戰(zhàn)略管理視角下的公司治理、內部控制、風險管理的關系框架

張鵬

摘要：自美國薩班斯法案實施以來，在金融危機和《企業(yè)風險廣利整合框架》的共同影響下，內部控制、公司治理、風險管理日漸成為社會、政府監(jiān)管部門、學術和實務界關注和研究的重要課題之一。然而直到今天，在理論界和實務界對它們三者之間的關系還存在分歧。本文首先深入分析了三者之間的關系，并基于戰(zhàn)略管理視角構建了三者之間的關系框架。

關鍵詞：公司治理 內部控制 風險管理 關系框架

一、公司治理、內部控制、風險管理之間的關系分析

（一）公司治理和內部控制的關系

1、聯(lián)系

一，從管理學而言，公司治理與內部控制目的都是為了控制企業(yè)風險。因為企業(yè)風險的多樣性，基于企業(yè)的戰(zhàn)略管理角度，公司風險包括治理風險（內含戰(zhàn)略風險）、經營風險、財務風險和其他風險。其中，經營風險和財務風險屬于管理控制的內容。只有協(xié)調好公司治理與內部控制的配合度，才能控制企業(yè)風險。二，公司治理中的內部治理在企業(yè)內部控制中占據(jù)頂層最高位置，它隸屬于內部控制。三，管理控制是公司治理內容中關于企業(yè)戰(zhàn)略方面的延伸和具體化，也是管理者對其他人員實現(xiàn)戰(zhàn)略目標的影響過程，足見，企業(yè)內部控制的關鍵就是管理控制。

2、區(qū)別

公司治理與內部控制兩者之間的區(qū)別在于：一，結構的區(qū)別。公司治理的結構同樣包括俠義和廣義兩種。COSO一項研究報告曾表示：內部控制的結構為塔形，塔頂為內部監(jiān)督，塔基為控制環(huán)境，塔身為風險評估和控制活動。二，構成內容的區(qū)別。根據(jù)眾多學者的研究可見，公司治理的構成內容分廣義和俠義兩種，它是利用（非）正式的內（外）部制度（機制）對企業(yè)及其利益關聯(lián)者之間的利益關系進行協(xié)調。而俠義的內部控制內容包括董事會治理、管理層管理控和操作管理層及員工的任務（作業(yè)）。三，方法的區(qū)別。公司治理更側重由政府監(jiān)管部門（如證監(jiān)會）或國際組織（如OECD）或社會團體制定的規(guī)則、程序和指南等的制度管理；而內部控制則是在制度管理的基礎上，更側重于運用組織規(guī)劃控制、全面預算控制、內部審計控制等更實際的方法。四，控制側重點的區(qū)別。公司治理重宏觀的整體，如權責的設置、運作的效率和戰(zhàn)略的管理等，而內部控制則傾力于戰(zhàn)略的被執(zhí)行情況和效果。

（二）內部控制和風險管理的關系

1、聯(lián)系

所謂企業(yè)風險，即因企業(yè)行為與企業(yè)目標出現(xiàn)重大偏離而生，為減少和規(guī)避風險，企業(yè)需對其及時有效地加以控制。控制過程應遵循以下幾個步驟：設定目標→風險識別→對企業(yè)內部制度和業(yè)務流程進行測試→識別并評估風險→設計并制定控制方案。該部分所提到的內部控制與控制風險、風險管理屬無本質上的區(qū)別，也即，風險控制包含內部控制和風險管理，只是表述方式不同而已。

2、區(qū)別

盡管內部控制和風險管理的本質并無區(qū)別，但COSO委員會卻在《內部控制——整體框架》后出臺了《企業(yè)風險管理——整合框架》，就其根源，在于兩者之間也存在一定的區(qū)別。《內部控制——整體框架》的不足點有：一，就控制目標的設定而言，COSO內部控制把控制流程當成追求目標，所以在風險評估和控制環(huán)節(jié)，經常會出現(xiàn)銜接脫節(jié)現(xiàn)象。而就控制流程而言，COSO內部控制框架流程將風險控制作為最終目標，而忽視了企業(yè)目標的執(zhí)行情況。二，目標體系不完善，內在邏輯性欠缺。雖然內部控制框架的三個內控目標間并無關于邏輯關系的明文界定，但該體系對財務報告目標關注過多，其他利益相關者經常將財務報告的可靠性放在首位，而忽視了重要的戰(zhàn)略信息。三，框架的操作性不強。該內部控制框架只提到了有關原則，而缺少文檔控制和內部控制測試等具體的指南，致使企業(yè)管理層很難識別控制缺陷。四，有效性評價標準不合理。這種內不科學的評價標準或者會給企業(yè)帶來風險。

綜上，企業(yè)風險管理框架的推出意義非凡，是對內部控制的進一步拓展和細化，豐滿了風險概念，可以說是內部控制理論研究的最高成就。

二、戰(zhàn)略管理視角下的理論分析和關系框架

在上述分析研究的基礎上，我們制定了能有效解決理論認識誤區(qū)和分歧問題的關系框架。如圖1所示。

說明：圖中控制和影響關系用實箭頭表示，反作用力用虛箭頭表示

上圖中，公司內部治理控制處于最頂端的位置，而管理控制則充當了主體部分，且不難發(fā)現(xiàn)，上一部分的內容對下一部分的內容具有控制作業(yè)，而下一部分在上一部分的控制下也會相應的產生反作用力。在第一部分的公司內部治理中，控制主體是董事會，管控對象是公司治理風險（戰(zhàn)略決策風險也包括在內）；在第二部分的管理控制階段，實施控制的主體是經營管理層，控制對象是企業(yè)經營和財務風險；第三部分的作業(yè)控制，控制主體和控制對象也都發(fā)生了變化。由于它們之間互為控制又互為反作用的特殊關系。有圖可知，圖1中的公司治理風險（包括戰(zhàn)略決策風險）、經營風險、財務風險和作業(yè)風險都屬于內部控制（即風險管理）內容，三者本質是相同的。它們的控制目標也具有高度一致性，即要“合理保證企業(yè)經營管理合法合規(guī)、資產安全；確保經營高效（效率和效果）、財務報告信息完整屬實；實現(xiàn)企業(yè)戰(zhàn)略目標。”

圖1中構建的關系框架對公司內部治理做了進一步整合，歸列入企業(yè)內部控制里，并作為內部控制的最高部分進行設計，該關系框架的構建實際上是根據(jù)現(xiàn)代企業(yè)的發(fā)展要求，巧妙地將公司治理轉化為了高效管理，具有合理可行性。它既符合經濟學對企業(yè)本質的假定，同時又符合內部控制理論，代表著當代公司治理研究的前沿理論。

三、結束語

眾所周知，在公司治理、內部控制和風險管理的關系研究中存在各種意見不一，本文就立足現(xiàn)代企業(yè)管理的現(xiàn)實需求，基于戰(zhàn)略管理視角構建了三者之間的關系框架。希望借由此文能理清理論研究誤區(qū)，為相關規(guī)范的制定和內部控制的評價研究，及公司管理者提供有益的思考。

參考文獻：

[1]李維安，戴文濤.公司治理、內部控制、風險管理的關系框架——基于戰(zhàn)略管理視角[J].審計與經濟研究，2013

[2]閆珍立.公司治理、內部控制、內部控制審計管理框架構建研究——基于戰(zhàn)略管理理論[J].中國內部審計，2014