从企业内部控制迈向风险管理

1从企业内部控制迈向风险管理－－COSO《风险框架》推动国企审计新变化上海市审计局经贸处鲁心逸2009年4月20日【摘要】COSO《风险框架》是企业应对不确定世界的权威性管理操作指南。本文以COSO《内控框架》向《风险框架》转变为视角，解读《风险框架》“内部环境”、“目标设定”、“事项识别”和“风险应对”等新要素对现代企业管理的影响，并探讨企业风险管理和国企审计风险的互动关系，寻找识别国企审计风险中的“中国元素”，着眼于推动国企审计的创新。【关键字】不确定内部控制风险管理审计风险美国COSO委员会于2004年9月正式颁布《企业风险管理整合框架》（以下简称《风险框架》），在全球业内备受关注，得到广泛认同。这份现代企业风险管理务实性操作文件，被誉为企业界风险管理的“圣经”，享有极高的专业权威。作为现代企业管理指导性文件，《风险框架》既是工作原则和操作指南也是思维方法和学术观点，认真解读、理解并消化其中各项条款，对于推动国企审计十分重要。一、《风险框架》拓宽企业管理新视域1、《风险框架》完成企业管理由内部控制向风险管理的跨越1994年，COSO正式发布《内部控制——整合框架》，成为世界通行的权威性文献，被国际和各国审计准则制定机构和银行监管机构和其他方面采纳。但是，由于长期以来，特别是2001年前后，发生在一些全球著名跨国公司中的财务丑闻和企业失败事件，使得COSO把关注焦点集中到风险应对和管理之上，并认为，需要一个强有力的框2架以有效识别、评估、控制和应对企业面临的各类风险。因此，COSO于2004年正式发布《风险框架》。COSO关于从企业内部控制转向风险管理的成熟观点内含于《风险框架》的新增要素之中（见表1）。由于“战略目标”同“目标设定”相互关联，“风险组合观”同“风险应对”相互关联，所以，新四要素（“内部环境”、“目标设定”、“事项识别”、“风险应对”）在《风险框架》中占重要位置。从一定意义上说，《风险框架》是通过新四要素实现企业管理从内部控制向风险管理跨越的。表1：COSO《内控框架》与《风险框架》比较表类型COSO《内控框架》COSO《风险框架》目标经营目标财务报告目标合规性目标战略目标（新增）经营目标财务报告目标合规性目标风险观没有提出风险组合观，只有风险评估从企业总体层面，提出风险组合观（新增）环境管理层及员工的内部控制观念管理层及员工的风险观念，并提出风险偏好概念要素控制环境风险评估控制活动信息与沟通监控内部环境（更广义）目标设定（新增）事项识别（新增）风险评估风险应对（新增）控制活动信息与沟通监控32．“内部环境”使得企业风险管理的覆盖面扩大且保障程度提高相对于《内控框架》中的“控制环境”，“内部环境”的主要变化在于两处，一是增加“风险理念”和“风险容量”子要素，二是将“董事会”子要素的位置顺序提前。该变化向我们传递出两个信息，首先，企业风险管理必须有文化理念的精神保障，因为文化理念是企业各层面行为的内在选择依据。其次，企业风险管理必须有最高管理当局的组织保障，因为管理当局是企业各业务层面的外在行为指引。《风险框架》“内部环境”从文化和组织两个层面扩大了《内控框架》“内控环境”的覆盖范围,这样的变化恰当地反映了企业如何应对不确定的内在需要，是现代企业风险管理的经验总结。我们可以从大量的企业管理案例中找到由于企业文化和管理当局原因而使得企业经营失败的教训，其中对由于企业管理当局的原因导致企业重大失误的教训更是发人深省。据COSO报告显示，在1987-1997年期间提供虚假财务报告的美国公司中，83%以上的舞弊案件涉及首席执行官或财务主管。3.“目标设定”使得企业风险管理与战略目标紧密相连当今社会到处存在机遇，尤其是商务电子化、信息网络化、经济全球化等已经极大地拓展了企业活动的空间和范围。但是，在不确定世界中，机遇往往和风险并存，因此，做正确的事比正确地做事更重要。COSO“目标设定”提示我们，企业风险管理必须同企业目标联系在一起，把企业行为同企业战略目标联系起来对于企业活动十分关键。