会计研究2007 10内部控制、公司治理、风险管理:关系与整合谢志华(北京工商大学 100037)摘要 为了控制企业可能存在的风险,在企业的发展过程中,相继产生了内部控制、公司治理和风险管理等框架。

关于三者关系理论界和实务界一直都在进行争论,但时至今日并未达成统一的认识,特别伴随COSO 企业风险管理 整体框架 的发布以及我国财政部 企业内部控制规范 基本规范 的出台,三者关系的讨论就不仅仅是理论问题,而是实践中必须要解决的问题了。

本文从历史回顾和逻辑推理的角度,探讨了三者本质的相同性,以此为基础,对三者进行了整合,构建了基于风险管理的整合框架。

这既避免了企业管理体系的交叉、重复,又实现了各种管理体系的一体化。

关键词 内部控制 公司治理 风险管理 关系 整合一、导论随着公司制企业的建立,频频爆发舞弊丑闻。

同时,公司面临的经营和财务风险不断增加,风险程度不断提高,以致公司破产不断出现。

在现代企业制度的建立与发展的同时,公司舞弊防范、经营和财务风险的防范就成为了现代企业制度所必需面临和解决的问题。

为此,理论界和实务界提出了内部控制、公司治理和风险管理的各种控制规范和控制措施。

这些控制规范和控制措施不仅在企业层面也在国家层面、甚至国际层面制定,制定的主体也出现了企业、民间和政府同心协力的局面,在我国主要采取政府以行政法规的形式制定。

但根本的问题仍然在于内部控制、公司治理、风险管理这三者到底是何种关系,如果这三者所要解决的问题从根本上说是一致的,就没有必要制定三种控制规范,只会导致企业控制重复进行,并使企业控制成本增加。

特别当三个规范的制定主体不相同时,还会导致企业遵循这些规范时变得无所适从;如果这三者所要解决的问题从根本上说是不一致的,那么在制定这三种规范时必须找到他们的边界,这意味着每一种控制的对象不可以交叉,也不可以留下控制真空。

所以研究三者的关系对于建立有效的企业控制体系,或者更直接的说对于建立和完善现代企业制度关系重大。

二、内部控制、公司治理、风险管理:三者关系论争的回顾关于三者的关系,学界已经进行过一些研究与探讨,归结起来主要有以下结论:1.内部控制是公司治理的基础,而风险管理包含内部控制。

杨雄胜(2005)认为,没有系统而有效的内部控制,公司治理将成为一纸空文,而内部控制是实现公司治理的基础设施建设。

在2004年的美国银行管理学会(Bank A d m inistrati o n Institute)信托风险管理年会上,联邦储备委员会(Governor o f Federal R eserve Boar d)理事Susan Schm idt B ies在题为 公司治理中的当前问题 的发言中谈到,董事有责任监督内部控制过程,唯此才能去合理预期他们的指示是否得到完全的遵循(Susan Schm idt B ies,2004)。

她37会计研究2007 10认为进行公司治理的前提是落实内部控制。

而认为风险管理包含内部控制则在COSO的最新报告中得到了明示:风险管理包含内部控制;内部控制是风险管理不可分割的一部分。

COSO认为风险管理有八个要素组成:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。

而内部控制有五个要素组成:控制环境、风险评估、控制活动、信息与沟通、监督。

显然内部控制包含在风险管理之中。

英国Tur nbu ll委员会(2005)认为,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。

南非的K i n g II R eport(2002)认为传统的内部控制系统不能管理许多风险,譬如政治风险、技术风险和法律风险,风险管理将内部控制作为减轻和控制风险的一种措施,是一个比内部控制更为复杂的过程。

英国内部审计师协会(1999)、Ca mp i o n、Antita(2000),Gerrit Sarens、I gnace De Beelde (2005),澳大利亚证券交易所(Australian S tock Exchange)也明确提出了风险管理包含内部控制的观点。

不难看出,内部控制是公司治理的基础,没有内部控制,公司治理无从谈起,而风险管理又包含内部控制,进一步推论也就是风险管理是公司治理的基础。

从理论上说,基础相对于建立在基础之上之物是须臾不可分离的,就像墙基与墙体的关系一样,实质上他们是一体的。

2.公司治理是内部控制的环境要素之一,是内部控制的前提,而风险管理包含内部控制。

阎达五、杨有红(2001)认为随着公司治理机制的完善,内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系。

黄世忠(2001)提出,如果不强化公司治理结构的基础建设,要建立、健全内部控制以确保会计信息的真实、完整只能是奢谈。

吴水澎和陈汉文等(2000)、张安明(2002)、李明辉(2003)、程新生(2004)在相关研究中均持相似观点。

正如上述,由于风险管理包含内部控制,也就进一步推论公司治理也是风险管理(含内部控制)的前提。

如果公司不强化治理结构的基础建设,就很难有效地进行风险管理。

实际上,公司治理不完善有效本身就是一种风险。

3.内部控制与公司治理是你中有我、我中有你的嵌合关系,而风险管理包含内部控制。

王蕾(2001)认为,内部控制与公司治理具有高度的相关性,一个健全的内部控制机制实际上是完善的公司治理结构的体现。

反过来,内部控制的创新和深化也将促进公司治理的完善和现代企业制度的建立。

李连华(2005)指出,内部控制与公司治理这两个管理系统在主体、目标和内容上有着很多重合点,将二者的关系理解为主体与环境的关系,是不符合他们彼此之间的依赖性、重合性的特征的。

