內(nèi)部控制、公司治理、風(fēng)險管理-關(guān)系與整合

word格式論文內(nèi)部控制、公司治理、風(fēng)險管理:關(guān)系與整合【摘要】為了控制企業(yè)可能存在的風(fēng)險，在企業(yè)的發(fā)展過程中，相繼產(chǎn)生了內(nèi)部控制、公司治理和風(fēng)險管理等框架。關(guān)于三者關(guān)系理論界和實務(wù)界一直都在進(jìn)行爭論，但時至今日并未達(dá)成統(tǒng)一的認(rèn)識，特別伴隨COSO《企業(yè)風(fēng)險管理———整體框架》的發(fā)布以及我國財政部《企業(yè)內(nèi)部控制規(guī)范———基本規(guī)范》的出臺，三者關(guān)系的討論就不僅僅是理論問題，而是實踐中必須要解決的問題了。本文從歷史回顧和邏輯推理的角度，探討了三者本質(zhì)的相同性，以此為基礎(chǔ)，對三者進(jìn)行了整合，構(gòu)建了基于風(fēng)險管理的整合框架。這既避免了企業(yè)管理體系的交叉、重復(fù)，又實現(xiàn)了各種管理體系的一體化?！娟P(guān)鍵詞】內(nèi)部控制公司治理風(fēng)險管理關(guān)系整合。一、導(dǎo)論。隨著公司制企業(yè)的建立，頻頻爆發(fā)舞弊丑聞。同時，公司面臨的經(jīng)營和財務(wù)風(fēng)險不斷增加，風(fēng)險程度不斷提高，以致公司破產(chǎn)不斷出現(xiàn)。在現(xiàn)代企業(yè)制度的建立與發(fā)展的同時，公司舞弊防范、經(jīng)營和財務(wù)風(fēng)險的防范就成為了現(xiàn)代企業(yè)制度所必需面臨和解決的問題。為此，理論界和實務(wù)界提出了內(nèi)部控制、公司治理和風(fēng)險管理的各種控制規(guī)范和控制措施。這些控制規(guī)范和控制措施不僅在企業(yè)層面也在國家層面、甚至國際層面制定，制定的主體也出現(xiàn)了企業(yè)、民間和政府同心協(xié)力的局面，在我國主要采取政府以行政法規(guī)的形式制定。但根本的問題仍然在于內(nèi)部控制、公司治理、風(fēng)險管理這三者到底是何種關(guān)系，如果這三者所要解決的問題從根本上說是一致的，就沒有必要制定三種控制規(guī)范，只會導(dǎo)致企業(yè)控制重復(fù)進(jìn)行，并使企業(yè)控制成本增加。特別當(dāng)三個規(guī)范的制定主體不相同時，還會導(dǎo)致企業(yè)遵循這些規(guī)范時變得無所適從；如果這三者所要解決的問題從根本上說是不一致的，那么在制定這三種規(guī)范時必須找到他們的邊界，這意味著每一種控制的對象不可以交叉，也不可以留下控制真空。所以研究三者的關(guān)系對于建立有效的企業(yè)控制體系，或者更直接的說對于建立和完善現(xiàn)代企業(yè)制度關(guān)系重大。二、內(nèi)部控制、公司治理、風(fēng)險管理：三者關(guān)系論爭的回顧。關(guān)于三者的關(guān)系，學(xué)界已經(jīng)進(jìn)行過一些研究與探討，歸結(jié)起來主要有以下結(jié)論：1.內(nèi)部控制是公司治理的基礎(chǔ)，而風(fēng)險管理包含內(nèi)部控制。楊雄勝（2005）認(rèn)為，沒有系統(tǒng)而有效的內(nèi)部控制，公司治理將成為一紙空文，而內(nèi)部控制是實現(xiàn)公司治理的基礎(chǔ)設(shè)施建設(shè)。在2004年的美國銀行管理學(xué)會（BankAdministrationInstitute）信托風(fēng)險管理年會上，聯(lián)邦儲備委員會（GovernorofFederalReserveBoard）理事SusanSchmidtBies在題為“公司治理中的當(dāng)前問題”的發(fā)言中談到，董事有責(zé)任監(jiān)督內(nèi)部控制過程，唯此才能去合理預(yù)期他們的指示是否得到完全的遵循（SusanSchmidtBies,2004）。她認(rèn)為進(jìn)行公司治理的前提是落實內(nèi)部控制。而認(rèn)為風(fēng)險管理包含內(nèi)部控制則在COSO的最新報告中得到了明示：風(fēng)險管理包含內(nèi)部控制；內(nèi)部控制是風(fēng)險管理不可分割的一部分。COSO認(rèn)為風(fēng)險管理有八個要素組成：內(nèi)部環(huán)境、目標(biāo)設(shè)定、事件識別、風(fēng)險評估、風(fēng)險對策、控制活動、信息與溝通、監(jiān)督。而內(nèi)部控制有五個要素組成：控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)督。顯然內(nèi)部控制包含在風(fēng)險管理之中。英國Turnbull委員會（2005）認(rèn)為，公司的內(nèi)部控制系統(tǒng)在風(fēng)險管理中扮演關(guān)鍵角色，內(nèi)部控制應(yīng)當(dāng)被管理者看作是范圍更廣的風(fēng)險管理的必要組成部分。①南非的KingIIReport（2002）認(rèn)為傳統(tǒng)的內(nèi)部控制系統(tǒng)不能管理許多風(fēng)險，譬如政治風(fēng)險、技術(shù)風(fēng)險和法律風(fēng)險，風(fēng)險管理將內(nèi)部控制作為減輕和控制風(fēng)險的一種措施，是一個比內(nèi)部控制更為復(fù)雜的過程。