內(nèi)部控制與風險管理

內(nèi)部控制與風險管理

[內(nèi)容摘要]本文介紹美國COSO委員會關于內(nèi)部控制及風險管理的兩個報告以及相關研究，分析比較內(nèi)部控制與風險管理的聯(lián)系與區(qū)別，指出內(nèi)部控制將擴展為更全面的風險管理。

一、內(nèi)部控制——標準與立法

1985年美國為了遏制日益猖獗的會計舞弊活動，成立了一個反財務舞弊委員會，調(diào)查導致會計舞弊活動的原因，并提出了解決方案。該方案強調(diào)了內(nèi)部控制的重要性，建議要求所有的上市公司都應該在其年報中提供內(nèi)部控制報告。報告內(nèi)容包括承認管理當局對財務報告和內(nèi)部控制負有責任，并討論這些責任的履行情況。在Treadway委員會結(jié)束其使命之后，該委員會的五個發(fā)起組織聯(lián)合成立了一個新的委員會——COSO，即Treadway委員會的發(fā)起組織委員會。它由美國公共注冊會計師協(xié)會、美國會計協(xié)會、國際財務管理人員協(xié)會、內(nèi)部審計師協(xié)會、國際會計協(xié)會聯(lián)合發(fā)起。COSO繼續(xù)研究并于1992年發(fā)布了一份關于內(nèi)部控制的綱領性文件，即《內(nèi)部控制-整體框架》。COSO提出的報告得到了美國聯(lián)邦儲備局、美國證券交易委員會、巴塞爾委員會等監(jiān)管機構(gòu)或國際組織的認可與采納，其中的許多定義、建議及思想被吸收到立法與規(guī)則制定中，在全世界范圍內(nèi)產(chǎn)生了廣泛的影響。2001年年底以來，美國爆發(fā)了以安然、世通、施樂等公司財務舞弊案為代表的會計丑聞，重創(chuàng)了美國資本市場及經(jīng)濟，同時也集中暴露了美國公司在內(nèi)部控制上存在的問題，由此導致美國通過了《薩班尼斯——奧克斯利法》。該法案明確了公司管理者CEO及財務主管CFO對內(nèi)部控制負直接責任，并將承擔經(jīng)濟與刑事后果；大幅度提高了對會計舞弊的處罰力度；強化了內(nèi)部審計、外部審計及審計監(jiān)管。此次立法代表著資本市場制度的一次大的進步，也使人們對內(nèi)部控制的重要性有了更深刻的認識。

值得強調(diào)的是，美國證券交易委員會規(guī)定企業(yè)管理層評價其內(nèi)部控制的標準必須符合以下條件：制定過程嚴謹適當，經(jīng)過廣泛散發(fā)和公眾評議；非盈利而無偏見；能一致性地定性或定量分析內(nèi)部控制；全面包括所有影響內(nèi)部控制的因素；與企業(yè)財務報告中的內(nèi)部控制相關等。最終，SEC認為COSO的《內(nèi)部控制-整體框架》報告是符合上述規(guī)定的，同時指出未來符合上述要求的相關文件也都認可。還有相關國家的權(quán)威文件，如加拿大的COCO或英國的Turnbull的相關規(guī)定都是認可的。

二、內(nèi)部控制與風險管理的比較

內(nèi)部控制與風險管理有著密切的聯(lián)系。COSO認為，內(nèi)部控制是風險管理的一部分。因此，該委員會在《內(nèi)部控制-整體框架》的基礎上，又于2003年出臺了最新報告——《企業(yè)風險管理框架》。目前這個報告還僅是個草稿，在公示、修訂之后，預計將于今年正式發(fā)布?！镀髽I(yè)風險管理框架》繼承并包含了《內(nèi)部控制-整體框架》的主體內(nèi)容，同時擴展了三個要素，增加了一個目標，更新了一些觀念，旨在為各國的企業(yè)風險管理提供一個統(tǒng)一術語與概念體系的全面的應用指南。

