【摘要】近幾年我國對內部控制規(guī)范有了較大改革，其重點主要在于對風險的控制方面。本文從最新頒發(fā)的內部控制規(guī)范分析入手，以風險管理為導向對內部控制進行博弈分析，并對現(xiàn)有的內部控制評價方法進行介紹，以期對現(xiàn)有的內部控制理論與實務的發(fā)展提供一定的思考價值。

　　【關鍵詞】內部控制；博弈分析；評價方法

　　一、內部控制與風險管理的融合

　　1992年，美國COSO委員會(Committee of Sponsoring Organizations of The Treadway Commission)提出報告《內部控制—整體框架》，1994年對其進行了增補。該框架認為：為了實現(xiàn)內部控制的有效性，需要下列五個方面的要素支持：控制環(huán)境(Control environment)、風險評估(Risk assessment)、控制活動(Control activities)、信息與交流(Information and Communication)和監(jiān)測(Monitoring)。自COSO報告發(fā)布以來，內部控制框架被世界上許多企業(yè)采用，在此基礎上，理論界和實務界紛紛對內部控制提出一些改進建議，強調內部控制框架的建立應與企業(yè)的風險管理相結合。2004年4月COSO委員會頒布了《企業(yè)風險管理整體框架》，對內部控制框架進行擴展，繼承并包含了《內部控制一整體框架》的主體內容，旨在為各國的企業(yè)風險管理提供一個統(tǒng)一術語與概念體系的全面的應用指南。

　　為了加強和規(guī)范企業(yè)內部控制，提高企業(yè)經營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展，我國于2007年3月，由財政部牽頭、六部委共同組成的企業(yè)內部控制標準委員會研究制定的企業(yè)內部控制規(guī)范征求意見稿問世，在業(yè)界引起了強烈的反響，學者們關注目光主要集中在內部控制規(guī)范與體系、全面風險管理，以及內部控制與風險管理的融合問題上。2008年5月，《企業(yè)內部控制基本規(guī)范》正式印發(fā)，將于2009年7月1日起在上市公司范圍內施行，并鼓勵非上市的大中型企業(yè)執(zhí)行。COSO報告對我國內部控制體系構建具有重要的指示作用，對其借鑒主要體現(xiàn)在：在形式上借鑒了COSO報告5要素框架，在內容上體現(xiàn)了風險管理8要素框架的實質。

　　在內部控制與風險管理關系問題上，我國大部分學者認為，風險管理是內部控制的有機組成部分，加強內部控制是防范企業(yè)風險的有效途徑。有學者進一步指出，內部控制旨在風險管理，它對風險管理起著重要作用，COSO企業(yè)風險管理的關鍵點就是管理層應采用以風險管理為基礎的內部控制，并進行內部控制有效評價。

　　不少學者主張將內部控制與風險管理有機融合在一起。其中，有學者認為，企業(yè)風險管理與內部控制是一個程序，它不是靜態(tài)的，而是處于不斷的調整和變化之中，以適應組織環(huán)境的變化。內部控制只有與風險管理相融合，才能實現(xiàn)最佳效果。從制度經濟學角度看，內部控制作為一種內部制度安排，具有特定的功能，主要表現(xiàn)在降低企業(yè)內部的交易成本、補充企業(yè)不完備契約。對于內部控制的核心問題，即什么是促進和推動內部控制發(fā)展的本質屬性和最終動力，筆者認為，降低企業(yè)的經營風險是內部控制發(fā)展和推進的本質。

　　二、基于風險管理的內部控制博弈分析

　　企業(yè)是一系列（不完全）契約（合同）的有機組合，是人們之間交易產權的一種方式。由于現(xiàn)實世界的復雜性、經濟人的有限理性和機會主義的影響，這組契約通常又是不完備的，使人們之間交易產權存在較大風險，風險管理內部控制就是為了在取得低交易成本收益的同時彌補企業(yè)契約的不完備性、降低風險而建立在企業(yè)內部的一個風險監(jiān)管機制。

