COSO企业风险管理框架.pdf

《COSO企业风险管理框架.pdf》由会员分享，可在线阅读，更多相关《COSO企业风险管理框架.pdf（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、COSOCOSO 企业风险管理框架企业风险管理框架一、导言一、导言中航油巨亏事件中航油巨亏事件,对国内外相关各方都产生了重大冲击和深远影对国内外相关各方都产生了重大冲击和深远影响。由于中航油的国企背景响。由于中航油的国企背景,该事件对我国的国家信用以及我国企业该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件深圳石化原董事长被捕等事件,也给我们提出

2、了一个相同的问题也给我们提出了一个相同的问题:我我们的企业到底出了什么问题们的企业到底出了什么问题?就在此时就在此时,国际著名的反虚假财务报告国际著名的反虚假财务报告委员会委员会(即即TreadayTreaday委员会委员会)于于20042004年年底年年底,针对国际企业界频繁发生针对国际企业界频繁发生的高层管理人员舞弊现象的高层管理人员舞弊现象,废除了沿用很久的企业内部控制报告废除了沿用很久的企业内部控制报告,颁颁布了一个概念全新的布了一个概念全新的 COSOCOSO 报告报告:即企业风险管理总体框架即企业风险管理总体框架(Enterprise Risk Management,(Enterp

3、rise Risk Management,简称简称 ERM)ERM)。此报告虽然保留了部分。此报告虽然保留了部分传统内部控制的某些概念传统内部控制的某些概念,但不论在框架上、但不论在框架上、还是在要素方面还是在要素方面,均有相均有相当大的突破。当大的突破。在如此赞誉之下的新内部控制框架在如此赞誉之下的新内部控制框架,它出台的背景与动机又是什它出台的背景与动机又是什么么?其具体内容究竟是什么其具体内容究竟是什么?它能为我国企业内部控制的改善带来什它能为我国企业内部控制的改善带来什么意义么意义?这是我们需要分析的内容。这是我们需要分析的内容。二、二、COSOCOSO 委员会新报告企业风险管理总体框

4、架解读委员会新报告企业风险管理总体框架解读内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段整体框架四个理论阶段(储稀梁储稀梁,2004),2004)。由美国注册会计师协会。由美国注册会计师协会(AICPA)(AICPA)、美国会计学会、美国会计学会(AAA)(AAA)、财务经理协会、财务经理协会(FEI)(FEI)、国际内部审计、国际内部审计师协会师协会(IIA)(IIA)和管理会计师协会和管理会计

5、师协会(IMA)(IMA)五大学会共同组成的五大学会共同组成的 TreadwayTreadway委员会委员会,于于19921992年发表年发表,并于并于19941994年修订的年修订的 内部控制整体框架内部控制整体框架报告报告,标志着内部控制理论与实践进入了整体框架的新阶段标志着内部控制理论与实践进入了整体框架的新阶段,并被世并被世界上许多企业所采用。尽管如此界上许多企业所采用。尽管如此,理论界和实务界还是认为该内部控理论界和实务界还是认为该内部控制框架有些局限性制框架有些局限性,如对风险强调不够如对风险强调不够,使得内部控制无法与企业的使得内部控制无法与企业的风险管理相结合风险管理相结合(朱

6、荣恩朱荣恩,贺欣贺欣,2003),2003)。20042004 年年 1010 月份发布的企业风月份发布的企业风险管理险管理(Enterprise Risk Management,ERM)(Enterprise Risk Management,ERM)框架就是在框架就是在 19921992 年报告年报告的基础上的基础上,结合萨班斯一奥克斯法案结合萨班斯一奥克斯法案(Sarbanes(SarbanesOxleyOxley Act)Act)的相的相关要求扩展研究得到的。与传统内部控制内容相比关要求扩展研究得到的。与传统内部控制内容相比,新框架有了较多新框架有了较多的变化。这些变化主要包括如下几个方

7、面的变化。这些变化主要包括如下几个方面:(一一)企业风险管理对内部控制内涵的发展企业风险管理对内部控制内涵的发展19921992 年年 COSOCOSO 报告对内部控制的定义是:“内部控制是一个受到报告对内部控制的定义是:“内部控制是一个受到董事会、经理层和其他人员影响的过程董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实该过程的设计是为了提供实现以下三类目标的合理保证现以下三类目标的合理保证:经营的效果和效率、经营的效果和效率、财务报告的可靠性、财务报告的可靠性、法律法规的遵循性。法律法规的遵循性。”内部控制的定义明确了四个要点”内部控制的定义明确了四个要点:(1):(1)是一个

