评价网 > 科教论文 > 管理学毕业论文 > 企业管理论文 > 正文

从中航油事件看企业风险治理

2016-07-13 01:21 [摘要] 本文以为，最近发生在新加坡的中航油事件是内部控制失败的结果。在中航油事件过程中，作者通过鉴戒2004年10月颁布的新COSO报告内容，从内部控制的八个要素角度，逐步剖析了中航油事件发生的根源与过程，为企业如何鉴戒国际企业风险治理，作了一个初步尝试，同时，本文还先容了新的企业风险治理框架颁布的背景、贡献及对我国企业的启示。　　一、导言　　中航油巨亏事件，对国内外相关各方都产生了重大冲击和深远。由于中航油的国企背景，该事件对我国的国家信用以及我国企业海外上市远景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件，也给我们提出了一个相同的：我们的企业到底出了什么题目？就在此时，国际著名的反虚假财务报告委员会（即Treaday委员会）于2004年年底，针对国际企业界频繁发生的高层治理职员舞弊现象，废除了沿用很久的企业内部控制报告，颁布了一个概念全新的COSO报告：即《企业风险治理——总体框架》（Enterprise Risk Management，简称ERM）。此报告固然保存了部分传统内部控制的某些概念，但不论在框架上、还是在要素方面，均有相当大的突破。　　在如此赞誉之下的新内部控制框架，它出台的背景与动机又是什么？其具体内容究竟是什么？它能为我国企业内部控制的改善带来什么意义？这是我们需要分析的内容。　　二、COSO委员会新报告《企业风险治理——总体框架》解读　　内部控制理论是随着企业内控实践经验的丰富而逐渐起来的，大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段（储稀梁，2004）。由美国注册师协会（AICPA）、美国会计学会（AAA）、财务经理协会（FEI）、国际内部审计师协会（IIA）和治理会计师协会（IMA）五大学会共同组成的Treadway委员会，于1992年发表，并于1994年修订的《内部控制——整体框架》报告，标志着内部控制理论与实践进进了整体框架的新阶段，并被世界上很多企业所采用。尽管如此，理论界和实务界还是以为该内部控制框架有些局限性，如对风险夸大不够，使得内部控制无法与企业的风险治理相结合（朱荣恩，贺欣，2003）。2004年10月份发布的企业风险治理（Enterprise Risk Management，ERM）框架就是在1992年报告的基础上，结合《萨班斯一奥克斯法案》（Sarbanes—Oxley Act）的相关要求扩展得到的。与传统内部控制内容相比，新框架有了较多的变化。这些变化主要包括如下几个方面：　　（一）企业风险治理对内部控制内涵的发展　　1992年COSO报告对内部控制的定义是：“内部控制是一个受到董事会、经理层和其他职员影响的过程，该过程的设计是为了提供实现以下三类目标的公道保证：经营的效果和效率、财务报告的可靠性、法规的遵循性。”内部控制的定义明确了四个要点：（1）是一个过程；（2）受人为影响；（3）为了达到三个目标；（4）公道保证。　　这个定义尽管非常宽，但从某种角度来说，又比较模糊，存在某些片面性。故原COSO报告1992年出版后不久，就有声音批评该报告缺乏保障资产的概念。例如美国审计总署（GAO）以为，这个文件对于内部控制的重要性的夸大还不够，它丧失了进步内部控制监视和评估的机会。美国前总审计长查尔斯。鲍雪（Charles Bowsher）曾经说：“对有效控制的最大需求可能是在信贷组合领域。……一份没有丝毫谈及信贷组合的有关内部控制的财务报告是没有任何用处的。”（Craig James L，1993）但当时的COSO主席罗伯特。L.梅（Robert L.May）则以为，保障资产的考虑更适合作为一种经营控制（Steven J Root，2004）。由于美国审计总署的影响巨大（例如可能使银行等以为COSO报告与其无关），假如COSO报告不根据其要求进行修改的话，从一开始就可能面临被抛弃的命运。最后妥协的结果是，在1994年修订后的报告上，提出了“保障资产的内部控制”的概念，即“预防未经授权的获得、使用或处理资产，…”。可见，这一概念是非常委曲地运用在内部控制框架中。而新的ERM框架非常明确了对保护资产概念的运用。　　新报告以为“保护资产”或者“保护资源”是一个广义的概念，资产或资源的损失可能由于偷盗、浪费、无效率或错误的贸易决策等。因此，广义的“保护资产”目标范围集中为特定的报告目标，使得保护资产适用于所有未经授权的获得、使用、处置资产。　　又如，内部控制与治理活动有什么区别？在原报告中并不清楚。有些对错误纠正的治理行为，并不包括在原有COSO报告的内部控制活动之中。