從集合論的視角，經(jīng)濟現(xiàn)象可用事件來表示，且事件按發(fā)生概率（p）可分為三類：0＜p＜1為不確定性事件，亦稱隨機事件，屬未來；P＝0為不可能事件，屬歷史；P＝1為確定性事件，也屬歷史。風險，即不確定性；企業(yè)風險，即企業(yè)未來收益的不確定性。企業(yè)風險無處不在，無時不在。本文對企業(yè)風險管理和內(nèi)部控制及公司治理之間的關(guān)系進行剖析。

一、企業(yè)風險的分類

基于不同的分類標準，可對企業(yè)風險進行不同的分類。從會計現(xiàn)金流量表角度，將企業(yè)的經(jīng)濟活動分為經(jīng)營活動、投資活動和籌資活動，從而企業(yè)風險可分為經(jīng)營風險、投資風險和籌資風險。經(jīng)營風險表現(xiàn)在應(yīng)收賬款、應(yīng)付賬款等商業(yè)信用行為；投資風險表現(xiàn)為股權(quán)投資、債權(quán)投資等；籌資風險具體可分為債務(wù)風險、財務(wù)風險。從會計利潤表角度，將企業(yè)的經(jīng)濟活動分為營業(yè)活動和營業(yè)外活動，從而企業(yè)風險可分為營業(yè)風險、營業(yè)外風險。營業(yè)風險具體又可細分為主營業(yè)務(wù)風險、其他業(yè)務(wù)風險、公允價值變動風險、投資風險、資產(chǎn)處置風險和其他風險。從戰(zhàn)略管理角度，企業(yè)風險可分為戰(zhàn)略風險、戰(zhàn)術(shù)風險。從組織行為學角度，企業(yè)風險可分為經(jīng)營決策風險、業(yè)務(wù)執(zhí)行風險。從企業(yè)風險的來源看，企業(yè)風險來源于企業(yè)的決策，包括決策的制定和執(zhí)行兩大環(huán)節(jié)，決策的制定有風險，決策的執(zhí)行同樣存在風險，所以，企業(yè)風險還可分為決策的制定風險、決策的執(zhí)行風險。因為重要決策的制定即戰(zhàn)略，普通業(yè)務(wù)的決策是對戰(zhàn)略進行分解和落實，即戰(zhàn)術(shù)，貫穿于業(yè)務(wù)執(zhí)行的全過程，所以，從企業(yè)風險來源角度對風險的分類與從戰(zhàn)略管理角度、組織行為學角度對風險的分類本質(zhì)是完全一致的。

戰(zhàn)略管理理論認為，企業(yè)戰(zhàn)略是指對企業(yè)未來發(fā)展制定并實施的重大決策，企業(yè)戰(zhàn)略管理的過程即企業(yè)重大決策的制定和實施過程，貫穿于企業(yè)經(jīng)營活動的整個過程。任何組織都有目標，企業(yè)組織也不例外，為了實現(xiàn)既定目標，企業(yè)通常先制定戰(zhàn)略，并通過不同類型的決策對戰(zhàn)略進行分解和落實。按所起的作用分類，企業(yè)決策可分為戰(zhàn)略決策、管理決策和業(yè)務(wù)決策三類。決策的制定風險主要指戰(zhàn)略決策、管理決策的制定風險，決策的執(zhí)行風險主要指管理決策、業(yè)務(wù)決策的執(zhí)行風險。

二、現(xiàn)有文獻關(guān)于企業(yè)風險管理概念的爭議

現(xiàn)有文獻關(guān)于企業(yè)風險管理概念的界定大多也是從對風險管理與內(nèi)部控制二者關(guān)系進行辨析出發(fā)的，主要有三種認識。

（一）風險管理包含內(nèi)部控制

周放生（2009）將企業(yè)風險分為常規(guī)風險和非常規(guī)風險，認為內(nèi)部控制的存在是針對企業(yè)經(jīng)營過程中的常規(guī)風險，而風險管理需要關(guān)注的不僅包含可合理預(yù)計的常規(guī)風險，還包含難以預(yù)測的非常規(guī)風險。朱榮恩（2009）也認為內(nèi)部控制是風險管理的重要組成部分。

（二）內(nèi)部控制包含風險管理

2004年，美國COSO委員會發(fā)布的《企業(yè)風險管理框架》將風險管理引入內(nèi)部控制框架；2010年，中國財政部等五部委聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》和《企業(yè)內(nèi)部控制配套指引》中，將風險評估作為內(nèi)部控制五大要素之一，對與實現(xiàn)內(nèi)部控制目標相關(guān)的風險如何識別、如何分析、如何應(yīng)對進行了規(guī)定。隨著內(nèi)部控制目標提升為促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略，與實現(xiàn)內(nèi)部控制目標相關(guān)的風險也擴展為企業(yè)的全面風險。所以，內(nèi)部控制包含了企業(yè)風險的識別、分析和應(yīng)對。

