论内部控制、风险管理和公司治理的调配

陈建红

(集美大学 诚毅学院，福建 厦门 361005)



论内部控制、风险管理和公司治理的调配

陈建红

(集美大学 诚毅学院，福建 厦门 361005)

企业可持续发展，离不开高效的公司治理，离不开高质量的内控及有效的风险管理。通过对公司治理、内部控制和风险管理三者基本含义解析的基础上，梳理三者的联系和区别，最后指出完善公司的内部控制，提高公司的风险管理意识，进而促进三者的有机结合。

公司治理；内部控制；风险管理

厘清内部控制、风险管理和公司治理三者的关系，对于企业建立有效的企业控制体系，落实风险管理机制，进而完善现代企业制度有非常大的价值。

一、内部控制、风险管理、公司治理的基本含义

(一)内部控制的含义

根据我国内控基本规范的规定：“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”内部控制与公司治理均产生于委托代理问题[1]。内控管理的是企业内部董事会、经理层和底下员工的关系，是公司治理契约在公司内部的延伸。

(二)风险管理的含义

风险管理在企业中是极为重要的一个管理过程，指通过预见外部和内部风险，进而认真分析和处理，最后使用最有效果且成本最低的方式，进行自主的、有计划地、有针对性地处理风险。

企业的风险管理涉及到企业的各个层面，上至高管层，下至基础运作的员工。通过对公司不同部门的具体目标、各种业务细分，制定详细计划和战略，拟定风险防范和处理方法，从而达到对企业生产运作的管理和控制，促进企业的稳定经营。

(三)公司治理的含义

广义的公司治理强调通过正式或非正式的内、外部制度或机制来协调企业内部各利益相关者利益；而狭义的公司治理强调建立所有者对经营者的监督与制衡机制，具体而言就是通过权责分配，监督和控制股东会、董事会、监事会及管理层所构成的公司内部治理结构，从而管理企业经营与绩效。笔者从狭义的角度探讨公司治理。从公司治理中相关人员的权责安排来揭示其规律。

通过上述含义分析发现，内部控制、风险管理和公司治理都牵涉到了同样的公司人员，有其共性的地方也有其差异之处，笔者从联系与区别角度论证三者关系。

二、内部控制、风险管理、公司治理的联系

(一)内部控制与公司治理的联系

首先，企业内部控制环境的优劣决定了内部控制与公司治理是否能有效运行。其中，内部控制环境涵盖了治理结构和其机构设置和权责分配的内容，这与公司治理的内容相互交叉。其次，高质量的内部控制水平有利于公司治理水平的提高，两者本质目的相同，都是为了有效控制公司的风险，帮助保证公司目标的实现。公司治理通过内部控制制度系统组织的功能与有效的实施实现事前、事中的有效监督，降低治理风险。再次，公司治理的一项重要要求就是加强内部控制，董事会和高管层都是他们共同治理的对象。从根本上说，各项内部控制制度的制定是为了服务于公司治理的需要。

(二)内部控制与风险管理的联系

首先，内部控制是风险管理的8个要素中的首要要素。公司的风险管理能提高公司风险识别和应对能力，进而发现投资机会，促进资源合理配置，提高公司的内部控制水平，最终提升公司的运营效率。其次，公司的内部控制反过来有利于风险管理的顺利进行。内部控制通过从企业内部及时识别、分析经营活动中与实现内部控制目标有关的风险，合理确定应对策略，从而更好地帮助企业应对外来风险。可见，良好的内部控制有利于推进公司风险管理的顺利实施和高效落实，使公司的风险最小化。

(三)风险管理与公司治理的联系

根据公司治理的定义，它是公司的股东、董事会、管理人、其他一切利益相关者之间的一套整合关系。一切与企业管理者相关的制度，如人力资源配置，财务制度规定等都属于公司治理的范畴。由于权责分离，在关系的整合和制度的实施过程中，难免由于利益的冲突和制衡机制的失效，使企业面临风险。因此，企业治理的重要目标之一是控制风险，其治理的根本是风险管理。公司治理与风险管理的方法对象相同。两者都是基于企业战略目标、计划的要求，通过各项规章制度的制定与监督，以各职能机构和相关人员为治理对象，应对来自企业的内外部风险，进而提高公司治理水平。

(四)三者关系的总结

通过对以上三者的关系整理可得：公司治理中包含着内部控制与风险管理，风险管理包含着内部控制，三者互为影响。

公司的股东、董事会、高级管理人员掌握着公司的治理，内容其包含了内部治理机制，外部治理机制和其他的公司治理的法律法规。风险管理贯穿于公司的内、外部治理的全过程，而公司的内部治理的有效性依赖于高质量的内部控制。因此，两者对公司治理的效果起着决定性的作用。同时，内部控制也能反作用于公司治理和风险管理，其对公司的日常运作发挥了最重要的作用。所以风险管理与公司治理要从最基本的内部控制抓起。