COSO从两个方面提出“目标设定”与企业风险管理的关系，一是从要素协同层面把“目标设定”同“战略目标”、“相关目标”、“目4标实现”、“目标设定”、“风险容量”以及“风险容限”联系在一起；二是从管理系统层面把“目标设定”同“战略目标”、“经营目标”、“报告目标”以及“合规目标”联系在一起，形成企业风险管理中的“目标——资源——风险——控制”的逻辑顺序，由此丰富了企业应对不确定的思想认识。4.“事项识别”要素使得企业风险管理由事后转向事前在充满不确定性的社会中，机遇难得而转瞬即逝是一种现实，对机遇稍微处理失当便会转为危机也是一种现实。对企业来说，如何在不确定中抓住机遇和妥善处理机遇，已经越来越被深刻理解为是成功企业的核心竞争能力。《内控框架》向我们提供的是一套应对经常而重复发生业务的静态内控体系，实践证明，已经无法满足大量出现的不确定动态管理的要求。《风险框架》通过“事项识别”新要素向企业引入一套全新的事先预控机制，指导企业有效识别风险和机遇、有条不紊地快速应对来自内部和外界的风险，从而实现持续发展。同时，“事项识别”新要素的本身也向企业引入事项间“相互依赖性”的观念，在风险组合观的指导下，通过“影响因素”、“事项识别技术”、“识别类别”以及“区分风险类别和机会”等诸子要素共同作用，从处理技术上把“事项识别”落到实处。“事项识别”新要素的出现使得企业风险管理从事后转向事前，从而大大提高了企业成功的概率。5、“风险应对”使得企业的风险管理策略由封闭走向开放COSO以《风险框架》取代《内控框架》是在全球从后工业社会逐步向信息社会转变的大背景下完成的。在后工业时代，企业的经营5环境相对稳定，因此风险管理策略以“承受”和“化解”为主，而且企业通常能够以组织的“控制活动”机制化解其内外所有的不确定因素。但是，当信息化时代来临，企业面临的机遇和挑战正如《风险框架》的卷首语所述：“所有的主体都面临不确定性，对于管理当局的挑战在于确定在被迫增加利益相关者价值的同时，准备承受多少不确定性”。也就是说，由于外部资本投资的诱惑繁多，而企业的自身资源有限，因此理性地做出“风险应对”选择已成为企业的生存智慧。《风险框架》“风险应对”新要素向我们展示了四类风险应对的智慧，即规避、降低、分担和承受。“风险应对”新要素还指导企业管理层从“风险组合观”的角度，即着眼整个企业集团的步调统一、各个业务板块的经营协调，考虑所有的风险反应方案组合对企业的系统影响，由此开拓了企业管理层应对不确定性的视野。二、《风险框架》提出国企审计新要求1、《风险框架》拓展了识别企业审计风险的范围首先，《风险框架》要素项目数量的增加意味着企业风险管理范围的拓展。企业风险管理的有效依赖于《风险框架》诸要素整体功能有效。《风险框架》指出：“确定企业风险管理是否‘有效’，是在对八个构成要素是否存在和有效运行的评估基础之上所做出的判断”。同时，《风险框架》把要素（包括子要素）、目标、和主体从三个维度关联起来，整体形成内在联系，构成维护企业健康发展的实质性载体。《风险框架》新要素数量的增加使得企业风险管理的范围得到拓展。其次，《风险框架》要素功能覆盖面的扩大意味着企业风险管理6范围的拓展。《风险框架》沿两条路径扩大了风险管理要素功能的覆盖面：一是扩大了处于构成风险管理秩序基础部位的“内部环境”要素的功能。二是延伸了处于第二层面的其他要素的逻辑顺序。可以这样理解《风险框架》八要素之间的关系：八要素相互关联是一个有机整体，但“内部环境”同其他七要素分处两个层面。“内部环境”是企业风险管理秩序的提供基础保证，通过董事会、文化氛围等子要素，支持其余七要素发挥作用和有效实施，它像一把伞，把七要素保护起来（见图1）。“内部环境”保护伞范围的扩大意味企业风险管理基础的扩大。相对于“内部环境”，其余七要素则同处于形成风险管理秩序的另一层面，按照“风险—控制”的逻辑顺序排列，而“目标设定”和“事项识别”的出现，使得诸要素排列向左得到延伸，形成“目标—风险—控制”的新的逻辑顺序排列。