试论管理当局对内部控制的责任

　建立适合我国国情的内部控制体系是当前会计界面临的一项重要任务，也是深化企业改革，挖掘企业内部潜力，提高企业经营效率的关键。内部控制要充分发挥其作用，需要企业内所有员工的参与、执行，但是企业管理当局对于内部控制负有根本的责任。也就是说，企业管理当局是内部控制的责任主体。

　　一、内部控制的含义和作用

　　对于内部控制，会计界先后经历了内部牵制、内部控制制度、内部控制结构和一体化内部控制四个认识阶段。但最为权威的是COSO（Commit-tee of Sponsoring Organizations of the Treadway Commission）1992年的定义，“内部控制是由企业董事会、经理阶层和其他员工实施的（effected），为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程（process）”。COSO认为内部控制整体框架包括：控制环境、风险评估、控制活动、信息和沟通和监督。

　　内部控制是管理职能的一个内在组成部分。所谓管理，就是设计和保持一种良好的环境，使人在群体里高效率地完成既定目标（注：哈罗德。孔茨、海因茨。韦里克：《管理学》，经济科学出版社，1993年。）。管理具有计划、组织、人事、领导和控制五个职能。控制工作贯穿于整个企业的生产经营管理过程，控制是从总经理到监督人员的每个主管的职能。“管理工作的控制职能是从事对业绩的衡量与校正，以便确保企业目标和为达到企业目标所制定的计划得以实现”（注：哈罗德。孔茨、海因茨。韦里克：《管理学》，经济科学出版社，1993年。）内部控制的两个基本内容是职责划分和制定工作标准。职责划分包括组织规划、分工、授权、独立负责。要进行有效的控制，必须要有明确的职责划分，使各部门、岗位和员工都各负其责，相互制约。制定工作标准是指企业制定各种作业程序、管理办法和工作目标，以便员工按照规定的标准正确处理各项业务，实现预定的目标。

　　因此，内部控制的根本作用在于衡量和纠正下属人员的活动，以保证事态的发展符合计划的要求，它要求按照目标和计划，对工作人员的业绩进行评价，找出消极偏差之所在，采取措施加以改进，以提高企业的经营效率和效益，防止损失，以保证企业预定目标的实现。有效的内部控制，应能合理地保证董事会及管理阶层了解该公司实现其经营目标的程度、对外公开的财务报告可靠、符合相关的法律法规。

　　这里顺便指出的是，目前我国对内部控制存在一种片面的认识，好象内部控制的作用仅仅在于防止会计信息失真及保护资产的安全完整。包括财政部发布的《内部会计控制规范-基本规范（试行）》。该规范第二条规定，“本规范所称内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。”第六条规定，“内部会计控制应当达到以下基本目标：（一）规范单位会计行为，保护会计资料真实、完整。（二）堵塞漏洞、消除隐患，防止并及时发现、纠正错误及舞弊行为，保证单位资产的安全、完整。（三）确保国家有关法律法规和单位内部规章制度的贯彻执行”。事实上，防止舞弊虽然是内部控制的一项重要目标，但是，部控制最本质的作用乃是提高经济效益，实现企业的目标。内部控制的目标包括兴利与防弊两个方面，兴利是最主要的（注：我国会计界之所以会很少谈内部控制提高经营效率方面的作用，与目前我国会计信息失真严重的会计环境有关。事实上，内部控制在我国真正受到重视是《会计法》修订后，而修订会计法的根本动因即在于治理会计信息失真。或许正是这个原因，财政部采用了将内部控制分为会计控制和管理控制两部分的观点，只制定了会计控制。这里姑且不谈这样划分是否科学，其实即使是所谓的内部会计控制的作用也包含了兴利。）。

　　二、建立内部控制是管理当局受托责任的内在要求

　　在现代企业制度下，所有权与经营权分离，资财提供者往往不亲自参与对企业的管理，而是将企业交托给专门的经理人员经营管理。这样，经理人员与股东等资源提供者之间便形成了委托代理关系，在会计上，叫做受托责任（accountability）或经管责任，资财提供者是委责人，经理人员是受托人。资源的受托方经理人员接受了委托，必须尽心尽责地经营管理好资财提供者所交付的资源。因此，经理人员承担了合理、有效管理与运用委托方所交付的资源的责任，他必须要保证企业资产的安全、完整，实现资产的保值增值，并以实现企业价值最大化为目标。同时，为了解除自己的受托责任，经理人员要如实地向外部资源提供者提供财务报告，以表明受托责任的履行情况。委责者将根据财务报告判断受托者是否尽心尽职。