　?。ㄒ唬﹨⑴c者

　　博弈雙方為相對于離企業(yè)“較近”的企業(yè)的經營者（主要是董事會和經理層）；另一方是相對于離企業(yè)“較遠”的要素投入主體（主要是股東和債權人）在這兩方的博弈中，雙方均為理性人，也就是說在做出決策時考慮自己的收益和成本，期望自己的收益最大化。

　?。ǘ┗炯僭O

　　假設1：經營者的策略（尋租，不尋租）。尋租，經營者在內部控制風險監(jiān)管機制不能有效實施時攫取額外租金；不尋租，在內部控制風險監(jiān)管機制有效實施時正常的尋利行為。

　　假設2：要素投入主體（實施內部控制風險監(jiān)管，不實施內部控制風險監(jiān)管）。實施的內部控制風險監(jiān)管，要素投入主體投入人力物力實施內部控制風險監(jiān)管機制使其起作用；不實施內部控制風險監(jiān)管，要素投入主體沒有投入人力物力導致內部控制風險監(jiān)管機制不起作用。

　　假設3：企業(yè)總體經濟利益為I，經營者正常經營所獲得的經濟利益為A，要素主體實施內部控制風險監(jiān)管機制所投入的成本為B（并假設，只要投入內部控制風險監(jiān)管機制，就能控制尋租行為的發(fā)生），要素主體沒有投入內部控制風險監(jiān)管機制所發(fā)生的損失為C，而經營者為自己謀取的尋租利益為D，實施內部控制風險監(jiān)管機制發(fā)現(xiàn)尋租行為對經營者的懲罰為E（并假設，只要實施內部控制風險監(jiān)管機制經營者的尋租行為就一定能被發(fā)現(xiàn)）。博弈的收益矩陣如表1所示

　?。ㄈ┎┺姆治?/p>

　　假設用P表示經營者在內部控制風險監(jiān)管不能有效實施時的尋租概率，用θ表示要素投入者實施內部控制風險監(jiān)管的概率。當經營者正常尋利行為的概率為1-P，經營者在內部控制風險監(jiān)管不能有效實施時的非常尋租行為的概率為P時,要素投入主體選擇投入人力物力致使內部控制風險監(jiān)管有效實施(θ=1)和選擇不投入人力物力致使內部控制風險監(jiān)管不能有效實施(θ=0)的期望收益分別為：

　　E(θ=1)=( I-A-B-C+E)×P+(I-A-B)×（1-P）

　　= EP-CP+I-A-B ①

　　E(θ=0)=(I-A-C)×P+(I-A)×（1-P）

　　=I-A-CP②

　　當E(θ=1)=E(θ=0)時，P=B/E③

　　當要素投入主體選擇投入要致使內部控制風險監(jiān)管有效實施的概率為θ，經營者在內部控制有效實施時選擇正常尋利行為(P=1)和在內部控制風險監(jiān)管不能有效實施時選擇非常尋租行為(P=0)的期望收益分別為:

　　E(P=1)=(A+D-E)×θ+(A+D)×(1-θ)=A+D-Eθ ④

　　E(P=0)=A×θ+A(1-θ)=A⑤

　　當E(P=1)=E(P=0)時，θ=D/E⑥

　　由③可知，當經營者在內部控制風險監(jiān)管不能有效實施時的尋租概率等于B/E時，要素投入主體選擇投入要素致使內部控制風險監(jiān)管有效實施所獲得的期望經濟利益等于選擇不投入要素致使內部控制風險監(jiān)管不能有效實施所能獲得的期望經濟利益。當經營者在內部控制風險監(jiān)管不能有效實施時的非常尋租行為的概率小于B/E時，則要素投入主體選擇投入人力物力致使內部控制風險監(jiān)管有效實施的期望收益就會小于選擇不投入人力物力致使其不能有效實施的期望收益,因此,要素投入主體最優(yōu)選擇就是不投入要素從而致使內部控制風險監(jiān)管不能有效實施；同樣，當經營者在內部控制風險監(jiān)管不能有效實施時的尋租概率大于B/E時，對應的要素投入主體選擇投入要素致使內部控制風險監(jiān)管有效實施的期望收益就會大于選擇不投入要素致使其不能有效實施的期望收益，因此，要素投入主體必定會選擇投入要素使內部控制風險監(jiān)管能有效實施。