而新的ERM框架已经将纠正错误的治理行为明确地列为控制活动之一。　　ERM框架对内部控制的定义明确了以下内容：（1）是一个过程；（2）被人影响；（3）于战略制定；（4）贯串整个企业的所有层级和单位；（5）旨在识别影响组织的事件并在组织的风险偏好范围内治理风险；（6）公道保证；（7）为了实现各类目标。对比原来的定义，ERM概念要细化的多。由于新CO.SO报告提出了风险偏好、风险容忍度等概念，使得ERM的定义更加明确、具体。同时，ERM又涵盖了内部控制所有公道的内容。　　（二）企业风险治理对内部控制目标的发展　　在1994年《内部控制——整体框架》中，内部控制有三个目标：经营的效果和效率、财务报告的可靠性和法律法规的遵循性。ERM整体框架中除了经营目标和正当性目标与内部控制整体框架相似以外，还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公然财务报表的，包括中期和扼要财务报表，以及从这些财务报表中摘出的数据，如利润分配数据”。新报告则将报告拓展到“内部的和外部的”“财务的和非财务的报告”，该目标涵盖了企业的所有报告。　　除此之外，新COSO报告提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高。企业的风险治理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。　　（三）企业风险治理对内部控制要素的发展　　1994年COSO报告《内部控制——整体框架》中，提出了五个要素：控制环境、风险评估、控制活动、信息和沟通、监视。ERM框架对这五个要素进行深化和拓展，将其演变为八个要素。例如，ERM框架引进风险偏好和风险文化，将原有的“控制环境”扩展为“内部环境”。又如，固然内部控制整体框架和ERM框架都夸大对风险的评估，但风险治理框架建议更加透彻地看待风险治理，即从固有风险和残存风险的角度来看待风险，对风险影响的分析则采用简单算术均匀数、最差情形下的估计值或者事项分布等技术来分析（朱荣恩，贺欣，2003）。再如，由于原报告仅提出三个目标，因此“信息与沟通”中的信息仅仅指与这三个目标相关的信息。而新的报告包括了与组织的各个阶层、各类目标相关的信息，这就对治理层将巨量的信息处理和精炼成可控的信息（actionable information）提出了挑战。　　原COSO报告仅提出风险识别，但是并没有区分风险和机会。ERM框架则将风险定义为“可能有负面影响的事项”，并且引进了风险偏好、风险容忍度等概念，将原有的风险评估这一要素，发展为目标设定、事项识别、风险评估和风险反应四个要素，使得原有的内控五要素发展为风险治理八要素。　　（四）相关角色和任务的变化　　新老COSO报告都将组织的董事会、治理层和内部审计和其他职员看成是相关责任人。在内部控制框架和ERM框架中，董事会都提供治理、指引和核查。固然董事主要提供监视，但是也提供指导以及批准战略、一些特殊交易和政策。董事会既是内部控制的重要因素，也是企业风险治理重要因素。ERM框架使董事会在企业风险治理方面扮演更加重要的角色——负总体责任，并且要求其变得更加警惕。企业风险治理的成功与否在很大程度上依靠于董事会，董事会需要批准组织的风险偏好。以前，当公司出现丑闻时，很多人问：“治理层怎么让这发生的”？现在，恐怕要问：“董事会怎么让这发生的”？（Dana R hermanson，2003）在新报告中，CEO必须识别目标和战略方案，并且将其分类为战略目标、经营目标、报告目标和遵循性目标四类。每一个业务单元、分部、子公司的领导也需要识别各自的目标，并与企业的总体目标相联系（George Matyjewicz et al，2004）。一旦设定了目标，治理层就需要识别风险和影响风险的事项、评估风险并采取控制措施。　　在ERM框架中，内部审计职员在监视和评价成果方面承担重要任务。他们必须协助治理层和董事会监视、评价、检查、报告和改革ERM.对于内审职员来说，最大的挑战是在ERM中扮演何种角色？很多内审职员可能被要求提供ERM的和练习，甚至“处理企业风险治理过程”。但是，新报告以为：内审职员并不对建立ERM体系承担主要责任。还有文章提醒内审职员不要行使不匹配的职能。（w.R.Kinveg，2003）内审职员职责的另一个变化是从原来对CFO和内审委员会负责，现在可能要对CFO、内审委员会和风险主管（risk officer，CFO）负责。　　在ERM框架中，新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他治理职员一样，在自己的职责范围内建立起风险治理外，还要帮助其他经理人报告企业风险信息，并可能是风险治理委员会的成员之一。