　　在传统企业下，资产委责者与经理人员之间是直接的委托受托关系。在这种情况下，委责者将根据受托者受托责任的履行情况，也就是所交付资源的经管情况，包括受托资源的保值增值情况，资产的安全、完整情况，作出相应的奖励、处罚决定。在发达的证券市场条件下，股权极为分散，资源提供者与管理者通过资本市场发生关系，也就是说这时的委托受托关系是间接的、模糊的。但这并不等于说受托责任就不存在。股东们非常关心企业的资本的保全与增值，企业的经理人员对代表投资者产权资本的所有者权益负有保全与增值的责任。众多股东面临着股票的持有、购入、售出、收益等决策，这些决策的作出，主要依据企业的经营业绩和财务状况。委托方可根据管理当局的经营业绩作出继续原有契约，还是终止该契约的决策。当公司管理当局管理不善，经营效率低下，导致公司业绩下滑，股票价格下跌时，大股东将通过董事会对经理人员作出解聘、降低报酬等处罚。小股东则通过用脚投票，抛售公司股票。这时还会发生敌意收购，导致接管控制权。因此，受托者为了提高受托资源的经营效率，就必须在企业内建立必要的内部控制制度，努力实现公司制定的盈利目标和其他目标。合理的内部控制，要求组织精简、权责划分明确，使每个人的责任清楚，不能推卸，并有明确的标准加以考核，使各个部门和环节密切配合，协调一致，可以充分发挥资源的潜力，充分有效地使用资源，提高经营绩效，实现企业的经营目标和发展战略。因此，健全的内部控制可以改善企业经营管理水平，提高企业的经营效率（efficiency）和效果（effectiveness），包括提高各个作业和企业整体的效率和效果。

　　由于股东不直接参与企业的生产经营，受托人将提供财务报告以报告受托责任的履行情况，解除自己的受托责任。受托人必须如实地向资源提供者报告企业的财务状况和经营业绩，不得隐瞒、欺骗。因此，保证财务报告的真实可靠，是管理当局的责任。当然，股东会聘请独立的第三者-注册会计师对管理当局提供的财务报表的真实性、公允性加以验证，并发表意见（注：在现代企业中，注册会计师往往是由董事会或其下属的审计委员会聘请，但审计费用最后实际上是由股东承担的。）。但管理当局也应当建立完善的内部控制，合理保证企业按照公认会计原则（会计准则）以及证券监管部门的信息披露规范来编制财务报告。

　　需要指出的是，现代企业的委托人已经不仅仅局限于股东，而包括了债权人、社区、国家等相关利益者，企业的经营活动不能违反国家的法律法规，也不能损害工人、社区等部门的利益。

　　综上所述，为了使企业的经营活动更加有效，防止偷懒、盗窃、浪费等行为的发生，实现企业的目标，同时保证企业提供的财务报告真实可靠，管理当局不仅有动力而且也有义务制定并实施内部的内部控制制度。建立并维持恰当的内部控制是管理当局的受托责任的重要组成部分。如果管理当局没有建立健全内部控制系统，导致受托资源的低效率，不能实现保值增值，用来报告受托责任履行情况的财务报告失真，管理当局就没有履行好受托责任，应当受到相应的惩罚。

　三、建立内部控制是降低代理成本的需要

　　Jensen和Meckling（1976）将代理关系定义为“一种契约，在这种契约下，一个人或更多的人（委托人）聘用另一个人（即代理人）代表他们来履行某些服务，包括把若干决策权托付给代理人”。在代理理论中，企业被看作是一系列“契约的联结”，其中，股东与经理之间的委托代理是最典型的一个契约。