　　由⑥可知，要素投入主體選擇監(jiān)督投入要素致使內部控制風險監(jiān)管有效實施的概率等于D/E時，經營者選擇尋利和尋租所獲得的收益是相等的；當要素投入主體選擇監(jiān)督投入要素致使內部控制風險監(jiān)管有效實施的概率小于D/E時，經營者選擇尋租的期望收益大于選擇尋利的期望收益，因此，經營者將有可能冒險選擇尋租；當要素投入主體選擇監(jiān)督投入要素致使內部控制風險監(jiān)管有效實施的概率大于D/E時，經營者選擇尋租行為的期望收益小于選擇尋利的期望收益，因此，經營者必定會選擇尋利。

　　將③⑥結合可知，在給定各個博弈方基本假設的前提下，要素投入主體會選擇D/E的概率選擇投入要素有效實施內部控制風險監(jiān)管，而經營者以B/E的概率選擇尋租。顯然，實施內部控制風險監(jiān)管發(fā)現(xiàn)尋租行為對經營者的懲罰E與經營者選擇尋租的概率成反比，懲罰E越大，經營者選擇尋租的可能性越??；并且，實施內部控制風險監(jiān)管發(fā)現(xiàn)尋租行為對經營者的懲罰E與要素投入主體選擇投入要致使內部控制風險監(jiān)管有效實施的概率成反比，懲罰力度越大，要素投入主體就不必要花費更多的要素投入內部控制風險監(jiān)管。因此，要素投入者可以通過加大懲罰力度來加強對經營者的風險監(jiān)管。

　　三、基于風險管理內部控制機制的評價方法

　　加大懲罰力度對預防經營者的尋租行為有一定的作用，但是，對于企業(yè)控制風險的根本還是要在企業(yè)內部建立一套完整的內部控制監(jiān)管機制。傳統(tǒng)的內部控制的評估方法有調查表、文字描述、流程圖等，但這些方法的缺點已明顯暴露。近年來以風險為導向的現(xiàn)代內部控制評價方法不斷涌現(xiàn)，主要方法有標桿比較法、風險矩陣法、控制自我評估法等。

　?。ㄒ唬﹤鹘y(tǒng)的內部控制機制評價方法

　　傳統(tǒng)內部控制機制評價方法主要描述和分析內部控制機制的恰當性和有效性，以及在完成所指派職責時的執(zhí)行效果。其對內部控制的測試與評價所遵循的邏輯順序是“控制→風險→評價控制目的是否實現(xiàn)”，可見，更多的是一種事后的反饋，在確認內部控制薄弱環(huán)節(jié)之后，提供信息以幫助管理層增強和完善內部控制。這種事后的評價是一種“亡羊補牢”式的滯后的方法，而不是“未雨綢繆”預防式的方法，這些方法無法根據(jù)企業(yè)目標考察風險，也未能根據(jù)風險安排相應的措施以控制風險，因此，已越來越不能適應現(xiàn)代管理的需要。

　?。ǘ┗陲L險管理的現(xiàn)代內部控制評價方法

　　現(xiàn)代內部控制的測試與評價遵循的邏輯順序是“目標→風險→控制”，同時將根據(jù)企業(yè)風險評估調整審計戰(zhàn)略，確定審計重點，緊密關注高風險的領域，以提供更相關、更符合管理層和董事會需求的確證信息，從而保證要素投入主體的利益?；诖?，以下介紹幾種以風險為導向的現(xiàn)代內部控制機制評價方法。

