公司治理、內部控制與風險管理在企業中如何實現有效融合

沈春燕

（云南建投第十六建設有限公司，云南 昆明 650021）

隨著企業建設規模的不斷擴大，徇私舞弊問題的現象日益加劇。另外，公司經營以及財務風險也逐漸增加，致使公司破產現象頻發。受現代企業制度的影響，為確保公司的可持續發展，舞弊防范、經營風險防范以及財務風險防范已成為企業發展必須解決的問題。因此，在理論方面和實踐方面均制定了公司治理、內部控制和風險管理在企業層面、國家層面以及國際層面上相關的控制規范以及措施，其主體呈現出了政府、企業以及民間共同協作的態勢。目前，我國制定的方式主要為政府的行政法規。然而，公司治理、內部控制與風險管理的實際關系如何，依舊是問題解決的根本，假若三者具備相同性，則無需制定三種控制規范，避免企業控制的重復，并能降低企業控制成本。尤其是三者規范的制定主體各不相同時，企業在根據規范開展經營時則容易缺乏根據；假若三者問題的解決根本不相同時，在相應規范制定時首先應確定三者之間的界線，避免控制對象出現重復，且避免出現真空控制現象。因此，公司治理、內部控制與風險管理在企業中如何實現有效融合，對于現代企業的發展有著極為重要的意義。

一、公司治理、內部控制與風險管理的含義

對于現代企業而言，隨著市場競爭日益激烈，企業面臨著巨大發展壓力的同時也迎來了發展機會。但對于企業而言，如若想要實現更為健康、可持續的發展，勢必需要對于包括公司治理、內部管控以及風險管控等內容有深入全面的把控和認識。這些均為企業治理的重要基礎內容，是企業實現發展的重要基石。故該部分就此類基礎性理念展開深入探究，以便為接下去的深入探究奠定重要的基礎。

1.公司治理

公司治理主要為權利安排，即約束所有權，并不能參與到公司的經營問題。根據《公司法》等相關內容可以發現公司治理結構的框架基本為所有者經法定形式進入企業，經企業內的權利機構、決策機構、監督機構和執行機構的共同作用確保所有者對企業的最終控制權，構成所有者、經營者和勞動者之間的激勵機制以及制衡機制，并經領導體制、決策程序和責任制度的構建，確保三者均具備相應的權利，并對其行為構成一定的約束力。公司治理結構與《公司法》公司章程的關系合約，對公司各利益相關者起到了一定的規范作用，并對公司權利、責任和利益進行明確，構成權利制衡、控制和激勵共存的機制。公司治理結構的優化通常為公司委托代理構建一套多層委托代理、權責明確、相互制衡與協調的制度來進行。

2.內部控制

內部控制是公司經營的管理要件，主要包括有五部分，分別為：（1）控制環境，即公司通過營造良好的工作氛圍，不斷提升企業內部成員實施控制的自覺性，并充分發揮出其他控制要素的作用；（2）風險評估，其目的在于對企業風險進行研究和管理控制活動；（3）控制活動，其作用是將控制方法具體化；（4）信息與溝通，其目的在于實現控制目標；（5）監督，其是實現對內部控制系統的再控制。

3.風險管理

企業風險管理是企業在未來經營和發展目標實現過程中，嘗試將可能存在的影響因素所造成的結果控制在企業能接受范圍內的方法和過程，從而保障企業的整體效益。企業董事會、管理機構以及其他職工均會對風險管理造成一定的影響，同時也可能會伴有其他對企業產生影響的情況，是實現企業目標的重要保障措施。與企業內部控制相比，風險管理的戰略層次更高，其問題分析更為細化，且能更好地解決企業經營過程中出現的各類風險問題。

二、公司治理、內部控制與風險管理之間的關系

公司治理作為公司制度的核心構架，對提高企業經營質量和效率有著重要的意義。科學合理的內部控制制度是保障現代企業實現經營目標的重要措施。內部控制制度的構建通常為管理機構為實現管理目標制定的規則、政策和程序，與公司治理和公司管理關系緊密。內部控制結構和公司治理機制的關系等同于內部管理監督系統與制度環境的關系，是企業管理中所必須有的部分。內部控制的實質為風險控制，而風險來源主要包括有內部風險和外部風險，針對內部風險的控制則為內部控制，也從另一角度證明了風險管理是內部控制的重要環節，風險管理涵蓋了內部控制，是風險管理中的一部分，兩者之間的關系是一種相互依存、密不可分的內在關聯。

