“控制环境”与“内部环境”的比较研究

高永博　康华

【摘 要】 从内部控制的发展过程可以看出，内部环境和控制环境有很大的差别。“控制环境”只是针对于内部控制而言，有明显的目的指向性；而“内部环境”则偏属于企业管理活动的范畴，涉及面更加宽泛。通过对企业“环境”因素的分析，在厘清企业管理、风险管理和内部控制关系的基础上，指出只有在其概念边界内充分发挥各自的作用，才能实现企业的战略目标。

【关键词】 内部控制； 内部环境； 控制环境

中图分类号：F233 文献标识码：A 文章编号：1004-5937（2016）08-0074-03

内部控制是一个历史悠久的话题，在不同的历史时期，人们从不同的角度和导向，赋予了内部控制不同的功能和目标。近年来，仁者见仁，智者见智，内部控制理论空前繁荣。但是，在实践过程中，人们对内部控制概念体系的认识还不统一。不同的人员，有着不同的角度和认知。理论界众说纷纭，企业界无所适从，导致内部控制落实起来举步维艰，困难重重。虽然政府的推动不遗余力，但企业内部控制的最终表现却差强人意，效果不彰。监管机构重视企业的财务报告，而企业却只关注自身利益，管理者看中的是经营效率，对财务报告的真实可靠程度并不热心。甚至有些企业急功近利，着眼于短期的利润，内部控制给“避税”让位，进行过度的盈余管理，乃至财务报告失真，可信度降低，对利益相关者产生误导。

究其原因，内部控制背负了太重的负荷，其概念体系和边界紊乱，同企业管理、风险管理产生了过度的重叠，重叠的焦点体现在对内部控制“环境”边界的争夺。尤其近年来，控制环境与内部环境两种提法，同时出现在了内部控制理论与实践中。

一、控制环境的边界与发展

控制环境缘起于控制结构的建立。1958年，美国发布《第29号审计程序公告》，对内部控制结构做了第一次正式划分，将其划分为会计控制和管理控制，期间并未提到控制环境因素，但是不难看出，控制环境隐藏于管理控制之中。管理控制着眼于管理、经营、贯彻治理方针和提高经营效率，这些都是内部控制实施的前提和基础。管理控制的说法显然脱胎于以法约尔和孔茨为代表的管理过程学派，管理包含了计划、组织、人事、领导和控制（与内部控制不同）。这种两分法，界限模糊不清，边界重叠。这是管理学与内部控制对所属作用领域相争的开始。

“控制环境”首次正式出现是在美国1988年的审计公告中。1987年“美国反虚假财务报告委员会”在其报告中指出，“会计控制”难以遏制虚假财务报告的产生，要用广义的“内部控制”来取代它——即引入“控制环境”要素。这就是COSO报告对“控制环境”的界定起源。于是，在1988年4月，美国ASB发布第55号审计准则公告，公告中明确指出：内部控制结构是由控制环境、会计系统和控制程序三个部分组成。“控制环境”的确立奠定了内部控制的作用氛围，这是内部控制向范围扩展迈出的一大步，在将“控制环境”拉入到内部控制框架之中的同时，其实也将“企业管理”作为了内部控制的主要素和子程序，“内部控制”的地位明显上升。但是，毋庸讳言，这种进步也为日后管理学和内部控制学的概念体系和学科体系的混乱埋下了伏笔。

美国COSO委员会在1992年发布了《内部控制——整合框架》研究报告，进一步将内部控制扩展为五要素，“控制环境”的位置和提法未变，但却开始强调人的重要性，认为人的因素是诸多环境因素中最重要的因素。其中，控制环境包含了丰富的人文因素和人事安排：诚信、道德价值观和企业员工的竞争力；管理哲学和经营风格；管理当局的授权方式及职责分配；董事会提供的关注和指导。

不可否认，强调人的重要性和文化内涵，实际上是内部控制环境边界的进一步延伸。“企业管理，其实是文化管理和制度管理的结合”，二者的结合点体现在企业内部环境的变化。企业文化的培育要体现企业管理者的领导意志，形成企业独有的思维方式和价值观。而在制度建设中，首先要明确管理理念，从而建立组织结构和行为规范体系，规定人员聘用和人事政策。管理学中的计划、组织、领导和控制等职能充实了“控制环境”要素，并形成了内部控制的基础。