　　1. 標桿比較法

　　標桿比較法(benchmark)就是將本企業(yè)各項活動與從事該項活動最佳者進行比較，從而提出行動方法，以彌補自身的不足。（美國ALLTEL公司運用了此種辦法進行內部控制）它一般分為以下兩個步驟：

　　首先，企業(yè)需要建立或確認自身所在行業(yè)的最佳實務。

　　其次，了解企業(yè)風險管理整體框架實際情況并將其與最佳實務進行對比，用定量或定性方式評估差距。

　　2. 風險控制矩陣

　　風險控制矩陣(Risk and Control Matrix, RCM) 是審計人員根據(jù)企業(yè)經營目標、風險與控制之間的聯(lián)系，為確保審計建議能針對重要的風險而建立的一張工作表，如表2。

　　風險控制矩陣是差距分析和審計過程中的一個關鍵文檔。RCM為公司相關的風險、需要達到的控制及當前控制狀態(tài)等提供了一個控制范例。

　　3. 控制自我評價法

　　內部控制自我評價(Control Self-assessment，CSA)是近年來產生的一種新的內部控制評價方法，體現(xiàn)了內部控制評價的新觀念控制自我評估?？刂谱晕以u價法是在1987年由加拿大海灣資源有限公司首先采用的，是一種來檢查和評估內部控制有效性的新方法，是由組織成員在內部審計機構的推進和協(xié)助下評估組織活動的風險和控制的過程。

　　CSA強調內部控制系統(tǒng)既不是內部審計工作的責任，也不僅僅是高級管理層應關心的問題，相反，應該把它看成是所有雇員共同的責任?？刂谱晕以u估體現(xiàn)了應該最先詢問那些參與了風險評估過程以及執(zhí)行了整個控制過程的人，它所包含的不斷改善與現(xiàn)代的全面質量管理概念非常匹配，與整體協(xié)作的概念及群體學習的模式也有相通之處，因而在今天的商業(yè)社會中存在著巨大的潛能。

　　內部控制理論的研究與實踐發(fā)展到今天，國家政府對內部控制管理的法規(guī)在不斷改進，其指導性意義顯而易見。在實務中，企業(yè)內部控制機制的各種評價方法也在不斷改進與更新，力求更大程度地促進企業(yè)發(fā)展，保證要素投入主體的經濟利益。內部控制的發(fā)展和更新，將更好地強化我國企業(yè)內部管理和有效要素投入者的利益，更好地評價經營者經營的有效性和管理水平。

　　【參考文獻】

　　[1] 趙斌. 從內部控制到風險管理. 中國電力企業(yè)管理，2008，（1）.

　　[2] 林榮. 企業(yè)內部控制自我評價淺議. 沿海企業(yè)與科技，2007，（12）.

　　[3] 張淑慧. 基于風險管理的內部控制評估方法探討. 重慶工商大學學報，2008，（4）.

　　[4] 孫斌. 風險導向的企業(yè)內部控制評價程序. 現(xiàn)代商業(yè)，2008，（21）.

　　[5] 郭群，吳惠吟. 風險導向內部控制評價模式研究. 廣東商學院學報，2002，（2）.

　　[6] 陳元芳. 我國近代內部控制制度的發(fā)展與演變. 學習月刊， 2008，（6）.

　　[7] 高巖芳. 企業(yè)風險管理——內部控制的戰(zhàn)略性考慮. 管理，2007，（11）.

　　[8] 何芹. 內部控制評價的比較分析. 財會通訊，2005，（11）.

　　[9] J. Stephen McNally. Control Self-Assessment: Everybody Pitching in with Internal Controls. Internal auditor，2007.

　　[10] Luc Aerts：A framework for managing operational risk. The Internal Auditor，2001，8.