8、过是一个过程程;(2);(2)受人为影响受人为影响;(3);(3)为了达到三个目标为了达到三个目标;(4);(4)合理保证。合理保证。这个定义尽管非常宽这个定义尽管非常宽,但从某种角度来说但从某种角度来说,又比较模糊又比较模糊,存在某些存在某些片面性。故原片面性。故原 COSOCOSO 报告报告 19921992 年出版后不久年出版后不久,就有声音批评该报告缺就有声音批评该报告缺乏保障资产的概念。乏保障资产的概念。例如美国审计总署例如美国审计总署(GAO)(GAO)认为认为,这个文件对于内部这个文件对于内部控制的重要性的强调还不够控制的重要性的强调还不够,它丧失了提高内部控制监督和评估的机它丧

9、失了提高内部控制监督和评估的机会。美国前总审计长查尔斯会。美国前总审计长查尔斯.鲍雪鲍雪(Charles Bowsher)(Charles Bowsher)曾经说:“对有曾经说:“对有要细化的多。要细化的多。由于新由于新 CO.SOCO.SO 报告提出了风险偏好、报告提出了风险偏好、风险容忍度等概念风险容忍度等概念,使得使得 ERMERM 的定义更加明确、具体。同时的定义更加明确、具体。同时,ERM,ERM 又涵盖了内部控制所有又涵盖了内部控制所有合理的内容。合理的内容。(二二)企业风险管理对内部控制目标的发展企业风险管理对内部控制目标的发展在在 19941994 年内部控制整体框架中年内部控

10、制整体框架中,内部控制有三个目标内部控制有三个目标:经营的效果和效率、财务报告的可靠性和法律法规的遵循性。经营的效果和效率、财务报告的可靠性和法律法规的遵循性。ERMERM 整整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外体框架中除了经营目标和合法性目标与内部控制整体框架相似以外,还将“财务报告的可靠性”发展为“报告的可靠性”。原还将“财务报告的可靠性”发展为“报告的可靠性”。原 COSOCOSO 报告报告把财务报告的可靠性界定为“编制可靠的公开财务报表的把财务报告的可靠性界定为“编制可靠的公开财务报表的,包括中期包括中期和简要财务报表和简要财务报表,以及从这些财务报表中摘出的数

11、据以及从这些财务报表中摘出的数据,如利润分配数如利润分配数据”。据”。新报告则将报告拓展到“内部的和外部的”“财务的和非财务新报告则将报告拓展到“内部的和外部的”“财务的和非财务的报告”,该目标涵盖了企业的所有报告。的报告”,该目标涵盖了企业的所有报告。除此之外除此之外,新新 COSOCOSO 报告提出了一类新的目标战略目标。报告提出了一类新的目标战略目标。该目该目标的层次比其他三个目标更高。标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其企业的风险管理在应用于实现企业其他三类目标的过程中他三类目标的过程中,也应用于企业的战略制定阶段。也应用于企业的战略制定阶段。(三三)企业风险管

12、理对内部控制要素的发展企业风险管理对内部控制要素的发展19941994 年年 COSOCOSO 报告内部控制整体框架中报告内部控制整体框架中,提出了五个要提出了五个要素素:控制环境、风险评估、控制活动、信息和沟通、监督。控制环境、风险评估、控制活动、信息和沟通、监督。ERMERM 框架框架对这五个要素进行深化和拓展对这五个要素进行深化和拓展,将其演变为八个要素。将其演变为八个要素。例如例如,ERM,ERM 框架框架引入风险偏好和风险文化引入风险偏好和风险文化,将原有的“控制环境”扩展为“内部环将原有的“控制环境”扩展为“内部环境”。境”。又如又如,虽然内部控制整体框架和虽然内部控制整体框架和

13、ERMERM 框架都强调对风险的评估框架都强调对风险的评估,但风险管理框架建议更加透彻地看待风险管理但风险管理框架建议更加透彻地看待风险管理,即从固有风险和残存即从固有风险和残存风险的角度来看待风险风险的角度来看待风险,对风险影响的分析则采用简单算术平均数、对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项分布等技术来分析最差情形下的估计值或者事项分布等技术来分析(朱荣恩朱荣恩,贺贺欣欣,2003),2003)。再如再如,由于原报告仅提出三个目标由于原报告仅提出三个目标,因此“信息与沟通”中因此“信息与沟通”中的信息仅仅指与这三个目标相关的信息。的信息仅仅指与这三个目标相关的信息

14、。而新的报告包括了与组织的而新的报告包括了与组织的各个阶层、各类目标相关的信息各个阶层、各类目标相关的信息,这就对管理层将巨量的信息处理和这就对管理层将巨量的信息处理和精炼成可控的信息精炼成可控的信息(actionable information)(actionable information)提出了挑战。提出了挑战。原原 COSOCOSO 报告仅提出风险识别报告仅提出风险识别,但是并没有区分风险和机会。但是并没有区分风险和机会。ERMERM框架则将风险定义为“可能有负面影响的事项”,并且引入了风险偏框架则将风险定义为“可能有负面影响的事项”,并且引入了风险偏好、风险容忍度等概念好、风险容忍度

