内部控制与公司治理的整合

1、内部控制与公司治理的整合-石家庄辦證：新浪 【摘要】内部控制理论发展的历史表明,内部控制的目标在不断提升,范围在不断扩大,大有与管理学、经济学融合之势。文章在回顾有关内部控制和公司治理关系研究的基础上,从现代控制理论和经济学的角度分析了两者整合的必要性和可能性,并提出了整合框架。 【关键词】内部控制; 公司治理; 控制论; 整合 一、内部控制与公司治理的关系研究文献回顾 关于内部控制与公司治理之间的关系,得到了理论界的充分关注。 (一)国外研究文献 1994年修订后的COSO报告在关于控制环境的论述中,包括了股东大会、董事会等公司治理的相关内容。而关于公司治理和内部控制关系的研究,当首推被称为

2、英国公司治理和内部控制研究史上的三大里程碑:1992年发布的卡德伯利报告、1998年发布的哈姆佩尔报告和1999年发布的特恩布尔报告。这三份报告将内部控制置于公司治理框架中进行研究,认为有效的内部控制是公司治理的一个重要环节,董事会及董事对控制的各个方面进行复核具有重要意义,在其内部控制和公司治理规范中,强调了董事会对内部控制的责任。 (二)国内研究文献 国内关于内部控制与公司治理关系的研究,主要有以下几种观点。 1.公司治理是内部控制的环境之一,是内部控制的前提。 阎达五(2001)认为,随着公司治理机制的完善,内部控制与公司治理的关系是内部管理监控系统与制度环境的关系。吴水澎、程新生等许多

3、学者在相关研究中,都持有类似的观点。 2.内部控制是公司治理的基础。杨雄胜(2005)认为没有系统而有效的内部控制,公司治理将成为一纸空文,内部控制是实现公司治理的基础设施建设。 3.内部控制和公司治理是会计系统运行的两个重要因素,两者相辅相成,相互促进。王蕾(2001)认为,内部控制和公司治理具有高度的相关性,健全的内部控制体现了有效的公司治理,内部控制的创新和深化将有助于公司治理的完善。 4.内部控制和公司治理存在一种嵌合关系。李连华(2005)认为,内部控制和公司治理在主体、目标和内容上有很多的重合点和交叉性,用“你中有我,我中有你”的嵌合论更能准确地描述内部控制和公司治理的关系。 从内

4、部控制与公司治理关系的研究文献可以看出,两者的关系非常密切,主要表现为三种形式:互为前提、等同关系、嵌合关系。既然公司治理和内部控制具有如此高的关联度,二者均存在于企业运行系统之中,从系统控制论的观点来看,两者整合就具备了一定的基础。 二、内部控制与公司治理整合的必要性与可能性分析 (一)内部控制与公司治理整合的必要性分析 1.从产生的根源来看,内部控制与公司治理都是基于委托代理而产生的,具有相同的理论基础。在企业发展过程中,由于所有权与经营权分离,“内部人”控制相当严重,经理人背德、逆向选择、大股东一股独大导致非理性决策等问题而引发企业失败。为了解决这一问题,形成了公司治理规范。公司治理规范

5、通过建立约束、激励和监督机制,试图解决所有者和经营者的委托代理问题。关于公司治理问题的产生,哈特(Hart,1995)认为有两个条件。第一,组织成员之间存在着代理问题;第二,存在着交易成本,从而代理问题不能通过一个完全合同来解决。也就是说,存在代理问题和不完全合同的情况下,公司治理问题就产生了。 内部控制从产生至今,经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架和企业风险管理框架等五个阶段。在不同的阶段,内部控制都被赋予了不同的内涵。1992年,COSO研究报告内部控制整体框架将内部控制定义为由董事会、经理层和其他员工共同实施的,为营运效率、财务报告的可靠性和相关法规的遵守等目标

