首页 内部控制、公司治理、风险管理_关系与整合

内部控制、公司治理、风险管理_关系与整合

举报
开通vip

内部控制、公司治理、风险管理_关系与整合 内部控制、公司治理、 风险管理:关系与整合 谢志华 (北京工商大学100037)-一 【摘要】为了控制企业可能存在的风险,在企业的发展过程中,相继产威了内部控制、公司治瑕和风险管理等框 袈。关于三孝关系理论葵和实务器一蛊都在进静争论,但醇重令葛秀泰迭成统一的认识,特别锌随£osO《企业 风险管理——整体框架》的发布以致我国财政部《企韭内部控制规范——基本规范》的出台。童者关系的讨论 就不仅仅是_瑷论问题,衔是实践中必须要解决的问题了。本文从历史嘲顾和逻辑推理的角度,探讨了三者本质 的相同蛙,以她为基...

内部控制、公司治理、风险管理_关系与整合
内部控制、公司治理、 风险管理:关系与整合 谢志华 (北京工商大学100037)-一 【摘要】为了控制企业可能存在的风险,在企业的发展过程中,相继产威了内部控制、公司治瑕和风险管理等框 袈。关于三孝关系理论葵和实务器一蛊都在进静争论,但醇重令葛秀泰迭成统一的认识,特别锌随£osO《企业 风险管理——整体框架》的发布以致我国财政部《企韭内部控制规范——基本规范》的出台。童者关系的讨论 就不仅仅是_瑷论问题,衔是实践中必须要解决的问题了。本文从历史嘲顾和逻辑推理的角度,探讨了三者本质 的相同蛙,以她为基础,对三孝透舒了整合,掏建了基于风险管理妁螫合框架。这既避免了套照管理终系的交 戈、重复,又实现了各种管理体系的一体化。 【关键词】内部控制公司治理风险管理关系整合 一、导论 随着公司制企业的建崴,频频爆发舞弊丑闻。同时,公司面临的经营和财务风险不断增加,风险程度 不辫提高,以致公司玻产不断击瑰。在瑷代企馥制度的建立与发震的同时,公司舞弊防范、经营和财务风 险的防范就成为了现代企业制度所必需面临和解决的问题。为此,理论界和实务界提出了内部控制、公司 治理和风险管理的各种控制规范和控制措施。这些控制规范和控制措施不仅在企业层爵也在国家层面、甚 至国际层面镧定,制定的主体也出瑷了企监、民闯和政府圊心协力的局面,在我国主要采取政府以行政法 规的形式制定。但根本的问题仍然在于内部控制、公司治理、风险管理这三者到底是何种关系,如果这三 者所要解决的闷题从根本土说是一致的,就没有必要制定三种控制规范,只会导致企敦控制重复进行,并 使企业控制成本增加。特别当三个规范的制定主体不相同时,还会导致企业遵循这些规范时变得无所适 从;如果这三者所要解决的问题从根本上说是不一致的,那么在制定这三种规范时必须找到他们的边界, 这意睬着每一种控制的对象不可以交叉,也不霹以鍪下撩爨真空。掰以研究兰者的关系对于建立有效鳇金 业控制体系,或者更直接的说对于建立和完善现代企业制度关系重大。 :、内部接制、公司治理、风险管理:三者关系论争的回顾, 关于三者的关系,学界已经进行过一些研究与探讨,归结超来主要有以下结论: 1.内部控制是公司治理的基础,而风险管理包含内部控制。杨雄胜(2005)认为,没有系统而有效 的内部控制,公司治理将成为一纸空文,两内部控制是实现公司治理的基础设麓建设。在2004每的美国 银行管理学会(BankAdministratiolllnstitute)信托风险管理年会上。联邦储备委员会(Govle翔orof蹦eral Re∞rveBoa耐)理事susanSchmidtBies在题为“公司治理中的当前问题”的发言中谈到,董事有责任监 督蠹郝控裁过程,唯此才能去合理预麓{耋们的指示是否褥蜀完全的遵缓(S珏蝴lSchmidl嚣ies,2∞4)。她 37 万方数据 认为进行公司治理的前提是落实内部控制。 而认为风险管理包含内部控制则在cosO的最新 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 中得到了明示:风险管理包含内部控制;内部控 制是风险管理不可分割的一部分。COSO认为风险管理有八个要素组成:内部环境、目标设定、事件识 别、风险评估、风险对策、控制活动、信息与沟通、监督。而内部控制有五个要素组成:控制环境、风险 评估、控制活动、信息与沟通、监督。显然内部控制包含在风险管理之中。英国Tumbuu委员会(2005) 认为,公司的内部控制系统在风险管理中扮演关键角色,内部控制应当被管理者看作是范围更广的风险管 理的必要组成部分。①南非的KingIIReport(2002)认为传统的内部控制系统不能管理许多风险,譬如政 治风险、技术风险和法律风险,风险管理将内部控制作为减轻和控制风险的一种措施,是一个比内部控制更 为复杂的过程。英国内部审计师协会(1999)、C锄pion、Anth(2000),Ge耐tSarens、IgnaceDeBeelde (2005),澳大利亚证券交易所(AustraliaJlstockExchange)也明确提出了风险管理包含内部控制的观点。 不难看出,内部控制是公司治理的基础,没有内部控制,公司治理无从谈起,而风险管理又包含内部 控制,进一步推论也就是风险管理是公司治理的基础。从理论上说,基础相对于建立在基础之上之物是须 臾不可分离的,就像墙基与墙体的关系一样,实质上他们是一体的。 2.公司治理是内部控制的环境要素之一,是内部控制的前提,而风险管理包含内部控制。阎达五、 杨有红(2001)认为随着公司治理机制的完善,内部控制框架与公司治理机制的关系是内部管理监控系 统与制度环境的关系。黄世忠(2001)提出,如果不强化公司治理结构的基础建设,要建立、健全内部 控制以确保会计信息的真实、完整只能是奢谈。吴水澎和陈汉文等(2000)、张安明(2002)、李明辉 (2003)、程新生(2004)在相关研究中均持相似观点。 正如上述,由于风险管理包含内部控制,也就进一步推论公司治理也是风险管理(含内部控制)的 前提。