引言
控制(Control)是一個廣泛應用于工程學和生物學的概念,管理學和組織對應,組織的主要構成是盈利性質的企業或者公司。從公司管理的角度,公司治理、內部控制、管理控制和風險管理(以下簡稱“四種控制機制”)是近20年各個領域的熱門話題。在學術界,很多論文探討這四種控制機制的關系,《管理會計研究》(Management Accounting Research)2009年第一期以專刊討論這個話題。謝志華(2007)分析了其中三者的關系,而張宜霞(2007)關于內部控制概念體系的分析,已經觸及到與公司治理和管理控制的關系。在實務界,各個行業的企業和咨詢公司已經在這四個領域投入大量的資源,從CEO薪酬到平衡計分卡,再到薩班斯內部控制實施,以及目前紅火的企業風險管理。在監管界,各個國家的監管當局因為實務界發生的各種經營失敗和舞弊丑聞,也在這四種控制機制方面加大監管力度,包括美國的薩班斯法案、歐洲的巴塞爾協議,以及各國證券交易所的各種有關公司治理的法規條例。然而這四種基本的控制機制在概念框架上究竟是什么關系,它們是各自獨立的概念嗎,從公司管理的角度,它們應該如何聯系并整合在一起?這些最基本的問題從理論研究的角度,無論在中國還是世界上都是空白,而這種空白的結果就是學術界、實務界和監管界的話語體系混亂。無論哪個領域,一般管理學背景的人員強調公司治理的重要性,突出董事會、組織結構等概念;審計師、財務會計背景的人員強調內部控制,而管理會計師又強調管理控制,同時金融和財務學背景的人則認為市場、信用風險的控制最為重要。基于上述的問題描述,本文從公司管理的本質出發,基于信息和控制的關系,按照會計學的視角對這四種控制機制的關系進行規范分析,進而提出一個建議性的整合框架。
一、公司、管理、控制和信息
兩權分離的公司制企業是目前組織的主要形態,按照法約爾的定義,公司管理的主要職能包括計劃、組織、領導、協調和控制。這個定義中,控制僅僅局限在對結果的評價和反饋。然而從過程的角度,組織、領導和協調其本質也是一種控制,而計劃的本質就是一種事前控制。如果認為控制的根本屬性就是通過產生影響來實現目標,公司的一切管理活動無非就是通過各種形式的控制,使得投入的生產要素產出期望的結果,那么公司管理的實質就是控制。
三論(系統論、信息論和控制論)的發展對現代公司管理產生了重大影響。控制論于1948 年由維納創立。維納關于控制的定義是:為了改善某個或某些受控對象的功能或發展,需要獲得并使用信息,以這種信息為基礎而選出的對于該對象上的作用,就叫作控制。由此可見,控制的基礎是信息,一切信息傳遞都是為了控制,進而任何控制又都有賴于信息反饋來實現。公司管理中存在各種不同類型和層次的信息,從類型上包括會計信息、物流信息、人力資源信息等;從層次上包括原始數據、業務數據、經確認和計量的會計信息、以及綜合各種類型信息得到的更高層次的決策支持信息和決策信息。從公司不同管理職能來說,會計是最適合充當“信息經紀人”的角色,因為編制各種報告的過程,就是反映公司管理所有流程、人員和系統的過程。會計師編制的各種外部、內部報告中,各種財務和非財務信息的融合,突破了傳統“貨幣計量”的會計假設,使得會計信息完全具有充分的代表性,用來直接分析信息和控制的關系。Williamson認為“組織的問題就是如何精確地按照信息處理過程對企業進行分解”,而按照計算機科學的廣義信息定義,信息層次包括二進制數字、字節、數據、信息、知識和智慧。前三層都是信息的物理方面,并不構成任何管理含義。后三層:信息、知識和智慧是人對于基礎信息按照方法和規則進行加工和通訊的結果,這個過程構成了對公司的控制。