引言

控制(Control)是一个广泛应用于工程学和生物学的概念,管理学和组织对应,组织的主要构成是盈利性质的企业或者公司。从公司管理的角度,公司治理、内部控制、管理控制和风险管理(以下简称“四种控制机制”)是近20年各个领域的热门话题。在学术界,很多论文探讨这四种控制机制的关系,《管理会计研究》(Management Accounting Research)2009年第一期以专刊讨论这个话题。谢志华(2007)分析了其中三者的关系,而张宜霞(2007)关于内部控制概念体系的分析,已经触及到与公司治理和管理控制的关系。在实务界,各个行业的企业和咨询公司已经在这四个领域投入大量的资源,从CEO薪酬到平衡计分卡,再到萨班斯内部控制实施,以及目前红火的企业风险管理。在监管界,各个国家的监管当局因为实务界发生的各种经营失败和舞弊丑闻,也在这四种控制机制方面加大监管力度,包括美国的萨班斯法案、欧洲的巴塞尔协议,以及各国证券交易所的各种有关公司治理的法规条例。然而这四种基本的控制机制在概念框架上究竟是什么关系,它们是各自独立的概念吗,从公司管理的角度,它们应该如何联系并整合在一起?这些最基本的问题从理论研究的角度,无论在中国还是世界上都是空白,而这种空白的结果就是学术界、实务界和监管界的话语体系混乱。无论哪个领域,一般管理学背景的人员强调公司治理的重要性,突出董事会、组织结构等概念;审计师、财务会计背景的人员强调内部控制,而管理会计师又强调管理控制,同时金融和财务学背景的人则认为市场、信用风险的控制最为重要。基于上述的问题描述,本文从公司管理的本质出发,基于信息和控制的关系,按照会计学的视角对这四种控制机制的关系进行规范分析,进而提出一个建议性的整合框架。

一、公司、管理、控制和信息

两权分离的公司制企业是目前组织的主要形态,按照法约尔的定义,公司管理的主要职能包括计划、组织、领导、协调和控制。这个定义中,控制仅仅局限在对结果的评价和反馈。然而从过程的角度,组织、领导和协调其本质也是一种控制,而计划的本质就是一种事前控制。如果认为控制的根本属性就是通过产生影响来实现目标,公司的一切管理活动无非就是通过各种形式的控制,使得投入的生产要素产出期望的结果,那么公司管理的实质就是控制。

三论(系统论、信息论和控制论)的发展对现代公司管理产生了重大影响。控制论于1948 年由维纳创立。维纳关于控制的定义是:为了改善某个或某些受控对象的功能或发展,需要获得并使用信息,以这种信息为基础而选出的对于该对象上的作用,就叫作控制。由此可见,控制的基础是信息,一切信息传递都是为了控制,进而任何控制又都有赖于信息反馈来实现。公司管理中存在各种不同类型和层次的信息,从类型上包括会计信息、物流信息、人力资源信息等;从层次上包括原始数据、业务数据、经确认和计量的会计信息、以及综合各种类型信息得到的更高层次的决策支持信息和决策信息。从公司不同管理职能来说,会计是最适合充当“信息经纪人”的角色,因为编制各种报告的过程,就是反映公司管理所有流程、人员和系统的过程。会计师编制的各种外部、内部报告中,各种财务和非财务信息的融合,突破了传统“货币计量”的会计假设,使得会计信息完全具有充分的代表性,用来直接分析信息和控制的关系。Williamson认为“组织的问题就是如何精确地按照信息处理过程对企业进行分解”,而按照计算机科学的广义信息定义,信息层次包括二进制数字、字节、数据、信息、知识和智慧。前三层都是信息的物理方面,并不构成任何管理含义。后三层:信息、知识和智慧是人对于基础信息按照方法和规则进行加工和通讯的结果,这个过程构成了对公司的控制。从会计学的角度,以杜邦财务分析和平衡计分卡为例,单独的税后利润和权益总额是无法衡量不同规模公司的投资效果的,但是如果用这两个指标计算净资产收益率(ROE),然后进一步进行因素分解,就可以比较不同规模公司的投资效果,并分析和控制资产收益率、销售周转率和财务杠杆对ROE的贡献比率。同样,财务、客户、流程和学习增长的指标,单独而言都无法有效地实施公司战略,但是当把它们组合在一起,建立起“财务受客户影响,客户受流程影响,流程受学习和增长的影响”这样的逻辑,独立而缺乏控制作用的“信息”就可以升级为具有相关性的“知识”,实现特定的控制目标。在公司的高层,具有控制作用的会计信息进一步和管理层、董事会成员的分析、判断和直觉结合,升级为战略层次的“智慧”。不难看出,控制论揭示的信息和控制关系的本质在管理领域依然适用,会计信息不断升级加工,并在公司的纵向和横向不断进行通讯的过程就构成了控制的作用,本文将信息和控制的这种关系称为“信息与控制的同一性”。因此管理学意义上的控制相对于信息而言,并非独立的概念。信息的加工和通讯就是控制,反之亦然。
二、信息系统论与管理活动论、财务会计与管理会计

