内部控制与风险管理

1、内部控制与风险管理 本文介绍美国COSO委员会关于内部掌握及风险管理的两个报告以及相关研究，分析比较内部掌握与风险管理的联系与区分，指出内部掌握将扩展为更全面的风险管理。 一、内部掌握标准与立法 1985年美国为了遏制日益猖獗的会计舞弊活动，成立了一个反财务舞弊委员会（Treadway委员会），调查导致会计舞弊活动的原因，并提出了解决方案。该方案强调了内部掌握的重要性，建议要求全部的上市公司都应当在其年报中供应内部掌握报告。报告内容包括承认管理当局对财务报告和内部掌握负有责任，并争论这些责任的履行状况。在Treadway委员会结束其使命之后，该委员会的五个发起组织联合成立了一个新的委员会COS

2、O（The Committee of Sponsoring Organizations of the TreadwayCommittee），即Treadway委员会的发起组织委员会。它由美国公共注册会计师协会（AICPA）、美国会计协会（AAA）、国际财务管理人员协会（FEI）、内部审计师协会（IIA）、国际会计协会（NAA）（是管理睬计协会IMA的前身）联合发起。COSO连续研究并于1992年发布了一份关于内部掌握的纲领性文件，即内部掌握-整体框架（Internal Control-Integrated Framework）。COSO提出的报告得到了美国联邦储备局、美国证券交易委员会、巴塞尔

3、委员会等监管机构或国际组织的认可与接受，其中的很多定义、建议及思想被汲取到立法与规则制定中，在全世界范围内产生了广泛的影响。20XX年年底以来，美国爆发了以安然、世通、施乐等公司财务舞弊案为代表的会计丑闻，重创了美国资本市场及经济，同时也集中暴露了美国公司在内部掌握上存在的问题，由此导致美国通过了萨班尼斯奥克斯利法（THE SARBANES-OXLEYACT）。该法案明确了公司管理者CEO及财务主管CFO对内部掌握负直接责任，并将担当经济与刑事后果；大幅度提高了对会计舞弊的惩罚力度；强化了内部审计、外部审计及审计监管。此次立法代表着资本市场制度的一次大的进步，也使人们对内部掌握的重要性有了更深

4、刻的熟悉。 值得强调的是，美国证券交易委员会（SEC）规定企业管理层评价其内部掌握的标准必需符合以下条件：制定过程严谨适当，经过广泛散发和公众评议；非盈利而无偏见；能全都性地定性或定量分析内部掌握；全面包括全部影响内部掌握的因素；与企业财务报告中的内部掌握相关等。最终，SEC认为COSO的内部掌握-整体框架报告是符合上述规定的，同时指出将来符合上述要求的相关文件也都认可。还有相关国家的权威文件，如加拿大的COCO（1）或英国的Turnbull（2）的相关规定都是认可的（二者都是以美国COSO的报告为蓝本）。 二、内部掌握与风险管理的比较 内部掌握与风险管理有着亲密的联系。COSO认为，内部掌握

5、是风险管理的一部分。因此，该委员会在内部掌握-整体框架的基础上，又于20XX年出台了最新报告企业风险管理框架。企业风险管理框架继承并包含了内部掌握-整体框架的主体内容，同时扩展了三个要素，增加了一个目标，更新了一些观念，旨在为各国的企业风险管理供应一个统一术语与概念体系的全面的应用指南。 COSO对内部掌握与风险管理的定义及其组成要素分别是： 内部掌握：企业内部掌握是由企业董事会、经理层以及其他员工共同实施的，为财务报告的精确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而供应合理保证的过程。它包括五个方面的组成要素：掌握环境、风险评估、掌握活动、信息与沟通、监督。 风险管理：企业风

6、险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并根据企业的风险偏好管理风险，为企业目标的实现供应合理的保证。它有八个组成要素：内部环境、目标设定、事件识别、风险评估、风险对策、掌握活动、信息与沟通、监督。 从COSO的两份报告来看，企业风险管理与内部掌握有以下相似或不同之处： 第一，它们都是由“企业董事会、管理层以及其他人员共同实施的”，强调了全员参与的观点，指出各方在内部掌握或风险管理中都有相应的角色与职责。 第二，它们都明确是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或

7、额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。 第三，它们都是为企业目标的实现供应合理的保证。风险管理的目标有四类，其中三类与内部掌握相重合，即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展，它不仅包括财务报告的精确性，还要求全部对内对外发布的非财务类报告精确牢靠。另外，风险管理增加了战略目标，即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略（包括经营目标）制定过程。 第四，风险管理与内部掌握的组成要素有五个方面是重合的，即（掌握或内部）环境、风险评估、掌握活动、信息与沟通、监督。这些重合

8、是由它们目标的多数重合及实现机制相似打算的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中，内涵也有所扩展，例如，内部掌握环境包括诚恳正直品行及道德价值观、员工素养与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的安排、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外，还包括风险管理哲学、风险偏好（risk appetite）和风险文化三个新内容。在风险评估要素中，风险管理要求考虑内在风险与剩余风险，以期望值、最坏情形值或概率分布度量风险，考虑时间偏好以及风险之间的关联作用。在信息与沟通方面，风险管理强调了过去、现在以及关于将来的相

