三种广泛接受的公司治理模型与国际内部控制协会(ICI) 公司治理整合模型：从单一维度到系统协同

CICS内控学习 2025年09月08日 23:44 4 admin

本文内容基于国际注册内部控制师CICS资格认证项目中“技能八：完善公司治理实务”中有关“三种广泛接受的公司治理模型与国际内部控制协会(ICI)公司治理整合模型”方面的内容。公司治理模型的演进始终围绕“如何平衡效率与风险” 这一核心命题。马科姆・波多里奇国家质量奖管理模型、COSO 内部控制模型、COSO 企业风险管理模型作为被广泛接受的三大框架，分别从运营卓越、风险防控、战略适配三个维度为治理提供了方法论，但单一模型难以应对复杂多变的商业环境。国际内部控制协会（ICI）的公司治理整合模型突破了这种 “碎片化治理” 的局限，通过融合三大模型的核心要素，构建了“目标 - 执行 - 监控 - 优化” 的闭环系统，将治理从“合规工具” 升级为 “动态适应机制”。

一、三大基础模型的治理逻辑与局限突破

三种模型并非相互替代，而是从不同层面回应了治理的核心需求，其差异化价值与互补性构成了整合的基础：

马科姆・波多里奇模型：以“卓越运营” 为核心的治理范式

该模型将治理嵌入 “领导力 - 战略 - 流程 - 结果” 的全链条，强调通过质量管理体系驱动治理升级。其创新点在于将“高层基调” 转化为可量化的评价指标 —— 例如，在 “领导” 维度评估董事会对战略的参与深度，在 “过程管理” 维度衡量治理流程的标准化程度。某制造企业应用该模型后，将董事会的环保决策与生产流程优化相结合，既提升了 ESG 表现，又降低了能耗成本，体现了 “治理与运营协同” 的优势。但该模型的局限在于对风险的针对性不足，难以应对突发的财务舞弊或市场波动。

COSO 内部控制模型：以 “风险拦截” 为核心的治理框架

其五要素（控制环境、风险评估、控制活动、信息与沟通、监督）构建了“防控 - 响应” 的风险治理体系。相较于波多里奇模型，它更聚焦“财务报告可靠性与合规性”，通过设置控制活动（如授权审批、不相容岗位分离）形成硬约束。例如，某上市公司依据该模型建立“三重一大” 事项集体决策机制，有效避免了高管个人决策导致的投资失误。但该模型偏向 “防御性治理”，对战略机遇的捕捉缺乏指导，可能导致企业陷入 “过度控制而丧失活力” 的困境。

COSO 企业风险管理模型：以 “战略适配” 为核心的治理升级

该模型将风险治理从“合规层面” 提升至 “战略层面”，通过“目标设定 - 风险识别 - 风险应对 - 监控” 的流程，帮助企业在风险与收益间找到平衡点。其突破性在于引入“风险偏好” 概念 —— 例如，某科技公司根据该模型将研发投入风险划分为 “可接受”“需审批”“禁止” 三个等级，既鼓励创新又防范失控。但该模型的落地依赖大量数据支撑，对中小企业而言可能存在实施成本过高的问题。

二、ICI 整合模型的架构创新：从 “拼凑” 到 “有机融合”

ICI 模型并非简单叠加三大框架，而是以 PDCA 循环（计划 - 执行 - 检查 - 整改）为逻辑主线，将其核心要素重构为“治理方式 - 执行 - 分析 - 改进” 的动态系统，体现三大创新特征：

以“高层基调” 为原点的价值穿透

模型将“高层基调”作为治理的基因，强调董事会与管理层的治理意图必须穿透至组织各层级。例如，某集团公司董事会提出“零容忍舞弊” 的治理方式后，不仅通过制度文件传达，更要求子公司总经理在月度会议中专题汇报反舞弊措施，使 “治理态度” 转化为 “基层行动”。这种穿透性解决了传统模型中 “政策与实践脱节” 的痛点。

以“三大支柱” 为骨架的协同机制

模型的三大支柱（治理方式、治理执行、治理分析与强制实施）分别融合了不同基础模型的优势：“治理方式” 吸收波多里奇模型的 “领导力与战略一致性” 要求；“治理执行” 整合 COSO 内部控制模型的 “控制活动与信息沟通” 要素；“治理分析” 则借鉴 COSO 风险管理模型的 “风险评估与监控” 方法。某金融机构应用该模型时，在 “治理执行” 中设置衍生品交易的授权控制（来自内部控制模型），在 “治理分析” 中评估该控制对战略目标的支撑度（来自风险管理模型），实现了 “防控风险” 与 “服务战略” 的协同。

以“沟通 - 监控 - 整改” 为纽带的闭环迭代

模型将这三个要素作为连接三大支柱的“胶水”，形成持续改进的 PDCA 循环：沟通确保治理意图无衰减传递，监控实现“条文遵守” 与 “意图遵守” 的双重验证（如不仅检查是否有举报渠道，更评估举报后是否真正无报复），整改则推动治理实践与立法、行业最佳实务同步。某零售企业通过该闭环发现，其“供应商审核流程” 虽符合制度条文，但因未纳入 ESG 指标（治理意图的新要求），随即启动流程优化，体现了模型的动态适应性。

三、整合模型的实践价值：治理效能的“乘数效应”

ICI 模型的价值不在于 “覆盖更多内容”，而在于解决单一模型难以应对的复杂治理场景：

在合规性与灵活性间找平衡：某跨国企业既要满足美国《萨奥法案》的内控要求，又需适应新兴市场的灵活决策需求，通过ICI 模型将 “控制活动”（合规）与 “风险偏好”（灵活）纳入同一分析框架，实现了 “全球统一标准 + 区域动态调整”。
在短期防控与长期价值间建桥梁：某上市公司应用模型后，将董事会的“长期战略” 分解为年度治理指标（如研发投入合规性、人才保留率），通过 PDCA 循环持续校准，避免了 “为短期合规牺牲长期投资” 的短视行为。
在成本与效益间寻最优解：中小企业可借助模型的整合性，避免重复建设多套治理体系—— 例如，将内部控制的监督流程同时用于风险管理的风险评估，降低实施成本。

三大基础模型为公司治理提供了“工具箱”，而 ICI 整合模型则教会企业 “如何根据场景组合工具”。其核心启示在于：有效的治理不是对单一标准的机械遵循，而是在多元目标中找到动态平衡，最终实现 “控制风险” 与 “创造价值” 的共生。这种整合思维，正是应对当前复杂商业环境的治理智慧。

国际注册内部控制师CICS资格认证项目

如果你渴望在企业管理中脱颖而出，突破职业发展的瓶颈，借助内部控制的专业能力在激烈的职场竞争中掌握主动，欢迎了解国际注册内部控制师项目，实现个人成长与企业发展的双赢。

国际注册内部控制师（CICS）认证项目，专为志在内部控制、风险管理与合规领域深耕的专业人士打造，将帮助你快速提升专业影响力，赢得企业高管及行业认可，成为引领组织稳健发展的关键力量。

4.8.png