您好, 访客   登录/注册

基于风险管理的企业内部控制探析

来源:用户上传      作者: 李雅琴

  【摘要】 目前,很多企业内部控制存在风险管理缺失的问题。本文以ERM框架为参照,指出我国企业内部控制存在的问题以及ERM框架对我国企业内部控制的启示,并针对中信泰富巨亏事件从内部控制角度进行了分析。
  【关键词】 风险管理;内部控制;ERM框架;企业内部控制基本规范
  
  一、引言
  
  2008年10月21日,中信泰富由于巨亏在港股高开293点时狂跌38%,截至收盘跌幅则扩大至55.10%,全天市值蒸发70.8亿港元,其跌幅之惨烈令人心惊肉跳。而中信泰富是恒生指数的成份权重股、蓝筹股,同时因其大股东是国企中信集团,所以也被视为红筹股,就是这样一支股票却发生了如此不可思议的一幕,究其原因却是我们反复强调而事实上又经常忽略的内部控制问题。美国COSO委员根据萨班斯法案的相关要求,于2004年底颁布了一个全新概念的报告:《企业风险管理――整体框架》(Enterprise Risk Management,简称ERM),ERM报告是内部控制框架的新发展,侧重于用风险的理念来看待企业的管理和目标的实现。随着这个报告的颁布,在企业和理论界都掀起了一股重视风险管理的热潮。就是在这样的背景下仍然发生了中信泰富事件,实在让人扼腕叹息。中信泰富只是一个典型,其他还有很多企业都存在风险管理缺失问题,如四川长虹、创维数码、伊利股份等。为了加强和规范企业内部控制,提高经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。鉴于此,有必要从风险管理的角度对内部控制进行研究。
  
  二、我国企业内部控制现状与存在的问题
  
  (一)风险管理意识薄弱,对风险评估不足
  当前企业面临的风险主要有市场风险、信贷风险、营运风险、法律风险、管制风险等。在众多风险中,最主要的风险是营运风险。企业应当建立可以辨认、分析和管理风险的机制,并确认高风险领域,以加强管理。但我国企业缺乏的就是这种机制,对于风险的管理十分薄弱,缺乏有效的风险识别、评价和反应机制。企业抗险能力低,主要体现为:一是缺乏风险事项识别机制。企业管理层还未认识到风险事项识别是一个综合性的过程,需要在实践工作中进行全盘综合考虑。大多数企业目前只能被动地接受内部或外部变化带来的风险。二是没有适当的风险评估体系。三是风险的应对机制空白,还处于“出现一个问题,解决一个问题”的事后被动弥补状态。
   (二)缺乏有效的风险防范措施
  虽然在有效资本市场的条件下,风险和收益是对称的,低风险低收益,高风险高回报。但是从内部控制的角度看,企业应在认知和分析风险后,采取积极、创新的风险管理措施,把风险控制在企业可接受的范围内。但是一些公司为了追求高收益,过度冒险,违规经营,敞开风险防范的大门,将负债风险和破产风险交由股东承担,致使风险资产加大,经营风险和财务风险增加,最终导致公司和股东的利益受到损害。
  (三) 内部控制制度执行不力,公司缺乏对内部控制状况定期进行有效评价的机制
  因内部控制制度执行不力导致经营失败的案例在我国可谓屡见不鲜。曾经以利润高速增长现身的“郑百文”,表面上有关会计凭证审核、批准等控制完美无缺,背地里却是一个不折不扣的造假链的银广夏,中国银行哈尔滨河松街支行的“巨额现金神秘消失”案件等等无一不是由于内部控制制度执行不力造成的。许多企业的内部控制制度是挂在墙上、写在纸上的制度,实际执行情况可想而知。企业内部控制制度执行情况评价、报告等也鲜有实施,没有建立有效的内部控制定期有效性评价的机制,大部分内控制度流于形式。另外,长期以来,对企业管理者业绩考核以利润为主要依据,评价方式单一,很少对其内部控制综合评价。
  
