企业内部控制监督研究：理论、现实与启示_内部控制论文

企业内部控制监管研究：理论、现实与启示，本文主要内容关键词为：内部控制论文,启示论文,现实论文,理论论文,企业论文，此文献不代表本站观点，内容供学术参考，文章仅供参考阅读下载。

       “内部控制”概念一经提出，有关内部控制方面的学术研究便从未离开过人们的视线，并在一次次重大历史事件后成为人们关注的焦点。无论是商业贿赂、还是财务丑闻，甚或是信贷风控的失败，都将矛头指向了内部控制，因内控失效而引发的市场失灵不绝于耳，于是对企业内部控制实施有效监管便应运而生。美国于1977年发布了《反海外贿赂法案》(Foreign Corrupt Practices Act，简称FCPA)，1991年颁布了《联邦存款保险公司改进法案》(Federal Depository Insurance Corporation Improvement Act，简称FDICIA)，2002年推出了《公众公司会计改革与投资者保护法案》(Public Company Accounting Reform and Investor Protection Act of 2002，即Sarbanes-Oxley Act或SOX法案)。美国的企业内部控制监管史为人们理解“政府监管源于市场失灵现象”这一逻辑提供了丰富的史实资料。然而监管并非总是有效，监管过度与监管不足都会导致监管效率低下，SOX法案第404条款引发的诸多争议与问题便是明证。笔者将基于管制经济理论分析企业内部控制监管的理论基础与现实困境，并进一步从我国相关调查出发探讨当前内部控制监管存在的问题，以期为未来内控监管效果的改善提供思路。

       一、市场失灵与政府管制：企业内部控制监管的理论依据

       企业内部控制监管最早可以追溯到1977年美国的FCPA法案，其背景是由“水门事件”引发的对非法政治捐款和洗钱活动的调查，导火索则是SEC于1976年5月发布的一份题为《企业的可疑与非法支付行为》(Questionable and Illegal Corporate Payment and Practices)的调查报告。该报告披露“400余家公司承认它们在海外存在非法或可疑的支付行为，并曾向外国政府官员、政客和政治团体支付高达30亿美元的巨款。款项用途包罗万象，从贿赂外国高官以达到非法目的，到支付保证某些政府工作人员基本办公的所谓‘方便费用’等。这些公司中的117家甚至跻身美国《财富》杂志500强企业”(SEC，1976)。这份报告在美国社会引起轰动，舆论认为，美国公司行贿的对象虽然是外国政府但其行为已违背美国公众的期望与道德价值观、使公众丧失了对美国引以为豪的自由市场体系的信心，其消极影响也将传导至国内。国会辩论的结果认为，贿赂行为并非市场自由交易的要素之一，市场经济的内涵在于通过自由竞争提供最优价格和质量的产品或服务，而贿赂恰恰扭曲了资源的最优配置，破坏了市场的正常运转。这正是美国政府通过单方面立法约束本国公司和个人进行海外贿赂的关键原因。然而当时对采取何种形式管制海外贿赂也存在较大争议：国会主张海外贿赂行为为非法行为；行政部门则要求公司和个人定期披露；而SEC从保护投资者的角度出发要求相关公司建立有效的内部控制机制。考虑到定期披露的成本过高且威慑力不足，最终FCPA主要采纳了国会和SEC的建议，其中关于内部控制的规定表述为：“……证券发行人应设计和维护一个内部会计控制系统，以充分提供合理保证……”。然而，内部控制的本质是企业为实现其战略目标和价值最大化的内生性需求，属于企业内部资源优化配置的范畴，与市场经济中的资源配置关联性不强，其本身并不具有管制对象的特征，缘何会成为政府监管的对象?本部分将运用管制经济学的基本原理，解释内部控制缺失造成的市场失灵和政府监管，从而理解这一制度演化的内在逻辑。

