第5章 国际内部控制的经验借鉴

以案说理 跨国企业：预算和费用网络报销，“系统”解决了“老大难”

AB公司是一家大型跨国企业，经过几年的快速发展，该公司已经成长为一个产品线齐全、产品种类丰富的超大型综合性的跨国企业。业务遍及中国、欧、澳、北美各地，产品市场占有率位列世界各大品牌前茅。不过，AB公司在财务运转方面也出现了瓶颈问题，促使其寻找解决之道。

AB公司的矛盾主要集中在以下两点：

一是手工流程周期过长。费用报销和预提申请都必须经过逐层审批，需要全部审批者通过才能完成整个流程。严格规范的人事制度使得报销和预提申请流程无法简化处理，一旦某个审批者出差在外，流程就被迫中断。

二是公司预算无法控制。预算的制订和分配自集团至各分子公司逐级进行，完全依靠手工操作。由于变动费用的弹性较大，手工操作无法随时统计并控制费用额度，导致有些市场促销工作不能及时开展，而有些预算却被浪费。同时变动费用的超预算部分还需要提交给集团进行审批，这又回到手工周期过长这一矛盾。

上述两大矛盾降低了AB公司的工作效率，也为业务部门的工作带来不便。AB公司与软件商商定，通过软件优化处理，将实施重点集中在费用报销和预算控制两个方面：

首先，对于费用的申请和审批采用工作流实现流程化管理。单据都在线填写并进行审批，系统会自动将员工的申请单据与报销单据进行关联，供审批者核实。系统提供了三种单据查询方式，普通员工和管理者根据各自的权限设定可对已提交的单据进行分类查询，便于随时查看费用报销进展情况。

其次，在预算控制方面，不仅在填写单据时系统会自动给出变动费用预算的相关信息，同时在提交单据时与预算控制相互关联。如果费用在预算内，则按设定好的报销流程进行；若超出预算则需要更高级别的审批人进行审批，系统自动进入超预算流程。同时设置了变动费用和固定费用两个模块分类控制：固定费用按照正常的申请审批流程运转，变动费用分为计提和报销两大部分，软件商分别设计了申请以及审批流程。变动费用的报销需根据计提申请单才能生成报销单据。基于业务需要，计提单可多次报销，一张报销单也可对应多张计提单。生成的报销单中会显示申请金额、已报销金额、审批中金额、剩余金额，以便申请人控制预算。

网上预算和费用报销解决方案以工作流为驱动，将原先的手工操作电子化，使得AB公司在以下方面获益匪浅：

一是提高了工作效率。网上预算和费用报销系统允许在单据提交之前可将其保存为草稿反复修改，长期出差在外的员工可利用为日常费用记录单，方便记账。不再需要拿着单据在各审批人之间来回折返，系统通过邮件提醒审批者有亟待审批的费用，并自动在审批结束后进入下一个与物理单据的审核流程，最后报财务部门等待付现。

二是提升审批透明度和员工满意度。系统通过权限设置提供不同级别的查询功能。普通员工可以看到自己所有申报的费用报销记录，并可点击查看单项费用的审批记录。申请人能随时查看自己所申报费用的审批进展，如果申请被拒，系统则要求审批者必须输入拒绝理由，使申请人能根据审批意见及时做出修改或撤销申请。企业通过费用报销和预算管理系统提升了审批的透明度，也提高了员工的满意度。

三是加强预算管理，控制运营成本。系统加强了AB公司对企业预算的控制。系统可以按月度规划分公司、部门的办公室经费、通信、差旅等固定费用以及用于市场促销活动等的变动费用预算。系统提供预算与实际成本的对比报表，有助于主管了解在哪些方面的支出超过了预算，可节约不必要的浪费并对运营成本加强控制。

“案例简评”

通过大型跨国企业AB公司使用了基于信息网络技术的费用报销系统，利用工作流帮助企业将手工报销流程电子化，还通过预算控制对企业运营成本进行监控，其成功经验可为受困于同样难题的企业借鉴。因为，对于大型的企事业单位，加强费用内控是管理方面的一大难题。通常，与企业日常运营密切相关的费用管理包含报销和预算两个组成部分，而大多数企业采用的手工流程一方面存在报销周期过长的弊端，另一方面也不能很好地控制预算和实际发生的费用，显然已远远落后于现代化的发展要求。

对探求内部控制之道而言，睿智的先行者是不可缺少的，他可使我们少走许多冤枉路，更不致走错了路。借鉴一些国际起步比较早、控制比较实的内部控制经验，使得我们少走弯路，自然是一种合适的选择。从国际学术界对内部控制的理论性论证，到国外集团实务界控制思想的演变、控制机制的变迁和控制模式的变革，再到当今世界主流性内部控制政策架构的比较，都会给我们开拓一些视野，充实一份理智。

5.1 国际内部控制的理论探索

作者在系统检索和研究国外内部控制相关文献的基础上，参照国内有关专家的分类，拟将国外关于内部控制研究的文献根据内容分为如下五类：关于内部控制查错防弊功能的理论研究；关于记录和了解内部控制的研究；关于内部控制效果评价的研究；关于内部控制与符合性测试、实质性测试的关系研究；关于内部控制实施和披露的研究，本章通过更加细化的分类视角来进一步追寻“先行者”的步伐。

5.1.1 基于内控与查错防弊的视角

最早的内部控制源于查错防弊的本能需要。丹尼斯·卡普兰（Dennis Cap-lan，1999）研究了内部控制和舞弊的关系，通过建立模型研究在管理层可以选择内部控制的强弱却又凌驾在内部控制之上的背景下，外部审计师调查舞弊的情况。结论认为在管理层有较强舞弊动机时，更倾向于选择较弱的内部控制，因此，内部控制的选择可以用于预测舞弊风险的大小；只要常规的审计程序无法辨别错误与舞弊，弱的内部控制就可以掩藏舞弊；由于审计师希望发现无数的错误，所以可能会忽视舞弊的相关证据；在内部控制较弱的时候，审计师通常花费较少的精力在内部控制上；当有舞弊倾向的管理层选择较弱的内部控制时，审计失败的概率更高。

有的专家研究了内部控制与管理层激励计划的关系，将审计问题与道德风险问题整合在一起，以便从所有者角度来确定管理层的激励计划。研究认为：所有者对管理层的业绩衡量主要取决于审计师所提供的审计报告。在符合性测试能够确保完美的假设下，形成了管理层和所有者之间的零和博弈。如果所有者雇佣独立审计师对内部控制进行测试，博弈的整体结果将得到改善。

5.1.2 基于内控记录和了解的视角

关于记录和了解内部控制的研究又可以细分为规范研究和实证研究两个方面。

在规范研究方面，比较典型的文献主要包括：散克（Sack，1980）描述了一系列关键的内部控制；瓦萨海尔伊（Vasarhelyi，1980）、威灵汉（Willingham）和怀特（Wright，1985）建立了内部控制和误差的分类。贝耶塔（Baileyetal，1985）建立了全面的计算机决策支持系统，来帮助记录和了解EDP部门的内部控制。

在实证研究方面，比较典型的文献是詹姆斯·劳埃德·比尔斯坦克（James Lloyd Bierstaker）和阿诺德·怀特（Arnold Wright，2004）的一篇论文。他们研究了风险审计方法对内控记录的影响，收集了高级审计师和23位审计经理与合伙人在使用经营风险审计方法前后的数据来确定审计师所喜欢的内控记录形式和所使用的形式数量是否已经发生了改变。结果显示，与以前相比，审计师使用描述法记录内控的情形显著增加，对其他形式（如流程图或调查问卷等）的依赖显著地减少。审计师依赖描述法主要是为了提高审计效率，而且这种形式的灵活性与新的审计方法相适应。但是，如果审计师单纯依赖一种形式记录内控，可能会忽略内部控制的重大缺陷。此外，由于新的审计方法更加关注企业经营流程，内控测试的频率就显著提高了。

