,成为热门词语备受关注的是“内部控制”,“内部牵制”除了在部分涉及内控的文献中作为一个历史演进的早期阶段或作为一种基本的控制方法而简单描述外,还很难找到一篇专门研究内部牵制的文献。针对内控的研究文献众多,管理学、会计学、审计学及其他相关专业的博士和硕士毕业论文也是每年无数,却很难查到针对内部牵制的专门研究文献,更是检索不到对设计企业内部牵制机制有用的系统研究成果,“内部牵制”即使没在人间蒸发,至少也被学界打入“冷宫”。在实务界,尽管风险管理与内控制度建设日益成为企业管理的热点,并且越来越多的企业单位热衷于内控制度建设,但很少有企业能够真正抓住内控的“灵魂”,很少有企业把内部牵制机制作为内控制度建设的核心要素给予关注,甚至很少有人真正懂得内部牵制的“精髓”,一说强化内控,更多地把关注点或重点放在设计更加繁琐的审批流程上,很少关注真正处于重心地位的内部牵制机制的健全与优化上,以至于“内部牵制机制存在严重缺陷”成为目前企业内控体系建设的最薄弱的环节。学界对内部牵制的冷落,直接的后果是实务界对内部牵制的系统化的理论知识的缺失和对内部牵制机制应用的误偏,并且一些流行的误偏还被坚定地认为是正确的或适当的做法。比如合同的分散管理、制度的分散制定、数据的分散保管等等,尽管背离内部牵制的要求,却很少被人意识。解决内控研究“有形无神”问题,切实为内控实践提供有价值的理论指导,关键的是要关注和深化内部牵制研究,重启被冷落的内部牵制机制。
值得进一步讨论的问题是,“内部牵制”概念能否在“原本的涵义”或“本源的意义”上继续适用?关于内部牵制的原本涵义或本源意义,国内外文献表述各异,但都强调三点:第一,针对会计系统中的牵制机制,或者侧重从会计的视角定义内部牵制,把内部牵制描述成“以账目间的相互核对为主要内容并实施岗位分离,以确保所有账目正确无误的一种控制机制”;第二,着眼于防范会计舞弊,或者以查错防弊为目的。即使是较具权威性的《柯氏会计辞典》,也把内部牵制定义为“防止错误和其他非法业务发生的业务流程设计”;第三,在牵制方式上强调职责分工。《柯氏会计辞典》对内部牵制主要特点的描述就是:以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。关注职责分工是基于以下两个基本设想:其一,两个或以上的人或部门无意识地犯同样错误的机会是很小的;其二,两个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。
尽管学界至今仍抱着最简单化的“本源意义”不放,完全没有创新其内涵与机理的意愿和行动,但面对现实我们不得不承认,“本源意义”的内部牵制已经过时,并且也无法担当内控之“神”的角色。作为内控之“神”或“魂”,内部牵制需要在理论研究上有新的突破,在实务操作中有新的思考与应用。至少有三个问题值得进一步关注:
第一,内部牵制的功能:会计控制还是管理控制?换句话说,内部牵制是一种会计机制还是一种管理机制?继续从会计层面定义内部牵制,必将降低和弱化内部牵制的功能。其实,内部牵制对业务活动具有“全覆盖”的特性。换句话说,不管是财务领域,还是业务领域,甚至是管理工具(战略、预算、绩效考核等等)的运用领域,都涉及内部牵制问题,都需要设计和应用内部牵制机制。“决策、执行与监督分离”、“管办分离”、“财务与业务分离”等等都是常见的内部牵制机制,而这些机制既在公司治理层面使用又在业务运作管理层面使用,既应用于财务活动又应用于供产销等业务活动。研发、设计、采购、制造、质量、营销、资金、投资、融资、并购等等,企业单位的所有业务和财务活动都需要“决策、执行与监督分离”,都需要“管办分离”。所以,应当突破会计的局限,把内部牵制视为一种管理控制机制。