他认为内部控制与公司治理不是内部与外部、主体与环境的关系,而是 你中有我、我中有你 的相互包含关系,因此 嵌合论 更能准确地描述公司治理结构和内部控制的相互关系。

由于风险管理包含内部控制,就可以进一步推论公司治理与风险管理的关系是你中有我、我中有你的相互包含关系。

就内部控制与风险管理的关系而言,也有内部控制包含风险管理的观点。

加拿大COCO报告(C I CA, 1995)认为, 控制 是一个组织中支持该组织实现其目标诸要素的集合体,实质上就是 内部控制 。

COCO的报告认为,风险评估和风险管理是控制的关键要素。

C I C A(1998)将风险定义为 一个事件或环境带来不利后果的可能性 ,阐明了风险管理与控制的关系: 当您在抓住机会和管理风险时,您也正在实施控制 。

这种认识与前述内部控制与公司治理的三种关系相匹配,可以得出与前面三者关系基本类似的结论。

The Tu rnbu ll Report.Gu i dan ce f or D irectors on t h e Comb i ned Cod e.ICAE W,London,1999.38会计研究2007 10此外内部控制与风险管理的关系还有第三种观点,即内部控制就是风险管理。

B lackburn(1999)认为风险管理与内部控制仅是人为的分离,而在现实的商业行为中,它们是一体化的。

M att h e w Leitch (2004)认为,理论上,风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,正在变为同一事物。

正由于内部控制就是风险管理,所以与上述内部控制与公司治理的三种关系想匹配,可以得出与前者完全相同的结论。

从上面论争的回顾中可以看出,内部控制、公司治理与风险管理三者的关系是密不可分的,它又表现为三种形态:第一种是互为前提关系,第二种是相互包含关系,第三种是等同关系。

既然三者的关系是如此之密切,甚至是完全等同,这就向我们提出了一个重要的问题:如果我们在制定三种规范时,由不同的主体来制定并各自为政,就会在企业执行层面造成制度的重叠和执行的反复。

为此,如果我们能证明这三者确实具有基本的相似以致完全的相同性,我们就有必要对这三种规范进行整合。

三、内部控制、公司治理、风险管理:三者关系是异是同尽管对三者的关系有各种不同的看法,但理论界和实务界都基本一致地认为,三者是密不可分甚至是完全相同的。

我们认为尽管三者在文字表述上存在差异,但就其实质而言是相同的。

为了说明这一点有必要从历史和逻辑的统一中进行论证。

从历史的演变来看,三者具有同一性。

按照历史演变的时间顺序,先有内部控制,而后出现公司治理,最后提出风险管理。

与公司治理相比,内部控制思想和实践历史更悠久,它是伴随着企业的实践而产生的。

在早期的企业中,由于群体劳动和分工的结果,为了保证财物的安全,在企业内部实行了相互牵制,从而形成了内部牵制的实践。

在15世纪,随着资本主义企业的发展和复式记账法的出现,以账目间的相互核对为主要内容、实行职能分离的内部牵制开始得到广泛应用,内部牵制不仅保证财物的安全,也保证会计信息的真实性。

由于早期的内部牵制主要是指企业的业务活动必须经过两个或以上的分工的部门,以及两个或以上的权力层次,以形成相互制衡。

这时的内部牵制的内涵和外延相对狭小。

内部控制作为一个专门的术语是基于审计实践的需要,由审计人员从评价企业的控制活动中抽象出来的,并受到人们的广泛重视。

1949年,美国注册会计师协会(A I CPA)的审计程序委员会首次对内部控制进行了定义,此后,该委员会又多次对内部控制的内涵和外延进行定义,但整体上看,这时的内部控制主要是从财务审计的角度立足于查错防弊的目的进行定义的,尽管如此,此时的内部控制本身已经超出了内部牵制的内涵和外延,包涵了一些属于管理控制的内容。

20世纪60年代以来,大量公司倒闭或陷入财务困境,诱发了审计 诉讼爆炸 ,导致了审计风险大大增加以及对 内部控制 的怀疑,这使得审计不仅仅利用内部控制作为审计重点的选择方法,而且要对企业内部控制制度本身进行评价。

这就使得内部控制不仅停留在其内涵和外延的定义上,更要确定内部控制的基本结构,以此才能对企业的内部控制进行评价。

A I CPA于1988年正式以 内部控制结构 这一概念代替了 内部控制 ,提出了内部控制结构三个基本要素:控制环境、会计制度和控制程序。

这一发展使内部控制的研究重点从一般涵义引向具体内容,从而更加反映了内部控制自身的性质。

不难看出,这个时期对内部控制的研究进入了其具体内容,同时有关管理控制的内容也不断完善。

为了进一步提高财务报告的质量,探讨舞弊性财务报告包括内部控制制度不健全的问题,1985年,由美国会计学会(AAA)、美国注册会计师协会(A I CP A)、财务经理协会(FE I)、国际内部审计人员协会(II A)及管理会计师协会(I M A)共同赞助成立了 反对虚假财务报告委员会 (Treadw ay委员会),之后在T readway委员会的建议下,又组成了一个专门研究内部控制问题的机构 发起组织委员会39会计研究2007 10(COSO)。