内部控制与风险管理_周兆生.docx

《内部控制与风险管理_周兆生.docx》由会员分享，可在线阅读，更多相关《内部控制与风险管理_周兆生.docx（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 内 部 制 与 风 险 官 理 周兆生 (中国华融资产管理公司暨复旦大学博士后流动站，北京 1 45) 摘要 1本文介绍美国 COSO委员会关于内部控制及风险管理的两个报告以及相关研究，分析比较内部控制 与风险管理的联系与区别，指出内部控制将扩展为更全而的风险管理。 关键词 1 COSO;企业风险管理；内部控制 中图分类号 1F279.23 文献标识码 1A 文章编号 1004 4833 (2004 H34 0046 04 一、内部控制 标准与立法 1985年美国为了遏制日益猖獗的会计舞弊活动，成立 了一个反财务舞弊委员会 (Treadway委员会），调查导致会 计舞弊活动的原因，并提出了解

2、决方案。该方案强调了内 部控制的重要性，建议要求所有的上市公司都应该在其年 报中提供内部控制报告。报告内容包括承认管理当局对 财务报告和内部控制负有责任，并讨论这些责任的履行情 况。在 Treadway委员会结束其使命之后，该委员会的五个 发起组织联合成立了一个新的委员会 CDS (The Can- mittee of Sponsoring Organizations of the Treadway Ccmmittee )“ 即 Treadway委员会的发起组织委员会。它由美国公共注 册会计师协会 (AICPA)、 美国会计协会 (AAA )、 国际财务管 理人员协会 (FEI)、 内部审计师

3、协会 (IIA )、 国际会计协会 (NAA)(是管理会计协会 IMA的前身 ） 联合发起。 COSO继 续研究并于 1992年发布了一份关于内部控制的纲领性文 件，即内部控制一整体框架 （ Internal Contro卜 Integrated Framework)。 COSO提出的报告得到了美国联邦储备局、美 国证券交易委员会、巴塞尔委员会等监管机构或国际组织 的认可与采纳，其中的许多定义、建议及思想被吸收到立 法与规则制定中，在全世界范围内产生了广泛的影响。 2001年年底以来，美国爆发了以安然、世通、施乐等公司财 务舞弊案为代表的会计丑闻，重创了美国资本市场及经 济，同时也集中暴露了美

4、国公司在内部控制上存在的问 题，由此导致美国通过了萨班尼斯 奥克斯利法 (THE SARBANESOXLEY ACT )。 该法案明确了公司管理 者 CEO及财务主管 CFO对内部控制负直接责任，并将承 担经济与刑事后果；大幅度提高了对会计舞弊的处罚力 度；强化了内部审计、外部 审计及审计监管。此次立法代 表着资本市场制度的一次大的进步，也使人们对内部控制 的重要性有了更深刻的认识。 值得强调的是，美国证券交易委员会 (SEC )规定企业 管理层评价其内部控制的标准必须符合以下条件：制定过 程严谨适当，经过广泛散发和公众评议；非盈利而无偏见； 能一致性地定性或定量分析内部控制；全而包括所有影响

5、 内部控制的因素；与企业财务报告中的内部控制相关等。 最终， SEC认为 COSO的内部控制一整体框架报告是符 合上述规定的，同时指出未来符合上述要求的相关文件也 收稿日期 2004 03 15 作者简介 周兆生 （ 1971 ）， 男，安徽无为人，中国华融资产管理公司暨复旦大学博士后流动站，从事资产管理公司的内部控制 研宄。 是指加拿大特许会计师协会 (The Canadian Institute of Chartered Accountants， CICA)成立的控制标准委员会 (Criteria of Control Board， COCO)， 该委员会于 1995年出版了控制指南 (G