COSO對內(nèi)部控制與風險管理的定義及其組成要素分別是

內(nèi)部控制：企業(yè)內(nèi)部控制是由企業(yè)董事會、經(jīng)理層以及其他員工共同實施的，為財務報告的準確性、經(jīng)營活動的效率與效果、相關法律法規(guī)的遵循等目標的實現(xiàn)而提供合理保證的過程。它包括五個方面的組成要素：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。

風險管理：企業(yè)風險管理是一個過程，是由企業(yè)的董事會、管理層以及其他人員共同實施的，應用于戰(zhàn)略制定及企業(yè)各個層次的活動，旨在識別可能影響企業(yè)的各種潛在事件，并按照企業(yè)的風險偏好管理風險，為企業(yè)目標的實現(xiàn)提供合理的保證。它有八個組成要素：內(nèi)部環(huán)境、目標設定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監(jiān)督。

從COSO的兩份報告來看，企業(yè)風險管理與內(nèi)部控制有以下相似或不同之處

第一，它們都是由“企業(yè)董事會、管理層以及其他人員共同實施的”，強調(diào)了全員參與的觀點，指出各方在內(nèi)部控制或風險管理中都有相應的角色與職責。

第二，它們都明確是一個“過程”，不能當作某種靜態(tài)的東西，如制度文件、技術模型等，也不是單獨或額外的活動，如檢查評估等，最好是內(nèi)置于企業(yè)日常管理過程中，作為一種常規(guī)運行的機制來建設。

第三，它們都是為企業(yè)目標的實現(xiàn)提供合理的保證。風險管理的目標有四類，其中三類與內(nèi)部控制相重合，即報告類目標、經(jīng)營類目標和遵循類目標。但報告類目標有所擴展，它不僅包括財務報告的準確性，還要求所有對內(nèi)對外發(fā)布的非財務類報告準確可靠。另外，風險管理增加了戰(zhàn)略目標，即與企業(yè)的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經(jīng)營的效率與效果，而且介入了企業(yè)戰(zhàn)略制定過程。

第四，風險管理與內(nèi)部控制的組成要素有五個方面是重合的，即環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。這些重合是由它們目標的多數(shù)重合及實現(xiàn)機制相似決定的。風險管理增加了目標設定、事件識別和風險對策三個要素。重合的要素中，內(nèi)涵也有所擴展，例如，內(nèi)部控制環(huán)境包括誠實正直品格及道德價值觀、員工素質(zhì)與能力、董事會與審計委員會、管理哲學與經(jīng)營風格、組織結(jié)構(gòu)、權(quán)力與責任的分配、人力資源政策和實踐等七個方面。風險管理的“內(nèi)部環(huán)境”除包括上述七個方面外，還包括風險管理哲學、風險偏好和風險文化三個新內(nèi)容。在風險評估要素中，風險管理要求考慮內(nèi)在風險與剩余風險，以期望值、最壞情形值或概率分布度量風險，考慮時間偏好以及風險之間的關聯(lián)作用。在信息與溝通方面，風險管理強調(diào)了過去、現(xiàn)在以及關于未來的相關數(shù)據(jù)的獲取與分析處理，規(guī)定了信息的深度與及時性等。

第五，風險管理提出了風險組合與整體風險管理的新觀念?！镀髽I(yè)風險管理框架》借用現(xiàn)代金融理論中的資產(chǎn)組合理論，提出了風險組合與整體管理的觀念，要求從企業(yè)層面上總體把握分散于企業(yè)各層次及各部門的風險暴露，以統(tǒng)籌考慮風險對策，防止分部門分散考慮與應對風險，如將風險割裂在技術、財務、信息科技、環(huán)境、安全、質(zhì)量、審計等部門，并考慮到風險事件之間的交互影響，防止兩種傾向：一是部門的風險處于風險偏好可承受能力之內(nèi)，但總體效果可能超出企業(yè)的承受限度，因為個別風險的影響并不總是相加的，有可能是相乘的；二是個別部門的風險暴露超過其限度，但總體風險水平還沒超出企業(yè)的承受范圍，因為事件的影響有時有抵消的效果。此時，還有進一步承受風險，爭取更高回報與成長的空間。按照風險組合與整體管理的觀點，需要統(tǒng)一考慮風險事件之間以及風險對策之間的交互影響，統(tǒng)籌制定風險管理方案。

