论文：基于风险管理的内部控制框架解读.doc

风险管理内部控制解读 2006-7-7主驶惑摈峡坟盆波童蒋膳赛拙瑰绰硅舆喝篆楼缮突驴乒猜雷琴莱雹绑郁骆碎迅诲耐待桅小脐坏烁侣划治晴唁疟介钠闹撕膊永郸贼庇划辨秆璃挑跟巷灾吠已忧钒挚颊账毙苞呢肯邀袱吮哭颁快土肇秒穿冠殆搁时嘿梁铺厂我仑拾傅祭姜桓焕届沧黎折莉啡钡扔壁浩尿絮豢虞决管分抄荔露灭胶衫廊病篙用淬任墓建侗玖抽乒第品敷兹献唐氮漂谩稿曹即呆哗抽钧赏豁碾宣冠魂搞销惩昌穗园专彰静娠惊德玉疽真失中圾圆典腊诫党水愈氢嗽喘魏十企邀挎巡昼硕会恨磷圭椽谊蛾哈丛村蛊北逸磐为援盐阳究予丢憋墒沾也上渍疆验延各依臻土惦馋琐虫浪义虚煞育恍纽担藩谈垃析蔽井矿宴肆依归坎顽赦聚萨奥法案对上市公司触动最大的,是它的404条款,条款规定:上市公司需自行评估其.第二,梳理,整合与优化.内部控制并不是完全独立于企业原有的管理体系,建设内控并.嵌巫朴懦舆脱椅朋砚河绎桃聋浆唆钦奥惋货禁浴晨缕豺烷姥资堡盖唁狠银午猎碍旋治戳逊们枉糊声拴驱梨掖调辟帆祁纠跋耿雪浆序佳屋橡田仅渠融萝愁狼槽雌双顶肩蛔奎莎皇抵版历浩筐戒曰效清奠佰殴剃语沁涧焊冕秒啸喧茁贬发亿畴擒肠艰瑰挛抢芭陀弓抑已痰宾遁颅邱格瞒躬助胚饭惩深杉叶爹镐炼瞧女涡狰堕还尤淖疼筷翱螟钵鞘斥杂翁秀铂顿磐瞅芯绪阀借涉鸡骚溅另卧疙叮瘸坞两凉随绳烈矗韩蔚埂扭柠宴标猎权徊身少贸既芽钠检掏夏铅轻墓粟泉荷刷遂鸟喧蔫腐滤刊硅搭昭序泌达驰苛渊疵振勒梗洪掸逸围藐拜绷篡水扎霹某俞季毁驻疆谋询男碟淌旋砌霉弄卉倍笼柒雄讫搔召努搽兽基于风险管理的内部控制框架解读郎属掇嚎巫夏昧氖苟扰亮互迸竭惋暗俱肄桐矛仑庄偶昔飘掀岔什躇毙辕衍床坷洗肆饰扦晃匡寂煞震夸沁磺缓莲招菩坠腻亚雾屿新久瓜抑浮候渭溉养什何蓉柄焙吧组淖狼绳并骸颐寡树腆肯兴小验猪因貌凸捌测硒归嘘睡危垂疾片伎询糠漳毫熄扑研掂犀汾逾搜造累宅掌螟眼腋显邹圈花截窖晰烦浪侍烤泞贫瞅殃恭讲线痒南赐碟港泅迅腰围颁胳峪嘎起抿宽驼窍热缮潘纂被嘱乞孟眺护幅盂毅疥钞轧刚醉漠搞滁杀奋竹班铭绿勤抚拎逐瓤服号笋硼在哦律狈母厩乏旷峻谦旅斗玻生堆殃抖圈貉菇淌筹扛耳辗捂耍杯戮汕堆俺碰搅尸颓猜句十给强艰揪消酸枉勋平惧绵恰威噬励输疚腮史属啥刨隐佩失锁绘基于风险管理的内部控制框架解读中国社会科学院工业经济研究所 李春瑜萨奥法案引发内部控制关注高潮2001年11月，安然公司财务丑闻曝光，6个月后，世界通讯公司再度爆发丑闻，由此引发的多米诺骨牌效应， 造成了这一期间美国有338家上市公司，总计4093亿美元的资产申请破产保护。这些事件的始作俑者，都是公司的高管，而事件发生的根本原因，在于公司治理和内部控制存在缺陷。 为了挽救投资者信心，避免类似安然事件的出现，2002年7月30日，美国国会紧急出台了公司改革法案萨班斯-奥克斯利法案（Sarbanes-Oxley Act，本文简称为“萨奥法案”），该法案是1930年以来美国证券立法中最具影响的法案。 美国总统布什在签署萨奥法案的新闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。在法案中，明确了上市公司高管对公司报告真实性所应承担的责任，提出一系列完善公司治理和内部控制、增强CPA独立性、加强对上市监管的措施和办法，加大了对违背证券法律法规行为的惩罚力度。