如果公司不强化治理结构的基础建设,就很难有效地进行风险管理。实际上,公司治理不完善有效 本身就是一种风险。 3.内部控制与公司治理是你中有我、我中有你的嵌合关系,而风险管理包含内部控制。王蕾 (2001)认为,内部控制与公司治理具有高度的相关性,一个健全的内部控制机制实际上是完善的公司治 理结构的体现。反过来,内部控制的创新和深化也将促进公司治理的完善和现代企业制度的建立。李连华 (2005)指出,内部控制与公司治理这两个管理系统在主体、目标和内容上有着很多重合点,将二者的关 系理解为主体与环境的关系,是不符合他们彼此之间的依赖性、重合性的特征的。他认为内部控制与公司 治理不是内部与外部、主体与环境的关系,而是“你中有我、我中有你”的相互包含关系,因此“嵌合 论”更能准确地描述公司治理结构和内部控制的相互关系。 由于风险管理包含内部控制,就可以进一步推论公司治理与风险管理的关系是你中有我、我中有你的 相互包含关系。 就内部控制与风险管理的关系而言,也有内部控制包含风险管理的观点。加拿大cOcO报告(CICA, 1995)认为,“控制”是一个组织中支持该组织实现其目标诸要素的集合体,实质上就是“内部控制”。 COCO的报告认为,风险评估和风险管理是控制的关键要素。cIcA(1998)将风险定义为“一个事件或 环境带来不利后果的可能性”,阐明了风险管理与控制的关系:“当您在抓住机会和管理风险时,您也正 在实施控制”。这种认识与前述内部控制与公司治理的三种关系相匹配,可以得出与前面三者关系基本类 似的结论。 . 38 ① 11.eTl唧bIlllRepoft.Guid明∞forDirect啪彻£lIeC衄lbinedCode.ICAEW,Lond∞,1999 万方数据 此外内部控蠲与风险管理酶关系还有第三种麓点,鞠内部控翻就是风险管理。嚣l粼珏u琢(19鳄)认 为风险管理与内部控制仅是人为的分离,而在现实的商业行为中,它们是一体化的。Matthewkitch (2004)认为,理论上,风险管理系统与内部控制系统没有差异,这两个概念的外延变得越来越广,正在 变为同一事物。正由于内部控制就怒风险管理,所以与上述内部掩涮与公司治理的三种关系想蹑配,可以 得出与前者完全相同的结论。 从上瑟论争豹回蹶孛可以看出,内部控制、公司治理与风险管理三者的关系是密不可分的,它又表现 为三种形态:第一种是互为前提关系,第二种是相互包含关系,第三种是等同关系。既然三者的关系是如 此之密切,甚至是完全等同,这就向我们提出了一个重要的问题.:如果我们在制定三种规范时,囱不同的 主体来制定并各自为致,就会在金韭执行层瑟造成麓度的重叠帮执行酶反复。为此,翔果我镯麓证明这三 者确实具有基本的相似以致完全的相同性,我们就有必要对这三种规范进行整合。 三、内部控制、公司治理、风除管理:三者关系是髯是同 尽管对三者的关系有各种不同的看法,但理论界和实务界都基本一致地认为,三者是密不可分甚至是 完全相同的。我们认为尽管三者在文字表述上存在差异,但就其实质而言是相同的。为了说明这一点有必 要从历史纛逻辑酶统一中进行论证。 从历史的演变来看,三者具有同~性。按照历史演变的时间顺序,先有内部控制,而后_出现公司治 理,最后提出风险管理。与公司治理相比,内部控制思想和实践历史更悠久,它是伴随着企业的实践而产 生的。 在早期的企业中,由于群体劳动和分工的结果,为了保证财物的安全,在企业内部实行了相互牵制, 从耐形成了内部牵制的实践。在15世纪,随着资本主义企业的发展和复式记账法的出现,以账髓问的相 互核对为主要内容、实行职能分离的内部牵涮开始得蓟广泛应用,内部牵制不仅保证财物的安全,也保证 会计信息的真实性。由于早期的内部牵制主甏是指企业的业务活动必须经过两个或以上的分工的部门,以 及弼个或以上的权力层次,以形成耀互利衡。这霹豹内郝牵裁的内涵和外延樱对狭小。 内部控制作为一个专门的术语是基于审计实践的需要,由审计人员从 评价 LEC评价法下载LEC评价法下载评价量规免费下载学院评价表文档下载学院评价表文档下载 企业的控制活动中抽象出来 的,并受到人们的广泛重视。1949年,美国注册会计师协会(AlCPA)的审计程序委员会首次对内部控 制进行了定义,此后,该委员会又多次对内部控裁的内涵裙外延进行定义,毽整体上看,这时麓内部控麓 主要是从财务审计的角度立足于查错防弊的目的进行定义的,尽管如此,此时的内部控制本身已经超出了 内部牵制的内涵翱外延,包涵了一拨属于管理控制的内容。 20世纪60年代以来,大量公司倒闭或陷入财务困境,诱发了审计“诉讼爆炸”,导致了审计风险大 大增加以及对“内部控制”的怀疑,这使得审计不仅仅利用内部控制作为审计重点的选择方法,而且要 对企业凌部控制铡度本身进行评挽。这就使褥内部控剃不仅簪整在其内涵纛外延的定义上,更要确定蠢邦 控制的基本结构,以此才能对企业的内部控制进行评价。AIcPA予1988年正式以“内部控制结构”这一 概念代替了“内部控制”,提出了内部控制结构三个基本要素:控制环境、会计制度和控制程序。这一发 展使内部控裁豹研究重点从一般涵义雩l淘具体内容,从弼更栩反映了内部控剩鑫身的性质。不难蓉出,这 个时期对内部控制的研究进入了其具体内容,同时有关管理控制的内容也不断完善。 为了进一步提高财务报告的质量,探讨舞弊性财务报告包括内部控制制度不健全的问题,1985年, 由美辫会计学会(AAA)、美国注册会计师协会(AlCPA)、财务经理协会(FEl)、圜际内部审计人员协 会(IIA)及管理会计师协会(IMA)共同赞助成立了“反对虚假财务报告委员会”(‰adway娄员会), 之嚣在‰蠢w掣委员会的建议下,又组或了一个专门疆究蠹部控镧阀题的檄构——“发起组织委员会” 39 万方数据 (cOsO)。