2.1 追本溯源,探内部控制来龙去脉
“会当凌绝顶,一览众山小。”历数了过去的几个经典案例,意识到内部控制在公司治理中的重要性。在金融危机的环境之下,企业内部控制也逐渐成为各界关注的热点问题。对于内部控制进行全方面的了解更是成为了不可缺少的环节之一。探究其精髓,把握其重心,力争知其然,还要能够知其所以然。
任何事物从开始到最后发展成熟,都是会经历一个长期的过程。在社会经济运行的过程中,内部控制亦是如此,它也历经了萌芽期、成长期、成熟期、稳定发展期以及深化期等阶段。每一次的发展,内部控制都有很大的变化,都更加完善、完备。拥有一套有效的内部控制制度,对于现代企业而言,无论是在经济管理、效益提高,还是在实现企业战略等方面,都是有百利而无一害的。
想要掌握或者熟悉它,首先要明白内部控制从何而来,以及它是如何成长起来的。
2.1.1 向左看,从源头索西方内部控制
早在古埃及、古希腊的历史中便可以寻觅到一些内部控制有关思想的蛛丝马迹。而到了18世纪的产业革命之后,内部控制便顺理成章地成为企业规模化和资本大众化的结果。关于内部控制的概念也先后有不少变化,按不同的划分标准,内部控制的发展可以有不同的划分方式。
●“萌芽”――内部牵制阶段
“内部牵制是指提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵制以便使各项业务能完整、正确地经过规定的处理程序,而在这规定的处理程序中,内部牵制机能永远是一个不可缺少的组成部分。”
――《柯氏会计词典》
“内部牵制是指一个人不能完全支配账户,另一个人也不能独立地加以控制的制度,某位职员的业务与另一位职员的业务必须是相互弥补、相互牵制的关系,即必须进行组织上的责任分工和业务的交叉检查或交叉控制,以便相互牵制,防止发生错误或舞弊。”
――《蒙哥马利审计学》
案例链接
1995.2.27日,英国中央银行宣布:巴林银行不得继续从事交易活动并将申请资产清理。3月5日,国际荷兰集团与巴林银行达成协议,接管其全部资产与负债,同时更名为“巴林银行有限公司”;3月9日,此方案获英格兰银行及法院批准。这也就意味着有着233年历史的巴林银行彻底倒闭。起因只是源于巴林银行内部一名普通交易员尼克?里森的违规操作。他一人身兼交易与清算二职;并且对于他长时间的隐瞒实情、修改报表等手法,银行内部的监管机构也没有及时发现,如同虚设一般,可见制度上的巨大缺失使得其有了大量为自己交易徇私的机会。当里森运用一个错误账号“88888”持续进行巨大的风险交易失败时,赌徒的心理使得他一而再、再而三地押大筹码,盲目占了上风,直到最后回天乏术,巴林银行亏损9.16亿英镑,百年老牌银行从此覆灭。
美国著名审计学家蒙哥马利(Robert H.Montgomery)在其《蒙氏审计学》第二版到第五版中都讲述内部牵制。发展到现在,内部牵制已经是内部控制理论中不可或缺的核心概念之一。
内部牵制制度的核心内容就是不相容职务的分离与牵制。所谓的不相容职务,指的就是不能同时由一个人兼任的职务。在上述的案例链接中,讲述的巴林银行覆灭事件,很显然正是因为尼克?里森担任了两项不相容职务,加之公司内部监控力度不到位,才引发了这场悲剧。这又进一步证明,内部控制实在不可小觑,运用到位,可以使得企业经营一帆风顺;一旦疏忽,很可能带来的是灭顶之灾!