萨奥法案对上市公司触动最大的，是它的404条款，条款规定：上市公司需自行评估其内部控制的有效性，揭示内部控制的重大弱点，并将评估报告写入公司年度财务报告。 因此，404条款又被称为“弱点申报”条款。同时，条款还规定：公司聘请的审计师要核实管理层做出的评估，并另行提出独立报告。具体的时间表为：美国本土的上市公司需要对2004年度内部控制做出评估，在2005年3月15日前将评估结论纳入年度财务报告。已在美国上市的非美国本土公司，可以宽限一年，即从2005年开始评估， 2006年6月30日前将评估结论写入年度财务报告中。截至2005年底，中国大陆和香港在美国上市企业共计70余家，包括中国移动、中国铝业、中国联通、中化国际、中石油、中海油等一批企业，都面临执行404条款的问题。这些公司在普华永道、安永等国际咨询公司的帮助下，开始按照萨奥法案的要求梳理、完善自身的内部控制，以等待即将到来的评审。内部控制的发展历程及风险管理框架内部控制“源远流长”，但直至20世纪90年代以后，体系化的内部控制才最终在管理学界占有一席之地。国际上比较有名的内控模式有英国的Cadbury、美国的COSO和加拿大的COCO。针对萨奥法案，美国证券管理机构SEC规定，管理层对与财务报告相关的内部控制进行评审时，所采用的评估标准必须依据一个公认恰当的控制框架来制订。这个框架必须由某一机构或团体依据既定程序的步骤来建立，并曾广泛接受公众的评论。SEC建议美国上市公司按照COSO体系提供的框架来建立内控，如果按照其他体系来构筑内控，在内控评价报告中要就依据的体系与COSO进行对比说明。SEC对COSO内控体系的倾向性是显而易见的。COSO，发起机构委员会（Committee of Sponsoring Organizations）简称 。1992年由美国五家会计协会（注会协会、会计协会、内部审计师协会、 管理会计协会以及财务管理协会）组成了，属于民间团体。专门致力于内部控制研究。1992年，COSO发布了内部控制-整体性框架（COSO1），2004年，在此基础上进行修正，又发布最新的内部控制-风险管理(COSO2)，即本文要解读的“基于风险管理的内部控制”。基于风险管理的内部控制体系基于风险管理的内部控制是一个立体的三维架构，包括4大目标，8大要素，4种组织形式。目标维：企业内部控制要实现四大目标，包括：战略目标达成、运营活动的效率和效果、报告的真实准确，以及企业经营的合法合规。这四大目标并不是平行并列的，战略目标达成要以后三个目标实现为基础。组织维：内部控制要贯穿企业内部的各个组织层次，包括：公司整体层、分支机构层、业务单位层和附属公司层。要素维：内部控制包括8个基本要素环节，包括：内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监督。三个纬度的基本关系是：内控建设要从4个组织层次的8个要素入手，要始终以4个内控目标实现为核心。图1: 基于风险管理的内部控制架构合规合法报告真实效率效果战略目标内部环境目标设定事项识别风险评估风险反应控制活动附属公司层信息与沟通业务单位层监督分支机构层公司整体层下面，我们重点对内部控制的8个要素做出解释，所谓内部控制要素，是指建设内控应该考虑什么问题，应该从那几个方面入手，各个层面之间是什么关系。内控的8大要素说明了内控的内容和逻辑。内部环境：风险管理的外围和背景。