15、等概念,将原有的风险评估这一要素将原有的风险评估这一要素,发展为目标设发展为目标设定、事项识别、风险评估和风险反应四个要素定、事项识别、风险评估和风险反应四个要素,使得原有的内控五要使得原有的内控五要素发展为风险管理八要素。素发展为风险管理八要素。(四四)相关角色和任务的变化相关角色和任务的变化新老新老 COSOCOSO 报告都将组织的董事会、管理层和内部审计和其他职报告都将组织的董事会、管理层和内部审计和其他职员看成是相关责任人。在内部控制框架和员看成是相关责任人。在内部控制框架和 ERMERM 框架中框架中,董事会都提供董事会都提供管理、指引和核查。虽然董事主要提供监督管理、指引和核查。虽

16、然董事主要提供监督,但是也提供指导以及批但是也提供指导以及批准战略、一些特殊交易和政策。董事会既是内部控制的重要因素准战略、一些特殊交易和政策。董事会既是内部控制的重要因素,也也是企业风险管理重要因素。是企业风险管理重要因素。ERMERM 框架使董事会在企业风险管理方面扮框架使董事会在企业风险管理方面扮演更加重要的角色负总体责任演更加重要的角色负总体责任,并且要求其变得更加警惕。企业并且要求其变得更加警惕。企业风险管理的成功与否在很大程度上依赖于董事会风险管理的成功与否在很大程度上依赖于董事会,董事会需要批准组董事会需要批准组织的风险偏好。以前织的风险偏好。以前,当公司出现丑闻时当公司出现丑闻

17、时,很多人问:“管理层怎么让很多人问:“管理层怎么让这发生的”?现在这发生的”?现在,恐怕要问:“董事会怎么让这发生的”?(Dana R恐怕要问:“董事会怎么让这发生的”?(Dana Rhermanson,2003)hermanson,2003)在新报告中在新报告中,CEO,CEO 必需识别目标和战略方案必需识别目标和战略方案,并且将并且将其分类为战略目标、其分类为战略目标、经营目标、经营目标、报告目标和遵循性目标四类。报告目标和遵循性目标四类。每一个每一个业务单元、分部、子公司的领导也需要识别各自的目标业务单元、分部、子公司的领导也需要识别各自的目标,并与企业的并与企业的总体目标相联系总体目

18、标相联系(George Matyjewicz et al,2004)(George Matyjewicz et al,2004)。一旦设定了目。一旦设定了目标标,管理层就需要识别风险和影响风险的事项、评估风险并采取控制管理层就需要识别风险和影响风险的事项、评估风险并采取控制措施。措施。在在 ERMERM 框架中框架中,内部审计人员在监督和评价成果方面承担重要任内部审计人员在监督和评价成果方面承担重要任务。他们必需协助管理层和董事会监督、评价、检查、报告和改革务。他们必需协助管理层和董事会监督、评价、检查、报告和改革ERMERM。对于内审人员来说。对于内审人员来说,最大的挑战是在最大的挑战是在

19、ERMERM 中扮演何种角色中扮演何种角色?很多很多内审人员可能被要求提供内审人员可能被要求提供 ERMERM 的教育和训练的教育和训练,甚至“处理企业风险管甚至“处理企业风险管理过程”。理过程”。但是但是,新报告认为新报告认为:内审人员并不对建立内审人员并不对建立 ERMERM 体系承担主要体系承担主要责任。还有文章提醒内审人员不要行使不匹配的职能。责任。还有文章提醒内审人员不要行使不匹配的职能。(w.R.Kinveg,2003)(w.R.Kinveg,2003)内审人员职责的另一个变化是从原来对内审人员职责的另一个变化是从原来对 CFOCFO 和内和内审委员会负责审委员会负责,现在可能要对

20、现在可能要对 CFOCFO、内审委员会和风险主管、内审委员会和风险主管(risk(riskofficer,CFO)officer,CFO)负责。负责。在在 ERMERM 框架中框架中,新增加了一个角色风险主管或风险经理。风新增加了一个角色风险主管或风险经理。风险主管除了需要和其他管理人员一样险主管除了需要和其他管理人员一样,在自己的职责范围内建立起风在自己的职责范围内建立起风险管理外险管理外,还要帮助其他经理人报告企业风险信息还要帮助其他经理人报告企业风险信息,并可能是风险管并可能是风险管理委员会的成员之一。理委员会的成员之一。三、以反虚假财务报告委员会的企业风险管理总体框架三、以反虚假财务报

