公司治理、内部控制与风险管理在企业中如何实现有效融合

沈春燕

（云南建投第十六建设有限公司，云南 昆明 650021）

随着企业建设规模的不断扩大，徇私舞弊问题的现象日益加剧。另外，公司经营以及财务风险也逐渐增加，致使公司破产现象频发。受现代企业制度的影响，为确保公司的可持续发展，舞弊防范、经营风险防范以及财务风险防范已成为企业发展必须解决的问题。因此，在理论方面和实践方面均制定了公司治理、内部控制和风险管理在企业层面、国家层面以及国际层面上相关的控制规范以及措施，其主体呈现出了政府、企业以及民间共同协作的态势。目前，我国制定的方式主要为政府的行政法规。然而，公司治理、内部控制与风险管理的实际关系如何，依旧是问题解决的根本，假若三者具备相同性，则无需制定三种控制规范，避免企业控制的重复，并能降低企业控制成本。尤其是三者规范的制定主体各不相同时，企业在根据规范开展经营时则容易缺乏根据；假若三者问题的解决根本不相同时，在相应规范制定时首先应确定三者之间的界线，避免控制对象出现重复，且避免出现真空控制现象。因此，公司治理、内部控制与风险管理在企业中如何实现有效融合，对于现代企业的发展有着极为重要的意义。

一、公司治理、内部控制与风险管理的含义

对于现代企业而言，随着市场竞争日益激烈，企业面临着巨大发展压力的同时也迎来了发展机会。但对于企业而言，如若想要实现更为健康、可持续的发展，势必需要对于包括公司治理、内部管控以及风险管控等内容有深入全面的把控和认识。这些均为企业治理的重要基础内容，是企业实现发展的重要基石。故该部分就此类基础性理念展开深入探究，以便为接下去的深入探究奠定重要的基础。

1.公司治理

公司治理主要为权利安排，即约束所有权，并不能参与到公司的经营问题。根据《公司法》等相关内容可以发现公司治理结构的框架基本为所有者经法定形式进入企业，经企业内的权利机构、决策机构、监督机构和执行机构的共同作用确保所有者对企业的最终控制权，构成所有者、经营者和劳动者之间的激励机制以及制衡机制，并经领导体制、决策程序和责任制度的构建，确保三者均具备相应的权利，并对其行为构成一定的约束力。公司治理结构与《公司法》公司章程的关系合约，对公司各利益相关者起到了一定的规范作用，并对公司权利、责任和利益进行明确，构成权利制衡、控制和激励共存的机制。公司治理结构的优化通常为公司委托代理构建一套多层委托代理、权责明确、相互制衡与协调的制度来进行。

2.内部控制

内部控制是公司经营的管理要件，主要包括有五部分，分别为：（1）控制环境，即公司通过营造良好的工作氛围，不断提升企业内部成员实施控制的自觉性，并充分发挥出其他控制要素的作用；（2）风险评估，其目的在于对企业风险进行研究和管理控制活动；（3）控制活动，其作用是将控制方法具体化；（4）信息与沟通，其目的在于实现控制目标；（5）监督，其是实现对内部控制系统的再控制。

3.风险管理

企业风险管理是企业在未来经营和发展目标实现过程中，尝试将可能存在的影响因素所造成的结果控制在企业能接受范围内的方法和过程，从而保障企业的整体效益。企业董事会、管理机构以及其他职工均会对风险管理造成一定的影响，同时也可能会伴有其他对企业产生影响的情况，是实现企业目标的重要保障措施。与企业内部控制相比，风险管理的战略层次更高，其问题分析更为细化，且能更好地解决企业经营过程中出现的各类风险问题。

二、公司治理、内部控制与风险管理之间的关系

公司治理作为公司制度的核心构架，对提高企业经营质量和效率有着重要的意义。科学合理的内部控制制度是保障现代企业实现经营目标的重要措施。内部控制制度的构建通常为管理机构为实现管理目标制定的规则、政策和程序，与公司治理和公司管理关系紧密。内部控制结构和公司治理机制的关系等同于内部管理监督系统与制度环境的关系，是企业管理中所必须有的部分。内部控制的实质为风险控制，而风险来源主要包括有内部风险和外部风险，针对内部风险的控制则为内部控制，也从另一角度证明了风险管理是内部控制的重要环节，风险管理涵盖了内部控制，是风险管理中的一部分，两者之间的关系是一种相互依存、密不可分的内在关联。