通常认为：增加新的内部控制程序能够导致内部控制的可靠性会提高。一些学者试图用科学模型去证明这一结论。G·博纳（G。Bodnar，1975）通过建立模型来衡量内部控制的可靠性，结果发现，随着新内控措施的引进，内部控制的可靠性在下降，这一结论与人们的常识相违背。瑞金·P ·斯雅弗斯塔弗（Rajen-dra P。Strivastava，1985）建立了一个包含系列控制措施的内控系统模型解释了G·博纳（1975）的悖论，模型表明内部控制输出信息的可靠性可能会随着新控制措施的增加而增加或减少。如果一种控制措施能够以较高概率拒绝错误的输入信息并且该措施将正确的信息误读为错误信息的概率较低，那么这种新的控制措施引入内部控制系统会增加内部控制系统的可靠性；如果一种控制措施不能纠正错误的输入信息并且可能将正确的信息误读为错误信息，那么这种新的控制措施引入内部控制系统会降低内部控制系统的可靠性。

斯雅弗斯塔弗（1983）、斯利尼德黑（Srinidhi）和瓦萨海尔伊（Vasarhelyi，1986）使用工程机械学的理论建立了相关模型，将会计循环和相关控制纳入模型。巴菲德（Barfield，1975）使用Markov过程建立了内部控制过程的时间序列模型。这些模型全面考虑了误差的条件概率，详细地分析了各种内部控制之间的相关性。但是，这些模型的应用并不广泛，主要是因为在实践中使用这些模型成本会比较高，此外，这些模型的假设也难以被实务界接受。

上述关于了解和记录内部控制的文献有助于科学的记录和了解企业的内部控制。然而，这些预测或者解释审计师应该如何记录和了解内部控制的文献是难以检验的。在记录和了解内控的过程中，审计师的执行的程序和所作的决策是非常重要的。所以，对审计师的程序和决策的研究可能是未来一个具有重要意义的研究领域。

5.1.3 基于内控之效果评价的视角

内部控制评价与计划的理论研究文献在内部控制的研究文献中所占的比重是最大的。这类研究可以划分为两种类型：行为研究和调查问卷。行为研究中通常要求作为实验主体审计师或者学生对各种内控案例做出反应，而调查问卷是要求审计师回答关于内控计划和评价的政策与实务的问题。

行为研究在确认那些容易引起审计师判断差异的内部控制方面发挥了重要作用，这类研究使用线性模型来回归实验主体的决策。早期的内部控制评价行为研究的代表作是阿施顿（Ashton，1974）的一篇文章。阿施顿（1974）分别将32个内部控制案例分发给执业审计师，以发现审计师在内部控制判断方面不一致的程度。结果表明单个审计师的判断在不同的案例中保持了高度的一致，而不同审计师的判断之间也保持了较好的一致性。在整个评价过程中职责分工被认为是最重要的内控设计因素。会计师事务所和审计师的两个经验变量在统计上并不显著。后来，很多研究者使用执业审计师做实验主体重复了阿施顿（1974）的工作，都认为职责分工的变量能够解释审计判断变化的50%以上汉密尔顿和怀特（Hamilton and Wright，1977，1981，1982）；阿施顿和布朗（Brown，1980）。但是阿施顿和卡莫（Kramer，1980）使用会计系的学生作为实验主体重复实验时，职责分工的变量只能解释审计判断变化的37%。这些结果说明执业经验和判断对内部控制评价有重要影响。朝特曼（Trotman）、耶顿（Yetton）和齐默尔（Zimmer，1983）在研究团队的内部控制评价时得出了相同的结论。塔博（Tabor，1983）发现的审计师内部控制判断的一致性水平与阿施顿（1974）一致，但是发现不同事务所在进行内控判断后选择样本的规模存在着差异。

内部控制评价方面的调查问卷之代表作出自吉宾斯（Gibbins）和沃夫（Wolf，1982）之手。他们在审计过程中选择了的5个审计点，邀请80个审计师评价39个变量对审计师行为的影响。在内控计划和评价阶段（第二个审计点），四个最重要的影响因素依次是：客户内部控制状况、客户会计系统、审计经理胜任能力和事务所审计方法。吉宾斯和沃夫（1982）发现环境变量的重要性在整个审计过程中是不断变化的。

由于内部控制评价具有很强的主观性，一些学者试图通过建立数学模型帮助审计师评价客户的内部控制，提高内部控制评价的一致性和稳定性。塞伯加·于（Seibgjae Yu）和约翰·尼特（John Neter）曾经建立了一个随机模型以便从数量上客观评价内部控制系统的可靠性，这有助于审计师在数量上评价内控之弱点，此外，审计师还可以使用该模型进行审计抽样。詹姆斯·M ·彼德斯（James M。Peters）和杰弗森·T ·戴维斯（Jefferson T。Davis，2004）建立了使用Access数据库以及三张Excel表格建立了规范决策工具来帮助审计师选择内部控制中的关键点。

5.1.4 基于内控与两个测试的视角

审计理论认为审计师通过了解内部控制、进行内部控制测试可以帮助审计师确定实质性测试的范围，然而，实际中审计师是否真正将这些理论用于实践呢？莫瑞斯（Morris）和安德森（Anderson，1976）研究了14家审计客户的工作底稿并试图将内部控制的变化与审计师实质性测试的变化联系在一起。他们没有发现审计在内控评价方面的变化与审计师实质性测试相关，然而他们既没有考虑事务所技术的影响也没有考虑降低风险与证明自己审计意见合理之前的区别。威灵汉和怀特（1985）也发现审计师对内部控制的变化不敏感。拜丁·费德（Beding field，1975）和安斯瑞施（Asresh，1980）描述了符合性测试与统计方法使用的频率。尼尔斯（Niles，1984）发现同样的控制制度下，审计师在符合测试误差率不同的情况下没能发现内部控制系统的可靠性的差异。

与前几篇文献不同，另外一些学者发现审计师对内部控制的判断会影响实质性测试的范围。莫克（Mock）和托纳（Turner，1979）使用了内控质量不断变化的案例进行了实验。一组执业审计师接到的是内控由弱变强的案例，另一组执业审计师接到的是内控环境由弱变为中等的案例。结果发现内控由弱变强的案例组实质性测试的规模显著小于对照组。弗瑞斯（Ferris）和托纳特（Tennant，1984）检验了内部控制的质量方面对审计师评价的影响，他们发现审计师对符合性测试误差可能带来的金额的影响以及实质性测试的使用是敏感的。

为了帮助审计师将内部控制与符合性测试、实质性测试更好地联系起来，一些学者使用贝叶斯理论建立了相关模型。基尼（Kinney，1975）使用决策理论建立了符合性测试计划和实质性测试计划的关系模型，得到了最佳的符合性测试样本规模。他的分析也可用于计算可容忍的符合性测试方差的上限。格瑞姆朗德（Grimlund，1982）使用贝叶斯模型建立了符合性测试误差与账户余额误差之间的关系模型。他假设事后的符合性测试误差的主观概率分布能转化成余额误差的发生率和发生额的事前概率。

5.1.5 基于内控实施和披露的视角

除了内控的理论与模型研究外，一些文献研究了内部控制在实际应用中的情况，即内控设计、执行和披露的情况。L。D。埃塞林顿（L。D。Etherington）和I。M。乔丹（I。M。Gordon，1985）在文献回顾的基础上，通过向608家加拿大公司发放调查问卷，来了解加拿大内部控制的实践以及管理层对这些实践的评价。论文使用了统计方法对相关数据进行了处理，得出如下结论：①管理层对内部控制的定义相当广泛，包括会计控制和集团内部控制；②内部审计在内部控制系统中发挥了重要作用；③计算机系统的内部控制是一个重要的问题，电子数据处理风险被认为是内部控制中最高的一种风险，这涉及审计师有效审计计算机系统的能力问题；④与其他经理相比，数据处理部门的经理更加不相信公司使用内部控制交流和执行内部控制的能力；⑤非正式公司的内部控制比正式公司的内部控制困难更大；⑥地理上的分散被认为是一个重要的内部控制风险；⑦尽管有差异存在，加拿大和美国的内部控制环境还是比较相似的，受到反国外贿赂法影响的加拿大公司在内部控制系统上经历了类似的显著变化；⑧加拿大内部控制的实践是多种多样的，但是很难从调查的结果中总结出内部控制标准。菲利普·J·坎德弗（Philip J。Candreva，2006）介绍了美国审计总署（GAO）最近发表了两个关于政府机关执行行政管理预算局A-123通知（该通知与萨班斯法案的内容高度一致）情况的报告，报告显示三个政府机关建立了很好的内部控制措施，但是都缺乏对这些控制措施的监督和评价。因此，美国审计总署建议加强对内部控制措施的控制与管理。