  三、ERM框架对我国内部控制的启示
  
  ERM对原COSO报告的整体框架进行了扩展,把更多的注意力放到了企业风险管理这一更加宽泛的领域。在内部控制的内涵、目标、要素以及内部控制责任承担等层面有了全新的突破。总的来讲,新的框架强调在整个企业范围内识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现在企业战略制定阶段就予以考虑。对风险的控制不仅面向过去,也要面向未来;使风险的管理不仅贯穿于战术层面也贯穿于战略层面;不仅贯穿于执行层面也贯穿于决策层面。因此,《企业风险管理――整体框架》是涉及到企业全要素、全过程、全层次的风险控制。ERM框架对我国正在建设中的内部控制具有十分重要的启示作用。
  (一)以风险为导向来进行内部控制,加强针对管理层权力制衡的内部控制制度建设
  从COSO的两份重要报告:1992年的《内部控制――整体框架》和2004年的《企业风险管理――整体框架》可以看出,风险管理已经作为主要的内部控制要素。内部控制和风险管理日益融合,风险导向已是内部控制的发展方向。
  在企业内部控制制度的建设中,对于企业的高层管理者的合理授权,是非常重要的一个环节。国内出现的有重大舞弊经济案件的企业,大部分都是因为授权不当引起的。因此,在具体授权时,应考虑既能保护经营决策的有效运作,管理制度的有效贯彻,又能使权力制衡得到落实。ERM框架认为董事会在风险管理中负总体责任,企业风险管理的成功与否主要依赖于董事会,因为董事会需要批准组织的风险偏好。在企业风险管理中,CEO负有首要责任,并应对所有权负责,其他经理人员则起支持作用;风险部门管理者,财务部门管理者和内部审计人员等负有关键性责任;其他的企业人员负有按确定的指示和协议执行企业风险管理的责任。
  (二)完善重大决策的内控流程并保障实施
  完善制订重大决策的内控流程并保障实施是企业风险控制的关键。传统模式下的内控制度,业务部门经过会签,通过流程将决策信息提交给CEO,CEO可以对决策信息进行风险过滤后提供给董事会,从而诱导董事会作出有利于他们的决策。财务经理对CEO负责,即使出现问题,CEO也可以通过施加影响修改财务报表。在这种内控架构下,董事会很难发现舞弊问题,等到发现时局面往往已不可收拾。内部审计只能监控CEO以下的控制点,监事会则基本形同虚设。在修订后的内控架构中,决策权被上移至董事会。监事会(或风险管理委员会)的职责更加明确,除听取CEO的汇报外,还要关注CEO控制点之前各流程的风险评估,并且有权对相关部门进行质询。财务经理同时对CEO和董事会负责,并接受监事会的监督,监事会对决策流程做出客观的风险评估后提交董事会。这样,董事会在审议CEO提交的方案前,拥有来自业务层、财务经理、监事会从各自不同角度提供的风险评估信息。
  (三)强化对各关键环节的风险控制,建立科学的绩效考核和违规问责机制
  由于内部控制制度的设计受到成本效益原则的制约,不可能面面俱到,因此只有抓住关键的控制点才能建立有效的内部控制制度。关键控制点是指业务流程和单位经济活动中那些容易产生风险的环节。要求对每个关键控制点提出风险量化分析。首先,要对关键环节所涉及的人员进行培训,培养风险管理的理念,使其意识到他们提供的风险评价信息将对董事会的决策产生直接影响。其次,明确各主体在企业风险管理流程中承担的责任,强化责任意识,及时对内部控制进行有效性评价,评价可以采用自我评价结合外部专业机构评价,同时制订相应的奖惩措施,促使各控制点对风险和机会保持足够的谨慎态度。一些企业的风险管理意识薄弱,在投机心理驱使下出现的类似赌博的行为得到默许,甚至纵容,因此,必须建立正确的业绩观念,改变那种以利润为主要业绩的考核依据,且评价方式单一的局面。具体可以通过风险调整后的收益同时结合非财务指标考核,遏制高风险的投机冲动;另一方面强调违规问责,加大违规成本,提高全体员工的风险防范意识,抵制内部人控制和机会主义行为,提高制度实施的质量和效果。财政部等五部委制定的《企业内部控制基本规范》中明确指出:执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。该规范第八条规定:企业应当建立内部控制实施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。

