试析改善公司治理的控制框架

【论文摘要】伴随着所有权和经营权的日益分离，如何改善公司治理这个问题引起学者越来越多的关注，提出企业应当从当前的内部控制制度过渡到风险管理框架。风险管理包含了战略目标，能够产生经济效益，有利于企业合理的应对风险。

【论文关键词】公司治理；内部控制；风险管理

一、引言

伯利和米恩斯在1932年的《现代公与私有财产》详细分析研究现代企业所有权与经营权的分离程度，并阐述道：这种分离已经完全消除了所有者曾经行使的经营权所带来的制约与平衡。藉由这个强大的权力，经营者被认为是在追求自身的利益，忘了所有者的福利。由此引发公司的所有者与控制者之间的冲突屡见不鲜，公司治理就是要研究利益相关者的权利、责任及其互相作用和互相影响的关系。控制权是公司治理的基础，公司治理是控制权的实现。“监督”和“控制”是公司治理程序中的核心内容。这时，如何构造公司权力机关，建立公司内部各利益主体相互制约、相互控制的制衡机制，公司所有者如何监督和控制公司经营者的运作，以实现自身目标(如资产的保值、增值等)，达到自身利益的最大化，便是公司治理程序需要解决的问题。公司治理程序反映公司所有者对经营者的一种监督和控制机制。

公司治理程序规定和安排公司内部各权力机构的权力、职能和责任，并明确它们之间的关系，形成公司各权力机关之问相互监督、相互控制的有效的制衡机制；同时设计一个激励和约束机制，从而监督和控制经营者的行为，使之为保障和实现公司所有者和其他利益相关者的合法权益而努力工作；最后还要构建一个包括工作报告制度、信息披露制度在内的信息系统，使重大信息在公司各利益主体之间准确、及时的传递，以保证公司治理程序的有效性。

站在公司内部经营管理的角度，公司治理程序主要表现为两个方面：(1)公司治理程序首先表现为公司权力机构，决策机构、执行机构三者之间的分立制衡关系。股东大会作为公司最高权力机构，主要行使包括负责制定公司章程在内的重大事项的决定权；董事会作为决策机构，受全体股东的委托，具体制定和执行公司的战略决策，并受托于股东大会去监督和控制公司的管理层；高级管理层为公司决策的执行机构，依照公司章程和董事会的授权行使职责，并接受董事会的评判和监督。(2)公司治理程序不仅仅存在于公司的最高层，而且是分布在公司行政体系的每一个层次。这时，公司治理程序主要通过内部控制制度和风险管理框架进行构建。当所有者将财产委托给经营者经营后，经营者必须将这些财产分层委托给公司内各层次上的人员去实际占用、管理和运用，这时，所有者与经营者之间的委托关系延伸成为公司内部各个分权层次上的委托关系。由于经营者和公司内部各分权层次都具有独立的目标和利益，他们之间不可避免的会产生问题。内部控制制度和风险管理框架实际上是所有者对经营者的激励约束机制在公司内部的进一步延伸。

二、内部控制制度如何改善公司治理

1．建立董事会在内部控制中的核心地位。在现代公司制企业中，实际存在着这样一个契约控制权的授权过程——作为所有者的股东，除保留诸如通过投票选择董事与审计师、兼并和发行新股等剩余控制权外，将本应由他们拥有的契约控制权绝大部分授予了董事会，董事会则保留了聘用和解雇首席执行官、重大投资、兼并和收购等战略性的决策控制权，将包括日常的生产销售、雇用等决策管理权授予了公司经理阶层。由于市场环境不确定性和风险的普遍存在，从以上授权关系可以看出，董事会所掌握的企业契约中不可能完全明晰地决策控制对一家公司长期发展起着至关重要的作用，因而可以说经营的最终责任由董事会承担。也就是说，经理层的管理能使企业运转起来，董事会则能使企业向正确的方向良好地运转，因而成功的内部控制的核心必须是董事会。董事会在内部控制中的核心地位可以显著改善公司治理结构。

2．完善公司组织结构。组织结构是指组织内部的机构设置、职责与权限划分，责任机制，信息传递方式和相应的人员配备。组织结构往往是决定组织内部控制的基本条件，合理的组织结构既是公司治理的需要，也是实行科学管理的前提，它不仅有利于彼此配合及协调，提高工作效率，还便于进行相互检查和制约，纠正各种错弊。

三、风险管理框架如何改善公司治理

自1992年美国coso委员会于1994年修订的《内部控制框架》以来，该框架已在全球获得广泛的认可和应用，但理论界和实务界一直不断对其提出一些改进建议，强调内部控制整体框架的建立应与企业风险管理相结合。2004年9月的企业风险管理整体框架就是在1992年的研究成果一一《内部控制整体框架》报告的基础上，结合2002年《萨班斯一奥克斯利法案》在报告方面的要求，进行扩展研究得来的。风险是一个比内部控制更为广泛的概念，风险管理框架包括8个要素即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。风险管理整体框架建立在内部控制整体框架的基础上，内部控制则是企业风险管理必不可少的一部分。风险管理框架通过以下方面来改善公司治理：

1．建立全面的风险管理框架。组织的风险管理过程一般经过两个阶段：一是行为阶段；二是系统阶段。在早期的行为阶段，风险管理只是组织运行系统的一种外在行为。这个阶段的风险管理是非连续性的，往往是为某一具体的目的或具体的项目而开展，只对局部事件或结果进行控制。这种风险管理虽为风险管理，但是对于组织的经营系统来说，只是一种外部因素。行为阶段的风险管理存在着许多弱点，特别是当组织结构和业务变得越来越复杂，越来越庞大时，组织存在的风险因素也就越多。此时，仅仅对局部事件进行控制，难以防止所有的重大风险的发生。所以，风险管理一定要过渡到系统阶段，不仅仅对局部事件进行控制还要对全局实施全面的风险管理。公司治理在处理利益相关者的利益时，应该采用全面的风险管理框架来协调相互之间的利益。

2．建立植入型的风险管理。风险管理过程受到组织的运行过程的影响，甚至取决于组织的运行情况，不同的人对内部控制具有不同的理解和认识。作为风险防范的组织、人员或制度，风险管理处于组织运行之外，也常常使组织内部出现对风险管理的误解、不配合或抵触。为了解决这个问题，使风险管理成为大家都能接受的系统，就应当使这一系统植根于组织运行系统之中。也就是说，一项真正有效的风险管理框架是植入管理系统中的，而不是附加在管理系统之上。植入型风险管理是一种主动型质量控制系统，它是为了更好地实现公司治理的目标而采取的以经营管理系统为依托的控制系统。

四、结论

虽然，内部控制和全面风险管理都是改善公司的方式。但是，从两者的实质内容看，两者存在以下几项重要差异：一是内部控制仅是管理的一项职能，全面风险管理属于风险范畴，贯穿于管理过程的各个方面。二是在全面风险管理框架中，由于把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”，该框架可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险；内部控制框架没有区分风险和机会。三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略和风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的目标。这些内容都是内部控制框架中没有的，也是其所不能做到的。所以，在以后公司治理过程中，企业应当实施风险管理框架来改善公司治理。