1992年,COSO发布了《内部控制——整体框架》的 研究报告 水源地可行性研究报告美术课题研究中期报告师生关系的个案研究养羊可行性研究报告可行性研究报告诊所 ,将内部控制定义为由董事会、 经理层和其他员工共同实施的,为营运效率、财务报告的可靠性和相关法规的遵守等目标的达成而提供合 理保证的过程,并把内部控制整体框架区分为控制环境、风险评估、控制活动、信息与沟通、监督等五个 互为关联的组成部分。显然,这个内部控制的整体框架,在控制实施主体上不仅关注企业的员工,而且更 加关注董事会和经理层(控制实施的主体可以理解为控制主体和受控主体,在内部控制中这两者是不可 分割的);在控制范围上不仅关注企业内部控制,也关注控制环境;在控制的目标上不仅是财产的安全、 财务报告的可靠性和相关法规的遵循性,而且更加关注营运效率的提高;在控制的内容上不仅关注会计控 制,而且更加关注管理控制;在控制的框架的分类上,也由过去的按控制的内容分类转换为按控制的过程 分类,在控制过程的每一环节,又按财物安全、报告真实、行为合规、经营有效等控制目标分类。 1992年COSO提出的整体框架在内部控制的内容和程序上已经相对完善,但理论界与实务界还是认 为其对风险强调不够,无法使得内部控制与风险管理很好地结合。1999年的特恩布尔报告在COS0报告 的基础上,分析了合理的内部控制系统应具备的特征和包含的要素,在此基础上设计了评价内部控制系统 要素有效性的一系列标准,使得公司能够按照适合外部环境的方式构建和实施内部控制。为了适应2l世 纪企业环境对内部控制的要求以及风险管理的需要,COsO于2004年9月正式颁布了《企业风险管 理——整体框架》,其中指出:“内部控制是企业风险管理的有机组成部分,企业风险管理包含内部控制, 并形成一个(比内部控制)更为广泛的管理概念和工具”。比之于1992年的《内部控制——整体框架》 发生了以下变化:在内部控制目标上增加了战略目标;在控制内容上增加了风险控制;在控制的环节上将 原来的“风险评价”被拓展为“目标设定、风险识别、风险评估和风险应对”四个。不难看出,新框架 直接凸显风险管理。对风险的控制不仅面向过去,而且也面向未来,使得风险管理不仅贯穿于作业层次也 贯穿于管理层次,不仅贯穿于战术层次也贯穿于战略层次,不仅贯穿于执行层次也贯穿于决策层次。可以 认为《企业风险管理——整体框架》是涉及到企业全要素、全过程、全层次的风险控制。 从内部控制的历史变迁中可以看出,最早的内部牵制本身就是基于企业财物的安全性和信息的真实性 的需要而产生的,而财物不安全和信息不真实正是当时企业面临的基本风险。相对而言,当时的市场变化 较小,市场结构相对单一,企业规模也相对较小,企业经营结构相对单一,这意味着当时企业的经营风险 包括战略风险都不是主要的风险。尽管如此,至少仍然可以看出,内部牵制是基于对财产不安全和信息不 真实风险的控制需要而产生的,内部牵制本身就是控制风险,而控制风险就是风险管理。所以内部控制是 以风险管理为起点的。在后来的发展中,内部控制几经变迁,其控制的目的由财物的安全性、信息的真实 性进一步扩展至经营效率以至战略的正确性;其控制的层次由企业员工层面向经理层和董事会(甚至包 括股东大会)提升。但无论怎样变化风险管理是贯穿内部控制的核心主线,只是其风险管理的目标、内 容和层次伴随企业的环境、企业经营的模式以及企业制度的变迁而变化。 自19世纪末以来,公司制企业成为了发展最快、数量最多的企业形式之一。公司制企业比之自然人 企业,在组织架构上必然设立股东大会、董事会和经理层,如果说在自然人企业内部控制的对象是企业内 部的员工,那么在公司制企业中由于组织层级的增加,使得控制的对象必然由员工层次上升到经理层、董 事会以至股东大会。事实上,在20世纪公司制企业的发展过程中的,发达国家公司的内部人控制相当严 重,经理人背德、逆向选择、决策失误、以及大股东一股独大导致决策非理性、侵占小股东利益等问题使 得大量公司失败,为了解决这一问题,理论和实务界提出了公司治理的理论与方法,形成了公司治理的规 范。公司治理包括外部治理和内部治理,这里的公司治理规范主要是就内部治理而言的。公司治理的目标 也是要保证各层次的受托者不得背叛委托者,这里的背叛包括侵吞财物、信息欺诈;公司治理的另一目标 40 ’ 万方数据 也是要保证各层次的受托者理性地决策,这里的理性决策首先要求受托者不得逆向选择,也要求在识别企 业各种风险的基础上做出正确的战略选择和经营决策。所以非常巧合的是,公司制企业内部控制制度的控 制目标拓展和控制层次提升的趋势与公司内部治理的治理目标和治理层次具有几乎完全拟合的特征,也就 是由于公司制企业的特点使得内部控制必须适应这种特点。尽管理论和实务界单独研究和实践了公司内部 治理,但本质上仍然是为了控制风险,只是这种风险控制是基于新出现的公司组织层次,以及这些层次所 要进行的行为(战略选择与经营决策)的。通过内部控制目标拓展和控制层次的提升就可以达成公司内 部治理的要求,两者可以合二为一。 此外,现代内部控制更加关注内部控制环境,历史地看,从内部牵制开始至今,内部控制环境本身都 是内部控制所要考虑的因素,只是伴随现代公司制企业的出现,企业越来越成为一个开放系统,外部环境 对公司的影响越来越至关重要,影响的内容、影响的方式也发生了重大变化。外部环境的影响对公司的风 险、特别是内部风险的形成的密切程度和作用程度不断上升,所以现代内部控制为了有效地控制风险,必 然更加关注风险的形成源头,进而把外部环境分析作为内部控制的重要一环。 最后,《内部控制——整体框架》升级为《企业风险管理——整体框架》,之所以能够发生这种转化, 根本原因在于内部控制的最终目的就是为了控制风险,从语义上说,内部控制就是控制风险,控制风险就 是风险管理。所以内部控制和风险管理是控制风险的两种不同语义表达形式。内部控制主要是从风险控制 的方式和手段说明风险控制的,风险管理就是从风险控制的目的来说明风险控制的。