在内部控制披露方面，海塞·M·合曼森（Heather M。Hermanson，2000）对九类财务报告使用者发放了调查问卷以分析内部控制报告的需求。调查问卷主要包括三方面的内容：①内部控制调查报告是否有用；②内部控制管理报告是否影响决策；③增加内部控制管理报告能否改善财务报告。此外，还检验了调查问卷的回答会不会因为内控定义（广义经营上的定义和狭义的财务报告的定义）和报告使用者的不同而不同。结果表明财务报告使用者一致认为内部控制是重要的；自愿的内部控制报告会改善内部控制并且为决策提供了增量信息；强制的内部控制披露也有助于改善内部控制，但是对决策没有价值；在使用广义的内部控制定义时，被调查者强烈认为内部控制报告能改善内部控制并且更好地表明了企业的持续经营能力；与个人投资者和内部审计师相比，企业管理层更加不认同内部控制报告的价值。

基·威利（Ge Weili）和塞若·E·马克维（Sarah E。McVay，2005）对261家披露内部控制缺陷的上市公司进行了研究，结果发现不充分的会计资源构成了内部控制缺陷的绝大部分。复杂的公司比简单的公司更容易存在内控的重大缺陷，披露的内部控制缺陷主要集中于期末会计程序、收入的确认、会计调整以及职责划分等方面。

从上文对国外内部控制文献的回顾，我们可以看出国外的内部控制研究大多都是基于严格的理论和检验的基础上的，表现出很强的历史逻辑性和可验证性。我国在内部控制的模型构建、实验研究与调查研究几乎是一片空白。在今后的研究中，关于重要的内部控制要素、内控评价的一致性、内控评价与符合性测试、实质性测试关系的经验研究将是极具理论价值和实践价值的研究领域。

5.2 国外集团控制的思想演变

国外对母子公司控制问题的研究是伴随着母子公司的兴起而发展的，1889年，美国新泽西州修改了普通公司法，允许注册成立控股公司，随后的1890年，美国又制定了《谢尔曼反托拉斯法》，宣布卡特尔和托拉斯为非法。此后，一种新的企业组织形式——以资本为纽带的母子公司形式开始出现在美国，并在此后的企业演变过程中得到了迅速发展，逐步在各发达国家的经济生活中占据了主导地位，由此母子公司控制问题也成为了管理界持续争议的热点，由于经济学理论的多样性和管理学理论的权变性，使得母子公司控制问题演变成了一个涉及法律、经济和管理等领域的多维度复杂问题，以至于母子公司之间根本无法采用一个通用的模式来决定控制子公司的方式。

我们依据历史的观点，按照母子公司发展的历史轨迹，将国外有关母子公司的控制思想发展分为三个阶段，并以这三个阶段为刻度，对母子公司控制思想的主要观点进行阐述。

5.2.1 母公司职能之控制思想

现代工业企业最显著的特征是纵向一体化，即在单一企业内包含了许多工厂、销售办事处、采购中心、运输部门以及一些原材料和半成品的加工部门，使得大规模生产和大规模分销融为一体。

20世纪20、30年代，美国出现了一大批集大规模采购、生产和分销于一体的跨地区经营的母子公司控股企业。为了适应生产经营活动的需要，一体化的母子公司开创了一系列的组织变革。美国的杜邦公司创造了一种精心设计的中央集权式职能控制体制和运行机制，这种体制和机制的建立，是以母公司作为企业最高行政管理中心为出发点，子公司作为被管理和约束的对象，母公司按照专业化的原则，通过设立专门的职能部门和雇用庞大的专业技术人员对子公司生产经营活动的各个方面进行控制，母子公司之间通过职能部门的归口管理，充分发挥母公司职能部门的作用，使企业的大多数经营决策权决定在母公司手中。

母公司职能控制的思想，可以在经济学中的规模经济理论、经验效应理论及交易成本理论中得到很好的解释。

规模经济是指在技术条件不变的前提下，随着企业各种投入要素的增加，企业生产规模的扩大，导致单位产品成本下降。这种现象既可能存在于公司进行的任何活动中，如从研究到服务的一系列活动，又可以存在于许多产业之中。它表现为规模收益递增，即生产规模扩大以后，收益增加的幅度大于规模扩大的幅度。规模经济反映了生产规模变化与成本价格之间的变动关系。以一定技术水平为基础的生产规模的变化，可能导致生产成本的变化，进而导致产品销售价格的变化，而成本和价格又从不同的方向决定一种生产规模经济或不经济。也就是说，规模经济是人们根据生产要素及其组合变化，通过科学地选择和控制生产规模。

1937年科斯在《企业的性质》一书中解释了企业在一个专业化的交换经济中出现的根本原因，他认为企业作为一种经济组织是对市场机制的替代，这种替代能够节约交易费用。科斯的交易成本理论成功地解释了企业一体化的主要原因，那就是一体化企业可能节约组织成本。企业可以通过以内部的行政协调，把纯粹市场行为转变成企业内部受到监督的交易关系或组织关系，从而大大减少了企业的组织管理成本，以保证企业规模经济的运行。因此，主体企业开始尝试运用合理的法律方式，通过资本的控制，建立一体化的母子公司体制，将市场化的交易方式转变为母子公司之间相对的市场关系。这种关系，一方面节约了交易费用，另一方面，多个企业的联合，也可以节约行政管理费用。因此，以母子公司形成的以母公司为主体的一体化企业能够使市场协调和企业内部协调相互并存、相互替代，这就是一体化企业产生和发展的主要原因。

一体化的母子公司体制，不仅可以通过规模扩大、经验积累获得规模经济的经验效应，带来产品单位成本的降低，而且企业还可以通过以内部的行政协调，把纯粹市场行为转变成企业内部受到监督的交易关系或组织关系，从而大大减少了企业的组织管理成本。归纳起来，母公司职能控制思想主要涉及以下方面：

一是控制是母公司“天生”的职能，母公司管理者在财务、计划方面的专长就可以进行成功的管理，采取什么控制方式，以母公司设置的职能部门为导向；

二是各个子公司的地位是平等的，公司总部采取一视同仁的态度对他们进行控制；

三是子公司只是生产单位，作为母公司的一个成本中心，几乎没有经营决策权，子公司的一切生产经营活动都须经过母公司批准；

四是产出结果与发生原因的关系是事先知道的，所以可以事先设定好预期目标，可以通过母公司的判断对偏差作出纠正。

以母公司职能控制思想设计的控制机制，是一种自上而下、单对单的模式。母公司从自身职能出发，主要关心如何在组织结构中获得集权与分权的平衡、如何逐一对所有子公司进行监督管理，对表现不佳的子公司进行干预和矫正。这种母公司职能控制操作简单，很少涉及令人头疼的、灵活的非正式控制机制，而且即便控制效果不好，对公司总部也不会造成任何影响。

5.2.2 子公司业务之控制思想

第二次世界大战以后，越来越多的美国公司相继走上了多元化成长的道路，随着多元化公司的成长扩张，业务规模和经营范围越来越大，母公司再要对经营不同性质业务的子公司进行管理，就显得力不从心了。与此同时，子公司地位也越来越重要，一些子公司历经长时间的积累，已经发展成为势力强大、割据一方的封疆大吏，他们很少依赖母公司的资源和能力，而是更多的依赖与之相互作用的外部环境及其他子公司。集团内部控制如果稍有不慎，这些子公司的活动就会偏离母公司的总体战略方向，造成严重的价值破坏。

在这种情况下，出现了以子公司业务为中心的控制思想，母公司通过向子公司授予相当程度的经营权以及设置必要的业绩考核指标，使子公司能够对其自身经营业务进行独立的投资和运营。