21、告委员会的企业风险管理总体框架来解读中航油事件来解读中航油事件中国航油中国航油(新加坡新加坡)股份有限公司是中国航空油料集团公司的海股份有限公司是中国航空油料集团公司的海外控股公司。经国家有关部门批准外控股公司。经国家有关部门批准,新加坡公司在取得中国航油集团新加坡公司在取得中国航油集团公司授权后公司授权后,自自 20032003 年开始做油品套期保值业务。在此期间年开始做油品套期保值业务。在此期间,新加坡新加坡公司总裁陈久霖擅自扩大业务范围公司总裁陈久霖擅自扩大业务范围,从从 20032003 开始从事石油衍生品期开始从事石油衍生品期权交易权交易,同日本三井银行、法国兴业银行、英国巴克莱银行

22、、新加坡同日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外发展银行和新加坡麦戈利银行等在期货交易场外,签订了合同。陈久签订了合同。陈久霖买了“看跌”期权霖买了“看跌”期权,赌注每桶赌注每桶 3838 美元美元,没想到国际油价一路攀升没想到国际油价一路攀升20042004 年年 1010 月以后月以后,新加坡公司所持石油衍生品盘位已远远超过新加坡公司所持石油衍生品盘位已远远超过预期价格。根据合同预期价格。根据合同,中航油需向交易对方中航油需向交易对方(银行和金融机构银行和金融机构)支付保支付保证金证金,每桶油价每上涨每桶油价每上涨 1 1 美元美元,中

23、航油新加坡公司要向这些银行支付中航油新加坡公司要向这些银行支付50005000 万美元的保证金万美元的保证金,其结果导致中航油现金流量枯竭其结果导致中航油现金流量枯竭,实际损失和实际损失和潜在损失总计约潜在损失总计约 5.545.54 亿美元。亿美元。(许俊许俊,2004),2004)事实上事实上,陈久霖这种石油期权投机交易陈久霖这种石油期权投机交易,其股东方中航油集团公其股东方中航油集团公司是明令禁止的。国务院司是明令禁止的。国务院 19981998 年年 8 8 月月 1 1 日国务院关于进一步整顿日国务院关于进一步整顿和规范期货市场的通知、和规范期货市场的通知、20012001 年年 1

24、010 月月 1111 日证监会发布的国有日证监会发布的国有企业境外期货套期保值业务管理制度指导意见企业境外期货套期保值业务管理制度指导意见 都明确规定了取得境都明确规定了取得境外期货业务许可证的企业外期货业务许可证的企业,在境外市场只能进行套期保值在境外市场只能进行套期保值,不能进行不能进行投机业务。投机业务。19991999 年年 6 6 月月 2 2 日国务院发布的日国务院发布的 期货交易管理暂行条例期货交易管理暂行条例,也规定了国有企业的期货交易仅限于从事套期保值业务也规定了国有企业的期货交易仅限于从事套期保值业务(且命令禁止且命令禁止场外交易场外交易),),并要求期货交易总量应当与其

25、同期现货交易量总量相适并要求期货交易总量应当与其同期现货交易量总量相适应。应。然而然而,中航油从事以上交易时中航油从事以上交易时,一直未向中国航油集团公司报告一直未向中国航油集团公司报告,而且中国航油集团也没有发现。而且中国航油集团也没有发现。直到保证金支付问题难以解决、直到保证金支付问题难以解决、经营经营难以为继的情况下难以为继的情况下,新加坡公司才向中国航油集团公司紧急报告。即新加坡公司才向中国航油集团公司紧急报告。即便如此便如此,中航油公司也没有向集团公司说明实情。而且为了掩饰公司中航油公司也没有向集团公司说明实情。而且为了掩饰公司的违法行为的违法行为,中航油开始向上级公司提供假账中航油

26、开始向上级公司提供假账,2004,2004 年年6 6月月,中航油就中航油就已经在石油期货交易上面临已经在石油期货交易上面临 35803580 万美元的潜在亏损。但公司仍然一万美元的潜在亏损。但公司仍然一意孤行意孤行,继续追加了错误方向“做空”资金继续追加了错误方向“做空”资金,但在财务账面上没有任但在财务账面上没有任何显示。由于陈久霖在场外进行交易何显示。由于陈久霖在场外进行交易,集团通过正常的财务报表没有集团通过正常的财务报表没有发现陈久霖的秘密发现陈久霖的秘密,新加坡当地的监督机构也没有发现其有违规现象新加坡当地的监督机构也没有发现其有违规现象,因此因此,才使得中航油事件从一个并不很大的

