公司治理改革已经成为全球性的焦点问题。近二十年来,全球公司治理研究由以美、英、日、德等主要发达国家为主,逐步扩展到转轨和新兴市场经济国家。研究内容从治理结构与治理机制,扩展到治理模式与治理原则,再到公司治理评价和治理风险预警。当前治理风险与内部控制倍受关注。
中国公司治理的理论和实践也大致经历了这几个阶段,即随着公司治理理念的导入,经历了从法人治理结构到公司治理机制;从单个公司治理到企业集团治理;从国内公司治理到跨国公司治理;从传统企业治理到网络组织治理等理论与实践的扩展;从外部治理深入到内部治理和内部控制的多个层面。
一、公司治理与内部控制的关系
所有者与经营者利益不一致产生的代理成本,是现代公司治理的难点,而效率经营和战略控制成为公司管理的重点。代理理论研究风险分担、最优契约安排以及激励机制、监督约束机制,目的是降低代理成本。公司治理效率在于能否有效化解分歧、凝聚力量,降低各利益相关者的治理成本并在公司价值增值中获得相应的回报,实现科学决策。
公司治理从治理机构设置、权责配置等方面来确定股东会、董事会或监事会、经理层等不同权力主体之间的关系,由此导致股东会、董事会、经理层等权力主体之间形成不同的权力边界。分权与制衡的治理结构注重股东会、董事会或监事会、经理层之间的制衡,针对不同的权力主体确立控制权,建立运行机制。经合组织(OECD)1999年发布《公司治理原则》(2004年修订),强调董事会对公司的战略性指导和监督,董事会需要实施风险评估、财务控制等。理性的治理主体追求治理效率,而理性的经营者追求经营效率。
美国COSO委员会(1992)关于内部控制的定义:内部控制是“由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程”。公司治理与内部控制的关系越来越密切,出现了融合的趋势。例如,近期关注实施的加强公司治理的美国萨班斯法案(SOX法案),也包含有内部控制的内容。关于公司治理与内部控制的关系,有以下几种不同的观点:
包含观认为,内部控制包含了内部治理和经营控制、日常财务控制等。例如内部控制以董事会为核心,而董事会也是公司治理的核心,内部控制整体框架包括了内部治理结构与机制,并由内控转向风险管理(COSO,2004)。认为风险管理框架是一个由企业董事会、管理层和其他人员实施的用于制定战略的程序,贯穿于企业内部的所有层级和单位,识别风险,用于识别可能影响企业的事件,对风险进行管理并将其限制在风险偏好之内,为达到企业目标(经营的效率和效果、各类报告的可靠性、法律法规的遵循、战略制定与实施)提供合理保证。
对接观或衔接观认为,内部控制与公司治理是两个不同的层面,董事会与经理层之间分工授权,但它们之间要实现对接或衔接。公司治理既强调激励,又重视制衡,针对财务报告可靠性、法律法规的遵循建立治理结构与机制;内部控制针对战略实施、经营活动、日常财务活动,强调规范化操作和约束,对经营活动、财务活动控制,保证经营的效率和资产安全完整等,两者要实现对接。
交叉观或融合观认为,公司治理与内部控制交叉之处,目前正在融合过程中,两者的交叉部分是战略实施与控制、财权安排、高管任免、公司预算、内部控制运行效果评价等。公司治理与内部控制的交叉部分是监督、信息传递、权责分配,治理主体评价内部控制运行效果,经营者有责任向治理机关报告内部控制的执行情况。该交叉区域的大小由所有权结构和治理结构的特点决定,所有权与经营权合一时,治理结构与内部控制趋于合一;内部治理为主的公司,股东和股东会、董事会是监控主体,因而交叉区域较大;两权分离或者以外部治理为主的公司,主要通过外部治理机制发挥作用,经营者是控制主体,因而交叉区域较小。例如,索尼公司把38人的董事会减少至10人(其中含3位独立董事),恢复了董事会的决策权和监督权。
二、公司治理和内部控制均强调的问题