内部控制所描述的风 险控制的方式和手段已经内含了风险控制的目的,没有目的的控制方式和手段是毫无用处的;风险管理所 描述的是风险控制的目的也内含了风险控制的方式和手段,没有控制方式和手段的控制目的是无法实现 的。事实上,从《内部控制——整体框架》和《企业风险管理——整体框架》的内容看,他们就是控制 目的、控制方式和控制手段的统一。当然,《企业风险管理——整体框架》作为《内部控制——整体框 架》更高阶段的规范,一定会有其新的内容,就是凸显风险管理自身,这表现在该框架的内容上就是将 原来的“风险评价”拓展为“目标设定、风险识别、风险评估和风险应对”。这表明风险管理确实把风险 本身作为一个特定的要素进行管理,而以前的内部控制只是把风险控制作为一个控制目标。既然把风险本 身作为一个特定的要素进行管理,就必然涉及风险管理目标的设定(风险的容忍度)、风险识别、风险评 估和风险应对一个完整的风险管理过程。事实上,在内部控制中,每一个被控风险要素都必须经历这四个 风险管理的环节,也就是风险管理程序。除此而外,现代公司制企业面临的风险是过去的自然人企业所无 法企及的,特别是战略风险和经营风险。在长期的风险控制的实践中,企业发现,有的风险可以避免,有 的风险可以消除,有的风险只能控制在合理水平,有的风险只能承受(单个企业承受或多个企业分担)。 由此,在《企业风险管理——整体框架》中明确指出,管理当局必须采取一系列行动,以便把风险控制 在主体的风险容忍度之内。之所以产生风险的容忍度主要是基于风险产生的成本与收益之间的比较。由于 风险容忍度的形成,风险控制就不仅仅是让风险不能发生,而是在一定的条件下允许存在一定的风险,这 样就产生了把风险作为一个单独的管理要素的必要,以至企业必须设定风险管理的目标即风险的容忍度, 并以此来进行风险识别、风险评估和风险应对。 纵观历史的发展过程,无论是内部控制、公司治理还是风险管理,都是为了控制企业可能面l临的 各种风险而产生的,伴随企业由自然人企业向公司制企业过渡,企业的组织层次发生变化,相应的风 险控制也由员工层次向经理层、董事会以至股东大会转换,风险控制也由内部控制发展为公司治理; 并且,在企业较高层次,其主要的职责是经营决策,所以公司治理更多地关注决策理性,也就是决策 非理性的风险;早期企业面临的主要风险是财物侵吞和信息欺诈风险,风险控制的主要任务是保证财 41 万方数据 产安全和信息真实,而现代企业财物的安全控制体系和信息体系不断地建立健全,企业面临的主要风 险已转变为市场竞争风险,所以风险控制就更加关注战略风险和经营风险;同时,长期的企业实践使 人们相信。企业不可能完全避免和消除风险,企业必须承担某些风险,有的风险只能控制在可容忍的 水平,风险控制的目标就不再仅仅是避免和消除风险,而是要事先设定风险容忍度,企业只是对超过 这一容忍度的风险进行控制。 从逻辑的推理来看,企业风险表现为企业收益(成本)的不确定性,企业经营就是经营风险,企业 管理就是管理风险,企业一旦设立就必然与风险相伴。企业控制(或者经营、管理)风险就是要使收益 (成本)达成企业设定的目标,企业经营管理过程,就是为了达成设定的收益目标,选择企业经营方向, 围绕经营方向有效配置资源,使资源得到充分利用的过程。在配置和运用资源过程中,由于两权分离和分 层管理形成了多层的委托代理关系,由于人的私利性很容易造成受托人背叛委托人,这种背叛主要表现在 侵吞委托人的财物、对委托人进行信息欺诈以及违背委托人所确定的各种行为规则。当受托人进行这些行 为时,不仅会使委托人遭受损失,更使企业难以为继,必然最终遭致破产风险。所以对受托人的这些行为 进行控制,就是进行风险管理;在配置和运用资源的过程中,由于分工分权管理形成了多个决策与执行主 体,这些决策与执行主体是否能真正做到科学决策、有效执行,必然直接影响企业的战略选择和经营效 率,从而直接影响企业的收益。从理论和实践的角度看,由于人的有限理性以及事物的复杂性,使得决策 难以完全科学,执行难以完全充分有效,这必然导致企业经营和财务风险的发生,及致企业陷于破产。既 然在企业中存在背德和非理性两种风险,所以企业必须对这两种风险进行有效地控制。从理论上说,只有 把风险降至零的状态才是最理想的,但是任何风险控制都将发生成本,并非任何因风险控制而发生的成本 都是有效的,这就使得企业必须在风险控制成本与风险控制效益之间做出权衡,权衡的结果无非是当风险 控制成本高于风险控制效益时,企业就会选择回避风险(回避风险也就是不作为,不作为也就是无收益, 无收益也无成本),或者允许一定程度的风险发生(这是风险容忍度形成的理论基础)。总之企业设立就 与风险相伴,而风险是否发生则与人相关,所以企业经营管理就是要进行风险控制,或者说企业经营管理 就是经营管理风险。从这个意义出发内部控制、公司治理、风险管理都属于企业管理的范畴,它们都是为 了进行风险控制。 四、内部控制、公司治理、风险管理:三者整合的框架 内部控制、公司治理以及风险管理都是基于企业存在风险而产生的,他们都是为了进行风险控制,既 然如此,我们就没有必要为此制定三种规范,而是应该将其整合为一种统一的规范。至于这种规范的名称 叫什么并不重要,或者我们可以按照历史的习俗继续沿用内部控制,或者为了更好地凸显所有这些规范的 控制目的而直接称之为风险管理。必须注意的是风险管理并不是一种脱离于企业经营管理活动之外的管理 形式,它内含于整个企业的经营管理活动过程之中;风险管理是针对企业的各责任主体而言的,离开了这 些责任主体风险管理既失去了风险控制的主体,也失去了风险发生的主体;为了进行风险管理,必须要有 一整套风险识别、风险控制的程序和方法,如果更广义地说,就是企业管理的程序和方法;风险控制的目 的正如同内部控制成的目的那样是确保财物的安全和信息的真实,而后进一步拓展为提高经营效率以及各 项法律法规的执行。