英國內(nèi)部審計師協(xié)會（1999）、Campion、Antita（2000），GerritSarens、IgnaceDeBeelde（2005），澳大利亞證券交易所（AustralianStockExchange）也明確提出了風(fēng)險管理包含內(nèi)部控制的觀點。不難看出，內(nèi)部控制是公司治理的基礎(chǔ)，沒有內(nèi)部控制，公司治理無從談起，而風(fēng)險管理又包含內(nèi)部控制，進(jìn)一步推論也就是風(fēng)險管理是公司治理的基礎(chǔ)。從理論上說，基礎(chǔ)相對于建立在基礎(chǔ)之上之物是須臾不可分離的，就像墻基與墻體的關(guān)系一樣，實質(zhì)上他們是一體的。2.公司治理是內(nèi)部控制的環(huán)境要素之一，是內(nèi)部控制的前提，而風(fēng)險管理包含內(nèi)部控制。閻達(dá)五、楊有紅（2001）認(rèn)為隨著公司治理機(jī)制的完善，內(nèi)部控制框架與公司治理機(jī)制的關(guān)系是內(nèi)部管理監(jiān)控系統(tǒng)與制度環(huán)境的關(guān)系。黃世忠（2001）提出，如果不強(qiáng)化公司治理結(jié)構(gòu)的基礎(chǔ)建設(shè)，要建立、健全內(nèi)部控制以確保會計信息的真實、完整只能是奢談。吳水澎和陳漢文等（2000）、張安明（2002）、李明輝（2003）、程新生（2004）在相關(guān)研究中均持相似觀點。正如上述，由于風(fēng)險管理包含內(nèi)部控制，也就進(jìn)一步推論公司治理也是風(fēng)險管理（含內(nèi)部控制）的前提。如果公司不強(qiáng)化治理結(jié)構(gòu)的基礎(chǔ)建設(shè)，就很難有效地進(jìn)行風(fēng)險管理。實際上，公司治理不完善有效本身就是一種風(fēng)險。3.內(nèi)部控制與公司治理是你中有我、我中有你的嵌合關(guān)系，而風(fēng)險管理包含內(nèi)部控制。王蕾（2001）認(rèn)為，內(nèi)部控制與公司治理具有高度的相關(guān)性，一個健全的內(nèi)部控制機(jī)制實際上是完善的公司治理結(jié)構(gòu)的體現(xiàn)。反過來，內(nèi)部控制的創(chuàng)新和深化也將促進(jìn)公司治理的完善和現(xiàn)代企業(yè)制度的建立。李連華（2005）指出，內(nèi)部控制與公司治理這兩個管理系統(tǒng)在主體、目標(biāo)和內(nèi)容上有著很多重合點，將二者的關(guān)系理解為主體與環(huán)境的關(guān)系，是不符合他們彼此之間的依賴性、重合性的特征的。他認(rèn)為內(nèi)部控制與公司治理不是內(nèi)部與外部、主體與環(huán)境的關(guān)系，而是“你中有我、我中有你”的相互包含關(guān)系，因此“嵌合論”更能準(zhǔn)確地描述公司治理結(jié)構(gòu)和內(nèi)部控制的相互關(guān)系。由于風(fēng)險管理包含內(nèi)部控制，就可以進(jìn)一步推論公司治理與風(fēng)險管理的關(guān)系是你中有我、我中有你的相互包含關(guān)系。就內(nèi)部控制與風(fēng)險管理的關(guān)系而言，也有內(nèi)部控制包含風(fēng)險管理的觀點。加拿大COCO報告（CICA,1995）認(rèn)為，“控制”是一個組織中支持該組織實現(xiàn)其目標(biāo)諸要素的集合體，實質(zhì)上就是“內(nèi)部控制”。COCO的報告認(rèn)為，風(fēng)險評估和風(fēng)險管理是控制的關(guān)鍵要素。CICA（1998）將風(fēng)險定義為“一個事件或環(huán)境帶來不利后果的可能性”，闡明了風(fēng)險管理與控制的關(guān)系：“當(dāng)您在抓住機(jī)會和管理風(fēng)險時，您也正在實施控制”。這種認(rèn)識與前述內(nèi)部控制與公司治理的三種關(guān)系相匹配，可以得出與前面三者關(guān)系基本類似的結(jié)論。此外內(nèi)部控制與風(fēng)險管理的關(guān)系還有第三種觀點，即內(nèi)部控制就是風(fēng)險管理。Blackburn（1999）認(rèn)為風(fēng)險管理與內(nèi)部控制僅是人為的分離，而在現(xiàn)實的商業(yè)行為中，它們是一體化的。MatthewLeitch（2004）認(rèn)為，理論上，風(fēng)險管理系統(tǒng)與內(nèi)部控制系統(tǒng)沒有差異，這兩個概念的外延變得越來越廣，正在變?yōu)橥皇挛?。正由于?nèi)部控制就是風(fēng)險管理，所以與上述內(nèi)部控制與公司治理的三種關(guān)系想匹配，可以得出與前者完全相同的結(jié)論。從上面論爭的回顧中可以看出，內(nèi)部控制、公司治理與風(fēng)險管理三者的關(guān)系是密不可分的，它又表現(xiàn)為三種形態(tài)：第一種是互為前提關(guān)系，第二種是相互包含關(guān)系，第三種是等同關(guān)系。既然三者的關(guān)系是如此之密切，甚至是完全等同，這就向我們提出了一個重要的問題：如果我們在制定三種規(guī)范時，由不同的主體來制定并各自為政，就會在企業(yè)執(zhí)行層面造成制度的重疊和執(zhí)行的反復(fù)。為此，如果我們能證明這三者確實具有基本的相似以致完全的相同性，我們就有必要對這三種規(guī)范進(jìn)行整合。三、內(nèi)部控制、公司治理、風(fēng)險管理：三者關(guān)系是異是同

