企业风险管理体系建设系列讨论(一)
引言
雾失楼台,月迷津渡。在国内A股上市公司的规范与发展问题上,我们颇有一些困惑。
早在上世纪80年代和90年代初,随着我国国有企业改革的不断深入,国内理论界与政府管理部门就开始对企业的内部控制与预算约束问题进行研究与讨论,1993年《公司法》的颁布更是将公司治理问题的研究推向一个新的阶段。
随后几年,政府管理部门相继出台了一些适用于不同企业的有关内部控制的指引、规则与政策。
1996年12月中国注册会计师协会颁布《企业内部控制与审计风险》准则;
1997年5月,中国人民银行发布《加强金融机构内部控制的指导原则》,2002年9月颁布《商业银行内部控制指引》;
2001年1月,中国证券监督管理委员会发布《证券公司内部控制指引》;
2001年6月,财政部发布《内部会计控制-基本规范》和《加强货币资金会计控制的若干规定》,以后又陆续发布了一些试行稿或征求意见稿。
就上市公司而言,中国证券监管部门也采取了一系列措施,旨在改善公司治理结构,促进企业加强内部控制制度建设。
1997年引进独立董事制度;
1999年要求上市公司与母公司“三分开”(2001年改为“五分开”);
2000年要求企业加强内部控制制度建设;
2001年为中国证券市场监管年;
2002年颁布上市公司治理准则,等等。
有关企业会计核算与披露规则也与之呼应。比如,为制止上市公司利用关联交易操纵利润,财政部在1997年发布“关联方关系及其交易的披露”准则,2001年更是要求对关联交易产生的利润记入“资本公积”,以彻底打消上市公司通过关联交易调节盈利的念头。
但是,我国上市公司目前的治理水平、内部控制制度或风险管理体系的建设远不能令人满意,上市公司的违规行为屡禁不止。
据上海证券报统计:截至2005年12月26日,2005年共有107家上市公司出现了117起违规记录,而2003、2004年同期分别为56起和111起。2004年违规记录比2003年增长约1倍,2005年又比2004年增加约60%.这期间特别是德隆帝国垮台与格林柯尔系崩塌更是引起了公众的强烈关注。
2006年第一季,中国资本市场中的所谓“飞天系”、“朝华系”又因违规经营而危在旦夕……
我们的第一个思考就是:近几年来,中国证券监管部门对上市公司所采取的监管措施到底成效如何?公司治理与内控制度到底是何种关系?中国上市公司频繁出事主要是由于公司治理结构不完善,外部监管不力,还是企业的内控体系不健全?
2005年7月,《新理财》杂志社举办了一次“企业内部控制高级研讨会”。会上,某企业的代表提出的这样一个案例引起我的关注:国内某企业集团,下有若干子公司,一些子公司加强了内部控制制度的建设;另一些子公司则对内控制度建设不够重视。年底经营总结时发现,内控建设花费较多时间和精力的子公司,其业绩反而差于其他子公司。
无独有偶。2005年11月4日,中国社会科学院工业经济研究所与中国经营报社联合发布了《中国企业竞争力报告2005》。报告对1143家上市公司的竞争力进行了深入的研究和分析,其结论是:从净资产和总资产收益率、周转率等指标来衡量,自2001年以后,上市公司的效率竞争力总体上低于非上市公司的效率竞争力。按理说,上市公司受到社会公众和利益相关者的密切关注与监督,为满足投资者和监管者的需要,在制度遵循、公司治理、内控建设、信息披露方面投入了更多的时间与精力。而根据该研究报告,这种投入并未促进公司效率竞争力的提高。
美国企业界对萨班斯-奥克斯利法案也颇有微词。根据该法案的要求,不仅上市公司的管理当局需要确认已建立有效的内部控制系统,独立审计师也需要对公司内部控制的有效性进行测试并发表意见。为满足该法案的要求,美国上市公司付出了不少的精力、时间与费用,企业界不少人士认为制度的遵循成本太高,有些得不偿失。
其他国家似乎也有类似的情况。国际会计师联合会(IFAC)与英国特许管理会计师公会(CIMA)在2004年2月发布了“企业治理,如何取得正确的平衡?”的研究报告。报告指出:对全球300多家企业高管们的调查表明,当前公司最高管理层在公司治理方面所耗费的时间远多于以往,估计今后还会更多。但公司治理水平是否“今胜于昔”尚无确切证据。并且,80%的被调查者认为,公司治理的变动对企业收入并无影响(杨小舟编译,2005. 企业治理:如何取得正确的平衡。 新理财)。
我们的第二个思考是:改善公司治理与加强内部控制系统建设的目的是什么?如果说强调公司治理和规范运作不能促进公司绩效的提升,我们是否还应该致力于公司治理结构的完善与内部控制制度的构建?或者说,我们在改善公司治理与加强企业内部控制建设方面是不是忽略了什么至关重要的东西?