《风险框架》诸要素功能拓展和排列延伸使得企业风险管理的范围得到拓展。图1：企业风险管理八要素关系图第三，新要素提供了识别国企审计风险的新线索。关注企业风险管理新要素的实质是，寻找识别国企审计风险新线索。从企业风险管信息与沟通风险应对风险评估监督事项识别控制活动内部环境目标设定7理与企业审计风险互动关系来说，新要素既是推行企业风险管理的依据，也是评价企业风险管理的依据，更是识别对其审计风险的依据。我们的目标是，沿着企业风险管理新要素的发展路径找到识别国企审计风险的新线索，并依据我国国企实际情况开展识别审计风险的工作创新，最终提高国企审计工作的效率。由于COSO《风险框架》是以国际背景（特别是美国背景）为依据的，因此，寻找新要素的“中国元素”对诊断国企审计风险具有重要的现实意义。2.把识别审计风险的线索延伸到“内部环境”中组织和理念的源头相对于《内控框架》，《风险框架》“内部环境”变化的实质是，把改善企业风险管理内部环境的努力沿两个方向作充分延伸，即一方面向作为企业组织结构源头的董事会延伸，另一方面向作为企业文化源头的风险理念和风险容量延伸。按照《风险框架》判断，在这两者之间，董事会份量更大，“管理层的管理理念是企业识别、承担和管理风险的方式和风格的出发点”，企业风险管理的责任应更多地要由董事会承担，而非公司执行人员。事实上，现代企业舞弊案多发于管理层，远非《控制框架》“控制环境”所能防范，因此，应当把“董事会”子要素作为识别“内部环境”是否存在审计风险的重点。由于我国国企经营环境较之发达国家更为复杂，识别反应在“内部环境”方面的审计风险范围还应相应扩大，另有三项子要素应当引起重视，即“行政当局”（不少国企法人治理结构处于虚拟状态，董事会成员由上级行政指派，有的实际就是上级行政领导本人）、“经理团队”（不8少国企战略管理内驱不足，满足于眼前过得去，经理团队强势）、“员工认同”(国企多数员工视企业为其赖以维持生计的依据，会对企业秩序做出客观评价)。3.把识别审计风险的线索延伸到“目标设定”中战略管理的源头任何企业风险都是相对于目标而言，反映在企业运营的各个层面。面对不确定现实，多数体现企业发展的目标都会伴随风险，而企业最大的风险产生于战略目标的选择之中，企业战略目标的失误是最大的失误，为实现战略目标而产生的风险是最大的风险，应当给予特别关注。COSO把企业风险管理的目标延伸至战略管理的源头，也把评价企业风险管理秩序的范围延伸至战略管理的源头，因此，识别国企审计风险在目标设定的范围也应延伸至战略管理的源头，即把“目标设定”中“战略目标”子要素作为识别审计风险的关键。由于我国特殊的国企运营环境，评价范围还应再有扩大，另有三项子要素对企业秩序十分重要，应当引起特别重视，即“目标改动频率”（不少国企视战略目标制定为纸上谈兵，稍遇变化即时常变更）、“目标改动程序”（不少国企变动重大目标的程序形同虚设，在制度层面上存在不确定）、“目标偏移幅度”（不少国企制定目标缺乏科学依据，常常凭借领导者主观愿望确定而实际脱离，使得最终结果偏移原定目标很大）。4.把识别审计风险的线索延伸到“事项识别”中事先掌控的源头在不确定世界中，所谓风险不是当下的现实，而是将来可能发生的现实，故应对风险的措施起点不在内部控制，而在事先判断并预先设防。COSO《风险框架》把企业风险管理的范围扩展到防患于未然，9以“事项识别”要素来体现如何应对不确定，是提升对企业风险管理水平的贡献，具有重要现实意义。显然，对国企审计而言，我们也应当按照《风险框架》这一思路，把识别审计风险的线索延伸到体现事先掌控的“事项识别”要素上，沿着“影响因素”、“事项识别技术”、“相互依赖性”等子要素的提示进行评价识别。同样，由于我国情况的特殊性，比照国企经营现状，另有三项子要素对企业风险管理秩序也很重要，应当给与关注，即“同行对比”（面对相同市场波动，管理当局的经营同业比较是审计发现企业事项识别力的窗口）、