内部控制、公司治理、风险管理:关系与整合
来源:网络 时间:2022-03-19
【摘要】为了控制企业可能存在的风险,在企业的发展过程中,相继产生了内部控制、公司治理和风险管理等框架。关于三者关系理论界和实务界一直都在进行争论,但时至今日并未达成统一的认识,特别伴随COSO《企业风险管理———整体框架》的发布以及我国财政部《企业内部控制规范———基本规范》的出台,三者关系的讨论就不仅仅是理论问题,而是实践中必须要解决的问题了。本文从历史回顾和逻辑推理的角度,探讨了三者本质的相同性,以此为基础,对三者进行了整合,构建了基于风险管理的整合框架。这既避免了企业管理体系的交叉、重复,又实现了各种管理体系的一体化。
【关键词】内部控制 公司治理 风险管理 关系 整合。
一、导论。
随着公司制企业的建立,频频爆发舞弊丑闻。同时,公司面临的经营和财务风险不断增加,风险程度不断提高,以致公司破产不断出现。在现代企业制度的建立与发展的同时,公司舞弊防范、经营和财务风险的防范就成为了现代企业制度所必需面临和解决的问题。为此,理论界和实务界提出了内部控制、公司治理和风险管理的各种控制规范和控制措施。这些控制规范和控制措施不仅在企业层面也在国家层面、甚至国际层面制定,制定的主体也出现了企业、民间和政府同心协力的局面,在我国主要采取政府以行政法规的形式制定。但根本的问题仍然在于内部控制、公司治理、风险管理这三者到底是何种关系,如果这三者所要解决的问题从根本上说是一致的,就没有必要制定三种控制规范,只会导致企业控制重复进行,并使企业控制成本增加。特别当三个规范的制定主体不相同时,还会导致企业遵循这些规范时变得无所适从;如果这三者所要解决的问题从根本上说是不一致的,那么在制定这三种规范时必须找到他们的边界,这意味着每一种控制的对象不可以交叉,也不可以留下控制真空。所以研究三者的关系对于建立有效的企业控制体系,或者更直接的说对于建立和完善现代企业制度关系重大。
二、内部控制、公司治理、风险管理:三者关系论争的回顾。
关于三者的关系,学界已经进行过一些研究与探讨,归结起来主要有以下结论:
1.内部控制是公司治理的基础,而风险管理包含内部控制。杨雄胜(2005)认为,没有系统而有效的内部控制,公司治理将成为一纸空文,而内部控制是实现公司治理的基础设施建设。在2004年的美国银行管理学会(BankAdministration Institute)信托风险管理年会上,联邦储备委员会(Governor ofFederalReserve Board)理事Susan SchmidtBies在题为“公司治理中的当前问题”的发言中谈到,董事有责任监督内部控制过程,唯此才能去合理预期他们的指示是否得到完全的遵循(Susan SchmidtBies, 2004)。她认为进行公司治理的前提是落实内部控制。
而认为风险管理包含内部控制则在COSO的最新报告中得到了明示:风险管理包含内部控制;内部控制是风险管理不可分割的一部分。COSO认为风险管理有八个要素组成:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。而内部控制有五个要素组成:控制环境、风险评估、控制活动、信息与沟通、监督。显然内部控制包含在风险管理之中。英国Turnbull委员会(2005)认为,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。①南非的King IIReport (2002)认为传统的内部控制系统不能管理许多风险,譬如政治风险、技术风险和法律风险,风险管理将内部控制作为减轻和控制风险的一种措施,是一个比内部控制更为复杂的过程。英国内部审计师协会(1999)、Campion、Antita (2000), Gerrit Sarens、Ignace De Beelde(2005),澳大利亚证券交易所(Australian Stock Exchange)也明确提出了风险管理包含内部控制的观点。
