一、内部控制的需求差异与分歧

在对内部控制理论作上述拓展之后，我们还注意到这样一个问题：内部控制理论尽管经过了很长时间的发展，但是各方由于利益和目的的不同，导致了各方在理解上的差异和概念上的混乱，没有形成一个统一的认识。COSO框架的提出可以视为一种解决方法，但并不理想。为了既能适应新的经济环境，对内部控制理论进行拓展，又能满足各方的需要，笔者认为可以考虑把内部控制划分为三个口径，分别构建各自的理论体系，以促进内部控制理论研究的深入发展。

内部控制理论与实践的产生和发展已有很长一段历史，从最初的内部牵制，发展为内部控制制度，以及后来的内部控制结构，到今天开始被人们逐渐接受的COSO内部控制整体框架，可以把它们从总体上分为四个阶段。然而，研究这段历史的发展，就会发现内部控制的理论研究和实践始终是在一个混沌的状态中进行。尽管内部控制的研究对审计的发展起到了很大的推动作用是一个不容置疑的事实，但是我们也要看到存在的一些不容回避的问题和矛盾：参与内部控制研究的主要是审计组织和审计人员，但是只有通过企业管理人员的实际执行才能有效；内部控制的一些主要的论点和提法主要是从审计专业或行业的角度提出的，但是只有应用于企业的经营管理才会发挥作用；管理人员对审计人员关于内部控制的提法不甚满意，认为“将美玉击成了碎片”。而且，企业上层建筑的制衡，高级管理人员的约束、激励等问题日益重要，而我们的内部控制理论和实践却很少探讨这些问题，还停留在人员牵制等有形的控制上面。

理论的研究总是源于一定的需求，从总体上来说，内部控制理论的需求主要可以分为以下几个方面：

（一）审计人员

审计人员是内部控制理论研究的发起者，也是该理论发展至今最大的使用者。他们主要是为了提高审计的效率，降低审计的成本，从企业的内部控制中抽出与财务报表审计有关的部分形成自己的概念。所以，.严格的来说，审计角度的内部控制不能代表内部控制的全部。

（二）企业管理人员

企业管理人员需要一整套有效控制所辖资源的机制，以有效的使用企业的各种资源，实现企业的目标。尽管他们不是该理论的最先提出者，但他们却是内部控制的最高的应用者和实际执行者。

（三）外部监管者

外部监管者希望通过内部控制使企业遵守有关的法律法规，维护社会投资者和国家的利益，保持良好的市场秩序。

（四）投资者和潜在的投资者

由于所有权和经营权的分离，职业经理人的出现，使得实际的投资者“沦落”到了“出资者”的地步。他们对企业经营管理的直接关注越来越少，了解的具体经营情况也越来越少，更多的是面对年度和半年度的财务数据，他们希望在企业内部有一套能够保护他们利益的机制。潜在的投资者也希望通过了解企业的内部控制来分析企业管理水平的高低、风险控制能力的大小，据以估计投资风险的大小，从而做出自己的投资决策。

（五）其他

随着社会经济环境的变化，越来越多的利益相关者不再仅仅关注企业的财务报表，而是更多地关注企业的经营运作，它们也就自然产生了对内部控制理论的需求，比如，供应商，债权人等。

通过上述的分析，我们能够发现相关各方对内部控制的要求、使用存在很大的不同，从而引发他们对内部控制的理解在含义、目标、内容上存在很大的差异。产生这种差异的根本原因就在于他们的利益和目的是不一致的，利益的不一致导致了要求上的不一致，进一步就产生了对内部控制理论规定性上的差异。这种理解上的差异不但在内部控制理论的研究上，而且在企业内部控制的构建实务中都不可避免的引起了混乱。能否有效地解决这个问题，关系到内部控制理论的进一步发展和企业内部控制的建立、健全和完善。

COSO整体框架的提出可以说首先进行了解决这一问题的实践。1992年，COSO委员会在报告《内部控制——整体框架》中指出“内部控制是受董事会、管理当局和其他职员的影响，旨在取得经营效果和效率、财务报告的可靠性、遵循相关的法律法规等目标而提供合理保证的一种过程”。后来在COSO报告第二卷“对外部关系人报告”的修正说明中又将“保障资产安全”作为一类新的内部控制目标加以定义。COSO框架的提出可以视为一种解决途径：制订一个各方都能接受的理论框架。然而，从其结果来看并不尽人意，由于各方利益上的不一致，导致各方很难在理论上取得完全一致。所以，得出的这个理论框架往往是各方势力均衡后，对各方理论观点综合的结果，或者说只是由过去隐性的不一致变成了放在一起的显性不一致。各方在探讨内部控制时，还是“各抒己见”（其目标体系的多样性充分说明了这一点），没有达到形成这个框架的原定目的。由于各方的利益和目的不一致，不能在理论上达成共识，这是必然的，也是正常的。对于内部控制，为了各方既能顺利地在理论上进行沟通，又能按照各自的目的和要求进行研究和实际操作，在构筑一个大“沟通平台”（如COSO框架）的同时，是否可以考虑分别从不同的角度按照不同的目的和要求构筑不同的小“平台”，分别提出相应的理论体系以适应各方不同的需求呢？(www.daowen.com)

