内部控制与风险治理(2)
2016-02-21 01:09
导读:三、内部控制与风险治理的内在联系 企业制度的演进与风险相关。有限责任制度的确立是企业组织从业主制或合伙制走向现代股份公司制的关键步骤,它
三、内部控制与风险治理的内在联系 企业制度的演进与风险相关。有限责任制度的确立是企业组织从业主制或合伙制走向现代股份公司制的关键步骤,它使股东的家产与企业的财产及企业的经济责任相互独立,股东的变换不再影响企业的信用能力,为股权交易扩大了范围并增加了活动性,从而降低了投资风险并促进了企业融资,造就了今天巨型的股份公司。 为了使股权交易与股东变换不影响企业经营的连续性,也为了使资本与经营能力实现更优的组合,企业的所有权与经营权在现代企业中高度分离开来,由此也带来了新的风险,即职业经营者有可能不履行其受托责任而损害股东的利益。另外,有限责任也有可能诱使企业从事风险过高的项目而损害债权人利益。由于在有限责任下,潜伏的收益主要由企业(股东)获得,而失败即破产的风险则主要由债权人承担。上述风险不是市场化的,可以由市场竞争自发约束或市场交易提供避险,如产品质量或灾难等,而是机制题目,属于组织或交易中的代理题目,需要规则与制度进行规范。这些制度包括企业治理中的责任制度,如财务报告、内部控制及审计等。 内部控制或风险治理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。Fama&Jensen(1983)分析了所有权与经营权分离下董事会的内部控制职能;Jensen(1993)进一步分析了美国公司董事会在内部控制方面失效的表现与原因。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的正确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵遵法律以维护公司的名誉以及避免招致经济损失等。内部控制的起源更早,其要求更为基本,更轻易或适合上升到立法层次。企业风险治理则是在新的技术与市场条件下对内部控制的自然扩展。C0SO在《企业风险治理框架》中谈到风险治理的意义时是这样论述的:“企业风险治理应用于战略制定与组织的各层次活动中。它使治理者在面对不确定性时能够识别、评估和治理风险,发挥创造与保持价值的作用。风险治理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与治理企业交叉风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用公道化。”COCO在解释广义的控制与风险时论述道(3):“‘领导’包括在面对不确定性时作出选择。‘风险’是指个人或组织在作出选择后遭受不利后果的可能性。风险正是机会的对应物。”显然,这些论述已经熟悉到企业的存在是为股东或利害相关者(针对非盈利性组织等)创造价值的,而价值创造不仅是被动的资产安全等,还应包括机会的利用。另外,对股东价值的威胁也不仅来自经营者会计舞弊等内部因素,还包括来自市场的风险等。 技术及市场条件的新进展,推动了内部控制走向风险治理。在先进的信息技术条件下,会计记录实现了控制、实时更新,使传统的查错与防弊的会计控制显得过期。然而,风险往往是由交易或组织创新造成的,这些创新来源于新兴的市场实践,如安然公司将能源交易大量发展成类似金融衍生品的交易。另一方面,环境保护及消费者权益保护的加强,都强化了企业的责任,若一有不慎,企业就可能遭受来自商品市场或资本市场的惩罚,表现为企业的品牌价值或资本市场上的市值贬损。因此,企业需要一种日常运行的功能与结构来防范风险,包括遵遵法律与法规,确保投资者对财务信息的信任以及保证经营效率等。因此,从维护与促进价值创造这一根本功能来看,风险治理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险治理。
四、从内部控制走向风险治理 有一种争论,即风险治理包含内部控制,或内部控制包含风险治理。笔者以为得出什么样的结论并不十分重要,最重要的是明确风险治理与内部控制之间有重合与联系的地方。谁的范围更大,可能要随着时间、技术、市场条件、法律以及监管实践的发展而不同,例如,在内部控制发展的早期,市场上风险治理的工具与技术条件都不充分(如机系统、
统计学理论、数目模型、对冲工具与保险等),这时内部控制包含(替换)风险治理功能是很自然的。即使在同一个,不同的行业各自的侧重点也可能不相同,例如,在监管严格的金融业或涉及人民生命健康的制药与医疗行业,风险治理的迫切性更强,企业以风险治理主导内部控制可能更方便。而在另一些企业,为了符合信息表露中内部控制报告的要求,企业以内部控制系统为主导、兼顾风险治理可能更适合。 正由于内部控制与风险治理有内在的联系,各国分别以不同的方式逐步将内部控制与风险治理联系起来。2004年1月8日,我国有关方面举办了“贸易银行风险治理与内部控制论坛”,这表明我国银行业也开始将内部控制与风险治理联系起来。 巴塞尔委员会发布的《银行业组织内部控制系统框架》中指出:“董事会负责批准并定期检查银行整体战略及重要制度,了解银行的主要风险,为这些风险设定可接受的水平,确保治理层采取必要的步骤往识别、计量、监视以及控制这些风险……(4)”,这里显然是把风险治理的纳进到内部控制框架中。英国FSA(5)在《综合准则》( Combined Code)中关于内部控制的规定,是第一次在官方文件里明确将风险治理包含在内部控制之中。该准则指出,董事会应该保持健全的内部控制系统,以保护股东的投资及的资产(原则D.2)。董事会至少每年一次,检查企业内部控制系统的有效性,并向股东报告。报告应该包括所有的控制,如财务的、经营的、遵从的控制以及风险治理(D.2.1)。这一规则是伦敦交易所上市企业必须要遵守的。 加拿大注册师协会控制标准委员会(C0C0)以为(6)“控制应该包括风险的识别与减轻”,其中的风险不仅包括与实现特定目标相关的风险,而且还包括一般性的,如不能识别和利用机会,不能使企业在面临未预料到事件以及不确定信息时保持灵活性或弹性。1992年COS0在《内部控制-整体框架》中将风险评估作为内部控制的五个组成要素之一,在最新出台的《企业风险治理框架》中又进一步将内部控制扩展为风险治理,明确提出风险治理包含内部控制。 笔者以为,在实际的经营过程中,风险治理与内部控制是密不可分的。在规则制定或立法过程中,需要考虑的是范围与管制的强度,范围越大,管制的要求就会越弱。对于其核心,如财务报告的正确可靠,最适合以立法的形式来约束,而其他更宽泛的内容则可能更适合于规则及指南。在企业内部的不同层次,风险治理与内部控制的主导性相对次序也可能不同,例如,从企业的战略风险依次到经营风险、财务风险,最后到财务报告,风险治理与内部控制的相对重要性应该各有不同。在战略风险方面,风险治理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到财务报告层次,应该是内部控制发挥主导作用,风险治理起到配合作用。 