[摘要]本文通过对美国COSO委员会关于内部控制和企业风险管理两个报告的对比分析,指出内部控制将扩展为更加全面完整的企业风险管理,并运用COSO关于《企业风险管理-整体框架》的体系,探讨了如何构建我国企业风险管理整体框架。
在内部控制标准制定方面,美国发起人组织委员会(COSO)一直是国际公认的权威机构,自其成立以来,一直致力于内部控制标准的制定,引导和代表着内部控制的发展趋势。1992年该机构发表并于1994年修订的《内部控制-整体框架》报告,标志着内部控制理论与实践进入了整体框架的新阶段,并被世界上许多企业所采用。2004年9月,COSO又提出了《企业风险管理-整体框架》,它既是对《内部控制-整体框架》的超越,也标志着内部控制的转型,在内涵界定、目标体系、构成要素等方面都进行了拓展和延伸。
一、引言
企业制度的发展演进与风险相关,企业管理的方式应随着不同的经营环境、技术、市场条件、法律以及监管实践的发展而变化。早期的内部控制理论对规范企业的经营活动发挥了重要作用,然而,近年来一系列财务失败事件的发生以及对企业风险管理的关注,使人们越来越清楚地认识到,需要一个强有力的理论体系来监管企业界频繁发生的高层管理人员舞弊现象。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。其原因主要有:一是技术和经济的发展推动了内部控制走向企业风险管理;二是企业风险管理是企业自身生存发展的需要;三是企业风险管理能协调企业各方经济利益关系;四是关注企业风险管理比实施内部控制更重要。
《企业风险管理-整体框架》要求董事会与管理层将精力主要放在可能产生重大风险环节上,而不是所有细小环节上,将风险管理作为最重要的内容,这是一次重大的变化。企业风险管理就是要求企业高度重视从战略风险依次到经营风险、财务风险,最后到财务报告的各个环节。显然,企业风险管理要比内部控制层次更高,也更为重要。近来发生的伊利股份、创维数码、四川长虹等失败案例或重大事件,或多或少都与企业风险管理缺失有关。而中航油公司曾在2003年被新加坡证券监督部门列为最具透明的企业,说明该企业确实在内部控制的细节方面做得非常周到。但是,从事后暴露出的结果来看,恰恰是在企业风险管理上出了问题。
二、内部控制与企业风险管理
内部控制与企业风险管理有着十分紧密的联系,COSO报告认为,内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,无论在理论上还是在实践上,企业风险管理都比内部控制更有力。
1、企业风险管理较内部控制内涵更宽泛
COSO对内部控制的定义是:内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程;对企业风险管理的定义是:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。该定义包含了7层含义:(1)企业风险管理是一个过程,它持续流动于组织之内;(2)企业风险管理是由组织中各个层级的人员来实施的;(3)企业风险管理应用于战略制定的过程中;(4)企业风险管理贯穿于企业各个层面、各个单位,包括从企业层面用组合的观点来看风险;(5)企业风险管理旨在识别那些一旦发生将会影响企业的潜在事项,并把风险控制在风险容量以内;(6)企业风险管理能够向一个企业的管理当局和董事会提供合理保证;(7)企业风险管理力求实现一个或多个不同类型但相互交叉的目标。和内部控制相比,企业风险管理的内涵更为宽泛,定义更加详细具体,重点更加突出风险识别、风险偏好及风险管理。
2、企业风险管理较内部控制目标层次更高
COSO在《内部控制-整体框架》中设定内部控制有3个目标:经营的效果和效率、财务报告的可靠性和法律法规的遵循性。而《企业风险管理--整体框架》中有4个目标,其中3个目标与内部控制目标相似,即报告类目标、经营类目标和遵循类目标。其中,报告类目标有所扩展,它不仅包括财务报告的可靠性,而且还要求所有对内对外发布的非财务类报告的准确可靠性。此外,企业风险管理增加了一个战略目标,即与企业的远景或使命相关的高层次目标。这意味着企业风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)的制定过程。因此,其目标层次更高,对企业的贡献更大。
