【摘要】本文阐释公司治理与公司管理的相关性,剖析内部控制与公司管理关系的发展变化,并以此为契机,重点论证公司治理与内部控制整合系统的形成以及该整合系统要素的协同作用。
一、公司治理与公司管理的相关性阐释
公司治理(corporate governance)实质是一种机制,其核心是在法律、法规、惯例的框架下,保证以股东为主体的利益相关者利益的一整套公司权利安排、责任分工和约束机制。这种责、权、利的安排科学与否是公司绩效最重要的决定因素之一。公司管理是执行决策、完成使命、实现目标的具体活动,其核心是确定公司目标实现的途径。
公司治理不同于公司管理。公司治理关心公司应向哪里走,而公司管理关心的是公司应如何到达那里,即管理是经营和运作,治理是确保这种经营和运作处于正确的轨道,治理规定了整个企业运作的基本网络框架,管理则是在这个既定的框架下驾驭企业奔向目标,如果说良好的治理模式是根基、是蓝图,则畅通的公司管理体系是上层的建筑,是实际的内容。
公司治理与公司管理的关系在动态中发展。早期的公司管理注重作业层,即个体及群体在进行各种活动时的效率,关注基础管理和职能管理,这些内容与公司治理几乎是分割的。进入20世纪80年代以后,由于竞争的激烈,制定战略成了企业发展首要考虑的问题,公司管理的重心转向包含战略规划和战略实施的战略管理,其过程一般是由总经理提出战略动议,经过董事会(股东大会)批准认可,然后再由总经理组织分解、贯彻和实施,这一过程受到董事会等的监督和控制。战略管理的参与者既包括公司治理的各个层次,也包括公司管理的各个层次,治理层负责批准和监督,管理层负责提议和实施。由此,公司治理与公司管理之间的连接点在于公司的战略管理层次。换言之,自泰勒的科学管理思想、梅奥的人际关系理论、波特的竞争战略研究到哈默的企业再造理论,公司管理理论与相应的管理实践范围由小到大,由刚性的管理措施逐步发展到注重组织、个体行为的柔性管理理念,由企业的作业管理层次发展到从战略到作业的全方位管理。这一转变使公司管理与公司治理开始有了共同的领域,并日益融合。
二、公司管理与内部控制关系的发展变化
内部控制是为企业目标实现提供合理保证的各种政策、程序和过程。它与公司管理的关系非常密切,界限正逐步变得模糊。
内部控制从最初的牵制阶段关注查错防弊目的,到控制两分法阶段关注企业防弊和兴利两项目标,到整体架构阶段以营运效果及效率,财务报告可靠,相关法令遵循为目的,再到为企业风险管理框架(erm)的现代内部控制以战略、经营、报告和遵循性为目标,可以看出,内部控制目标日益扩展,其层次由管理的作业层上升到自战略层的整个管理过程。
最初以岗位分离、账目核对为主要内容的内部牵制非常简单。控制结构阶段认为控制由控制环境、会计制度和控制程序三个要素组成了一个平面三角结构,整体架构阶段丰富了要素并明确它们之间的关系和相互作用,认为控制由控制环境、风险评估、控制活动、监督、信息与沟通五个要素组成一个锥体结构。已发展为企业风险管理框架的现代内部控制则提出了立方体的结构,新增目标设定、事件识别和风险回应三个要素,倾向于更准确地进行风险评估,扩大信息与沟通要素。考虑来自历史、现在和未来潜在的事件及沟通方式,并要求与企业信息系统整合,除了目标和要素两个维度之外,erm还包括第三个维度——企业管理的不同层次。由此可见,内部控制架构由简单变为复杂,从公司管理的小角落伸展到全局。
内部控制结构首次提出了构成要素,包括:控制环境、控制活动及会计制度。控制整体架构阶段扩大了要素内容,提出了风险评估及监督这两个原先没有包括在内的要素。erm对整体架构进行了细化,提出了内部环境、目标设定、事件识别、风险评估、风险回应、控制活动、信息与沟通和监督八项要素。不难想见,内部控制的要素愈加精细与明确。
总之,内部控制从公司管理的职能演变为与公司管理逐渐融合。内部牵制承担的是控制的一小部分职责。内部会计控制在保护财产安全及财务信息可靠方面发挥控制职能。内部管理控制则注重于与组织计划的相符以及提高业务效率等方面,这些都是内部控制传统的职能。控制结构首次提出了控制环境的要素,在控制环境中包括董事会及其专门委员会、管理思想及经营作风,这些已涉入战略管理的层次,但却只是被动反映其静态内容,内部控制整体架构则首次提及风险评估要素,要求识别对组织目标产生影响的各种风险并评估其影响程度及发生的可能性,对以风险为导向的战略管理相关内容进行初步探索,以风险管理框架为内容的现代内部控制更全面反映公司风险管理的具体内容,从战略目标设定时考虑风险一直到风险识别、风险评估、风险回应以及具体的控制活动,该框架隐含的控制已经和公司管理相融合,涉入公司管理的所有层次,控制与管理的界限正逐步变得模糊。
