内部控制、公司治理、风险管理：关系与整合.pdfVIP

维普资讯 内部控制 公司治理 风险管理 ：关系与整合 谢 志华 (北京工商大学 100037) 【摘要】为了控制企业可能存在的风险，在企业的发展过程中，相继产生了内部控制、公司治理和风险管理等框 架。关于三者关系理论界和实务界一直都在进行争论 ，但时至今 日并未达成统一的认识 ，特别伴随COSO 《企业 风险管理——整体框架》的发布以及我国财政部 《企业内部控制规范——基本规范》的出台，三者关系的讨论 就不仅仅是理论 问题 ，而是实践中必须要解决的问题 了。本文从历史回顾和逻辑推理的角度 ，探讨 了三者本质 的相同性，以此为基础．对三者进行了整合，构建了基于风险管理的整合框架。这既避免了企业管理体系的交 叉、重复．又实现 了各种管理体系的一体化。 【关键词】内部控制 公司治理 风险管理 关系 整合 一 、 导论 随着公司制企业的建立，频频爆发舞弊丑闻。同时，公司面临的经营和财务风险不断增加，风险程度 不断提高，以致公司破产不断出现。在现代企业制度的建立与发展的同时，公司舞弊防范、经营和财务风 险的防范就成为了现代企业制度所必需面临和解决的问题。为此，理论界和实务界提出了内部控制、公司 治理和风险管理的各种控制规范和控制措施。这些控制规范和控制措施不仅在企业层面也在 国家层面、甚 至国际层面制定，制定的主体也出现了企业、民间和政府同心协力的局面，在我国主要采取政府以行政法 规的形式制定。但根本的问题仍然在于内部控制、公司治理、风险管理这三者到底是何种关系，如果这三 者所要解决的问题从根本上说是一致的，就没有必要制定三种控制规范，只会导致企业控制重复进行，并 使企业控制成本增加。特别当三个规范的制定主体不相同时，还会导致企业遵循这些规范时变得无所适 从；如果这三者所要解决的问题从根本上说是不一致的，那么在制定这三种规范时必须找到他们的边界， 这意味着每一种控制的对象不可以交叉，也不可以留下控制真空。所以研究三者的关系对于建立有效的企 业控制体系，或者更直接的说对于建立和完善现代企业制度关系重大。 二、内部控制、公司治理、风险管理 ：三者关系论争的回顾 关于三者的关系，学界已经进行过一些研究与探讨，归结起来主要有 以下结论： 1．内部控制是公司治理的基础，而风险管理包含 内部控制。杨雄胜 (2005)认为，没有系统而有效 的内部控制，公司治理将成为一纸空文，而 内部控制是实现公司治理的基础设施建设。在2004年的美 国 银行管理学会 (BankAdministrationInstitute)信托风险管理年会上，联邦储备委员会 (GovernorofFederal ReserveBoard)理事SusanSchmidtBies在题为 “公司治理中的当前问题”的发言中谈到，董事有责任监 督内部控制过程 ，唯此才能去合理预期他们的指示是否得到完全的遵循 (SusanSchmidtBies，2040)。她 37 维普资讯 认为进行公司治理的前提是落实内部控制。 而认为风险管理包含 内部控制则在 COSO的最新报告中得到了明示：风险管理包含内部控制；内部控 制是风险管理不可分割的一部分。COSO认为风险管理有八个要素组成：内部环境、目标设定、事件识 别、风险评估、风险对策、控制活动、信息与沟通、监督。而 内部控制有五个要素组成：控制环境、风险 评估、控制活动、信息与沟通、监督。显然内部控制包含在风险管理之中。英国Turnbull委员会 (2005) 认为．公司的内部控制系统在风险管理中扮演关键角色，内部控制应当被管理者看作是范围更广的风险管 理的必要组成部分。①南非的KingIIReport(2002)认为传统的内部控制系统不能管理许多风险，譬如政 治风险、技术风险和法律风险，风险管理将内部控制作为减轻和控制风险的一种措施，是一个比内部控制更 为复杂的过程。英 国内部审计师协会 (1999)、Campi