大华德律会计师事务所程银春 二〇〇九年三月 内部控制与风险管理 大华德律会计师事务所程银春 二〇〇九年三月
一、全球内部控制制度的标准和立法 1985年美国为了遏制日益猖獗的会计舞弊活动,成立了一个反财务舞弊委员会,调查导致会计舞弊活动的原因,并提出了解决方案。该方案强调了内部控制的重要性,建议要求所有的上市公司都应该在其年报中提供内部控制报告。报告内容包括承认管理当局对财务报告和内部控制负有责任,并讨论这些责任的履行情况,在反财务舞弊委员会结束其使命以后,该委员会的五个发起组织联合成立了一个新的委员会——反财务舞弊委员会的发起组织委员会(简称COSO)。它由美国公共注册会计师协会、美国会计协会、国际会计协会、国际财务管理人员协会、内部审计协会、国际会计协会联合发起。COSO继续研究并于1992年发布了一份关于内部控制的纲领性文件,即《内部控制—整体框架》。COSO提出的报告得到了美国联邦储备局、美国证券交易委员会、巴塞尔委员会等监管机构或国际组织的认可与采纳,其中的许多定义、建议及思想被吸收到立法与规则的制定中,在全世界范围内产生了广泛影响。
一、全球内部控制制度的标准和立法 2001年年底以来,美国爆发了以安然、世通、施乐等公司财务舞弊案为代表的会计丑闻,重创了美国资本市场和经济,同时也集中暴露了美国公司在内部控制上存在的问题。美国国会和政府加速通过了《萨班斯法案》(简称SOX法案)。该法案对美国《1933年证券法》、《1934年证券交易法》作了不少修改,在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。美国总统布什在签署“SOX法案”的新闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。
二、国内内部控制制度的建设 在国内,银广厦、中航油、蓝天股份等内部控制失败的案例同样令人触目惊心,越来越多的业内人士认识到企业自身的内部控制制度、监督管理系统的有效性是防范舞弊行为的关键。 在全球提高公司透明度、重新审视公司治理结构的风暴中,对于国内企业来说,借鉴国际通用的内部控制框架及国际最佳实践经验,构建一套系统化、标准化、可审计、可持续改进的内部控制系统已经迫在眉睫: 1、2000年中国证监会发布《公开发行证券公司信息披露编报规则》1、3、5号; 2、2001年1月,证监会发布《证券公司内部控制指引》; 3、2001年6月22日,财政部发布《内部会计控制规范——基本规范》(试行)和《内部会计控制规范——货币资金》(试行); 4、2001年10月证监会发布《关于做好证券公司内部控制评审工作的通知》;
二、国内内部控制制度的建设 5、2002年财政部发布独立审计实务公告《内部控制审核》; 6、2002年2月中国注册会计师协会发布《内部控制审核指导意见》; 7、2004年8月银监会《商业银行内部控制评价试行办法》; 8、2005年4月1日国资委《关于在国有重点企业加强法律风险防范的倡议书》; 9、2005年11月,证监会发布《关于提高上市公司质量的意见》; 10、2006年1月,证监会发布《证券公司风险控制指标管理办法》; 11、2006年2月,中国注册会计师协会发布《中国注册会计师执业准则》; 12、2006年6月,上海证券交易所发布《上海证券交易所上市公司内部控制指引》; 13、2006年6月,国资委《中央企业全面风险管理指引》;
二、国内内部控制制度的建设 14、2007年3月,财政部印发《企业内部控制规范——基本规范》和17项具体规范(征求意见稿); 15、2008年6月,财政部、证监会、审计署、银监会和保监会联合发布《企业内部控制基本规范》,同时还发布《企业内部控制应用指引》和《企业内部控制评价指引》征求意见稿。
三、企业的风险管理 (一)企业风险的概念 企业风险,指未来的不确定性对企业实现其经营目标的影响。 (二)企业风险的类型 1、战略风险 ① 宏观经济政策和经济运行情况、本行业状况、产业政策 ② 科技进步、技术创新 ③ 市场或服务需求 ④ 战略合作 ⑤ 客户、供应商及主要竞争对手 ⑥ 经营发展战略计划的制定依据、投融资计划、经营目标
三、企业的风险管理 2、财务风险 ① 负债及偿债能力 ② 现金流及资金周转情况 ③ 流动资产的占用及企业信用能力 ④ 预算支出情况 ⑤ 盈利能力 ⑥ 主要会计政策 ⑦ 财务核算内部控制的薄弱环节
三、企业的风险管理 3、市场风险 ① 产品或服务的价格及供求关系 ② 能源及主要原材料的供应、价格变化 ③ 主要客户及供应商的企业信用状况变化 ④ 税收政策、汇率变化 ⑤ 市场占有率变化及替代品影响 4、运营风险 ① 产品结构及新产品开发 ② 营销策略及新市场开发 ③ 企业的管理架构及管理层能力
三、企业的风险管理 ④ 管理环节的内控薄弱环节 ⑤ 道德风险 ⑥ 监督和提交、改善管理的能力 5、法律风险 ① 政治、法律环境 ② 新法律法规及政策 ③ 员工的素质及道德观念 ④ 重大协议或承诺 ⑤ 法律纠纷 ⑥ 知识产权
三、企业的风险管理 (三)企业的全面风险管理 1、企业的全面风险管理的概念 指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
三、企业的风险管理 2、风险管理的基本流程 ① 收集风险管理的初始信息; ② 进行风险评估; ③ 制定风险管理策略; ④ 提出和实施风险管理解决方案; ⑤ 风险管理的监督和改进。
四、内部控制与风险管理的比较 内部控制与风险管理有着密切联系,内部控制是风险管理的一部分。权威的有关企业风险管理的相关标准为美国COSO于2003年出台的《企业风险管理框架》。 COSO对内部控制与风险管理的定义及其组成要素分别是: 内部控制:企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。 风险管理:企业风险管理是一个过程,是由企业的董事会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理的保证。它有八个组成要素:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。
四、内部控制与风险管理的比较 从COSO的两份报告来看,企业风险管理与内部控制有以下相似或不同之处: 第一,它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。 第二,它们都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。 第三,它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类,其中三类与内部控制相重合,即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括经营目标)制定过程。