1.目標一致性

公司治理的目標為保障公司的正常經營，避免公司出現財務違法現象，確保董事會提供的公司財務業績具備真實性和公平性，且能不斷提升企業經營效益以及綜合實力水平。

內部控制的目標為構建和完善滿足現代管理需求的內部組織結構，構建科學的決策、執行和監督機制，以更好的實現企業經營管理的目標。同時通過制定可行的風險控制體系，加強風險管理，確保企業的正常經營。另外，內部控制還能及時發現和防止企業經營過程中出現的各種隱患，避免企業出現欺詐和舞弊現象，確保企業財產的安全性和完整性。此外，其還能不斷提升企業會計行為的規范性，確保會計資料的真實性和完整性，不斷提升會計信息質量，并全面貫徹國家相關法律和企業內部規章制度。

風險管理的目的為在主體下達的任務范圍內，管理機構制定相應的經營目標和發展方向。企業風險管理實現的目標類型主要包括有：（1）與使命關聯并支撐其使命的高層次戰略目標；（2）確保資源高效利用的經營目標；（3）確保報告可靠性的報告目標；（4）滿足法律法規要求的合規目標。由于相關報告的可靠性和合法性以及法規目標在主體的可控范圍內，企業風險管理能有效保障該類目標的實現。然而，戰略目標以經營目標的顯現并不完全取決于在主體控制范圍內的事項，還有可能為外部事項，針對該類目標，企業風險管理能有效保障管理機構和具備監督作用的董事會及時對主體目標實現的情況進行了解。

2.公司治理為內部控制的前提，內部控制為公司治理的基礎，風險管理包含內部控制

一旦公司缺乏系統有效的內部控制，其管理效果將極差。內部控制作為公司治理的基礎，在公司治理前必須先進行相應的內部控制。構建內部控制中的控制環境時，其作為整體內部控制系統的基礎，對其他要素起到支撐和決定作用。缺乏完善的法人治理結構，會造成公司監督機制的缺失，從而導致內部控制無法落實。因此，必須確保法人治理結構的完善，以保障內部控制的有效實施。風險管理涵蓋了內部控制；內部控制是風險管理不可缺少的組成部分。COSO認定風險管理主要由8要素構成，即內部環境、目標設定、事件辨別、風險評估；風險對策、控制活動、信息與溝通以及監督。而內部控制由控制環境、風險評估、控制活動、信息與溝通以及監督構成，不難看出風險管理涵蓋了內部控制。內部控制系統在風險管理中有著重要的作用，管理人員應提高對內部控制的重視。內部控制被風險管理視為降低和控制風險的一項措施，其過程復雜性高于內部控制。

由上可知，公司治理是內部控制的前提，內部控制是公司治理的基礎，風險管理涵蓋了內部控制。一旦缺乏內部控制，公司治理將無法正常進行，假若公司對公司治理結構不予以足夠的重視，則風險管理開展難度較大。事實證明，缺乏完善有效的公司治理實則為一種風險。

3.公司治理、內部控制與風險管理的相輔相成、相互促進

內部控制與公司治理的關聯性較高，一個完善的內部控制體系能很好的體現出公司治理結構的完善與否。另外，內部控制的創新和發展也能帶動公司治理結構以及現代企業制度的構建。健全的公司治理結構能推動內部控制體系的構建和執行；完善的內部控制體系也有利于公司治理結構和現代企業制度的構建。因風險管理涵蓋了內部控制，也不難看出公司治理與風險管理之間為相互包含的關系。

三、公司治理、內部控制與風險管理在企業中實現有效融合的措施

1.創造良好的內部控制環境

內部控制環境作為內部控制開展的基本要素，對提升企業發展力、管理其他風險要素以及企業內部控制的建立和施行均有重要的意義，也可以認為控制環境的好壞將直接關系到公司內部控制與風險管理的成效。相對較好的環境基礎是企業實現穩定可持續健康發展的重要內容。一方面，較好的內部控制環境可以更好地助力于各項管控措施的落地；另一方面，也更有利于企業職員更好地執行落實，故而建設較好的內部控制環境尤為必要。（1）加強對內部控制的了解，形成風險管理理念。加強對內部控制的了解的前提是打破對傳統內部控制的認識，充分認識到內部控制的層面不僅僅為會計層面，還應包含更高層次的戰略目標。另外，企業的管理層和員工都應具備相應的風險管理意識，切實將其貫徹于企業的業務管理、職能管理、質量管理以及安全管理中。通過企業領導層的帶頭作用以及相關培訓和規章制度來加強對企業風險管理理念的培養。（2）構建公司治理結構并明確各機構的職責。企業應明確各部門的職責，通過互相監督與牽制的方式，避免企業內部出現舞弊現象。經公司規章制度以及激勵約束機制的構建來加強對各部門職責的落實。（3）完善法人治理結構，為全面風險管理的內控機制構建營造良好的內部控制環境。