       (一)市场失灵、内部性与外部性。亚当·斯密(Adam Smith)在其《国富论》中提出市场在“看不见的手”的有效组织下实现资源的最优配置。然而，该论断惟有在具备严格前提条件的完备市场假设之下方才成立。当考虑了市场经济内含的个人自由选择和激励相容原则，以及信息的非对称性、市场的不完全竞争性、主体行为的外部性、交易成本、跨期选择与不确定性等前提条件后，完备市场假设便不再适用，市场失灵(Market failure)也随之出现。这使得仅凭市场机制难以发挥对社会资源的基础性配置作用，从而导致资源配置效率低下，政府监管应运而生。在管制经济学中，经济主体行为的外部性和内部性是分析市场失灵的两个重要概念(程启智，2002)。英国经济学家马歇尔(Alfred Marshall，1890)首次在其经典著作《经济学原理》一书中提出了“外部性”的概念。外部性是指某一经济主体对其他经济主体施加的利益或成本，这种外部影响并非是以价格为基础的交换之中发生的。通常分为正外部性和负外部性两种，前者使外部主体受益，而后者则使外部主体利益受损。理论上，外部性的存在导致社会边际收益与私人边际收益不一致、社会边际成本与个人边际成本也不一致，从而使得市场经济主体的经济活动偏离最优的均衡状态。最常见的负外部性问题包括污染、噪音等。内部性概念则是由美国经济学家丹尼尔·史普博(Daniel F.Spulber，1989)在其著作《管制与市场》一书中提出，他将内部性定义为“由交易者所承受的但未在交易契约的条款中反映的成本或收益”。内部性主要是由于契约不完备和信息不对称导致的交易另一方所获得的收益或承担的损失，同样存在正内部性与负内部性。比如产品质量、工作安全问题都是典型的负内部性表现。无论是负外部性抑或负内部性，都将削弱市场机制的资源配置效率，在市场自身无法解决这类问题时，就为政府监管提供了可能。

       (二)市场失灵与企业内部控制监管。伴随着企业规模的快速扩张，市场失灵产生的负内部性、负外部性日益严重。二十世纪全球经历了五次大的并购浪潮，尤其是80年代的融资并购浪潮和90年代的跨国并购浪潮，使企业规模急速扩张，出现了众多“巨无霸型”的跨国公司。这些巨型跨国公司的经济规模堪比国家，1999年最大的200家跨国公司的销售额占全球GDP的27.5％；世界最大的50个“经济体”中跨国公司占据14席；而且跨国公司规模的增长率超过了许多国家，全球500强企业的销售额在1990-2001年间几乎增长了三倍，而同一时期全球国家的GDP仅仅增长了1.5倍(卜伟等，2005)。企业规模的快速扩张使得这些大企业逐渐主宰了全球的经济发展，它们不但推动了当地的经济发展，还解决了民众就业和财政支持，其社会化程度不言而喻，加之资本市场的发展、经济全球化和信息技术的升级，更进一步推动公司的社会化程度。这些公司尤其是对一国经济具有重大影响的大型公司，一旦出现重大问题，其产生的风险损失不仅限于企业主体及利益相关者，即产生负内部性，还可能波及整个资本市场乃至一国经济的健康发展，即形成负外部性。

       内部控制问题尤为典型和普遍，由于内部控制不健全导致的风险具有联动与扩散效应，因而产生的负内部性和负外部性直接催生了政府部门对企业内部控制的监管。回顾美国企业内部控制失败的后果，1970年代美国公司在国际贸易中对贿赂行为的默许，推动了1977年FCPA法案的颁布；1980年代美国金融机构对信贷风险的漠视，催生了1991年FDICIA法案的实施；21世纪初相继曝光的安然、世通等美国大公司的财务丑闻，导致了2002年SOX法案的出台。历史表明，公司社会化程度的提高给社会带来了正内部性和正外部性，同时也带来了诸多的负内部性和负外部性。企业内部控制的问题不仅给企业自身和利益相关者带来了直接的经济损失和声誉损害，更严重地打乱了市场经济的正常秩序、挫伤了美国经济成长的元气，重创了投资者和社会公众对政府和市场的信心与信任。企业社会化程度的提高，扩大了内部控制问题产生的负内部性、负外部性和市场失灵，因此，对企业内部控制实施监管在所难免。

       (1)企业内部控制问题与负内部性。根据史普博(1989)的观点，内部性的产生源于三类原因：契约的不完备性、信息的不对称性、信息资源的经济性。企业内部控制问题的产生与上述三类原因息息相关，因而负内部性的出现在所难免。首先，内部控制系统是对企业内部风险的防范与化解，而企业风险具有很高的不确定性，这是导致不完备契约的根源所在。在人类有限理性和信息不完全的情况下，无法事先在委托代理契约中对风险控制的水平和内部控制构建与维持的有效性加以明确，此时作为企业内部人的管理层拥有关于风险和控制有效性的信息优势，并可借助这种信息优势获取契约中的潜在利益，从而损害外部委托人的利益，产生负内部性。其次，企业管理层与外部利益相关者之间存在严重的信息不对称，事前的信息不对称使得外部利益相关者并不了解企业的内部控制状况，企业管理层拥有的信息优势在机会主义动机驱使下，使市场交易偏离信息劣势方的利益最优化，从而导致外部利益相关者的“逆向选择”；事后的信息不对称产生的“道德风险”，使得信息优势方的行动不可观测(即隐藏行动)且具有对方无法获取的信息(即隐藏信息)，致使委托人无法观测代理人是否构建并维持有效的内部控制，也无法知晓代理人是否利用内部控制缺陷为自身牟利。因此，逆向选择和道德风险将导致损害委托人利益的负内部性出现。最后，信息资源的经济属性决定了企业外部利益相关者在观测企业内部控制状况、获取和甄别企业内部控制信息过程中，均需花费高额的信息成本。在信息不对称的情况下，拥有信息优势的企业管理层可能采取隐藏或歪曲内部控制信息的方式，阻碍内控信息的有效传递，增加信息成本。总之，企业内部控制的问题将导致负内部性的市场失灵。