27、失误开始才使得中航油事件从一个并不很大的失误开始,酿成为石破天酿成为石破天惊的大案、惊的大案、要案。要案。根据上述中航油事件根据上述中航油事件,我们对比我们对比 ERMERM 框架框架,认为有如认为有如下几个方面非常值得关注下几个方面非常值得关注:(一一)关注企业风险比关注企业细节控制更为重要关注企业风险比关注企业细节控制更为重要ERMERM 框架最大的变化框架最大的变化,就是将企业内部控制更名为企业风险管理就是将企业内部控制更名为企业风险管理,这一变化是有特殊意义的。这一变化是有特殊意义的。事实上事实上,包括中航油公司在内包括中航油公司在内,几乎所有的几乎所有的公司都有一大套管理制度。公司都

28、有一大套管理制度。这些制度大到包括对外投资、这些制度大到包括对外投资、小到包括差小到包括差旅费报销等旅费报销等,应有尽有。因此应有尽有。因此,企业董事会与管理层认为企业董事会与管理层认为,这些制度的这些制度的贯彻与执行贯彻与执行,就是内部控制的所有内容。就是内部控制的所有内容。其实其实,企业的管理资源是有限企业的管理资源是有限的、的、控制也是需要成本的。控制也是需要成本的。如果将企业主要精力放在所有细小的、如果将企业主要精力放在所有细小的、或或微不足道的控制上微不足道的控制上,往往会舍本求目往往会舍本求目,如有些企业在差旅费报销的规如有些企业在差旅费报销的规定上定上,长达数十页长达数十页,极其

29、繁琐极其繁琐,表面上控制得很好表面上控制得很好,但浪费了许多管理但浪费了许多管理资源资源,还会忽视企业重大风险。还会忽视企业重大风险。所以所以,ERM,ERM 框架要求董事会与管理层将框架要求董事会与管理层将精力主要放在可能产生重大风险环节上精力主要放在可能产生重大风险环节上,而不是所有细小环节上而不是所有细小环节上,将将风险管理作为内部控制的最主要内容风险管理作为内部控制的最主要内容,这是一个革命性的变化。事实这是一个革命性的变化。事实上上,中航油公司曾在中航油公司曾在 20032003 年被新加坡证券监督部门列为最具透明的年被新加坡证券监督部门列为最具透明的企业企业,说明该企业确实在细节方

30、面的内部控制做得非常周到。但是说明该企业确实在细节方面的内部控制做得非常周到。但是,从事后暴露出的结果来看从事后暴露出的结果来看,恰恰是在经营风险管理上出了问题。所恰恰是在经营风险管理上出了问题。所以以,ERM,ERM 框架要求董事会将主要精力放在风险管理上框架要求董事会将主要精力放在风险管理上,而不是所有细而不是所有细节的控制上节的控制上,是非常值得关注的变化。是非常值得关注的变化。(二二)执行执行 ERMERM 框架比设计内部控制框架更为重要框架比设计内部控制框架更为重要应该说应该说,任何一个公司都或多或少存在一定的内部控制任何一个公司都或多或少存在一定的内部控制,否则否则,公司是无法正常

31、运行的。事实上公司是无法正常运行的。事实上,中航油公司本身也有一整套内部控中航油公司本身也有一整套内部控制制度制制度,为了追求制度的完美为了追求制度的完美,他们还聘请了国际四大会计师事务所他们还聘请了国际四大会计师事务所之一的安永会计师事务所制定了之一的安永会计师事务所制定了 风险管理手册风险管理手册,在该手册中规定在该手册中规定:损失超过损失超过 500500 万美元万美元,必须报告董事会必须报告董事会,并立即采取止损措施等。并立即采取止损措施等。然而然而,当陈久霖在处理期货头寸的过程中当陈久霖在处理期货头寸的过程中,这些规定的流程成为形式这些规定的流程成为形式,设定设定的风险管理体系并没有

32、发挥任何作用。由此可见的风险管理体系并没有发挥任何作用。由此可见,公司在设计内部控公司在设计内部控制时制时,是花了相当大的精力是花了相当大的精力,而在如何保证实施制度方面而在如何保证实施制度方面,则缺乏应有则缺乏应有的措施。这一点的措施。这一点,ERM,ERM 框架有明确指示。为了保证所设计的制度能够框架有明确指示。为了保证所设计的制度能够得到执行得到执行,在在 ERMERM 框架中的第七与第八个要素中框架中的第七与第八个要素中,再一次强调了通过再一次强调了通过控制活动的设置控制活动的设置,建立独立的监督部门来保证框架实施的可行性。这建立独立的监督部门来保证框架实施的可行性。这二要素包括建立、

