内部控制与公司治理、风险管理是何关系？

管理会计

        研究内部控制，绕不开的一个话题是内部控制与公司治理、风险管理的关系。理论界围绕这一问题已经进行了大量的研究，观点不一。其中，有些研究侧重于制度实施，譬如，谢志华（2007）提出了“整合论”；池国华（2009）提出了基于战略导向与系统整合的企业内部控制规范实施机制。有些研究侧重于理论探讨。譬如，阎达五、杨有红（2001）提出了“环境论”，即内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系；李连华（2005）提出了“嵌合论”，他认为内部控制与公司治理之间存在交叉重合的部分；杨雄胜（2005）提出了“基础论”，即内部控制是实现公司治理的基础设施。而关于内部控制与风险管理之间的关系，谢志华（2007）认为二者在实质上是相同的。COSO（2004）认为风险管理涵盖内部控制，其表述是：“内部控制是企业风险管理不可分割的一部分。”笔者发现，现有研究之所以存在较大争议，主要原因在于这些研究中都或隐或现地存在着一个不适当的假设，即先验地认为内部控制是制度。这样，现有文献就不可避免地陷入了为一个本不存在的制度寻找存在的理由和落脚点的尴尬境地。
　　笔者认为，内部控制并非制度，而是一项管理职能。那么，企业建立和实施的制度包括哪些？内部控制和公司治理、风险管理究竟是何关系？从广义上讲，治理和管理制度可以不分彼此。因此，企业的治理和管理制度中都渗透着内控思想，体现着控制职能的要求。不存在内部控制与公司治理谁包含谁，谁是环境谁是基础，或哪些部分是交叉重叠的问题；也不存在内部控制与公司治理的产生谁先谁后的问题。二者水乳交融合为一体。
　　如何看待内部控制和风险管理之间的关系？我们从COSO的两个框架谈起。COSO《企业风险管理—— —整合框架》顾名思义是一套研究如何控制风险的理论，其研究对象是风险及其控制。
　　而COSO《内部控制—— —整合框架》也是一套关于控制的理论。作为管理职能中的关键要素而渗透在各项管理制度中的控制职能，也是为了控制风险。所以，《内部控制—— —整合框架》研究的对象也是风险及其控制问题。
　　可以说，这两个整合框架只是在命名上考虑问题的侧重点有所不同，而实质上具有一致性。用内部控制，是从管理职能上来讲的，侧重于强调控制职能的发挥；讲风险管理则是从控制的对象上来讲的，侧重于强调风险控制的重要性，二者涵义相同。那么，为什么COSO认为风险管理涵盖内部控制？对此，我们可以将《企业风险管理—— —整合框架》看成是对《内部控制—— —整合框架》的发展。这与内部控制是一个不断发展的过程的思想是相符的。