我认为,我们在完善公司治理、加强企业内控建设过程所忽视的、对企业发展至关重要的东西,IFAC和CIMA注意到了,COSO注意到了,中国的有关证券管理部门也注意到了。
IFAC和CIMA在上述研究报告中对全球企业发出了警告:恰当地解决公司治理失败的问题确实重要,但不少公司却是由于战略选择而陷入困境的,对所有者和公司利益相关者来说,战略失误所带来的经济后果与公司治理失败同样严重。当前存在着这样一种危险,即人们花费越来越多的时间致力于改善企业的控制标准与道德水准,对能创造价值、保障公司目标实现的公司战略的关注则明显不足。
COSO则在其2004年9月发布的《企业风险管理-整体框架》中指出:一切组织存在的目的都是为股东们创造最大的价值。企业加强风险管理的目的,就是为了使企业的价值最大,为了实现企业的战略目标与运营目标,而不仅仅是经营的合法与财务报告的可靠。
2005年4月1日,上海证券交易所发布《上市公司内部控制制度指引》(征求意见稿)。虽然从内容上看,这一征求意见稿带有太多的借鉴和学习COSO的“企业风险管理-整体框架”的痕迹,但相比以往各政府部门发布的各种内控指引与规定,这一征求意见稿在许多方面都有明显的改进。遗憾的是这一征求意见稿生不逢时,发布后还未来得及讨论,就被随后的“股改”热潮淹没得无声无息。
我们的第三个思考是:尽管我们已经注意到了问题所在,但如何解决这些问题呢?或者说,如果内部控制制度或风险管理制度能够促进企业效率的提高,有助于企业战略目标的实现,我们如何才能结合中国企业的运营特点,设计出这样的企业内部控制或风险管理制度呢?
带着上述思考,我再一次认真研读了COSO的《企业风险管理-整体框架》的研究报告(以下简称ERM)。我认为,COSO的研究报告全面完整,既有深度又有一定的可操作性,对中国企业加强内部控制与风险管理体系的建设必定有所启发、有所帮助。有鉴于此,本人不揣浅陋,试图撰写系列文章,谈谈自己的一些学习心得与体会,与大家共同探讨。
《企业风险管理-整体框架》出台的背景及主要内容
上世纪90年代以前,美国关于内控制度的研究分散于不同的组织机构,如美国注册会计师协会、内部审计师协会、财务经理协会等。从1991年开始,美国关于内部控制的研究COSO由承担(COSO是一个自发性的民间组织,全称为“Committee of Sponsoring Organizations of Tread-way Commission”,成立于1985年,旨在通过对商业道德、有效的内部控制和公司治理的研究来改善财务报告的质量。COSO研究的权威性来自于它的发起者,包括美国注册会计师协会、美国会计学会、美国管理会计师协会、美国财务经理人协会以及美国内部审计协会)。截至目前,COSO已发布的研究报告如下:
1987年, TREADWAY 报告;
1992年, 《内部控制-整体框架》(以下简称为“IC-IF”);
1996年, 金融衍生工具使用的内部控制问题研究;
1999年, 虚假财务报告研究(1987-1997);
2004年9月 《企业风险管理整体框架》。
COSO以一个独立的机构对内部控制进行专门的研究,无疑提高了研究的系统性与深度。1992年COSO发布的《内部控制-整体框架》,不仅被美国的企业、也被世界上其他国家的不少企业和经济组织所接受,并融入各种规章制度之中,用以控制经营活动,实现企业既定的经营目标[在IC-IF中,COSO对内部控制定义为:内部控制是受企业董事会、管理当局和其他职员的影响,旨在取得1)经营效果与效率;2)财务报告的可靠性;3)遵循法规等目标而提供合理保证的一种过程。在该报告中,COSO将1988年AICPA《审计准则公告第55号》公告中提出的“内部控制结构”三要素(内控环境、会计系统和控制程序)修改为内控环境、风险评估、控制活动、信息与沟通、监控等五个内控要素].