不难看出,内部控制是公司治理的基础,没有内部控制,公司治理无从谈起,而风险管理又包含内部控制,进一步推论也就是风险管理是公司治理的基础。从理论上说,基础相对于建立在基础之上之物是须臾不可分离的,就像墙基与墙体的关系一样,实质上他们是一体的。
2.公司治理是内部控制的环境要素之一,是内部控制的前提,而风险管理包含内部控制。阎达五、杨有红(2001)认为随着公司治理机制的完善,内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系。黄世忠(2001)提出,如果不强化公司治理结构的基础建设,要建立、健全内部控制以确保会计信息的真实、完整只能是奢谈。吴水澎和陈汉文等(2000)、张安明(2002)、李明辉(2003)、程新生(2004)在相关研究中均持相似观点。
正如上述,由于风险管理包含内部控制,也就进一步推论公司治理也是风险管理(含内部控制)的前提。如果公司不强化治理结构的基础建设,就很难有效地进行风险管理。实际上,公司治理不完善有效本身就是一种风险。
3.内部控制与公司治理是你中有我、我中有你的嵌合关系,而风险管理包含内部控制。王蕾(2001)认为,内部控制与公司治理具有高度的相关性,一个健全的内部控制机制实际上是完善的公司治理结构的体现。反过来,内部控制的创新和深化也将促进公司治理的完善和现代企业制度的建立。李连华(2005)指出,内部控制与公司治理这两个管理系统在主体、目标和内容上有着很多重合点,将二者的关系理解为主体与环境的关系,是不符合他们彼此之间的依赖性、重合性的特征的。他认为内部控制与公司治理不是内部与外部、主体与环境的关系,而是“你中有我、我中有你”的相互包含关系,因此“嵌合论”更能准确地描述公司治理结构和内部控制的相互关系。
由于风险管理包含内部控制,就可以进一步推论公司治理与风险管理的关系是你中有我、我中有你的相互包含关系。
就内部控制与风险管理的关系而言,也有内部控制包含风险管理的观点。加拿大COCO报告(CICA,1995)认为,“控制”是一个组织中支持该组织实现其目标诸要素的集合体,实质上就是“内部控制”。
COCO的报告认为,风险评估和风险管理是控制的关键要素。CICA (1998)将风险定义为“一个事件或环境带来不利后果的可能性”,阐明了风险管理与控制的关系:“当您在抓住机会和管理风险时,您也正在实施控制”。这种认识与前述内部控制与公司治理的三种关系相匹配,可以得出与前面三者关系基本类似的结论。
此外内部控制与风险管理的关系还有第三种观点,即内部控制就是风险管理。Blackburn (1999)认为风险管理与内部控制仅是人为的分离,而在现实的商业行为中,它们是一体化的。Matthew Leitch(2004)认为,理论上,风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,正在变为同一事物。正由于内部控制就是风险管理,所以与上述内部控制与公司治理的三种关系想匹配,可以得出与前者完全相同的结论。
从上面论争的回顾中可以看出,内部控制、公司治理与风险管理三者的关系是密不可分的,它又表现为三种形态:第一种是互为前提关系,第二种是相互包含关系,第三种是等同关系。既然三者的关系是如此之密切,甚至是完全等同,这就向我们提出了一个重要的问题:如果我们在制定三种规范时,由不同的主体来制定并各自为政,就会在企业执行层面造成制度的重叠和执行的反复。为此,如果我们能证明这三者确实具有基本的相似以致完全的相同性,我们就有必要对这三种规范进行整合。
三、内部控制、公司治理、风险管理:三者关系是异是同
尽管对三者的关系有各种不同的看法,但理论界和实务界都基本一致地认为,三者是密不可分甚至是完全相同的。我们认为尽管三者在文字表述上存在差异,但就其实质而言是相同的。为了说明这一点有必要从历史和逻辑的统一中进行论证。
从历史的演变来看,三者具有同一性。按照历史演变的时间顺序,先有内部控制,而后出现公司治理,最后提出风险管理。与公司治理相比,内部控制思想和实践历史更悠久,它是伴随着企业的实践而产生的。