1.目标一致性

公司治理的目标为保障公司的正常经营，避免公司出现财务违法现象，确保董事会提供的公司财务业绩具备真实性和公平性，且能不断提升企业经营效益以及综合实力水平。

内部控制的目标为构建和完善满足现代管理需求的内部组织结构，构建科学的决策、执行和监督机制，以更好的实现企业经营管理的目标。同时通过制定可行的风险控制体系，加强风险管理，确保企业的正常经营。另外，内部控制还能及时发现和防止企业经营过程中出现的各种隐患，避免企业出现欺诈和舞弊现象，确保企业财产的安全性和完整性。此外，其还能不断提升企业会计行为的规范性，确保会计资料的真实性和完整性，不断提升会计信息质量，并全面贯彻国家相关法律和企业内部规章制度。

风险管理的目的为在主体下达的任务范围内，管理机构制定相应的经营目标和发展方向。企业风险管理实现的目标类型主要包括有：（1）与使命关联并支撑其使命的高层次战略目标；（2）确保资源高效利用的经营目标；（3）确保报告可靠性的报告目标；（4）满足法律法规要求的合规目标。由于相关报告的可靠性和合法性以及法规目标在主体的可控范围内，企业风险管理能有效保障该类目标的实现。然而，战略目标以经营目标的显现并不完全取决于在主体控制范围内的事项，还有可能为外部事项，针对该类目标，企业风险管理能有效保障管理机构和具备监督作用的董事会及时对主体目标实现的情况进行了解。

2.公司治理为内部控制的前提，内部控制为公司治理的基础，风险管理包含内部控制

一旦公司缺乏系统有效的内部控制，其管理效果将极差。内部控制作为公司治理的基础，在公司治理前必须先进行相应的内部控制。构建内部控制中的控制环境时，其作为整体内部控制系统的基础，对其他要素起到支撑和决定作用。缺乏完善的法人治理结构，会造成公司监督机制的缺失，从而导致内部控制无法落实。因此，必须确保法人治理结构的完善，以保障内部控制的有效实施。风险管理涵盖了内部控制；内部控制是风险管理不可缺少的组成部分。COSO认定风险管理主要由8要素构成，即内部环境、目标设定、事件辨别、风险评估；风险对策、控制活动、信息与沟通以及监督。而内部控制由控制环境、风险评估、控制活动、信息与沟通以及监督构成，不难看出风险管理涵盖了内部控制。内部控制系统在风险管理中有着重要的作用，管理人员应提高对内部控制的重视。内部控制被风险管理视为降低和控制风险的一项措施，其过程复杂性高于内部控制。

由上可知，公司治理是内部控制的前提，内部控制是公司治理的基础，风险管理涵盖了内部控制。一旦缺乏内部控制，公司治理将无法正常进行，假若公司对公司治理结构不予以足够的重视，则风险管理开展难度较大。事实证明，缺乏完善有效的公司治理实则为一种风险。

3.公司治理、内部控制与风险管理的相辅相成、相互促进

内部控制与公司治理的关联性较高，一个完善的内部控制体系能很好的体现出公司治理结构的完善与否。另外，内部控制的创新和发展也能带动公司治理结构以及现代企业制度的构建。健全的公司治理结构能推动内部控制体系的构建和执行；完善的内部控制体系也有利于公司治理结构和现代企业制度的构建。因风险管理涵盖了内部控制，也不难看出公司治理与风险管理之间为相互包含的关系。

三、公司治理、内部控制与风险管理在企业中实现有效融合的措施

1.创造良好的内部控制环境

内部控制环境作为内部控制开展的基本要素，对提升企业发展力、管理其他风险要素以及企业内部控制的建立和施行均有重要的意义，也可以认为控制环境的好坏将直接关系到公司内部控制与风险管理的成效。相对较好的环境基础是企业实现稳定可持续健康发展的重要内容。一方面，较好的内部控制环境可以更好地助力于各项管控措施的落地；另一方面，也更有利于企业职员更好地执行落实，故而建设较好的内部控制环境尤为必要。（1）加强对内部控制的了解，形成风险管理理念。加强对内部控制的了解的前提是打破对传统内部控制的认识，充分认识到内部控制的层面不仅仅为会计层面，还应包含更高层次的战略目标。另外，企业的管理层和员工都应具备相应的风险管理意识，切实将其贯彻于企业的业务管理、职能管理、质量管理以及安全管理中。通过企业领导层的带头作用以及相关培训和规章制度来加强对企业风险管理理念的培养。（2）构建公司治理结构并明确各机构的职责。企业应明确各部门的职责，通过互相监督与牵制的方式，避免企业内部出现舞弊现象。经公司规章制度以及激励约束机制的构建来加强对各部门职责的落实。（3）完善法人治理结构，为全面风险管理的内控机制构建营造良好的内部控制环境。