33、实施某些程序二要素包括建立、实施某些程序,保证有效进行风险反应。控制活动保证有效进行风险反应。控制活动在整个组织的各个层级和各种活动中都发生在整个组织的各个层级和各种活动中都发生,包括对申请和一般信息包括对申请和一般信息技术的控制、组织控制、经营控制、人事控制、定期检查、设施和设技术的控制、组织控制、经营控制、人事控制、定期检查、设施和设备的控制等不同方法。备的控制等不同方法。而监督则指企业整个风险管理过程均应被监督而监督则指企业整个风险管理过程均应被监督,并且在必要时对所发现的偏离进行必要修正。并且在必要时对所发现的偏离进行必要修正。或者通过正在实行的管或者通过正在实行的管理活动以及分别评价

34、风险管理过程理活动以及分别评价风险管理过程,双管齐下来监督其他要素的有效双管齐下来监督其他要素的有效性。性。这些内容均是监督要素的核心。这些内容均是监督要素的核心。事实上事实上,作为一个现代企业组织作为一个现代企业组织,最为忌讳的是最为忌讳的是,在开展业务过程中出现暗箱操作行为在开展业务过程中出现暗箱操作行为,这往往是发生这往往是发生舞弊的前奏。因此舞弊的前奏。因此,将所有业务活动分离出授权、批准、执行、记录将所有业务活动分离出授权、批准、执行、记录及监督及监督,并将这些职能分别授于不同部分执行并将这些职能分别授于不同部分执行,形成一个相互牵制、形成一个相互牵制、相相互制约的过程互制约的过程,

35、是内部控制的精髓。是内部控制的精髓。从中航油事件来看从中航油事件来看,陈久霖作为一陈久霖作为一个管理人员个管理人员,如果其有授权功能如果其有授权功能,按照控制活动原则按照控制活动原则,就不应有执行的就不应有执行的功能。功能。即使其有执行功能即使其有执行功能,按照控制活动原则按照控制活动原则,他就不应有检查与监督他就不应有检查与监督功能。功能。但是但是,在陈久霖越权从事石油金融衍生产品投机过程中在陈久霖越权从事石油金融衍生产品投机过程中,没有任没有任何阻拦与障碍何阻拦与障碍,而在事后还能一手摭天、而在事后还能一手摭天、隐瞒真实信息隐瞒真实信息,足见该公司在足见该公司在职能分工方面职能分工方面,特

36、别是控制活动与监督这两个要素存在严重问题。由特别是控制活动与监督这两个要素存在严重问题。由于存在这些缺陷于存在这些缺陷,所以就很难保证已有设计好的内部控制能够到执所以就很难保证已有设计好的内部控制能够到执行。通常行。通常,在比较规范的海外公司中在比较规范的海外公司中,为了保证内部控制的实施为了保证内部控制的实施,一般一般来说来说,除了财务上必须既向公司总经理汇报除了财务上必须既向公司总经理汇报,又应向董事会汇报外又应向董事会汇报外,还还有一个不受总经理制约的内部审计委员会。通过这些机构的设置有一个不受总经理制约的内部审计委员会。通过这些机构的设置,以以保证董事会不仅有知情权保证董事会不仅有知情

37、权,还有干预权。使得公司的运作是以股东利还有干预权。使得公司的运作是以股东利益最大化为最终目的。益最大化为最终目的。所以所以,从中航油事件中我们得到这样一个教训从中航油事件中我们得到这样一个教训,保证保证 ERMERM 框架的实施框架的实施,比设计一个内部控制更为重要。比设计一个内部控制更为重要。(三三)注意注意 ERMERM 框架中的新要素框架中的新要素:内部环境、目标设定及事件设别内部环境、目标设定及事件设别对比传统的内部控制内容对比传统的内部控制内容,新新 ERMERM 有了四个要素方面的变化。这有了四个要素方面的变化。这四个要素的变化四个要素的变化,对重新认识中航油事件对重新认识中航油

38、事件,可能有一定的借鉴意义。可能有一定的借鉴意义。1.1.将控制环境改变为内部环境将控制环境改变为内部环境传统内部控制将第一要素定义为控制环境传统内部控制将第一要素定义为控制环境,而新而新 ERMERM 框架却将其框架却将其改为内部环境改为内部环境,这一要素的变化体现了企业风险管理的范围更大了这一要素的变化体现了企业风险管理的范围更大了,应该关注的环境视野比过去更广了。在该新要素中应该关注的环境视野比过去更广了。在该新要素中,强调了内部环境强调了内部环境包含了一个组织的气氛包含了一个组织的气氛,形成一个组织的人员识别和看待风险的基形成一个组织的人员识别和看待风险的基础。础。内部环境主要包括内部