子公司业务控制的思想，可以在经济学中的范围经济理论和管理学中的股东理论中得到很好的解释：

范围经济是指当一个企业生产和出售多种产品的成本，要低于单独生产和出售同样数量的单一产品成本，这种现象称为范围经济。范围经济产生的原因是不可分割的生产要素在多种用途上得到了充分利用，进而产生了对该种生产要素成本的节约。要想获得范围经济，企业必须生产两种或两种以上的产品，并且充分利用生产两种或两种以上产品的共同要素，从而导致单位商品生产成本的降低。开发和利用范围经济的关键是不仅找到产品间能够共同使用的生产要素，而且这种生产要素同时也是这些产品能够在市场上成功的关键因素，尽管在产业内扩张看起来是获得范围经济的简单途径，但这种追求利益的心情常常掩盖这样一个事实：即产业内的各个细分市场可能具有不同的关键成功因素，形成了企业开发利用范围经济的障碍。

股东理论认为股东是企业最终的委托人，因此，公司经营必须符合股东的利益，企业生产经营活动以实现公司股东价值最大化为目标，而且作为权益投资者，股东是公司投资者中唯一没有契约保证固定回报的经济参与者，股东承担了所有的剩余风险，因此股东应该有权对是否将资源配置到可使剩余价值最大化的投资做出决策。股东价值实现最大化，不仅能使企业的顾客、雇员、供应商及其他利益相关者受益，让企业的业绩出众，而且会带动整个社会经济的发展。

分权化的子公司业务控制体制，可以大大缓解母公司职能部门计划、协调、评价的压力，而母公司则更多地采用业务组合规划的方法，重点对母公司投资的行业或产品线进行重组和资源配置活动，使母公司在获得范围经济的同时，让子公司充分发挥积极性和创造性，为母公司创造更多的价值，实现母公司财务指标，满足母公司股东价值最大化的要求。

归纳起来，子公司业务控制思想主要涉及以下方面：①母公司的控制更多的是进行协同控制，往往采用市场的方式，通过内部转移价格对子公司进行控制，采取什么样控制方式，以母公司的组织结构为导向；②子公司由于行业性质不同，母公司实行政策管制集中化、业务运作分权化做法，母公司侧重于研究和制定总目标、总方针及各项政策，子公司经营活动只要不违背母公司的总目标、总方针、总计划，就可以完全自主进行经营活动；③子公司是母公司价值创造的单位和利润中心，具有相当的经营决策权，甚至子公司可以自己决定投资的方向；④产出结果与发生原因的关系具有极大不确定性，母公司因此放弃了对过程的控制，而只是对事先计划与产出结果的指标进行控制，出现偏差往往通过调整子公司高层管理人员或进行业务的重新组合进行事后的纠正。

总的来看，由于子公司角色的战略重要性日益突出，而各个子公司所处的环境及其在企业内部扮演的角色、承担的职责、发挥的作用都有很大差别，这就要求母公司能够根据不同的角色需要来实施灵活的控制管理。母公司管理者的精力和能力总有一定的限度，他们对下属子公司的控制无法做到面面俱到，最好的选择方式是将一定程度的决策权授予子公司，因此在企业中实际包含了两个以上的决策层级，也就是说，企业中不仅存在母公司的决策层，而且子公司也有权对符合自身发展要求的事项进行决策。

5.2.3 集团母合优势控制思想

20世纪80年代中期，许多大型集团通过对业务进行组合，根据不同的战略特征来平衡其业务组合，并确保公司未来的成长。进入20世纪90年代以来，公司规模扩大化和经营多元化趋势有了改变，研究表明，经营业务集中的公司比多元化公司要运作得更好。出现这种现象的根本原因在于母公司对价值创造的破坏行为抵销了其关注价值创造的机会，母公司所建立的核心竞争力也许会为多种不同业务的某些特殊方面增加价值，但它并不能在总体上保障一家公司能够成功地管理这些不同的业务，由于母公司未能清晰地辨别不同业务中的关键成功因素，可能导致的价值破坏会超过分享核心能力所带来的价值，母公司可能破坏更多的价值。

英国学者古尔德等提出母合优势理论，认为母公司必须：①能够提高业务组合子公司的绩效，而且能够洞见价值创造的机会和条件；②具备与母合优势匹配的特征；③对自己的核心业务有明确的标准，并坚定地将自己的业务组织建立于核心区。

母合优势的控制思想，可以在经济学中的委托代理理论、协同效应理论和管理学中核心竞争优势理论中得到很好的解释。

委托代理理论认为，为使委托人与代理人的利益目标偏离得到最大可能的矫正，委托人就要设置恰当的激励机制，在花费一定监察费用的代价下设计出各种规则限制代理人的变异行为。这种理论使我们认识到，在现代企业，由于两权分离，普遍存在着委托代理关系，而这种资本所有者和管理者的代理关系必定会产生代理成本，因此如何调整母子公司之间的委托代理关系，减少由代理人成本所引发的利益冲突，是母公司控制思想的一个主要目标。

协同效应理论是指两个或两个以上企业组合在一起，其产出比原先两个企业的产出之和还要大的情形。协同效应理论最早由安索夫（Ansoff，1965）提出，安索夫借助投资回报公式指出，协同效应可能产生于业务联合增加的销售收入、降低运营成本、压缩投资需求的规模经济效益，以及将管理知识和经验应用于其他企业，改善新企业的管理决策。因此，在母子公司控制中，当协同效应由于操作欠缺而导致企业经营失利时，企业的多元化不可避免地要饱受非议。

核心竞争优势理论是指企业在市场活动中，通过制定适当的战略、发挥独特的能力，能够以竞争对手难以模仿的形式开展生产经营活动，从而以低于其竞争对手的价格出售产品，获得比竞争对手高的超额价值。核心竞争优势理论是在迈克尔·波特提出的企业竞争优势基础上对竞争优势来源的进一步探究。主要涉及以下三个问题：①竞争优势之源是什么，即什么带来了竞争优势；②竞争优势之“源”是通过什么样方式表现出来的，即“源”与企业绩效之间的内在逻辑关系是什么；③如何才能保持竞争优势，即要回答竞争优势的“可持续性问题”。

母合优势的母子公司控制体制，重点关注母公司的能力与不同业务单位需要相匹配，公司价值的创造，不仅是子公司的责任，母公司也必须通过业务影响、联结影响、职能与服务影响和兼并收购方式为企业创造价值。母合优势的母子公司控制，可以使我们更清晰地认识母公司在企业价值创造中的作用，母公司与子公司之间的关系以是否可以产生价值创造为前提，特别对于母公司来说，必须了解自己的优势领域，明确自己价值创造的见解，减少价值破坏的行为。

如何赢得集团的母合优势，一些知名集团的经验证明：母合优势的核心在于企业价值观和内在思维逻辑的协同。集团母合优势也产生于集团总部的管理协同。这种协同效应发源于集团总部在战略定位、战略取舍、战略配置和战略转型方面的战略管理能力，在核心业务平台打造、资金筹措、人才吸纳、品牌建设等方面的资源融聚能力，以及在子公司高管团队配置、母子公司管控架构调整、战略实施推进、信息集散方面的组织配置能力。母合优势在具体操作层面则体现为多维度、网络状的业务协同。例如，商业地产业务与零售业务之间，地产、酒店、物业、零售联动，形成投资、开发、运营一体化的商业地产发展模式；工业地产、商业地产与高科技制造业务的紧密结合，形成了区域整体规划及产业配套的城市新兴区域发展模式。在此模式下，集团可以更好地为地方政府提供区域整体规划及多种产业配套的系统资源，实现长期持续的区域整体发展和产业升级、消费升级，经过一段时期的发展，集团给所在地区留下的不仅仅是一个工厂或几栋楼，而是一座工商业复合有机发展的“新城”。通过集团旗下不同产业之间形成的零售业务协同，形成相互借力与提升的城市零售渠道发展模式和高端消费品销售模式；贸易与工业制造、零售业务协同，提供完整的供应链管理；金融与各产业协同，为各产业提供专业的产业研究和战略咨询服务。

归纳起来，母合优势的控制思想主要涉及以下方面：

一是母公司对子公司的控制以母公司的能力和资源为基础，母公司须寻找的关键控制点，应该能够增加企业的整体价值，价值创造的来源不仅在于子公司，母公司也必须进行价值创造；