　　Jensen和Meckling（1976）首先分析了外部股票的代理成本问题。在所有者与管理者身份合一的情况下，经理拥有企业全部的剩余索取权，经理人员会努力地为他自己而工作，这种环境下，就不存在什么代理问题。但是，当管理人员通过发行股票方式或债务融资，从外部吸取新的经济资源时，就产生了代理成本问题。因为委托人和代理人都是经济理性人，都是效用最大化者，因而代理人不会总以委托人的最大利益而行动。由于分工和高昂的监督成本，股东（或债权人）无法观察到经理人员的具体行动。因此委托人与代理人之间存在信息不对称，具有机会主义倾向的管理当局会利用自己的信息优势，发生偷懒、不当消费等行为，以牺牲委托人的利益为代价使自己利益最大化，即产生代理成本。Jensen和Meckling（1976）将代理成本定义为委托人的监督（注：这里的监督含义较广，不仅包括单纯的考核、查看，还包括委托人通过预算约束、补偿要求和操作细则等控制代理人行为。参见Jensen and Meckling（1976）注10.）支出、代理人的保证支出和剩余损失的总和。监督成本是指外部股东为了监督管理者的过度消费或自我放松（磨洋工）而耗费的支出；保证成本是代理人为了取得外部股东信任而发生的自我约束支出（如定期向委托人报告经营情况、聘请外部独立审计等）；剩余损失是由于委托人和代理人的利益不一致导致的其它损失。但是，在理性预期的资本市场上，存在所谓的价格保护机制。由于管理者行为导致的企业价值的下降部分将全部强加给管理者，也就是说代理成本最终将由管理者承担。这些成本不但会降低投资报酬，还有可能降低经理的奖金、分红和其他报酬，因此为自身利益考虑，经理就有使监督成本保持最低的动机。因此，管理者愿意提供一些保证，以限制其消费，因为这他们将获得全部收益。Jensen和Meckling（1976）指出，如果外部股东付出监督支出从而迫使所有者-管理者减少对非货币收益的消费是可能的话，那么，管理者将自愿地与外部股东缔结一份契约，该契约赋予他们权利以制约他在非货币方面的消费。管理者出于自利的考虑，需要设置诸如内部审计之类的内部控制制度，让委托人充分了解经理人员的努力程度，以降低委托人对管理报酬作出逆向调整的风险。因此，建立健全内部控制制度是管理当局降低与股东的委托代理关系中代理成本的需要，是管理当局与股东达成的自我约束契约的一部分。

　　另一方面，“经济社会实际上是通过一系列正式或非正式的契约来完成社会分工并进而组织起来的，这些契约构成了一个经济社会的基本制度，并直接左右着经济运行的效率”。这里所说的契约，实际上就是通常所说的委托—代理关系，这种关系存在于一切组织和企业的每一个管理阶层上。事实上，代理经济学认为，只要一个人对另一个人的行为有所依赖，就形成了委托代理关系。除了管理当局与股东之间的委托代理关系外，管理当局与其下属高级管理人员之间，高级管理人员与低层阶管理人员、员工之间也存在委托代理关系。这种情况下，同样会发生代理问题，存在代理成本。在这种情况下，为了防止下级管理人员和工人的偷懒、盗窃、欺骗和其他导致生产经营无效率的行为，作为委托人的管理当局需要建立相关的控制体系，使各部门、岗位相互牵制，相互制约。当然，这也是管理当局与股东自我约束契约的必然延伸。

　　总之，建立并维持健全的内部控制体系也是管理当局降低代理成本的需要。

　　四、国内外对管理当局内部控制责任的规定

　　1977年美国证券交易委员会（SEC）在第13185号交易法公报（Exchange Act Release No.13185）中规定，“建立并维持内部控制系统是一项重要的管理责任。管理当局受托责任（stewardshi presponsibility）的一个根本（fundamental）方面是向股东提供合理保证，保证企业被恰当地控制。另外，管理当局也有责任向股东和潜在的投资者提供及时的可靠的信息。恰当的内部会计控制系统对管理当局免除这些责任是必要的。”