3、企业风险管理较内部控制要素更全面完整
COSO提出的内部控制有5个要素,包括控制环境、风险评估、控制活动、信息和沟通、监督。在《企业风险管理-整体框架》中,对这5个要素进行了深化和拓展,将其演变为8个要素,包括内部环境、目标设定、事项识别、风险评估、风险对策、控制活动、信息与沟通、监督。与内部控制相比,企业风险管理在要素构成上主要有两个方面的变化:一是以“内部环境”取代“控制环境”,并在“内部环境”中引入了风险管理理念、风险偏好两个概念。风险管理理念是一套共享的观念和态度,它标志着企业考虑风险时的特征,反映了企业的价值观,影响着企业的文化和经营方式。风险偏好反映了一个企业对风险的态度,并影响着企业的文化和经营方式;二是企业风险管理更加关注风险,拓展了内部控制的风险评估要素,进一步细分为目标设定、事项识别、风险评估和风险对策等要素。
4、企业风险管理中有关人员的角色和责任发生了变化
COSO报告明确指出,企业里的每个人对企业风险管理都有责任。尽管内部控制和企业风险管理都是由董事会负责,但企业风险管理使董事会扮演更加重要的角色和承担更大的责任,并且要求其变得更加警惕。企业风险管理的成功与否在很大程度上依赖于董事会,董事会需要批准企业的风险偏好,对企业风险管理进行监督,并把握企业的风险承受能力。其他管理人员支持企业风险管理的理念,促使与风险承受能力的协调,并在各自负责的领域把风险控制在相应的风险容忍度内。风险主管、财务主管和内部审计等人员通常承担关键的支持性责任。其他人负责按照制定的指令和协议执行企业风险管理。至于企业的外部团体,如顾客、供应商、商业伙伴、外部审计、监管者、财务分析师,经常能提供一些有用的信息影响到企业风险管理,但他们不对企业风险管理的有效性负责,而且,他们也不是企业风险管理的一部分。
三、构建我国企业风险管理整体框架
由于企业风险管理是一种全新的管理理念,在现阶段我国企业对其还没有足够的认识和实践经验。必须借鉴国际先进的理论和实践经验,转变长期以来固化的观念和思维模式,努力构建企业风险管理的新机制。
1、我国企业风险管理现状
近几年随着COSO的内部控制整体框架为人们理解和接受,我国相关部门包括财政部、证监会和中国人民银行相续出台了一系列法规,对加强我国企业内部控制建设起到了积极的作用。然而,在内部控制实践中,“中航油”、“中储棉”、“中行”等事件,在很大程度上都是企业对风险管理不够重视。从目前我国企业现状看,在企业风险管理方面主要存在以下问题:一是企业对风险管理的认识不足,风险意识不强。当今社会企业将会面对更大的环境变化和生存风险,企业所面临的风险来自多个方面,如市场风险、信贷风险、营运风险、法律风险、管制风险、声誉风险、技术风险等以及随着交易类型和工具的变化所面临的兼并收购、破产重组、电子商务等;二是缺乏有效的风险评估监督机制。不管是什么风险,企业都应该建立可以辨认、分析和管理风险的机制,并确认高风险领域,以加强风险管理,但我国企业缺乏的就是这种机制,往往出现盲目扩张等;三是未能将企业风险管理与内部控制有机结合起来,形成突出风险管理而更为有效的内部控制系统。因此,必须借鉴COSO关干《企业风险管理-整体框架》的理论,结合我国企业实际,不断探索并逐步完善突出风险管理的内部控制系统。
2、企业风险管理整体框架
COSO的《企业风险管理-整体框架》提出企业风险管理由8个相互关联的要素构成,它们源自管理当局的经营方式,并与管理过程整合在一起,这8个要素包括:
(1)内部环境。是组织内人员如何看待风险、对待风险的态度。包括风险管理理念、风险承受能力、正直和道德价值观及工作环境。内部环境为企业中的人们如何看待风险和着手控制风险确立了基础。
(2)目标设定。只有先制定目标,管理层才能识别影响目标实现的事件。企业风险管理确保管理层参与目标制定流程,确保所选择的目标不仅和企业使命方向一致,支持企业的使命,而且与其风险承受能力相符。
(3)事项识别。必须识别影响企业目标实现的内外事件,分清风险和机会。管理层制定战略或目标时应考虑到机会,机会被追溯到管理当局的战略或目标制定过程。
(4)风险评估。要对识别的风险进行分析,以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。