依此四个方面,我们可以将三者整合成如下框架: 从图中可以看出,我们将三者整合后的框架是由四个维度组成的:第一个维度是指风险管理的基本程 序,这一程序在cOsO的《企业风险管理——整体框架》中有明确的规定,这里不再赘述;透过这一程 序对所有可能发生风险的责任主体进行风险识别和风险控制,没有人存在的地方显然不会发生风险;在第 二个维度中表达的就是这些责任主体,之所以把子公司单独列为一个责任主体,是因为现代大型企业多以 42 万方数据 图1 内部控制、公司治理、风险管理的四维整合框架不意图 集团公司的形式存在,集团公司所属的子公司往往也存在背离母公司的倾向,从而母公司会面临控制的风 险。所有这些主体只是在从事经营管理的过程中才会发生风险,有人存在而不进行经营管理活动的地方显 然也不会发生风险,也就是只有有人并有人的行为的地方风险才会发生。企业的经营管理过程可以理解为 是由以下环节组成:一是确定企业发展战略,二是在已定战略的基础上制定某一时期的经营计划,通常是 年度计划,三是为了保证计划的执行必须设定计划执行的责任主体,也就是形成企业内部组织(如第二 维度所示),四是为了使企业内部各组织之间协调运转,必须制定各种相应的流程,五是各组织或责任主 体执行计划,六是各执行行为都是通过具体的作业来完成的,风险存在于各项作业之中,识别和控制风险 必须从作业开始;通过对这些责任主体所从事的经营管理活动进行风险识别和风险控制是一种有目的的行 为,这些目的在第四个维度中得以表现,目的之一是财物的安全,在企业经营管理过程中,各责任主体必 然会占用一部分财物,这些财物有可能被这些责任主体私吞,所以保证财物的安全成为了风险控制的最基 本的目标,目的之二是信息的真实,在企业内部分层管理而形成委托代理关系的条件下,受托人必须向委 托人报告受托责任的履行情况,但是受托人为了隐瞒受托责任的履行情况可能制造虚假信息,所以保证信 息的真实就成为了风险控制的另一个基本目标,目标之三是在企业内部分层分权管理的条件下,为了协同 整个企业的行为,有关管理当局会制定各种法规制度,但分层分权各所属责任主体有可能违反这些制度, 所以保证各责任主体的行为合规就成为了风险控制的又一个基本目标。这三个目标能否最终实现是保证企 业正常运转的前提条件。目标之四是经营有效,企业财物安全、信息真实、行为合规的最终目的是提高企 业的经营效率,实现企业价值的最大化。但是各责任主体有可能非理性决策和执行,导致经营效率低下, 所以保证各责任主体理性决策和执行,提高经营效率就成为了风险控制的最高目标。这一目标能否最终实 现是保证企业有效运转的前提条件。 在实现三者整合建立新的框架的过程中,必须考虑以下因素: 因素之一,三者之整合都以风险控制为主线,无论从历史的回顾还是理论的分析都可以看出内部控 43 万方数据 制、公司治理以及风险管理都是基于对风险进行控制而产生的。更一般地说,企业管理实质上就是风险管 理。理论上讲,风险是指收益的不确定性,而风险又与收益对称,如果企业不作为就没有风险,没有风险 自然就没有收益,而要取得高收益,就必然面l临高风险。企业管理的目标就是要实现企业价值或者收益最 大化,也就意味着企业面l临的风险最大化,正是透过对这一最大化风险的有效识别和控制,才能达成企业 管理的目标。 因素之二,风险控制的目标不是针对物和事,而是针对人。就目前所论及的风险管理的有关规定看, 风险管理的目标大多定位在物和事上,主要是指风险管理的目的是要保证信息真实准确、保护财产的安 全、提高经营效率。事实上,风险是企业经营管理过程中存在的客观现象,既然如此,最重要的是人们要 认识风险、识别风险并对风险发生的可能性、引起风险的要素进行有效的控制。这意味着风险的存在与否 人们不可改变,人们必须所为的是能否发现风险并进行有效控制。既然人们可以通过自身的行为识别风险 与控制风险,所以风险管理的最终目标就不是指向物和事而是人们的行为。就人的行为而言,在没有约束 的条件下,有可能出现人之初性本恶的特征。这种特征主要表现在背德上:背德之一是造假,背德之二是 私吞,背德之三是违规,这样就形成了风险控制的三个目标,这三个目标显然是与人自身的行为直接相关 的。人在没有约束的条件下,除了背德之外,还可能出现不理性行为。它是企业风险形成的第二个原因。 不理性通常是由于风险控制者的能力缺失或者盲目(如经验主义、主观主义、教条主义等)所致。既然 如此,风险管理的目标是控制人们的不理性行为。这种不理性行为会导致各责任主体不能有效地识别和控 制企业客观存在的经营风险,从而导致经营效率低下,以致经营失败。 因素之三,风险控制不能只是控制人的恶、还应包括激发人的善。风险控制的目标是控制人,过去往 往只是从控制人的背德、非理性角度考虑。事实上,人之初性本恶、人之初性本善是人性的两面,它们是 交互作用的。一个企业,人性恶的一面必须被控制,不仅需要制定人们不许为的法律规范,还要通过制定 张扬人性、激励人性的制度使人们乐于从善、主动从善、追求更善。企业在进行风险控制时一定要防止 “逼良为娼”的效应,而是要产生“高薪养廉”的效应。 因素之四,风险控制必须从风险发生的原因进行识别和控制。过去风险识别与控制更多的是关注风险 发生的结果,实际上,风险控制应该更多地关注原因。在风险识别上,过去的风险管理往往是以企业的会 计报表或业务经营数据作为风险识别的依据,而这些数据是企业经营活动的结果,这就使得风险识别停留 在相对事后、相对笼统的状态,这主要因为,会计报表以及业务经营数据作为结果数据是对过去事件的描 述,同时这些数据已经经过会计核算体系以及业务核算体系的归纳、汇总,难以直接揭示产生风险的事件 的性质,所以,为实现风险识别所需要的信息必须要由事后信息向事前、事中信息转换;要由抽象信息向 具体信息转换;由结果信息向原因信息转换。风险存在于原因之中,而引起风险的原因都是具体而细节 的。在风险控制上,必须实行源头控制、全程控制,而不是结果控制。