二是母子公司控制的主要方向是能够提高母子公司的战略协同性，保证母子公司获得持续发展的核心竞争能力，以及提高母子公司对资源的控制优势；

三是产出结果与发生原因的关系具有极大不确定性，特别是对于母公司通过兼并收购形成的子公司控制，出现偏差往往通过调整高层管理人员进行事后的纠正。

5.3 国外集团控制的机制形成

集团框架下的内部控制不同于一般单体企业，它是一种具有独立法人地位的企业之间通过股权联结的方式形成的由多个法人组成的联合体，内部既存在市场机制，又存在行政关系，同时母公司和子公司的经理人员都拥有相应的决策权，这种决策分工与分属体系不同必然导致母子公司之间控制机制的复杂性。国外的学者对影响母子公司控制形成原因的研究很多，我们按照母子公司控制的层次性，主要从以下三个方面对母子公司控制机制形成的因素进行阐述。

5.3.1 企业治理结构

母子公司是母公司通过持有子公司股权实现母公司资本与子公司利益的联合体，母公司与子公司都是独立的法人实体，各自享有决策权和经营自主权，在企业内部，也存在着所有权与经营权的分离现象，而由此带来的公司治理问题在母子公司之间也同样存在，因此，母子公司之间的治理结构必然会对母子公司控制机制的形成产生影响。

美国商业圆桌会议1997年发表的《公司治理结构说明》，实质上从其给出的定义中已经指出了其对控制系统的影响，他们认为“公司治理结构不是抽象的目标，而是股东、董事会成员、管理团队在最有效地追求公司运行目标的过程中，为公司追求其目标提供一套结构或称制度安排”。“公司治理结构决定了谁在什么状态下实施控制，如何进行控制以及风险和收益如何在不同企业成员之间分配等这样一些问题。”（张维迎，1999）。

与母子公司治理相关的当事人有：股东、董事会、经营者。这些当事人，构成了母子公司治理的组织结构，三者之间形成一定的制衡关系，其中董事会在公司治理结构中居于主导地位，是实现母子公司控制关系的前提和基础。

董事会受股东委托负责公司战略和资产经营，监督和制约经营者的主要决策，并在必要时撤换不称职的管理人员。在美国，通常主要有两种类型的董事，即外部独立董事和内部执行董事。董事会一般提供四项基本功能，即制定战略、确定政策、监督管理和承担责任。但在具体实践中，董事会的活动差异很大，在一个极端，董事会只是任命首席执行官并赋予充分的权力，而将干预维持在最低程度；在另一个极端，董事会把自己作为最高管理者的管理者，提出或批准所有重要决策。

母公司中有无审计委员会、审计委员会的实质作用如何，对子公司的控制系统也有显著影响。由审计委员会对集团内部控制的效率、效果与财务报告的可靠性进行监督，是企业内部的一种监督，包括事前、事中与事后三个时间段的监督。同时，审计委员会能否正确处理与子公司董事会、高层管理人员、财务总监之间的关系及信息的沟通与传递，能否科学、准确、客观、公正的指导集团内部控制制度、监督内部审计部门对集团内部控制的检查情况、调查和监督子公司法规遵循情况与计划完成情况，是否仍有足够的权力与资源，以支撑各项功能的履行，这些都对母子公司控制系统发挥深刻而广泛的影响。

5.3.2 企业发展战略

“领导我们事业的核心力量是中国共产党，指导我们思想的理论基础是马克思、列宁主义”。这句话曾经是20世纪几十年间中国人耳濡目染的一句时代语言，我们今天如果从企业发展战略的视角来借鉴，它依然证明了一种长远战略、企业愿景的相当重要性。由此推论，集团实施发展战略层面的控制是天经地义的策略。母公司战略作为影响母子公司关系的重要因素，在母子公司控制机制形成过程中起着决定性作用。在企业内部，存在着两层战略关系，即母公司层面的战略和子公司层面的业务战略，前者致力于确定经营活动的范围及其资源配置，而后者则致力于如何在一个特定的产业或产品市场中开展竞争。波特在《从竞争优势到公司战略》一文中指出“公司战略是从事多元化经营公司的总体规划，它关注两个不同的问题：公司应从事哪些业务和公司管理层应该如何管理大量业务单位，而业务层的竞争战略关注每一个参与市场竞争的业务内公司如何创造竞争优势。”

不同的母公司战略决定着对子公司控制重点与方式的不同，理解母子公司的战略对母子公司控制关系的建立有着至关重要的影响。对于母公司而言，实施集团内部控制就是通过一套制度和方法保证公司战略目标和使命在整个企业中顺利实现，如果缺少科学合理的母子公司控制体系，组织结构的有效运行也就无从谈起，要么控制过于细致，统得过死，缺乏激励机制，从而导致子公司缺少效率和反应能力；要么失去控制，子公司各行其事，偏离集团的战略意图，甚至挥霍公司的资源、转移公司利益，出现不必要的企业内部消耗。

母公司实施对子公司战略控制主要通过直接和间接方式进行，直接方式是指母公司根据自身战略方向和实施计划，对子公司进行增加投资或减少投资的决定或者通过出售或并购对子公司进行重新组合，间接控制是指母公司制定政策、方针和相关制度，要求子公司遵照执行。

5.3.3 企业组织结构

企业的组织结构是企业内部各构成部分之间所确立关系的形式。母子公司的组织结构应考虑对企业内部公司的协调与控制。组织结构是母子公司控制的基础，可比喻成人体的“骨骼”，组织结构是母子公司控制体制及运行机制优化设计的前提。不同企业的组织结构，其集团内部控制方式与权限各具特点。

1.职能式组织结构

职能式组织结构，其典型特征是在管理分工下实行中央集权控制。母公司按职能划分为若干部门，各个部门按照归口管理的原则，对子公司各项事务进行审核、审批，进行严格的控制。在整个职能组织结构中，管理人员分为两类：一类是直线指挥人员，他们可以对下级发号施令；另一类是职能人员，他们只能对下级机构进行业务指导，但如果得到直线指挥人员的授权，这些职能部门也可直接向下级发布指令。母公司对子公司最典型的职能控制是对子公司财务的控制，母公司财务部作为统一的权力机构，对整个集团业的资金筹集、运用、利润分配，甚至财务人员的委派任用都实行高度集中的管理，以行政关系统辖下属子公司。

职能式组织结构的优势：可以做到集中统一，并能迅速、严格地控制协调下属子公司为企业服务。但过于集权的结构也有其自身的缺点，当企业的规模变得很大时，母公司的管理幅度过大，加大了行政管理费用，母公司不能集中精力于企业的长期发展战略。采用职能式组织结构的企业大多以母公司为核心企业，适当多种经营，以母公司产品作为企业生产计划的核心，母公司与子公司之间不仅存在着产权关系，而且在生产经营上也存在着极高的依赖关系。

2.事业部组织结构

事业部组织结构，其典型特征是在企业内对于具有独立产品和市场、独立责任和利益的部门实行分权管理。事业部不具有独立法人地位，但拥有较大的经营自主权，可以独立核算、自负盈亏，母公司对子公司的控制通过事业部间接进行，母公司不直接参与子公司的经营管理，而只是通过产权关系，从行业角度对子公司进行产权管理和行业性的业务管理，整个企业控制系统分为三个控制层次，即以母公司为主体的投资控制、以事业部为主的一级利润控制、以子公司为主的次级利润控制和成本控制。

集团实行事业部结构，有效地实现了集权和分权的结合，母子公司之间的控制由于事业部中间管理层的出现，演变为间接控制，事业部对子公司日常的生产经营活动进行控制，而母公司作为企业的投资主体，可以通过对子公司重大人事变动、重大投资、筹资以及资金的统一调度实现对子公司的控制。

3.矩阵式组织结构

矩阵式组织结构，其典型特征是整合了企业内部的横向联系，出现了为了协调而设立的专门职位，这个职位不需要向参与合作的某个职能部门负责，他独立于各个部门之外，负责多个部门之间的协调。母公司对子公司的控制不仅通过职能部门进行专业化的控制，而且还通过专门设立的协调部门进行横向协同控制，子公司须向职能部门和协调部门同时报告，两个部门具有同样的职权。母公司对子公司的控制，可能会因为两个部门强调的侧重点不同而不断变化控制的内容和方式。