但COSO通过进一步的研究发现:不同国家的不同企业都在应用各种各样的管理框架,这些管理框架有的关注于狭义的风险管理;有的侧重于特别的行业或特定类型的风险管理;有的关注风险的减少而非风险的管理。而要有效管理企业的整体风险,就必须与企业的战略制定相联结。
COSO认为,对管理者来说,一个非常重大的挑战就是确定某个组织在努力创造价值的过程中准备承受多大的风险。而制定统一定义、能够提供主要原理与概念、具有明确的方向与指南的风险管理框架将有助于企业迎接这一挑战。
基于以上认识,2001年末,COSO启动企业风险管理项目研究,经过两年多的时间,于2004年9月发布《企业风险管理框架》(以下简称“ERM”)的研究报告。
《企业风险管理-整体框架》共分十二章,具体如下:定义 (Definition) 、内控环境 (Internal Environment)、目标设立 (Objective Setting)、事件确认 (Event Identification)、风险评估 (Risk Assessment)、风险响应 (Risk Response)、控制环境 (Control Activities)、信息与沟通 (Information and Communication)、监控 (Monitoring)、作用与职责 (Roles and Responsibilities)、风险管理的局限 (Limitations of Enterprise Risk Management)、我们需要做什么 (What to Do)。
关于ERM与IC-IF的关系,COSO在《企业风险管理框架》前言中指出,企业风险管理框架是建立在内部控制整体框架基础之上的,对企业风险管理内容的关注更加广泛与深入。ERM并非替代IC-IF,而是包容了IC-IF,在内控的有关概念上,两者保持了一致与连贯。企业风险管理框架不仅可以满足企业加强内部控制的需求,也能促进企业建立更为全面的风险管理体系。
总的来说,ERM是建立在IC-IF基础之上的,前者包含后者,或者说,IC-IF是ERM的一个重要的组成部分。具体来说,ERM与IC-IF有以下差异:
1.与IC-IF一样,ERM也确定了三类目标,经营、报告与合法经营,但在IC-IF中,报告的目标仅指公开的财务报告的可靠性;而ERM则扩展至企业发布的各种报告,不管是对内的报告还是对外的报告。并且,报告也不仅仅是财务报告,还包括各种非财务报告。
2.在运营目标方面,ERM增加了战略目标的实现。战略目标源自企业的使命或远景,而企业的运营目标、报告目标,以及遵循目标都必须与其相协调。企业就是在战略制定以及在实现其运营目标、报告目标和遵循目标的过程中进行风险管理的。
3.由于ERM更加关注风险,因而扩展了内部控制框架中的风险要素,变成了四个要素:目标设定(内部控制的前提)、事件确认、风险评估以及风险反应。因此,ERM的内控要素就变成了八个,即:内部控制环境、目标设定、事件确定、风险评估、风险响应、控制活动、信息与沟通、内部监督。
在下一讲中,我们将介绍该研究报告的第一章,与大家共同探讨企业风险管理的定义。
(作者系财政部财政科学研究所教授)