盡管對三者的關(guān)系有各種不同的看法，但理論界和實務(wù)界都基本一致地認(rèn)為，三者是密不可分甚至是完全相同的。我們認(rèn)為盡管三者在文字表述上存在差異，但就其實質(zhì)而言是相同的。為了說明這一點有必要從歷史和邏輯的統(tǒng)一中進(jìn)行論證。從歷史的演變來看，三者具有同一性。按照歷史演變的時間順序，先有內(nèi)部控制，而后出現(xiàn)公司治理，最后提出風(fēng)險管理。與公司治理相比，內(nèi)部控制思想和實踐歷史更悠久，它是伴隨著企業(yè)的實踐而產(chǎn)生的。在早期的企業(yè)中，由于群體勞動和分工的結(jié)果，為了保證財物的安全，在企業(yè)內(nèi)部實行了相互牽制，從而形成了內(nèi)部牽制的實踐。在15世紀(jì)，隨著資本主義企業(yè)的發(fā)展和復(fù)式記賬法的出現(xiàn)，以賬目間的相互核對為主要內(nèi)容、實行職能分離的內(nèi)部牽制開始得到廣泛應(yīng)用，內(nèi)部牽制不僅保證財物的安全，也保證會計信息的真實性。由于早期的內(nèi)部牽制主要是指企業(yè)的業(yè)務(wù)活動必須經(jīng)過兩個或以上的分工的部門，以及兩個或以上的權(quán)力層次，以形成相互制衡。這時的內(nèi)部牽制的內(nèi)涵和外延相對狹小。內(nèi)部控制作為一個專門的術(shù)語是基于審計實踐的需要，由審計人員從評價企業(yè)的控制活動中抽象出來的，并受到人們的廣泛重視。1949年，美國注冊會計師協(xié)會（AICPA）的審計程序委員會首次對內(nèi)部控制進(jìn)行了定義，此后，該委員會又多次對內(nèi)部控制的內(nèi)涵和外延進(jìn)行定義，但整體上看，這時的內(nèi)部控制主要是從財務(wù)審計的角度立足于查錯防弊的目的進(jìn)行定義的，盡管如此，此時的內(nèi)部控制本身已經(jīng)超出了內(nèi)部牽制的內(nèi)涵和外延，包涵了一些屬于管理控制的內(nèi)容。20世紀(jì)60年代以來，大量公司倒閉或陷入財務(wù)困境，誘發(fā)了審計“訴訟爆炸”，導(dǎo)致了審計風(fēng)險大大增加以及對“內(nèi)部控制”的懷疑，這使得審計不僅僅利用內(nèi)部控制作為審計重點的選擇方法，而且要對企業(yè)內(nèi)部控制制度本身進(jìn)行評價。這就使得內(nèi)部控制不僅停留在其內(nèi)涵和外延的定義上，更要確定內(nèi)部控制的基本結(jié)構(gòu)，以此才能對企業(yè)的內(nèi)部控制進(jìn)行評價。AICPA于1988年正式以“內(nèi)部控制結(jié)構(gòu)”這一概念代替了“內(nèi)部控制”，提出了內(nèi)部控制結(jié)構(gòu)三個基本要素：控制環(huán)境、會計制度和控制程序。這一發(fā)展使內(nèi)部控制的研究重點從一般涵義引向具體內(nèi)容，從而更加反映了內(nèi)部控制自身的性質(zhì)。不難看出，這個時期對內(nèi)部控制的研究進(jìn)入了其具體內(nèi)容，同時有關(guān)管理控制的內(nèi)容也不斷完善。為了進(jìn)一步提高財務(wù)報告的質(zhì)量，探討舞弊性財務(wù)報告包括內(nèi)部控制制度不健全的問題，1985年，由美國會計學(xué)會（AAA）、美國注冊會計師協(xié)會（AICPA）、財務(wù)經(jīng)理協(xié)會（FEI）、國際內(nèi)部審計人員協(xié)會（IIA）及管理會計師協(xié)會（IMA）共同贊助成立了“反對虛假財務(wù)報告委員會”（Treadway委員會），之后在Treadway委員會的建議下，又組成了一個專門研究內(nèi)部控制問題的機(jī)構(gòu)———“發(fā)起組織委員會”（COSO）。1992年，COSO發(fā)布了《內(nèi)部控制———整體框架》的研究報告，將內(nèi)部控制定義為由董事會、經(jīng)理層和其他員工共同實施的，為營運效率、財務(wù)報告的可靠性和相關(guān)法規(guī)的遵守等目標(biāo)的達(dá)成而提供合理保證的過程，并把內(nèi)部控制整體框架區(qū)分為控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)督等五個互為關(guān)聯(lián)的組成部分。顯然，這個內(nèi)部控制的整體框架，在控制實施主體上不僅關(guān)注企業(yè)的員工，而且更加關(guān)注董事會和經(jīng)理層（控制實施的主體可以理解為控制主體和受控主體，在內(nèi)部控制中這兩者是不可分割的）；在控制范圍上不僅關(guān)注企業(yè)內(nèi)部控制，也關(guān)注控制環(huán)境；在控制的目標(biāo)上不僅是財產(chǎn)的安全、財務(wù)報告的可靠性和相關(guān)法規(guī)的遵循性，而且更加關(guān)注營運效率的提高；在控制的內(nèi)容上不僅關(guān)注會計控制，而且更加關(guān)注管理控制；在控制的框架的分類上，也由過去的按控制的內(nèi)容分類轉(zhuǎn)換為按控制的過程分類，在控制過程的每一環(huán)節(jié)，又按財物安全、報告真實、行為合規(guī)、經(jīng)營有效等控制目標(biāo)分類。1992年COSO提出的整體框架在內(nèi)部控制的內(nèi)容和程序上已經(jīng)相對完善，但理論界與實務(wù)界還是認(rèn)為其對風(fēng)險強(qiáng)調(diào)不夠，無法使得內(nèi)部控制與風(fēng)險管理很好地結(jié)合。