在早期的企业中,由于群体劳动和分工的结果,为了保证财物的安全,在企业内部实行了相互牵制,从而形成了内部牵制的实践。在15世纪,随着资本主义企业的发展和复式记账法的出现,以账目间的相互核对为主要内容、实行职能分离的内部牵制开始得到广泛应用,内部牵制不仅保证财物的安全,也保证会计信息的真实性。由于早期的内部牵制主要是指企业的业务活动必须经过两个或以上的分工的部门,以及两个或以上的权力层次,以形成相互制衡。这时的内部牵制的内涵和外延相对狭小。
内部控制作为一个专门的术语是基于审计实践的需要,由审计人员从评价企业的控制活动中抽象出来的,并受到人们的广泛重视。1949年,美国注册会计师协会(AICPA)的审计程序委员会首次对内部控制进行了定义,此后,该委员会又多次对内部控制的内涵和外延进行定义,但整体上看,这时的内部控制主要是从财务审计的角度立足于查错防弊的目的进行定义的,尽管如此,此时的内部控制本身已经超出了内部牵制的内涵和外延,包涵了一些属于管理控制的内容。
20世纪60年代以来,大量公司倒闭或陷入财务困境,诱发了审计“诉讼爆炸”,导致了审计风险大大增加以及对“内部控制”的怀疑,这使得审计不仅仅利用内部控制作为审计重点的选择方法,而且要对企业内部控制制度本身进行评价。这就使得内部控制不仅停留在其内涵和外延的定义上,更要确定内部控制的基本结构,以此才能对企业的内部控制进行评价。AICPA于1988年正式以“内部控制结构”这一概念代替了“内部控制”,提出了内部控制结构三个基本要素:控制环境、会计制度和控制程序。这一发展使内部控制的研究重点从一般涵义引向具体内容,从而更加反映了内部控制自身的性质。不难看出,这个时期对内部控制的研究进入了其具体内容,同时有关管理控制的内容也不断完善。
为了进一步提高财务报告的质量,探讨舞弊性财务报告包括内部控制制度不健全的问题, 1985年,由美国会计学会(AAA)、美国注册会计师协会(AICPA)、财务经理协会(FEI)、国际内部审计人员协会(IIA)及管理会计师协会(IMA)共同赞助成立了“反对虚假财务报告委员会”(Treadway委员会),之后在Treadway委员会的建议下,又组成了一个专门研究内部控制问题的机构——— “发起组织委员会”(COSO)。1992年, COSO发布了《内部控制———整体框架》的研究报告,将内部控制定义为由董事会、经理层和其他员工共同实施的,为营运效率、财务报告的可靠性和相关法规的遵守等目标的达成而提供合理保证的过程,并把内部控制整体框架区分为控制环境、风险评估、控制活动、信息与沟通、监督等五个互为关联的组成部分。显然,这个内部控制的整体框架,在控制实施主体上不仅关注企业的员工,而且更加关注董事会和经理层(控制实施的主体可以理解为控制主体和受控主体,在内部控制中这两者是不可分割的);在控制范围上不仅关注企业内部控制,也关注控制环境;在控制的目标上不仅是财产的安全、财务报告的可靠性和相关法规的遵循性,而且更加关注营运效率的提高;在控制的内容上不仅关注会计控制,而且更加关注管理控制;在控制的框架的分类上,也由过去的按控制的内容分类转换为按控制的过程分类,在控制过程的每一环节,又按财物安全、报告真实、行为合规、经营有效等控制目标分类。
1992年COSO提出的整体框架在内部控制的内容和程序上已经相对完善,但理论界与实务界还是认为其对风险强调不够,无法使得内部控制与风险管理很好地结合。1999年的特恩布尔报告在COSO报告的基础上,分析了合理的内部控制系统应具备的特征和包含的要素,在此基础上设计了评价内部控制系统要素有效性的一系列标准,使得公司能够按照适合外部环境的方式构建和实施内部控制。为了适应21世纪企业环境对内部控制的要求以及风险管理的需要, COSO于2004年9月正式颁布了《企业风险管理———整体框架》,其中指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制,并形成一个(比内部控制)更为广泛的管理概念和工具”。比之于1992年的《内部控制———整体框架》