6、的达成而提供合理保证的过程,并将内部控制整体框架分为控制环境、风险评估、控制活动、信息与沟通、监督五个部分。2004年,COSO发布的企业风险管理整体框架,将内部控制的目标提升到战略目标的位置,实现了内部控制又一次质的飞跃。从本质上说,内部控制是存在于企业的一种控制机制和控制体系,是一种为了解决代理问题,降低代理成本而做出的一种制度安排。从契约理论的角度来看,内部控制可以看作是公司治理这个不完全契约在企业内部的进一步延伸。 2.从方法论的角度来分析,公司治理和内部控制理论在发展和完善的过程中,应用了系统论和控制论的思想。从控制系统的主要特征出发来考察企业运行系统,可以得出这样的结论:公司治理和

7、内部控制是典型的控制系统。作为企业管理系统中的两个子系统,他们之间存在着较高的耦合度。首先,二者存在着内容耦合。在公司治理结构中,除独立于企业业务系统的股东、监事会行使监督权外,其余的监督权、决策权和执行权都纳入到内部控制框架之下,由董事会、经理、职能部门、业务部门来行使。其次,二者存在着控制耦合,内部控制与公司治理相互依赖而发挥作用。公司治理主要侧重于处理约束、监督与激励问题,处于企业控制系统的较高层次,而内部控制侧重于企业各项具体活动的控制,主要解决经营管理部门的决策与执行问题,处于企业控制系统的较低层次。在实施公司治理结构时,配置和行使控制权必须以内部控制来保障和约束;对董事会、管理人员

8、的监督和评价,也必须以内部控制的执行结果为依据;设计和实施激励机制最终通过内部控制程序体现出来。内部控制活动是公司治理活动的具体化,没有控制活动,公司治理结构就成为空中楼阁。从另一方面来说,公司治理又影响着企业内部控制的建立及运行效果。如果没有有效的公司治理结构,管理者就容易发生道德风险和逆向选择。现代控制理论认为,内容耦合的耦合度最高,是一种最差的耦合。耦合度越高,成本越高,从经济学角度来说,不符合成本效益原则。如果模块间必须存在耦合,尽量少用控制耦合,限制公共耦合的范围,坚决避免使用内容耦合。从这个意义上说,有必要对内部控制和公司治理进行整合,以进一步提高其内聚度,降低耦合度。 3.从内部

9、控制的产生和发展实践来看,两者有整合的必要。内部控制产生和发展的历程是随着经济的发展其研究内涵不断扩展和研究重心不断变化的过程,是从以会计控制为主到不断向企业管理延伸的过程,这个过程是建立在社会经济实践和企业经营管理需要的基础之上的。20世纪60年代以来,大量的公司倒闭或陷入财务危机,导致“诉讼风暴”,引起审计风险的加大和对内部控制的怀疑,从而使内部控制研究的内容更加具体,同时不断完善管理控制的内容。2004年,COSO发布的企业风险管理整体框架,使风险控制不仅面向过去,而且面向未来,不仅贯穿于执行层,而且贯穿于决策层。因此,随着经济的发展、高风险行业的增多和方法论的发展使得内部控制不断地与管

10、理学和经济学相融合。 (二)内部控制与公司治理整合的可能性分析 1.内部控制与公司治理在实施主体和手段上有一定的重 叠。作为两种制度安排,内部控制与公司治理在运行过程中,其实施的主体和手段有一定程度的重叠,这种重叠为两者的整合提供了进一步的可能,使两者的整合找到了接合点。从实施主体来看,两者都包括董事会和经理;从实施的手段来看,两者均运用到约束、监督、评价等基本手段。 2.内部控制与公司治理的终级目标具有一致性。二者的具体目标虽然不同,但终极目标却是一致的。无论是内部控制还是公司治理,都是为了保证企业系统的正常和高效运行,防范化解风险,确保企业目标的实现。两者在终极目标上的一致性,为其整合创造

11、了条件。三、内部控制与公司治理的整合 (一)整合框架 内部控制和公司治理都是以委托代理为理论基础,其终极目标表现出高度的一致性。内部控制理论在发展的过程中,逐渐向公司治理融合,两者界限逐渐模糊并表现出较高的耦合度,从而具备了整合的基础和可能。为了加快企业管理一体化进程,有必要对内部控制和公司治理进行整合。 两者的整合以企业价值最大化目标为核心,以风险管理为主线,各责任主体的行为依照一定的流程,采用一定的程序和方法进行。也就是说,两者整合后的基本框架为:一个中心,一条主线,三个维度。一个中心是企业价值最大化;一条主线是风险管理;三个维度分别是:责任主体(股东大会、董事会、经理、部门、个人),管理