纸上谈兵是远远不够的,如何执行内部牵制制度,这是关键。一般而言,内部牵制制度有四种执行方式。
●“成长”――内部控制制度
“内部控制包括组织机构的涉及和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”
这是1949年,美国会计师协会的审计程序委员会在《内部控制――协调组织要素及其对管理当局和独立职业会计师的重要性》的报告中对内部控制第一次下的定义。
1934年美国《证券交易法》首次使用“内部会计控制”一词,蒙哥马利在其1940年的《蒙氏审计学》第六版中也开始提到“内部控制”一词。自此许多西方组织和研究者便开始对内部控制的概念、功能进行研究,并得出诸多详尽的概括。审计和监管部门也陆续制定相关的企业内部控制的制度规范条例等,内部控制体系才能够日趋完善,目标也更加明确。
19.8.10月,审计程序委员会又对内部控制的定义进行了更新,对内部控制更细致地划分为内部会计控制和内部管理控制。根据新的定义,内部控制被认为是包括既有会计又有管理特征的控制。
(1)内部会计控制。
内部会计控制包括组织采用的大量方法和程序,这些方法和程序与财产安全和财务记录可靠性有直接联系。包括诸如授权与批准制度、从事财务记录和簿记与从事经营或财产保管职务分离的控制、财产的实务控制和账簿审核(也称内部审计)。
(2)内部管理控制。
内部管理控制包括组织采用的大量方法和程序,这些方法和程序主要与经营效率和贯彻管理方针有关,通常只与财务记录有间接关系。包括统计分析、工作节奏研究、业绩报告、员工培训计划和质量控制。
19.2.12月,美国注册会计师协会所属审计准则委员会对内部控制又进行了重新解释:“管理控制包括(但不限于)组织规划以及管理当局进行经济业务授权的决策过程有关的程序和记录。这种授权是与完成该组织目标的职责直接有关的一种管理职能,也是建立经济业务的会计控制的起点……”
在这一阶段,内部控制评价成为抽样审计的出发点,已经开始超出了会计的范畴。
●“成熟”――内部控制结构
“内部控制完整的财务和其他控制体系,包括组织结构、方法程序和内部审计。它由管理层根据总体目标建立,目的在于帮助企业的经营活动合理化,具有经济性、效率性、效果性;保证管理决策的贯彻;维护资产和资源的安全;保证会计记录的准确和完整;并提供及时、可靠的财务和管理信息。”
――1986年最高审计机关国际组织《总声明》
“企业的内部控制结构包括为提供实现企业特定目标的合理保证而建立的各种政策和程序。”
――1988年美国注册会计师协会发布的《审计准则公告第55号》
在新发布的这份审计准则公告中,首次出现了内部控制结构一词取代“内部控制”一词的现象。不仅如此,定义在内容和条理上都更加明确、清晰。内部控制结构概念也就替代了内部控制制度概念,并且还提出了内部控制结构应包括控制环境、会计制度和控制程序三大要素。如果说之前的内部控制理论只是关注于资产及其记录的安全问题,那么此次内部控制结构理论的提出则大大拓宽了内部控制的范围,将组织经营管理方面的问题也纳入其中。
三要素内部控制结构理论中有关控制环境要素的提及应该可以称得上具有划时代的意义。控制环境包括管理者的经济理念和风格、组织结构、董事会及委员会的职能是只能确认权责、监控方法(如经营计划、利润计划、预算、预测、责任会计、内部审计等)、外部关系等内容;反映了董事会、管理者、业主和其他人员对控制的态度、认识和行为。过去人们对于控制环境的认识,都是作为内部控制的外部因素看待,如今是将其作为内部控制的一个组成部分来分析,认为属于企业内部控制范围内。除此,还将之前分开描述的会计控制与管理控制又统一在一起表述为内部控制。通过理论的研究以及实践的证明,学术界发现这两者其实是相互之间紧密联系,相辅相成。这些新的改变,都预示着内部控制的研究又进入一个新的领域阶段。
●“稳定发展”――内部控制整体框架
1992年,“内部控制整体框架”理论出现,美国反对虚假财务报告委员会(Treadway委员会)下属的由美国会计学会(AICPA)、国际账簿审核人员协会(HA)、财务经理协会(FEI)和管理会计学会(IMA)等组织参与的“发起组织委员会”(Committee of Sponsporing Organizations,COSO)发布此报告,即著名的COSO报告,该报告对内部控制作出了更为完善的定义:内部控制是由企业的董事会、管理当局及其他人员为达到财务报告的可靠性、经营活动的效率性和效果性、相关法律法规得以遵循等三个目标而提供合理保证的过程。
