内部控制、风险管理与公司治理关系的综述

（新疆财经大学，新疆 乌鲁木齐 830012）

内部控制、风险管理与公司治理关系的综述

李黎

（新疆财经大学，新疆 乌鲁木齐 830012）

厘清内部控制、风险管理与公司治理的区别和联系，准确界定企业内部控制的内涵和外延可以帮助我们完善内部控制评价体系。本文分别从国外和国内两条路径入手梳理近几年对内部控制、风险管理与公司治理三者关系的主要报告和文献，归纳了学者对内部控制、风险管理与公司治理三者关系的研究成果，最后总结现有研究的贡献和存在的不足，并对未来的研究进行展望。

内部控制；风险管理；公司治理；文献综述

一、引言

近期COSO发布了2016版的《全面风险管理整合框架》，这是在原风险管理框架的基础上整合多方意见修订而成，可见COSO对其内部控制框架的研究和设计是不断丰富和发展的。国内外内部控制的研究很多，尤其在萨班斯法案颁布以后，内部控制更是受到理论界和实务界的重视，其中涉及内部控制的评价指标选择和指标体系建立是内部控制评价中最为核心的内容。为了解决评价指标的选择这个问题，我们有必要厘清内部控制、风险管理与公司治理的区别和联系，准确界定企业内部控制的内涵和外延（李维安，2013）。同时，厘清三者的关系，对企业建立有效的控制体系，落实风险管理机制，改进内部控制评价体系，进而完善现代企业制度有很大价值（陈建红，2016）。但目前，无论是在理论界还是在实践中，三者边界的界定较为混乱，不少学者因此对内部控制、风险管理与公司治理三者关系做了梳理，本文便是在此基础上对这些研究所作的一个综述。

二、三者的发展回顾

当下，国内外对三者的关系研究成果存在争议，主要是因为内部控制尚未有一个范畴上的定义，这使得理论研究难以深入（杨雄胜，2011）。虽然国内外学者在内部控制的基本定义上较为一致，但实践中，内部控制的内容随着社会对企业的监管需要以及企业对内部管理效率的追求而不断发展，其经历了：以岗位分离为特征的内部牵制阶段；将公司其他的管理与财务会计的相关控制区别开来的内部控制制度阶段；将控制环境作为要素之一纳入到内部控制范畴并将会计控制与管理控制整合为一体建立一个结构框架的内部控制结构阶段；以1992年COSO发布的《内部控制整体框架》为代表的整体框架阶段；到现在以公司战略目标为基础、以全面风险管理为手段的风险管理整体框架阶段。从内部控制的发展历程可以看出内部控制主要是通过设计合理标准的管理系统，以内部牵制为根本，以防范舞弊和控制风险为重点，运用一整套综合手段提升管理效率以期实现公司战略的一个管理过程。（吴辉航，2014）

针对风险管理，严复海（2007）依据不同时期的关键事件引起的宏微观环境变化进而改变企业风险控制的策略以及理论界对风险管理发展阶段的划分，作者将风险管理的发展分为三个时期，分别是传统风险管理阶段、现代风险管理阶段和全面风险管理阶段。在传统风险管理时期，风险管理的内容主要针对的是保险金融行业的信用风险和财务风险；到了现代风险管理时期，风险管理对各行业的公司管理者提出了更高的要求，要求管理者对风险的认识要具备组合观和整体观；第三个阶段便是目前我们熟知的全面风险管理阶段，这一阶段代表事件是COSO在2004年发布了《全面风险管理整合框架》，该版本是在COSO1992年发布的内部控制框架基础上，引入全面风险管理的综合管理手段以应对企业当今面临的更为复杂的风险。

公司治理的理论研究基础主要是以产业经济学中的委托代理、信息不对称以及利益相关者理论为主。2004年经济合作与发展组织发布的《公司治理准则》将公司治理的对象描述成为一种关系，这种关系涉及到公司的每一位利益相关者，公司治理可以看作是对这一系列利益关系加以协调控制的管理体系。黄亿红（2013）对公司治理的演进进行了梳理，从公司治理的概念、核心以及公司治理的关键问题等角度总结出公司治理经历了内涵从狭义到广义；核心从权利制衡到决策科学；关键问题从代理问题到战略和经营风险等问题。

三、国外的相关文献

国外对于三者关系的研究主要以英美两国颁布的一系列相关报告和准则指南为代表。英国主要有卡德伯利报告（1992）、拉德曼报告（1994）、格林伯利报告（1995）、哈姆佩尔报告（1998）以及特恩布尔报告（1999），以上几份报告是英国较早也是较为全面的内部控制与公司治理的关系的研究成果，具有里程碑意义。其中特恩布尔报告（Turnbull Report）作为公司治理的一个更具有综合性的准则指南，更清楚地阐述了董事会在内部控制中的地位与责任，同时指出，董事会应以小心谨慎的态度详细了解与公司内部控制相关的信息，在此基础之上形成对内部控制是否有效的正确判断并对内控的有效性负责。另一方面，美国学者也对内部控制与公司治理的关系做了大量实证研究。在萨班斯法案404条款这个堪称美国历史上最严厉的公司法案条款的颁布之后，美国学者借此制度研究契机，涌现出大批的内部控制研究，这其中Richard Y Roberts（2004）重点分析了萨班斯法案中的404条款，得到的结论是内部控制的评价、信息披露、审计对公司治理有重要影响。Rani Hoistash，Jean C.Bedard（2009）则通过比较萨班斯法案中较为宽松的302条款和较为严格的404条款两种程度不同的监管制度，指出公司治理的效率在较为严格的监管制度下对内部控制的有效性相较于宽松的监管制度有一个更大的影响。

