内部控制、公司治理、风险管理：三者关系是异是同.pdfVIP

内部控制、公司治理、风险管理三者关系是异是同

尽管对三者的关系有各种不同的看法，但理论界和实务界都基本一致地认为，三者是

密不可分甚至是完全相同的。我们认为尽管三者在文字表述上存在差异，但就其实质而言是

相同的。为了说明这一点有必要从历史和逻辑的统一中进行论证。

从历史的演变来看，三者具有同一性。按照历史演变的时间顺序，先有内部控制，而后

出现公司治理，最后提出风险管理。与公司治理相比，内部控制思想和实践历史更悠久，它

是伴随着企业的实践而产生的。

在早期的企业中，由于群体劳动和分工的结果，为了保证财物的安全，在企业内部实行

了相互牵制，从而形成了内部牵制的实践。在15世纪，随着资本主义企业的发展和复式记

账法的出现，以账目间的相互核对为主要内容、实行职能分离的内部牵制开始得到广泛应用，

内部牵制不仅保证财物的安全，也保证会计信息的真实性。由于早期的内部牵制主要是指企

业的业务活动必须经过两个或以上的分工的部门，以及两个或以上的权力层次，以形成相互

制衡。这时的内部牵制的内涵和外延相对狭小。

内部控制作为一个专门的术语是基于审计实践的需要，由审计人员从评价企业的控制活

动中抽象出来的，并受到人们的广泛重视。1949年，美国注册会计师协会（AICPA）的审计

程序委员会首次对内部控制进行了定义，此后，该委员会又多次对内部控制的内涵和外延进

行定义，但整体上看，这时的内部控制主要是从财务审计的角度立足于查错防弊的目的进行

定义的，尽管如此，此时的内部控制本身已经超出了内部牵制的内涵和外延，包涵了一些属

于管理控制的内容。

20世纪60年代以来，大量公司倒闭或陷入财务困境，诱发了审计“诉讼爆炸”，导致

了审计风险大大增加以及对“内部控制”的怀疑，这使得审计不仅仅利用内部控制作为审计

重点的选择方法，而且要对企业内部控制制度本身进行评价。这就使得内部控制不仅停留在

其内涵和外延的定义上，更要确定内部控制的基本结构，以此才能对企业的内部控制进行评

价。AICPA于1988年正式以“内部控制结构”这一概念代替了“内部控制”，提出了内部控

制结构三个基本要素：控制环境、会计制度和控制程序。这一发展使内部控制的研究重点从

一般涵义引向具体内容，从而更加反映了内部控制自身的性质。不难看出，这个时期对内部

控制的研究进入了其具体内容，同时有关管理控制的内容也不断完善。

为了进一步提高财务报告的质量，探讨舞弊性财务报告包括内部控制制度不健全的问题，

1985年，由美国会计学会（AAA）、美国注册会计师协会（AICPA）、财务经理协会（FEI）、

国际内部审计人员协会（IIA）及管理会计师协会（IMA）共同赞助成立了“反对虚假财务报

告委员会”（Treadway委员会），之后在Treadway委员会的建议下，又组成了一个专门研究

内部控制问题的机构———“发起组织委员会”（COSO）。1992年，COSO发布了《内部

控制———整体框架》的研究报告，将内部控制定义为由董事会、经理层和其他员工共同实

施的，为营运效率、财务报告的可靠性和相关法规的遵守等目标的达成而提供合理保证的过

程，并把内部控制整体框架区分为控制环境、风险评估、控制活动、信息与沟通、监督等五

个互为关联的组成部分。显然，这个内部控制的整体框架，在控制实施主体上不仅关注企业

的员工，而且更加关注董事会和经理层（控制实施的主体可以理解为控制主体和受控主体，

在内部控制中这两者是不可分割的）；在控制范围上不仅关注企业内部控制，也关注控制环

境；在控制的目标上不仅是财产的安全、财务报告的可靠性和相关法规的遵循性，而且更加

关注营运效率的提高；在控制的内容上不仅关注会计控制，而且更加关注管理控制；在控制

的框架的分类上，也由过去的按控制的内容分类转换为按控制的过程分类，在控制过程的每

一环节，又按财物安全、报告真实、行为合规、经营有效等控制目标分类。

1992年COSO提出的整体框架在内部控制的内容和程序上已经相对完善，但理论界与

实务界还是认为其对风险强调不够，无法使得内部控制与风险管理很好地结合。1999年的

特恩布尔报告在COSO报告的基础上，分析了合理的内部控制系统应具备的特征和包含的要

素，在此基础上设计了评价内部控制系统要素有效性的一系列标准，使得公司能够按照适合

外部环境的方式构建和实施内部控制。为了适应21世纪企业环境对内部控制的要求以及风

险管理的需要，COSO于2004年9月正式颁布了《企业风险管理———整体框架》，其中