1999年的特恩布爾報告在COSO報告的基礎(chǔ)上，分析了合理的內(nèi)部控制系統(tǒng)應(yīng)具備的特征和包含的要素，在此基礎(chǔ)上設(shè)計了評價內(nèi)部控制系統(tǒng)要素有效性的一系列標(biāo)準(zhǔn)，使得公司能夠按照適合外部環(huán)境的方式構(gòu)建和實施內(nèi)部控制。為了適應(yīng)21世紀(jì)企業(yè)環(huán)境對內(nèi)部控制的要求以及風(fēng)險管理的需要，COSO于2004年9月正式頒布了《企業(yè)風(fēng)險管理———整體框架》，其中指出：“內(nèi)部控制是企業(yè)風(fēng)險管理的有機(jī)組成部分，企業(yè)風(fēng)險管理包含內(nèi)部控制，并形成一個（比內(nèi)部控制）更為廣泛的管理概念和工具”。比之于1992年的《內(nèi)部控制———整體框架》發(fā)生了以下變化：在內(nèi)部控制目標(biāo)上增加了戰(zhàn)略目標(biāo)；在控制內(nèi)容上增加了風(fēng)險控制；在控制的環(huán)節(jié)上將原來的“風(fēng)險評價”被拓展為“目標(biāo)設(shè)定、風(fēng)險識別、風(fēng)險評估和風(fēng)險應(yīng)對”四個。不難看出，新框架直接凸顯風(fēng)險管理。對風(fēng)險的控制不僅面向過去，而且也面向未來，使得風(fēng)險管理不僅貫穿于作業(yè)層次也貫穿于管理層次，不僅貫穿于戰(zhàn)術(shù)層次也貫穿于戰(zhàn)略層次，不僅貫穿于執(zhí)行層次也貫穿于決策層次?？梢哉J(rèn)為《企業(yè)風(fēng)險管理———整體框架》是涉及到企業(yè)全要素、全過程、全層次的風(fēng)險控制。從內(nèi)部控制的歷史變遷中可以看出，最早的內(nèi)部牽制本身就是基于企業(yè)財物的安全性和信息的真實性的需要而產(chǎn)生的，而財物不安全和信息不真實正是當(dāng)時企業(yè)面臨的基本風(fēng)險。相對而言，當(dāng)時的市場變化較小，市場結(jié)構(gòu)相對單一，企業(yè)規(guī)模也相對較小，企業(yè)經(jīng)營結(jié)構(gòu)相對單一，這意味著當(dāng)時企業(yè)的經(jīng)營風(fēng)險包括戰(zhàn)略風(fēng)險都不是主要的風(fēng)險。盡管如此，至少仍然可以看出，內(nèi)部牽制是基于對財產(chǎn)不安全和信息不真實風(fēng)險的控制需要而產(chǎn)生的，內(nèi)部牽制本身就是控制風(fēng)險，而控制風(fēng)險就是風(fēng)險管理。所以內(nèi)部控制是以風(fēng)險管理為起點的。在后來的發(fā)展中，內(nèi)部控制幾經(jīng)變遷，其控制的目的由財物的安全性、信息的真實性進(jìn)一步擴(kuò)展至經(jīng)營效率以至戰(zhàn)略的正確性；其控制的層次由企業(yè)員工層面向經(jīng)理層和董事會（甚至包括股東大會）提升。但無論怎樣變化風(fēng)險管理是貫穿內(nèi)部控制的核心主線，只是其風(fēng)險管理的目標(biāo)、內(nèi)容和層次伴隨企業(yè)的環(huán)境、企業(yè)經(jīng)營的模式以及企業(yè)制度的變遷而變化。自19世紀(jì)末以來，公司制企業(yè)成為了發(fā)展最快、數(shù)量最多的企業(yè)形式之一。公司制企業(yè)比之自然人企業(yè)，在組織架構(gòu)上必然設(shè)立股東大會、董事會和經(jīng)理層，如果說在自然人企業(yè)內(nèi)部控制的對象是企業(yè)內(nèi)部的員工，那么在公司制企業(yè)中由于組織層級的增加，使得控制的對象必然由員工層次上升到經(jīng)理層、董事會以至股東大會。事實上，在20世紀(jì)公司制企業(yè)的發(fā)展過程中的，發(fā)達(dá)國家公司的內(nèi)部人控制相當(dāng)嚴(yán)重，經(jīng)理人背德、逆向選擇、決策失誤、以及大股東一股獨大導(dǎo)致決策非理性、侵占小股東利益等問題使得大量公司失敗，為了解決這一問題，理論和實務(wù)界提出了公司治理的理論與方法，形成了公司治理的規(guī)范。公司治理包括外部治理和內(nèi)部治理，這里的公司治理規(guī)范主要是就內(nèi)部治理而言的。公司治理的目標(biāo)也是要保證各層次的受托者不得背叛委托者，這里的背叛包括侵吞財物、信息欺詐；公司治理的另一目標(biāo)也是要保證各層次的受托者理性地決策，這里的理性決策首先要求受托者不得逆向選擇，也要求在識別企業(yè)各種風(fēng)險的基礎(chǔ)上做出正確的戰(zhàn)略選擇和經(jīng)營決策。所以非常巧合的是，公司制企業(yè)內(nèi)部控制制度的控制目標(biāo)拓展和控制層次提升的趨勢與公司內(nèi)部治理的治理目標(biāo)和治理層次具有幾乎完全擬合的特征，也就是由于公司制企業(yè)的特點使得內(nèi)部控制必須適應(yīng)這種特點。盡管理論和實務(wù)界單獨研究和實踐了公司內(nèi)部治理，但本質(zhì)上仍然是為了控制風(fēng)險，只是這種風(fēng)險控制是基于新出現(xiàn)的公司組織層次，以及這些層次所要進(jìn)行的行為（戰(zhàn)略選擇與經(jīng)營決策）的。通過內(nèi)部控制目標(biāo)拓展和控制層次的提升就可以達(dá)成公司內(nèi)部治理的要求，兩者可以合二為一。