COSO委员会在2013年基于商业和科技环境的变化，颁布了COSO报告的新版本，寻求更加透明和更加负责的内部控制体系，目的是支持公司的战略决策和公司治理。需要说明的是，在这次修订中，COSO并没有借鉴2004年《企业风险管理——整合框架》（简称ERM）的内容。这是因为，“一方面，内部控制框架和ERM之间的关系一直模糊不清；另一方面，在发布ERM后，没有引起足够重视和得到广泛认可”[1]。此次修订，在“控制环境”要素中增加了三个内容，即“确定风险管理基调、风险管理文化、风险管理偏好和风险承受度”。在“风险评估”要素中，强调了风险的“机会”属性和风险组合观。文化内涵和机会管理已完全偏向管理学的内容，内部控制进一步将其作用领域拓宽。因此，即便在修订后，COSO内部控制框架中的逻辑断层和逻辑错位[2]依然存在，概念体系依然纠缠不清。

显然，对于机会的管理，内部控制只是必要条件，并非充分条件。如果仅仅加大对内部控制的投入，而不从战略管理入手，那么，内部控制将成为企业成本的陷阱，再大的投入也只等同于挑雪塞井，缘木求鱼。因为机会管理和风险管理的方向大相径庭，均需要不同的学科来支持，均需要不同的思路和工具。

加拿大COCO委员会在其《控制指南》（1995）中，将内部控制划分为四要素：目的、承诺、能力、监控和学习，强调员工在不断学习中逐步适应企业环境的变化，以便更好地完成工作。其中并没有把“控制环境”作为一个单独的因素而列出，而每一个要素中又包含了“控制环境”。原因是COCO委员会明确了内部控制的管理属性，控制的本质是企业管理不可或缺的组成部分，并有意将“内部控制”扩展为“控制”，这就成为了典型意义上的“管理活动论”。因为“内部控制本源上是企业管理的内在要求，是作为管理活动的一个有机组成部分而存在的”[3]，内部控制作为管理活动的子系统，为企业管理目标的实现提供合理的保证，更加贴切地反映了企业的运行方式。

英国在内部控制方面，走得更远。1999年9月，英国伦敦股票交易所委托专门委员会发布了《内部控制框架报告》，更进一步将内部控制系统置于公司治理结构之中，同时，将内部控制规范归属于公司的法律体系之中。至此，“控制环境”完全升级为“管理环境”，内部控制完全嵌入到公司治理活动中，控制范围更广，管理特性更加鲜明，从而，科学理论性为技术实践性提供了有力的支撑。

二、内部环境的缘起

国外对内部控制框架体系的研究中，只是说“控制环境”，并不说“内部环境”。2004年，美国COSO委员会发布《企业风险管理——整合框架》，此为管理导向的风险管理框架。从管理者角度出发，一改“控制环境”之说，第一要素成为“内部环境”，很明显，一字之差，几乎有云泥之别。“控制环境”只是针对于内部控制而言，有明显的目的指向性，而“内部环境”则偏属于企业管理活动的范畴。“内部环境”将会无所不包，导致“环境”要素非常巨大。企业任何一个因素的变动，无一不影响着企业的控制活动。如果说内部控制只是管理活动的子系统，那么，它只是针对常规风险，或者说是针对纯粹风险的遏制，而内部环境的优化则是面对企业全面管理的优化。因此，COSO委员会并未称其为内部控制框架，而称其为风险管理整合框架。“控制环境”是相对于内部控制框架，“内部环境”是相对于风险管理整合框架。如果在内部控制框架中，首要素改为“内部环境”，那将是内部控制框架的巨大陷阱，换言之，内部控制将代行企业管理的责任，这就又回到了历史的起点，即20世纪初——“在当时管理理论与实践相对贫乏的情况下，控制几乎就是企业管理，而处于控制核心的内部牵制是被看作企业管理的‘代名词”[4]。如此，则几乎丧失了对企业风险中“机会”的把握和管理，与现代化的经济发展南辕北辙，背道而驰。如果内部控制僭越了其合理边界，企业将无法填补内控成本节节攀升的陷阱。这是任何一个企业所无法容忍的。内部控制确实为企业提供了工具合理性，但没有也不可能提供价值合理性，内部控制“是管理过程中的一个环节，或是一项职能。它本身并不能独立存在，要与计划、执行等管理职能共同发挥作用”[5]。它永远是企业管理活动的必要条件，而非充分条件。