至此,内部控制整体框架理论中的内部控制系统是由五要素构成,即控制环境、风险评估、控制活动、信息与沟通、监控(对于这五要素,本书第3章将分别详细讲述)。该理论一经提出,便迅速地被各国政府审计和民间审计接受。
COSO美国会计学会
美国注册会计师协会
财务经理协会
管理会计师协会
内部审计师协会
●“深化”――全面风险管理阶段
2001年,COSO委员会提出了有关企业风险管理研究的想法;2002年7月美国国会通过了《萨班斯―奥克斯利法案》,这一法案是基于当时美国资本市场上发生的一系列严重财务舞弊案件而制定的,其中对财务报告内部控制做出了明确的要求,并且首度将公司财务报告内部控制的评价等提高到了法律的高度,法案的制定引起全球的关注;2004年9月COSO委员会颁布了新的《企业风险管理――整体框架》报告,这个框架是在原有的内部控制框架基础上,再结合新制定的《萨班斯―奥克斯利法案》在报告方面的要求等内容进行深入研究得到的。不仅结合了内部控制理论,还注入了新的元素,即风险管理理论。企业风险管理整体框架是否称得上名副其实的内部控制整体框架的“深化”版呢?如果是的话,那么它都在哪些方面进行了深层次的改变?本书后续部分内容将为您揭开答案。
英国内部控制发展路
英国内部控制是在公司治理理论的推动之下发展起来的,在20世纪90年代,英国公司治理理论发展到了高峰期,1992~1999年间,英国先后发布了卡德伯利报告、哈姆佩尔报告和特恩布尔报告。这三个报告是英国公司治理和内部控制理论探究道路上的三大里程碑。
1992年的卡德伯利报告认为有效的内部控制是公司有效管理的一个重要方面。建议董事们应发表一个声明,对公司内部控制的有效性进行详细描述,同时规定审计委员会应对公司的内部控制声明进行复核。该报告还认为,内部审计有助于确保内部控制的有效性,内部审计的日常监督是内部控制的整体组成部分。卡德伯利报告在许多方面开创了英国公司治理历史的先河,它明确要求建立审计委员会,强调内部审计的日常监督是内部控制的整体组成部分。
1998年的哈姆佩尔报告将内部控制的目的定位于保护资产的安全、保持正确的财务会计记录、保证公司内部使用和向外部提供的财务信息的可靠性,同时鼓励董事对内部控制的各个方面进行复核,包括确保高效经营、遵守法律法规方面的控制。哈姆佩尔报告认为,很难将财务控制与其他控制区分开来,并坚信董事及管理人员对控制的各个方面进行复核具有重要意义,内部控制不应仅局限于公司治理的财务方面。该报告全面赞同卡德伯利报告将内部控制视为有效管理的重要方面的观点,并认为董事会应该对内部控制进行复核以强调相关控制目标,这些目标包括对企业风险评估和反映、财务管理、遵守法律法规、保护资产安全以及使舞弊风险最小化等方面。
1999年的特恩布尔报告认为董事会对公司的内部控制负责,应制定正确的内部控制政策,并寻求日常的保证,使内部控制系统有效发挥作用,还应进一步确认内部控制在风险管理方面是有效的。董事会应当在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应当限定对内部控制复核的范围、收到报告的频率以及年度评估的程序等。
从1992年发展到1999年,英国学术界对内部控制的研究也逐步完善、系统化更明显,这也显示出对于内部控制有效性的要求也日益提高和受到重视。
了解COCO报告,看加拿大内部控制理论
19.5.11月,加拿大特许会计师协会所属的控制标准委员会(Criteria of Control Board,COCO)发布了《控制指南》,这份指南也被称为COCO报告或COCO指南。该指南不仅仅是若干个控制要素的简单概括,对内部控制的定义与作用、内部控制的要素、内部控制标准、内部控制的参与者都进行了阐述。与其他内部控制理论框架相比,COCO内部控制框架尤其重视内部控制参与者,即人的作用。COCO框架中的四个要素目的、承诺、能力、监控和学习均与人有关。COCO委员会认为:企业员工在执行企业所指派的任务时,将以他对企业目的的理解为指南,并以其能力(包括所拥有的信息、资源、技能、工具等)作为支撑。员工的承诺或者说对企业的忠诚是员工在长时期内充分发挥自己能力和保持最优努力水平的保证。此外,员工必须对自身的工作业绩和外部环境进行监控以便及时采取适当的后续行动,并在调整自身行动以适应环境变化的过程中学会更好地完成工作。COCO与COSO可以算得上是世界上两个最有影响力的内部控制框架,但是这两者之间存在明显的区。