       (2)企业内部控制问题与负外部性。尽管理论界从不同角度来理解外部性，但所表达的涵义完全一致，即外部性的存在意味着资源配置无法达到帕累托最优。Coase(1960)认为外部性产生的原因有两条，一是缺乏明确的产权界定，二是存在交易成本。当产权界定明确且无成本时，市场配置才能达到帕累托最优。但产权界定是有成本的，在界定产权时会因收集处理信息、协商、谈判和实施契约而发生交易成本，有时这种交易成本会阻碍契约的签订，产权自然就无法明确界定，市场失灵也就不可避免。资本市场中的外部性主要体现为企业风险的扩散与传染效应，罗伯特·希勒教授(Robert J.Shiller，2000)所著的《非理性繁荣》对这一现象进行了描述，该现象的内在逻辑是“搭便车理论”。企业内部控制问题所产生的风险存在很强的负外部性，正如美国的安然、世通等大公司的财务报告和内部控制问题一经曝光，投资者利益受到极大损害，整个市场的信心与信任也随之丧失，个体的理性行为导致了集体的非理性，从而引发强烈的市场波动，其所蕴含的风险迅速传导至市场中的其他人、企业、金融部门乃至整个宏观经济，这构成负外部性。在资本市场发展与信息技术更新换代的今天，内部控制问题会随着企业规模和社会化程度的提高而放大其负外部性，破坏证券市场稳定性，扭曲证券市场正常的资源配置功能乃至损害宏观经济健康运行，其中原因离不开产权和交易成本。在产权不清晰的情况下，难以明确谁是责任人，且界定产权的交易成本又很高。若完全依靠市场力量，则无法使企业内部控制风险的外部成本内在化，因此需要政府监管的介入。

       二、管制失灵：企业内部控制监管的理论困境

       尽管市场失灵为政府监管企业内部控制提供了理由，但这并不表明管制一定有效，对管制无效的讨论引出了“管制失灵”的概念。无数的管制立法所能证明的只是人们希望管制，而并不能为事实上的管制提供确切的证明(周耀东，2004)。正如Cunningham(2004)所言，监管者和立法者对企业内部控制问题的关注源于对危机发生的政策反应。Hart(2009)甚至认为SOX法案的通过明显是为回应关键事件、满足政治需要的结果。那么管制失灵的根源是什么?政府监管企业内部控制又将面临何种困境?

       (一)管制失灵的经济学解释。规制经济学对政府管制失灵的分析通常是从管制效率损失角度出发，即在何种条件下政府管制才是有效的。传统规制经济理论认为政府实施有效管制有两项前提假设：一是管制者是“仁慈”的，会以追求社会福利最大化为目标；二是信息是完全的，管制者拥有被管制对象的任何信息。但现实世界中，有效管制的两项前提假设几乎无法成立。首先，政府是由具有个体经济利益的“理性经济人”所组成，其管制目标从整体层面而言表现为追求政治支持最大化，从个体层面而言则往往表现为借助管制当局的自由裁量权获取寻租收益的最大化，这与社会福利最大化的目标相悖；其次，作为管制者的政府与被管制对象之间的信息不对称问题无法完全消除，在具有高度不确定性的外部环境和差异化的效用偏好状况下，企业可通过一些管制机构无法观察到的行为影响最终的管制结果(张维迎，1996)。

       此后，拉丰和梯若尔(2004)等学者对传统规制经济理论提出了批评，他们认为过去的规制理论几乎未涉及被管制对象的激励问题，于是他们将激励约束引入政府管制问题的分析之中，这标志着新规制经济理论的兴起。这一学派是运用委托代理理论对管制者与被管制对象的目标约束、信息结构和可选工具进行研究，在此基础上分析双方的行为和最优权衡。这里，规制问题实质上表现为在不完全信息条件下的最优控制问题。但达成这一状态(即管制有效)须满足两项约束条件：一是激励相容约束，二是个体理性约束。首先，政府管制是否有效受到激励相容的约束，即在任何给定的激励契约之下，企业总是选择使自己期望效用最大化的行为。激励相容约束要求契约应使企业做出的选择符合管制机构的期望。另一方面，政府管制的有效性还应满足个体理性的约束，即从被管制者角度出发，有效的管制应使得企业主动遵循契约所获得的期望效用不小于拒绝遵循管制契约时而获得的最大期望效用，从而使得被管制者目标与管制者目标相匹配。

