浅谈公司治理、内部控制与风险管理的关系

摘要：随着现代企业制度的建立与发展，公司舞弊防范、经营和财务风险的防范成为现代企业制度所必需面临和解决的问题。为此，理论界和实务界提出了内部控制、公司治理和风险管理的各种控制规范和控制措施。研究三者的关系对于建立有效的企业控制体系、建立和完善现代企业制度关系重大。本文从公司治理、内部控制、风险管理的含义出发，研究三者的区别和联系，最后提出企业风险管理整合框架下公司治理、内部控制、风险管理关系整合的特点。

关键字：公司治理；内部控制；风险管理

一、公司治理、内部控制、风险管理的含义

狭义上，公司治理主要是指公司的股东，董事及经理层之间的关系；广义上，公司治理还包括公司与利益相关者（如员工、客户、供应商、债权人、社会公众）之间的关系，及有关法律、法规等。从经济学的角度看，公司治理起源于所有权和经营权的分离，其实质是解决因所有权与

内部控制是指一个单位的各级管理层，为了保护其经济资源的安全、完整，确保经济和会计信息的正_可靠，协调经济行为，控制经济活动，利用单位内部分工而产生的相互制约，相互联系的关系，形成一系列具有控制职能的方法、措施、程序，并予以规范化，系统化，使之成为一个严密的、较为完整的体系。

风险管理是指如何在项目或者企业一个肯定有风险的环境里把风险可能造成的不良影响减至最低的管理过程。

二、公司治理、内部控制、风险管理的关系

（一）公司治理与内部控制的区别与联系

1、公司治理与内部控制的区别

（1）构成内容不同。从狭义的角度看，公司治理是指有关公司董事会的功能、结构和股东权利等方面的制度安排，著名学者吴敬琏认为，狭义的公司治理是由股东大会、董事会和高层管理人员组成的组织结构。从广义的角度看，公司治理是指有关公司控制权或剩余索取权分配的一整套法律、文化和制度安排。

（2）结构不同。公司治理结构也分为狭义的公司治理结构和广义的公司治理结构。狭义的公司治理结构也称内部治理结构，是指公司的所有者与经营者和员工之间建立的权利与利益的分配与制衡关系及规制决策体系。

（3）采用的方法不同。公司治理是协调企业与所有利益相关者之间利益关系的制度安排，通常采用规则、守则、指南、制度和程序进行公司治理。与公司治理采用的方法不同，内部控制除使用制度、原则之外，更多的是采用具体方法。

（4）控制的侧重点不同。公司治理注重于对企业整体的把握，控制侧重于董事会、监事会、高级经理层的权责设置、有效运作和战略管理方面，内部控制侧重于公司战略的实施以及经营活动的效率、效果方面。

2、公司治理与内部控制的联系

从管理学的角度看，公司治理与内部控制的目的相同，都是为了控制企业风险。企业风险尽管按照不同的分类标准存在多种多样的风险，但从企业管理的角度看，企业风险一般包括公司治理风险（包括战略风险）、经营风险、财务风险、其他风险。其中公司治理风险属于公司治理的对象，经营风险、财务风险属于管理控制的对象。公司治理通过强化公司内部组织的功能与有效运作，实现事前、事中的监督，有效地避免了公司治理风险。内部控制通过内部环境、目标设定、事项识别、风险评估、风险反应、控制活动等程序，保证了企业战略目标和经营目标的实现。公司治理与内部控制的协调配合有效地控制了企业风险。

（二）内部控制与风险管理的区别与联系

1、内部控制与风险管理的区别

（1）活动范围不同。风险管理的范围更广。首先，它比内部控制增加了战略目标。其次，目前所提倡的风险管理包含了风险管理目标设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设定，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。

（2）范畴不同。风险管理贯穿于事前预测、事中控制和事后整改，而内部控制仅通过事中控制和事后整改以实现目标。内部控制只是管理的一项职能，是企业整体管理的有机组成部分。

（3）对风险的对策不同。风险管理框架引入了风险管理哲学、风险偏好等新内容，在风险评估要素中，风险管理要求考虑内在风险与剩余风险，以期望值、最坏情形值或概率分布度量风险，考虑时间偏好以及风险之间的关联作用。该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持前台决策流程等，这些内容都是内部控制框架中没有的。

2、内部控制与风险管理的联系

（1）它们都明确是一个“过程”，不是静态的结果，而是实现结果的一种方式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固定的。

（2）它们都是为企业目标的实现提供合理的保证。

（3）它们都由企业的董事会、管理层和其他人员实施，都受人的影响。

（4）全面风险管理有四大目标，其中经营目标、报告目标、合规目标与内部控制的目标相重合。

三、企业风险管理整合框架下公司治理、内部控制、风险管理整合

（一）管理范围的协调

风险管理整合框架下的内部控制是站在企业战略层面分析、评估和管理风险，是把对企业监督控制从细节控制提升到战略层面及公司治理层面。风险管理不仅仅关注内控建立，最主要的是关注内部控制运行与评价，从企业所有内外风险的角度为公司治理层、管理层持续改进内部控制设计和运行提供思路，风险管理比内部控制的范围要广泛得多。

（二）前动与后动的平衡

在风险管理整合框架下的内部控制既包括提前预测和评估各种现存和潜在风险，从企业整体战略的角度确定相应的内控应对措施来管理风险，达到控制的效果，又包括在问题或事件发生后采取后动反应，积极采取修复性和补救性的行为。显然，在未发生风险负面影响前即采取措施，更能够根据事件或风险的性质，降低风险的损失，降低成本，提高整体管理效率。

（三）治理、风险、控制的整合

依照风险管理的整体控制思维，扩展内部控制的内涵和外延，将治理、风险和控制作为一个整体为组织目标的实现提供保证。这一整合的过程将克服原本内部控制实施过程中内部控制与管理脱节的问题，整个组织风险管理的过程也是内部控制实施的过程，内控不再被人为地从企业整个流程中分离出来，提高了内部控制与组织的整合性和全员参与性。

（四）“从上到下”控制基础和“从下到上”风险基础执行模式的融合

在风险管理整合框架下的内部控制既体现内部控制从上到下的贯彻执行，也强调内部控制从下到上参与设计、反馈意见以及“倒逼”机制，即从上到下控制基础和从下到上风险基础的执行模式的融合。风险管理整合框架下的内部控制（风险管理）既包括管理层以下的监督控制，又包括管理层以上的治理控制，按照内部控制五要素分析内部治理控制。