三、我国内部控制“环境”概念的误区

从我国的内部控制实践上看，“环境”的发展与国外并不相同。国务院国资委在2006年发布了《中央企业全面风险管理指引》，其立足于国有出资人的角度，体现了内部管理者的意志，体现了企业对风险管理的内生性要求。它借鉴COSO在ERM中展示的管理特性，尤其强调对风险中机会的管理和考量，充分重视对企业治理环境的优化。“内部环境”的边界很宽泛，绝非仅仅是属于内部控制框架的一个要素。内部控制作为风险管理的子系统，脉络已十分清晰。遗憾的是，2008年财政部五部委在《内部控制基本规范》以及2010年的《指引》中，将首要素列为“内部环境”，致使内部控制的概念体系产生混乱。似乎全面风险管理和内部控制都以内部环境为依托，两个可以平起平坐，分庭抗礼。显而易见，这给企业管理带来了迷茫和困惑。殊不知，风险管理和内部控制，一个是管理导向，一个是监管导向；一个源于内生性，一个源于外生性；一个是大管理，一个是子控制，其范畴自是不可同日而语。由于失去了内部控制的经济性，各上市公司虽在政府监管的压力下勉力为之，却是热情不高，效果不彰。

四、环境概念的重新界定

内部控制是通过流程设计，把企业梳理、联接成为一个牢固有序的整体，使企业具有相应的凝聚力，达到自我稳定，并有一定的抗风险能力。管理是通过计划，组织，领导，控制（管理控制）等职能，推动这个牢固有序的整体，以风险管理的战略思想，突破险阻，稳步前进。内部控制是企业发展的基础，如果内部控制有重大缺陷，牢固程度不够，那么，在前进过程中，尤其在激烈的竞争环境中，将会使企业灰飞烟灭。同样，只有在正确战略决策的指引下，企业才可以正常前进。如果管理者给出的战略方向不对，未能有效把握机会，或者说未指明前进的方向，企业将固步自封，寸步难行，迟早会被时代所淘汰。

从“控制环境”的历史演变可以看出，控制环境的变迁其实是企业管理活动和内部控制对边界的争夺。企业管理不仅仅包含对纯粹风险的管理，也包含了对机会的管理。抓机会和控风险是企业成功的两大基石。企业在其发展过程中，总有着自己的优势与劣势，机会与威胁，其中的机会管理和风险管理不可混为一谈。内部控制作为企业管理的子系统，逻辑上是间接为企业的战略目标服务的，是作为企业成功的必要条件而存在的。而“机会管理”是直接为企业的战略目标服务的。忽视了企业的机会管理，企业无法做大做强；同样，忽略了企业的内部控制，企业很可能会中途夭折。

如果随意扩大内部控制的环境氛围，去无限适应内部控制，无形中，就把内部控制当成了最终目的，将会偏离内部控制的价值方向。如果任环境要素的肆意扩充，势必导致内部控制实施成本的无限延伸，得不偿失，企业也会因此而失去动力与活力。

要做好企业管理，必须要明确管理理念和行为规范，建立组织结构和权责框架体系，规定人事政策等内容。这既是内部控制的环境基础，也是管理学的主要内容，所以对企业环境的管理即是对企业的管理。管理学的四大传统职能（计划、组织、领导、控制）几乎涵盖了控制环境的所有内容，不但有着成熟的理论体系和方法体系，而且还在不断地丰富和发展，建议把环境要素的优化赋予企业的管理活动，这样效果会更好。

综上所述，在科学理论上，可以借鉴英国和加拿大等国家的做法，将内部控制嵌入到公司治理之中，或者是归入到企业的管理活动中，限定内部控制的环境概念和范畴，发挥其“刀刃之钢”的作用；在技术实践上，借鉴美国COSO委员会的技术标准，通过五要素和十七项原则，在满足政府监管的同时，不断优化内部环境，实现企业的战略目标。

【参考文献】

[1] 董秀琴.COSO内部控制框架最新进展及评价[J]. 财会通讯（综合），2013（3上）：96.

[2] 刘霄伦.风险控制理论的再思考[J].会计研究，2010（3）：36-43.

[3] 樊行健.关于企业内部控制本质与概念的理论反思[J]. 会计研究，2014（2）：5-8 .

[4] 白华.COSO内部控制结构之谜[J].会计研究，2015（2）：61.