尽管风险治理与内部控制有内在的联系,但现实中的或代表水平的内部控制与风险治理还有不少的差距。典型的风险治理关注特定业务中与战略选择或经营决策相关的风险与收益比较,例如,银行业的授信治理或市场(价格)风险治理如汇率、利率风险等。典型的内部控制是指会计控制、审计活动等,一般局限于财务相关部分。它们的共同点都是低水平、小范围,只局限于少数职能部分,并没有渗透或应用于企业治理过程和整个经营系统,因此,有时看上往风险治理与内部控制还是相互独立的两件事。随着内部控制或风险治理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至同一。 [] [1]王光远,刘秋明。公司治理下的内部控制与审计[J].注册会计师,2003,(2)。 [2]周兆生。C0SO企业风险治理框架(中文版)[R].华融资产治理公司,2004. [3]朱荣恩,贺欣。内部控制框架的新-企业风险治理框架[J].审计,2003,(6)。 [4] Committee of Sponsoring Organizations of the Treadway Commission ( COSO )。 Internal Control - Integrated Framework [ R ]. 1992. [5] Committee of Sponsoring Organizations of the Treadway Commis-sion ( COSO ) . Enterprise Risk Management Framework ( draft) [R].2003. [6] Criteria of Control ( COCO ) Board of The Canadian Institute of Chartered Accountants. Guidance for Directors -Dealing with Risk in the Boardroom[ R]. COCO, Toronto, 1999. [7]Fama, E. F. and M. C. Jensen. Separation of Ownership and Control[J]. Journal of Law and Economics, Vol. 26, June 1983 pp. 301 -25. [8] Jensen, M. . The Modern Industrial Revolution, Exit, and the Failure of Internal Control Systems[ J]. Journal of Finance, July , 1993, PP. 831 -880. [9] The Financial Services Authority ( FSA) (UK)。 1998: The Com-bined Code - Principles of Governance and Code of Best Practice (The Combined Code) [EB/OL]. . pdf. [10] The Institute of Chartered Accountants in England & Wales (ICAEW)。 Internal Control - Guidance for Directors on the Combined Code [R]. ICAEW, London,1999. [11] The Turnbull Report. Guidance for Directors on the Combined Code [ R ]. ICAEW, London, 1999. [12] Basle Committee on Banking Supervision. Framework for Internal Control System in Banking Organizations [R]. 1998. Internal Control and Risk Management ZHOU Zhao-sheng (China Huarong Assets Management Corporation, Beijing 100045,China) Abstract: Based on the introduction to COSO's reports Internal Control - Integrated Framework and Enterprise Risk Management Framework, this *** compares the similarity and distinction of internal control with risk management. The author believes internal control will evolve to risk management. Key Words: COSO; risk management; internal control (1)是指加拿大特许会计师协会(The Canadian Institute of Chartered Accountants,CICA)成立的控制标准委员会(Criteria of ControlBoard,COCO),该委员会于1995年出版了《控制指南》(Guidance on Control)。 (2)Turnbull Report,1999,是指英格兰和威尔士特许会计师协会(ICAEW)受伦敦证券交易所之托提交的《内部控制:综合准则董事指南》(Internal Control-Guidance for Directors on the Combined Code)。 (3)参见Criteria of Control(COCO)Board of The Canadian Institute of Chartered Accountants(1999),“Guidance for Directors-Dealing withRisk in the Boardroom”,COCO,Toronto,第1页。 (4)Basle Committee(1998),第2页。 (5)根据The Financial Services Authority(FSA)(UK),1998:The Combined Code-Principles of Good Governance and Code of Best Practice(The Combined Code)。 (6)参见Criteria of Control(COCO)Board of The Canadian Institute of Chartered Accountants(1999),“Guidance for Directors-Dealing withRisk in the Boardroom”,COCO,Toronto,第9页。