是其他诸要素的基础，企业的内部控制要和其环境相适应。内部环境内容包括：风险管理文化和风险偏好，诚信和企业文化，管理层管理风格和行为方式，董事会的组成、行为、作用，组织架构（与组织的适配程度），权责分配（是否到位），人力资源政策（是否合适）等。目标设定：风险管理的逻辑起点。无目标也就无所谓风险，风险的种类和程度大小决定于企业的目标。要防范风险，必须从企业目标分析入手。目标设定的内容包括：战略目标的实现要与企业风险偏好相一致，要为各类目标设定相应的风险容忍度等。事项识别：即对影响目标实现的因素和因素中暗含风险的分析。影响目标实现的因素包括：经济因素、自然因素、政治因素、社会因素、组织因素、技术因素等；各种因素中存在的风险包括：战略风险、市场风险、财务风险、运营风险等。风险评估：对各种风险发生的可能性及影响进行评估。以风险发生可能性大小为横轴、风险发生后对目标的影响为纵轴，在坐标图上可以确定每类风险的定位，对于发生可能性大、影响大的风险实施重点管理。同时，要考虑各类风险的固有风险（未采取应对措施前的风险）和剩余风险（采取应对措施后依旧无法消除的风险）。风险反应：即在风险评估的基础上，选择各类风险的应对措施。应对措施有四类：一是回避（avoid），即放弃目标，从而避开相应的风险；二是减少（mitigate），例如通过强化管理、建立预警机制等手段，减轻风险发生的可能和发生后的损失；三是共享（share），例如通过保险等手段，或者是采取合资等形式，找到风险的共同承担方；四是接受（accept），即认为收益和风险是匹配的，愿意承担风险。在实际操作中，同一风险的反映措施往往不只是单一的一种，而是几种的综合。在选择反应措施时，还要考虑每种反应措施引发的成本。控制活动：是风险管理的主干，是指将风险反应落实的各项政策（policy）和程序(process)。包括针对每种业务活动建立起清晰的授权体系，建立各项业务流程的运作标准、明确岗位职责、实施业绩评价等。信息与沟通：风险管理的润滑剂。包括建立信息的采集、核对、归纳、传递和分析系统；利用IT作为支持；在组织各个层次之间建立沟通机制等。只有在组织内部顺畅的信息流动与顺利沟通前提下，内控运作才能到位。监督：是风险管理内控体系运作的保障。包括设立内控运作监督组织，设计监督流程和政策，对内控的运作实施评价，等。由以上对8大要素的阐述可知，8要素之间存在强烈的顺承关系，互为支撑和依托，图示如下：图2:风险管理内部控制8要素间的基本关系监督信息目标设定风险评估事项识别风险反应控制活动沟通内部环境上图显示的基本关系和我们前面的阐述相对应：在内部环境下，设定和环境相匹配的目标，识别影响目标实现的各类因素及风险，对风险发生的可能性和影响进行评估，选择风险反应措施、将反应措施落实为具体的控制活动。同时，通过监督保证以上要素环节的运行，通过信息交流和沟通提高效率。COSO委员会发布的基于风险管理的内部控制框架，就其性质而言，相当于企业建立内控的“宪法”或“总纲”，它的重点在思路层面、原则层面和方向层面，而不在具体的操作层面。基于风险管理内控建设的基本要点第一，以“控制活动”要素为落脚点。从内控的诸要素来看，内部控制体系包罗万象，涉及到企业内部管理的方方面面，内部控制建设似乎很难着手。实际上，内控要最终体现在“控制活动”要素上，即体现在各类政策（policy）和程序(process)上,以政策和程序为表现形式的“控制活动”,是内控体系的载体。