发生了以下变化:在内部控制目标上增加了战略目标;在控制内容上增加了风险控制;在控制的环节上将原来的“风险评价”被拓展为“目标设定、风险识别、风险评估和风险应对”四个。不难看出,新框架直接凸显风险管理。对风险的控制不仅面向过去,而且也面向未来,使得风险管理不仅贯穿于作业层次也贯穿于管理层次,不仅贯穿于战术层次也贯穿于战略层次,不仅贯穿于执行层次也贯穿于决策层次。可以认为《企业风险管理———整体框架》是涉及到企业全要素、全过程、全层次的风险控制。
从内部控制的历史变迁中可以看出,最早的内部牵制本身就是基于企业财物的安全性和信息的真实性的需要而产生的,而财物不安全和信息不真实正是当时企业面临的基本风险。相对而言,当时的市场变化较小,市场结构相对单一,企业规模也相对较小,企业经营结构相对单一,这意味着当时企业的经营风险包括战略风险都不是主要的风险。尽管如此,至少仍然可以看出,内部牵制是基于对财产不安全和信息不真实风险的控制需要而产生的,内部牵制本身就是控制风险,而控制风险就是风险管理。所以内部控制是以风险管理为起点的。在后来的发展中,内部控制几经变迁,其控制的目的由财物的安全性、信息的真实性进一步扩展至经营效率以至战略的正确性;其控制的层次由企业员工层面向经理层和董事会(甚至包括股东大会)提升。但无论怎样变化风险管理是贯穿内部控制的核心主线,只是其风险管理的目标、内容和层次伴随企业的环境、企业经营的模式以及企业制度的变迁而变化。
自19世纪末以来,公司制企业成为了发展最快、数量最多的企业形式之一。公司制企业比之自然人企业,在组织架构上必然设立股东大会、董事会和经理层,如果说在自然人企业内部控制的对象是企业内部的员工,那么在公司制企业中由于组织层级的增加,使得控制的对象必然由员工层次上升到经理层、董事会以至股东大会。事实上,在20世纪公司制企业的发展过程中的,发达国家公司的内部人控制相当严重,经理人背德、逆向选择、决策失误、以及大股东一股独大导致决策非理性、侵占小股东利益等问题使得大量公司失败,为了解决这一问题,理论和实务界提出了公司治理的理论与方法,形成了公司治理的规范。公司治理包括外部治理和内部治理,这里的公司治理规范主要是就内部治理而言的。公司治理的目标也是要保证各层次的受托者不得背叛委托者,这里的背叛包括侵吞财物、信息欺诈;公司治理的另一目标也是要保证各层次的受托者理性地决策,这里的理性决策首先要求受托者不得逆向选择,也要求在识别企业各种风险的基础上做出正确的战略选择和经营决策。所以非常巧合的是,公司制企业内部控制制度的控制目标拓展和控制层次提升的趋势与公司内部治理的治理目标和治理层次具有几乎完全拟合的特征,也就是由于公司制企业的特点使得内部控制必须适应这种特点。尽管理论和实务界单独研究和实践了公司内部治理,但本质上仍然是为了控制风险,只是这种风险控制是基于新出现的公司组织层次,以及这些层次所要进行的行为(战略选择与经营决策)的。通过内部控制目标拓展和控制层次的提升就可以达成公司内部治理的要求,两者可以合二为一。
此外,现代内部控制更加关注内部控制环境,历史地看,从内部牵制开始至今,内部控制环境本身都是内部控制所要考虑的因素,只是伴随现代公司制企业的出现,企业越来越成为一个开放系统,外部环境对公司的影响越来越至关重要,影响的内容、影响的方式也发生了重大变化。外部环境的影响对公司的风险、特别是内部风险的形成的密切程度和作用程度不断上升,所以现代内部控制为了有效地控制风险,必然更加关注风险的形成源头,进而把外部环境分析作为内部控制的重要一环。
最后,《内部控制———整体框架》升级为《企业风险管理———整体框架》,之所以能够发生这种转化,根本原因在于内部控制的最终目的就是为了控制风险,从语义上说,内部控制就是控制风险,控制风险就是风险管理。所以内部控制和风险管理是控制风险的两种不同语义表达形式。内部控制主要是从风险控制的方式和手段说明风险控制的,风险管理就是从风险控制的目的来说明风险控制的。内部控制所描述的风险控制的方式和手段已经内含了风险控制的目的,没有目的的控制方式和手段是毫无用处的;风险管理所描述的是风险控制的目的也内含了风险控制的方式和手段,没有控制方式和手段的控制目的是无法实现的。