笔者认为，可以根据研究范围、研究目的、研究方法的差异把内部控制划分为三个口径。内部控制实践最初的出现是企业自发的一种管理行为和方式，只是后来审计人员从自身的业务需要出发，正式提出了这个概念，并不断地从审计的角度进行完善。他们站在企业的外部，关注的范围主要是与财务报表有关的会计控制。管理人员关注的角度与审计人员是不一样的，他们关注的是如何有效地管理和控制企业的经营活动和占有的各种资源。他们对内部控制的理解在范围上要大于审计人员的范围，内容上要广阔得多，他们处于企业的内部，不但包括会计控制，还包括管理控制。外部监管者以及企业的现有投资者和潜在投资者从企业外部关注的是整个企业的运行状况，不但包括了会计控制、管理控制的内容，而且还包括了上层的治理控制等所有的内容。他们是从企业整体系统的角度来关注企业的发展，关注企业的成长，因为这些问题都会影响企业的运行，影响企业目标的实现，都会对投资者的利益构成威胁。而我们在讨论企业内部控制系统的构建时，也需要从整体系统的角度考虑，才能使所构建的内部控制系统更有效、更合理。

二、内部控制的三个口径

（一）小口径内部控制——从财务审计角度出发

注册会计师审计可以追溯到16世纪的意大利，但当时的审计方法还是详查法，以及后来发展到抽样法。到了19世纪末，审计人员在改进审计方法的探索中，才逐渐认识到内部控制在审计业务中的重要性。他们从财务审计的实际需要出发，把内部控制从企业管理活动中抽象出来，赋予新的含义，并从实践上升为理论，初步形成了小口径内部控制的概念。美国会计师协会1936年在《独立注册会计师对财务报表的审查》中，首次以书面形式提出审计师在制定审计程序时，应审查企业的内部牵制和控制，并且把内部控制定义为“保护公司现金和其他资产，检查簿记事务的准确性，而在公司内部采用的手段和方法”。

审计人员关注内部控制只是因为研究和评价被审计单位的内部控制有利于合理地确定审计测试的范围和审计程序，提高审计效率，节约审计成本；也可以均衡审计业务的工作量，避免审计业务过多地集中在年终。他们对内部控制的研究和认识自然而然地就局限在与财务报表审计有关的内容，而财务报表审计目标就目前来看不过是对财务报表的合法性、公允性、一贯性发表意见，所以对与财务报表审计关系不大的其他内容关注较少。1949年，美国会计师协会所属审计程序委员会在其名为《内部控制：协调制度的要素及其对管理和独立公共会计师的重要性》的专门报告中给出了一个内容广泛、比较权威的、令经理人比较满意的定义。但是，基于审计实务的需要，还是进一步的分解为会计控制和管理控制，规定审计人员只需对会计控制的评价负责，可以不考虑管理控制。所以，从财务审计角度来看的内部控制，只是一个与财务报表审计有关，或者说与审计业务有关的范围，希望关注更大范围的内容不可能，也不现实。正如我国《独立审计准则第9号——内部控制与审计风险》定义的那样，“内部控制是指被审计单位为了保证业务活动的有效进行，保证资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法.完整而制定的政策与措施”。由于内部控制理论研究的目的不同，从而导致对其范围、内容认识的差异，这是不可避免的。

审计角度的内部控制满足了审计人员和审计业务的需要，同时也是企业内部控制建设的基本要求，因为它往往与政府监管机构规定的要求相似，比如，美国的《反国外贿赂法》、我国的《会计法》等都提出了建立内部控制的类似要求。从企业方面来看，主要是通过适当的业务权限设置和授权、准确的会计记录、及时的实物盘点以及公允的报告等程序和方法，保证企业经营和财务状况信息的可靠性，保障投资人财产安全，这一层内部控制制度可以认为是最具体、最基本的控制。

