關注戰(zhàn)略：從內部控制到風險管理

　　企業(yè)風險管理體系建設系列討論（一）

　　引言

　　霧失樓臺，月迷津渡。在國內A股上市公司的規(guī)范與發(fā)展問題上，我們頗有一些困惑。

　　早在上世紀80年代和90年代初，隨著我國國有企業(yè)改革的不斷深入，國內理論界與政府管理部門就開始對企業(yè)的內部控制與預算約束問題進行研究與討論，1993年《公司法》的頒布更是將公司治理問題的研究推向一個新的階段。

　　隨后幾年，政府管理部門相繼出臺了一些適用于不同企業(yè)的有關內部控制的指引、規(guī)則與政策。

　　1996年12月中國注冊會計師協(xié)會頒布《企業(yè)內部控制與審計風險》準則；

　　1997年5月，中國人民銀行發(fā)布《加強金融機構內部控制的指導原則》，2002年9月頒布《商業(yè)銀行內部控制指引》；

　　2001年1月，中國證券監(jiān)督管理委員會發(fā)布《證券公司內部控制指引》；

　　2001年6月，財政部發(fā)布《內部會計控制-基本規(guī)范》和《加強貨幣資金會計控制的若干規(guī)定》，以后又陸續(xù)發(fā)布了一些試行稿或征求意見稿。

　　就上市公司而言，中國證券監(jiān)管部門也采取了一系列措施，旨在改善公司治理結構，促進企業(yè)加強內部控制制度建設。

　　1997年引進獨立董事制度；

　　1999年要求上市公司與母公司“三分開”（2001年改為“五分開”）；

　　2000年要求企業(yè)加強內部控制制度建設；

　　2001年為中國證券市場監(jiān)管年；

　　2002年頒布上市公司治理準則，等等。

　　有關企業(yè)會計核算與披露規(guī)則也與之呼應。比如，為制止上市公司利用關聯(lián)交易操縱利潤，財政部在1997年發(fā)布“關聯(lián)方關系及其交易的披露”準則，2001年更是要求對關聯(lián)交易產生的利潤記入“資本公積”，以徹底打消上市公司通過關聯(lián)交易調節(jié)盈利的念頭。

　　但是，我國上市公司目前的治理水平、內部控制制度或風險管理體系的建設遠不能令人滿意，上市公司的違規(guī)行為屢禁不止。

　　據上海證券報統(tǒng)計：截至2005年12月26日，2005年共有107家上市公司出現(xiàn)了117起違規(guī)記錄，而2003、2004年同期分別為56起和111起。2004年違規(guī)記錄比2003年增長約1倍，2005年又比2004年增加約60%.這期間特別是德隆帝國垮臺與格林柯爾系崩塌更是引起了公眾的強烈關注。

　　2006年第一季，中國資本市場中的所謂“飛天系”、“朝華系”又因違規(guī)經營而危在旦夕……

　　我們的第一個思考就是：近幾年來，中國證券監(jiān)管部門對上市公司所采取的監(jiān)管措施到底成效如何？公司治理與內控制度到底是何種關系？中國上市公司頻繁出事主要是由于公司治理結構不完善，外部監(jiān)管不力，還是企業(yè)的內控體系不健全？

　　2005年7月，《新理財》雜志社舉辦了一次“企業(yè)內部控制高級研討會”。會上，某企業(yè)的代表提出的這樣一個案例引起我的關注：國內某企業(yè)集團，下有若干子公司，一些子公司加強了內部控制制度的建設；另一些子公司則對內控制度建設不夠重視。年底經營總結時發(fā)現(xiàn)，內控建設花費較多時間和精力的子公司，其業(yè)績反而差于其他子公司。

　　無獨有偶。2005年11月4日，中國社會科學院工業(yè)經濟研究所與中國經營報社聯(lián)合發(fā)布了《中國企業(yè)競爭力報告2005》。報告對1143家上市公司的競爭力進行了深入的研究和分析，其結論是：從凈資產和總資產收益率、周轉率等指標來衡量，自2001年以后，上市公司的效率競爭力總體上低于非上市公司的效率競爭力。按理說，上市公司受到社會公眾和利益相關者的密切關注與監(jiān)督，為滿足投資者和監(jiān)管者的需要，在制度遵循、公司治理、內控建設、信息披露方面投入了更多的時間與精力。而根據該研究報告，這種投入并未促進公司效率競爭力的提高。

　　美國企業(yè)界對薩班斯-奧克斯利法案也頗有微詞。根據該法案的要求，不僅上市公司的管理當局需要確認已建立有效的內部控制系統(tǒng)，獨立審計師也需要對公司內部控制的有效性進行測試并發(fā)表意見。為滿足該法案的要求，美國上市公司付出了不少的精力、時間與費用，企業(yè)界不少人士認為制度的遵循成本太高，有些得不償失。

