【摘要】為保證財物安全、會計信息的真實性、經營效率、決策理性等，國內外理論界與實務界先后提出了內部控制、公司治理與風險管理等各種控制規范和措施。本文首先回顧了內部控制、公司治理與風險管理的相關研究，指出三者在實務中存在的問題，認為問題的根源在于三者“各自為政”。在論述內部控制、公司治理與風險管理整合可行性的基礎上，提出了“大”風險管理概念，并針對實務中存在的問題，給出了相應的建議。

　　【關鍵詞】內部控制；公司治理；風險管理；“大”風險管理

　　自企業誕生之日起，舞弊、欺詐頻頻發生，起初人們認為是內部控制出了問題，制定了一系列內部控制規范和措施；但事實證明大部分公司經營失敗不是權力制衡出現問題，而是由于公司治理中的決策機制存在問題、決策過程缺乏監督機制，無法及時糾正錯誤的決策（John Pound，1995），管理層有機會和能力凌駕于內部控制之上，因而，人們開始以公司治理作為突破點研究內部控制。此后，巴林銀行倒閉、安然和世界通信等一系列的財務丑聞爆發，企業面臨的風險因素日益復雜，對傳統的內部控制理論提出了新的挑戰。此時，理論界和實務界紛紛認為內部控制應與企業的風險管理相結合（Stephen J. Root，1998）。

　　當前，國內也是內部控制、公司治理、風險管理規范并存：內部控制的主要依據是財政部、證監會、審計署、銀監會、保監會2008年聯合發布的《企業內部控制基本規范》；公司治理的依據是證監會2001年頒布的《上市公司治理準則》；風險管理的依據則是國資委2006年出臺的《中央企業全面風險管理指引》。近年來，國內財務舞弊、欺詐、內部人控制現象越發嚴重，理論上、實踐上都急需對三者的關系有明確的界定。

　　一、內部控制、公司治理與風險管理的關系：研究回顧

　　關于內部控制、公司治理、風險管理之間的關系，學者們分別從經濟學、管理學原理等方面進行了解釋，其中，多數學者以內部控制與公司治理關系、內部控制與風險管理關系進行分析。《企業內部控制基本規范》發布前后，少數學者開始將三者的關系納入研究范圍。

　　關于內部控制與公司治理的關系主要有三種觀點：一是環境控制論，認為內部控制與公司治理的關系是主體與環境的關系，如閻達五（2001）指出內部控制框架與公司治理機制是內部控制管理監控系統與制度環境的關系；二是嵌合論，李連華（2005）在對公司治理結構和內部控制的各種理論元素進行對比分析的基礎上，將兩者的關系描述為嵌合關系；三是內部控制是公司治理的基礎，如楊雄勝（2005）認為，內部控制是實現公司治理的基礎設施建設。

　　關于內部控制與風險管理的關系，目前代表性的觀點有三種：一是認為風險管理包含內部控制，COSO《企業風險管理——整合框架》（2004）中明確指出，風險管理包含內部控制，企業風險管理比內部控制范圍廣得多；二是認為內部控制包含風險管理，加拿大COCO報告（1995）認為，風險評估與風險管理是控制的關鍵要素；三是認為內部控制就是風險管理，Matthew Leitch （2004）認為，從理論上講，風險管理系統與內部控制系統沒有差異，這兩個概念的外延變得越來越廣，正在變為同一事物。

　　將三者置于同一框架內進行研究的文獻不多見。謝志華（2007）認為，內部控制、公司治理、風險管理三者本質上具有相同性。馬正凱（2008）認為，內部控制、公司治理、風險管理都屬于企業管理的范疇，都是為了進行風險控制。

　　從上述回顧中能夠看出，理論界已經公認三者關系密切，但是對于三者在概念的外延方面沒有統一的觀點，更沒有形成內在一致的概念體系，這種狀況阻礙了內部控制、公司治理、風險管理理論和實務的更高、更深層次發展。

　　二、我國企業內部控制、公司治理與風險管理實務中存在的問題

　　自20世紀90年代起，我國開始在企業大力推行內部控制，目前的研究大部分都是集中在規范設計方面，這在一定程度上反映出我國對內部控制的研究還停留在內部控制制度或者內部控制結構階段（張立民、唐松華，2007）。現階段，企業內部控制、公司治理、風險管理規范大體可以分為五個層次：一是基礎性法規（財政部《內部會計控制規范》）；二是證監會發布的上市公司內控工作指引（《上市公司治理準則》）；三是各行業監管機構發布的內部控制制度（中國人民銀行《商業銀行內部控制指引》）；四是國資委針對中央企業頒布的內部控制框架指引（《中央企業全面風險管理指引》）；五是財政部、證監會、審計署、銀監會、保監會聯合發布的《企業內部控制基本規范》。