  (四)建立有利于风险管理的内部环境
  企业内部环境是企业风险管理发挥作用的基础,对企业风险管理系统的实施以及职能的发挥产生重大、持久的影响。企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。必须加强对员工的在职培训和后续教育的投入,努力打造学习型组织,提高企业风险管理的整体能力。
  
  四、中信泰富案例简析
  
  (一)中信泰富巨亏案简介
  中信泰富集团为了减低西澳洲铁矿项目面对的货币风险,签订若干杠杆式外汇买卖合约以对冲风险。但外汇杠杆合同被普遍认为投机性很强,属于高风险产品。自2008年9月7日察觉到该等合约带来的潜在风险后,公司终止了部分合约。但7月1日至10月17日,公司已因此亏损8.07亿港元。至10月17日,仍在生效的杠杆式外汇合约按公平价定值的亏损为147亿港元。换言之,相关外汇合约导致已变现及未变现亏损总额为155.07亿港元。
  (二)基于风险管理的内部控制视角进行巨亏分析
  1. 对投资风险,特别是潜在风险的评估不足
  中信泰富对远期合约风险评估不足是这次投资巨额亏损的主要原因。这类杠杆式外汇买卖合约交易者只需支付一定比例的保证金,就可进行数十倍的额度交易,本质上属于高风险金融交易,尤其在当前金融危机的肆虐下,部分国家货币汇率波动剧烈,类似波动在经杠杆放大后,其导致的风险将是惊人可怕的。合约套期保值的功能是有限的,每份合约当达到公司可收取的最高利润时(幅度介于150万美元至700万美元之间)就将终止,如果澳元大幅升值,过低的合约终止价格使得其套期保值作用相当有限,但是如果澳元走软,中信泰富必须不断以高汇率接盘,理论上亏损可以无限大。对澳元汇率的判断过于乐观,使得中信泰富在全球金融危机下付出了惨痛的代价。作为未来外汇需求的套保,其目标应是锁定购买澳元的成本,也就是最小化澳元波动的风险。但是其签订的这些合约的目标函数却是最大化利润,中信泰富的风险是完全敞开的。
  2. 投资没有经过公司董事会授权审批
  中信泰富的公告中指出两名财务高层为对冲澳大利亚铁矿石项目的货币风险,在没有通过公司董事会授权审批的情况下签订若干杠杆式外汇买卖合约,导致147亿港元损失。在如此重大和巨额的公司投资行为中,竟然不是投资执行部门在操作,而是整个财务部门在运作,实在令人惊叹。正是由于最基本内部控制原则上的缺失,使得这笔远期合约合同的投资行为无法在事前得到有效的管理控制。另外由于拥有隐型的政府信用,外资金融机构愿意赋予其高长度的资金杠杆,同时由于这些企业的执掌者赌性十足,在觉察问题时未能及时平仓,也没有受到有效监管最终导致悲剧发生。
  3. 没有遵守远期合约风险政策
  若单纯为了避险进行类似外汇保证金交易,那么这类可赎回远期合约亏损基本在可控范围内。但是中信泰富的财务主管没有遵循远期合约的风险政策和尽到应尽的职责,使得远期合约的风险无限放大。
  4. 内部控制执行情况没有得到及时披露,相关问责机制缺乏
  中信泰富在发现问题6个星期之后才对外公布,显示出其内部控制执行情况信息披露不及时,内部监管存在巨大漏洞,严重损害了投资者的利益。出现问题后根本就没有问责机制,仅是以财务负责人辞职了事,暴露出其财务制度和责任承担机制的不足。
  
  五、简单结论
  
  目前,我国大部分企业的内部控制依然薄弱,缺乏必要的全面风险管理意识,也基本没有建立科学的企业风险管理体系。因此,充分利用我国的《企业内部控制基本规范》和ERM框架来完善我国企业内部控制显得尤为重要。●
  
  【参考文献】
  [1] 朱荣,贺欣. 内部控制框架的新发展―― 企业风险管理框架[J].审计研究,2003,(6).
  [2] 谢志华.内部控制、公司治理、风险管理:关系与整合[J].会计研究,2007,(10).
  [3] 赵国,黄溶冰.内部控制与风险管理关系辨析―― 基于概念演进的视角[J].哈尔滨工业大学学报(社会科学版),2007,(9).


转载注明来源:https://www.xzbu.com/3/view-771721.htm