39、环境主要包括:风险管理哲学和风险偏好风险管理哲学和风险偏好;员工诚实性和道德员工诚实性和道德观以及企业经营环境。内部环境要素确立了企业的风险文化观以及企业经营环境。内部环境要素确立了企业的风险文化,它既要它既要认可预期发生的事项认可预期发生的事项,也要认可未预期发生的事项。这与传统控制环也要认可未预期发生的事项。这与传统控制环境要素中只关注与控制有关的事项相比境要素中只关注与控制有关的事项相比,有了更丰富的内涵。从中航有了更丰富的内涵。从中航油公司的内部环境来看油公司的内部环境来看,确实存在非常严重的问题。确实存在非常严重的问题。陈久霖败走狮城陈久霖败走狮城,技术层面的原因非常简单。但是深入挖

40、掘技术层面的原因非常简单。但是深入挖掘,企业的内部环境起了很大企业的内部环境起了很大的作用。作为创业性的管理层为主导的企业的作用。作为创业性的管理层为主导的企业,经常会发生“挟企业过经常会发生“挟企业过去优秀业绩去优秀业绩,以令股东”的管理氛围。这样的企业文化、对待风险控以令股东”的管理氛围。这样的企业文化、对待风险控制的态度制的态度,往往以管理层好恶为宗旨。中航油管理层在期货交易中往往以管理层好恶为宗旨。中航油管理层在期货交易中,根本没有意识到风险根本没有意识到风险,而是相信自己的判断而是相信自己的判断:油价冲高后必然会落。油价冲高后必然会落。而而在事情完全败露以后在事情完全败露以后,陈久霖

41、还认为:“只要再有一笔钱陈久霖还认为:“只要再有一笔钱,就能挺过去就能挺过去,就能翻身。就能翻身。”CEO”CEO 如此看待风险如此看待风险,其独断专行之霸气其独断专行之霸气,其企业内部环境其企业内部环境之恶劣之恶劣,可见一斑。而集团公司由于过于看重陈久霖过去为集团公司可见一斑。而集团公司由于过于看重陈久霖过去为集团公司所做的贡献所做的贡献,因此因此,即使知道了陈久霖因场外期货交易发生了严重损即使知道了陈久霖因场外期货交易发生了严重损失失,不仅没有果断采取止损措施不仅没有果断采取止损措施,减少亏损。反而通过出售部分股权减少亏损。反而通过出售部分股权,进一步融资再次进行投机进一步融资再次进行投机

42、,使中航油损失达到了天文数字。使中航油损失达到了天文数字。所以所以,极端极端的风险偏好、的风险偏好、畸形的风险文化和畸形的管理结构体现了中航油极为恶畸形的风险文化和畸形的管理结构体现了中航油极为恶劣的内部环境。劣的内部环境。因此因此,在考虑由创业性管理层建立起来的公司文化时在考虑由创业性管理层建立起来的公司文化时,我们应该专门制定出一套符合中国国情的新企业文化我们应该专门制定出一套符合中国国情的新企业文化,不然的话。类不然的话。类似于中航油事件的灾难还会发生。这是新的似于中航油事件的灾难还会发生。这是新的 ERMERM 给我们的启示。给我们的启示。2.2.目标设定及事件识别要素的创新目标设定及

43、事件识别要素的创新在传统内部控制定义中并没有这二个要素。在传统内部控制定义中并没有这二个要素。但是但是,COSO,COSO 报告在调报告在调查许多大公司舞弊案中发现查许多大公司舞弊案中发现,许多内部控制的失败许多内部控制的失败,往往是在一开始往往是在一开始确立公司目标时就已经铸定了。确立公司目标时就已经铸定了。与此同时与此同时,公司在经营过程中公司在经营过程中,对什么对什么事件应采取什么对策并不清晰事件应采取什么对策并不清晰,特别是高风险事项特别是高风险事项,也采用一般程序也采用一般程序来处理来处理,这也是导致公司内部控制失败的主要成因之一。这也是导致公司内部控制失败的主要成因之一。所以所以,

44、在新的在新的ERMERM 框架中框架中,特别设置了这二个新要素。对比中航油事件特别设置了这二个新要素。对比中航油事件,我们觉得我们觉得,确实有独特的意义。确实有独特的意义。一般来说一般来说,公司在认识到影响其业绩的潜在事项之前公司在认识到影响其业绩的潜在事项之前,必须有一必须有一定的目标。定的目标。ERMERM 使得管理人员能适当的设立目标使得管理人员能适当的设立目标,并且使选择的目标并且使选择的目标能支持、连接企业的使命能支持、连接企业的使命,并与其风险偏好相一致。该要素适用于管并与其风险偏好相一致。该要素适用于管理层在确立目标时考虑风险战略。理层在确立目标时考虑风险战略。目标设立形成了一个