6、uidance m Control)。 46 都认可。还有相关国家的权威文件，如加拿大的 coco 或英国的 Turnbull的相关规定都是认可的 （ 二者都是以美 国 00S0的报告为蓝本）。 =、内部控制与风险管理的比较 内部控制与风险管理有着密切的联系。 COSO认为， 内部控制是风险管理的一部分。因此，该委员会在内部 控制一整体框架的基础上，又于 2003年出台了最新报告 企业风险管理框架。目前这个报告还仅是个草稿， 在公示、修订之后，预计将于今年正式发布。企业风险管 理框架继承并包含了内部控制一整体框架的主体内 容，同时扩展了三个要 素，增加了一个目标，更新了一些观 念，旨在为各国的

7、企业风险管理提供一个统一术语与概念 体系的全面的应用指南。 00S0对内部控制与风险管理的定义及其组成要素分 别是： 内部控制：企业内部控制是由企业董事会、经理层以 及其他员工共同实施的，为财务报告的准确性、经营活动 的效率与效果、相关法律法规的遵循等目标的实现而提供 合理保证的过程。它包括五个方面的组成要素：控制环 境、风险评估、控制活动、信息与沟通、监督。 风险管理 :企业风险管理是一个过程，是由企业的董 事会、管理层以及其他人员共同实施的，应用于战略制定 及企业各个层次的活动，旨在识别可能影响企业的各种潜 在事件，并按照企业的风险偏好管理风险，为企业目标的 实现提供合理的保证。它有八个组

8、成要素：内部环境、目 标设定、事件识别、风险评估、风险对策、控制活动、信息与 沟通、监督。 从 COSO的两份报告来看，企业风险管理与内部控制 有以下相似或不同之处： 第一，它们都是由 企业董事会、管理层以及其他人 员共同实施的 ，强调了全员参与的观点，指出各方在内部 控制或风险管理中都有相应的角色与职责。 第二，它们都明确是一个 过程 ，不能当作某种静态 的东西，如制度文件、技术模型等，也不是单独或额外的活 动，如检查评估等，最好是内置于企业日常管理过程中，作 为一种常规运行的机制来建设。 第三，它们都是为企业目标的实现提供合理的保证。 风险管理的目标有四类，其中三类与内部控制相重合，即 报

9、告类目标、经营类目标和遵循类目标。但报告类目标有 所扩展，它不仅包括财务报告的准确性，还要求所有对内 对外发布的非财务类报告准确可靠。另外，风险管理增加 了战略目标，即与企业的远景或使命相关的高层次目标。 这意味着风险管理不仅仅是确保经营的效率与效果，而且 介入了企业战略 (包括经营目标 )制定过程。 第四，风险管理与内部控制的组成要素有五个方面是 重合的， g卩（控制或内部 ） 环境、风险评估、控制活动、信息 与沟通、监督。这些重合是由它们目标的多数重合及实现 机制相似决定的。风险管理增加了目标设定、事件识别和 风险对策三个要素。重合的要素中，内涵也有所扩展，例 如，内部控制环境包括诚实正直

10、品格及道德价值观、员工素 质与能力、董事会与审计委员会、管理哲学与经营风格、组 织结构、权力与责任的分配、人力资源政策和实践等七个方 面。风险管理的 内部环境 除包括上述七个方面外，还包 括风险 管理哲学、风险偏好 (risk appetite )和风险文化三个新 内容。在风险评估要素中，风险管理要求考虑内在风险与 剩余风险，以期望值、最坏情形值或概率分布度量风险，考 虑时间偏好以及风险之间的关联作用。在信息与沟通方 面，风险管理强调了过去、现在以及关于未来的相关数据的 获取与分析处理，规定了信息的深度与及时性等。 第五，风险管理提出了风险组合与整体风险管理 （ integrated risk

11、 management) 的 新观念 。企 业风 险管理 框架 借用现代金融理论中的资产组合理论，提出了风险组 合与 整体管理的观念，要求从企业层面上总体把握分散于企业 各层次及各部门的风险暴露，以统筹考虑风险对策，防止 分部门分散考虑与应对风险，如将风险割裂在技术、财务、 信息科技、环境、安全、质量、审计等部门，并考虑到风险事 件之间的交互影响，防止两种倾向：一是部门的风险处于 风险偏好可承受能力之内，但总体效果可能超出企业的承 受限度，因为个别风险的影响并不总是相加的，有可能是 相乘的；二是个别部门的风险暴露超过其限度，但总体风 险水平还没超出企业的承受范围，因为事件的影响有时有 抵消的效

