【摘要】为保证财物安全、会计信息的真实性、经营效率、决策理性等，国内外理论界与实务界先后提出了内部控制、公司治理与风险管理等各种控制规范和措施。本文首先回顾了内部控制、公司治理与风险管理的相关研究，指出三者在实务中存在的问题，认为问题的根源在于三者“各自为政”。在论述内部控制、公司治理与风险管理整合可行性的基础上，提出了“大”风险管理概念，并针对实务中存在的问题，给出了相应的建议。

　　【关键词】内部控制；公司治理；风险管理；“大”风险管理

　　自企业诞生之日起，舞弊、欺诈频频发生，起初人们认为是内部控制出了问题，制定了一系列内部控制规范和措施；但事实证明大部分公司经营失败不是权力制衡出现问题，而是由于公司治理中的决策机制存在问题、决策过程缺乏监督机制，无法及时纠正错误的决策（John Pound，1995），管理层有机会和能力凌驾于内部控制之上，因而，人们开始以公司治理作为突破点研究内部控制。此后，巴林银行倒闭、安然和世界通信等一系列的财务丑闻爆发，企业面临的风险因素日益复杂，对传统的内部控制理论提出了新的挑战。此时，理论界和实务界纷纷认为内部控制应与企业的风险管理相结合（Stephen J. Root，1998）。

　　当前，国内也是内部控制、公司治理、风险管理规范并存：内部控制的主要依据是财政部、证监会、审计署、银监会、保监会2008年联合发布的《企业内部控制基本规范》；公司治理的依据是证监会2001年颁布的《上市公司治理准则》；风险管理的依据则是国资委2006年出台的《中央企业全面风险管理指引》。近年来，国内财务舞弊、欺诈、内部人控制现象越发严重，理论上、实践上都急需对三者的关系有明确的界定。

　　一、内部控制、公司治理与风险管理的关系：研究回顾

　　关于内部控制、公司治理、风险管理之间的关系，学者们分别从经济学、管理学原理等方面进行了解释，其中，多数学者以内部控制与公司治理关系、内部控制与风险管理关系进行分析。《企业内部控制基本规范》发布前后，少数学者开始将三者的关系纳入研究范围。

　　关于内部控制与公司治理的关系主要有三种观点：一是环境控制论，认为内部控制与公司治理的关系是主体与环境的关系，如阎达五（2001）指出内部控制框架与公司治理机制是内部控制管理监控系统与制度环境的关系；二是嵌合论，李连华（2005）在对公司治理结构和内部控制的各种理论元素进行对比分析的基础上，将两者的关系描述为嵌合关系；三是内部控制是公司治理的基础，如杨雄胜（2005）认为，内部控制是实现公司治理的基础设施建设。

　　关于内部控制与风险管理的关系，目前代表性的观点有三种：一是认为风险管理包含内部控制，COSO《企业风险管理——整合框架》（2004）中明确指出，风险管理包含内部控制，企业风险管理比内部控制范围广得多；二是认为内部控制包含风险管理，加拿大COCO报告（1995）认为，风险评估与风险管理是控制的关键要素；三是认为内部控制就是风险管理，Matthew Leitch （2004）认为，从理论上讲，风险管理系统与内部控制系统没有差异，这两个概念的外延变得越来越广，正在变为同一事物。

　　将三者置于同一框架内进行研究的文献不多见。谢志华（2007）认为，内部控制、公司治理、风险管理三者本质上具有相同性。马正凯（2008）认为，内部控制、公司治理、风险管理都属于企业管理的范畴，都是为了进行风险控制。

　　从上述回顾中能够看出，理论界已经公认三者关系密切，但是对于三者在概念的外延方面没有统一的观点，更没有形成内在一致的概念体系，这种状况阻碍了内部控制、公司治理、风险管理理论和实务的更高、更深层次发展。

　　二、我国企业内部控制、公司治理与风险管理实务中存在的问题

　　自20世纪90年代起，我国开始在企业大力推行内部控制，目前的研究大部分都是集中在规范设计方面，这在一定程度上反映出我国对内部控制的研究还停留在内部控制制度或者内部控制结构阶段（张立民、唐松华，2007）。现阶段，企业内部控制、公司治理、风险管理规范大体可以分为五个层次：一是基础性法规（财政部《内部会计控制规范》）；二是证监会发布的上市公司内控工作指引（《上市公司治理准则》）；三是各行业监管机构发布的内部控制制度（中国人民银行《商业银行内部控制指引》）；四是国资委针对中央企业颁布的内部控制框架指引（《中央企业全面风险管理指引》）；五是财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》。