20世纪80年代以后,会计学界有关信息系统论和管理活动论的讨论,本质上也是忽视了信息和控制的同一性。马克思将会计归纳为“观念总结和过程控制”,也恰好说明会计作为公司管理的一个子系统,它同时具有生产信息和实现控制的双重作用。因此,会计作为公司管理中最重要的信息系统,它所生成的会计信息所具有的双重属性,也证明了信息是控制的基础,控制是信息的目的,并且这种基础和目的是一种并发关系,并不存在任何时间和逻辑的先后。类似的,有关财务会计和管理会计关系的讨论,也反映了人们对信息与控制关系的认识发展。对财务会计和管理会计的概念区分,无非是历史上两种会计系统分别从逻辑上满足了不同的控制目标(外部的资本市场和内部的管理层)。然而这种概念差异也在逐渐融合和消失,两种会计系统其实已经越来越多地提供彼此相互有用的信息。王世定、徐玉德(2004)讨论了这个问题,在集成的信息系统中,不同的会计概念将转化为“规则引擎”中不同的计算规则和方法,当同样的业务数据被提取后,按照不同的规则就可以计算得到不同类型的会计信息,而任何一种会计信息在不断的加工和通讯过程中,就表达为不同的控制活动以实现不同的控制目标。

三、四种控制机制的整合:基于会计信息

基于前面的分析,笔者认为公司管理的实质是控制,而从控制论的角度,控制功能的实现就是不同类型的信息在公司不同层面不断加工和通讯的过程,因此信息和控制具有同一性。会计信息是公司管理信息中的重要类型,因为会计本身具有的综合性,会计信息必然是公司管理中最重要的信息类型,并承担控制功能的重要责任。COSO(2004)将企业的控制目标分类为战略、运营、合规和报告,从会计师实务操作的便利性来说无可厚非。但是从根本上讲,战略、运营和合规就是任何公司需要实现的三种控制功能,而这种控制的实现是通过不同信息类型,尤其是会计信息的不断加工和通讯实现的(也就是COSO所谓的“报告”)。因此从逻辑上COSO的四个控制目标中是一体的,无非战略、运营与合规是从控制的角度,而报告是从信息的角度,两个角度体现的是信息与控制的同一性,只是会计师从实务角度的一种分解。这一点类似会计学上的借贷记账法,借和贷从两个角度记录同一笔交易的不同属性。Mikes(2009)认为不同控制机制在专业领域的发展实质是对公司控制和话语权力的争夺。实际上,现状就是每种控制机制的概念都在不断泛化并试图包含其它的控制概念。毋庸置疑,这四种控制机制在各自的领域都发挥了一定的控制功能,然而由于信息和控制从根本上的这种同一性,以及公司管理资源和成本优化的必要性,这四种控制机制在未来必须从理论和实务上进行整合。