　　其他國家似乎也有類似的情況。國際會計師聯(lián)合會（IFAC）與英國特許管理會計師公會（CIMA）在2004年2月發(fā)布了“企業(yè)治理，如何取得正確的平衡？”的研究報告。報告指出：對全球300多家企業(yè)高管們的調查表明，當前公司最高管理層在公司治理方面所耗費的時間遠多于以往，估計今后還會更多。但公司治理水平是否“今勝于昔”尚無確切證據。并且，80%的被調查者認為，公司治理的變動對企業(yè)收入并無影響（楊小舟編譯，2005. 企業(yè)治理：如何取得正確的平衡。 新理財）。

　　我們的第二個思考是：改善公司治理與加強內部控制系統(tǒng)建設的目的是什么？如果說強調公司治理和規(guī)范運作不能促進公司績效的提升，我們是否還應該致力于公司治理結構的完善與內部控制制度的構建？或者說，我們在改善公司治理與加強企業(yè)內部控制建設方面是不是忽略了什么至關重要的東西？

　　我認為，我們在完善公司治理、加強企業(yè)內控建設過程所忽視的、對企業(yè)發(fā)展至關重要的東西，IFAC和CIMA注意到了，COSO注意到了，中國的有關證券管理部門也注意到了。

　　IFAC和CIMA在上述研究報告中對全球企業(yè)發(fā)出了警告：恰當地解決公司治理失敗的問題確實重要，但不少公司卻是由于戰(zhàn)略選擇而陷入困境的，對所有者和公司利益相關者來說，戰(zhàn)略失誤所帶來的經濟后果與公司治理失敗同樣嚴重。當前存在著這樣一種危險，即人們花費越來越多的時間致力于改善企業(yè)的控制標準與道德水準，對能創(chuàng)造價值、保障公司目標實現(xiàn)的公司戰(zhàn)略的關注則明顯不足。

　　COSO則在其2004年9月發(fā)布的《企業(yè)風險管理-整體框架》中指出：一切組織存在的目的都是為股東們創(chuàng)造最大的價值。企業(yè)加強風險管理的目的，就是為了使企業(yè)的價值最大，為了實現(xiàn)企業(yè)的戰(zhàn)略目標與運營目標，而不僅僅是經營的合法與財務報告的可靠。

　　2005年4月1日，上海證券交易所發(fā)布《上市公司內部控制制度指引》（征求意見稿）。雖然從內容上看，這一征求意見稿帶有太多的借鑒和學習COSO的“企業(yè)風險管理-整體框架”的痕跡，但相比以往各政府部門發(fā)布的各種內控指引與規(guī)定，這一征求意見稿在許多方面都有明顯的改進。遺憾的是這一征求意見稿生不逢時，發(fā)布后還未來得及討論，就被隨后的“股改”熱潮淹沒得無聲無息。

　　我們的第三個思考是：盡管我們已經注意到了問題所在，但如何解決這些問題呢？或者說，如果內部控制制度或風險管理制度能夠促進企業(yè)效率的提高，有助于企業(yè)戰(zhàn)略目標的實現(xiàn)，我們如何才能結合中國企業(yè)的運營特點，設計出這樣的企業(yè)內部控制或風險管理制度呢？

　　帶著上述思考，我再一次認真研讀了COSO的《企業(yè)風險管理-整體框架》的研究報告（以下簡稱ERM）。我認為，COSO的研究報告全面完整，既有深度又有一定的可操作性，對中國企業(yè)加強內部控制與風險管理體系的建設必定有所啟發(fā)、有所幫助。有鑒于此，本人不揣淺陋，試圖撰寫系列文章，談談自己的一些學習心得與體會，與大家共同探討。

《企業(yè)風險管理-整體框架》出臺的背景及主要內容

　　上世紀90年代以前，美國關于內控制度的研究分散于不同的組織機構，如美國注冊會計師協(xié)會、內部審計師協(xié)會、財務經理協(xié)會等。從1991年開始，美國關于內部控制的研究COSO由承擔（COSO是一個自發(fā)性的民間組織，全稱為“Committee of Sponsoring Organizations of Tread-way Commission”，成立于1985年，旨在通過對商業(yè)道德、有效的內部控制和公司治理的研究來改善財務報告的質量。COSO研究的權威性來自于它的發(fā)起者，包括美國注冊會計師協(xié)會、美國會計學會、美國管理會計師協(xié)會、美國財務經理人協(xié)會以及美國內部審計協(xié)會）。截至目前，COSO已發(fā)布的研究報告如下：