       (二)企业内部控制监管失灵的理论分析。规制经济理论将政府管制失灵的原因归结为三个方面：信息不对称、目标不匹配、激励不相容。这些原因无疑也存在于企业内部控制监管之中，最终将威胁到内控监管的有效性。

       (1)监管者与被监管者间的信息不对称问题。信息不对称使监管者无法完全观察到被监管者的真实行为，从而产生监管成本。史普博(1989)就曾指出“监管机构的主要工作之一即收集充分的信息”。因此，管制的有效性取决于监管者是否拥有充分的关于管制客体的信息，监管者拥有的信息越多，管制效率越高，反之亦然。在企业内控监管的委托代理关系中，被管制者即企业管理层拥有内部控制有效性的信息优势，而监管者则处于信息劣势，他们无法观测被管制客体的内部控制有效性状况，以及对内部控制质量改善的努力程度；被监管者也难以了解监管者将借助哪些信息对被监管者的内部控制实施监督决策。因隐藏行动和隐藏信息所导致的信息不对称将造成管制不到位、管制过度与管制缺位并存，直至管制效率低下(Loeb和Magat，1979)。

       根据美国证监会(2009a)的一项调查，自SOX法案第404条款正式实施后的连续五年内，披露内控缺陷的公司比例从16％下降到了4％，而内控缺陷被修正的比率从55％提高到了75％。SEC有职业会计师认为，“这一下降可能是由于注册公司已经针对之前报告的重大缺陷采取了行动，……或者也可能是由于重大缺陷未被识别或报告”(SEC，2009b)。这表明，据此得出内部控制监管是有效的结论为时尚早，由于监管双方的信息不对称，监管者无从知悉被监管者是否完全识别并报告了内控缺陷，以及适当地评估了内控缺陷的严重性程度。Rice和Weber(2012)的经验研究对此也提供了证据支持，他们以存在控制缺陷而导致财务报表错报重述的公司为样本，研究发现，大多数存在重大缺陷的公司未能及时报告缺陷，仅32.4％的样本公司在错报期内报告了重大缺陷的存在；Rice和Weber指出尽管受到外部审计的监督，也只有少数公司的内部控制报告能提供可能存在会计问题的预警。这些研究成果表明内部控制监管效果很大程度上受到信息不对称问题的制约。

       (2)企业内部控制监管的目标偏离。政府管制的目标是通过监管提高资源配置效率来增进社会经济福利，而企业目标是追求效率、利润和自治，两者之间的不一致无疑将引起监管效率的损失，甚至监管政策失效。美国的SOX法案将企业内部控制监管的目标设定为：“提高内部控制的有效性、改善财务信息的质量和透明度”……从而服务于资本市场监管的首要目标——保护投资者利益。但内部控制本质上是企业全面风险管理的主要手段；对内部控制的需求内生于企业的战略目标和风险承受能力。从经济学角度看，内部控制的有效性水平是管理层根据自身的风险偏好，结合企业的风险特征和风险水平高低所作出的最优选择。但在企业内部控制监管规则的强制要求下，被监管者不得不忽略内部控制的本质目标，转而以遵循内控监管规则、防范欺诈与舞弊为目标。正如威尔士国家银行高级副董事长、内部审计师Randall Ouchi和美国高通公司执行副董事、首席财务官William E.Keitel在给PCAOB的反馈意见中所指出的那样，“SOX法案的最初目标是为了减少财务欺诈和舞弊，然而错误的发现却主要依赖交易层面上的测试结果”，“实施第404条款造成了大量的重复且毫无意义的工作，更多的资源被用于发现错误而非预防重大的财务舞弊、公司治理的缺陷和对会计准则的蓄意操纵。”①

       对企业内部控制实施监管，是监管层通过司法或行政命令直接干预企业内在的资源配置，其目的是通过遏制企业内部控制失败而产生的负内部性、负外部性，从而保护投资者利益。但外部管制的存在将使企业偏离内部控制的最优化水平，使企业管理者对“无意义”的内部控制缺陷过于关注，员工对合法合规目标过分关心，这削弱了对企业未来发展战略和经营风险关注的激励，致使企业出现危机的概率上升，企业内部控制的本质目标无法实现，最终使企业投资者利益受损。正如Besley和Burgess(2004)所描述的那样“(企业内部控制监管)试图以牺牲市场价值为代价来增加非市场物品的供给”。概括地说，当前的内控监管无视企业自身的风险特征和水平高低、不顾企业管理层的风险偏好与风险承受能力之间的差异，致使作为企业内部管理手段的内部控制“形式”上异化为外部监管和治理的对象，最终使企业内部控制偏离了风险管理的内在属性特征。