從會計學的角度,以杜邦財務分析和平衡計分卡為例,單獨的稅后利潤和權益總額是無法衡量不同規模公司的投資效果的,但是如果用這兩個指標計算凈資產收益率(ROE),然后進一步進行因素分解,就可以比較不同規模公司的投資效果,并分析和控制資產收益率、銷售周轉率和財務杠桿對ROE的貢獻比率。同樣,財務、客戶、流程和學習增長的指標,單獨而言都無法有效地實施公司戰略,但是當把它們組合在一起,建立起“財務受客戶影響,客戶受流程影響,流程受學習和增長的影響”這樣的邏輯,獨立而缺乏控制作用的“信息”就可以升級為具有相關性的“知識”,實現特定的控制目標。在公司的高層,具有控制作用的會計信息進一步和管理層、董事會成員的分析、判斷和直覺結合,升級為戰略層次的“智慧”。不難看出,控制論揭示的信息和控制關系的本質在管理領域依然適用,會計信息不斷升級加工,并在公司的縱向和橫向不斷進行通訊的過程就構成了控制的作用,本文將信息和控制的這種關系稱為“信息與控制的同一性”。因此管理學意義上的控制相對于信息而言,并非獨立的概念。信息的加工和通訊就是控制,反之亦然。
二、信息系統論與管理活動論、財務會計與管理會計
20世紀80年代以后,會計學界有關信息系統論和管理活動論的討論,本質上也是忽視了信息和控制的同一性。馬克思將會計歸納為“觀念總結和過程控制”,也恰好說明會計作為公司管理的一個子系統,它同時具有生產信息和實現控制的雙重作用。因此,會計作為公司管理中最重要的信息系統,它所生成的會計信息所具有的雙重屬性,也證明了信息是控制的基礎,控制是信息的目的,并且這種基礎和目的是一種并發關系,并不存在任何時間和邏輯的先后。類似的,有關財務會計和管理會計關系的討論,也反映了人們對信息與控制關系的認識發展。對財務會計和管理會計的概念區分,無非是歷史上兩種會計系統分別從邏輯上滿足了不同的控制目標(外部的資本市場和內部的管理層)。然而這種概念差異也在逐漸融合和消失,兩種會計系統其實已經越來越多地提供彼此相互有用的信息。王世定、徐玉德(2004)討論了這個問題,在集成的信息系統中,不同的會計概念將轉化為“規則引擎”中不同的計算規則和方法,當同樣的業務數據被提取后,按照不同的規則就可以計算得到不同類型的會計信息,而任何一種會計信息在不斷的加工和通訊過程中,就表達為不同的控制活動以實現不同的控制目標。
三、四種控制機制的整合:基于會計信息
基于前面的分析,筆者認為公司管理的實質是控制,而從控制論的角度,控制功能的實現就是不同類型的信息在公司不同層面不斷加工和通訊的過程,因此信息和控制具有同一性。會計信息是公司管理信息中的重要類型,因為會計本身具有的綜合性,會計信息必然是公司管理中最重要的信息類型,并承擔控制功能的重要責任。COSO(2004)將企業的控制目標分類為戰略、運營、合規和報告,從會計師實務操作的便利性來說無可厚非。但是從根本上講,戰略、運營和合規就是任何公司需要實現的三種控制功能,而這種控制的實現是通過不同信息類型,尤其是會計信息的不斷加工和通訊實現的(也就是COSO所謂的“報告”)。因此從邏輯上COSO的四個控制目標中是一體的,無非戰略、運營與合規是從控制的角度,而報告是從信息的角度,兩個角度體現的是信息與控制的同一性,只是會計師從實務角度的一種分解。這一點類似會計學上的借貸記賬法,借和貸從兩個角度記錄同一筆交易的不同屬性。Mikes(2009)認為不同控制機制在專業領域的發展實質是對公司控制和話語權力的爭奪。實際上,現狀就是每種控制機制的概念都在不斷泛化并試圖包含其它的控制概念。毋庸置疑,這四種控制機制在各自的領域都發揮了一定的控制功能,然而由于信息和控制從根本上的這種同一性,以及公司管理資源和成本優化的必要性,這四種控制機制在未來必須從理論和實務上進行整合。