(5)风险对策。管理层选择风险应对方式,包括规避、接受、降低或分担并制定一套措施把风险控制在企业的风险容忍度和风险承受能力之内。
(6)控制活动。制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施。
(7)信息与沟通。企业的各个层级都需要借助信息来识别、评估和应对风险。有效信息沟通的外延比较广泛,包括企业内信息的上传、下达和平行流动。
(8)监督。整个企业风险管理处于监控之下,必要时还会进行修正。这种方式能够动态地反映风险管理状况,并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理进行单独评价或者两者的结合来完成。
企业风险管理整体框架有3个维度:第一维是企业目标;第二维是全面风险管理要素;第三维是企业的各个层级。它们之间的关系如图1所示:
3、企业风险管理整体框架的构建
根据现阶段我国企业的风险管理水平,企业风险管理整体框架的构建应采取“分阶段改进强化”的思路。企业风险管理整体框架的构建不可能一蹴而就,它应该是一个有序不断地改进的过程。在构建中先抓住“关键制胜要素”,努力以最小的成本达到最大的安全保障,这些关键要素包括以下4个方面。
(l)确立董事会在企业风险管理整体框架构建中的核心地位。从我国《公司法》规定的董事会、股东大会、总经理之间的权责划分看,董事会在公司管理中居于核心地位。董事会应该对企业风险管理的建立、完善和有效运行负责。企业风险管理不只是由某一个小组进行的管理活动,而是全体人员参与的企业层面的管理活动。因此,需要引入一套共同的语言,便于企业内部及外部的沟通;树立风险管理的共同理念,正确对待风险;创立一种风险评估及激励机制,不断提高风险管理能力。这些都离不开董事会的领导、监督和协调。而对于董事会而言,建立风险管理框架是为了通过“不丧失控制的授权”来保证公司有效运行、完成公司的目标。同时,也是董事会抑制管理人员在获取短期盈利机会中的机会主义倾向,保证法律、公司政策及董事会决议切实贯彻实施的手段,确保公司信息质量。
(2)明确企业风险管理目标,建立有效的监督体系。企业风险管理整体框架是建立在明确的企业监督框架和适当的人员责任分配基础之上的,其目标是使风险成为企业文化的内在有机组成部分。企业风险管理一定要和企业的技术及战略管理相结合,要在全企业范围内明确宣布风险管理目标和计划,并将其与企业业务、战略及业绩目标结合起来,建立一个由全企业层次集体支持的风险管理过程。
(3)探索和建立风险评估体系。企业风险管理更加关注风险,拓展了内部控制框架的风险评估要素,进一步细分为目标设定、事项识别、风险评估和风险对策等要素,通过风险评估将各要素紧密联系起来。而风险评估包括3个基本方面:一是技巧熟练的风险责任人;二是一套风险管理的共同语言;三是识别、分析、度量风险与机遇持续过程。要评估风险首先要识别风险,收集、分析并综合处理相关的内部及外部数据以便为企业提供可靠、及时的风险管理信息。了解影响企业经营业绩的关键性风险性质,分析产生风险的根本原因。建立风险参数与限制,权衡风险与收益,评估不同战略的风险,并最终选择应对风险的措施。这种风险评估体系一旦发展起来并投入实施,就逐步走向了企业风险管理。
(4)营造企业风险管理的文化氛围,推进风险管理的实施。企业风险管理整体框架是建立在内部环境基础之上,内部环境直接影响和制约企业风险管理的成败。企业通过整合战略、过程、人员、技术和知识以不断提高企业风险管理的能力,需要一套企业层面的方法。这种企业层面的方法是由企业的组织结构、文化理念和经营管理哲学共同决定的。随着企业文化中风险敏感程度的提高,企业管理者会进一步掌握有效的风险管理能力。通过他们的推进、提供报告、贯彻相应的方法、构建适当的体系以实施既定的风险战略和政策,企业风险管理水平将不断提高。
没有什么放之四海而皆准的模式可供直接模仿,企业风险管理整体框架的构建需要董事会、管理当局和全体员工的共同努力。企业风险管理整体框架的构建也不会在一夜之间完成,需要人们长期持续探索并不断完善。虽然这项工作比较艰巨,但对于企业目标的实现、经营效率的提高、企业报告的可靠以及有关政策法规的执行都将是十分有益的。
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]