       (3)企业内部控制监管的激励问题。政府管制应遵循激励相容原则，否则被管制者将在权衡执行管制规则的成本和收益后选择抵制规则的实施，最终导致管制失灵。假定不存在外部监管情况时，企业内部控制水平处于企业内部利益相关各方多期动态博弈后的均衡状态，外部监管规则实施后将打破这种均衡，给企业带来的收益是因内部控制有效性的提升而减少的财务欺诈行为和增加的财务信息可靠性；遵循成本包括执行内控监管要求而消耗的资源，即直接成本，以及内控相关工作增加所损失的效率，即间接成本或机会成本。在权衡收益与成本后，企业内部控制水平重新达到均衡状态，这一状态将反映企业外部监管的实施效果。事实上此时的均衡状态常常低于监管者的预期，Meyer和Rowan(1977)观察发现，多数组织制定了诸多为满足监管要求的规章制度，而这些制度却与其内部运作毫不相干，只是“为获得社会公众的认可，保护组织行为免受质疑”。Oliver(1991)则将这种现象称作“去耦”(Decoupling)，即“组织为阻止其某些部分受到必须遵循的制度要求的影响，而采取的象征性或符号性的行为策略”。由此可见，监管并不等于必然实现预期的目标，监管的效果受到被监管者权衡执行成本与收益结果的影响。在企业内部控制监管中，规则给执行者带来的成本不可忽略，美国商会副主席大卫·查韦恩(David C.Chavern)曾表示，“执行SOX法案第404条款给期望在美国发行股票的公司带来不必要的负担，而且这些负担与能够合理确认的利益相比是不成比例的”。②若事实果真如此，企业内部控制监管给执行者带来的成本超过收益，那么内部控制监管将必然产生Meyer和Rowan(1977)所观察到的去耦现象。

       不难发现，为解决市场失灵而产生的企业内部控制监管规则，如果实施不当将导致监管失灵。若监管过度，可能产生过多的行政约束，使企业在内部控制上浪费资源，损害社会福利；若监管不足，则可能再次面对“新安然”、“新世通”的出现。管制虽能解决市场失灵现象，但管制失灵也比比皆是。因此，在当前实施企业内部控制监管过程中必须处理好上述问题，可以预期在未来的一段时期内，监管机构将不得不面对内控监管失灵的尴尬境地。

       三、我国企业内部控制监管的制度背景与实施现状

       内部控制监管的理论困境和实践经验为人们理解管制失灵奠定了理论基础。但在借鉴西方经验的同时，必须关注并结合我国现有的制度背景特征和实施现状，为改善内控监管效果指明方向。

       (一)内部控制监管规则的制度背景差异。在内控监管规则实施过程中，必须面对东西方制度背景的显著差异。我国在伦理习俗、经济制度与行为方式等方面与西方发达市场经济国家大相径庭，虽然我国企业内部控制规范体系对源自西方成熟资本市场的“舶来品”加以局部改进，但其总体要求未发生实质变化，因此在理解我国内控监管现状时，必须首先明确制度背景的差异。其一，中美两国内控监管规则的制定规程显著不同，使得监管者与被监管者之间信息不对称的程度也大有不同。美国企业内部控制监管制度的变迁是多方利益集团的博弈结果，国会和SEC组织的各种听证会以及其他一些监督机构(如GAO)和职业团体(如AICPA、FEI、ABA)发布的各类调查报告，使得监管机构便于了解相关利益集团的观点、愿望、偏好和利益所在，从而汇集信息解决监管层的信息不足问题。尽管拥有信息优势的利益集团可能借此机会游说监管层，操纵内部控制监管规则的制定和实施，但至少可以在一定程度上减少监管者与被监管者之间严重的信息不对称问题，从而优化企业内部控制监管对资源配置效率的影响。我国对企业内部控制的管制只是近十年的事情，并未出现类似于美国内控监管制度变迁中的利益集团之间的博弈，原因在于东西方文化价值观之间的典型差异。杜维明教授(1995)指出，“在东方社会，人们认为政府可以扮演积极的作用，就是贤人政治。……换句话说，政治的责任感和个人的道德素养可以配合”。③在这种价值观背景下，东方社会的监管层通常是强制干预，而被监管者则表现出“温顺的品德”。这样，监管者与被监管者之间信息不对称的严重程度进一步加剧，在危机发生时会进行严厉监管，当监管效果不佳时，将进一步强化监管，而对于被监管者则往往是“上有政策下有对策”。反映在企业内部控制监管方面的效果可能是政府强制实施内部控制监管要求，企业“形式上”满足合规性目标，结果则是社会资源的浪费和社会福利的损害。其二，中美两国内控监管规则的实施背景截然不同，造成了监管者与被监管者对内控有效性的认知偏差和目标不匹配。美国企业内控监管规则均为应对重大危机而提出，我国企业内部控制规范体系的颁布与实施则是在经济形势整体较为平稳的背景下出台的。就企业而言，倘若缺乏危机意识，若要其树立居安思危的意识还需假以时日培养，而非一朝一夕所能实现。这种对内控有效性的认知不足将导致企业仅从合规的角度“形式化”地满足监管规则的披露要求。最后，中美两国证券监管机构对投资者法律保护体系的健全与完善程度不同，形成了企业遵循监管规则的激励差异。内部控制监管主要基于信息披露，信息披露的真实性与可靠性是内控监管效果的集中体现。美国证券监管机构对披露虚假信息的上市公司应承担的法律责任在其《1933年证券法》和《1934年证券交易法》中就做出严格规定，而我国投资者法律保护体系尚不够健全完善，尤其对上市公司虚假信息披露缺乏有效的监管与惩罚措施，影响了我国上市公司信息披露的可信度，内部控制的信息披露亦不例外。

