张鹏

摘要：自美国萨班斯法案实施以来，在金融危机和《企业风险广利整合框架》的共同影响下，内部控制、公司治理、风险管理日渐成为社会、政府监管部门、学术和实务界关注和研究的重要课题之一。然而直到今天，在理论界和实务界对它们三者之间的关系还存在分歧。本文首先深入分析了三者之间的关系，并基于战略管理视角构建了三者之间的关系框架。

关键词：公司治理 内部控制 风险管理 关系框架

一、公司治理、内部控制、风险管理之间的关系分析

（一）公司治理和内部控制的关系

1、联系

一，从管理学而言，公司治理与内部控制目的都是为了控制企业风险。因为企业风险的多样性，基于企业的战略管理角度，公司风险包括治理风险（内含战略风险）、经营风险、财务风险和其他风险。其中，经营风险和财务风险属于管理控制的内容。只有协调好公司治理与内部控制的配合度，才能控制企业风险。二，公司治理中的内部治理在企业内部控制中占据顶层最高位置，它隶属于内部控制。三，管理控制是公司治理内容中关于企业战略方面的延伸和具体化，也是管理者对其他人员实现战略目标的影响过程，足见，企业内部控制的关键就是管理控制。

2、区别

公司治理与内部控制两者之间的区别在于：一，结构的区别。公司治理的结构同样包括侠义和广义两种。COSO一项研究报告曾表示：内部控制的结构为塔形，塔顶为内部监督，塔基为控制环境，塔身为风险评估和控制活动。二，构成内容的区别。根据众多学者的研究可见，公司治理的构成内容分广义和侠义两种，它是利用（非）正式的内（外）部制度（机制）对企业及其利益关联者之间的利益关系进行协调。而侠义的内部控制内容包括董事会治理、管理层管理控和操作管理层及员工的任务（作业）。三，方法的区别。公司治理更侧重由政府监管部门（如证监会）或国际组织（如OECD）或社会团体制定的规则、程序和指南等的制度管理；而内部控制则是在制度管理的基础上，更侧重于运用组织规划控制、全面预算控制、内部审计控制等更实际的方法。四，控制侧重点的区别。公司治理重宏观的整体，如权责的设置、运作的效率和战略的管理等，而内部控制则倾力于战略的被执行情况和效果。

（二）内部控制和风险管理的关系

1、联系

所谓企业风险，即因企业行为与企业目标出现重大偏离而生，为减少和规避风险，企业需对其及时有效地加以控制。控制过程应遵循以下几个步骤：设定目标→风险识别→对企业内部制度和业务流程进行测试→识别并评估风险→设计并制定控制方案。该部分所提到的内部控制与控制风险、风险管理属无本质上的区别，也即，风险控制包含内部控制和风险管理，只是表述方式不同而已。

2、区别

尽管内部控制和风险管理的本质并无区别，但COSO委员会却在《内部控制——整体框架》后出台了《企业风险管理——整合框架》，就其根源，在于两者之间也存在一定的区别。《内部控制——整体框架》的不足点有：一，就控制目标的设定而言，COSO内部控制把控制流程当成追求目标，所以在风险评估和控制环节，经常会出现衔接脱节现象。而就控制流程而言，COSO内部控制框架流程将风险控制作为最终目标，而忽视了企业目标的执行情况。二，目标体系不完善，内在逻辑性欠缺。虽然内部控制框架的三个内控目标间并无关于逻辑关系的明文界定，但该体系对财务报告目标关注过多，其他利益相关者经常将财务报告的可靠性放在首位，而忽视了重要的战略信息。三，框架的操作性不强。该内部控制框架只提到了有关原则，而缺少文档控制和内部控制测试等具体的指南，致使企业管理层很难识别控制缺陷。四，有效性评价标准不合理。这种内不科学的评价标准或者会给企业带来风险。

综上，企业风险管理框架的推出意义非凡，是对内部控制的进一步拓展和细化，丰满了风险概念，可以说是内部控制理论研究的最高成就。

二、战略管理视角下的理论分析和关系框架

在上述分析研究的基础上，我们制定了能有效解决理论认识误区和分歧问题的关系框架。如图1所示。

说明：图中控制和影响关系用实箭头表示，反作用力用虚箭头表示

上图中，公司内部治理控制处于最顶端的位置，而管理控制则充当了主体部分，且不难发现，上一部分的内容对下一部分的内容具有控制作业，而下一部分在上一部分的控制下也会相应的产生反作用力。在第一部分的公司内部治理中，控制主体是董事会，管控对象是公司治理风险（战略决策风险也包括在内）；在第二部分的管理控制阶段，实施控制的主体是经营管理层，控制对象是企业经营和财务风险；第三部分的作业控制，控制主体和控制对象也都发生了变化。由于它们之间互为控制又互为反作用的特殊关系。有图可知，图1中的公司治理风险（包括战略决策风险）、经营风险、财务风险和作业风险都属于内部控制（即风险管理）内容，三者本质是相同的。它们的控制目标也具有高度一致性，即要“合理保证企业经营管理合法合规、资产安全；确保经营高效（效率和效果）、财务报告信息完整属实；实现企业战略目标。”

图1中构建的关系框架对公司内部治理做了进一步整合，归列入企业内部控制里，并作为内部控制的最高部分进行设计，该关系框架的构建实际上是根据现代企业的发展要求，巧妙地将公司治理转化为了高效管理，具有合理可行性。它既符合经济学对企业本质的假定，同时又符合内部控制理论，代表着当代公司治理研究的前沿理论。

三、结束语

众所周知，在公司治理、内部控制和风险管理的关系研究中存在各种意见不一，本文就立足现代企业管理的现实需求，基于战略管理视角构建了三者之间的关系框架。希望借由此文能理清理论研究误区，为相关规范的制定和内部控制的评价研究，及公司管理者提供有益的思考。

参考文献：

[1]李维安，戴文涛.公司治理、内部控制、风险管理的关系框架——基于战略管理视角[J].审计与经济研究，2013

[2]闫珍立.公司治理、内部控制、内部控制审计管理框架构建研究——基于战略管理理论[J].中国内部审计，2014