9、关数据的获取与分析处理，规定了信息的深度与准时性等。 第五，风险管理提出了风险组合与整体风险管理（integrated risk management）的新观念。企业风险管理框架借用现代金融理论中的资产组合理论，提出了风险组合与整体管理的观念，要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露，以统筹考虑风险对策，防止分部门分散考虑与应对风险，如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门，并考虑到风险事件之间的交互影响，防止两种倾向：一是部门的风险处于风险偏好可承受能力之内，但总体效果可能超出企业的承受限度，因为个别风险的影响并不总是相加的，有可能是相乘的；二是个别

10、部门的风险暴露超过其限度，但总体风险水平还没超出企业的承受范围，因为事件的影响有时有抵消的效果。此时，还有进一步承受风险，争取更高回报与成长的空间。根据风险组合与整体管理的观点，需要统一考虑风险事件之间以及风险对策之间的交互影响，统筹制定风险管理方案。 三、内部掌握与风险管理的内在联系 企业制度的发展演进与风险相关。有限责任制度的确立是企业组织从业主制或合伙制走向现代股份公司制的关键步骤，它使股东的家产与企业的财产及企业的经济责任相互独立，股东的变换不再影响企业的信用能力，为股权交易扩大了范围并增加了流淌性，从而降低了投资风险并促进了企业融资，造就了今日巨型的股份公司。 为了使股权交易与股东变

11、换不影响企业经营的连续性，也为了使资本与经营能力实现更优的组合，企业的全部权与经营权在现代企业中高度分别开来，由此也带来了新的风险，即职业经营者有可能不履行其受托责任而损害股东的利益。另外，有限责任也有可能诱使企业从事风险过高的项目而损害债权人利益。因为在有限责任下，潜在的收益主要由企业（股东）获得，而失败即破产的风险则主要由债权人担当。上述风险不是市场化的，可以由市场竞争自发约束或市场交易供应避险，如产品质量或自然灾难等，而是机制问题，属于组织或交易中的代理问题，需要规则与制度进行规范。这些制度包括企业治理中的责任制度，如财务报告、内部掌握及审计等。 内部掌握或风险管理的根本作用都是维护投资

12、者利益、保全企业资产,并创造新的价值。FamaJensen(1983)分析了全部权与经营权分别下董事会的内部掌握职能;Jensen(1993)进一步分析了美国公司董事会在内部掌握方面失效的表现与原因。从理论上说,企业的内部掌握是企业制度的组成部分,是在企业经营权与全部权分别的条件下对投资者利益的保护机制。其目的就是保证会计信息的精确牢靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部掌握的历史起源更早,其要求更为基本,更简单或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部掌握的自然扩展。C0SO在企业风险管理框架中谈到风险管

13、理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持全都,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险供应整体的对策,捕获机遇以及使资本的利用合理化。”COCO在解释广义的掌握与风险时论述道(3):“领导包括在面对不确定性时作出选择。风险是指个人或组织在作出选择后遭受不利后果的可能性。风险正是机会的对应物。”明显,这些论述已经熟悉到企业的存在是为股东或利害相关者(针对非盈利性组织等)创造价值的,而价值创造不

14、仅是被动的资产安全等,还应包括机会的利用。另外,对股东价值的威逼也不仅来自经营者会计舞弊等内部因素,还包括来自市场的风险等。 技术及市场条件的新进展，推动了内部掌握走向风险管理。在先进的信息技术条件下，会计记录实现了电子掌握、实时更新，使传统的查错与防弊的会计掌握显得过时。然而，风险往往是由交易或组织创新造成的，这些创新来源于新兴的市场实践，如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面，环境保护及消费者权益保护的加强，都强化了企业的社会责任，若一有不慎，企业就可能遭受来自商品市场或资本市场的处罚，表现为企业的品牌价值或资本市场上的市值贬损。因此，企业需要一种日常运行的功能与结构

15、来防范风险，包括遵守法律与法规，确保投资者对财务信息的信任以及保证经营效率等。因此，从维护与促进价值创造这一根本功能来看，风险管理与企业内部掌握的目标是全都的，只是在新的技术与市场条件下，为了更有效地保护投资者利益，需要在内部掌握的基础上发展更主动、更全面的风险管理。 四、从内部掌握走向风险管理 有一种争辩，即风险管理包含内部掌握，或内部掌握包含风险管理。笔者认为得出什么样的结论并不非常重要，最重要的是明确风险管理与内部掌握之间有重合与联系的地方。谁的范围更大，可能要随着时间、技术、市场条件、法律以及监管实践的发展而不同，例如，在内部掌握发展的早期，市场上风险管理的工具与技术条件都不充分（如计