公司治理与内部控制存在着交叉区域,这是公司治理对内部控制施加影响的基础。公司治理的行为主体是以股东为首的利益相关者及其代理机构董事会、监事会等;公司治理绩效表现在能否通过制衡机制化解分歧、凝聚力量,降低各利益相关者的治理成本并在企业价值增加中获得相应的回报,促使经营者实现科学决策。内部控制的主体是董事会、经理层和其他相关人员,内部控制绩效表现在保护资产的安全完整与经营的效率性等,一定意义上也是公司治理目标的延伸和具体化。例如,中航油(新加坡)公司事件反映了风险控制和公司治理两个方面的不足。
公司治理和内部控制均强调战略控制和财权安排等,强调董事会在公司治理、内部控制的核心地位,实现经营效率和企业价值增值。20世纪90年代,新加坡巴林银行倒闭,深层次原因是总部对海外分支机构经营控制存在缺陷,最后因控制失当而破产,这是我国企业海外扩张应当吸取的教训。另外,国内过去一直重视财务控制,在一定程度上导致一些企业重视战略规划,轻视实施和控制,有必要将内部控制从会计或财务范畴解放出来,扩大到经营控制、战略控制和公司治理层面。
对治理效率和经营效率的共同追求推动了内部控制演进。公司治理目标是实现科学决策、有效激励与约束,并通过内部控制、组织结构实现效率经营。从博弈理论分析,内部控制设计、实施和修订是一个博弈过程,博弈各方力求自身利益最大化。经营者与所有者博弈,经营者建立和完善内部控制、组织结构,让委托人充分了解其努力程度,以降低经营者报酬逆向调整的风险。博弈的结果是正式的制度,如果外部治理效率下降,就可能转向内部治理,治理契约的选择和内部控制设计以成本最小化、效率最大化为导向。
三、如何评价公司治理和内部控制
目前的研究重心转移到公司治理和内部控制评价。南开大学公司治理研究中心早在1999年就开始探讨关于公司治理质量和内部控制的评价研究,分两个阶段实施。首先从公司治理理论研究深入到公司治理原则与应用的研究;尔后从公司治理原则研究进一步拓展到公司治理评价与指数研究。于2000年4月份在国内首次推出了公司治理应用与评价的阶段性成果-《中国公司治理原则》,该成果被中国证监会制定的《中国上市公司治理准则》、PECC制定的《东亚地区公司治理原则》等所采纳。
之后经过三年的系统研究,于2003年4月推出了中国公司治理应用与评价的第二个阶段性成果——“中国公司治理评价系统”,设计了控股股东行为、董事会、监事会、经理层、信息披露以及利益相关者六个维度的评价体系,该评价系统共有80个具体指标,涉及公司独立性、董事会运作效率、监事能力、经理层任免、信息披露可靠性和及时性、投资者关系等18个方面。在成功推出评价指标体系的基础上,运行指数模型,形成中国公司治理指数(CCGINK),率先建立并发布了中国公司治理指数。在内部控制评价方面,从制度的健全性、有效性两个层面进行研究,涉及到财务控制评价、经营控制评价、战略实施与控制评价三个方面。
四、如何开展公司治理和内部控制风险预警
公司治理和内部控制需要建立一种评价与预警机制,关注组织面临的治理风险和控制,利用战略目标来引导组织发展,从而实现科学决策或及时纠正错误的决策。通过公司治理和内部控制评价,对公司治理结构、内部控制及其运行过程中的问题剖析,为治理风险预警建立基础。研究与公司治理、内部控制关系密切的企业文化、制度、法律等,将公司治理理论、控制论与数理方法结合,以规范研究与实证研究的成果为依据,建立风险评价指标体系;结合中国公司所处的特殊历史阶段,从董事会治理风险、高管层欺诈风险等维度对公司治理风险进行评价,以公司治理评价结果为依据,开展公司治理风险预警。以公认的内部控制原则和框架为基础,建立内部控制评价标准,结合公司治理评价分析“危险信号”,从制衡与分工、权责配置、内部审计等方面提炼控制风险评价指标,量化内部控制风险因素,并设定风险警度,进行风险预警。
企业界现在不仅要重视市场开拓,也要重视内部控制建设,还要重视公司治理风险防范。内部控制要从会计或财务范畴解放出来,扩大到经营控制、战略控制和公司治理层面。