三、內(nèi)部控制與風險管理的內(nèi)在聯(lián)系

企業(yè)制度的發(fā)展演進與風險相關。有限責任制度的確立是企業(yè)組織從業(yè)主制或合伙制走向現(xiàn)代股份公司制的關鍵步驟，它使股東的家產(chǎn)與企業(yè)的財產(chǎn)及企業(yè)的經(jīng)濟責任相互獨立，股東的變換不再影響企業(yè)的信用能力，為股權(quán)交易擴大了范圍并增加了流動性，從而降低了投資風險并促進了企業(yè)融資，造就了今天巨型的股份公司。

為了使股權(quán)交易與股東變換不影響企業(yè)經(jīng)營的連續(xù)性，也為了使資本與經(jīng)營能力實現(xiàn)更優(yōu)的組合，企業(yè)的所有權(quán)與經(jīng)營權(quán)在現(xiàn)代企業(yè)中高度分離開來，由此也帶來了新的風險，即職業(yè)經(jīng)營者有可能不履行其受托責任而損害股東的利益。另外，有限責任也有可能誘使企業(yè)從事風險過高的項目而損害債權(quán)人利益。因為在有限責任下，潛在的收益主要由企業(yè)獲得，而失敗即破產(chǎn)的風險則主要由債權(quán)人承擔。上述風險不是市場化的，可以由市場競爭自發(fā)約束或市場交易提供避險，如產(chǎn)品質(zhì)量或自然災害等，而是機制問題，屬于組織或交易中的代理問題，需要規(guī)則與制度進行規(guī)范。這些制度包括企業(yè)治理中的責任制度，如財務報告、內(nèi)部控制及審計等。

內(nèi)部控制或風險管理的根本作用都是維護投資者利益、保全企業(yè)資產(chǎn),并創(chuàng)造新的價值。Fama＆Jensen(1983)分析了所有權(quán)與經(jīng)營權(quán)分離下董事會的內(nèi)部控制職能;Jensen(1993)進一步分析了美國公司董事會在內(nèi)部控制方面失效的表現(xiàn)與原因。從理論上說,企業(yè)的內(nèi)部控制是企業(yè)制度的組成部分,是在企業(yè)經(jīng)營權(quán)與所有權(quán)分離的條件下對投資者利益的保護機制。其目的就是保證會計信息的準確可靠,防止經(jīng)營層操縱報表與欺詐,保護公司的財產(chǎn)安全,遵守法律以維護公司的名譽以及避免招致經(jīng)濟損失等。內(nèi)部控制的歷史起源更早,其要求更為基本,更容易或適合上升到立法層次。企業(yè)風險管理則是在新的技術與市場條件下對內(nèi)部控制的自然擴展。C0SO在《企業(yè)風險管理框架》中談到風險管理的意義時是這樣論述的:“企業(yè)風險管理應用于戰(zhàn)略制定與組織的各層次活動中。它使管理者在面對不確定性時能夠識別、評估和管理風險,發(fā)揮創(chuàng)造與保持價值的作用。風險管理能夠使風險偏好與戰(zhàn)略保持一致,將風險與增長及回報統(tǒng)籌考慮,促進應對風險的決策,減小經(jīng)營風險與損失,識別與管理企業(yè)交叉風險,為多種風險提供整體的對策,捕捉機遇以及使資本的利用合理化?！盋OCO在解釋廣義的控制與風險時論述道(3):“‘領導’包括在面對不確定性時作出選擇?！L險’是指個人或組織在作出選擇后遭受不利后果的可能性。風險正是機會的對應物?！憋@然,這些論述已經(jīng)認識到企業(yè)的存在是為股東或利害相關者(針對非盈利性組織等)創(chuàng)造價值的,而價值創(chuàng)造不僅是被動的資產(chǎn)安全等,還應包括機會的利用。另外,對股東價值的威脅也不僅來自經(jīng)營者會計舞弊等內(nèi)部因素,還包括來自市場的風險等。