第二,内部牵制的目标:防范舞弊还是防控风险?舞弊是风险,但风险的范围和边界要比舞弊宽泛得多。把防范舞弊视为内部牵制的目的,也会低估内部牵制的作用。内部牵制的目的绝不限于防范舞弊,更为重要的是防范风险。以采购为例,实践中企业单位设计和应用集中采购、招标采购、采管保三分离、款货分离等牵制机制,主要目的是防范和控制采购风险、降低采购成本,并不限于防范采购舞弊风险。风险是对目标实现产生不利影响的因素,风险具有全面性,财务有财务的风险,业务有业务的风险,管理有管理的风险,会计有会计的风险,内部牵制应当有利于防范和控制所有这些风险。
第三、内部牵制的机制:分离还是合作?论及内部牵制机制或实现形式,学界和实务界通常不假思索地将其等同于“职责分工”或“不相容职务分离”,并且在多数场合下是在“职责分工”与“不相容职务分离”之间划上了等号。姑且不论这样的理解是如何简单和荒谬,仅就“职责分工”或“不相容职务分离”的具体机制和方法而言,有用的研究成果也少得可怜。也许,在很多人的眼里,要么就是不值得研究,要么就是登不上大雅之堂。然而实际上,如果我们遵循“需求导向”而不是目前流行的“供给导向”的研究路径,那么,关于内部牵制机制及其实现方式的研究就是最有资格登上学术殿堂的内控研究主题之一(李心合,2012)。
超越新古典分析范式,从人性的二重性(利己性与利他性)把握,内部牵制的实现形式可以划分为“分离式牵制”(基于利己性)和“合作式牵制”(基于利他性)两种类型,前者强调“不同的人干不同的事”(张三管钱李四管账),后者突出“不同的人做同样的事”(张三李四一起谈判),而不管是“不同的人干不同的事”还是“不同的人做同样的事”,都起到牵制的作用,因此,研究内部牵制机制,合作牵制与分离牵制是同等重要的。对内部牵制机制和方式的理解,必须超越“分”的限定,从“分”向“合”扩展,尤其是在“集体主义”国家。就分离式牵制而言,基础源自“不相容职务”。设计分离式牵制机制,首要的是要进行不相容职务分析,在这方面,流行的“五步骤论”(授权、批准、执行、记录和检查)也需要反思和突破,从权能结构和业务属性结构上界定不相容职务也许会更具普遍意义和实践价值。从权能结构看,决策执行与监督三权能、业务的管理与经办(管与办)两权能、制度的制定执行与监督三权能、预算的编制执行与监督三权能等等,都是不相容的活动,都需要分离牵制;从业务属性结构看,物流(或商流)、资金流与信息流当属不相容活动,应当分离牵制。就不相容职务的分离方式而言,单体企业有机构分设和岗位分置两种,集团化企业伴随集中管理体制的实施,增加了“纵向分离”(母公司管子公司办)的形式,企业应结合自身情况选择适当的分离方式。就合作式牵制来说,会审、会签、会议、共同决策、共同行动、共同实施等,都是其具体实现形式。2010年国务院针对行政机关和国有企事业单位推行的“三重一大(重大问题决策、重要干部任免、重大项目运作、大额资金使用)集体决策制度”,就是典型的合作式牵制制度。除分离式和合作式牵制机制外,实践中还有公开运作、信息公开、第三方机制、内部监督、问责制等牵制机制。对于这些牵制机制,理论上都需要进行认真系统地总结。
可以肯定地说,内控研究中的困惑有很多,本文针对其中的“三化”(形式化、全能化和空洞化)所作的创造性的探索与思考,旨在能够引起学界对这些问题的持续关注,并在内控研究和规范制定上有更新的突破。
注释:
①学界的研究风格秉承了形式主义传统,所以在公司治理的研究中很少看到党委的踪影,在内部控制和风险管理的研究中完全不见党委的踪影。甚至在证监会制定的上市公司治理准则、五部委联合制定的企业内部控制规范体系及国资委制定的风险管理指引中,也见不到党委的影子。
参考文献:
[1]李心合.2012.企业内部控制制度建设中的八大难题与对策(上、下).财务与会计,4:12~15、5:11~14
[2]李心合.2013.被神化的内部控制与被冷落的内部牵制.审计与经济研究,3:3~9
[3]朱华建,张盛勇,高宏伟.2011.21世纪以来我国内部控制研究主题及述评——基于2000年到2010年《会计研究》等国内主要七种期刊的分析.会计研究,11:57~65
转载来源:中国社会科学网 作者:李心合 《会计研究》2013年6期