12、果。此时，还有进一步承受风险，争取更高回报 与成长的空间。按照风险组合与整体管理的观点，需要统 一考虑风险事件之间以及风险对策之间的交互影响，统筹 制定风险管理方案。 三、内部控制与风险管理的内在联系 企业制度的发展演进与风险相关。有限责任制度的 确立是企业组织从业主制或合伙制走向现代股份公司制 的关键步骤，它使股东的家产与企业的财产及企业的经济 责任相互独立，股东的变换不再影响企业的信用能力，为 股权交易扩大了范围并增加了流动性，从而降低了投资风 险并促进了企业融资，造就了今天巨型的股份公司。 为了使股权交易与股东变换不影响企业 经营的连续 性，也为了使资本与经营能力实现更优的组合，企业的所

13、 有权与经营权在现代企业中高度分离开来，由此也带来了 新的风险，即职业经营者有可能不履行其受托责任而损害 股东的利益。另外，有限责任也有可能诱使企业从事风险 过高的项目而损害债权人利益。因为在有限责任下，潜在 Turnbull Report, 1999,是指英格兰和威尔士特许会计师协会 (ICAEW)受伦敦证券交易所之托提交的内部控制：综合准则董事指南 (Internal Control-Guidance for Directors on the Caribined Code) 。 47 。 的收益主要由企业（股东 ） 获得，而失败即破产的风险则主 要由债权人承担。上述风险不是市场化的，可以由

14、市场竞 争自发约束或市场交易提供避险，如产品质量或自然灾害 等，而是机制问题，属于组织或交易中的代理问题，需要规 则与制度进行规范。这些制度包括企业治理中的责任制 度，如财务报告、内部控制及审计等。 内部控制或风险管理的根本作用都是维护投资者利 益、保全企业资产，并创造新的价值 。 Farm &Jensen(1983) 分析了所有权与经营权分离下董事会的内部控制职能； Jensen(1993)进一步分析了美国公司董事会在内部控制方 面失效的表现与原因。从理论上说，企业的内部控制是企 业制度的组成部分，是在企业经营权与所有权分离的条件 下对投资者利益的保护机制。其目的就是保证会计信息 的准确可靠

15、，防止经营层操纵报表与欺诈，保护公司的财 产安全，遵守法律以维护公司的名誉以及避免招致经济损 失等。内部控制的历史起源更早，其要求更为基本，更容 易或适合上升到立法层次。企业风险管理则是在新的技 术与市场条件下对内部控制 的自然扩展。 CDSO在企业 风险管理框架中谈到风险管理的意义时是这样论述的： 企业风险管理应用于战略制定与组织的各层次活动中。 它使管理者在面对不确定性时能够识别、评估和管理风 险，发挥创造与保持价值的作用。风险管理能够使风险偏 好与战略保持一致，将风险与增长及回报统筹考虑，促进 应对风险的决策，减小经营风险与损失，识别与管理企业 交叉风险，为多种风险提供整体的对策，捕捉机

16、遇以及使 资本的利用合理化。 0000 在解释广义的控制与风险时论 述道 : 领导 包括在面对不确定性时作出选择。 风 险 是指个 人或组织在作出选择后遭受不利后果的可能 性。风险正是机会的对应物。 显然，这些论述已经认识 到企业的存在是为股东或利害相关者 (针对非盈利性组织 等 )创造价值的，而价值创造不仅是被动的资产安全等，还 应包括机会的利用。另外，对股东价值的威胁也不仅来自 经营者会计舞弊等内部因素，还包括来自市场的风险等。 技术及市场条件的新进展，推动了内部控制走向风险 管理。在先进的信息技术条件下，会计记录实现了电子控 制、实时更新，使传统的查错与防弊的会计控制显得过时。 然而，风