巴塞尔银行监管委员会原称银行法规与监管事务委员会,是由美国、英国、法国、德国、意大利、日本、荷兰、加拿大、比利时、瑞典十大工业国的中央银行于1974年底共同成立的,作为国际清算银行的一个正式机构,以各国中央银行官员和银行监管当局为代表,总部在瑞士的巴塞尔。每年定期集会4次,并拥有近30个技术机构,执行每年集会所订目标或计划。提到银行监管,就必然需要对巴塞尔委员会有一定的了解,原因在于它被广泛视为银行监管领域的首要国际组织,相当于一个全球性的各大银行内部控制机构。
该委员会的主要宗旨在于交换各国的监管安排方面的信息、改善国际银行业务监管技术的有效性、建立资本充足率的最低标准及研究在其他领域确立标准的有效性。需要强调的是,委员会并不具备任何凌驾于国家之上的正式监管特权,其文件从不具备亦从未试图具备任何法律效力。不过,它制定了许多监管标准和指导原则,提倡最佳监管做法,期望各国采取措施,根据本国的情况,通过具体的立法或其他安排予以实施。委员会鼓励采用共同的方法和共同的标准,但并不强求成员国在监管技术上的一致。
2.1.2 向右看,我国内控成长路
和西方国家相比,我国在内部控制理论的研究时间上稍微晚些。在新中国成立初期,我国的内部控制制度应该属于内部牵制阶段,此时的大部分企业公司都建立了以账户核对和职务分工为主要内容的牵制制度,总体而言,这些制度都十分零散,不够系统化;由于这样的缺陷,也直接导致了制度的执行力度欠缺,企业内部的管理以及控制自然也就不高效。
随着全球内部控制制度的逐渐发展,我国内部控制发展也得到了很大的促进。国内也开始有很多著名会计学者对内部控制理论进行深入的探索和研究,例如上海财经大学的徐政旦教授在20世纪80年代初期就对内部控制理论开始研究。到了20世纪80年代末至90年代初期,内部控制发展更为迅速,同时内部控制评价也开始受到众多业界人士的关注。但由于此时内部控制还处于成长期,内部控制评价也就只是起着一些辅助性的作用,只是一些基本的了解。
直到20世纪90年代后期,从这个时间段开始,我国对于内部控制理论的研究更加深入,也更加全面,逐步与法规联系在一起,对于内部控制评价的规划性建设起到了巨大的推动作用。
19.7.1月,中国注册会计师协会实施了具体审计准则《内部控制与审计风险》;同时,审计署颁布的《独立审计准则实务公告第2号――管理建议书》中把“管理建议书”和专门接收委托的内部验证服务进行了区分。
19.7.5月,中国人民银行颁布实施《加强金融机构内部控制的指导原则》,这成为我国第一个部委级的内部控制规范。从此,证监会、保监会、国家经贸委等政府机构也都分别以部门文件的形式颁布了内部控制方面的指导意见。
1999年修订《会计法》第二十七条中对内部控制提出了明确的要求,将内部控制提高到了法律的高度。
20.0.3月,证监会发布《公开发行证券公司信息披露编报规则》,其中要求商业银行,保险公司、证券公司建立内部控制制度,并对内部控制制度的完整性、合理性和有效性作出了具体说明。关于注册会计师的职责,则是对其内部控制制度的完整性、合理性和有效性进行评价,并提出改进建议,以内部控制评价报告的形式呈现。
20.1.10月,中国证监会发布《关于做好证券公司内部控制评价工作的通知》,要求证券公司、商业银行应加强内部控制的稽核、检查与完善,聘请会计师事务所对公司内部控制的完整性、合理性和有效性进行评价,提出改进意见,并出具相关的评价报告。
20.1.11月,财政部发布《独立审计实务公告第X号――内部控制审核(征求意见稿)》。
20.2.2月,发布中国注册会计师协会《内部控制审核指导意见》。其中,将内部控制审核定义为“注册会计师接受委托,就被审核单位管理当局对特定日期与财务报表相关的内部控制有效性的认定进行审核,并发表审计意见”。除此意外,还对各个责任方进行界定,比如,建立健全内部控制并保持其有效性,这是被审核单位管理当局的责任;注册会计师的责任则是了解、测试和评价内部控制并出具审核报告。
2006年我国财政部、国资委、证监会、保监会、银监会以及审计署六部委成立了全国内部控制标准委员会,共聘请专家86名,以开展我国内部控制的规范工作。
20.7.3月颁布了一个基本准则、17个具体准则的征求意见稿。
“内部控制,是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”
――2008年财政部公布的《企业内部控制规范》
