【摘要】笔者认为,在我国企业面临WTO全面对外开放的环境下,从风险管理的角度研究企业内部控制既是一个重要的理论问题,也是一个迫切的实践问题。本文从多个角度对这一命题进行了深入分析。
内部控制是社会经济发展到一定阶段的产物,其内容随着企业对外满足社会需要、对内强化管理而不断丰富和发展。内部控制是现代企业管理的重要手段,建立有效的企业内部控制制度是经济管理工作的重要基础。不断完善企业内部控制制度,对于防范舞弊,减少损失,提高资本的获利能力, 保障企业各项资产安全、完整具有积极的意义。
但是进入21世纪,安然、世通和施乐等世界知名大公司的一系列财务丑闻,给广大投资者带来了严重的打击,同时也暴露了企业内部控制存在的问题。各国理论界和实务界认为当前的内部控制框架有一定的局限性,如对风险的强调不够,使得内部控制无法与企业的风险管理相结合。一时间,企业的风险管理成为人们关注的焦点,也作为企业战略管理中的核心登上了公司治理的舞台。2004年10月份COSO(Committee Of Sponsoring Organizations Of The Tread-way Commission)发布的《企业风险管理——整合框架》是在1992年报告的基础上,结合《萨班斯——奥克斯法案》的相关要求进行扩展研究得到的。该框架强化了风险管理,涵盖了原有内部控制的合理内容。风险管理的兴起对内部控制产生了重大的影响。COSO认为,内部控制是风险管理的一部分,企业风险管理框架是在内部控制整体架构基础上发展而来的,内部控制与风险管理有着密切的联系。
目前在经济建设不断加快的背景下,中国企业要提高自身的国际竞争力以及在国际资本市场的信誉度,减少财务丑闻的发生,必须加紧改善自身的管理,建立完善的内部控制制度,识别和衡量企业所面临的内外部风险,并根据风险评估结果开展恰当的控制活动,消除或减少企业风险带来的损失,提高企业的应对能力和竞争力。同时,为了适应世界经济发展的形势,我国企业也迫切需要学习和借鉴国际上关于内部控制的理论研究成果。
一、风险的概念剖析
风险的定义目前主要有两种观点:其一是以美国学者威利特等为典型代表的静态学派,他们把风险理解为不确定事件。这种理解从风险管理与保险关系的角度出发,以概率的观点对风险进行定义。其二是以美国学者威廉姆斯和赛因斯为典型代表的动态学派,他们认为:“风险是在一定条件下,一定时间内可能产生结果的变动。”这种变动就是预期结果与实际结果的差异,意味着预期结果和实际结果的不一致或偏差。因此,这种变动越大,风险越大。
另外,也有人将风险分为纯粹风险和投机风险两类。纯粹风险是指有可能带来损失的风险;投机风险是指既有可能带来损失,又有可能带来机会的风险,如股票投资,既可以为投资者带来丰厚的利润,也可能使投资者遭受重大的损失。
对现代企业来说,风险是某种不利因素产生并造成实际损失致使企业目标无法实现或降低实现目标的效率的可能性。企业风险可以分为政策风险、战略风险、日常经营管理风险及财务风险。政策风险主要是国家宏观经济政策或行业政策改变导致企业所面临的风险;战略风险主要表现在企业的多元化经营与企业并购方面;日常经营管理风险按照日常运转的关键环节划分,主要包括供应风险、生产风险和销售风险;企业的财务风险则是指企业财务活动目标不能得以实现的可能性,包括筹资风险、资金投放的风险及企业其他财务活动风险。
风险管理是采取一定的措施对风险进行检测评估,使风险降低到可以接受的程度,并将其控制在某一可以接受的水平上。从职能上说,风险管理就是在对风险进行观察、评估的基础上控制风险可能造成的损失,保证组织目标的实现。对风险管理的定义可以理解为:一是风险管理是一个系统过程,包括风险的识别、衡量和控制等环节;二是风险管理的目标在于控制和减少损失,提高有关单位或个人的经济利益或社会效果;三是风险管理是一种管理方法。
风险管理作为企业的一项管理活动,产生于20世纪50年代的美国,当时美国一些大公司发生的重大损失使公司的高层决策者开始认识到风险管理的重要性。在那时,风险管理是企业管理的一个重要组成部分,主要涉及的是对企业纯粹风险的管理。这一特征是和那时企业经营环境相对简单,因而纯粹风险给企业经营带来的影响最为严重以及通过保险手段可以对纯粹风险进行有效管理是密切相关的。
20世纪80年代后,企业的经营环境开始发生了巨大变化,以价格风险、利率风险、汇率风险等为代表的财务风险开始给企业带来巨大的威胁,使得企业开始寻求规避财务风险的工具。但企业在这方面的努力仅限于一些孤立的实践活动,并没有形成完整的理论和方法体系。反而在金融机构中,由于所经营的金融产品带来的各种风险加剧,逐步形成了针对金融机构的相对完整而系统的金融风险管理体系,其针对的对象和内容都与传统风险管理有很大不同。
到20世纪末,随着大型企业特别是巨型跨国公司面临的风险管理日趋多样和复杂,开始出现了将企业的所有风险,包括纯粹风险和财务风险综合起来进行管理的需要。这种需求使得在历史上不同时期,并沿着两条不同轨迹发展起来的传统风险管理和金融财务风险管理终于结合在一起,形成一个崭新的概念——全面风险管理。
全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
近年来,许多公司关注企业风险管理,他们对企业风险管理框架的需求日益增加。2001年,COSO委托普华永道设计一种能被企业管理层用来评估和改善企业风险管理的框架。在这一时期,美国出现了包括安然公司在内的一系列公司财务丑闻,使投资者蒙受了巨大的损失。之后,要求改善公司治理结构和提高风险管理能力的呼声日益高涨。2002 年美国通过了萨班斯——奥克斯利法案(Sarbanes——Oxley Act of 2002),其中的 404 条款要求上市公司管理当局对内部控制的有效性进行披露报告,同时也要求注册会计师对上市公司内部控制的效果进行审计。正是在这一背景下,COSO于 2004 年 10 月发布了《企业风险管理——整合框架》的报告。