事实上,从《内部控制———整体框架》和《企业风险管理———整体框架》的内容看,他们就是控制目的、控制方式和控制手段的统一。当然,《企业风险管理———整体框架》作为《内部控制———整体框架》更高阶段的规范,一定会有其新的内容,就是凸显风险管理自身,这表现在该框架的内容上就是将原来的“风险评价”拓展为“目标设定、风险识别、风险评估和风险应对”。这表明风险管理确实把风险本身作为一个特定的要素进行管理,而以前的内部控制只是把风险控制作为一个控制目标。既然把风险本身作为一个特定的要素进行管理,就必然涉及风险管理目标的设定(风险的容忍度)、风险识别、风险评估和风险应对一个完整的风险管理过程。事实上,在内部控制中,每一个被控风险要素都必须经历这四个风险管理的环节,也就是风险管理程序。除此而外,现代公司制企业面临的风险是过去的自然人企业所无法企及的,特别是战略风险和经营风险。在长期的风险控制的实践中,企业发现,有的风险可以避免,有的风险可以消除,有的风险只能控制在合理水平,有的风险只能承受(单个企业承受或多个企业分担)。
由此,在《企业风险管理———整体框架》中明确指出,管理当局必须采取一系列行动,以便把风险控制在主体的风险容忍度之内。之所以产生风险的容忍度主要是基于风险产生的成本与收益之间的比较。由于风险容忍度的形成,风险控制就不仅仅是让风险不能发生,而是在一定的条件下允许存在一定的风险,这样就产生了把风险作为一个单独的管理要素的必要,以至企业必须设定风险管理的目标即风险的容忍度,并以此来进行风险识别、风险评估和风险应对。
纵观历史的发展过程,无论是内部控制、公司治理还是风险管理,都是为了控制企业可能面临的各种风险而产生的,伴随企业由自然人企业向公司制企业过渡,企业的组织层次发生变化,相应的风险控制也由员工层次向经理层、董事会以至股东大会转换,风险控制也由内部控制发展为公司治理;并且,在企业较高层次,其主要的职责是经营决策,所以公司治理更多地关注决策理性,也就是决策非理性的风险;早期企业面临的主要风险是财物侵吞和信息欺诈风险,风险控制的主要任务是保证财产安全和信息真实,而现代企业财物的安全控制体系和信息体系不断地建立健全,企业面临的主要风险已转变为市场竞争风险,所以风险控制就更加关注战略风险和经营风险;同时,长期的企业实践使人们相信,企业不可能完全避免和消除风险,企业必须承担某些风险,有的风险只能控制在可容忍的水平,风险控制的目标就不再仅仅是避免和消除风险,而是要事先设定风险容忍度,企业只是对超过这一容忍度的风险进行控制。
从逻辑的推理来看,企业风险表现为企业收益(成本)的不确定性,企业经营就是经营风险,企业管理就是管理风险,企业一旦设立就必然与风险相伴。企业控制(或者经营、管理)风险就是要使收益(成本)达成企业设定的目标,企业经营管理过程,就是为了达成设定的收益目标,选择企业经营方向,围绕经营方向有效配置资源,使资源得到充分利用的过程。在配置和运用资源过程中,由于两权分离和分层管理形成了多层的委托代理关系,由于人的私利性很容易造成受托人背叛委托人,这种背叛主要表现在侵吞委托人的财物、对委托人进行信息欺诈以及违背委托人所确定的各种行为规则。当受托人进行这些行为时,不仅会使委托人遭受损失,更使企业难以为继,必然最终遭致破产风险。所以对受托人的这些行为进行控制,就是进行风险管理;在配置和运用资源的过程中,由于分工分权管理形成了多个决策与执行主体,这些决策与执行主体是否能真正做到科学决策、有效执行,必然直接影响企业的战略选择和经营效率,从而直接影响企业的收益。从理论和实践的角度看,由于人的有限理性以及事物的复杂性,使得决策难以完全科学,执行难以完全充分有效,这必然导致企业经营和财务风险的发生,及致企业陷于破产。既然在企业中存在背德和非理性两种风险,所以企业必须对这两种风险进行有效地控制。从理论上说,只有把风险降至零的状态才是最理想的,但是任何风险控制都将发生成本,并非任何因风险控制而发生的成本都是有效的,这就使得企业必须在风险控制成本与风险控制效益之间做出权衡,权衡的结果无非是当风险控制成本高于风险控制效益时,企业就会选择回避风险(回避风险也就是不作为,不作为也就是无收益,无收益也无成本),或者允许一定程度的风险发生(这是风险容忍度形成的理论基础)。总之企业设立就与风险相伴,而风险是否发生则与人相关,所以企业经营管理就是要进行风险控制,或者说企业经营管理就是经营管理风险。从这个意义出发内部控制、公司治理、风险管理都属于企业管理的范畴,它们都是为了进行风险控制。