基于上述分析,四种控制机制是以会计信息为主的不同信息在组织的不同层级首先保证信息可靠性的基础上,按照不同的方法和规则进行不断加工和通讯,产生具有相关性的控制信息,而这种升级的信息在组织内部不断流动的过程中,就形成不同风险导向的控制活动,进而实现不同类型的控制目标而产生控制功能。本文基于COSO的四种控制目标的框架,按照会计信息的特征以及在组织内加工和通讯的路径,将四种控制机制整合在一起,如图1所示。


图1中,A,B,C,D对应了COSO的控制目标,而1,2,3,4则体现了四种控制机制从逻辑上与COSO框架的对应关系,显然这种对应关系是通过会计信息的流动连接起来的,因此公司就是一个上下循环的信息和控制系统。随着信息需求的日益变化,会计确认和计量的假设都会受到挑战和变化,会计信息的范围也必然扩大,因此会计就可以在战略和运营两个层面实现更多的控制职能。图1中公司方框左侧的“C报告”代表了会计的“观念总结”,而右侧的“A战略”和“B运营”则代表会计信息在进行观念总结的同时,信息的加工和通讯过程就形成在战略和运营层面的“过程控制”作用。而D合规性(内部和外部)强调的不是信息的加工、升级,也不是战略和运营的效果,而是前三个目标在执行过程中,是否符合各种内部政策与程序,以及外部法律与法规的要求。这个目标的设计很大程度上体现了对于业绩(performance)和符合(conformance)的平衡,以及公司管理中内部规范和外部监管的趋势。从经济学角度,如果认为公司内部和外部的本质都是一种“市场”,那么人性和商业的本质决定了公司的基本控制目标应该是业绩导向的战略和运营。然而“市场失灵”的存在使得符合导向的合规问题必须成为和战略、运营同等重要的控制目标。因为这三个目标本质上都是通过信息的加工和通讯(报告)实现的,可以按照会计信息的路径将四种控制机制匹配到COSO的四个控制目标体系中。

一是公司治理。完整的公司治理包括外部治理和内部治理。外部治理包括股权结构、所有权集中度、资本市场、债券结构、公司控制市场、MBO、LBO等,以及更广泛意义上的政治、经济、法律、监管、技术、文化等环境因素,这些并不属于本文的写作范围。公司内部治理,主要是董事会和高级管理层对于战略制定和其它重大战略问题(例如信息的披露管理、重大会计政策的选择、审计师的更换、董事和CEO的提名、预算审批、高管层薪酬制定、重大危机的处理和公共事务等)的控制。因此,会计信息的流动在公司高层产生的战略控制(COSO目标A)主要是通过公司治理得以实现。例如,战略管理会计可以应用于产品和市场的战略制定,战略审计在董事会监督管理层战略制定和实施能力中的作用,以及管理会计的某些方法对于预算和薪酬委员会执行控制功能的指导意义等。
二是内部控制。COSO内部控制框架的重点是财务报告的信息质量,主要控制活动类型包括复核、授权、监督等,这些控制可以合理地确保信息的完整性、准确性、有效性和权限访问,从会计信息质量特征的角度,侧重的是可靠性(reliability),但它本身并不解决信息的相关性(relevance)。会计信息的相关性是在内部控制的基础上,按照财务会计GAAP(准则)的要求或者不同的管理会计方法和工具实现的。Kaplan在《相关性遗失》中论述的就是管理会计在提供具有相关性的控制信息方面面临的挑战。同时需要指出,管理控制的控制特征,是对人员进行授权,并不直接控制他们的具体行为,而是定期测量业绩,然后通过薪酬计划等方式实现控制,这是一种充分调动人员灵活性和积极性的结果控制。而内部控制的不同控制活动,一方面控制了信息的可靠性,另一方面也构成了具体交易和事项的过程控制。从这个意义上,内部控制是对管理控制的有益补充。因为当管理控制定期(季度、半年、一年)对人员进行业绩评价时,实现的是事后的结果控制。但是为了最大程度确保事后结果的效果,同时也需要某些过程控制来把握某些高风险的重大交易和事项,内部控制在这个方面弥补了传统管理控制的控制真空。