（二）中口径内部控制——从企业管理角度出发

从企业管理人员的角度来看内部控制，其内容就广泛得多。比较有代表意义的是，美国会计师协会所属审计程序委员会在其1949年的专门报告中给出的内部控制定义。这个定义内容广泛，不局限于与会计和财务部门直接有关的控制方面，还包括预算控制、成本控制、定期报告、统计分析、培训计划和内部审计等，以及属于其他领域的经营活动，从而赢得了广大经理人的赞成。但是好景不长，在把内部控制分为会计控制和管理控制之后，就“将美玉击成了碎片”，再也没有一个对管理人员有用、为管理人员所理解的内部控制的定义。但是，必须认识到内部控制的实践源远流长，可以追溯到公元前3000年以前的美所不达米亚文化时期，它是企业中的一种客观存在，并不是因为审计对它的利用才存在；从本质上来说，它是为企业的利益而服务的，而审计业务对它的利用只能建立在它客观存在的基础上才有意义。而且，内部控制的建设是由企业自身来进行的，执行也是由企业来执行的。所以，从管理层的角度来看的内部控制内容要比审计角度的内部控制在内容和范围上广泛得多，他们不大可能达成一致。

所以，审计角度的内部控制只是管理角度内部控制的一部分，只是基于目的的不同，才存在范围和内容上的差异。企业管理层所要建立的内部控制主要是通过检查和改进有关管理政策和程序，有效控制企业运行，不断提高企业的经营效率和效益，实现投资人投入资本的保值增值，从而解脱代理人的受托责任。企业管理层的内部控制是对企业的直接控制，它直接对企业生产经营中的各种资源（包括物质资源和知识资源）进行监督和控制，直接影响到企业的效益和效果，直接影响到企业目标的实现。这一层内部控制制度可以认为是最有直接效果的控制，它直接关系着代理人履行受托责任的成败。

（三）大口径内部控制——从企业系统整体的角度出发

对企业内部控制进行进一步的拓展，从企业系统整体的角度来定义内部控制，就是笔者对内部控制理论从系统论和经济学角度进行拓展后的含义，它的内容和范围就又比中口径的内部控制扩大了许多。它不但涉及到企业生产经营活动的控制，还涉及到直接影响经营效率的企业所有权控制问题，即对剩余索取权和剩余控制权的分配问题。因为企业所有权的控制问题将直接决定着企业的上层治理控制，直接影响着企业的效率。所以，大口径内部控制除了包括上面谈到的中口径的内部控制外，还应当包括企业的上层治理控制，即通过企业所有权的适当分配，建立适当的“委托——代理”契约关系，保证企业投资人的利益能够得到企业内部代理人的有效维护。这一层次的内容是企业最根本的控制，是为投资人服务的，是各方投资人实现对企业控制的有效工具，它驾驭着管理控制。由于上层的企业治理控制往往与企业的长期利益和长远发展相联系，相对来说更加重要，如果上层的控制不恰当，那将直接影响到管理控制的效果和效率。正如我国的现实所示，上层企业治理控制的不完善最终导致了下层企业管理控制的低效和薄弱，引发企业的低效率和亏损。企业治理控制和企业管理控制都是一个企业正常运作和发展不可缺少的控制机制，无论哪一个方面出现问题，企业的目标都很难实现，二者是不可分割的。COSO框架的五个组成要素中，第一个就是控制环境，其中就包括了上层治理控制的内容，但遗憾的是作为环境出现的，而没有融合为内部控制的一个有机组成部分。所以，笔者认为从企业系统整体的角度来看，大口径内部控制应当包括四个部分：企业治理控制，企业管理控制，管理信息系统，企业文化。

三、划分内部控制口径与层次的意义

把内部控制划分为三个口径可以很好的解决理论和实践在现实中存在的混乱，使内部控制理论的研究各成体系，各负其责。笔者认为将内部控制划分为三个口径可以产生以下几个方面的积极意义：

有利于内部控制理论研究的深化。三个口径的划分只是基于目的、范围和使用上的差异，并不存在绝对的本质上的不同。三个口径之间又存在着非常密切的联系，大口径的内部控制范围最大，是从系统的角度来考虑的，中口径和小口径内部控制是它的一个特定的部分。划分为三个口径后，理论研究和实务界各层次的人士都可以根据自己的需要，分别从三个口径深化对内部控制的研究，构建适合各自实际需要的内部控制体系，而不必都统一到一个通用框架下进行研究，避免了术语和概念上的混乱。

有利于内部控制实践的发展。内部控制的三个口径可以视为内部控制建设的三个阶段。企业在构建内部控制体系时，可以首先考虑小口径的内部控制是否已经建立健全，如果已经建立健全，再考虑中口径内部控制的建设。如果中口径内部控制的建设比较完备，就可以考虑从大口径内部控制的角度来评价和分析企业的内部控制体系是否有效、是否合理。把三个口径的内部控制建设作为企业建立健全内部控制的一个长期战略，分步骤、分阶段的从低层向高层，从点到面的逐步完善；在每一个阶段的建设中，都需要从企业整体的角度来考察企业内部控制的有效性和合理性。