矩阵式组织结构的优势：在于它能使母子公司同时满足来自环境和顾客的双重要求。资源可以在不同产品之间灵活进行分配，企业能够适应不断变化的外界要求。矩阵式组织结构的劣势在于子公司要面对双重领导，母子公司的管理层需要耗用大量的时间召开会议进行相互之间的协调和沟通。

矩阵式组织结构使横向团队和传统的纵向科层一样正式化，并尽可能给予两者相同的权力，这种组织结构，结合了职能、事业部结构的优点，使企业可以同时专注于产品和职能，或产品和区域的双重领域。母公司对子公司的控制不仅通过职能部门进行专业化的控制，而且还通过专门设立的协调部门进行横向协同控制，子公司须向职能部门和协调部门同时报告。

5.4 国外集团控制的主要模式

国外对子公司的控制在长期发展和演变过程中，根据国家的文化和企业生产经营的特点，形成了一些具有突出特征的控制模式，这些控制模式主要有以下三种：

5.4.1 基于全球化发展的英美控制模式

英美国家的跨国公司是由本国的企业在国外进行直接投资而形成的，这些跨国公司，致力于在资本市场中完成资源配置，全球范围寻求降低产品的成本和开发有旺盛需求的销售市场。由于跨国公司的子公司在地理区位、地方市场、文化与法律规制及子公司可利用的人才与资源条件等方面存在着很大的不同，因此，英美跨国公司的母子公司控制模式是一种在全球范围进行地区控制或产品控制或两种控制结合在一起的矩阵控制模式。这种控制模式有如下特点：

一是本土化经营下的分权决策。分权决策在跨国公司中得到了普遍运用，当地国家的子公司拥有很大的自主权，这些子公司依靠当地的资源和市场，获取本地化的竞争优势，实现人才、原材料、资本等生产要素的低成本运用；

二是统一价值观下的文化控制。文化控制在跨国公司中处于重要地位，跨国公司利用组织文化来控制雇员的行为和心态，并且建立了一套强有力的，能为所有人遵守的基本准则、价值观、信念和传统。因此，跨国公司的子公司通常缺乏根深蒂固的当地国家文化的特色，在他们心目中最重要的是他们的公司，而不是他们的国家；

三是常态沟通下的统一协调。跨国公司的母子公司之间通常需要进行大量的协调工作，由于产品分部倾向强调诸如效率和世界产品目标，而地区分部则倾向于强调当地市场的调整，这些利益冲突意味着要在全球化和地区化之间寻求一种平衡。母公司对子公司控制的内容主要集中于横向协同控制，如全面预算控制和业绩评价控制。

5.4.2 基于精益生产的日本控制模式

日本企业基于精益生产的母子公司是建立在“子公司相互持股”和“劳动力终生雇用”基础上形成的。追求的是在母子公司整个协作体范围内进行资源配置，以寻求在长期合作过程中，通过母子公司的不断学习，持续降低产品制造成本。由于精益生产的需要，日本企业的母子公司通常分为三个层次：第一层次是总装厂或母公司；第二个层次是协作厂或子公司，这些协作厂之间的是相互持股的；第三个层次是专业零件制造商，是第二层协作厂的子公司。由这三个层次组成的母子公司通过分层持股和层次内公司相互持股，形成了一种高度模块化的控制模式。这种控制模式有如下特点：

一是层次间的母子公司是资本控制关系，而层次内公司之间的控制是相互的资本控制。总装厂通过协作厂分派模块化任务对协作厂的设计和质量进行控制，协作厂之间通过相互持股进行横向协同的相互控制；

二是总装厂的模块化任务通常只委派给一家协作厂生产，而协作厂下面一般有一组专业从事专项制造的独立公司，从而形成了金字塔形的协作控制体系；

三是总装厂与协作厂之间通过相互的合作，在相当长的时间内，进行成本降低的控制。对成本降低的控制一方面来源于协作厂自身的管理变革，一方面是总装厂不断要求协作厂降低成本的要求。母公司对子公司成本控制的最大特点是子公司每年的成本都必须以一定比例速率降低。

5.4.3 基于官僚制度的德国控制模式

德国的官僚制度母子公司是基于母公司利用自身内部积累再投资而形成的，这些母子公司，致力于通过公司内部积累进行资源配置，依靠严密的技术工艺和规范化的层级制度，制造高品质的产品。官僚控制主要是通过建立规范化的规章程序以及集中化的决策实现的，高效化的行政控制能够保证大型组织发挥更有效的职能作用，提高组织运行的有效性。因此，基于官僚化的德国母子公司控制的母公司中存在着庞大的职能部门和专业技术人员，职能部门和专业人员分属于不同的权力科层，按照规章和程序控制子公司大部分的生产经营活动，形成了母子公司控制的科层控制模式，这种模式具有以下特点：

一是为了提高官僚制度标准化和规范化，科层控制采取包括计划、预算、绩效评价、员工薪酬等方式建立集团内部控制系统，即事先设定目标，结果与目标对比，向管理者报告偏差以采取补救行动。这些控制方式的运用，使母子公司之间需经过科层级别进行逐级审核、批准以处理事项中的细节问题；

二是德国权力层级的建立，是基于技术能力来建立的，层级越高，其职位要求的技术能力越强。这种科层控制的技术特性决定了母公司对子公司控制是分散在母公司的职能部门内，而且涉及子公司大部分的生产经营活动，实施全面的业务指导；

三是高层的权力在德国官僚制度中是受到约束的。德国的大型企业实行共同决策原则，设立双层结构权力机构，两个机构通过建立人事任免、利益主体多元化机制，分别负责经营决策和监督，从而实现相互制衡，重大决策必须获得两个机构的一致通过。因此，德国的母公司通常鼓励子公司在没有其参与的情况下解决自身的问题，并创造利润。

5.5 国际内部控制主要流派

有比较，才有鉴别；有标杆，才有进步。论起内部控制，总是市场经济与企业发展的自然衍生物，就像鱼之游走离不开水的怀抱一样，总在陆地上学习游泳是永远不可能学会的，因此，我们必须从那些经济海洋与企业鱼群早已有之的国度去领教与体会其内部控制的足迹。

5.5.1 值得关注的国际流派

1.第一流派：美国的COSO框架

1985年，由美国注册会计师协会（AICPA）、美国会计学会（AAA）、国际财务经理协会（FEI）、内部审计师协会（IIA）、管理会计师协会（IMA）共同发起成立了全国舞弊性财务报告委员会，即Treadway委员会，该委员会所探讨的问题之一就是舞弊性财务报告产生的原因，其中包括内部控制不健全问题。两年之后，Treadway委员会提出报告，并提出了很多有价值的建议。

基于Treadway委员会的建议，其赞助机构又组成了一个专门研究内部控制问题的委员会，COSO委员会（Committee of Sponsoring Organizations of The Tread-way Commission）。1992年，COSO委员会提出报告《内部控制——整体框架》，COSO委员会提出，内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式，并与管理的过程相结合，具体包括：

（1）控制环境（Control Environment）。任何企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守、价值观和能力等，它们既是构成环境的重要要素之一，又与环境相互影响、相互作用。环境要素是推动企业发展的引擎，也是其他一切要素的核心。

（2）风险评估（Risk Appraisal）。企业必须制定目标，该目标必须和销售、生产、行销、财务等作业相结合。为此，企业也必须设立可辨认、分析和管理相关风险的机制，以了解自身所面临的风险，并适时加以处理。

（3）控制活动（Control Activity）。企业必须制定控制的政策及程序，并予以执行，以帮助管理阶层保证“为保证其控制目标的实现，其用以辨认并用以处理风险所必须采取的行动业已有效落实”。

（4）信息和沟通（Information and Communication）。围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。

（5）监督（Monitoring）。整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。

COSO委员会同时提出，企业所设定的目标是一个企业努力的方向，而内部控制组成要素则是为实现或达成该目标所必需的条件，两者之间存在直接的关系。每一个组成要素适用于所有的目标类别，每一个组成要素也都与每一个目标有关。对于任何企业或企业中的任何部门，内部控制都极为重要。