       (二)我国内控监管的实施效果。2010年《企业内部控制配套指引》的颁布标志着适应我国企业实际情况，融合国际先进经验的中国企业内部控制规范体系基本建成。伴随着这一系列内控监管规范的分步骤分阶段推进与实施，监管层、实务界和理论界均十分关注其执行效果。各类团体展开了形式多样且内容丰富的调查研究，并发布了相应的调查报告，其中由财政部会计司、厦门大学内控课题组、深圳迪博公司和德勤会计师事务所等四类机构分别开展的调查较具科学性(详见表1)。

      

       上述四类调查采用多种形式(如调查问卷、公开信息等)，调查对象丰富(包括上市公司和非上市公司)，获得了比较可靠且内容翔实的数据，为全面深入理解内部控制监管制度实施现状提供了大量的数据资料。四类调查报告的结果显示，伴随着我国企业内部控制法规的逐步完善和监管的强化，企业对内部控制的重视程度普遍提高；上市公司内部控制整体水平呈逐年提升的趋势；而且披露内控自我评价报告和出具内控鉴证报告的上市公司内部控制水平均显著优于未披露或未出具此类报告的上市公司(厦大内控课题组，2012；深圳迪博，2013)。当然，上述证据仅仅是对已有公开信息的描述性统计结果，企业内控有效性的提高是否能归因于内控监管规则的实施还有待进一步证实。同时，四类机构的调查报告也指出了当前内控监管中存在的突出问题，主要包括：仅为满足监管的要求，企业高管对内部控制的重视程度不够，内部控制的实施成本过高(德勤，2013)，具体体现在以下方面：

       (1)信息不对称使得企业选择“形式合规”的策略应对内部控制监管规则。财政部(2013)的调查结果显示内控评价报告和内控审计报告中缺陷披露不充分、不准确，评价结论含糊不清，信息有效性有待提升；深圳迪博(2013)的研究认为，我国上市公司内控缺陷披露质量较低，信息含量较差，内部控制评价多流于形式；德勤(2013)的调查发现，有相当多的企业对如何将内部控制要求与现有的管理系统恰当融合，还无法完全落实到业务管理中；30％的上市公司受访者和44％的非上市公司受访者明确表明内部控制实施仅表面上满足了监管要求，企业管理水平未见显著转变。由此可见，在面对外部监管的强制性要求时，倾向于以满足监管要求为目标，从而导致了内部控制报告及相关信息披露的“形式合规”。

       (2)目标偏离使内部控制执行的“知”与“行”脱节。根据《企业内部控制基本规范》对内部控制目标的界定，财政部(2012a)调查显示，71.96％的被调查者认为实施内控规范体系的原因和动机是促进企业目标的实现，选择此目标的比例远高于国家强制规定、境内外资本市场要求等合规性原因。但实施结果却并不令人满意，“由于内控建设过程中缺乏动力，导致企业内各级人员在内控建设中局限于满足‘合规’要求，不求完善”(财政部，2012b)，“存在内控评价范围不全面、重点不突出、缺陷认定标准不恰当、缺陷认定随意性强、评价结论不客观等评价工作‘走过场’的现象”(财政部，2013)。甚至在德勤(2013)的调查中有超过1/3的受访者明确表示内部控制规范的实施仅表面上满足了监管要求，企业管理水平未见显著转变。这导致上市公司内控评价报告及相关信息披露存在公式化倾向，信息含量严重不足。