17、险往往是由交易或组织创新造成的，这些创新来 源于 新兴的市场实践，如安然公司将能源交易大量发展成 类似金融衍生品的交易。另一方面，环境保护及消费者权 益保护的加强，都强化了企业的社会责任，若一有不慎，企 业就可能遭受来自商品市场或资本市场的惩罚，表现为企 业的品牌价值或资本市场上的市值贬损。因此，企业需要 一种日常运行的功能与结构来防范风险，包括遵守法律与 法规，确保投资者对财务信息的信任以及保证经营效率 等。因此，从维护与促进价值创造这一根本功能来看，风 险管理与企业内部控制的目标是一致的，只是在新的技术 与市场条件下，为了更有效地保护投资者利益，需要在 内 部控制的基础上发展更主动、更全面

18、的风险管理。 四、从内部控制走向风险管理 有一种争论，即风险管理包含内部控制，或内部控制 包含风险管理。笔者认为得出什么样的结论并不十分重 要，最重要的是明确风险管理与内部控制之间有重合与联 系的地方。谁的范围更大，可能要随着时间、技术、市场条 件、法律以及监管实践的发展而不同，例如，在内部控制发 展的早期，市场上风险管理的工具与技术条件都不充分 (如计算机系统、统计学理论、数量模型、对冲工具与保险 等 )，这时内部控制包含（替代 )风险管理功能是很自然的。 即使在同一个时代 ，不同的行业各自的侧重点也可能不相 同，例如，在监管严格的金融业或涉及人民生命健康的制 药与医疗行业，风险管理的迫切性

19、更强，企业以风险管理 主导内部控制可能更方便。而在另一些企业，为了符合信 息披露中内部控制报告的要求，企业以内部控制系统为主 导、兼顾风险管理可能更适合。 正因为内部控制与风险管理有内在的联系，各国分别 以不同的方式逐步将内部控制与风险管理联系起来。 2004年 1月 8日，我国有关方面举办了 商业银行风险管 理与内部控制论坛 ，这表明我国银行业也开始将内部控 制与风险管理联系起来。 巴塞尔委员会发布的银行业组织内部控制系统框 架中指出： 董事会负责批准并定期检查银行整体战略及 重要制度，了解银行的主要风险，为这些风险设定可接受 的水平，确保管理层采取必要的步骤去识别、计量、监督以 及控制这些

20、风险 ，这里显然是把风险管理的内容 纳入到内部控制框架中。英国 FSA在综合准则 （ The Conbined Code)中关于内部控制的规定，是第一次在官方 文件里明确将风险管理包含在内部控制之中。该准则指 出，董事会应该保持健全的内部控制系统，以保护股东的 投资及企业的资产 (原则 D.2)。 董事会至少每年一次，检 查企业内部控制系统的有效性，并向股东报告。报告应该 包括所有的控制，如财务的、经营的、遵从的控制以及风险 管理 .2.1) 。这一规则是伦敦交易所上市企业必须要遵 守的。 加拿大注册会计师协会控制标准委员会 （ CDC0)认 CD # JAL Criteria of Cont

21、rol (0000) Board of The Canadian Institute of Qiartered Accountants (1999),l, Guidance for Directors-Dealing with Risk in the Boardroom” ， COCO， Toronto,第 1 页 . Basle Committee (1998)，藥 2 页 . 根据 The Financial Services Authority (FSA) (UK)， 1998: The Conbined Code-Principles of Good Governance and Co

22、de of Best Practice (The Combined Code). 0 48 为控制应该包括风险的识别与减轻 ，其中的风险不仅 包括与实现特定目标相关的风险，而且还包括一般性的， 如不能识别和利用机会，不能使企业在面临未预料到事件 以及不确定信息时保持灵活性或弹性。 1992年 COSO在 内部控制一整体框架中将风险评估作为内部控制的五 个组成要素之一，在最新出台的企业风险管理框架中又 进一步将内部控制扩展为风险管理，明确提出风险管理包 含内部控制。 笔者认为，在实际的经营过程中，风险管理与内部控 制是密不可分的。在规则制定或立法过程中，需要考虑的 是范围与管制的强度，范围越大