四、内部控制、公司治理、风险管理:三者整合的框架。
内部控制、公司治理以及风险管理都是基于企业存在风险而产生的,他们都是为了进行风险控制,既然如此,我们就没有必要为此制定三种规范,而是应该将其整合为一种统一的规范。至于这种规范的名称叫什么并不重要,或者我们可以按照历史的习俗继续沿用内部控制,或者为了更好地凸显所有这些规范的控制目的而直接称之为风险管理。必须注意的是风险管理并不是一种脱离于企业经营管理活动之外的管理形式,它内含于整个企业的经营管理活动过程之中;风险管理是针对企业的各责任主体而言的,离开了这些责任主体风险管理既失去了风险控制的主体,也失去了风险发生的主体;为了进行风险管理,必须要有一整套风险识别、风险控制的程序和方法,如果更广义地说,就是企业管理的程序和方法;风险控制的目的正如同内部控制成的目的那样是确保财物的安全和信息的真实,而后进一步拓展为提高经营效率以及各项法律法规的执行。依此四个方面,我们可以将三者整合成如下框架:
从图中可以看出,我们将三者整合后的框架是由四个维度组成的:第一个维度是指风险管理的基本程序,这一程序在COSO的《企业风险管理———整体框架》中有明确的规定,这里不再赘述;透过这一程序对所有可能发生风险的责任主体进行风险识别和风险控制,没有人存在的地方显然不会发生风险;在第二个维度中表达的就是这些责任主体,之所以把子公司单独列为一个责任主体,是因为现代大型企业多以集团公司的形式存在,集团公司所属的子公司往往也存在背离母公司的倾向,从而母公司会面临控制的风险。所有这些主体只是在从事经营管理的过程中才会发生风险,有人存在而不进行经营管理活动的地方显然也不会发生风险,也就是只有有人并有人的行为的地方风险才会发生。企业的经营管理过程可以理解为是由以下环节组成:一是确定企业发展战略,二是在已定战略的基础上制定某一时期的经营计划,通常是年度计划,三是为了保证计划的执行必须设定计划执行的责任主体,也就是形成企业内部组织(如第二维度所示),四是为了使企业内部各组织之间协调运转,必须制定各种相应的流程,五是各组织或责任主体执行计划,六是各执行行为都是通过具体的作业来完成的,风险存在于各项作业之中,识别和控制风险必须从作业开始;通过对这些责任主体所从事的经营管理活动进行风险识别和风险控制是一种有目的的行为,这些目的在第四个维度中得以表现,目的之一是财物的安全,在企业经营管理过程中,各责任主体必然会占用一部分财物,这些财物有可能被这些责任主体私吞,所以保证财物的安全成为了风险控制的最基本的目标,目的之二是信息的真实,在企业内部分层管理而形成委托代理关系的条件下,受托人必须向委托人报告受托责任的履行情况,但是受托人为了隐瞒受托责任的履行情况可能制造虚假信息,所以保证信息的真实就成为了风险控制的另一个基本目标,目标之三是在企业内部分层分权管理的条件下,为了协同整个企业的行为,有关管理当局会制定各种法规制度,但分层分权各所属责任主体有可能违反这些制度,所以保证各责任主体的行为合规就成为了风险控制的又一个基本目标。这三个目标能否最终实现是保证企业正常运转的前提条件。目标之四是经营有效,企业财物安全、信息真实、行为合规的最终目的是提高企业的经营效率,实现企业价值的最大化。但是各责任主体有可能非理性决策和执行,导致经营效率低下,所以保证各责任主体理性决策和执行,提高经营效率就成为了风险控制的最高目标。这一目标能否最终实现是保证企业有效运转的前提条件。
在实现三者整合建立新的框架的过程中,必须考虑以下因素:
因素之一,三者之整合都以风险控制为主线,无论从历史的回顾还是理论的分析都可以看出内部控制、公司治理以及风险管理都是基于对风险进行控制而产生的。更一般地说,企业管理实质上就是风险管理。理论上讲,风险是指收益的不确定性,而风险又与收益对称,如果企业不作为就没有风险,没有风险自然就没有收益,而要取得高收益,就必然面临高风险。企业管理的目标就是要实现企业价值或者收益最大化,也就意味着企业面临的风险最大化,正是透过对这一最大化风险的有效识别和控制,才能达成企业管理的目标。
因素之二,风险控制的目标不是针对物和事,而是针对人。就目前所论及的风险管理的有关规定看,风险管理的目标大多定位在物和事上,主要是指风险管理的目的是要保证信息真实准确、保护财产的安全、提高经营效率。事实上,风险是企业经营管理过程中存在的客观现象,既然如此,最重要的是人们要认识风险、识别风险并对风险发生的可能性、引起风险的要素进行有效的控制。这意味着风险的存在与否人们不可改变,人们必须所为的是能否发现风险并进行有效控制。既然人们可以通过自身的行为识别风险与控制风险,所以风险管理的最终目标就不是指向物和事而是人们的行为。就人的行为而言,在没有约束的条件下,有可能出现人之初性本恶的特征。这种特征主要表现在背德上:背德之一是造假,背德之二是私吞,背德之三是违规,这样就形成了风险控制的三个目标,这三个目标显然是与人自身的行为直接相关的。人在没有约束的条件下,除了背德之外,还可能出现不理性行为。它是企业风险形成的第二个原因。
不理性通常是由于风险控制者的能力缺失或者盲目(如经验主义、主观主义、教条主义等)所致。既然如此,风险管理的目标是控制人们的不理性行为。这种不理性行为会导致各责任主体不能有效地识别和控制企业客观存在的经营风险,从而导致经营效率低下,以致经营失败。
因素之三,风险控制不能只是控制人的恶、还应包括激发人的善。风险控制的目标是控制人,过去往往只是从控制人的背德、非理性角度考虑。事实上,人之初性本恶、人之初性本善是人性的两面,它们是交互作用的。一个企业,人性恶的一面必须被控制,不仅需要制定人们不许为的法律规范,还要通过制定张扬人性、激励人性的制度使人们乐于从善、主动从善、追求更善。企业在进行风险控制时一定要防止“逼良为娼”的效应,而是要产生“高薪养廉”的效应。
因素之四,风险控制必须从风险发生的原因进行识别和控制。过去风险识别与控制更多的是关注风险发生的结果,实际上,风险控制应该更多地关注原因。在风险识别上,过去的风险管理往往是以企业的会计报表或业务经营数据作为风险识别的依据,而这些数据是企业经营活动的结果,这就使得风险识别停留在相对事后、相对笼统的状态,这主要因为,会计报表以及业务经营数据作为结果数据是对过去事件的描述,同时这些数据已经经过会计核算体系以及业务核算体系的归纳、汇总,难以直接揭示产生风险的事件的性质,所以,为实现风险识别所需要的信息必须要由事后信息向事前、事中信息转换;要由抽象信息向具体信息转换;由结果信息向原因信息转换。风险存在于原因之中,而引起风险的原因都是具体而细节的。在风险控制上,必须实行源头控制、全程控制,而不是结果控制。在内部控制中强调关键控制点实质上就是指风险产生源头的关键因素,而在内部控制中特别强调全程控制,也是考虑到风险伴随着企业经营管理活动过程而产生,也就是说,企业经营管理的过程就是风险产生的过程,惟其全程风险控制才能使企业避免、降低或消除风险。
因素之五,风险控制必须是针对全员的。过去的风险控制对象是更多地关注企业高层,实际上,企业的风险存在于企业运行各个环节、各个要素、各个主体之中,正因为这样,风险管理具有全过程管理、全要素管理、全主体管理的特征。站在企业各类人员行为的风险的角度,可以把风险分为造假、私吞、违规和非理性决策四个层次,那么,在整个企业的委托受托层次链中,不同行为的主体可能带来的风险具有性质、程度的不同。对于股东大会来说,通常不会存在背德风险,当然由于小股东、大股东的存在,大股东有可能侵犯小股东利益,也会存在股东之间相互背德的风险,这当然要受到控制。