       (3)遵循成本过高、激励不相容弱化了内控监管效果。财政部(2012b)的调查报告指出内控规范实施过程中的关键问题在于：规范体系未提供对内部控制建设及评价方法的具体操作说明、对内部控制缺陷的认定没有统一的标准、缺乏熟悉内控的专业技术人才。这使得上市公司在遵循规范过程中不得不聘请中介机构，在2011年遵循内控规范的67家境内外同时上市的公司中，25家明确披露聘请外部咨询机构协助开展内控评价和建设咨询工作，33家未明确披露，仅9家明确披露未聘请此类机构，但这些公司均成立了专业的内控工作小组负责公司的内控建设和评价工作。德勤(2013)的调查显示，33％的受访者认为企业因实施内部控制而花费的成本过高；54％的受访者表示本企业缺乏熟悉内控的专业技术人才；而在关于内控规范实施的未来改进措施中，94％的受访者认为应继续加大内部控制的投入，确保内控的持续有效运行；77％的受访者认为可通过聘请中介机构协助企业建设和优化内部控制体系。这些都表明遵循内控规范的成本过高，在内控效果无法短期体现的情况下，企业高管层会在权衡成本与收益后选择应付监管要求，这一现象无疑将弱化内控监管的效果。

       四、我国企业内部控制监管的完善

       上述研究表明当前改善内控监管效果的关键问题是：克服信息不对称、内控监管目标偏离以及遵循成本过高的问题。惟有从这一角度出发思考政策建议才能“治标亦治本”，才能为改善内部控制监管效果提供可能的政策启示。

       (一)强化内部控制信息披露的监管规则与惩罚力度。减少信息不对称的关键在于通过强化信息披露的监管规则和惩罚力度、提高违规成本。制度是为一个共同体所拥有，惩罚则是令违背共同游戏规则的人承担相应的责任。约瑟夫·斯蒂格利茨(2009)曾指出，如果制度不能实施有效的惩罚，那么它将是一项无用的制度。然而，有效的惩罚首先建立在“共同游戏规则”的基础之上，如果规则本身含糊不清，则惩罚也将无法实施。从目前我国内控监管实施现状看，主要存在内控评价范围披露不充分、内控缺陷披露含糊不清、内控评价报告格式与内容差异较大、评价结论表述不规范、内控审计报告披露的恰当性不足等问题(财政部，2013)。这表明由于内控监管规则自身存在的“先天”不足，使各企业在内控缺陷披露中存在较高程度的自由裁量权，从而降低了内控信息披露的可比性和可信度，也势必将影响内控监管实施的有效性。同时，一项有效的制度，总是隐含着某种对违规的惩罚(柯武刚和史漫飞，2000)。由于内部控制监管规则的实施将削弱经理人对企业控制权的私有收益，因而存在机会主义动机违背监管要求。如果内控监管规则框架存在显著的制度缺陷，对执行好的企业不予激励或对执行不好的企业不予惩罚，无疑将使内控监管的预期效果化为泡影。根据哈耶克(1974)在《自由宪章》一书中的观点，制度惩罚的唯一目的是阻止人们去干某些事情，或是让他们履行自愿承担的义务。内控监管规则也应如此，企业经理人承担了委托人赋予其管理企业的职责，鉴于内控失败将给投资者乃至整个资本市场造成巨大损失，故经理人应对内控失败承担相应责任。因此，内控监管规则首先应对内控信息披露做出明晰具体的要求，并辅以有效的监督与惩罚机制，方能实现其纠正内控失败所带来的负内部性、负外部性市场失灵的真正目的。

