[内容摘要] 本文介绍美国COSO委员会关于内部控制及风险管理的两个报告以及相关研究,分析比较内部控制与风险管理的联系与区别,指出内部控制将扩展为更全面的风险管理。
一、内部控制——标准与立法
1985年美国为了遏制日益猖獗的会计舞弊活动,成立了一个反财务舞弊委员会(Treadway委员会),调查导致会计舞弊活动的原因,并提出了解决方案。该方案强调了内部控制的重要性,建议要求所有的上市公司都应该在其年报中提供内部控制报告。报告内容包括承认管理当局对财务报告和内部控制负有责任,并讨论这些责任的履行情况。在Treadway委员会结束其使命之后,该委员会的五个发起组织联合成立了一个新的委员会——COSO(The Committee of Sponsoring Organizations of the TreadwayCommittee),即Treadway委员会的发起组织委员会。它由美国公共注册会计师协会(AICPA)、美国会计协会(AAA)、国际财务管理人员协会(FEI)、内部审计师协会(IIA)、国际会计协会(NAA)(是管理会计协会IMA的前身)联合发起。COSO继续研究并于1992年发布了一份关于内部控制的纲领性文件,即《内部控制-整体框架》(Internal Control-Integrated Framework)。COSO提出的报告得到了美国联邦储备局、美国证券交易委员会、巴塞尔委员会等监管机构或国际组织的认可与采纳,其中的许多定义、建议及思想被吸收到立法与规则制定中,在全世界范围内产生了广泛的影响。2001年年底以来,美国爆发了以安然、世通、施乐等公司财务舞弊案为代表的会计丑闻,重创了美国资本市场及经济,同时也集中暴露了美国公司在内部控制上存在的问题,由此导致美国通过了《萨班尼斯——奥克斯利法》(THE SARBANES-OXLEYACT)。该法案明确了公司管理者CEO及财务主管CFO对内部控制负直接责任,并将承担经济与刑事后果;大幅度提高了对会计舞弊的处罚力度;强化了内部审计、外部审计及审计监管。此次立法代表着资本市场制度的一次大的进步,也使人们对内部控制的重要性有了更深刻的认识。
值得强调的是,美国证券交易委员会(SEC)规定企业管理层评价其内部控制的标准必须符合以下条件:制定过程严谨适当,经过广泛散发和公众评议;非盈利而无偏见;能一致性地定性或定量分析内部控制;全面包括所有影响内部控制的因素;与企业财务报告中的内部控制相关等。最终,SEC认为COSO的《内部控制-整体框架》报告是符合上述规定的,同时指出未来符合上述要求的相关文件也都认可。还有相关国家的权威文件,如加拿大的COCO(1)或英国的Turnbull(2)的相关规定都是认可的(二者都是以美国COSO的报告为蓝本)。
内部控制与风险管理有着密切的联系。COSO认为,内部控制是风险管理的一部分。因此,该委员会在《内部控制-整体框架》的基础上,又于2003年出台了最新报告——《企业风险管理框架》。目前这个报告还仅是个草稿,在公示、修订之后,预计将于今年正式发布。《企业风险管理框架》继承并包含了《内部控制-整体框架》的主体内容,同时扩展了三个要素,增加了一个目标,更新了一些观念,旨在为各国的企业风险管理提供一个统一术语与概念体系的全面的应用指南。
内部控制:企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。
风险管理:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。它有八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。
从COSO的两份报告来看,企业风险管理与内部控制有以下相似或不同之处:
第一,它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。
第二,它们都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。
第三,它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。
第四,风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部)环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中,内涵也有所扩展,例如,内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好(risk appetite)和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。
第五,风险管理提出了风险组合与整体风险管理(integrated risk management)的新观念。《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。此时,还有进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案。