16、算机系统、统计学理论、数量模型、对冲工具与保险等），这时内部掌握包含（替代）风险管理功能是很自然的。即使在同一个时代，不同的行业各自的侧重点也可能不相同，例如，在监管严格的金融业或涉及人民生命健康的制药与医疗行业，风险管理的迫切性更强，企业以风险管理主导内部掌握可能更便利。而在另一些企业，为了符合信息披露中内部掌握报告的要求，企业以内部掌握系统为主导、兼顾风险管理可能更适合。 正因为内部掌握与风险管理有内在的联系，各国分别以不同的方式逐步将内部掌握与风险管理联系起来。20XX年1月8日，我国有关方面举办了“商业银行风险管理与内部掌握论坛”，这表明我国银行业也开头将内部掌握与风险管理联系起来。

17、巴塞尔委员会发布的银行业组织内部掌握系统框架中指出：“董事会负责批准并定期检查银行整体战略及重要制度，了解银行的主要风险，为这些风险设定可接受的水平，确保管理层采取必要的步骤去识别、计量、监督以及掌握这些风险（4）”，这里明显是把风险管理的内容纳入到内部掌握框架中。英国FSA（5）在综合准则（The Combined Code）中关于内部掌握的规定，是第一次在官方文件里明确将风险管理包含在内部掌握之中。该准则指出，董事会应当保持健全的内部掌握系统，以保护股东的投资及企业的资产（原则D.2）。董事会至少每年一次，检查企业内部掌握系统的有效性，并向股东报告。报告应当包括全部的掌握，如财务的、经营的

18、、遵从的掌握以及风险管理（D.2.1）。这一规则是伦敦交易所上市企业必需要遵守的。 加拿大注册会计师协会掌握标准委员会（C0C0）认为（6）“掌握应当包括风险的识别与减轻”，其中的风险不仅包括与实现特定目标相关的风险，而且还包括一般性的，如不能识别和利用机会，不能使企业在面临未预料到事件以及不确定信息时保持敏捷性或弹性。1992年COS0在内部掌握-整体框架中将风险评估作为内部掌握的五个组成要素之一，在最新出台的企业风险管理框架中又进一步将内部掌握扩展为风险管理，明确提出风险管理包含内部掌握。 笔者认为，在实际的经营过程中，风险管理与内部掌握是密不可分的。在规则制定或立法过程中，需要考虑的是范

19、围与管制的强度，范围越大，管制的要求就会越弱。对于其核心问题，如财务报告的精确牢靠，最适合以立法的形式来约束，而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次，风险管理与内部掌握的主导性相对次序也可能不同，例如，从企业的战略风险依次到经营风险、财务风险，最终到财务报告，风险管理与内部掌握的相对重要性应当各有不同。在战略风险方面，风险管理应当发挥主导作用，内部掌握起到协作作用。这一角色逐步逆转，到财务报告层次，应当是内部掌握发挥主导作用，风险管理起到协作作用。 尽管风险管理与内部掌握有内在的联系，但现实中的或代表目前应用水平的内部掌握与风险管理还有不少的差距。典型的风险管理关注特

20、定业务中与战略选择或经营决策相关的风险与收益比较，例如，银行业的授信管理或市场（价格）风险管理如汇率、利率风险等。典型的内部掌握是指会计掌握、审计活动等，一般局限于财务相关部门。它们的共同点都是低水平、小范围，只局限于少数职能部门，并没有渗透或应用于企业管理过程和整个经营系统，因此，有时看上去风险管理与内部掌握还是相互独立的两件事。随着内部掌握或风险管理的不断完善和变得更加全面，它们之间必定相互交叉、融合，直至统一。 王光远，刘秋明。公司治理下的内部掌握与审计.中国注册会计师，20XX，（2）。 周兆生。C0SO企业风险管理框架（中文版）.华融资产管理公司，20XX. 朱荣恩，贺欣。内部掌握框

21、架的新发展-企业风险管理框架.审计研究，20XX，（6）。 Committee of Sponsoring Organizations of the Treadway Commission （ COSO ）。 Internal Control - Integrated Framework . 1992. Committee of Sponsoring Organizations of the Treadway Commis-sion （ COSO ） . Enterprise Risk Management Framework （ draft） .20XX. Criteria of Contr

22、ol （ COCO ） Board of The Canadian Institute of Chartered Accountants. Guidance for Directors -Dealing with Risk in the Boardroom. COCO， Toronto， 1999. Fama， E. F. and M. C. Jensen. Separation of Ownership and Control. Journal of Law and Economics， Vol. 26， June 1983 pp. 301 -25. Jensen， M. . The Mod

23、ern Industrial Revolution， Exit， and the Failure of Internal Control Systems. Journal of Finance， July ， 1993， PP. 831 -880. The Financial Services Authority （ FSA） （UK）。 1998： The Com-bined Code - Principles of Governance and Code of Best Practice （The Combined Code） . pares the similarity and distinction of internal control with risk management. The author believes internal control will evolve to risk management. Key Words： COSO； risk management； internal control （1）是指加拿大特许会计师协会（The Ca