三、内部控制、风险管理、公司治理的区别

内部控制、风险管理、公司治理之间尽管存在着很多密不可分的联系，公司在进行管理时，还需要厘清他们之间的区别，才能防止侧重点的失误将公司置于风险或者损失之中。

(一)内部控制与风险管理的区别

内部控制和风险管理有着本质的区别。第一，风险管理是伴随着企业生产运营的全过程，分布于企业的内部与外部，而内部控制仅是企业内部管理过程中的一个部分。第二，内部控制在预防风险上只起到比较基础性的作用，不能从根本上分散、化解风险。然而风险管理涉及到风险的方方面面，包括风险识别、评估与监测等多项内容，能够至上而下，从内到外进行风险的把控。因此，两者的内容虽有重叠或融合的部分，但具体来说风险管理在风险控制方面更为全面与具体。当然，企业高管在进行公司的管理时要将内部控制和风险管理机制有机地结合起来，发挥最大效益，实现公司整体价值的最大化。

(二)内部控制与公司治理的区别

从基本内涵分析可得，二者的区别很明显的一点是控制的范围不同，公司治理的对象是基于股东、董事会、管理层(尤其是高管)，是基于企业整体的角度。而内部控制的对象不包括股东，这与内控的目标一致。另外，二者的侧重点不同，公司治理是大方向的整体把握，两权分离下，实质性地解决公司中人员权利与控制权不公平的问题。而内部控制更多的是强调资源、信息的把控，公司目标的执行和实施效率上。再者，公司治理与内部控制的依据不同。公司治理主要依据政府出台的各项法规要求及公司的最高层制定的公司章程和工作制度，进行职责划分，达到权力的制衡。而内部控制制度是企业在财政部颁布的内控基本规范的基础上，结合实际制定的内控制度，如授权控制、审计控制等，实现资产的安全完整，会计信息的真实可靠。

(三)风险管理与公司治理的区别

第一，二者的范围不同，公司治理涵盖的范围更广，包括了整个公司的治理，而风险管理只是局限于公司风险管理层面。公司治理侧重于公司的股东会、董事会，高管等控制权与收益权的分配问题。风险管理更多地关注公司的内外部环境给企业带来的风险。第二，二者的目标不同。风险管理主要是通过预测，防范风险来降低公司各种内、外风险，减少风险给企业经营带来的不确定性，从而保证公司的收益或者达到期望的利润。公司治理最终是为了解决企业内部的权力制衡问题，进行关系的整合，缓解企业与内、外部各利益集团的利益冲突，提高抗风险能力。

综上所述，内部控制的内容仅是风险管理的一部分，公司全面的风险管控仍有赖于系统的风险管理。因此，两者如何促进更好地有机结合，取长补短是管理者关注的重点。内部控制与公司治理则是二者的侧重点和依据不同，公司治理往往是依据《公司法》、企业章程等，而内部控制针对的业务更为具体化。风险管理与公司治理的区别就在于他们的范围和目标不同，风险管理从8个方面落实风险管控，减少企业经营的不确定性。公司治理则是面向更高层次的权利的分配问题。

四、促进三者有机结合，提高公司治理水平的建议

COSO委员会发布《内部控制整合框架》报告指出：内部控制是企业经营过程的一部分，不能与企业的基本经营活动脱离。2004年的ERM进一步拓展了内控框架的风险评估要素，将内控要素明确为内部控制的基础，将公司治理寓于内部控制环境之中，并表明内部控制要以体现公司治理的本质并实现其目标为起点。以内部控制为出发点，提高内部控制水平，加强风险管理，完善公司治理，关键从以下几方面展开。

(一)加强公司治理结构建设

董事会和经理层是内部控制和公司治理的共同组成部分，是两者有机对接的载体。由于内部控制的局限性，如管理层逾越内控约束，此时必须依赖公司治理约束董事会和管理层。从当前上市公司的治理表现来看，公司应从保障股东权利，落实董事会责任这两个现代公司治理的硬性和核心领域，也是最基本的问题解决上做起，结合公司实际，努力在股东会和董事会的运作层面上引入和落实一些较好的公司治理方法。首先，考虑到股改后上市公司股权结构的变化对其治理方面的挑战，当务之急我国政府及相关监管部门应引导上市公司自主改进公司治理，从强制性规范向强制性与自觉性规范相结合转变，减少其形式上的改进，更多地促进其实质性的改进和公司价值与长期经营业绩的提高。公司治理水平的提高，除了依赖政府的法律法规外，还需要资本市场的竞争机制发挥作用，实现其对公司治理的价值提示功能，使公司治理作为资本市场营销工具的作用得到上市公司的充分认识，才能真正激发企业经营者自主改进治理水平的积极性。其次，加强董事会与董事的责任落实和运作的有效性，还需要从法律执行和管理要求两个方面入手。这对于公司治理的实质性改进有至关重要的作用。全流通后资本市场的竞争性加强，董事会的责任要求进一步提高，除了加大法律监管力度外，还需从管理要求的提高上促使董事会责任的落实到位，例如推进董事、经理持股，引入公司高管竞争机制，给予市场充分的选择权和评判权。此外，通过多种手段与渠道保障股东权利、关注利益相关者的利益对于改进公司治理有着很好的基础性作用。