四、内部控制与风险管理的比较 第四,风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部)环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中,内涵也有所扩展,例如,内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好(risk appetite)和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。
四、内部控制与风险管理的比较 第五,风险管理提出了风险组合与整体风险管理(integrated risk management)的新观念。《企业风险管理框架》借用现代金融理论中的资产组合理论,提出了风险组合与整体管理的观念,要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门,并考虑到风险事件之间的交互影响,防止两种倾向:一是部门的风险处于风险偏好可承受能力之内,但总体效果可能超出企业的承受限度,因为个别风险的影响并不总是相加的,有可能是相乘的;二是个别部门的风险暴露超过其限度,但总体风险水平还没超出企业的承受范围,因为事件的影响有时有抵消的效果。此时,还有进一步承受风险,争取更高回报与成长的空间。按照风险组合与整体管理的观点,需要统一考虑风险事件之间以及风险对策之间的交互影响,统筹制定风险管理方案。
五、内部控制与风险管理的内在联系 企业制度的发展演进与风险相关。有限责任制度的确立是企业组织从业主制或合伙制走向现代股份公司制的关键步骤,它使股东的家产与企业的财产及企业的经济责任相互独立,股东的变换不再影响企业的信用能力,为股权交易扩大了范围并增加了流动性,从而降低了投资风险并促进了企业融资,造就了今天巨型的股份公司。 为了使股权交易与股东变换不影响企业经营的连续性,也为了使资本与经营能力实现更优的组合,企业的所有权与经营权在现代企业中高度分离开来,由此也带来了新的风险,即职业经营者有可能不履行其受托责任而损害股东的利益。另外,有限责任也有可能诱使企业从事风险过高的项目而损害债权人利益。因为在有限责任下,潜在的收益主要由企业(股东)获得,而失败即破产的风险则主要由债权人承担。上述风险不是市场化的,可以由市场竞争自发约束或市场交易提供避险,如产品质量或自然灾害等,但是机制问题,属于组织或交易中的代理问题,需要规则与制度进行规范。这些制度包括企业治理中的责任制度,如财务报告、内部控制及审计等。
五、内部控制与风险管理的内在联系 内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早,其要求更为基本,更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。C0SO在《企业风险管理框架》中谈到风险管理的意义时是这样论述的:“企业风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别管理风险 ,
五、内部控制与风险管理的内在联系 为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。”“风险”是指个人或组织在作出选择后遭受不利后果的可能性。风险正是机会的对应物。显然,这些已经认识到企业的存在是为股东或利害相关者(针对非盈利性组织等)创造价值的,而价值创造不仅是被动的资产安全等,还应包括机会的利用。另外,对股东价值的威胁也不仅来自经营者会计舞弊等内部因素,还包括来自市场的风险等。
五、内部控制与风险管理的内在联系 技术及市场条件的新进展,推动了内部控制走向风险管理。在先进的信息技术条件下,会计记录实现了电子控制、实时更新,使传统的查错与防弊的会计控制显得过时。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的社会责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业需要一种日常运行的功能与结构来防范风险,包括遵守法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。
六、从内部控制走向风险管理 有一种争论,即风险管理包含内部控制,或内部控制包含风险管理。实际上风险管理与内部控制之间有重合与联系的地方。谁的范围更大,可能要随着时间、技术、市场条件、法律以及监管实践的发展而不同,例如,在内部控制发展的早期,市场上风险管理的工具与技术条件都不充分(如计算机系统、统计学理论、数量模型、对冲工具与保险等),这时内部控制包含(替代)风险管理功能是很自然的。即使在同一个时代,不同的行业各自的侧重点也可能不相同,例如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险管理的迫切性更强,企业以风险管理主导内部控制可能更方便。而在另一些企业,为了符合信息披露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险管理可能更适合。
六、从内部控制走向风险管理 正因为内部控制与风险管理有内在的联系,各国分别以不同的方式逐步将内部控制与风险管理联系起来。2004年1月8日,我国有关方面举办了“商业银行风险管理与内部控制论坛”,这表明我国银行业也开始将内部控制与风险管理联系起来。 在实际的经营过程中,风险管理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度,范围越大,管制的要求就会越弱。对于其核心问题,如财务报告的准确可靠,最适合以立法的形式来约束,而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险管理与内部控制的相对重要性应该各有不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用。
六、从内部控制走向风险管理 尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信管理或市场(价格)风险管理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部门。它们的共同点都是低水平、小范围,只局限于少数职能部门,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制还是相互独立的两件事。随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
谢谢!