股东大会存在的主要风险是决策的非理性风险。对于董事会和经理层,前者是企业经营的决策者,后者是企业经营的执行者,可以将两者称之为经营层团队。两权分离后,经营者有可能产生背德行为以及非理性决策。相比较而言,社会通过各种方式建立了对经营者的约束机制(如注册会计师事务所、政府监管者等),以控制其背德的风险;但是,作为经营决策和执行的主体,社会难以对其决策及其执行过程进行约束,这就使得经营者的非理性决策行为成为企业风险控制的焦点。对于企业其他各层次而言,最为关键的是必须提供相应层次上所存在的信息,确保受托该层次的财产安全,以及执行上一层次的各项决定。所以这些层次所要控制的风险主要是造假、私吞、违规以及偷懒的风险。
因素之六,风险控制要更多地采用制衡的方式。谈到风险控制人们自然想到监督,监督成为了风险控制的主要手段。但是监督存在天然的缺陷,就是无法解决谁来监督监督者的问题。从现代企业制度看,企业正在走一条建立制衡体系的路子。现代公司之企业之所以要设立股东大会并用一股一票制进行决策,就是为了形成股权制衡;设立董事会并采用一人一票制进行决策,也是为了进行决策权的制衡;在员工层面,任何业务都必须至少经过两个或两个以上的平行部门,以及之上经过两个或两个以上的不同权利层次,也是为了各部门、各环节之间的相互制衡。
总之,在构造三者整合的框架体系中,以风险控制为主线,以全员、全要素、全过程的造假、私吞、违规和非理性行为的风险为控制内容,以风险管理过程(见COSO报告《企业风险管理———整体框架》规定)为控制方法,构成一个风险管理的有机整体。
主要参考文献COSO.方红星等译。 2005.企业风险管理———整合框架。大连:东北财经大学出版社程新生。 2004.公司治理、内部控制、组织结构互动关系研究。会计研究, 4: 1418。
黄世忠。 2001.强化公司治理、完善控制环境。财会通讯, 1: 33~34。
李明辉。 2003.内部公司治理与内部控制。中国注册会计师, 11: 2224。
吴水澎,陈汉文,邵贤弟。 2000.企业内部控制理论的发展与启示。会计研究, 4: 2~8。
徐雷。 2005.由中美内部控制规范引发的思考。辽宁教育行政学院学报, 3: 38~39。
阎达五,杨有红。 2001.内部控制框架的构建。会计研究, 2: 9~14。
杨雄胜。 2005.内部控制理论研究新视野。会计研究, 7: 49~55。
张安明。 2002.从美国财务危机看COSO报告。会计研究, 8: 61~62。
张砚,杨雄胜。 2007.内部控制理论研究的回顾与展望。审计研究, 1: 37~41。
周兆生。 2004.内部控制与风险管理。审计与经济研究, 4: 46~49。
Committee of Sponsoring Organizations of the Treadway Commission (COSO)。 Internal Control-Integrated Framework [R].1992.
Criteria ofControl (COCO) Board ofThe Canadian Institute ofCharteredAccountants. Guidance forDirectors-DealingwithRiskin the Boardroom. COCO, Toronto, 1999.
The committee of sponsoring organization of the Treadway commission (COSO)。 2004. Enterprise risk management-integratedframework, executive summary.
The Committee on the FinancialAspects ofCorporateGovernance andGee and Co. Ltd. 1992. The FinancialAspects ofCorpo-rate Governance. (CadburyReport)。
Susan SchmidtBies. 2004. Current Issues in CorporateGovernance-EffectiveRiskManagemen.t VitalSpeeches of the Day, 4: 26