　　我國頻繁頒布的有關內部控制的法律規范說明，一方面，我國對內部控制的重視程度達到了前所未有的高度；另一方面，我國在這方面還未形成有效的系統性法律規范。我國的內部控制制度“救火式”的較多，對未來風險考慮不足，主要存在以下問題：

　　（一）現有規范不成體系

　　從上述企業內部控制、公司治理、風險管理規范可以看出，規范的制定主體不同，面向的具體對象也不一致，導致有的企業無規范可依，有的企業需要遵從兩個甚至多個內部控制相關規范，可能使企業在遵循時變得無所適從。

　　（二）公司治理存在缺陷

　　公司治理是內部控制制度設計、運行的制度環境，也是管理層超越內部控制的重要約束機制。從公司治理結構來看，目前主流公司治理結構應該設有股東大會、董事會、監事會及公司管理層，但我國很多公司的董事長與總經理由一人擔任，董事會與經理層是“一套人馬，兩塊牌子”，導致對公司治理層面的風險缺乏關注。另外，我國由于國有資產所有者缺位問題的存在，由管理層實際控制企業，出現了較為嚴重的“內部人”控制現象。

　　（三）內部控制責任主體單一

　　目前，公司內部控制制度往往都是由經理層制定的，這種情況下經理層往往會出于自身利益的考慮制定出對自己有利的內部控制制度，而且，這本身就不符合不相容職務相分離原則。由于我國企業受體制等多方面因素的影響，董事會形同虛設，監事會也是如此，更使經理層成為唯一的內部控制責任主體，導致公司一切決策都由總經理一人拍板。因此，有必要讓企業所有的利益相關者尤其是公司的股東和董事會意識到內部控制的重要性，加強對內部控制的制定和監督。

　　（四）監管者內部控制的強制性

　　由于監管者的內部控制要求具有強制性，但實際上與管理者對內部控制的需求又存在明顯的不一致性，所以，從實施的后果來看，管理者在企業內部控制建設上的努力在很大程度上成了一種對監管者要求的遵循，而對企業自身經營管理的意義有限。

　　尋求上述問題的原因，主要在于內部控制、公司治理與風險管理三種理論“各自為政”，既在一定程度上相互重疊、相互協調，又在一定程度上相互獨立、相互矛盾，可能導致對同一問題有不同的規范或者出現監督真空，阻礙了三者在理論上的發展與實務中的應用。倘若存在一種能夠融合內部控制、公司治理與風險管理三者的理論，則可以解決上述問題。

　　三、內部控制、公司治理與風險管理的整合——“大”風險管理概念

　　在早期的企業中，為了保證財物安全以及會計信息的真實性，產生了內部牽制，內部牽制本身就是控制風險，而控制風險就是風險管理，所以內部控制是以風險管理為起點的（謝志華，2007）。隨著企業由自然人企業向公司制企業過渡，由于所有權與經營權相分離，企業組織結構也日益復雜，相應的風險控制也由員工層次向經理層、董事會以至股東大會轉換，風險控制也由內部控制發展為公司治理。盡管理論和實務界單獨研究和實踐了公司內部治理，但本質上仍然是為了控制風險，只是這種風險控制是基于新出現的公司組織層次，以及這些層次所要進行的行為，通過內部控制目標拓展和控制層次的提升就可以達成公司內部治理的要求，兩者可以合二為一。并且在企業較高層次，企業面臨的主要風險已經轉變為市場競爭風險，所以風險控制就更加關注戰略和經營風險。因而，筆者認為，內部控制與公司治理的實質都是風險控制，風險管理伴隨二者的始終。因而可以對三者進行整合，形成一個“大”風險管理概念。

　　（一）董事會與經理層是內部控制與公司治理對接的載體

　　公司治理和內部控制產生的基礎都是委托代理，具有同源性。但公司治理是基于所有權和控制權分離而建立的約束和激勵的制度安排，主要包括所有者、董事會和經理層之間的關系；而內部控制基于分權管理而產生的不同層次代理人委托代理問題，主要解決企業內部董事會、經理層和各下級執行機構之間的關系。董事會和經理層是公司治理和內部控制的共同組成部分，是兩者有機對接的載體。所以，當管理層超越內部控制時，對董事會和管理層的控制問題必須依賴公司治理的約束。公司治理與內部控制的關系如圖1所示：