三是管理控制。在大多数情况下,管理控制的执行就是通过管理会计实现的,并且其重点就是战略的有效实施。从图1可以看到,管理控制和管理会计结合在一起,位于公司的中层,上面连接公司治理的战略制定和战略控制,下面连接业务事实和业务数据(业务事实层面也有很多控制,也就是Anthony定义的任务控制,task control)。同时,管理控制和管理会计处理会计信息的重点是“相关性”,而财务会计信息相关性是通过遵守GAAP实现的。某种意义上,管理会计和管理控制就是基于内部控制已经确保的可靠信息,进一步计算具有相关性的控制信息的各种方法和规则的集合,它主要是实现运营层面效率和效果的控制目标(COSO目标B)。

四是风险管理。图1左侧的风险管理涵盖了公司管理的所有方面。公司管理是目标导向的,但在不确定性环境下,风险和目标总是伴生的。在管理复杂性和资源有限性的矛盾下,公司管理的重心越来越倾向于风险的管理。而风险需要控制,因此管理发展的历史上,出现了各种有关的控制概念。从空间而言,公司治理只解决高层的战略问题,管理控制只在中层实现战略决策和基层任务控制的衔接,支持战略的有效实施,对应的是运营控制。内部控制虽然定义了一个相对更完整的框架,在公司内部的空间覆盖面更广,但是它并未定义战略层次的目标。同时在信息报告方面,尽管内部控制也涉及到治理层面的问题,但是也仅仅限于财务报告的内容范围。因此公司治理、管理控制和内部控制,从公司整体的控制角度,它们在内容或结构上都不完整。COSO(2004)的ERM框架是迄今结构上最完整的公司控制系统,它提出了战略、运营、合规和报告四个方面的风险控制目标。同时,ERM强调的是企业全面风险管理,它不仅可以容纳传统的基于数量技术的金融风险管理(FRM:市场、信用和操作风险),同时还可以包含非量化的战略风险、信息风险、法律风险、合规风险、声誉风险,以及操作风险中的很多非量化因素。另外,ERM中的操作风险管理,又可以从人员、流程、信息系统和外部事件四个方面涵盖公司的业务经营。因此,ERM从结构和内容上,都比前三种控制机制完整。由于风险分布在公司管理的各个方面,公司治理、内部控制、管理控制在未来都需要转化为风险导向。从这个意义上说,风险管理并非一种独立的管理模式,而应该是各种管理模式的一种基本导向。基于会计视角对四种控制机制的整合,基本思路就是在COSO的四个控制目标框架下,按照信息和控制同一性的原则,将风险导向应用到已有的公司治理、内部控制和管理控制的内容中,同时和传统风险管理中的FRM进行整合,使得COSO ERM框架在结构和内容上更加完整。

结语

基于上述分析,四种控制机制中最能代表未来公司控制模式发展趋势的是风险管理。因为在管理对象复杂化和管理资源有限性的矛盾下,风险管理必然成为未来公司管理的重点和实质。COSO风险管理框架的四个控制目标分别是战略、运营、合规和报告。战略和运营是业绩导向的,合规是符合导向的,这三个控制目标构成公司控制功能的全部结构和内容,同时又相互制衡。基于信息和控制的同一性,COSO这三个控制目标的实现就是包括会计信息在内的各种信息不断加工和通讯的过程,也就是COSO的第四个控制目标——“报告”。图1中左侧的目标C“报告”,横向对应着右侧的目标A“战略”、目标B“运营”和目标C“合规”,恰恰体现了COSO控制目标的这种内在关系。本文讨论的四种控制机制,无非是在公司的不同层面通过影响信息不同的质量特征(可靠性或者相关性),或者加工产生更高层次的信息(数据、信息、知识和智慧),来实现公司的目标、风险和控制。在具体的技术细节上,这四种控制机制的整合还需要继续深入探究。笔者相信基于信息和控制的同一性原则,这种在风险导向框架下的整合将是这个领域理论研究和实务推广的大势所趋。