一、内部控制——标准与立法
1985年美国为了遏制日益猖獗的会计舞弊活动,成立了一个反财务舞弊委员会(Treadway委员会),调查导致会计舞弊活动的原因,并提出了解决方案。该方案强调了内部控制的重要性,建议要求所有的上市公司都应该在其年报中提供内部控制报告。报告内容包括承认管理当局对财务报告和内部控制负有责任,并讨论这些责任的履行情况。在Treadway委员会结束其使命之后,该委员会的五个发起组织联合成立了一个新的委员会——COSO(The Committee of Sponsoring Organizations of the TreadwayCommittee),即Treadway委员会的发起组织委员会。它由美国公共注册会计师协会(AICPA)、美国会计协会(AAA)、国际财务管理人员协会(FEI)、内部审计师协会(IIA)、国际会计协会(NAA)(是管理会计协会IMA的前身)联合发起。COSO继续研究并于1992年发布了一份关于内部控制的纲领性文件,即《内部控制-整体框架》(Internal Control-Integrated Framework)。COSO提出的报告得到了美国联邦储备局、美国证券交易委员会、巴塞尔委员会等监管机构或国际组织的认可与采纳,其中的许多定义、建议及思想被吸收到立法与规则制定中,在全世界范围内产生了广泛的影响。2001年年底以来,美国爆发了以安然、世通、施乐等公司财务舞弊案为代表的会计丑闻,重创了美国资本市场及经济,同时也集中暴露了美国公司在内部控制上存在的问题,由此导致美国通过了《萨班尼斯——奥克斯利法》(THE SARBANES-OXLEYACT)。该法案明确了公司管理者CEO及财务主管CFO对内部控制负直接责任,并将承担经济与刑事后果;大幅度提高了对会计舞弊的处罚力度;强化了内部审计、外部审计及审计监管。此次立法代表着资本市场制度的一次大的进步,也使人们对内部控制的重要性有了更深刻的认识。
值得强调的是,美国证券交易委员会(SEC)规定企业管理层评价其内部控制的标准必须符合以下条件:制定过程严谨适当,经过广泛散发和公众评议;非盈利而无偏见;能一致性地定性或定量分析内部控制;全面包括所有影响内部控制的因素;与企业财务报告中的内部控制相关等。最终,SEC认为COSO的《内部控制-整体框架》报告是符合上述规定的,同时指出未来符合上述要求的相关文件也都认可。还有相关国家的权威文件,如加拿大的COCO(1)或英国的Turnbull(2)的相关规定都是认可的(二者都是以美国COSO的报告为蓝本)。
内部控制与风险管理有着密切的联系。COSO认为,内部控制是风险管理的一部分。因此,该委员会在《内部控制-整体框架》的基础上,又于2003年出台了最新报告——《企业风险管理框架》。目前这个报告还仅是个草稿,在公示、修订之后,预计将于今年正式发布。《企业风险管理框架》继承并包含了《内部控制-整体框架》的主体内容,同时扩展了三个要素,增加了一个目标,更新了一些观念,旨在为各国的企业风险管理提供一个统一术语与概念体系的全面的应用指南。
内部控制:企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。
风险管理:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。它有八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。
从COSO的两份报告来看,企业风险管理与内部控制有以下相似或不同之处:
第一,它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。
第二,它们都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。
第三,它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。
第四,风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部)环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中,内涵也有所扩展,例如,内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好(risk appetite)和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。
第五,风险管理提出了风险组合与整体风险管理(integrated risk management)的新观念。《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。此时,还有进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案。
企业制度的发展演进与风险相关。有限责任制度的确立是企业组织从业主制或合伙制走向现代股份公司制的关键步骤,它使股东的家产与企业的财产及企业的经济责任相互独立,股东的变换不再影响企业的信用能力,为股权交易扩大了范围并增加了流动性,从而降低了投资风险并促进了企业融资,造就了今天巨型的股份公司。
为了使股权交易与股东变换不影响企业经营的连续性,也为了使资本与经营能力实现更优的组合,企业的所有权与经营权在现代企业中高度分离开来,由此也带来了新的风险,即职业经营者有可能不履行其受托责任而损害股东的利益。另外,有限责任也有可能诱使企业从事风险过高的项目而损害债权人利益。因为在有限责任下,潜在的收益主要由企业(股东)获得,而失败即破产的风险则主要由债权人承担。上述风险不是市场化的,可以由市场竞争自发约束或市场交易提供避险,如产品质量或自然灾害等,而是机制问题,属于组织或交易中的代理问题,需要规则与制度进行规范。这些制度包括企业治理中的责任制度,如财务报告、内部控制及审计等。
内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。Fama&Jensen(1983)分析了所有权与经营权分离下董事会的内部控制职能;Jensen(1993)进一步分析了美国公司董事会在内部控制方面失效的表现与原因。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早,其要求更为基本,更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。C0SO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。”COCO在解释广义的控制与风险时论述道(3):“‘领导’包括在面对不确定性时作出选择。‘风险’是指个人或组织在作出选择后遭受不利后果的可能性。风险正是机会的对应物。”显然,这些论述已经认识到企业的存在是为股东或利害相关者(针对非盈利性组织等)创造价值的,而价值创造不仅是被动的资产安全等,还应包括机会的利用。另外,对股东价值的威胁也不仅来自经营者会计舞弊等内部因素,还包括来自市场的风险等。
技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
有一种争论,即风险管理包含内部控制,或内部控制包含风险管理。笔者认为得出什么样的结论并不十分重要,最重要的是明确风险管理与内部控制之间有重合与联系的地方。谁的范围更大,可能要随着时间、技术、市场条件、法律以及监管实践的发展而不同,例如,在内部控制发展的早期,市场上风险管理的工具与技术条件都不充分(如计算机系统、统计学理论、数量模型、对冲工具与保险等),这时内部控制包含(替代)风险管理功能是很自然的。即使在同一个时代,不同的行业各自的侧重点也可能不相同,例如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
正因为内部控制与风险管理有内在的联系,各国分别以不同的方式逐步将内部控制与风险管理联系起来。2004年1月8日,我国有关方面举办了“商业银行风险管理与内部控制论坛”,这表明我国银行业也开始将内部控制与风险管理联系起来。