2.制定企业战略目标，完善风险管理体系

企业结合企业使命设定企业的战略目标，即企业的最高目标。企业结合战略目标进行细化，并落实于各部门。在设定战略目标时应充分参考企业的风险可承受力，在战略目标实现过程中有可能出现的风险均应控制在企业风险可承受范围内。通过风险导向型内部控制机制的构建，将风险管理落实于企业的全过程中，有利于风险的有效控制。在企业风险管理机制的完善过程中，应注意以下几点：（1）构建风险预警体系。该体系的构建有利于企业及时发现发展机会，对风险评估和处理起到了一定的作用。经目标分析和过程分析等方式了解对企业目标存在影响的内部事项和外部事项，对其利弊进行分析，明确风险预警标准。（2）构建风险评估体系。针对已经存在的风险，企业应对其进行深入分析和评估，以辨别出潜在风险的种类，并对其产生的影响进行分析，并对重大风险予以重视。对已有的内部控制是否满足风险控制进行评估，同时在评估风险时还应注意风险组合观的应用。（3）构建风险反应机制。风险应对是控制风险的重要环节，主要包括有回避风险、降低风险、承担风险和分担风险。企业经风险评估后，还应根据风险的发生率和影响程度，制定不同的解决方案，尤其是重大风险的应对。

3.信息与沟通

为实现内部控制的有效开展，首先应确保企业内部与外部相关信息的准确性、及时性和充分性。其次，最高层管理人员应对企业相关信息予以足够的重视，及时掌握对企业价值有利的相关信息，并在企业构成从上到下、从下到上、纵横双向传递信息的有效途径和机制。最后，由于中间管理层与其员工的工作性质，通常会遇到与企业技术、市场和管理等相关的信息，能最早意识到问题的存在以及发现新的机遇。为确保该类信息能及时、准确的传递至相关管理机构，在构建具备开放性和畅通性信息传递途径的同时，还应确保管理机构具备想听的欲望，确保员工和中间管理层之间具备足够的信任，最高管理机构愿意了解其传递的信息并得以充分利用，从而实现相关信息向有关方面的及时反馈。该种做法，不论是对管理机构还是员工个人，都能充分发挥出所得信息的最大效益，特别是发现内部控制存在的潜在风险或弱势环节甚至是企业存在的风险，及时予以预防或纠正，最大程度上的确保企业的整体效益。

4.完善授权控制、预算管理和财务管理

（1）授权控制。在企业经营活动进行时，企业最高管理层应采用授权方式，为中间管理层和员工予以合理的工作依据。管理层的授权还应合理掌控授权范围，确保包含了所有所需的经营活动；授权的层次和责任应严格按照经济活动的重要性以及金额大小进行设定，避免出现权责含糊、权利重叠和责任真空现象的出现。（2）预算管理。预算管理是内部控制的重要步骤，对保障向现代企业治理结构规范性有着重要的意义。全面预算作为企业财务管理的关键构成部分，在某种意义上是对企业经济业务规划的授权，属于一项集体性工作，通常需全体员工的相互配合。经科学合理的预算管理，有利益相关经营活动的控制，提高企业资金的利用率，提高企业的经营效益。（3）财务管理。企业根据实际运营情况，严格按照企业相关的财务制度和会计制度进行财务管理，确保各管理层财务行为的合法性。通过会计的控制能力，有效保障财产的安全性；通过会计的反映能力，让董事会和管理层及时了解企业整体和所有责任中心的财务情况以及经营效果，并以此来对其经营活动进行评价和调控。

5.完善风险评价和监督机制

目前，企业可能存在的风险主要有市场风险、经营风险和财务风险。企业风险管理的目的在于及时发现可能存在的风险并施以正确的解决措施，以保障公司的整体效益。为此，内部审计人员应具备一定的风险意识，科学防范经营风险和财务风险，并对内部控制的薄弱点设置风险控制点。以公司治理来看，内部审计机构在审核企业会计账目的同时还应判断内部控制制度的完善程度以及企业内部各组织机构的执行力，并向企业最高层管理者提出建议和报告。

四、结语

在竞争日益加大的市场环境下，企业的经营和发展离不开完善的公司治理、良好的内部控制与有效的风险管理体系。为此，企业必须对公司治理、内部控制与风险管理予以足够的重视。企业经营过程中应提高对高风险领域的重视，不断加强风险意识，将风险管理意识落实到全员。企业通过公司治理、内部控制与风险管理的有机结合，不断完善企业的内控制度，构建风险管理制度以及科学防范企业风险，通过创造良好的内部控制环境，制定企业战略目标，加强企业信息与沟通，完善风险管理体系，完善授权控制、预算管理和财务管理，以及风险评价和监督机制的完善，才能全面保障企业的经营成效，促进企业的可持续发展。