三、公司治理与内部控制整合系统的形成
前已述及,公司治理与公司管理已日益融合,它们之间的共同领域在于战略管理,而内部控制已涉入包括战略层次在内的公司管理所有层次,控制与管理的界限正逐步变得模糊。因此,公司治理与内部控制这两个子系统在动态中正互相靠拢,整合成一个系统。现代公司治理的功能是建立科学的决策机制,制定公司的愿景、使命和目标以及相应实现目标的决策,并从战略层面应对风险,以确保公司价值最大化。在考虑公司各利益相关者的利益基础上,实现股东价值长远的最大化。现代内部控制的功能是在公司管理活动各个方面都建立风险管理机制。根据已制定的公司目标识别、控制以及管理风险,为公司目标的实现提供合理保证。整合系统表现出的整体功能并非等同于公司治理与内部控制要素功能的简单相加,而是体现出整体功能的放大效应,其原因就是系统要素的协同作用,具体分析如下:
一致的目标,是公司治理与内部控制协同运作、企业内外受托责任得以统一的条件。一方面,现代公司治理的目标是在充分考虑利益相关者利益基础上增加公司价值,从而实现股东价值最大化。内部控制将关注重点放在影响目标实现的各种风险上。通过对风险进行管理从而帮助企业抓住发展的机会、减少负面风险的影响,增加企业价值。两者目标统一,协同运作,势必共同减少不确定的环境——特别是风险对整合系统的影响,实现增加企业价值的最终目标。另一方面,外部受托责任是公司经营者对所有者以及利益相关者承担的受托责任,内部受托责任是公司下属管理层及员工对上级管理层承担的受托责任。现代公司多级化受托责任履行的关键在于目标一致性。要使对外受托责任得以有效履行,公司治理层必须将其分解到企业内部,而公司管理层又必须将高层的内部受托责任分解到低层,这一层层分解过程必须保持目标一致。公司治理是沟通外部受托责任与内部受托责任的桥梁,内部控制则是保证内部受托责任按既定目标得以履行的机制,此二者的整合能够促使受托责任分解过程目标一致。还有,作为整合系统的反馈机制——内部审计,能够为公司治理及内部控制提供信息,促使外部受托责任正确分解到内部各个层次,形成自上而下,自外而内的统一的受托责任。
公司治理与内部控制的有机联系,是促进整体功能最大发挥的内在动力。有效治理的核心是通过贯穿在整个组织中的适当控制和制衡为利益相关者做科学决策。内部控制是加强公司治理,确保管理处于受控状态的必要手段,是一个受人为因素影响的过程。公司治理决定了高级管理层对待内部控制的态度。如果没有良好的治理环境,无论设计得多么健全的内部控制也会流于形式而难以收到既定效果。另外,内部审计在整合系统中对公司治理与内部控制二者提供反馈作用,同时成为二者间相互沟通的渠道,促进二者协同发挥作用。
风险是促进公司治理与内部控制协同配合,发挥整体功能的外部力量。现代企业面临多样化及多变性的环境,企业必须进行持久努力,以对付风险、维持秩序。公司治理以科学决策为核心,风险理念是保证决策科学性的必要条件。从某种意义上说,公司治理是对风险的战略反应,风险理念推动着公司治理参与人关注内部控制,即董事会监督并评估内部控制系统。审计委员会帮助董事会履行监督职责,高级管理层负责建立并实施内部控制;现代内部控制已经扩展到范围更广、目标更明确的企业风险管理框架,公司根据风险识别和评估设计相应风险回应措施,运用适当控制活动,将风险控制在企业风险偏好范围内,从而合理保证企业目标的实现。风险理念推动内部控制进入治理层面,与公司治理沟通和融合,努力实现它们共同的目标。另外,在风险作用下,内部审计联系治理及控制,并将对治理及控制的反馈作用延伸到事前及事中,提供及时、相关的信息,使企业更好地应对风险。可见,在公司治理与内部控制发展的过程中,风险成为共同面对的环境,两者在应对风险中承担不同的职责,但又相互依赖,共同组成自上而下的应对风险机制。风险是促进两者协同的重要力量。