巴塞尔委员会发布的《银行业组织内部控制系统框架》中指出:“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平,确保管理层采取必要的步骤去识别、计量、监督以及控制这些风险……(4)”,这里显然是把风险管理的内容纳入到内部控制框架中。英国FSA(5)在《综合准则》(The Combined Code)中关于内部控制的规定,是第一次在官方文件里明确将风险管理包含在内部控制之中。该准则指出,董事会应该保持健全的内部控制系统,以保护股东的投资及企业的资产(原则D.2)。董事会至少每年一次,检查企业内部控制系统的有效性,并向股东报告。报告应该包括所有的控制,如财务的、经营的、遵从的控制以及风险管理(D.2.1)。这一规则是伦敦交易所上市企业必须要遵守的。
加拿大注册会计师协会控制标准委员会(C0C0)认为(6)“控制应该包括风险的识别与减轻”,其中的风险不仅包括与实现特定目标相关的风险,而且还包括一般性的,如不能识别和利用机会,不能使企业在面临未预料到事件以及不确定信息时保持灵活性或弹性。1992年COS0在《内部控制-整体框架》中将风险评估作为内部控制的五个组成要素之一,在最新出台的《企业风险管理框架》中又进一步将内部控制扩展为风险管理,明确提出风险管理包含内部控制。
笔者认为,在实际的经营过程中,风险管理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度,范围越大,管制的要求就会越弱。对于其核心问题,如财务报告的准确可靠,最适合以立法的形式来约束,而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。
尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信管理或市场(价格)风险管理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
[参考文献]
[1]王光远,刘秋明。公司治理下的内部控制与审计[J].中国注册会计师,2003,(2)。
[2]周兆生。C0SO企业风险管理框架(中文版)[R].华融资产管理公司,2004.
[3]朱荣恩,贺欣。内部控制框架的新发展-企业风险管理框架[J].审计研究,2003,(6)。
[4] Committee of Sponsoring Organizations of the Treadway Commission ( COSO )。 Internal Control - Integrated Framework [ R ]. 1992.
[5] Committee of Sponsoring Organizations of the Treadway Commis-sion ( COSO ) . Enterprise Risk Management Framework ( draft) [R].2003.
[6] Criteria of Control ( COCO ) Board of The Canadian Institute of Chartered Accountants. Guidance for Directors -Dealing with Risk in the Boardroom[ R]. COCO, Toronto, 1999.
[7]Fama, E. F. and M. C. Jensen. Separation of Ownership and Control[J]. Journal of Law and Economics, Vol. 26, June 1983 pp. 301 -25.
[8] Jensen, M. . The Modern Industrial Revolution, Exit, and the Failure of Internal Control Systems[ J]. Journal of Finance, July , 1993, PP. 831 -880.
[9] The Financial Services Authority ( FSA) (UK)。 1998: The Com-bined Code - Principles of Governance and Code of Best Practice (The Combined Code) [EB/OL]. http://www.fsa.gov.uk/pubs/ukla/lr_comcode3. pdf.
[10] The Institute of Chartered Accountants in England & Wales (ICAEW)。 Internal Control - Guidance for Directors on the Combined Code [R]. ICAEW, London,1999.
[11] The Turnbull Report. Guidance for Directors on the Combined Code [ R ]. ICAEW, London, 1999.
[12] Basle Committee on Banking Supervision. Framework for Internal Control System in Banking Organizations [R]. 1998.
Internal Control and Risk Management
ZHOU Zhao-sheng
(China Huarong Assets Management Corporation, Beijing 100045,China)
Abstract: Based on the introduction to COSO's reports Internal Control - Integrated Framework and Enterprise Risk Management Framework, this paper compares the similarity and distinction of internal control with risk management. The author believes internal control will evolve to risk management.
Key Words: COSO; risk management; internal control
(1)是指加拿大特许会计师协会(The Canadian Institute of Chartered Accountants,CICA)成立的控制标准委员会(Criteria of ControlBoard,COCO),该委员会于1995年出版了《控制指南》(Guidance on Control)。
(2)Turnbull Report,1999,是指英格兰和威尔士特许会计师协会(ICAEW)受伦敦证券交易所之托提交的《内部控制:综合准则董事指南》(Internal Control-Guidance for Directors on the Combined Code)。
(3)参见Criteria of Control(COCO)Board of The Canadian Institute of Chartered Accountants(1999),“Guidance for Directors-Dealing withRisk in the Boardroom”,COCO,Toronto,第1页。
(4)Basle Committee(1998),第2页。
(5)根据The Financial Services Authority(FSA)(UK),1998:The Combined Code-Principles of Good Governance and Code of Best Practice(The Combined Code)。
(6)参见Criteria of Control(COCO)Board of The Canadian Institute of Chartered Accountants(1999),“Guidance for Directors-Dealing withRisk in the Boardroom”,COCO,Toronto,第9页。