薛 相 唐文泉

摘要:主要介紹內(nèi)部控制和風險管理存在的各種內(nèi)在聯(lián)系與未來反戰(zhàn)。在美國COSO委員會關(guān)于內(nèi)部控制及風險管理的兩個報告的研究基礎(chǔ)上,分析比較內(nèi)部控制與風險管理的聯(lián)系與區(qū)別,指出內(nèi)部控制將擴展為更全面的風險管理。

關(guān)鍵詞:內(nèi)部控制;風險管理;發(fā)展

中圖分類號:F23文獻標識碼:A文章編號:1672-3198(2009)23-0195-02

1內(nèi)部控制與風險管理的內(nèi)在聯(lián)系

1.1在風險導(dǎo)向內(nèi)部控制的觀念下,風險管理將成為組織發(fā)展的關(guān)鍵

隨著風險管理導(dǎo)向內(nèi)部控制時代的來臨,內(nèi)部控制的工作重點也發(fā)生了變化,現(xiàn)代內(nèi)部控制除了關(guān)注傳統(tǒng)的內(nèi)審之外,更加關(guān)注有效的風險管理機制和健全的公司治理結(jié)構(gòu)。在風險導(dǎo)向內(nèi)部控制的觀念下,風險管理成為組織發(fā)展的關(guān)鍵,促使內(nèi)部控制的工作重點不僅是測試控制,而且包括確認風險及測試管理風險的方法。由于內(nèi)部控制的自身特點,其參與風險管理擁有一定的優(yōu)勢。內(nèi)部控制機構(gòu)和人員熟悉本單位情況,對企業(yè)面臨的風險更了解;內(nèi)部控制機構(gòu)和人員是企業(yè)內(nèi)部成員,其利益同企業(yè)發(fā)展、興衰密切相關(guān),對防范企業(yè)風險、實現(xiàn)企業(yè)目標有著更強烈的責任感;內(nèi)部控制機構(gòu)的獨立性使其不同于其他風險管理部門,作為高層次的監(jiān)督部門,其風險評估意見直接報告給董事會、審計委員會,足以引起管理當局的重視。內(nèi)部控制的獨立地位還便于其充當企業(yè)長期風險策略與各種政策的協(xié)調(diào)人,通過對長短期計劃的調(diào)節(jié),調(diào)控、指導(dǎo)企業(yè)的風險管理策略。在現(xiàn)代企業(yè)經(jīng)營管理中,隨著內(nèi)外部環(huán)境的變化,各種風險因素增多,內(nèi)部控制工作在改進風險管理和完善企業(yè)治理機構(gòu)等方面將發(fā)揮更加積極作用,同時,內(nèi)部控制也被賦予了更多的職責和使命。近年來,在美國發(fā)生的財務(wù)造假案導(dǎo)致了安然、世通等跨國大公司的破產(chǎn),同時也導(dǎo)致了安達信這樣一個有著90多年歷史的世界級會計師事務(wù)所退出了歷史舞臺。在我國也曾出現(xiàn)“銀廣廈”、“藍田股份”、“億安科技”等坑害中小股民的事件。所有這些事件的發(fā)生,在全球引起了各方對民間審計機構(gòu)誠信問題的探討,同時也觸動了人們對企業(yè)內(nèi)部控制的進一步思索。企業(yè)制度的發(fā)展演進與風險相關(guān)。有限責任制度的確立是企業(yè)組織從業(yè)主制或合伙制走向現(xiàn)代股份公司制的關(guān)鍵步驟,它使股東的家產(chǎn)與企業(yè)的財產(chǎn)及企業(yè)的經(jīng)濟責任相互獨立,股東的變換不再影響企業(yè)的信用能力,為股權(quán)交易擴大了范圍并增加了流動性,從而降低了投資風險并促進了企業(yè)融資,造就了今天巨型的股份公司。