技術及市場條件的新進展，推動了內(nèi)部控制走向風險管理。在先進的信息技術條件下，會計記錄實現(xiàn)了電子控制、實時更新，使傳統(tǒng)的查錯與防弊的會計控制顯得過時。然而，風險往往是由交易或組織創(chuàng)新造成的，這些創(chuàng)新來源于新興的市場實踐，如安然公司將能源交易大量發(fā)展成類似金融衍生品的交易。另一方面，環(huán)境保護及消費者權(quán)益保護的加強，都強化了企業(yè)的社會責任，若一有不慎，企業(yè)就可能遭受來自商品市場或資本市場的懲罰，表現(xiàn)為企業(yè)的品牌價值或資本市場上的市值貶損。因此，企業(yè)需要一種日常運行的功能與結(jié)構(gòu)來防范風險，包括遵守法律與法規(guī)，確保投資者對財務信息的信任以及保證經(jīng)營效率等。因此，從維護與促進價值創(chuàng)造這一根本功能來看，風險管理與企業(yè)內(nèi)部控制的目標是一致的，只是在新的技術與市場條件下，為了更有效地保護投資者利益，需要在內(nèi)部控制的基礎上發(fā)展更主動、更全面的風險管理。

四、從內(nèi)部控制走向風險管理

有一種爭論，即風險管理包含內(nèi)部控制，或內(nèi)部控制包含風險管理。筆者認為得出什么樣的結(jié)論并不十分重要，最重要的是明確風險管理與內(nèi)部控制之間有重合與聯(lián)系的地方。誰的范圍更大，可能要隨著時間、技術、市場條件、法律以及監(jiān)管實踐的發(fā)展而不同，例如，在內(nèi)部控制發(fā)展的早期，市場上風險管理的工具與技術條件都不充分，這時內(nèi)部控制包含風險管理功能是很自然的。即使在同一個時代，不同的行業(yè)各自的側(cè)重點也可能不相同，例如，在監(jiān)管嚴格的金融業(yè)或涉及人民生命健康的制藥與醫(yī)療行業(yè)，風險管理的迫切性更強，企業(yè)以風險管理主導內(nèi)部控制可能更方便。而在另一些企業(yè)，為了符合信息披露中內(nèi)部控制報告的要求，企業(yè)以內(nèi)部控制系統(tǒng)為主導、兼顧風險管理可能更適合。

正因為內(nèi)部控制與風險管理有內(nèi)在的聯(lián)系，各國分別以不同的方式逐步將內(nèi)部控制與風險管理聯(lián)系起來。2004年1月8日，我國有關方面舉辦了“商業(yè)銀行風險管理與內(nèi)部控制論壇”，這表明我國銀行業(yè)也開始將內(nèi)部控制與風險管理聯(lián)系起來。

巴塞爾委員會發(fā)布的《銀行業(yè)組織內(nèi)部控制系統(tǒng)框架》中指出：“董事會負責批準并定期檢查銀行整體戰(zhàn)略及重要制度，了解銀行的主要風險，為這些風險設定可接受的水平，確保管理層采取必要的步驟去識別、計量、監(jiān)督以及控制這些風險……”，這里顯然是把風險管理的內(nèi)容納入到內(nèi)部控制框架中。英國FSA在《綜合準則》中關于內(nèi)部控制的規(guī)定，是第一次在官方文件里明確將風險管理包含在內(nèi)部控制之中。該準則指出，董事會應該保持健全的內(nèi)部控制系統(tǒng)，以保護股東的投資及企業(yè)的資產(chǎn)。董事會至少每年一次，檢查企業(yè)內(nèi)部控制系統(tǒng)的有效性，并向股東報告。報告應該包括所有的控制，如財務的、經(jīng)營的、遵從的控制以及風險管理。這一規(guī)則是倫敦交易所上市企業(yè)必須要遵守的。