基于上述分析,四種控制機制是以會計信息為主的不同信息在組織的不同層級首先保證信息可靠性的基礎上,按照不同的方法和規則進行不斷加工和通訊,產生具有相關性的控制信息,而這種升級的信息在組織內部不斷流動的過程中,就形成不同風險導向的控制活動,進而實現不同類型的控制目標而產生控制功能。本文基于COSO的四種控制目標的框架,按照會計信息的特征以及在組織內加工和通訊的路徑,將四種控制機制整合在一起,如圖1所示。
圖1中,A,B,C,D對應了COSO的控制目標,而1,2,3,4則體現了四種控制機制從邏輯上與COSO框架的對應關系,顯然這種對應關系是通過會計信息的流動連接起來的,因此公司就是一個上下循環的信息和控制系統。隨著信息需求的日益變化,會計確認和計量的假設都會受到挑戰和變化,會計信息的范圍也必然擴大,因此會計就可以在戰略和運營兩個層面實現更多的控制職能。圖1中公司方框左側的“C報告”代表了會計的“觀念總結”,而右側的“A戰略”和“B運營”則代表會計信息在進行觀念總結的同時,信息的加工和通訊過程就形成在戰略和運營層面的“過程控制”作用。而D合規性(內部和外部)強調的不是信息的加工、升級,也不是戰略和運營的效果,而是前三個目標在執行過程中,是否符合各種內部政策與程序,以及外部法律與法規的要求。這個目標的設計很大程度上體現了對于業績(performance)和符合(conformance)的平衡,以及公司管理中內部規范和外部監管的趨勢。從經濟學角度,如果認為公司內部和外部的本質都是一種“市場”,那么人性和商業的本質決定了公司的基本控制目標應該是業績導向的戰略和運營。然而“市場失靈”的存在使得符合導向的合規問題必須成為和戰略、運營同等重要的控制目標。因為這三個目標本質上都是通過信息的加工和通訊(報告)實現的,可以按照會計信息的路徑將四種控制機制匹配到COSO的四個控制目標體系中。
一是公司治理。完整的公司治理包括外部治理和內部治理。外部治理包括股權結構、所有權集中度、資本市場、債券結構、公司控制市場、MBO、LBO等,以及更廣泛意義上的政治、經濟、法律、監管、技術、文化等環境因素,這些并不屬于本文的寫作范圍。公司內部治理,主要是董事會和高級管理層對于戰略制定和其它重大戰略問題(例如信息的披露管理、重大會計政策的選擇、審計師的更換、董事和CEO的提名、預算審批、高管層薪酬制定、重大危機的處理和公共事務等)的控制。因此,會計信息的流動在公司高層產生的戰略控制(COSO目標A)主要是通過公司治理得以實現。例如,戰略管理會計可以應用于產品和市場的戰略制定,戰略審計在董事會監督管理層戰略制定和實施能力中的作用,以及管理會計的某些方法對于預算和薪酬委員會執行控制功能的指導意義等。
二是內部控制。COSO內部控制框架的重點是財務報告的信息質量,主要控制活動類型包括復核、授權、監督等,這些控制可以合理地確保信息的完整性、準確性、有效性和權限訪問,從會計信息質量特征的角度,側重的是可靠性(reliability),但它本身并不解決信息的相關性(relevance)。會計信息的相關性是在內部控制的基礎上,按照財務會計GAAP(準則)的要求或者不同的管理會計方法和工具實現的。Kaplan在《相關性遺失》中論述的就是管理會計在提供具有相關性的控制信息方面面臨的挑戰。同時需要指出,管理控制的控制特征,是對人員進行授權,并不直接控制他們的具體行為,而是定期測量業績,然后通過薪酬計劃等方式實現控制,這是一種充分調動人員靈活性和積極性的結果控制。而內部控制的不同控制活動,一方面控制了信息的可靠性,另一方面也構成了具體交易和事項的過程控制。從這個意義上,內部控制是對管理控制的有益補充。因為當管理控制定期(季度、半年、一年)對人員進行業績評價時,實現的是事后的結果控制。但是為了最大程度確保事后結果的效果,同時也需要某些過程控制來把握某些高風險的重大交易和事項,內部控制在這個方面彌補了傳統管理控制的控制真空。