1.2風險管理是對內(nèi)部控制的自然發(fā)展

內(nèi)部控制或風險管理的根本作用都是維護投資者利益、保全企業(yè)資產(chǎn),并創(chuàng)造新的價值。Fama&Jensen(1983)分析了所有權(quán)與經(jīng)營權(quán)分離下董事會的內(nèi)部控制職能;Jensen(1993)進一步分析了美國公司董事會在內(nèi)部控制方面失效的表現(xiàn)與原因。從理論上說,企業(yè)的內(nèi)部控制是企業(yè)制度的組成部分,是在企業(yè)經(jīng)營權(quán)與所有權(quán)分離的條件下對投資者利益的保護機制。其目的就是保證會計信息的準確可靠,防止經(jīng)營層操縱報表與欺詐,保護公司的財產(chǎn)安全,遵守法律以維護公司的名譽以及避免招致經(jīng)濟損失等。內(nèi)部控制的歷史起源更早,其要求更為基本,更容易或適合上升到立法層次。企業(yè)風險管理則是在新的技術(shù)與市場條件下對內(nèi)部控制的自然擴展。COSO在《企業(yè)風險管理框架》中談到風險管理的意義時是這樣論述的:“企業(yè)風險管理應(yīng)用于戰(zhàn)略制定與組織的各層次活動中。它使管理者在面對不確定性時能夠識別、評估和管理風險,發(fā)揮創(chuàng)造與保持價值的作用。風險管理能夠使風險偏好與戰(zhàn)略保持一致,將風險與增長及回報統(tǒng)籌考慮,促進應(yīng)對風險的決策,減小經(jīng)營風險與損失,識別與管理企業(yè)交叉風險,為多種風險提供整體的對策,捕捉機遇以及使資本的利用合理化?！盋OCO在解釋廣義的控制與風險時論述道:“‘領(lǐng)導(dǎo)包括在面對不確定性時作出選擇?！L險是指個人或組織在作出選擇后遭受不利后果的可能性。風險正是機會的對應(yīng)物?！憋@然,這些論述已經(jīng)認識到企業(yè)的存在是為股東或利害相關(guān)者(針對非盈利性組織等)創(chuàng)造價值的,而價值創(chuàng)造不僅是被動的資產(chǎn)安全等,還應(yīng)包括機會的利用。另外,對股東價值的威脅也不僅來自經(jīng)營者會計舞弊等內(nèi)部因素,還包括來自市場的風險等。

1.3技術(shù)的發(fā)展推動內(nèi)部控制走向風險管理

技術(shù)及市場條件的新進展,推動了內(nèi)部控制走向風險管理。在先進的信息技術(shù)條件下,會計記錄實現(xiàn)了電子控制、實時更新,使傳統(tǒng)的查錯與防弊的會計控制顯得過時。然而,風險往往是由交易或組織創(chuàng)新造成的,這些創(chuàng)新來源于新興的市場實踐,如安然公司將能源交易大量發(fā)展成類似金融衍生品的交易。另一方面,環(huán)境保護及消費者權(quán)益保護的加強,都強化了企業(yè)的社會責任,若一有不慎,企業(yè)就可能遭受來自商品市場或資本市場的懲罰,表現(xiàn)為企業(yè)的品牌價值或資本市場上的市值貶損。因此,企業(yè)需要一種日常運行的功能與結(jié)構(gòu)來防范風險,包括遵守法律與法規(guī),確保投資者對財務(wù)信息的信任以及保證經(jīng)營效率等。因此,從維護與促進價值創(chuàng)造這一根本功能來看,風險管理與企業(yè)內(nèi)部控制的目標是一致的,只是在新的技術(shù)與市場條件下,為了更有效地保護投資者利益,需要在內(nèi)部控制的基礎(chǔ)上發(fā)展更主動、更全面的風險管理。

2內(nèi)部控制與風險管理的外在聯(lián)系

2.1它們都能為企業(yè)目標的實現(xiàn)提供合理的保證

風險管理的目標有四類,其中三類與內(nèi)部控制相重合,即報告類目標、經(jīng)營類目標和遵循類目標。但報告類目標有所擴展,它不僅包括財務(wù)報告的準確性,還要求所有對內(nèi)對外發(fā)布的非財務(wù)類報告準確可靠。另外,風險管理增加了戰(zhàn)略目標,即與企業(yè)的遠景或使命相關(guān)的高層次目標。這意味著風險管理不僅僅是確保經(jīng)營的效率與效果,而且介入了企業(yè)戰(zhàn)略(包括經(jīng)營目標)制定過程。

2.2風險管理與內(nèi)部控制的組成要素有五個方面是重合的

(控制或內(nèi)部)環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督這五個方面都是風險管理與內(nèi)部控制的組成要素。這些重合是由它們目標的多數(shù)重合及實現(xiàn)機制相似決定的。風險管理增加了目標設(shè)定、事件識別和風險對策三個要素。重合的要素中,內(nèi)涵也有所擴展,例如,內(nèi)部控制環(huán)境包括誠實正直品格及道德價值觀、員工素質(zhì)與能力、董事會與審計委員會、管理哲學(xué)與經(jīng)營風格、組織結(jié)構(gòu)、權(quán)力與責任的分配、人力資源政策和實踐等七個方面。風險管理的“內(nèi)部環(huán)境”除包括上述七個方面外,還包括風險管理哲學(xué)、風險偏好(risk appetite)和風險文化三個新內(nèi)容。在風險評估要素中,風險管理要求考慮內(nèi)在風險與剩余風險,以期望值、最壞情形值或概率分布度量風險,考慮時間偏好以及風險之間的關(guān)聯(lián)作用。在信息與溝通方面,風險管理強調(diào)了過去、現(xiàn)在以及關(guān)于未來的相關(guān)數(shù)據(jù)的獲取與分析處理,規(guī)定了信息的深度與及時性等。