　　我国频繁颁布的有关内部控制的法律规范说明，一方面，我国对内部控制的重视程度达到了前所未有的高度；另一方面，我国在这方面还未形成有效的系统性法律规范。我国的内部控制制度“救火式”的较多，对未来风险考虑不足，主要存在以下问题：

　　（一）现有规范不成体系

　　从上述企业内部控制、公司治理、风险管理规范可以看出，规范的制定主体不同，面向的具体对象也不一致，导致有的企业无规范可依，有的企业需要遵从两个甚至多个内部控制相关规范，可能使企业在遵循时变得无所适从。

　　（二）公司治理存在缺陷

　　公司治理是内部控制制度设计、运行的制度环境，也是管理层超越内部控制的重要约束机制。从公司治理结构来看，目前主流公司治理结构应该设有股东大会、董事会、监事会及公司管理层，但我国很多公司的董事长与总经理由一人担任，董事会与经理层是“一套人马，两块牌子”，导致对公司治理层面的风险缺乏关注。另外，我国由于国有资产所有者缺位问题的存在，由管理层实际控制企业，出现了较为严重的“内部人”控制现象。

　　（三）内部控制责任主体单一

　　目前，公司内部控制制度往往都是由经理层制定的，这种情况下经理层往往会出于自身利益的考虑制定出对自己有利的内部控制制度，而且，这本身就不符合不相容职务相分离原则。由于我国企业受体制等多方面因素的影响，董事会形同虚设，监事会也是如此，更使经理层成为唯一的内部控制责任主体，导致公司一切决策都由总经理一人拍板。因此，有必要让企业所有的利益相关者尤其是公司的股东和董事会意识到内部控制的重要性，加强对内部控制的制定和监督。

　　（四）监管者内部控制的强制性

　　由于监管者的内部控制要求具有强制性，但实际上与管理者对内部控制的需求又存在明显的不一致性，所以，从实施的后果来看，管理者在企业内部控制建设上的努力在很大程度上成了一种对监管者要求的遵循，而对企业自身经营管理的意义有限。

　　寻求上述问题的原因，主要在于内部控制、公司治理与风险管理三种理论“各自为政”，既在一定程度上相互重叠、相互协调，又在一定程度上相互独立、相互矛盾，可能导致对同一问题有不同的规范或者出现监督真空，阻碍了三者在理论上的发展与实务中的应用。倘若存在一种能够融合内部控制、公司治理与风险管理三者的理论，则可以解决上述问题。

　　三、内部控制、公司治理与风险管理的整合——“大”风险管理概念

　　在早期的企业中，为了保证财物安全以及会计信息的真实性，产生了内部牵制，内部牵制本身就是控制风险，而控制风险就是风险管理，所以内部控制是以风险管理为起点的（谢志华，2007）。随着企业由自然人企业向公司制企业过渡，由于所有权与经营权相分离，企业组织结构也日益复杂，相应的风险控制也由员工层次向经理层、董事会以至股东大会转换，风险控制也由内部控制发展为公司治理。尽管理论和实务界单独研究和实践了公司内部治理，但本质上仍然是为了控制风险，只是这种风险控制是基于新出现的公司组织层次，以及这些层次所要进行的行为，通过内部控制目标拓展和控制层次的提升就可以达成公司内部治理的要求，两者可以合二为一。并且在企业较高层次，企业面临的主要风险已经转变为市场竞争风险，所以风险控制就更加关注战略和经营风险。因而，笔者认为，内部控制与公司治理的实质都是风险控制，风险管理伴随二者的始终。因而可以对三者进行整合，形成一个“大”风险管理概念。

　　（一）董事会与经理层是内部控制与公司治理对接的载体

　　公司治理和内部控制产生的基础都是委托代理，具有同源性。但公司治理是基于所有权和控制权分离而建立的约束和激励的制度安排，主要包括所有者、董事会和经理层之间的关系；而内部控制基于分权管理而产生的不同层次代理人委托代理问题，主要解决企业内部董事会、经理层和各下级执行机构之间的关系。董事会和经理层是公司治理和内部控制的共同组成部分，是两者有机对接的载体。所以，当管理层超越内部控制时，对董事会和管理层的控制问题必须依赖公司治理的约束。公司治理与内部控制的关系如图1所示：