　　1987年， TREADWAY 報告；

　　1992年， 《內部控制-整體框架》（以下簡稱為“IC-IF”）；

　　1996年， 金融衍生工具使用的內部控制問題研究；

　　1999年， 虛假財務報告研究（1987-1997）；

　　2004年9月 《企業(yè)風險管理整體框架》。

　　COSO以一個獨立的機構對內部控制進行專門的研究，無疑提高了研究的系統(tǒng)性與深度。1992年COSO發(fā)布的《內部控制-整體框架》，不僅被美國的企業(yè)、也被世界上其他國家的不少企業(yè)和經濟組織所接受，并融入各種規(guī)章制度之中，用以控制經營活動，實現(xiàn)企業(yè)既定的經營目標[在IC-IF中，COSO對內部控制定義為：內部控制是受企業(yè)董事會、管理當局和其他職員的影響，旨在取得1）經營效果與效率；2）財務報告的可靠性；3）遵循法規(guī)等目標而提供合理保證的一種過程。在該報告中，COSO將1988年AICPA《審計準則公告第55號》公告中提出的“內部控制結構”三要素（內控環(huán)境、會計系統(tǒng)和控制程序）修改為內控環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控等五個內控要素].

　　但COSO通過進一步的研究發(fā)現(xiàn)：不同國家的不同企業(yè)都在應用各種各樣的管理框架，這些管理框架有的關注于狹義的風險管理；有的側重于特別的行業(yè)或特定類型的風險管理；有的關注風險的減少而非風險的管理。而要有效管理企業(yè)的整體風險，就必須與企業(yè)的戰(zhàn)略制定相聯(lián)結。

　　COSO認為，對管理者來說，一個非常重大的挑戰(zhàn)就是確定某個組織在努力創(chuàng)造價值的過程中準備承受多大的風險。而制定統(tǒng)一定義、能夠提供主要原理與概念、具有明確的方向與指南的風險管理框架將有助于企業(yè)迎接這一挑戰(zhàn)。

　　基于以上認識，2001年末，COSO啟動企業(yè)風險管理項目研究，經過兩年多的時間，于2004年9月發(fā)布《企業(yè)風險管理框架》（以下簡稱“ERM”）的研究報告。

　　《企業(yè)風險管理-整體框架》共分十二章，具體如下：定義 （Definition） 、內控環(huán)境 （Internal Environment）、目標設立 （Objective Setting）、事件確認 （Event Identification）、風險評估 （Risk Assessment）、風險響應 （Risk Response）、控制環(huán)境 （Control Activities）、信息與溝通 （Information and Communication）、監(jiān)控 （Monitoring）、作用與職責 （Roles and Responsibilities）、風險管理的局限 （Limitations of Enterprise Risk Management）、我們需要做什么 （What to Do）。

　　關于ERM與IC-IF的關系，COSO在《企業(yè)風險管理框架》前言中指出，企業(yè)風險管理框架是建立在內部控制整體框架基礎之上的，對企業(yè)風險管理內容的關注更加廣泛與深入。ERM并非替代IC-IF，而是包容了IC-IF，在內控的有關概念上，兩者保持了一致與連貫。企業(yè)風險管理框架不僅可以滿足企業(yè)加強內部控制的需求，也能促進企業(yè)建立更為全面的風險管理體系。

　　總的來說，ERM是建立在IC-IF基礎之上的，前者包含后者，或者說，IC-IF是ERM的一個重要的組成部分。具體來說，ERM與IC-IF有以下差異：

　　1.與IC-IF一樣，ERM也確定了三類目標，經營、報告與合法經營，但在IC-IF中，報告的目標僅指公開的財務報告的可靠性；而ERM則擴展至企業(yè)發(fā)布的各種報告，不管是對內的報告還是對外的報告。并且，報告也不僅僅是財務報告，還包括各種非財務報告。

　　2.在運營目標方面，ERM增加了戰(zhàn)略目標的實現(xiàn)。戰(zhàn)略目標源自企業(yè)的使命或遠景，而企業(yè)的運營目標、報告目標，以及遵循目標都必須與其相協(xié)調。企業(yè)就是在戰(zhàn)略制定以及在實現(xiàn)其運營目標、報告目標和遵循目標的過程中進行風險管理的。

　　3.由于ERM更加關注風險，因而擴展了內部控制框架中的風險要素，變成了四個要素：目標設定（內部控制的前提）、事件確認、風險評估以及風險反應。因此，ERM的內控要素就變成了八個，即：內部控制環(huán)境、目標設定、事件確定、風險評估、風險響應、控制活動、信息與溝通、內部監(jiān)督。

　　在下一講中，我們將介紹該研究報告的第一章，與大家共同探討企業(yè)風險管理的定義。

　�。ㄗ髡呦地斦�部財政科學研究所教授）