　　（二）內部控制與風險管理整合的可行性

　　1.從內容上看，企業有效的內部控制應包括內部環

　　境、風險評估、控制活動、信息與溝通、內部監督等五個要素。風險管理不僅包括了內部控制的五個要素，而且增加了目標設定、事件識別以及風險對策三個要素；風險管理將控制活動提到了戰略層面，提到對治理層、管理層的行為也要管理的層面，側重于圍繞目標設定對風險的識別、評估和應對處理；從二者的框架結構來看，風險管理不僅包括內部控制的三個目標，而且增加了戰略目標。

　　2.從目的說，風險管理的目的是要及時地發現風險、

　　預測風險以及防止風險可能造成的不良影響，并設法把這種不良影響控制在最低的程度上。內部控制就是企業內部采取的風險管理，主要是通過事后和過程的控制來實現其自身的目標，內部控制制度制定的主要依據是風險。

　　（三）“大”風險管理概念的提出

　　根據上述分析，內部控制與公司治理的實質都是風險控制，因企業制度、經營模式、環境的不同，風險管理具體目標、內容和層次不同，董事會與經理層是內部控制與公司治理的銜接點。在內部控制與風險管理的關系上，筆者認為從整體上來說，風險管理涵蓋了內部控制，內部控制為風險管理的一方面。這三者實質、根本目的是相同的，因而可以建立一個“大”風險管理概念，這個概念包括了內部控制、公司治理以及傳統的風險管理。

　　四、內部控制、公司治理與風險管理：改進措施

　　基于上述分析，筆者認為，在現代社會經濟生活中，企業的內部控制、公司治理都應以風險管理為核心，以“大”風險管理概念為指引，建立健全風險管理體系。具體措施如下：

　　（一）建立完善的內部控制體系

　　目前我國對企業內部控制的認識還停留在內部控制制度或內部控制結構階段。考慮到內部控制建設的現狀及內部控制標準的指導性和可操作性，我國內部控制標準可分為基本規范和具體規范兩個層次來構建：基本規范應是一套類似于COSO《企業風險管理——整合框架》那樣的概念性的制度框架，具有強制力；具體規范可以是類似于COSO《企業風險管理——應用技術》，是參照性的，企業可以根據自己的情況遵照執行，這兩個層次缺一不可。

　　（二）完善公司治理，加強治理層面的內部控制

　　內部控制中強化公司治理的作用在我國顯得尤為重要。由于我國證券市場尚處于新興加轉軌階段，公司治理形備而實不至，惟有強化公司治理，才能凈化控制環境。我國應加強公司治理建設，使股東、董事會和管理層相互制衡，防止管理層超越內部控制。

　　（三）加強企業各階層誠信教育，搭配高效的激勵機制

　　完善的監督體系能從總體上提高公司內部控制的質量，但這是一種強制性的規范結果，只有通過提高全員的文化素質、職業道德和誠實品質，才能改變他們被動遵守公司規章的觀念，形成一種自覺遵循與完善內部控制的氛圍。良好的激勵機制是企業發展的動力，只有調動、誘導和激發出人的自覺性、主動性，再配以科學合理的激勵、監督體系，才能使內部控制制度得到遵守，使其發揮最大效用。

　　【參考文獻】

　　［1］ 閻達五，楊有紅.內部控制框架的構建［J］.會計研究，2001，（2）：9-14.

　　［2］ 李連華.公司治理結構與內部控制的鏈接與互動［J］.會計研究，2005，（2）：64-69.

　　［3］ 楊雄勝.內部控制理論研究新視野［J］.會計研究，2005,（7）：49-55.

　　［4］ 張立民，唐松華.內部控制、公司治理與風險管理——《托普典章》為什么不能拯救托普［J］.審計研究，2007，（5）：35-41.

　　［5］ 謝志華.內部控制、公司治理、風險管理：關系與整合［J］.會計研究，2007，（10）：37-45.

　　［6］ 馬正凱.《企業內部控制基本規范》解讀［J］.財會通訊，2008，（10）：80-82.

　　［7］ John Pound. The Promise of the Governed Corporation. Harvard Business Review, 1995, March.

　　［8］ Stephen J. Root, Beyond COSO Internal Control to Enhance Corporate Governance, New York: John Wiley & Sons,1998.

　　［9］ Leitch, Matthew. When is a Good Time to Talk about Saving Money on SOX 404 Compliance. Balance Sheet. 2004，12（4）: 6-7.