此外，現(xiàn)代內(nèi)部控制更加關(guān)注內(nèi)部控制環(huán)境，歷史地看，從內(nèi)部牽制開始至今，內(nèi)部控制環(huán)境本身都是內(nèi)部控制所要考慮的因素，只是伴隨現(xiàn)代公司制企業(yè)的出現(xiàn)，企業(yè)越來越成為一個開放系統(tǒng)，外部環(huán)境對公司的影響越來越至關(guān)重要，影響的內(nèi)容、影響的方式也發(fā)生了重大變化。外部環(huán)境的影響對公司的風(fēng)險、特別是內(nèi)部風(fēng)險的形成的密切程度和作用程度不斷上升，所以現(xiàn)代內(nèi)部控制為了有效地控制風(fēng)險，必然更加關(guān)注風(fēng)險的形成源頭，進(jìn)而把外部環(huán)境分析作為內(nèi)部控制的重要一環(huán)。最后，《內(nèi)部控制———整體框架》升級為《企業(yè)風(fēng)險管理———整體框架》，之所以能夠發(fā)生這種轉(zhuǎn)化，根本原因在于內(nèi)部控制的最終目的就是為了控制風(fēng)險，從語義上說，內(nèi)部控制就是控制風(fēng)險，控制風(fēng)險就是風(fēng)險管理。所以內(nèi)部控制和風(fēng)險管理是控制風(fēng)險的兩種不同語義表達(dá)形式。內(nèi)部控制主要是從風(fēng)險控制的方式和手段說明風(fēng)險控制的，風(fēng)險管理就是從風(fēng)險控制的目的來說明風(fēng)險控制的。內(nèi)部控制所描述的風(fēng)險控制的方式和手段已經(jīng)內(nèi)含了風(fēng)險控制的目的，沒有目的的控制方式和手段是毫無用處的；風(fēng)險管理所描述的是風(fēng)險控制的目的也內(nèi)含了風(fēng)險控制的方式和手段，沒有控制方式和手段的控制目的是無法實現(xiàn)的。事實上，從《內(nèi)部控制———整體框架》和《企業(yè)風(fēng)險管理———整體框架》的內(nèi)容看，他們就是控制目的、控制方式和控制手段的統(tǒng)一。當(dāng)然，《企業(yè)風(fēng)險管理———整體框架》作為《內(nèi)部控制———整體框架》更高階段的規(guī)范，一定會有其新的內(nèi)容，就是凸顯風(fēng)險管理自身，這表現(xiàn)在該框架的內(nèi)容上就是將原來的“風(fēng)險評價”拓展為“目標(biāo)設(shè)定、風(fēng)險識別、風(fēng)險評估和風(fēng)險應(yīng)對”。這表明風(fēng)險管理確實把風(fēng)險本身作為一個特定的要素進(jìn)行管理，而以前的內(nèi)部控制只是把風(fēng)險控制作為一個控制目標(biāo)。既然把風(fēng)險本身作為一個特定的要素進(jìn)行管理，就必然涉及風(fēng)險管理目標(biāo)的設(shè)定（風(fēng)險的容忍度）、風(fēng)險識別、風(fēng)險評估和風(fēng)險應(yīng)對一個完整的風(fēng)險管理過程。事實上，在內(nèi)部控制中，每一個被控風(fēng)險要素都必須經(jīng)歷這四個風(fēng)險管理的環(huán)節(jié)，也就是風(fēng)險管理程序。除此而外，現(xiàn)代公司制企業(yè)面臨的風(fēng)險是過去的自然人企業(yè)所無法企及的，特別是戰(zhàn)略風(fēng)險和經(jīng)營風(fēng)險。在長期的風(fēng)險控制的實踐中，企業(yè)發(fā)現(xiàn)，有的風(fēng)險可以避免，有的風(fēng)險可以消除，有的風(fēng)險只能控制在合理水平，有的風(fēng)險只能承受（單個企業(yè)承受或多個企業(yè)分擔(dān)）。由此，在《企業(yè)風(fēng)險管理———整體框架》中明確指出，管理當(dāng)局必須采取一系列行動，以便把風(fēng)險控制在主體的風(fēng)險容忍度之內(nèi)。之所以產(chǎn)生風(fēng)險的容忍度主要是基于風(fēng)險產(chǎn)生的成本與收益之間的比較。由于風(fēng)險容忍度的形成，風(fēng)險控制就不僅僅是讓風(fēng)險不能發(fā)生，而是在一定的條件下允許存在一定的風(fēng)險，這樣就產(chǎn)生了把風(fēng)險作為一個單獨的管理要素的必要，以至企業(yè)必須設(shè)定風(fēng)險管理的目標(biāo)即風(fēng)險的容忍度，并以此來進(jìn)行風(fēng)險識別、風(fēng)險評估和風(fēng)險應(yīng)對?？v觀歷史的發(fā)展過程，無論是內(nèi)部控制、公司治理還是風(fēng)險管理，都是為了控制企業(yè)可能面臨的各種風(fēng)險而產(chǎn)生的，伴隨企業(yè)由自然人企業(yè)向公司制企業(yè)過渡，企業(yè)的組織層次發(fā)生變化，相應(yīng)的風(fēng)險控制也由員工層次向經(jīng)理層、董事會以至股東大會轉(zhuǎn)換，風(fēng)險控制也由內(nèi)部控制發(fā)展為公司治理；并且，在企業(yè)較高層次，其主要的職責(zé)是經(jīng)營決策，所以公司治理更多地關(guān)注決策理性，也就是決策非理性的風(fēng)險；早期企業(yè)面臨的主要風(fēng)險是財物侵吞和信息欺詐風(fēng)險，風(fēng)險控制的主要任務(wù)是保證財產(chǎn)安全和信息真實，而現(xiàn)代企業(yè)財物的安全控制體系和信息體系不斷地建立健全，企業(yè)面臨的主要風(fēng)險已轉(zhuǎn)變?yōu)槭袌龈偁庯L(fēng)險，所以風(fēng)險控制就更加關(guān)注戰(zhàn)略風(fēng)險和經(jīng)營風(fēng)險；同時，長期的企業(yè)實踐使人們相信，企業(yè)不可能完全避免和消除風(fēng)險，企業(yè)必須承擔(dān)某些風(fēng)險，有的風(fēng)險只能控制在可容忍的水平，風(fēng)險控制的目標(biāo)就不再僅僅是避免和消除風(fēng)險，而是要事先設(shè)定風(fēng)險容忍度，企業(yè)只是對超過這一容忍度的風(fēng)險進(jìn)行控制。