(二)建立企业内部控制文化

仅依据正式制度规范企业，规范人员的成本在不断加大，且“他控”的效果有限。企业可以通过非正式契约的方式，即内部控制文化的“软约束”来实现包括高管在内的全体员工的“自控”，使其从心理和意识上实施自我管理。这一方面可以降低代理成本，节约组织内的监督成本；另一方面，要弱化组织内的人情价值取向，减少企业中的“人治”观念，培养管理层素质和管理哲学、经营理念。[2]这对于内控环境的影响是十分显著的。

首先，企业高管应对内控的执行起积极表率作用。实践证明，在企业构建执行力文化的过程中，企业领导的以身作则发挥着重要的作用。管理者要注重个人的特质的培养，具有领导者风范，并在企业内部形成一定权威，而非带头违背或纵容下级违背企业制度。在人力资源政策方面，加强“以人为本”，调动员工的积极性、主动性和创造性，进而提升企业的核心竞争力。其次，在企业范围内宣传内控的重要性，保证全体员工知悉，在意识上重视，在行动上遵守并执行。

(三)完善风险管理机制与信息沟通机制

一是从意识角度，企业应积极主动，将风险管理作为一项基础性和经常性的工作；二是从岗位和机构设置上，保障风险管理作用的发挥；三是从能力角度，风险管理人员应不断提高自身的风险识别能力，这要求相关人员有专业背景和经验，同时具备较强的判断能力。[3]另外，会计控制过程涉及企业各个部门、各个生产经营过程，需要企业全体员工的通力协作。正所谓制度虽好，执行有力方为有效。能否有效地展开企业沟通也是促进制度执行有效的关键因素之一。因此，为避免执行力低下问题，有必要建立和完善企业内部沟通渠道，并保证固定且畅通，及时解决制度执行中发现的各种问题，保证其有效执行。

(四)强化内、外部监督机制

在内部，一是企业应设置监事会、审计委员会和内审机构等，通过定期召开会议，落实监督职责，这从另一角度也有利于信息及时沟通。二是监督的主体，需要由熟悉企业控制点的本部门人员以及能客观评价的上级部门组成，这既可以节约监督成本、提高监督效率，又能强化监督效果。三是及时披露内部控制缺陷，出具自评报告，将成因和整改方案报告向上传达，提高会计信息质量的同时，加强自我监督质量。[4]企业管理层应从企业整体利益出发，发挥监管、督促责任，将企业各项制度的执行与遵守情况纳入业绩考评的范围，从“制度”上约束企业员工的行为。

在外部，企业应首先转变经营理念和管理方法，参与市场竞争，优胜劣汰。其次是根据企业类型差异选择合适的外部监督方式。如对国有控股企业，其监事会的成员应主要由国务院选派，审计由国家或地方审计机关或由其选派事务所负责。对于非国有控股企业，可以发挥机构投资者的监督作用，抑制其短期行为。除此之外，借助分析师的专业属性，通过其搜集的公司内外信息的整合，来分析评价公司的投资价值,有利于发挥潜在的监督作用。同时，借助互联网发展的优势，利用各种网络平台，新闻媒体等发挥舆论的监督也是很有必要的。当然，除了监督外，要纠正企业的行为，有赖于企业依靠上述建议“多管齐下”的共同作用。

总之，一个企业的可持续、健康发展，离不开高效的公司治理水平，这有赖于高质量的内部控制、完善的风险管理机制，以及三者的有机结合。

[1]李志斌.内部控制的规则属性及其执行机制研究——来自组织社会学规则理论的解释[J].会计研究,2009(2).

[2]王媛媛.基于企业层级的内部控制、风险管理同公司治理的相互关系[J].经营管理,2015(9).

[3]李维安.公司治理、内部控制、风险管理的关系框架[J].审计与经济研究,2013(4).

[4]财政部.企业内部控制配套指引[M].上海：立信会计出版社,2010.

责任编辑 胡号寰E-mail:huhaohuan2@126.com

On the Internal Control,Risk Management and the Allocation of Corporate Governance

Chen Jianhong

(Chengyi College,Jimei University,Xiamen 361005)

The sustainable development of the enterprise,cannot be separated from efficient corporate governance and cannot do without the high quality of internal control and effective risk management.Based on the corporate governance,internal control and risk management of the three basic meanings on the chart the way to sort out the relationship and difference between the three,finally to improve the internal control of the company and improve the company’s risk management awareness,and promote the organic combination of the three.

corporate governance;internal control;risk management

2016-04-28

福建省社会科学课题(2013B061)

陈建红(1983-)，女，福建漳州人，讲师，硕士，主要从事公司治理研究。

F275.5

A

1673-1395 (2016)09-0046-04