三是管理控制。在大多數情況下,管理控制的執行就是通過管理會計實現的,并且其重點就是戰略的有效實施。從圖1可以看到,管理控制和管理會計結合在一起,位于公司的中層,上面連接公司治理的戰略制定和戰略控制,下面連接業務事實和業務數據(業務事實層面也有很多控制,也就是Anthony定義的任務控制,task control)。同時,管理控制和管理會計處理會計信息的重點是“相關性”,而財務會計信息相關性是通過遵守GAAP實現的。某種意義上,管理會計和管理控制就是基于內部控制已經確保的可靠信息,進一步計算具有相關性的控制信息的各種方法和規則的集合,它主要是實現運營層面效率和效果的控制目標(COSO目標B)。
四是風險管理。圖1左側的風險管理涵蓋了公司管理的所有方面。公司管理是目標導向的,但在不確定性環境下,風險和目標總是伴生的。在管理復雜性和資源有限性的矛盾下,公司管理的重心越來越傾向于風險的管理。而風險需要控制,因此管理發展的歷史上,出現了各種有關的控制概念。從空間而言,公司治理只解決高層的戰略問題,管理控制只在中層實現戰略決策和基層任務控制的銜接,支持戰略的有效實施,對應的是運營控制。內部控制雖然定義了一個相對更完整的框架,在公司內部的空間覆蓋面更廣,但是它并未定義戰略層次的目標。同時在信息報告方面,盡管內部控制也涉及到治理層面的問題,但是也僅僅限于財務報告的內容范圍。因此公司治理、管理控制和內部控制,從公司整體的控制角度,它們在內容或結構上都不完整。COSO(2004)的ERM框架是迄今結構上最完整的公司控制系統,它提出了戰略、運營、合規和報告四個方面的風險控制目標。同時,ERM強調的是企業全面風險管理,它不僅可以容納傳統的基于數量技術的金融風險管理(FRM:市場、信用和操作風險),同時還可以包含非量化的戰略風險、信息風險、法律風險、合規風險、聲譽風險,以及操作風險中的很多非量化因素。另外,ERM中的操作風險管理,又可以從人員、流程、信息系統和外部事件四個方面涵蓋公司的業務經營。因此,ERM從結構和內容上,都比前三種控制機制完整。由于風險分布在公司管理的各個方面,公司治理、內部控制、管理控制在未來都需要轉化為風險導向。從這個意義上說,風險管理并非一種獨立的管理模式,而應該是各種管理模式的一種基本導向。基于會計視角對四種控制機制的整合,基本思路就是在COSO的四個控制目標框架下,按照信息和控制同一性的原則,將風險導向應用到已有的公司治理、內部控制和管理控制的內容中,同時和傳統風險管理中的FRM進行整合,使得COSO ERM框架在結構和內容上更加完整。
結語
基于上述分析,四種控制機制中最能代表未來公司控制模式發展趨勢的是風險管理。因為在管理對象復雜化和管理資源有限性的矛盾下,風險管理必然成為未來公司管理的重點和實質。COSO風險管理框架的四個控制目標分別是戰略、運營、合規和報告。戰略和運營是業績導向的,合規是符合導向的,這三個控制目標構成公司控制功能的全部結構和內容,同時又相互制衡。基于信息和控制的同一性,COSO這三個控制目標的實現就是包括會計信息在內的各種信息不斷加工和通訊的過程,也就是COSO的第四個控制目標——“報告”。圖1中左側的目標C“報告”,橫向對應著右側的目標A“戰略”、目標B“運營”和目標C“合規”,恰恰體現了COSO控制目標的這種內在關系。本文討論的四種控制機制,無非是在公司的不同層面通過影響信息不同的質量特征(可靠性或者相關性),或者加工產生更高層次的信息(數據、信息、知識和智慧),來實現公司的目標、風險和控制。在具體的技術細節上,這四種控制機制的整合還需要繼續深入探究。筆者相信基于信息和控制的同一性原則,這種在風險導向框架下的整合將是這個領域理論研究和實務推廣的大勢所趨。