2003年，COSO发布了《企业风险管理框架》（征求意见稿），2004年，《企业风险管理——整合框架》最终文本正式发布。在本框架的制定期间，发生了一系列影响很大的商业丑闻和公司破产事件，投资者、公司员工以及其他的利益相关者蒙受了巨大损失。为此，人们需要新的法律、法规和上市标准来强化公司治理和风险管理，其中针对旨在提供企业风险管理关键原则和概念、共同语言以及明晰方向和指导框架的需要也更为迫切。COSO相信《企业风险管理——整体框架》能满足这种需求，并期望该框架能得到众多公司以及其他组织的接受，并真正受到所有利益相关者以及利益当事方的认可。此间还有一些法案也在相继出台，比如美国在2002年发布的《萨班斯——奥克斯利法案，SOA》，以及其他国家已经生效或正在考虑当中的类似立法。SOA对上市公司保持内部控制系统提出了长期性要求，要求企业管理当局证明这些控制系统的有效性，并让独立审计师验证其有效性。《企业风险管理——整体框架》进一步发展了有关内部控制的内容，对企业风险管理的广泛主题提供了更为健全以及广泛的关注。然而，它无意也不会取代内部控制框架，而是将内部控制框架整合到风险管理框架当中，公司可以决定关注企业风险管理框架，使之既满足其内部控制需要，又能接近更全面的风险管理过程。

COSO企业风险管理的定义：“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”COSO的ERM框架是一个指导性的理论框架，为公司的董事会提供了有关企业所面临的重要风险，以及如何进行风险管理方面的重要信息。

2.第二流派：巴塞尔协议

巴塞尔协议是国际上规范银行内部控制、提高银行经营效率的核心体系。巴塞尔银行监管委员会是制定国际银行业监管的重要国际组织。巴塞尔银行监管委员会自1975年成立以来，其颁布的各项监管原则统称为巴塞尔协议。

1986年3月的《银行表外风险管理》中，巴塞尔委员会指出：无论银行从事何种业务，它都面临着因未能实施适当的内部控制制度而造成损失的风险。适当的内部控制制度包括双人控制、职责分离、风险限制等原则，以及审计、风险控制和信息管理系统。1988年的资本协议是巴塞尔委员会重要的业绩，设计出一套衡量银行资本充足率的国际统一计量最低标准，要求国际化银行的资本不得低于风险加权资产的8%。在巴塞尔协议中特别强调三个支柱：最低资本规定、监管当局的监督检查、市场纪律。1997年9月，巴塞尔委员会公布了《有效银行监管的核心原则》，并汇总了以往公布的各项监管文件，形成了巴塞尔委员会文献汇编。巴塞尔银行监管委员会提出的《新资本协议》定于2005年推行，届时将会取代《1988年资本协议》。该协议已经被许多非成员国家自觉采用，从而对加强国际银行体系的安全与文件发挥了相当大的作用。

巴塞尔协议的内部控制思想主要有：

（1）慎重监管的内部控制原则。它主要包括四个部分：组织结构（职责的界定、贷款审批的权限分离和决策程序）、会计规则（对账、控制单、定期试算等）、“双人原则”（不同职责的分离、交叉核对、资产双重控制和双人签字等）、对资产和投资的实务控制。主要的内部控制措施有：内部审计、遵守法律法规、避免与毒品犯罪或洗钱犯罪发生联系、欺诈的控制。

（2）恰当的控制活动要求。高级管理层必须建立一个适当的控制结构，以确保有效地进行内部控制，限定每个业务层面的控制活动。这些控制活动包括：最高管理层的审核；对不同部门适当的行为控制；实体控制；定期对遵从披露限制的检查；审批和授权系统；确认和对账系统。

（3）明确职责分工的内部控制。高级管理层应当确保职责分工明确，员工的责任分工没有冲突，应当识别存在潜在利益冲突的区域，对此要谨慎地监控以使其风险降到最小化。

巴塞尔银行监管委员会在英国的Cadbury、美国COSO报告和加拿大COCO报告和实践经验的基础上，于1998年9月发布了《银行组织内部控制系统框架》。《银行组织内部控制系统框架》系统地提出了评价商业银行内部控制体系的13项指导原则，成为商业银行内部控制研究的历史性突破。

巴塞尔协议认同和发展了COSO内部控制框架。银行组织内部控制系统框架包括五大要素，即管理层的督促与控制文化、风险识别与评价、控制活动与职责分离、信息与交流、监督评审活动与缺陷的纠正，此五要素与COSO的五要素相对应。

3.第三流派：加拿大的COCO控制指南

加拿大特许会计师协会（CICA）下属的控制规范委员会（Criteria of Control Board，简称COCO）发布的“控制指南”（Guidanceon Control，以下简称“CO-CO指南”）。COCO专门对控制系统的设计、评估和报告进行研究和发布指南。它对指导和规范企业内部控制进行了诸多创新。COCO将“内部控制”的概念扩展到“控制”，其定义为“是一个企业中的要素集合体，包括资源、系统、过程、文化、结构和任务等，这些要素结合在一起，支持达成该企业的目标”。COCO对控制性质的理解明确了以下几点：控制需要企业内所有成员的参与，包括董事会、管理层和所有其他员工；控制对达成企业目标只能提供合理的保证，而不是绝对的保证，这是因为控制本身存在内在的缺陷，如存在人为的错误或成本、效益约束等；控制的终极目的是为了创造财富，而不只是单纯地控制成本。有效的控制需要保持独立和整体、稳定和适应变化之间的平衡。

“COCO指南”认为控制的基本要素包括：目标、承诺、能力、学习和监督，这四个基本要素通过“行动”联结成一个循环。COCO从四个基本要素出发，制定出了有效控制的20个规范标准。

COCO对控制概念的扩展与美国著名的COSO报告存在以下区别：COSO和COCO都认为风险评估是控制的组成要素，但COCO更明确地将风险管理视为控制的组成要素。COCO认为控制包括识别和降低以下两种风险：一是无法保持企业识别和利用机会的能力；二是无法保持企业的弹性（适应的能力）。COCO对“监督”的理解包括对经营成果的监督，COSO则只关注对特定控制活动的监督；COCO认为“有效控制”的标准是指能让员工拥有可信赖的信息，并能在管理风险过程中灵活地适时利用，使企业仅仅保留可以接受的风险，从而为达到企业目标提供合理程度的保证，并且增进外部团体的信任。

COCO通过对控制的进一步研究，于1999年正式发布了相应的“评估控制指南”。该指南描述了形成一份评估报告的10个步骤，其中评估的重点是关于目标的信息和相关风险的管理。COCO对控制的评估着眼更多的是企业未来，而不是对过去的评价。例如评估未来持续成功的机会；审查与未来业绩表现、机遇和风险相关的信息；评价需要特殊关注和监督的控制要素信息；战略审查、项目批准和准备如何应付突发事件等。COCO还特别强调企业制订战略计划和明确管理层执行战略计划的能力，它在2000年4月发布的“董事指南——应对董事会的风险”中，指明战略计划审查是董事会的责任。

4.第四流派：英国的Turnbull指南

英国的内部控制框架起始于市场，而不是由政府或监管者制定的《联合规则》。最初的凯德伯里（Cadbury）准则是在1992年发布的。2003年伦敦联合交易所发布了《联合规则》，其在C。2中提出的内部控制要求，与最初的凯德伯里准则是一致的；而且，董事会审查的范围已经扩展到了财务控制以外。

在英国公司治理规则发展的早期，主要参考了美国COSO的《内部控制——整体框架》；但英国“过去十几年的研究成果，几乎使英国在寻找最佳公司治理方面走在了世界前列”。

20世纪80年代的英国，公司失误、管理分散化都缺乏良好的公司治理支持，造成大量的公司危机。伦敦工业协会成立凯德伯里委员会，目标是制定一套关于公司治理的惯例和准则。凯德伯里报告于1994年发布，正式名称为《内部控制和财务报告》，其定义：内部控制的建立是为以下目标提供合理的保证，即保障未经授权处置的资产、保持组织采用的会计记录的适当性以及财务信息的可靠性。

随后，在1994年下半年，鲁特曼（Rutteman）报告对其进行完善，该报告建议董事披露建立有效内部控制的关键程序，但他关注的是内部财务控制，也不要求董事对内部财务控制的有效性发表意见。1995年，又发表了格林伯瑞（Greenbury）报告，该报告巩固了以前有关公司治理的研究成果，并在此基础上形成了关于董事报酬、透明度和政策的最佳的公司治理规则。