從邏輯的推理來看，企業(yè)風(fēng)險表現(xiàn)為企業(yè)收益（成本）的不確定性，企業(yè)經(jīng)營就是經(jīng)營風(fēng)險，企業(yè)管理就是管理風(fēng)險，企業(yè)一旦設(shè)立就必然與風(fēng)險相伴。企業(yè)控制（或者經(jīng)營、管理）風(fēng)險就是要使收益（成本）達(dá)成企業(yè)設(shè)定的目標(biāo)，企業(yè)經(jīng)營管理過程，就是為了達(dá)成設(shè)定的收益目標(biāo)，選擇企業(yè)經(jīng)營方向，圍繞經(jīng)營方向有效配置資源，使資源得到充分利用的過程。在配置和運用資源過程中，由于兩權(quán)分離和分層管理形成了多層的委托代理關(guān)系，由于人的私利性很容易造成受托人背叛委托人，這種背叛主要表現(xiàn)在侵吞委托人的財物、對委托人進(jìn)行信息欺詐以及違背委托人所確定的各種行為規(guī)則。當(dāng)受托人進(jìn)行這些行為時，不僅會使委托人遭受損失，更使企業(yè)難以為繼，必然最終遭致破產(chǎn)風(fēng)險。所以對受托人的這些行為進(jìn)行控制，就是進(jìn)行風(fēng)險管理；在配置和運用資源的過程中，由于分工分權(quán)管理形成了多個決策與執(zhí)行主體，這些決策與執(zhí)行主體是否能真正做到科學(xué)決策、有效執(zhí)行，必然直接影響企業(yè)的戰(zhàn)略選擇和經(jīng)營效率，從而直接影響企業(yè)的收益。從理論和實踐的角度看，由于人的有限理性以及事物的復(fù)雜性，使得決策難以完全科學(xué)，執(zhí)行難以完全充分有效，這必然導(dǎo)致企業(yè)經(jīng)營和財務(wù)風(fēng)險的發(fā)生，及致企業(yè)陷于破產(chǎn)。既然在企業(yè)中存在背德和非理性兩種風(fēng)險，所以企業(yè)必須對這兩種風(fēng)險進(jìn)行有效地控制。從理論上說，只有把風(fēng)險降至零的狀態(tài)才是最理想的，但是任何風(fēng)險控制都將發(fā)生成本，并非任何因風(fēng)險控制而發(fā)生的成本都是有效的，這就使得企業(yè)必須在風(fēng)險控制成本與風(fēng)險控制效益之間做出權(quán)衡，權(quán)衡的結(jié)果無非是當(dāng)風(fēng)險控制成本高于風(fēng)險控制效益時，企業(yè)就會選擇回避風(fēng)險（回避風(fēng)險也就是不作為，不作為也就是無收益，無收益也無成本），或者允許一定程度的風(fēng)險發(fā)生（這是風(fēng)險容忍度形成的理論基礎(chǔ)）?？傊髽I(yè)設(shè)立就與風(fēng)險相伴，而風(fēng)險是否發(fā)生則與人相關(guān)，所以企業(yè)經(jīng)營管理就是要進(jìn)行風(fēng)險控制，或者說企業(yè)經(jīng)營管理就是經(jīng)營管理風(fēng)險。從這個意義出發(fā)內(nèi)部控制、公司治理、風(fēng)險管理都屬于企業(yè)管理的范疇，它們都是為了進(jìn)行風(fēng)險控制。四、內(nèi)部控制、公司治理、風(fēng)險管理：三者整合的框架。內(nèi)部控制、公司治理以及風(fēng)險管理都是基于企業(yè)存在風(fēng)險而產(chǎn)生的，他們都是為了進(jìn)行風(fēng)險控制，既然如此，我們就沒有必要為此制定三種規(guī)范，而是應(yīng)該將其整合為一種統(tǒng)一的規(guī)范。至于這種規(guī)范的名稱叫什么并不重要，或者我們可以按照歷史的習(xí)俗繼續(xù)沿用內(nèi)部控制，或者為了更好地凸顯所有這些規(guī)范的控制目的而直接稱之為風(fēng)險管理。必須注意的是風(fēng)險管理并不是一種脫離于企業(yè)經(jīng)營管理活動之外的管理形式，它內(nèi)含于整個企業(yè)的經(jīng)營管理活動過程之中；風(fēng)險管理是針對企業(yè)的各責(zé)任主體而言的，離開了這些責(zé)任主體風(fēng)險管理既失去了風(fēng)險控制的主體，也失去了風(fēng)險發(fā)生的主體；為了進(jìn)行風(fēng)險管理，必須要有一整套風(fēng)險識別、風(fēng)險控制的程序和方法，如果更廣義地說，就是企業(yè)管理的程序和方法；風(fēng)險控制的目的正如同內(nèi)部控制成的目的那樣是確保財物的安全和信息的真實，而后進(jìn)一步拓展為提高經(jīng)營效率以及各項法律法規(guī)的執(zhí)行。依此四個方面，我們可以將三者整合成如下框架：