　　1977年，美国发布了《反国外行贿法》（Foreign Corrupt Practices Act），要求所有公开上市公司：（1）设计并保持内部控制系统，该系统应能充分合理地保证交易经恰当地授权和记录；（2）保存会计记录，会计记录应相当详细和准确、公正地反映财务活动。

　　1978年，AICPA规定，董事会应保护（safeguarding）和增进（advancing）股东的利益，并作为股东的代表建立公司的制度（policies），评价管理当局对这些制度的执行。相应地，董事对股东有受托责任（fiduciary responsibility）。他们有责任了解公司的事务，勤奋、有效（capab ly）地履行他们的责任。

　　1988年，美国审计准则委员会（Auditing Standards Board，ASB）在第55号审计准则中指出，“建立并保持内部控制结构是一项重要的管理责任。为了合理保证主体的目标能够实现，内部控制结构应当在不间断地处于管理当局的监控之下（ongoing supervision），以确定内部控制结构按预期的运行并根据不断变化的环境进行必要的修正”。

　　1992年COSO委员会发布了其研究报告内部控制-整体框架（Internal control-integrated framework）。该报告指出，“组织中的每一个人对内部控制都有责任。管理者（首席执行官，chiefe xecutive offic-er）对内部控制体系负有根本的（ultimately）责任，并且享有该系统的所有权。与其他任何人相比，CEO确定了高层的基调（tone at the top），这些基调影响诚实性和操守及其他影响正向控制环境的因素。在大公司里，首席执行官是通过领导高级管理人员（senior managers）并发布指令，评估高级管理人员控制经营的方式来履行该责任的。高级管理人员将建立更具体的内部控制政策和程序的责任按部门的功能分派给有关人员。在小一点的公司，通常是业主-管理者合一，CEO的影响更为直接”。

　　1999年，我国对会计法进行了修订，规定“单位负责人对本单位的会计工作和会计资料的真实性、完整性负责”。第二十七条规定：“各单位应当建立、健全本单位内部会计监督制度。单位内部会计监督制度应当符合下列要求：（一）记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确，并相互分离、相互制约；（二）重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确；（三）财产清查的范围、期限和组织程序应当明确；（四）对会计资料定期进行内部审计的办法和程序应当明确”。2001年7月，财政部发布了《内部会计控制规范-基本规范（试行）》，规定，“单位负责人对本单位内部会计控制的建立健全及有效实施负责”。但是，无论是《会计法》还是《内部会计控制规范-基本规范（试行）》都存在一个问题，就是我国的企业负责人是指董事长还是总经理？这里应当明确的。笔者认为，我国股份制企业内部控制的责任主体应当为董事长，对于非股份制企业，则为（总）经理。

五、启示

　　明确管理当局是内部控制的责任主体的意义在于：

　　（1）管理当局应建立健全内部控制，保证企业目标的实现

　　内部控制是管理当局控制企业的重要手段，管理当局应当自发地对企业的各个过程实施内部控制。现在存在一种误解，认为内部控制仅仅是国家防止会计信息失真的手段，因而一些管理者对建立内部控制制度不积极，或者仅仅做表面文章，制定内部控制制度，却不切实实施，甚至带头破坏。事实上，健全的内部控制对管理者有益而无害。健全内部控制有助于提高企业经营效率，实现企业目标，防范经营和财务风险。如果企业领导对内部控制不重视，不建立并严格执行内部控制，将会导致效率低下、信息阻塞、腐败、盗窃横生。

　　（2）明确了管理当局对会计信息真实性的责任　管理当局应当对会计信息的真实性负责。如果披露虚假会计信息，管理当局应当承担相应的责任。为了保证会计信息的真实可靠，管理当局应当建立内部控制制度，保证交易的发生都经过了必要的授权，并进行了完整、连续、系统、真实的记录，按照会计准则和其他信息披露规范编制财务报告。如果企业提供虚假的会计信息，企业管理当局不能以不知情为由加以推脱，因为他有责任建立内部控制，并保证内部控制的有效运行。如果出现没有授权的经营活动，导致会计信息失真，说明他没有建立健全内部控制制度，没有履行内部控制制度的责任，应当承担责任。如果经营活动都经过授权，而出现虚假会计信息，那他就更应当承担相关的法律责任。明确管理当局对内部控制的责任为管理当局会计信息的真实性负责提供了必要的保证。