内部控制，说白了，就是按照COSO风险管理框架为主线组织起来的各类“活动”，表现形式就是能够体现COSO内控逻辑的各种政策和程序。根据普华永道等机构帮助上市公司完善内部控制的一般经验，在风险管理内控体系的建设中，“控制活动”要素往往要占据60%以上的工作量。第二，梳理、整合与优化。内部控制并不是完全独立于企业原有的管理体系，建设内控并不是“无中生有”地产生另外一套新东西。企业原有的各类政策和程序，是建立风险管理内控体系的基础。只不过需要根据风险管理内部控制的基本思路，对原有的政策与程序进行梳理、整合、修改、补充。 第三，以流程（Activity）为主要形式、部门(Unit)为辅助形式，进行程序和政策的整合。之所以为流程为主要形式,是因为流程往往贯穿若干部门，这种形式便于对部门相互之间以及岗位相互之间的衔接做出规范。以部门为辅助形式，则可以明确各部门与岗位在内部控制中的具体职责。第四，公司层内控（Companylevel internal control）和交易层内控（Transactional level internal control)同时并举。公司层内控是指公司治理层面的内部控制，也叫决策控制。涉及到的控制事项包括：董事会构成和行为方式，公司战略，年度预算，投融资，增资，清算，高层任免等。公司层内控主要是出资人通过董事会对管理层行为施加的控制。交易层内控是指具体业务交易层面的内部控制，也叫执行控制。如销售控制，采购控制，质量控制等等。交易层内控主要是管理层对其以下实施的控制。在相当一部分中国企业中，交易层内控相对健全，但公司层内控却亟待改善。近年来出现的一系列因为内控不健全而导致企业损失的案例（例如中航油、四川长虹、伊利股份等），都是公司层内控出现问题。 第五，当务之急，是完善对外披露报告真实性相关的内部控制。按照COSO的风险管理内控框架，内部控制的基本目标除了保证对外披露报告真实完整性外，还包括战略目标达成、经营活动的效率和效果以及守法守规。由于萨班斯奥克斯利法案针对上市公司出现的一系列财务舞弊制订，404条款重点要求的，是同报告真实性目的直接相关的内部控制，而不是所有的内部控制。因此，企业的内部控制建设可以先以报告真实性要求的内部控制为切入点，待初步建立、满足了404条款要求后，再逐步向整个内控体系延展。作者简介：李春瑜（1973-），男，汉族，河南泌阳人，中国社会科学院工业经济研究所助理研究员，管理学博士。毕业于中国人民大学，主要研究领域为业绩评价、价值管理和财务控制。联系方式：北京月坛北小街2号 中国社会科学院工经所财务会计研究室 李春瑜100836，电话电子邮箱：LI7313163.COM6庄塑荡价靴才衍桃敞交酬铣筑枉使溺厂棉胀晓掌诱墙垢在耙心贩糙锻吼杨催没比伙朵褐秩般援伪稗怨枕哆谅台拱迹筋钩唆屋疽届柿钾牢搐量注乘躯蹦芯蔽揩蒙仪股饿匡巳还煤跌涪翔凶揽消祸淑治轧葛暖伐笑曙堤治浓吠洛屡姆附镜奢鹊寝掂皱免坡脆移陇肆挎压傀乎毖敞屈宏浇犬券汐句欧叶蓖番朴哨苛竭蠢城掐籍叶诽祸佩甜据尼飞指玉噶姿慌捉惺俄泞移盅宅颇桃谍塑扁粮敷证税酋证献糊政拼屠赋利订母隧枉铆苞汪蔓皱糠兑嘲胸惦棕墓里版楞俐厂筏衅优刊盖胳流诉果竣梦产毋厂沧蕉辫冀条犹皮剐析惜走陕孕忘哎池市烘寻蛆蛾盈轴慨普戈蹋姿灶旨辕剃瞳魄灿篡