12、流程(战略、计划、组织、协调、执行、作业),程序方法(内部环境、目标设定、事件识别、风险评估、风险反映、控制活动、信息与沟通、监督),他们为企业目标提供合理的保证。两者整合后,内部控制与公司治理要统一到企业价值最大化目标之下,企业行为受制于企业价值最大化目标,要以企业目标为核心。按照企业目标的层次不同,可以将其进一步分解为:战略目标(企业最高目标,应与组织的使命一致并支持该使命)、经营目标(有效使用资源)、报告目标(提供可靠的报告)、遵循性目标(遵循相关的法律规章),以满足管理和风险控制的需要。为了保证企业目标的实现,企业要制定一套有效的管理流程,具体包括:战略、计划、组织、协调、执行、作业。

13、要根据企业目标制定企业发展战略,以企业发展战略为依据,综合考虑各种影响因素,制订企业经营计划。为了保证计划的有效实施,要确定一定的组织机构(责任主体维度),各个层次的组织机构要协调运转,需要制订一定的流程。各组织或主体要执行计划,一般通过具体的作业来完成。 风险存在于企业整个经营活动的过程之中,为了识别和控制风险,必须要有一套风险管理方法。2004年COSO发布的企业风险管理整体框架报告指出,企业风险管理包含八个相互关联的要素:(1)内部环境。内部环境包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。它是组织人员对待和处理风险的基础。(2

14、)目标设定。企业风险管理要求管理层设定目标,选择的目标需要能够支持组织的使命并与组织使命、风险偏好相一致。(3)事项识别。识别那些影响组织目标实现的内外部事项,并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。(4)风险评估。必须对风险加以分析,考虑其发生的可能性以及影响,确定风险应对和管理策略。(5)风险反映。管理层在不同的风险应对(包括回避、接受、降低、分担风险)中做出选择,从而采取一系列与组织的风险容忍度(risk tolerances)和风险偏好相一致的行动。(6)控制活动。建立相关的政策和程序,以确保风险应对策略得到有效的执行。控制活动通常包括两个要素:从事何种活动的政

15、策、执行政策的程序。(7)信息与沟通。识别、捕捉相关信息并加以传递沟通,使各责任主体可以有效地履行职责。有效的沟通包括向下、向上以及平行交互沟通。(8)监控。整个企业风险管理都应当加以监控并根据需要做出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。 整合系统应充分发挥内部审计的作用。内部审计通过对整合系统的充分性、有效性的评价和运行过程的持续监督,发现整合系统及风险管理的薄弱环节,改善管理层风险管理流程的效果和效率,通过与管理层、董事会、审计委员会的沟通讨论,加强风险管理,保证整合系统的有效运行。内部审计还可以通过为管理层提供咨询协助企业完善和改进整合系统。 (二)整合的意义

16、 内部控制与公司治理整合后,运行的目的更加明确并趋于一致,公司治理从战略的角度应对风险,实现企业价值最大化,而内部控制则按照全面风险管理的要求运作。由于要素之间的协同效应,两者整合后会体现出整体功能放大效应。在一致的目标统领下,各责任主体(股东大会、董事会、经理、部门、个人)协调运作,共同减少不确定性因素特别是风险对整合系统的影响,实现增加企业价值的最终目标。 内部控制和公司治理有效地整合,具有重要的现实意义。从现代控制理论的角度来说,两者整合后形成的整体框架,其内聚度进一步增加,耦合度降低,加快了企业管理一体化的进程,提高了企业管理效率,对建立和完善有效的企业控制体系有着重要的意义。从经济学角度来看,两者整合后能在相对较低的成本条件下很好地解决委托代理关系,防范化解企业风险,实现企业相关者利益最大化。 【参考