45、组织风险偏好目标设立形成了一个组织风险偏好从高处展望管理层和董事会将接受多大的风险。从高处展望管理层和董事会将接受多大的风险。从中航油的发展从中航油的发展史来看史来看,从从 19971997 年起年起,在经历了两年亏损和两年休眠期后在经历了两年亏损和两年休眠期后,恢复运营恢复运营之后的中航油先后进行了两次战略转型之后的中航油先后进行了两次战略转型:第一次转型是从一家船务经第一次转型是从一家船务经纪公司重新定位为以航油采购为主的贸易公司纪公司重新定位为以航油采购为主的贸易公司,第二次转型是从一个第二次转型是从一个纯贸易型企业发展到以石油实业投资、纯贸易型企业发展到以石油实业投资、国际石油贸易和进

46、口航油采购国际石油贸易和进口航油采购为一体的工贸结合型的实体企业为一体的工贸结合型的实体企业,成为以中国为依托的石油类跨国企成为以中国为依托的石油类跨国企业。业。20012001 年年,在母公司支持下在母公司支持下,中航油以中国航油垄断采购上的概念中航油以中国航油垄断采购上的概念成功登陆新加坡资本市场。然而成功登陆新加坡资本市场。然而,中航油总裁陈久霖并不满足于单纯中航油总裁陈久霖并不满足于单纯的油品现货贸易。在其推动下的油品现货贸易。在其推动下,中航油从上市伊始就开始涉足石油期中航油从上市伊始就开始涉足石油期货。在取得初步成功之后货。在取得初步成功之后,中航油公司管理层在没有向董事会报告并中

47、航油公司管理层在没有向董事会报告并取得批准的情况下取得批准的情况下,无视国家法律法规的禁止无视国家法律法规的禁止,擅自将企业战略目标擅自将企业战略目标移位于投机性期货交易移位于投机性期货交易,这种目标设立的随意性这种目标设立的随意性,以及对目标风险的以及对目标风险的藐视藐视,最终将企业陷入惊涛骇浪之中。最终将企业陷入惊涛骇浪之中。事实上事实上,中航油集团最初在海外中航油集团最初在海外设立上市公司的初衷是非常明确的设立上市公司的初衷是非常明确的,就是为了取得一个价格相对平稳就是为了取得一个价格相对平稳的国际油价。但是的国际油价。但是,这一目标最后却被陈久霖擅自改变为通过投机性这一目标最后却被陈久

48、霖擅自改变为通过投机性场外交易来博击利差的主要手段。场外交易来博击利差的主要手段。可见可见,目标的随意更改目标的随意更改,导致了中航导致了中航油最终受到毁灭性的打击。油最终受到毁灭性的打击。因此因此,在风险防范方面在风险防范方面,目标设立起到非常目标设立起到非常大的作用。大的作用。其次其次,一个组织必须识别影响其目标实现的内、一个组织必须识别影响其目标实现的内、外部事项外部事项,区分哪区分哪些是风险、些是风险、哪些是机会。哪些是机会。可能有负面影响的事项代表了风险。可能有负面影响的事项代表了风险。可能有可能有正面影响的事项代表了能抵消负面作用的机会正面影响的事项代表了能抵消负面作用的机会,通过

49、事项识别通过事项识别,能引能引导管理层战略或者目标始终能保持不被偏离。导管理层战略或者目标始终能保持不被偏离。20022002 年中航油的年报年中航油的年报显示其当年的投机交易盈利显示其当年的投机交易盈利,2003,2003 年下半年年下半年,中航油进入石油期权交中航油进入石油期权交易市场易市场,到年底也赚了钱。到年底也赚了钱。事实上事实上,这正是事项识别中的机会与风险问这正是事项识别中的机会与风险问题。题。当我们看到该事项为公司赚取了大量利润的同时当我们看到该事项为公司赚取了大量利润的同时,应该清醒地认应该清醒地认识到识到,该事项可能产生的巨大风险。该事项可能产生的巨大风险。从最后结果来看从

50、最后结果来看,中航油最终的巨中航油最终的巨亏也是因为期货交易。亏也是因为期货交易。这里就涉及到企业应当如何正确区分机会和风这里就涉及到企业应当如何正确区分机会和风险问题了。险问题了。如果陈久霖能认清形势如果陈久霖能认清形势,在赚取巨额利润时在赚取巨额利润时,清醒地意识到清醒地意识到可能产生的风险可能产生的风险,或许中航油的历史会改写。或许中航油的历史会改写。因此因此,利用事项识别技巧利用事项识别技巧(例如事项目录、流程分析、主要事项指针等例如事项目录、流程分析、主要事项指针等)来区分机会和风险来区分机会和风险,显显得十分重要。这也是新报告中符合时代要求的一个重要要素。得十分重要。这也是新报告中