　　（二）内部控制与风险管理整合的可行性

　　1.从内容上看，企业有效的内部控制应包括内部环

　　境、风险评估、控制活动、信息与沟通、内部监督等五个要素。风险管理不仅包括了内部控制的五个要素，而且增加了目标设定、事件识别以及风险对策三个要素；风险管理将控制活动提到了战略层面，提到对治理层、管理层的行为也要管理的层面，侧重于围绕目标设定对风险的识别、评估和应对处理；从二者的框架结构来看，风险管理不仅包括内部控制的三个目标，而且增加了战略目标。

　　2.从目的说，风险管理的目的是要及时地发现风险、

　　预测风险以及防止风险可能造成的不良影响，并设法把这种不良影响控制在最低的程度上。内部控制就是企业内部采取的风险管理，主要是通过事后和过程的控制来实现其自身的目标，内部控制制度制定的主要依据是风险。

　　（三）“大”风险管理概念的提出

　　根据上述分析，内部控制与公司治理的实质都是风险控制，因企业制度、经营模式、环境的不同，风险管理具体目标、内容和层次不同，董事会与经理层是内部控制与公司治理的衔接点。在内部控制与风险管理的关系上，笔者认为从整体上来说，风险管理涵盖了内部控制，内部控制为风险管理的一方面。这三者实质、根本目的是相同的，因而可以建立一个“大”风险管理概念，这个概念包括了内部控制、公司治理以及传统的风险管理。

　　四、内部控制、公司治理与风险管理：改进措施

　　基于上述分析，笔者认为，在现代社会经济生活中，企业的内部控制、公司治理都应以风险管理为核心，以“大”风险管理概念为指引，建立健全风险管理体系。具体措施如下：

　　（一）建立完善的内部控制体系

　　目前我国对企业内部控制的认识还停留在内部控制制度或内部控制结构阶段。考虑到内部控制建设的现状及内部控制标准的指导性和可操作性，我国内部控制标准可分为基本规范和具体规范两个层次来构建：基本规范应是一套类似于COSO《企业风险管理——整合框架》那样的概念性的制度框架，具有强制力；具体规范可以是类似于COSO《企业风险管理——应用技术》，是参照性的，企业可以根据自己的情况遵照执行，这两个层次缺一不可。

　　（二）完善公司治理，加强治理层面的内部控制

　　内部控制中强化公司治理的作用在我国显得尤为重要。由于我国证券市场尚处于新兴加转轨阶段，公司治理形备而实不至，惟有强化公司治理，才能净化控制环境。我国应加强公司治理建设，使股东、董事会和管理层相互制衡，防止管理层超越内部控制。

　　（三）加强企业各阶层诚信教育，搭配高效的激励机制

　　完善的监督体系能从总体上提高公司内部控制的质量，但这是一种强制性的规范结果，只有通过提高全员的文化素质、职业道德和诚实品质，才能改变他们被动遵守公司规章的观念，形成一种自觉遵循与完善内部控制的氛围。良好的激励机制是企业发展的动力，只有调动、诱导和激发出人的自觉性、主动性，再配以科学合理的激励、监督体系，才能使内部控制制度得到遵守，使其发挥最大效用。

　　【参考文献】

　　［1］ 阎达五，杨有红.内部控制框架的构建［J］.会计研究，2001，（2）：9-14.

　　［2］ 李连华.公司治理结构与内部控制的链接与互动［J］.会计研究，2005，（2）：64-69.

　　［3］ 杨雄胜.内部控制理论研究新视野［J］.会计研究，2005,（7）：49-55.

　　［4］ 张立民，唐松华.内部控制、公司治理与风险管理——《托普典章》为什么不能拯救托普［J］.审计研究，2007，（5）：35-41.

　　［5］ 谢志华.内部控制、公司治理、风险管理：关系与整合［J］.会计研究，2007，（10）：37-45.

　　［6］ 马正凯.《企业内部控制基本规范》解读［J］.财会通讯，2008，（10）：80-82.

　　［7］ John Pound. The Promise of the Governed Corporation. Harvard Business Review, 1995, March.

　　［8］ Stephen J. Root, Beyond COSO Internal Control to Enhance Corporate Governance, New York: John Wiley & Sons,1998.

　　［9］ Leitch, Matthew. When is a Good Time to Talk about Saving Money on SOX 404 Compliance. Balance Sheet. 2004，12（4）: 6-7.