（三）風險管理與內(nèi)部控制本質(zhì)上無

該觀點將企業(yè)不同的風險作為內(nèi)部控制的控制對象，認為風險管理和內(nèi)部控制僅是風險控制的不同語義表達，并無本質(zhì)區(qū)別。謝志華（2007），戴文濤（2010），方紅星、池國華（2011），李維安、戴文濤（2013）等學者持這種觀點。如，李維安、戴文濤（2013）基于戰(zhàn)略管理觀，將內(nèi)部控制從高到低分為三個層級公司內(nèi)部治理控制、管理控制和作業(yè)控制，分別對治理風險、經(jīng)營風險和財務(wù)風險、作業(yè)風險實現(xiàn)控制。但是，將企業(yè)的風險分為治理風險、經(jīng)營風險和財務(wù)風險、作業(yè)風險的理論根據(jù)不足，主觀性較強。

三、從內(nèi)部控制的發(fā)展歷程來看風險管理

理論界對內(nèi)部控制五階段的發(fā)展歷程基本沒有爭議：內(nèi)部牽制階段（20世紀40年代前）、內(nèi)部控制制度階段（20世紀40—80年代）、內(nèi)部控制結(jié)構(gòu)階段（20世紀80、90年代）、內(nèi)部控制整合框架階段（20世紀90年代以來）、企業(yè)風險管理框架階段（2004年以來）。

人類社會早期的管理活動就包含著內(nèi)部牽制的思想和做法，如實物牽制、機械牽制等。

伴隨經(jīng)濟的發(fā)展，尤其是二戰(zhàn)以后，市場競爭激烈，股份有限公司涌現(xiàn)，企業(yè)對內(nèi)部控制的需求更為迫切。1949年，美國“審計程序委員會”（即CAP）首先提出內(nèi)部控制的概念，認為內(nèi)部控制包括內(nèi)部會計控制和內(nèi)部管理控制兩部分。相應(yīng)地，20世紀40年代以來，內(nèi)部控制與審計方法相結(jié)合，制度基礎(chǔ)審計應(yīng)運而生。

1988年，內(nèi)部控制結(jié)構(gòu)的提出標志著西方審計界對內(nèi)部控制的研究從一般含義向具體內(nèi)容深化，AICPA提出的內(nèi)部控制結(jié)構(gòu)認為內(nèi)部控制包含三個要素：控制環(huán)境、有效的會計系統(tǒng)和具體的控制程序。內(nèi)部控制結(jié)構(gòu)將本來不可分割的內(nèi)部會計控制和內(nèi)部管理控制兩部分從系統(tǒng)論的視角重新劃分為三個密切聯(lián)系的要素，有利于內(nèi)部控制的建立、運行和評價。

進入20世紀90年代，隨著信息化時代的到來，企業(yè)面臨的不確定性因素越來越多，內(nèi)部控制問題不再只受審計師和企業(yè)的關(guān)注，而是成為許多企業(yè)監(jiān)管、規(guī)制部門共同關(guān)注的問題。在此背景下，1992年美國“反對虛假財務(wù)報告委員會”（即Treadway委員會）下屬的“發(fā)起組織委員會 ”（CommitteeofSponsoring Organizations，簡稱COSO）發(fā)布《內(nèi)部控制整合框架》報告，亦稱COSO報告，并于1994年進行了修訂。COSO報告認為內(nèi)部控制由控制環(huán)境、風險評估、控制活動、信息與溝通、對控制的監(jiān)控五個要素構(gòu)成，其中，控制環(huán)境是內(nèi)部控制整合框架的前提條件和基礎(chǔ)，控制活動是內(nèi)部控制整合框架的核心。

鑒于企業(yè)面臨的風險日益增大，風險控制在企業(yè)運營中越發(fā)重要，2004年COSO又委托普華永道會計師事務(wù)所研發(fā)了《企業(yè)風險管理框架》。該框架包含企業(yè)目標、8個企業(yè)風險管理要素、企業(yè)各個層級的責任三個維度。該框架包含了內(nèi)部控制整合框架的所有內(nèi)容，并進行了拓展，在企業(yè)目標維度增加了戰(zhàn)略目標，使得企業(yè)目標形成一個完整體系，其中，戰(zhàn)略目標是最高目標，經(jīng)營目標是對戰(zhàn)略目標的細化、分解和落實，報告目標和合規(guī)性目標是對經(jīng)營目標的反映和保證；在風險管理要素中將原先的風險評估細化為目標設(shè)定、事件識別、風險評估、風險應(yīng)對四個具體要素。可見，《企業(yè)風險管理框架》是對《內(nèi)部控制整合框架》的超越，也標志著內(nèi)部控制的質(zhì)變。相應(yīng)地，審計界也相繼開發(fā)出了風險基礎(chǔ)審計模型和風險導(dǎo)向?qū)徲嬆Ｐ汀?/p>