2.3風險管理提出了風險組合與整體風險管理(integrated risk management)的新觀念

《企業(yè)風險管理框架》借用現(xiàn)代金融理論中的資產(chǎn)組合理論,提出了風險組合與整體管理的觀念,要求從企業(yè)層面上總體把握分散于企業(yè)各層次及各部門的風險暴露,以統(tǒng)籌考慮風險對策,防止分部門分散考慮與應(yīng)對風險,如將風險割裂在技術(shù)、財務(wù)、信息科技、環(huán)境、安全、質(zhì)量、審計等部門,并考慮到風險事件之間的交互影響,防止兩種傾向:一是部門的風險處于風險偏好可承受能力之內(nèi),但總體效果可能超出企業(yè)的承受限度,因為個別風險的影響并不總是相加的,有可能是相乘的;二是個別部門的風險暴露超過其限度,但總體風險水平還沒超出企業(yè)的承受范圍,因為事件的影響有時有抵消的效果。此時,還有進一步承受風險,爭取更高回報與成長的空間。按照風險組合與整體管理的觀點,需要統(tǒng)一考慮風險事件之間以及風險對策之間的交互影響,統(tǒng)籌制定風險管理方案。

3從內(nèi)部控制走向風險管理

有一種爭論,即風險管理包含內(nèi)部控制,或內(nèi)部控制包含風險管理。筆者認為得出什么樣的結(jié)論并不十分重要,最重要的是明確風險管理與內(nèi)部控制之間有重合與聯(lián)系的地方。誰的范圍更大,可能要隨著時間、技術(shù)、市場條件、法律以及監(jiān)管實踐的發(fā)展而不同,例如,在內(nèi)部控制發(fā)展的早期,市場上風險管理的工具與技術(shù)條件都不充分(如計算機系統(tǒng)、統(tǒng)計學(xué)理論、數(shù)量模型、對沖工具與保險等),這時內(nèi)部控制包含(替代)風險管理功能是很自然的。即使在同一個時代,不同的行業(yè)各自的側(cè)重點也可能不相同,例如,在監(jiān)管嚴格的金融業(yè)或涉及人民生命健康的制藥與醫(yī)療行業(yè),風險管理的迫切性更強,企業(yè)以風險管理主導(dǎo)內(nèi)部控制可能更方便。而在另一些企業(yè),為了符合信息披露中內(nèi)部控制報告的要求,企業(yè)以內(nèi)部控制系統(tǒng)為主導(dǎo)、兼顧風險管理可能更適合。

筆者認為,在實際的經(jīng)營過程中,風險管理與內(nèi)部控制是密不可分的。在規(guī)則制定或立法過程中,需要考慮的是范圍與管制的強度,范圍越大,管制的要求就會越弱。對于其核心問題,如財務(wù)報告的準確可靠,最適合以立法的形式來約束,而其他更寬泛的內(nèi)容則可能更適合于規(guī)則及指南。在企業(yè)內(nèi)部的不同層次,風險管理與內(nèi)部控制的主導(dǎo)性相對次序也可能不同,例如,從企業(yè)的戰(zhàn)略風險依次到經(jīng)營風險、財務(wù)風險,最后到財務(wù)報告,風險管理與內(nèi)部控制的相對重要性應(yīng)該各有不同。在戰(zhàn)略風險方面,風險管理應(yīng)該發(fā)揮主導(dǎo)作用,內(nèi)部控制起到配合作用。這一角色逐步逆轉(zhuǎn),到財務(wù)報告層次,應(yīng)該是內(nèi)部控制發(fā)揮主導(dǎo)作用,風險管理起到配合作用。

盡管風險管理與內(nèi)部控制有內(nèi)在的聯(lián)系,但現(xiàn)實中的或代表目前應(yīng)用水平的內(nèi)部控制與風險管理還有不少的差距。典型的風險管理關(guān)注特定業(yè)務(wù)中與戰(zhàn)略選擇或經(jīng)營決策相關(guān)的風險與收益比較,例如,銀行業(yè)的授信管理或市場(價格)風險管理如匯率、利率風險等。典型的內(nèi)部控制是指會計控制、審計活動等,一般局限于財務(wù)相關(guān)部門。它們的共同點都是低水平、小范圍,只局限于少數(shù)職能部門,并沒有滲透或應(yīng)用于企業(yè)管理過程和整個經(jīng)營系統(tǒng),因此,有時看上去風險管理與內(nèi)部控制還是相互獨立的兩件事。隨著內(nèi)部控制或風險管理的不斷完善和變得更加全面,它們之間必然相互交叉、融合,直至統(tǒng)一。

參考文獻

[1]@王光遠,劉秋明.公司治理下的內(nèi)部控制與審計[J].中國注冊會計師,2006.

[2]@周兆生.COSO企業(yè)風險管理框架(中文版)[R].華融資產(chǎn)管理公司,2007.

[3]@朱榮恩,賀欣.內(nèi)部控制框架的新發(fā)展-企業(yè)風險管理框架[J].審計研究,2003,(6).

[4]@Committee of Sponsoring Organizations of the Treadway Commission (COSO).Internal Control - Integrated Framework [ R ]. 1992.

[5]@Committee of Sponsoring Organizations of the Treadway Commis-sion (COSO).Enterprise Risk Management Framework ( draft) [R].2002.