　　（3）使会计责任和审计责任更加明确

　　建立健全内部控制制度是企业管理当局的会计责任。注册会计师在对企业的财务报表进行审计的时候，要对企业的内部控制进行评估，以确定实质性测试的性质、内容、时间和范围，并可能对内部控制存在的问题对管理当局提出改进意见，甚至有可能应管理当局的委托，对企业的内部控制的设计和执行进行全面的评估，并提出评估报告。但是，这些都是注册会计师的咨询性服务，不能解除管理当局对内部控制的责任。

　　（4）管理当局应当根据本单位情况制定内部控制制度

　　内部控制是管理当局管理职能的一部分。管理活动不是一成不变的，而应当随着其所处的环境进行相机管理。因此，内部控制具有时间性和（环境）差异性。今天有效的内部控制，明天不一定有效。企业在制定内部控制制度后，应当从上至下坚持不懈地执行，但是，企业应当适时对内部控制进行评估，以发现可能存在的重大缺陷，并采取措施予以补救。也应当根据环境变化（如生产工艺、科技进步等）适时作出调整。同样地，这个企业有效的内部控制制度对其他企业不一定有效。内部控制跟企业的规模、人员素质等因素有关。因此，管理当局在制定内部控制时应根据本企业的实际情况。同时，内部控制的任何分工、审核、制衡，都必须考虑是否符合成本效益原则。如果分工和制衡的成本高于其效益，则不应当采用该项控制。如对于一些小企业而言，由于人员有限，职责划分可能不能象大企业那样细。但是判断一项控制的成本效益，并非易事，而往往需要较多的主观判断。需要指出的是，判断一项控制是否符合成本效益原则，应当站在企业整体利益的角度上考虑。如尽管一些控制会影响工作效率，但对整个企业来讲，如果不采用该项控制，则可能对企业造成更大损失，则仍应实施该项控制。

　　（5）应当定期评估内部控制的有效性并披露内部控制信息

　　管理当局对内部控制的责任并不仅仅是建立内部控制制度，还应当保证内部控制系统的有效运行。因此，管理当局应定期依据内部控制有效性评价的标准对本企业的内部控制的设计和执行的有效性进行评估，并将结果提供给外部信息使用者。为了提高内部控制报告的可信度，还应当由注册会计师进行验证。管理当局对本企业的内部控制最熟悉，最有能力对其进行评估，同时这也是管理当局的责任。而将对企业内部控制制度的评估结果报告给投资者，实际上是向委责者证明自己已经尽善良管理之责。内部控制报告有利于促进管理当局发现内部控制中的缺陷，改进内部控制，提高会计信息质量。但是，对于报告的格式和内容尚缺乏详细规定。而对于一般上市公司，我国仅要求在上市公告书中披露企业建立内部控制制度，年度报告中并无内部控制报告方面的要求（注：《公开发行证券公司信息披露的内容与格式准则第2号-年度报告的内容与格式（2001年修订稿）》第三十七条规定，监事会应对“公司决策程序是否合法，是否建立完善的内部控制制度”发表独立意见，但并未要求披露内部控制的详细信息。同时，监事会并非内部控制的责任主体，他们发表意见仅仅是对董事会和经理是否建立内部控制制度的一种监督。另外，一些企业已经提供内部控制报告，如中国石化武汉石油（集团）股份有限公司董事会于2001年9月4日发布了内部控制自我评价报告，对制订内部控制制度的基本原则、达到目标以及主要内控制度、控制系统、控制程序等进行评价。此前，陕西秦川机械发展股份有限公司董事会也于7月7日发布了自我评价报告。）。笔者认为，应当要求所有上市公司在其年报中披露内部控制的制定和运行的有效性。

　　[参考文献]

　　[1]　COSO.1992：Internal Control-Integrated Framework：Executi-ve Summary.

　　[2]　Johnson，Kenneth Paul.1980：Evaluating Internal conlrol.J-ohn Wile  sons，Inc.

　　[3]　陈郁（编）。所有权、控制权与激励-代理经济学文选[M].上海三联书店、上海人民出版社，1996.