综合以上可以看出，国外学者大体上认同内部控制属于公司治理体系中的不可或缺组成部分，而风险控制则是前两者的共同出发点，内部控制的有效性与公司治理的效率是相辅相成、相互影响的。

四、国内的相关文献

1、内部控制与公司治理的关系

近几年内部控制与公司治理的关系在国内理论界较为流行的主要有环境说、嵌合说以及基础说。阎达五、杨有红在2001年提出环境说，认为公司治理是内部控制的环境要素，在公司治理有效率的前提下内部控制的有效性才得以发挥。公司治理是制度环境，而内部控制则是在公司治理制度下的内部管理监控系统。这一理论将内部控制内嵌于公司治理之中，认为内部控制是受到公司治理效果影响的，但并没指明内部控制对公司治理的是否具有反作用; 而李连华（2005）则认为二者是相互包含相互影响的关系，也即是嵌合的关系。嵌合说强调的是二者的内生性，既是二者是同一个系统内部的两个要素，强调二者之间相互的影响力以及由此形成的内在结构性。杨雄胜（2005）从经济学、管理学和审计学的相关理论研究作为切入点，提出了与环境说相反的基础说，认为内部控制是实现公司治理的基础设施，离开内部控制这一基础设施的公司治理是无法有效运行的。

张立民（2007）从产业经济学的代理理论出发分析了内部控制与公司治理二者关系，得到的结论是：内部控制是公司治理契约在企业内部的延伸，且董事会和经理层是公司治理和内部控制共同组成部份，是两者有机对接的载体。李维安（2013）则认为公司治理与内部控制既有区别又有联系，二者在构成要素、结构、采用的方法以及控制的侧重点等四个方面有所区别，但在最根本的目的上是一致的，都是为了对企业的风险加以控制。在二者的联系方面，公司治理中的内部治理包含于内部控制之中，是内部控制的顶层设计；内部控制中的管理控制是公司治理战略层面的延伸和具体化。

国内的学者对内部控制与公司治理二者的关系争论点更多集中在二者是包含关系还是两个系统之间的关系，但在二者的最终目标上基本上是达成共识的，都是为了完成企业的战略目标。

2、内部控制与风险管理的关系

内部控制与风险管理之间的关系，COSO的观点是风险管理涵盖内部控制，其表述是：“内部控制是企业风险管理不可分割的一部分。”白华（2012）从COSO框架、我国的《企业内部控制基本规范》、英国的turnbull报告出发，发现内部控制与风险管理在这三份文件中基本可以互相替代或者同时提出，由此得出，内部控制与风险管理涵义相同，并且，公司治理中体现了内部控制或风险管理思想，三者在本质上具有一致性，因此它们可以在同一套企业管理制度中合而为一。我们可以看出，COSO和白华都认为内部控制与风险管理二者是同义语，这一观点也得到了谢志华的支持。

内部控制与风险管理的关系，我国学者与国外学者的观点较为一致，认为风险管理是内部控制内容的延伸和拓展，内部控制内化成为风险管理的不可缺少的一部分。

3、内部控制、风险管理与公司治理三者关系

谢志华（2007）运用逻辑推理的方法，从回顾三者发展历程的角度，探究了三者的内在本质关联性，作者认为内部控制是公司治理的地基，而风险管理实质上涵盖了内部控制，由此得出风险管理也是公司治理的地基。正如地基相对于地基之上的建筑物而言是不可分离的，离开地基的建筑物便是空中楼阁，而没有建筑物的地基便没有了实际用途，所以二者实质上是一个完整的整体，因此谢志华认为三者是一体的，这也是谢志华提出的整合理论的中心思想。

黄亿红（2013）则认为三者既有联系又有所区别。作者从理论基础来区别三者：内部控制主要是以审计学、会计学为理论基础；公司治理的理论基础是以产权经济学为主；而风险管理则主要由管理学理论为支撑。三者之间的相互联系表现为：公司治理是一种制度安排，内部控制则是一种管理过程。内部控制从属于公司治理，公司治理是内部控制的制度环境。风险管理是内部控制的延伸，因此说公司治理同样为风险管理提供平台和制度环境。

五、总结与展望

如前所述，当下学者对三者的关系和边界界定尚未有一个统一的标准，政策制定者在制定相关准则和指南的时候，也会由于缺乏清晰的认识而将三者的某些职能混为一谈，这在评价内部控制和公司治理效率的过程中给执行者带来一定的困惑和额外的成本。因此我们目前亟需解决的一个问题是厘清三者的关系，并在此基础上完善相关评价体系，这样既可以避免公司在评价内部控制有效性与公司治理效率时流于形式，又可节约相关的评价成本。

[1] 李维安、戴文涛：公司治理、内部控制、风险管理的关系框架——基于战略管理视角[J]．审计与经济研究，2013．

[2] 杨雄胜：内部控制范畴定义探索[J]．会计研究，2011．

[3] 阎达五、杨有红：内部控制框架的构建[J]．会计研究，2001．

[4] 谢志华：内部控制、公司治理、风险管理：关系与整合[J]．会计研究，2007．

[5] 李连华：内部控制理论结构 [M]．厦门：厦门大学出版社，2007．

[6] 白华：内部控制、公司治理与风险管理——一个职能论的视角[J]．经济学家，2012．

[7] 黄亿红、何宜庆、梁国萍：基于系统演进的内部控制、公司治理及风险管理互动探讨[J]．财会通讯，2013．

[8] RY Roberts，RP Swanson，J Dinneen．Spilt milk：Parmalat and Sarbanes-Oxley internal controls reporting[J]．INTERNATIONAL JOURNAL OF DISCLOSURE AND GOVERNANCE，2004.

（责任编辑：占雨秀）