從圖中可以看出，我們將三者整合后的框架是由四個維度組成的：第一個維度是指風(fēng)險管理的基本程序，這一程序在COSO的《企業(yè)風(fēng)險管理———整體框架》中有明確的規(guī)定，這里不再贅述；透過這一程序?qū)λ锌赡馨l(fā)生風(fēng)險的責(zé)任主體進(jìn)行風(fēng)險識別和風(fēng)險控制，沒有人存在的地方顯然不會發(fā)生風(fēng)險；在第二個維度中表達(dá)的就是這些責(zé)任主體，之所以把子公司單獨列為一個責(zé)任主體，是因為現(xiàn)代大型企業(yè)多以集團(tuán)公司的形式存在，集團(tuán)公司所屬的子公司往往也存在背離母公司的傾向，從而母公司會面臨控制的風(fēng)險。所有這些主體只是在從事經(jīng)營管理的過程中才會發(fā)生風(fēng)險，有人存在而不進(jìn)行經(jīng)營管理活動的地方顯然也不會發(fā)生風(fēng)險，也就是只有有人并有人的行為的地方風(fēng)險才會發(fā)生。企業(yè)的經(jīng)營管理過程可以理解為是由以下環(huán)節(jié)組成：一是確定企業(yè)發(fā)展戰(zhàn)略，二是在已定戰(zhàn)略的基礎(chǔ)上制定某一時期的經(jīng)營計劃，通常是年度計劃，三是為了保證計劃的執(zhí)行必須設(shè)定計劃執(zhí)行的責(zé)任主體，也就是形成企業(yè)內(nèi)部組織（如第二維度所示），四是為了使企業(yè)內(nèi)部各組織之間協(xié)調(diào)運轉(zhuǎn)，必須制定各種相應(yīng)的流程，五是各組織或責(zé)任主體執(zhí)行計劃，六是各執(zhí)行行為都是通過具體的作業(yè)來完成的，風(fēng)險存在于各項作業(yè)之中，識別和控制風(fēng)險必須從作業(yè)開始；通過對這些責(zé)任主體所從事的經(jīng)營管理活動進(jìn)行風(fēng)險識別和風(fēng)險控制是一種有目的的行為，這些目的在第四個維度中得以表現(xiàn)，目的之一是財物的安全，在企業(yè)經(jīng)營管理過程中，各責(zé)任主體必然會占用一部分財物，這些財物有可能被這些責(zé)任主體私吞，所以保證財物的安全成為了風(fēng)險控制的最基本的目標(biāo)，目的之二是信息的真實，在企業(yè)內(nèi)部分層管理而形成委托代理關(guān)系的條件下，受托人必須向委托人報告受托責(zé)任的履行情況，但是受托人為了隱瞞受托責(zé)任的履行情況可能制造虛假信息，所以保證信息的真實就成為了風(fēng)險控制的另一個基本目標(biāo)，目標(biāo)之三是在企業(yè)內(nèi)部分層分權(quán)管理的條件下，為了協(xié)同整個企業(yè)的行為，有關(guān)管理當(dāng)局會制定各種法規(guī)制度，但分層分權(quán)各所屬責(zé)任主體有可能違反這些制度，所以保證各責(zé)任主體的行為合規(guī)就成為了風(fēng)險控制的又一個基本目標(biāo)。這三個目標(biāo)能否最終實現(xiàn)是保證企業(yè)正常運轉(zhuǎn)的前提條件。目標(biāo)之四是經(jīng)營有效，企業(yè)財物安全、信息真實、行為合規(guī)的最終目的是提高企業(yè)的經(jīng)營效率，實現(xiàn)企業(yè)價值的最大化。但是各責(zé)任主體有可能非理性決策和執(zhí)行，導(dǎo)致經(jīng)營效率低下，所以保證各責(zé)任主體理性決策和執(zhí)行，提高經(jīng)營效率就成為了風(fēng)險控制的最高目標(biāo)。這一目標(biāo)能否最終實現(xiàn)是保證企業(yè)有效運轉(zhuǎn)的前提條件。在實現(xiàn)三者整合建立新的框架的過程中，必須考慮以下因素：因素之一，三者之整合都以風(fēng)險控制為主線，無論從歷史的回顧還是理論的分析都可以看出內(nèi)部控制、公司治理以及風(fēng)險管理都是基于對風(fēng)險進(jìn)行控制而產(chǎn)生的。更一般地說，企業(yè)管理實質(zhì)上就是風(fēng)險管理。理論上講，風(fēng)險是指收益的不確定性，而風(fēng)險又與收益對稱，如果企業(yè)不作為就沒有風(fēng)險，沒有風(fēng)險自然就沒有收益，而要取得高收益，就必然面臨高風(fēng)險。企業(yè)管理的目標(biāo)就是要實現(xiàn)企業(yè)價值或者收益最大化，也就意味著企業(yè)面臨的風(fēng)險最大化，正是透過對這一最大化風(fēng)險的有效識別和控制，才能達(dá)成企業(yè)管理的目標(biāo)。因素之二，風(fēng)險控制的目標(biāo)不是針對物和事，而是針對人。就目前所論及的風(fēng)險管理的有關(guān)規(guī)定看，風(fēng)險管理的目標(biāo)大多定位在物和事上，主要是指風(fēng)險管理的目的是要保證信息真實準(zhǔn)確、保護(hù)財產(chǎn)的安全、提高經(jīng)營效率。事實上，風(fēng)險是企業(yè)經(jīng)營管理過程中存在的客觀現(xiàn)象，既然如此，最重要的是人們要認(rèn)識風(fēng)險、識別風(fēng)險并對風(fēng)險發(fā)生的可能性、引起風(fēng)險的要素進(jìn)行有效的控制。這意味著風(fēng)險的存在與否人們不可改變，人們必須所為的是能否發(fā)現(xiàn)風(fēng)險并進(jìn)行有效控制。既然人們可以通過自身的行為識別風(fēng)險與控制風(fēng)險，所以風(fēng)險管理的最終目標(biāo)就不是指向物和事而是人們的行為。就人的行為而言，在沒有約束的條件下，有可能出現(xiàn)人之初性本惡的特征。這種特征主要表現(xiàn)在背德上：背德之一是造假，背德之二是私吞，背德之三是違規(guī)，這樣就形成了風(fēng)險控制的三個目標(biāo)，這三個目標(biāo)顯然是與人自身的行為直接相關(guān)的。人在沒有約束的條件下，除了背德之外，還可能出現(xiàn)不理性行為。它是企業(yè)風(fēng)險形成的第二個原因。