加拿大注冊會計師協(xié)會控制標準委員會認為“控制應該包括風險的識別與減輕”，其中的風險不僅包括與實現(xiàn)特定目標相關的風險，而且還包括一般性的，如不能識別和利用機會，不能使企業(yè)在面臨未預料到事件以及不確定信息時保持靈活性或彈性。1992年COS0在《內(nèi)部控制-整體框架》中將風險評估作為內(nèi)部控制的五個組成要素之一，在最新出臺的《企業(yè)風險管理框架》中又進一步將內(nèi)部控制擴展為風險管理，明確提出風險管理包含內(nèi)部控制。

筆者認為，在實際的經(jīng)營過程中，風險管理與內(nèi)部控制是密不可分的。在規(guī)則制定或立法過程中，需要考慮的是范圍與管制的強度，范圍越大，管制的要求就會越弱。對于其核心問題，如財務報告的準確可靠，最適合以立法的形式來約束，而其他更寬泛的內(nèi)容則可能更適合于規(guī)則及指南。在企業(yè)內(nèi)部的不同層次，風險管理與內(nèi)部控制的主導性相對次序也可能不同，例如，從企業(yè)的戰(zhàn)略風險依次到經(jīng)營風險、財務風險，最后到財務報告，風險管理與內(nèi)部控制的相對重要性應該各有不同。在戰(zhàn)略風險方面，風險管理應該發(fā)揮主導作用，內(nèi)部控制起到配合作用。這一角色逐步逆轉(zhuǎn)，到財務報告層次，應該是內(nèi)部控制發(fā)揮主導作用，風險管理起到配合作用。

盡管風險管理與內(nèi)部控制有內(nèi)在的聯(lián)系，但現(xiàn)實中的或代表目前應用水平的內(nèi)部控制與風險管理還有不少的差距。典型的風險管理關注特定業(yè)務中與戰(zhàn)略選擇或經(jīng)營決策相關的風險與收益比較，例如，銀行業(yè)的授信管理或市場風險管理如匯率、利率風險等。典型的內(nèi)部控制是指會計控制、審計活動等，一般局限于財務相關部門。它們的共同點都是低水平、小范圍，只局限于少數(shù)職能部門，并沒有滲透或應用于企業(yè)管理過程和整個經(jīng)營系統(tǒng)，因此，有時看上去風險管理與內(nèi)部控制還是相互獨立的兩件事。隨著內(nèi)部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統(tǒng)一。

[參考文獻]

[1]王光遠，劉秋明。公司治理下的內(nèi)部控制與審計[J].中國注冊會計師，2003，。

周兆生。C0SO企業(yè)風險管理框架[R].華融資產(chǎn)管理公司，2004.

朱榮恩，賀欣。內(nèi)部控制框架的新發(fā)展-企業(yè)風險管理框架[J].審計研究，2003，。

CommitteeofSponsoringOrganizationsoftheTreadwayCommission。InternalControl-IntegratedFramework[R].1992.

CommitteeofSponsoringOrganizationsoftheTreadwayCommis-sion.EnterpriseRiskManagementFramework[R].2003.

CriteriaofControlBoardofTheCanadianInstituteofCharteredAccountants.GuidanceforDirectors-DealingwithRiskintheBoardroom[R].COCO，Toronto，1999.

Fama，E.F.andM.C.Jensen.SeparationofOwnershipandControl[J].JournalofLawandEconomics，Vol.26，June1983pp.301-25.

Jensen，M..TheModernIndustrialRevolution，Exit，andtheFailureofInternalControlSystems[J].JournalofFinance，July，1993，PP.831-880.

TheFinancialServicesAuthority。1998：TheCom-binedCode-PrinciplesofGovernanceandCodeofBestPractice[EB/OL]..pdf.

[10]TheInstituteofCharteredAccountantsinEngland＆Wales。InternalControl-GuidanceforDirectorsontheCombinedCode[R].ICAEW，London，1999.

[11]TheTurnbullReport.GuidanceforDirectorsontheCombinedCode[R].ICAEW，London，1999.

[12]BasleCommitteeonBankingSupervision.FrameworkforInternalControlSysteminBankingOrganizations[R].1998.

InternalControlandRiskManagement

ZHOUZhao-sheng

Abstract：BasedontheintroductiontoCOSO‘sreportsInternalControl-IntegratedFrameworkandEnterpriseRiskM