       (二)消除内控有效性的认知偏离，弥合内控监管中的目标差异。监管机构与上市公司的目标差异是激励不相容产生的根源，弥合这种差异则需要从两方面着手：一是调整内部控制的监管目标，二是提高上市公司对内控有效性的认知水平。我国实施内部控制监管的目标被描述为“在企业微观层面提升风险防范水平、改进经营管理能力”(王军，2010)，显然其监管范围定位于“全面内部控制”。然而在实践中企业存在较大程度的困惑。财政部(2012a)通过调查内控的归口部门发现多数企业仍将内控监管定位于“财务报告内部控制”层面，只是在行业监管较严格的企业才强调“全面内部控制”；从企业角度看，我国上市公司大多是由国有企业改制而来，其除了实现基本的盈利目标外还需要承担大量的社会性负担和政策性负担，“机构臃肿”、“人浮于事”的现象比比皆是，而这显然与内部控制的基本原则相违背。寄期望于这些企业在短期内改变这一格局，完全遵照《企业内部控制基本规范》及指引的要求实施内部控制，无异于强人所难。如果一味地强调对“全面内部控制”实施监管，④则企业势必“将内控规范的要求与原有管理体系完全割裂，从而出现‘两张皮’现象”(财政部，2013)，其结果只能导致内控监管流于形式。因此，对内部控制的监管适宜采用循序渐进的方式，从监管机构要求的最基本目标——“提高公司信息透明度”入手，将内控监管的范围限定在“财务报告内部控制的有效性”才是符合我国当前制度环境的合理选择。另一方面，财政部(2012)的调查结果表明，我国企业经理人明显存在对内部控制有效性认知不足的现象。受管制的企业往往认为内控有效性主要体现在提高财务报告的可靠性、遏制舞弊行为、确保企业运作合法合规方面，而对于内部控制体系提高企业经营效率效果却保持怀疑的态度(财政部，2012a)。这种对内部控制有效性的认知不足将成为内控监管规则实施的巨大障碍，正如柯武刚和史漫飞(2000)所言，“如果没有形成自发性遵从，政府靠强制在任何时候最多只能执行全部法律规范的百分之五”。因此，如何从认知角度，提高经理人对企业内部控制有效性的认识和理解程度，是当前化解内控监管效果不佳的重要途径之一。

       (三)降低遵循成本，构建激励相容的制度基础。降低企业遵循内控监管规则成本的可选路径包括：(1)突出内控监管重点。当监管的目标定位从“全面内部控制”转向“财务报告内部控制”后，企业遵循内控规则的成本将大大降低，这也从根本上保护了投资者利益。对于投资者而言，其对信息披露(尤其是非财务信息)的需求能力和解读能力往往是有限的，投资者对公司未来价值的判断除了依赖财务报告之外，还借助财务分析师收集和处理信息(威廉·H.比弗，1999)。如果简单地通过强调披露更多的企业内部信息，尤其是财务报告以外的其他信息，反而增加了企业额外的遵循成本，对于保护投资者利益而言可能得不偿失。(2)强调企业内生需求的差异。对内部控制实施监管也体现了政府管制的一大特征——“横向制约”功能(史普博，1989)，即政府管制并非是针对某一特定产业或企业的行为，而是针对所有可能产生负内部性或负外部性的企业行为。内控监管规则的实施并未考虑不同行业、不同规模、不同业务特征企业之间对内部控制有效性内生需求的差异，对所有企业采用了“一刀切”的内部控制标准。这种忽视企业风险容忍度差异的内控监管规则，也给企业增加了额外的遵循成本。以美国SOX法案的实施为例，因超高的遵循成本使得美国国会最终做出部分放松SOX法案第404条款要求的决定。⑤因此，根据激励相容的原则，若期望达成预期的内控监管目标，必须结合企业的特征和内生需求，制定内部控制体系规范的实施标准与要求，从而降低企业因过度实施内控规则而产生的遵循成本。

       注释：

       ①②资料来源于美国PCAOB网站上公布的对SOX法案中内部控制报告和审计条款第二年执行情况的经验与评论Comments on Experiences with the Second-year Implementation of Internal Control Reporting and Auditing Provisions):http://pcaobus.org/News/Events/Pages/05102006_InternalControlRoundtable_Comments.aspx.

       ③引自《杜维明教授谈东西方价值观》，原载于1995年4月9日《联合早报》。

       ④尽管证监会于2012年发布的《公开发行证券的公司信息披露内容与格式准则第2号——年度报告的内容与格式(2012年修订)》之中，将强制性内部控制信息披露的范围缩小为“财务报告内部控制制度”；然而财政部的监管范围仍然是“全面内部控制”，财政部在2012年2月发布的《企业内部控制规范体系实施中相关问题解释第1号》的附件中列示了“××公司20××年度内部控制评价报告”的模板，其中被明确纳入内部控制评价范围的业务和事项基本涵盖了公司经营管理内部控制的主要方面，不仅限于财务报告内部控制。

       ⑤2010年7月21日美国总统奥巴马正式签署了《多德·弗兰克华尔街改革和消费者保护法案》(Dodd-Frank Wall Street Reform and Consumer Protection Act)，该法案永久性豁免了对较小型企业遵循SOX法案第404b条款的要求。

标签：内部控制论文;  市场失灵论文;  外部性论文;  信息不对称理论论文;  内部控制缺陷论文;  内控管理论文;  经济外部性论文;  内控体系论文;  政府失灵论文;  目标成本论文;  有效市场论文;  制度理论论文;  风险成本论文;  风险内控论文;  经济论文;