1998年6月，伦敦股票交易所公布了《联合规则》，该规则提出了优秀公司治理的原则以及最佳实践。该准则是对凯德伯里报告、鲁特曼报告、格林伯瑞报告的继承和集成。随后，于2003年对《联合规则》进行了修改。

1999年9月，发布的托布尔（Turnbull）报告，即《内部控制——董事关于“联合规则”的指南》，又称托布尔指南。该指南把风险管理、内部控制和商业目标联系起来，指出：风险管理是企业每个人的责任；董事会应当在获得信息和作出承诺的基础上仔细检查公司制度的有效性，并在遇到风险时作出快速反应；强调了内部审计的职能，以确保公司经营目标的实现。2005年托布尔指南做了一些局部修改。

与COSO框架相比，英国内部控制的目标是保障股东投资与公司资产的安全，更倾向于保护股东利益，更强调风险。内部控制系统包括：控制环境；控制活动；信息与沟通过程；监督内部控制系统持续有效性的过程。并且指出，内部控制系统应当：嵌入公司的经营中，并成为其文化的一部分；能够对由公司内部因素引发的业务风险以及商业环境的变化迅速作出反应；报告程序将确认的重大控制缺陷以及正在采取的纠正措施和适当层级的管理者报告。

5.第五流派：中国香港的内部控制架构

中国香港会计师公会自1995年成立企业管治委员会以来，一直为提高香港的企业治理意识及水平扮演领导角色。公会认为，优良的企业治理对吸引外资、刺激经济增长及降低资金成本极其重要。

2005年6月，中国香港会计师公会颁布《内部监控与风险管理的基本架构》。编制这本指引的主要目的是提供内部监控基本架构的一般指引及建议。该指引的目的是：一是有助于增加对内部监控及风险管理概念性架构的认识；二是有助于提供一个可以用作发展及评估公司内部监控系统有效性的架构基础；三是反映完善的企业实务，借此公司将内部监控嵌入其业务及管理程序中，从而追求其目标。

联交所邀请香港会计师公会制订进一步指引，以协助上市公司了解及实施《守则》内有关内部监控的规定，并制订其内部监控程序。

内部监控对业务的有效营运及日常运作极为重要，并有助于公司达到其业务目标。内部监控的范畴非常广泛，它包含策略性、公司治理及管理程序内的所有监控，涵盖公司全面的业务及营运，而不单只是直接涉及财务营运及报告的监控。内部监控的范畴并不局限于业务中一般被视为法规遵守事宜的层面，同时也延伸至业务的绩效层面。

内部监控系统包括公司的政策、程序、工作、行为及其他方面，总体应当达到的目标是：通过让公司能够对与达到公司目标有关的重要业务、营运、财务、法规遵守；对其他风险作出适当反应，从而促进公司的营运成效及效率。这包括保障资产，避免误用、流失或欺诈，并确保负债得到确认及控制；有助于确保对内、对外汇报的素质。这需要维持适当的记录及程序，从而使机构内外产生适时、相关及可靠的信息；有助于确保遵守适用的法律和条例以及遵守业务操守的内部政策。

内部监控可分成五个互相关联的元素，包括监控环境、风险评估、监控活动、信息及沟通、监察。该五要素与COSO内部控制的五要素完全相同。内部监控系统的内容主要包括：

1.内部财务监控

有效的财务监控是内部监控的要素。财务监控有助于识别及管理债务，确保公司不会面对本可避免的财务风险（例如，由衍生产品及金融工具导致的损失），以及确保用于公司业务中及公司所公布的财务信息的可靠性。财务监控亦有助于保障资产不被挪用或流失，包括防止及发现欺诈。

内部财务监控也是完善的风险管理基本因素的重要一环，是支持更广泛的业务风险管理的基础。它必须向董事会及高级管理层提供具有足够素质的信息，使他们能作出良好的商业决定，并遵守法规所规定的责任。

内部财务监控重要的范畴包括保存正确的财务记录，以支持财政预算、预测、其他管理信息（例如，每月管理账目及报告、财务预算与实际业绩表现的比较）及可靠的中期和年终报告。

2.业务计划与财务预算

财务预算是业务计划中重要的管理工具及主要的监控程序。有效率及有成效的财务预算系统应与业务计划挂钩，结合可量度的公司目标、政策及事件优先次序的说明，达到目标的策略及资源架构。这样能促进公司确立更清晰的愿景、促使公司制订适当的前瞻性计划及有助于有效利用资源。因此，在制定及监察阶段，风险评估亦与财务预算及业务策划程序有关。定期检讨业务计划及财务预算的持续相关性，并监察财务预算的表现和进度，是至关重要的。

3.检讨内部监控及风险管理的有效性

虽然，公司管理层须就设计、运作及监察内部监控系统向董事会负责，并向董事会保证已经完成有关工作，但检讨内部监控系统是否有效是董事会职责的重要部分。董事会需要根据管理层所提供的信息及保证，作出适当及仔细地查询后，就内部监控是否有效发表意见。

董事会可以委派董事会委员会，如审计委员会、风险管理委员会等，处理检讨工作的细节。这些委员会的检讨工作范畴是经董事会考虑各种因素而厘定，例如：董事会的人数及结构、公司业务规模、业务多元性及公司运作的复杂程度，以及公司所面对重大风险的性质。

若董事会委派董事会委员会进行本指引内属于董事会的工作，有关委员会的工作结果应予汇报给董事会，由董事会审阅。这主要是考虑到董事会负责在《企业治理报告》内有关内部监控披露事宜的最终责任。

5.5.2 主要流派的比较分析

从国际上内部控制的主流模式看，基本上可以分为两大模式，即美国模式和英国模式。美国和加拿大的内部控制模式很接近；英国和中国香港的内部控制是一脉相承的，欧盟成员国的一些内部控制要求与英国非常相似。

1.美、英内部控制模式的相同点

在企业内部控制方面，目标和本质要求是一样的，主要服务于经营效率和效果、法规的遵循和报告的可靠性。

在内部控制的框架体系方面，有较大的相似性。英国内部控制的法律框架主要包括四个部分：公司法和普通法、上市股票登记规则、公司治理的联合规则、托布尔指南。美国内部控制的法律架构主要也是包括四部分：萨班斯法案、证券交易法、COSO内部控制框架、上市公司会计监管委员会（PACOB）的审计准则。

2.美、英内部控制模式的差异点

在公司治理监管方面，英国监管制度主要根据市场决定和调节；而美国监管制度由证监会和证券交易规则的法规条文组成。

在内部控制规则的方式方面，英国内部控制采取的是原则导向，而美国是具体规则形式。

在内部控制责任方面，英国内部控制更侧重于公司董事会的建设，更侧重于董事会对内部控制的责任和管理，是一种自身特色鲜明的公司治理导向的内部控制；而美国内部控制侧重于内部控制框架体系的建立，更侧重于管理层对财务报告内部控制的责任。

在内部控制评价和报告方面，美国要求公司管理层对财务报告内部控制有效性进行评价，并对内向审计委员会报告、对外发布公开报告，报告必须包括管理层识别出的公司财务报告内部控制的实质性缺陷；注册会计师必须对财务报告内部控制进行审计，对管理层的财务报告内部控制有效性评价发表鉴证意见、对公司财务报告内部控制的有效性发表意见，评估的依据是COSO的内部控制框架。而英国，要求董事会发布对公司内部财务控制的责任声明，并要求董事会每年至少对内部控制的有效性进行一次审查，但不要求董事会对内部财务控制的有效性发表意见；注册会计师只需要对董事会的内部控制声明进行审查，并不需要对公司内部控制系统的有效性出具报告。

内部控制能化解集团发展进程中的风险吗？能够像“保健医生”一样为集团在市场竞争中持续前行而保驾护航吗？这需要我们从本源上深度探求。本篇主要研究两个层面的专题：一是基于COSO报告的内部控制框架构造；二是探索集团内部控制能力本源，从普遍性的管理学、心理学、行为学与文化学视角来孕育控制价值情结。本篇结构如下图所示。