在内部控制中强调关键控制点实质 上就是指风险产生源头的关键因素,而在内部控制中特别强调全程控制,也是考虑到风险伴随着企业经营 管理活动过程而产生,也就是说,企业经营管理的过程就是风险产生的过程,惟其全程风险控制才能使企 业避免、降低或消除风险。 因素之五,风险控制必须是针对全员的。过去的风险控制对象是更多地关注企业高层,实际上, 企业的风险存在于企业运行各个环节、各个要素、各个主体之中,正因为这样,风险管理具有全过程 管理、全要素管理、全主体管理的特征。站在企业各类人员行为的风险的角度,可以把风险分为造假、 私吞、违规和非理性决策四个层次,那么,在整个企业的委托受托层次链中,不同行为的主体可能带 来的风险具有性质、程度的不同。对于股东大会来说,通常不会存在背德风险,当然由于小股东、大 44 万方数据 股东的存在,大股东有可能侵犯小股东利益,也会存在股东之间相互背德的风险,这当然要受到控制。 股东大会存在的主要风险是决策的非理性风险。对于董事会和经理层,前者是企业经营的决策者,后 者是企业经营的执行者,可以将两者称之为经营层团队。两权分离后,经营者有可能产生背德行为以 及非理性决策。相比较而言,社会通过各种方式建立了对经营者的约束机制(如注册会计师事务所、 政府监管者等),以控制其背德的风险;但是,作为经营决策和执行的主体,社会难以对其决策及其执 行过程进行约束,这就使得经营者的非理性决策行为成为企业风险控制的焦点。对于企业其他各层次 而言,最为关键的是必须提供相应层次上所存在的信息,确保受托该层次的财产安全,以及执行上一 层次的各项决定。所以这些层次所要控制的风险主要是造假、私吞、违规以及偷懒的风险。 因素之六,风险控制要更多地采用制衡的方式。谈到风险控制人们自然想到监督,监督成为了风险控 制的主要手段。但是监督存在天然的缺陷,就是无法解决谁来监督监督者的问题。从现代企业制度看,企 业正在走一条建立制衡体系的路子。现代公司之企业之所以要设立股东大会并用一股一票制进行决策,就 是为了形成股权制衡;设立董事会并采用一人一票制进行决策,也是为了进行决策权的制衡;在员工层 面,任何业务都必须至少经过两个或两个以上的平行部门,以及之上经过两个或两个以上的不同权利层 次,也是为了各部门、各环节之间的相互制衡。 总之。在构造三者整合的框架体系中,以风险控制为主线,以全员、全要素、全过程的造假、私吞、 违规和非理性行为的风险为控制内容,以风险管理过程(见cOSO报告《企业风险管理——整体框架》 规定)为控制方法,构成一个风险管理的有机整体。 主要参考文献 cOs0.方红星等译.2005.企业风险管理——整合框架.大连:东北财经大学出版社 程新生.2004.公司治理、内部控制、组织结构互动关系研究.会计研究,4:1418。 黄世忠.2001.强化公司治理、完善控制环境.财会通讯,1:33—34。 李明辉.2003.内部公司治理与内部控制.中国注册会计师,1l:2224。 吴水澎,陈汉文,邵贤弟.2000.企业内部控制理论的发展与启示.会计研究,4:2—8。 徐雷.2005.由中美内部控制规范引发的思考.辽宁教育行政学院学报,3:38—39。 阎达五,杨有红.2001.内部控制框架的构建.会计研究,2:9—14。 杨雄胜.2005.内部控制理论研究新视野.会计研究,7:49—55。 张安明.2002.从美国财务危机看C0s0报告.会计研究,8:61~62。 张砚,杨雄胜.200r7.内部控制理论研究的回顾与展望.审计研究,l:37—41。 周兆生.2004.内部控制与风险管理.审计与经济研究,4:46—49。 Co咖ittee0fSpo∞耐ng0r吕肌i髓tion8oftlle’Ihadwayco删血ssi咖(COS0).IIlt蜘1alc佣trol-Integmtedn呦删ork[R]. 1992. Crite血0fC∞tml(COC0)Board0frnleCaIladi明I啮tituteofCharte捌Accountants.Guid明ceforDirect0瑁-DealingwitIlRisk iIltlleBoardroom.COCO,Tomnto,19919. .11lecommittee0fsponsoringo珞mization0ftlle’rreadway咖ITlissi佣(C0s0).2004.Enterpri∞riskm锄agemem-integrated fhm朗帅rk,executivesummary. 11leCo删Ilinee∞t}IeFin帅cialAspects0fC叩瑚ateGovem衄ce册d(;∞锄dco.“d.1992.11leFi咖cialA8pec协0fCorpo. rateGovem肿ce.(CadburyReport). S哪schIIlidtⅨ∞.20014.clⅡ彻tI鹪u∞inC阿porateGw咖ce-Ⅱf硗dveRiskM帅agemem.Vital洄h∞0ft11eDay,4:26 45 万方数据 内部控制、公司治理、风险管理:关系与整合 作者: 谢志华, Xie Zhihua 作者单位: 北京工商大学,100037 刊名: 会计研究 英文刊名: ACCOUNTING RESEARCH 年,卷(期): 2007(10) 被引用次数: 76次 参考文献(17条) 1.COSO;方红星 企业风险管理--整合框架 2005 2.The Turnbull Report.Guidance for Directors on the Combined Code 1999 3.Susan Schmidt Bies Current Issues in Corporate Governance-Effective Risk Management 2004 4.The Committee on the