綜上所述，從內(nèi)部控制的發(fā)展歷程來剖析，風險管理是企業(yè)內(nèi)部控制的外延逐步擴展進而質(zhì)變來的，從而產(chǎn)生了風險管理某種意義上已上升為企業(yè)管理的另一種說法，廣義的內(nèi)部控制完全等價于風險管理。

四、基于利益相關(guān)者理論對公司治理和內(nèi)部控制的界定

（一）公司治理和內(nèi)部控制對企業(yè)風險管理的作用

企業(yè)的風險管理水平直接決定企業(yè)能否持續(xù)經(jīng)營，從公司治理和內(nèi)部控制所起到的作用看，二者均能對企業(yè)的風險有所控制和管理。公司治理和內(nèi)部控制對決策的制定風險和執(zhí)行風險能起到相應(yīng)的控制作用。戰(zhàn)略、管理決策的科學制定與有效實施直接決定企業(yè)能否持續(xù)經(jīng)營。良好的公司治理是制定高質(zhì)量戰(zhàn)略、管理決策的環(huán)境機制，而內(nèi)部控制是戰(zhàn)略、管理和業(yè)務(wù)相關(guān)決策能得以有效執(zhí)行的制度、流程保障。公司治理通過環(huán)境機制對決策制定風險進行控制，內(nèi)部控制通過具體的控制活動對決策執(zhí)行風險進行控制。

（二）基于利益相關(guān)者理論對內(nèi)部控制和公司治理的界定

利益相關(guān)者理論是學術(shù)界相對于股東至上理論提出的企業(yè)管理者應(yīng)當具備的新的管理主張。該理論認為，企業(yè)不應(yīng)該僅僅關(guān)注股東財富的積累，而應(yīng)當綜合考慮各個利益相關(guān)者的利益要求。股東和其他利益相關(guān)者之間存在的不應(yīng)該是沖突，股東也是利益相關(guān)者之一，他們是“一條線上的螞蚱”，關(guān)系是唇齒相依、共存共榮的；整體上看，隨著時間的推移，利益相關(guān)者的利益都將在一個總的方向上發(fā)展。以公司利益相關(guān)者是與決策制定更相關(guān)抑或與決策執(zhí)行更相關(guān)為標準，可將利益相關(guān)者劃分為與決策制定更相關(guān)的利益相關(guān)者和與決策執(zhí)行更相關(guān)的利益相關(guān)者兩類。與決策制定更相關(guān)的利益相關(guān)者（亦稱決策的制定者）又可分為與企業(yè)決策制定直接相關(guān)的利益相關(guān)者，例如，股東、公司高級管理人員（包括：董事、監(jiān)事、總經(jīng)理）、公司普通員工（包括：副總經(jīng)理、部門經(jīng)理、普通員工）等和與企業(yè)決策制定間接相關(guān)的利益相關(guān)者，例如，供應(yīng)商、客戶、政府和社會公眾、債權(quán)人等。與決策執(zhí)行更相關(guān)的利益相關(guān)者（亦稱決策的執(zhí)行者）包括公司高級管理人員（主要指總經(jīng)理）、公司普通員工（包括：副總經(jīng)理、部門經(jīng)理、普通員工）等。

因此，基于利益相關(guān)者理論視角可對公司治理和內(nèi)部控制的對象、目標及本質(zhì)作如下重新詮釋。公司治理（corporate governance）研究的核心是解決因企業(yè)所有權(quán)和經(jīng)營權(quán)相分離而產(chǎn)生的委托代理問題；是企業(yè)內(nèi)外部以股東會、董事會和監(jiān)事會為核心的各利益相關(guān)者之間在決策制定過程中相互制衡關(guān)系的總稱，其實質(zhì)是各利益相關(guān)者之間的權(quán)利安排和利益分配關(guān)系；公司治理的基本目標是通過公司決策制定層面的科學化，實現(xiàn)利益相關(guān)者的利益均衡，追求企業(yè)運營過程中決策制定的公平和效率。內(nèi)部控制（internal controls）研究的核心是解決企業(yè)內(nèi)部高層管理者、底層管理者及普通員工之間的多重委托代理問題，是企業(yè)內(nèi)部以總經(jīng)理為核心的各利益相關(guān)者之間在業(yè)務(wù)執(zhí)行過程中相互制衡機制的總稱，其實質(zhì)是將企業(yè)各項制度和控制方法內(nèi)嵌入業(yè)務(wù)流程，通過業(yè)務(wù)經(jīng)辦人員強制執(zhí)行相應(yīng)流程來實現(xiàn)制衡的效果；內(nèi)部控制的基本目標是通過公司決策執(zhí)行層面的有效化，實現(xiàn)利益相關(guān)者的利益最大化，追求企業(yè)運營過程中決策執(zhí)行的效率和效果。