2.制定企業戰略目標，完善風險管理體系

企業結合企業使命設定企業的戰略目標，即企業的最高目標。企業結合戰略目標進行細化，并落實于各部門。在設定戰略目標時應充分參考企業的風險可承受力，在戰略目標實現過程中有可能出現的風險均應控制在企業風險可承受范圍內。通過風險導向型內部控制機制的構建，將風險管理落實于企業的全過程中，有利于風險的有效控制。在企業風險管理機制的完善過程中，應注意以下幾點：（1）構建風險預警體系。該體系的構建有利于企業及時發現發展機會，對風險評估和處理起到了一定的作用。經目標分析和過程分析等方式了解對企業目標存在影響的內部事項和外部事項，對其利弊進行分析，明確風險預警標準。（2）構建風險評估體系。針對已經存在的風險，企業應對其進行深入分析和評估，以辨別出潛在風險的種類，并對其產生的影響進行分析，并對重大風險予以重視。對已有的內部控制是否滿足風險控制進行評估，同時在評估風險時還應注意風險組合觀的應用。（3）構建風險反應機制。風險應對是控制風險的重要環節，主要包括有回避風險、降低風險、承擔風險和分擔風險。企業經風險評估后，還應根據風險的發生率和影響程度，制定不同的解決方案，尤其是重大風險的應對。

3.信息與溝通

為實現內部控制的有效開展，首先應確保企業內部與外部相關信息的準確性、及時性和充分性。其次，最高層管理人員應對企業相關信息予以足夠的重視，及時掌握對企業價值有利的相關信息，并在企業構成從上到下、從下到上、縱橫雙向傳遞信息的有效途徑和機制。最后，由于中間管理層與其員工的工作性質，通常會遇到與企業技術、市場和管理等相關的信息，能最早意識到問題的存在以及發現新的機遇。為確保該類信息能及時、準確的傳遞至相關管理機構，在構建具備開放性和暢通性信息傳遞途徑的同時，還應確保管理機構具備想聽的欲望，確保員工和中間管理層之間具備足夠的信任，最高管理機構愿意了解其傳遞的信息并得以充分利用，從而實現相關信息向有關方面的及時反饋。該種做法，不論是對管理機構還是員工個人，都能充分發揮出所得信息的最大效益，特別是發現內部控制存在的潛在風險或弱勢環節甚至是企業存在的風險，及時予以預防或糾正，最大程度上的確保企業的整體效益。

4.完善授權控制、預算管理和財務管理

（1）授權控制。在企業經營活動進行時，企業最高管理層應采用授權方式，為中間管理層和員工予以合理的工作依據。管理層的授權還應合理掌控授權范圍，確保包含了所有所需的經營活動；授權的層次和責任應嚴格按照經濟活動的重要性以及金額大小進行設定，避免出現權責含糊、權利重疊和責任真空現象的出現。（2）預算管理。預算管理是內部控制的重要步驟，對保障向現代企業治理結構規范性有著重要的意義。全面預算作為企業財務管理的關鍵構成部分，在某種意義上是對企業經濟業務規劃的授權，屬于一項集體性工作，通常需全體員工的相互配合。經科學合理的預算管理，有利益相關經營活動的控制，提高企業資金的利用率，提高企業的經營效益。（3）財務管理。企業根據實際運營情況，嚴格按照企業相關的財務制度和會計制度進行財務管理，確保各管理層財務行為的合法性。通過會計的控制能力，有效保障財產的安全性；通過會計的反映能力，讓董事會和管理層及時了解企業整體和所有責任中心的財務情況以及經營效果，并以此來對其經營活動進行評價和調控。

5.完善風險評價和監督機制

目前，企業可能存在的風險主要有市場風險、經營風險和財務風險。企業風險管理的目的在于及時發現可能存在的風險并施以正確的解決措施，以保障公司的整體效益。為此，內部審計人員應具備一定的風險意識，科學防范經營風險和財務風險，并對內部控制的薄弱點設置風險控制點。以公司治理來看，內部審計機構在審核企業會計賬目的同時還應判斷內部控制制度的完善程度以及企業內部各組織機構的執行力，并向企業最高層管理者提出建議和報告。

四、結語

在競爭日益加大的市場環境下，企業的經營和發展離不開完善的公司治理、良好的內部控制與有效的風險管理體系。為此，企業必須對公司治理、內部控制與風險管理予以足夠的重視。企業經營過程中應提高對高風險領域的重視，不斷加強風險意識，將風險管理意識落實到全員。企業通過公司治理、內部控制與風險管理的有機結合，不斷完善企業的內控制度，構建風險管理制度以及科學防范企業風險，通過創造良好的內部控制環境，制定企業戰略目標，加強企業信息與溝通，完善風險管理體系，完善授權控制、預算管理和財務管理，以及風險評價和監督機制的完善，才能全面保障企業的經營成效，促進企業的可持續發展。