不理性通常是由于風(fēng)險控制者的能力缺失或者盲目（如經(jīng)驗主義、主觀主義、教條主義等）所致。既然如此，風(fēng)險管理的目標(biāo)是控制人們的不理性行為。這種不理性行為會導(dǎo)致各責(zé)任主體不能有效地識別和控制企業(yè)客觀存在的經(jīng)營風(fēng)險，從而導(dǎo)致經(jīng)營效率低下，以致經(jīng)營失敗。因素之三，風(fēng)險控制不能只是控制人的惡、還應(yīng)包括激發(fā)人的善。風(fēng)險控制的目標(biāo)是控制人，過去往往只是從控制人的背德、非理性角度考慮。事實上，人之初性本惡、人之初性本善是人性的兩面，它們是交互作用的。一個企業(yè)，人性惡的一面必須被控制，不僅需要制定人們不許為的法律規(guī)范，還要通過制定張揚人性、激勵人性的制度使人們樂于從善、主動從善、追求更善。企業(yè)在進(jìn)行風(fēng)險控制時一定要防止“逼良為娼”的效應(yīng)，而是要產(chǎn)生“高薪養(yǎng)廉”的效應(yīng)。因素之四，風(fēng)險控制必須從風(fēng)險發(fā)生的原因進(jìn)行識別和控制。過去風(fēng)險識別與控制更多的是關(guān)注風(fēng)險發(fā)生的結(jié)果，實際上，風(fēng)險控制應(yīng)該更多地關(guān)注原因。在風(fēng)險識別上，過去的風(fēng)險管理往往是以企業(yè)的會計報表或業(yè)務(wù)經(jīng)營數(shù)據(jù)作為風(fēng)險識別的依據(jù)，而這些數(shù)據(jù)是企業(yè)經(jīng)營活動的結(jié)果，這就使得風(fēng)險識別停留在相對事后、相對籠統(tǒng)的狀態(tài)，這主要因為，會計報表以及業(yè)務(wù)經(jīng)營數(shù)據(jù)作為結(jié)果數(shù)據(jù)是對過去事件的描述，同時這些數(shù)據(jù)已經(jīng)經(jīng)過會計核算體系以及業(yè)務(wù)核算體系的歸納、匯總，難以直接揭示產(chǎn)生風(fēng)險的事件的性質(zhì)，所以，為實現(xiàn)風(fēng)險識別所需要的信息必須要由事后信息向事前、事中信息轉(zhuǎn)換；要由抽象信息向具體信息轉(zhuǎn)換；由結(jié)果信息向原因信息轉(zhuǎn)換。風(fēng)險存在于原因之中，而引起風(fēng)險的原因都是具體而細(xì)節(jié)的。在風(fēng)險控制上，必須實行源頭控制、全程控制，而不是結(jié)果控制。在內(nèi)部控制中強(qiáng)調(diào)關(guān)鍵控制點實質(zhì)上就是指風(fēng)險產(chǎn)生源頭的關(guān)鍵因素，而在內(nèi)部控制中特別強(qiáng)調(diào)全程控制，也是考慮到風(fēng)險伴隨著企業(yè)經(jīng)營管理活動過程而產(chǎn)生，也就是說，企業(yè)經(jīng)營管理的過程就是風(fēng)險產(chǎn)生的過程，惟其全程風(fēng)險控制才能使企業(yè)避免、降低或消除風(fēng)險。因素之五，風(fēng)險控制必須是針對全員的。過去的風(fēng)險控制對象是更多地關(guān)注企業(yè)高層，實際上，企業(yè)的風(fēng)險存在于企業(yè)運行各個環(huán)節(jié)、各個要素、各個主體之中，正因為這樣，風(fēng)險管理具有全過程管理、全要素管理、全主體管理的特征。站在企業(yè)各類人員行為的風(fēng)險的角度，可以把風(fēng)險分為造假、私吞、違規(guī)和非理性決策四個層次，那么，在整個企業(yè)的委托受托層次鏈中，不同行為的主體可能帶來的風(fēng)險具有性質(zhì)、程度的不同。對于股東大會來說，通常不會存在背德風(fēng)險，當(dāng)然由于小股東、大股東的存在，大股東有可能侵犯小股東利益，也會存在股東之間相互背德的風(fēng)險，這當(dāng)然要受到控制。股東大會存在的主要風(fēng)險是決策的非理性風(fēng)險。對于董事會和經(jīng)理層，前者是企業(yè)經(jīng)營的決策者，后者是企業(yè)經(jīng)營的執(zhí)行者，可以將兩者稱之為經(jīng)營層團(tuán)隊。兩權(quán)分離后，經(jīng)營者有可能產(chǎn)生背德行為以及非理性決策。相比較而言，社會通過各種方式建立了對經(jīng)營者的約束機(jī)制（如注冊會計師事務(wù)所、政府監(jiān)管者等），以控制其背德的風(fēng)險；但是，作為經(jīng)營決策和執(zhí)行的主體，社會難以對其決策及其執(zhí)行過程進(jìn)行約束，這就使得經(jīng)營者的非理性決策行為成為企業(yè)風(fēng)險控制的焦點。對于企業(yè)其他各層次而言，最為關(guān)鍵的是必須提供相應(yīng)層次上所存在的信息，確保受托該層次的財產(chǎn)安全，以及執(zhí)行上一層次的各項決定。所以這些層次所要控制的風(fēng)險主要是造假、私吞、違規(guī)以及偷懶的風(fēng)險。因素之六，風(fēng)險控制要更多地采用制衡的方式。談到風(fēng)險控制人們自然想到監(jiān)督，監(jiān)督成為了風(fēng)險控制的主要手段。但是監(jiān)督存在天然的缺陷，就是無法解決誰來監(jiān)督監(jiān)督者的問題。從現(xiàn)代企業(yè)制度看，企業(yè)正在走一條建立制衡體系的路子。現(xiàn)代公司之企業(yè)之所以要設(shè)立股東大會并用一股一票制進(jìn)行決策，就是為了形