Financial Aspects of Corporate Governance and Gee and Co.Ltd The Financial Aspects of Corporate Governance 1992 5.The committee of sponsoring organization of the Treadway commission (COSO) Enterprise risk management-integrated framework,executive summary 2004 6.Criteria of Control (COCO) Board of The Canadian Institute of Chartered Accountants Guidance for Directors-Dealing with Risk in the Boardroom 1999 7.Committee of Sponsoring Organizations of the Treadway Commission (COSO) Internal Control- Integrated Framework 1992 8.周兆生 内部控制与风险管理[期刊 论文 政研论文下载论文大学下载论文大学下载关于长拳的论文浙大论文封面下载 ]-审计与经济研究 2004(04) 9.张砚;杨雄胜 内部控制理论研究的回顾与展望[期刊论文]-审计研究 2007(01) 10.张安明 从美国财务危机看COSO报告[期刊论文]-会计研究 2002(08) 11.杨雄胜 内部控制理论研究新视野[期刊论文]-会计研究 2005(07) 12.阎达五;杨有红 内部控制框架的构建[期刊论文]-会计研究 2001(02) 13.徐雷 由中美内部控制规范引发的思考[期刊论文]-辽宁教育行政学院学报 2005(03) 14.吴水澎;陈汉文;邵贤弟 企业内部控制理论的发展与启示[期刊论文]-会计研究 2000(04) 15.李明辉 内部公司治理与内部控制[期刊论文]-中国注册会计师 2003(11) 16.黄世忠 强化公司治理、完善控制环境 2001(01) 17.程新生 公司治理、内部控制、组织结构互动关系研究[期刊论文]-会计研究 2004(04) 引证文献(76条) 1.刘方方 对完善我国内部控制规范体系的几点建议[期刊论文]-时代金融(下旬) 2011(2) 2.丁少宁 论企业在风险管理中的内部控制[期刊论文]-经济师 2010(11) 3.杨玉才 关于现代企业内部控制体系构建的深入思考[期刊论文]-时代金融 2010(1) 4.王晖.郑宏涛 基于风险管理的内部控制研究[期刊论文]-现代企业教育 2010(4) 5.杨博.张仁健 浅议中国企业如何成功建设内部控制体系[期刊论文]-会计之友 2010(1) 6.王桂莲 软系统思考方法补足现行内部控制的短板[期刊论文]-国际商务财会 2010(3) 7.韩玲珍 我国企业预算管理创新问题——内部控制风险分析[期刊论文]-中国商贸 2010(28) 8.符运彬 基于金融危机背景的企业内部控制探讨[期刊论文]-中国外资 2010(3) 9.索玲玲.贺红艳 基于产权视角的内部控制研究[期刊论文]-现代管理科学 2010(7) 10.胡宝宝 内部控制、公司治理和风险管理的研究[期刊论文]-企业技术开发(下半月) 2010(3) 11.宁晋豫.张玉 论改善公司治理的控制框架[期刊论文]-企业导报 2010(8) 12.刘霜宏 COSO框架下的企业内部控制与风险管理[期刊论文]-全国商情·理论研究 2010(4) 13.池国华.王东阁 基于ERM框架构建国有企业投资风险管理体系研究[期刊论文]-科学决策 2010(3) 14.刘霄仑 风险控制理论的再思考:基于对COSO内部控制理念的分析[期刊论文]-会计研究 2010(3) 15.汪慧.魏文君 关于内部控制与风险管理思想演进的探讨[期刊论文]-科技创业月刊 2010(5) 16.罗曼 基于公司治理视角下的内部控制完善[期刊论文]-江苏科技信息(学术研究) 2010(2) 17.杜国栋 企业内部控制及风险管理解析[期刊论文]-经济研究导刊 2010(2) 18.姜晓阳 企业信息化与信息技术控制体系构建的探索[期刊论文]-化工自动化及仪表 2010(4) 19.季晓云.沈波.葛静 浅析公司治理与内部控制的有机衔接[期刊论文]-商业时代 2010(29) 20.张英.李超 内部控制概念的历史演进[期刊论文]-商场现代化 2010(28) 21.曾祥飞.林钟高.崔亭亭 控制权视角下内部控制的治理功能研究[期刊论文]-上海立信会计学院学报 2010(5) 22.晓芳.郝建君 高新技术企业全面风险管理实施框架——基于美国COSO企业风险管理框架[期刊论文]-科学管理研 究 2010(2) 23.陈燚 论四种控制机制的关系整合——基于会计学视角[期刊论文]-会计之友 2010(19) 24.陈丽蓉.周曙光 内部控制、风险管理与审计——兼议企业风险综合治理体系的构建[期刊论文]-会计之友 2010(16) 25.周小燕.罗许练 我国医药制造业上市公司内部控制研究——基于风险管理角度[期刊论文]-惠州学院学报 2010(4) 26.王晖.郑宏涛 政策性信用担保机构内部控制体系建设探析[期刊论文]-征信 2010(3) 27.郭晓莉 以风险管理为导向的企业内部控制[期刊论文]-国际商务财会 2010(7) 28.姜晓阳 国石化IT治理的认识和实践[期刊论文]-计算机与应用化学 2010(7) 29.叶陈刚.王海菲 公司内部治理质量与内部控制互动性研究[期刊论文]-经济与管理研究 2010(8) 30.张倩 基于风险管理的企业内部控制研究[期刊论文]-经济师 2010(9) 31.