论内部控制目标导向：基于审计与管理视角的研究

摘要 本文从内部控制目标和 方法 论的 发展 与演进入手。根据学术界对内部控制目标体系的 研究 。 分析 得出其内在逻辑，并对内部控制目标进行整合，提出基于风险管理的价值创造目标导向。

关键词 内部控制；目标导向；风险管理；价值创造

一、内部控制的发展与演进：目标与方法论

(一)内部控制的萌芽：与管理活动如影相随

内部控制 理论 的产生是近代的事情，但是，内部控制实务却源远流长，应该说，自古有之(石爱中，200

6)。早在公元前3000多年前的美索不达米亚文化时期，人类 社会 的一系列活动中就体现出了带有本能意义的内部牵制。那时的管理基本上是建立在个人观察、判断和直观基础上的传统经验管理。尽管这种内部牵制的管理思想源远流长，但没有形成系统的管理理论，也不可能提出内部控制的概念。

在随后的一些管理活动中，也都非常明显地出现了内部控制的实践活动。例如。古埃及 会计 称为“书吏”，“其责任和权力都比较大，不仅负责事项的记录，而且还要负责对全部库存财产的监督”。而且，以“书吏”工作为基础，“在国库长官、国库出纳官、国库书吏及国库监督官之间初步建立了一种 经济 牵制关系，这些官员各司其事，又互相制约，并把控制重点放在支出方面”(郭道扬，19

9

9)。

到了15世纪，资本主义得到初步发展。特别是 工业 革命后， 企业 管理理论得到了迅速的发展和完善，形成了涉及组织结构、职责分配、业务程序、内部审计等许多方面的控制体系。但是，尽管“内部控制在这期间已在管理实践中完成了其主体 内容 的塑造过程，但其各项构成要素和控制措施只是散见在企业各项管理制度、惯例和实务中”。管理者并没有从理论上进行 总结 ，也没有提出内部控制的概念。 由此可见，内部控制的初衷并不是为审计服务的。它完全是从管理的角度出发的，应当是企业客观存在的东西。

(二)内部控制的发展：管理思想的忠实追随者

1949年。美国会计师协会所属审计程序委员会在其专门报告《内部控制：一个协调的系统要素及其对管理层和独立公共会计师的重要性》中首次对内部控制下了一个定义：“内部控制包括组织的计划和企业为了保护资产。检查会计数据的准确性和可靠性，提高经营效率，以及促使遵循既定的管理方针等所采用的所有方法和措施”。该报告是从企业经营管理角度来定位内部控制的，从理论上给出了内部控制的广泛涵义。但是，它对财务报表审计中应对内部控制检查到什么程度，给注册会计师提供的指导却很少。使审计人员感到无所适从。审计人员认为，1949年的定义内容过于广泛，超出了他们评价被审计单位内部控制所承担的责任。迫于压力。为了满足审计人员在审计中的业务需要，AICPA所属的审计程序委员会于1953年10月颁布了《审计程序说明》第19号，并于1963年颁布了《审计程序公告第33号》，对内部控制的定义做了正式修改，大大缩小了注册会计师的责任范围。 20世纪六七十年代以来，一系列财务失败和可疑商业行为，特别是80年代出现了主要是由 金融 机构破产引起的更为耸人听闻的财务失败事件，以至于1985年，由AICPA、AAA、FEi、IIA、IMA五个职业协会组成的团体另外建立了一个委员会。即全美反欺诈财务报告委员会(National Commission onFraudulent Financial Reporting)。该委员会通过对欺诈性财务报告案例的研究，发现50％是因为内部控制失效的缘故，指出薄弱的内部控制是许多欺诈性财务报告发生的主要原因。针对这种情况，该委员会成立了专门研究内部控制 问题 的机构——COSO委员会来制定关于内部控制定义及框架的指南。1992年，COSO发布了具有革命性的研究报告，即《内部控制——整体框架》，标志着内部控制迎来了 历史 的春天。 为了适应21世纪商业环境发展对内部控制的要求以及风险管理的需要。COSO于2004年9月正式颁布了《企业风险管理——整体框架》。这一报告代表了内部控制理论的最新发展成果。COSO的2004年报告指出：“内部控制是企业风险管理的有机组成部分。企业风险管理包含内部控制，并形成一个(比内部控制)更为广泛的管理概念和工具”。因此，内部控制与风险管理之间的融合已是一种必然趋势，这种融合可理解为风险管理包含了内部控制，还可理解为企业风险管理框架就是企业内部控制的外在表现(严晖，200

5)。风险管理框架在1992年整体框架的基础上又增加了三个内部控制要素：目标制定、事项识别、风险评估，同时把内部控制的目标定位提高到战略定位。这是内部控制史上的又一次飞跃。

(三)一个暂行结论：内部控制、管理活动与独立审计的价值相关性

综观内部控制的发展与演进可以发现：内部控制(内部牵制)的实践及思想雏形起源于早期的管理活动，并随着经济社会管理活动的发展而不断向前演进。伴随着资本主义的萌芽与发展，特别是工业革命以后。企业得到了前所未有的发展。这种发展导致了对企业经济活动进行鉴证的审计不断发展。审计人员在改进审计方法的探索中，开始了对内部控制的研究，把内部控制从企业管理的实践活动中抽象出来。赋予其目标和体系。使之从实践上升为理论，成为审计技术和程序的组成内容。理论化的内部控制大大促进了审计业务的发展。但由于审计人员人为地把内部控制局限在一个较小的范围内。反而限制了内部控制实践和理论的发展。审计责任的诉讼爆炸及社会各界对内部控制的关注，又促使内部控制回归管理。内部控制的发展存在一个总的趋势，即目标越来越明确，范围越来越大，边界越来越清晰，内容越来越丰富，且有与管理逐步融合之势。这一系列内部控制目标与研究方法论的发展与演进过程，充分表现了其与管理活动及独立审计的价值相关性，如图1所示：