23、，管制的要求就会越弱。 对于其核心问题，如财务报告的准确可靠，最适合以立法 的形式来约束，而其他更宽泛的内容则可能更适合于规则 及指南。在企业内部的不同层次，风险管理与内部控制的 主导性相对次序也可能不同，例如，从企业的战略风险依 次到经营风险、财务风险，最后到财务报告，风险管理与内 部控制的相对重要性应该各有不同。在战略风险方面，风 险管理应该发挥主导作用，内部控制起到配合作用。这一 角色逐步逆转，到财务报告层次，应该是内部控制发挥主 导作用，风险管理起到配合作用。 尽管风险管理与内部控制有内在的联系，但 现实中的 或代表目前应用水平的内部控制与风险管理还有不少的 差距。典型的风险管理关注特

24、定业务中与战略选择或经 营决策相关的风险与收益比较，例如，银行业的授信管理 或市场 (价格 ） 风险管理如汇率、利率风险等。典型的内部 控制是指会计控制、审计活动等，一般局限于财务相关部 门。它们的共同点都是低水平、小范围，只局限于少数职 能部门，并没有渗透或应用于企业管理过程和整个经营系 统，因此，有时看上去风险管理与内部控制还是相互独立 的两件事。随着内部控制或风险管理的不断完善和变得 更加全而，它们之间必然相互交叉、融合， 直至统一。 参考文献 1 1 主光远，刘秋明 .公司治理下的内部控制与审计 J.中国注册 会计师 ,2003,（ 2). 2 周兆生 .COSO企业风险管理框架（中文

25、版） R.华融资产管理 公司 .2004. 3 朱荣恩，贺欣 .内部控制框架的新发展一企业风险管理框架 J “审计研宄， 2003, (6). 4 Ccrnmittee of Sponsoring Organizations of the Treadway Commission (COSO). Internal Control - Integrated Framework R . 1992. 5 Cbmmittee of Sponsoring Organizations of the Treadway Commission (OOSO). Enterprise Risk Management

26、Framework (draft) R . 2003. 6 Criteria of Control (COCO) Board of The Canadian Institute of Char- tered Accountants. Guidance for Directors -Dealing with Risk in the Boardrocm R .CXXX), Toronto, 1999. 7 Fama, E. F. andM. C. Jensen. Separation of Ownership and Control J . Journal of Law and Economics

27、， Vol. 26， June 1983 pp. 301 25. 8 Jensen， M. The Modem Industrial Revolution， Exit， and the Failure of Internal Control Systems J .Journal of Finance, July, 1993, PP. 831-880. 9 The Financial Services Authority (FSA) (UK). 1998： The Combined Code Principles of Governance and Code of Best Practice (

28、The Ccm- bined Code) EB/OL . http： /www. fsa. gov. uk/pubs/ukla/lr -ccm- code3 pdf. 10 The Institute of Chartered Accountants in England &Wales(I- CAEW). Internal Control Guidance for Directors on the Combined Code R . ICAEW, London, 1999. 11 The Turnbull Report. Guidance for Directors on the Combin

29、ed Code R . ICAEW, London, 1999. 12 Basle Ccrnmittee on Banking Supervision. Framework for Internal Control System in Banking Organizations R 1998. Internal Control and Risk Management ZHOU Zhao-sheng (China Huarong Assets Management Corporation, Beijing 100045, China) Abstract： Based on the introdu

30、ction to CDSO s reports Internal Control Integrated Framework and Enterprise Risk Management Framework， this paper ccxipares the similarity and distinction of internal control with risk management. The author believes internal control will evolve to risk management. Key Words： CDSO； risk management； internal control r责任编辑：陆惠敏 i 参见 Criteria of (ntrol (TOOT) Board of The Canadian InstiMe of Chartered Accountants (1999)， “Guidance for Directors -Dealing with Risk in the Boardrocm” ， COCO， Toronto，第 9 页 . 49 0