赵鑫泉 运用内部控制整体框架理论构建高校校园安全工作体系[期刊论文]-河南科技学院学报(社会科学版) 2010(6) 32.张荣玉.孙海燕 内部控制与风险管理融合研究[期刊论文]-管理学家 2010(9) 33.王大鹏 浅析企业内部控制存在的问题及完善对策[期刊论文]-财经界(学术) 2010(22) 34.仝建英 我国内部控制鉴证服务的最新发展与投资者利益保护[期刊论文]-江苏科技信息(学术研究) 2010(11) 35.张颖 会计风险研究[期刊论文]-总裁 2009(10) 36.梁松.史本山 公司控制能力研究现状及启示[期刊论文]-生产力研究 2009(21) 37.张飒 基于COSO风险管理框架的企业财务风险控制评价研究[期刊论文]-石家庄经济学院学报 2009(5) 38.张飒 基于COSO风险管理框架的企业财务风险控制评价研究[期刊论文]-上海金融学院学报 2009(4) 39.陈祥有 关于内部控制鉴证业务的几点思考[期刊论文]-绿色财会 2009(8) 40.刘倩 企业内部控制与风险管理浅析[期刊论文]-金卡工程 2009(9) 41.刘倩 企业内部控制与风险管理浅析[期刊论文]-金卡工程 2009(9) 42.刘倩 企业内部控制与风险管理浅析[期刊论文]-金卡工程 2009(9) 43.张继德 金融危机环境下企业财务管理对策[期刊论文]-中国管理信息化 2009(14) 44.张跃英 对企业内部控制现状的简析[期刊论文]-中国经贸 2009(16) 45.张士强.张暖暖 我国上市公司内部控制现状与存在问题分析[期刊论文]-审计与经济研究 2009(3) 46.胡春芳 我国企业内部控制的发展趋势与完善对策[期刊论文]-商场现代化 2009(20) 47.胡舂芳 企业内部控制理论的创新发展、评价与启示[期刊论文]-商场现代化 2009(18) 48.唐柳.赵昌文.王军 金融服务外包风险治理机制及管理框架构建[期刊论文]-软科学 2009(4) 49.李艳虹.贺赣华 商业银行公司治理与风险控制——传导机制与数据检验[期刊论文]-南方金融 2009(5) 50.李雅琴 基于风险管理的企业内部控制探析[期刊论文]-会计之友 2009(19) 51.杨青.张慧慧 基子公司治理的内部控制的思考[期刊论文]-经济师 2009(4) 52.兰艳泽.陶玲 内部审计与企业风险管理的互动机理分析——基于动态博弈的视角[期刊论文]-广东商学院学报 2009(2) 53.何佳 论我国内部控制的研究现状[期刊论文]-商场现代化 2009(9) 54.王桂莲 基于现代系统思考的企业内部控制创新研究[期刊论文]-会计之友 2009(8) 55.张桂玲 基于"大"风险管理的内部控制研究[期刊论文]-会计之友 2009(6) 56.林阁 材料采购内部控制缺失风险及应对[期刊论文]-大连海事大学学报(社会科学版) 2009(2) 57.何瑛.曹宇英 电信运营企业实施财务转型的现状、问题与发展方向——基于 问卷 关于教学调查问卷关于员工内部调查问卷员工内部调查问卷基药满意度调查问卷论文问卷调查格式 调查结果的分析[期刊论文]-北 京邮电大学学报(社会科学版) 2009(2) 58.杨博 中国企业基于风险管理视角的内部控制体系构建[期刊论文]-北京市经济管理干部学院学报 2009(2) 59.郑玮玮 内部控制与风险管理的关系[期刊论文]-大众商务(投资版) 2009(3) 60.朱亚光.魏锋 浅议会计电算化条件下的内部会计控制[期刊论文]-管理观察 2009(35) 61.李玉.郭著名 企业风险管理中的风险识别[期刊论文]-中国商界 2008(11) 62.李中华 中小企业内部控制与投资风险研究[期刊论文]-中国集体经济 2008(22) 63.徐许慧.付晓利 论公司治理视角下的内部控制完善措方[期刊论文]-时代经贸(学术版) 2008(35) 64.李婧.程六满 内部控制与企业风险管理关系辨析[期刊论文]-全国商情·经济理论研究 2008(8) 65.潘晓波 浅析基于财务报告的企业风险评价方法[期刊论文]-现代经济(现代物业下半月刊) 2008(6) 66.余虹 我国现代企业内部控制存在的问题及对策[期刊论文]-现代商业 2008(30) 67.王桂华 加强企业内部控制的探讨[期刊论文]-现代商业 2008(30) 68.邵楹楹.曹琼 浅谈企业财务的内部控制[期刊论文]-现代商业 2008(24) 69.杨清香 论公司治理控制[期刊论文]-武汉大学学报(哲学社会科学版) 2008(4) 70.杨姗姗 公司治理、内部控制与公司价值的关系研究述评[期刊论文]-河南商业高等专科学校学报 2008(6) 71.李淼.王振杰 国有商业银行公司治理与内部控制研究[期刊论文]-工业技术经济 2008(11) 72.杨忠智 论企业内部控制制度的设计[期刊论文]-改革与战略 2008(9) 73.石尚哲 商业银行会计主管委派制相关问题探讨[期刊论文]-金融发展研究 2008(7) 74.刘德元 基于风险管理的住房公积金内部控制[期刊论文]-大连海事大学学报(社会科学版) 2008(3) 75.白席平 企业内部控制浅析[期刊论文]-时代经贸(学术版) 2008(18) 76.丁友刚.胡兴国 内部控制、风险控制与风险管理——基于组织目标的概念解说与思想演进[期刊论文]-会计研究 2007(12) 本文链接:http://d.g.wanfangdata.com.cn/Periodical_kjyj200710006.aspx
本文档为【内部控制、公司治理、风险管理_关系与整合】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
is_375928
暂无简介~
格式:pdf
大小:856KB
软件:PDF阅读器
页数:13
分类:经济学
上传时间:2012-06-21
浏览量:52