由以上论述可以看出内部控制目标及方法论的发展与演进过程，即：内部控制来源于管理，又回归到管理。这种回归不是简单的转圆圈式的回到出发点。而是一种螺旋上升式的发展，是对内部控制从实践到理论的提升与完善。这种回归如下页图2所示：

二、内部控制的目标体系：内在逻辑

目前。针对内部控制目标的 研究 几乎都是在内部控制目标多元化的趋势下。分层次、分类别地对内部控制目标进行重构，以便 科学 、合理地指引内部控制有效运行，充分发挥内部控制的效用。通过上述观点不难发现，学术界在对多元化的内部控制目标进行划分时都遵循着某种趋势，即由初级需求不断发展为高级需求。由企业自身的管理需求不断发展为企业社会责任的保证。

在这种探寻内部控制目标体系的过程中存在某种内在逻辑：内部管理需求和外部审计监管需求。分析以上观点，并结合COSO内部控制及风险管理目标体系。笔者对内部控制目标重新进行了整合，使之能够满足内部管理需求和外部审计监管需求。其内在逻辑关系如图3所示：

三、内部控制的目标导向：发展趋势

对内部控制的渊源进行追溯，对现状进行探讨，除了 总结 之外。更重要的是探求内部控制目标导向的发展趋势，发现存在的 问题 并提出对策，以实现内部控制的提升与完善。

在本文第二部分分析的基础上，重新整合的三大目标根据需求的不同，又可分为满足内部管理需求的战略目标、经营目标和满足外部审计监管需求的合规性目标。而这两种需求所引致的目标导向又是相互作用的。相辅相成的。

(一)内部管理需求对外部审计监管视角的作用

内部管理需求引致的目标包括战略目标和经营目标。战略目标的层次比其他目标更高，是与企业的远景或使命相关的高层次目标，其他目标是战略目标的具体化。风险管理框架在内部控制框架的基础上引入战略目标。说明内部管理不仅仅可确保短期经营的效率与效果。而且介入了企业长期战略(包括经营目标)的制定过程。

一个企业的战略管理是否正确、有效。不仅 影响 企业的日常经营，还会对反映企业经营成果的财务报告的可靠性产生直接影响。因此。审计师要有效地把握财务报告的错报风险，就必须从错报产生的源头着手，从战略系统观对企业经营风险进行分析、测试、评价和决策，并通过对企业保持和加强竞争优势的战略及其恰当性进行分析评价，才能从源头根本解决“合规”性问题，控制审计风险。从而系统地提高审计监管的科学性和有效性。

从相反的角度来看，长期以来。内部控制 理论 把关注重点放在对外公开的财务报告上，以防止财务报告舞弊案的发生。但事实是。财务报告舞弊的问题还是会经常发生。进一步探寻其中的原因可知，对外的财务报告是企业过去的经营成果的被动反映，一味强调审计监管导向的内部控制只能通过财务报告的约束作用间接作用于企业的经营活动。另外，在大多数情况下，财务舞弊是企业在企业战略、经营管理出现问题时所采取的“瞒天过海”策略。仅强调与财务报告相关的内部控制并不能防止企业战略、经营管理上的失败。“另一个毒瘤是。管理层经营失败而不可避免地导致股东价值下跌。原由就可能在于其糟糕的战略，无法保持核心竞争力，或竞争优势的销蚀”。

从以上正反两个方面可以推知，从内部管理需求的角度出发。强调对企业战略、经营目标的关注，不仅不会削弱外部审计监管视角的合规性，反而会从源头上抑制或避免“违规”的发生。

(二)外部审计监管需求对内部管理视角的作用

外部审计监管需求引致合规性目标。尽管人们对内部控制的管理导向日趋关注，但也不能忽略它在审计中的职能与作用。满足审计监管的合规性需求，就满足了广大投资者的需求。可以缓解信息不对称产生的一系列问题。有助于提高企业的外部形象与信誉，进而提升企业的整体价值。因此。COSO的内部控制和风险管理两个框架报告都保留了(财务)报告可靠性、法律法规遵循性两个“合规”性目标。

关于审计监管需求的内部控制可以维护市场的秩序和有效性。提高经营透明度，降低信息的不对称。基于此。各个国家和地区都在关注战略、经营风险管理的同时。对其在相关法律中做出了不同程度的要求。美国的SEC更是在SOX法案之后提出了“财务报告内部控制”的概念，更进一步明确了外部审计监管的不可或缺。

由此，可以得出结论：有效、科学、合理的内部控制目标应同时满足内部管理需求和外部审计监管需求。只有标本兼治，内外部相互促进。才能共同提升和完善内部控制。

企业管理的目标是创造价值，创造价值的前提是防范风险，防范风险的内在机制在于内部控制(陈志斌，200

7)。从内部管理视角来看待内部控制，其首要目标是服务于企业的价值创造。这就要求企业在战略导向和风险导向的管理要求的基础上。以可接受的风险水平为出发点，实现价值最大化。在此基础上，也要不断深化审计监管视角的内部控制，使之更好地服务于企业的价值创造。

基于此，笔者认为：内部控制目标应同时满足战略、经营、合规三大目标，在范围上各有兼顾。在程度上各有倾斜。整合后的内部控制目标应为：基于风险管理的价值创造，同时兼顾“合规”性目标。