20.8.6月,我国的《企业内部控制基本规范》由财政部等五部委公布,旨在加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业和社会的可持续发展。2009年7月1日上市公司全部实行新的基本规范,对于我国企业内部控制的推广和深入产生了极大的推动作用,具有极强的时代意义。
案例链接
●2001年,中国银行广东开平分行前后三任行长将大量银行资金转移至海外,涉案总额近40亿元。
●2003~2004年间,中国建设银行、光大银行、中信银行贷出约300笔汽车贷款,后查实均是虚假合同,三大银行相继“中招”,被骗共计约1.4亿元。
●2005年,中国银行哈尔滨分行何松街支行原行长高山通过地下钱庄将存款转移至境外,总金额超过10亿元。
商业银行是金融体系的核心,它的经营成果对金融行业自是影响极大。与许多西方国家一致,在我国,银行业也是处于主导地位,它的金融安全很大程度地影响着我国金融体系的效率。但是,由于我们国内的商业银行自身免疫力还不够,加之内部监控漏洞较多,于是可以看到上述案例链接中,诸多银行纷纷“栽跟头”。针对这一现象,2004年12月,银监会发布《商业银行内部控制评价试行办法》,显然是希望能够通过建立起这样一套对商业银行内部控制评价的框架和方法,规范和加强商业银行内部控制的评价,督促其进一步建立内部控制体系,健全内部控制机制,能够最终形成风险管理的长效机制。
由于我国内部控制制度建设起步较晚,所以许多已出台的相关条例、规范等还有一些不足的地方,各部门或者公司内部制定的内部控制规章制度还不够全面、系统,因此,加强内部控制制度依然任重而道远。但是,只要坚定地继续走这条道路,不断地研究探索,借鉴西方一些国家较为完善的内部控制制度,对于我国的发展也是极有帮助的。
2.1.3 内控走进新时代――企业风险管理
本章前面部分内容也提到在内部控制标准制定方面,COSO长期以来都属于国际公认的权威机构。从1992年该机构提出的内部控制整体框架开始,内部控制就已经发展得比较完善,在行业内也普遍运用并得到广泛认可。直到后期COSO又意识到想要使得内部控制更加有效,对于风险的控制和防范则也不能少。自此,2004年9月,COSO又提出了企业风险管理(ERM)整体框架,使得内部控制制度的研究更深一步,也将企业内部控制的发展研究带入了一个新的阶段。
“企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用。旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”
――COSOCOSO认为,ERM为公司董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的信息,并进一步提出企业风险管理由内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息沟通以及监控(或者监督)等8个方面组成。
本书2.1.1节所问到的“企业风险管理整体框架是否称得上名副其实的内部控制整体框架的‘深化’版呢?”如果是的话,那么“它都在哪些方面进行了深层次的改变?”本节将为您详细地解答。
●风险
是什么会使得管理层夜不能寐?
是什么本应该引起管理层的注意,而实际上却往往没有?
眼前的您是否正是所在公司的管理层人员?您是否就有过类似以上的头疼问题呢?是否时不时会担忧一些“意外”的发生?是否对这些“意外”有预感?是否这些“意外”就如您的“第六感”所示真的发生了?
究竟是什么令你如此不安?
正是风险。风险最初的定义强调的是一种不确定性,这种不确定性只表现为损失,属于狭义的理解;后期还有一种定义,是指风险最后是否带来的损失具有不确定性,也就是说风险可能产生的结果中不再只是损失一种,也可能会是获利的情况,又或者既不获利也不损失,这便是广义上的风险。在这里,风险便是指代那些可能影响你或者你所在的组织实现预定目标的事项。本书讲的大部分都是金融风险,这也正是广义上的风险。这样的风险往往是与收益成正比关系,这常见于投资行为中:相对积极的投资者偏向于高风险的投资,为的是能够获得相应的高利润;而稳健性的投资者则会更加谨慎小心,出于相对保守、安全的顾虑,会选择风险较低的投资,为了避免可能会出现的较大损失。
在企业刚成立的阶段,内部审计职能的建立多半是以财务和遵守法律、政策为重点;随着企业逐渐成长壮大起来,增值则成为了发展的重点。这里,其实就讲述到了风险的三个主要类别:遵守风险(指的是法律和政策),财务风险,以及经营风险(一般包括战略风险和科技风险)。这三者之间,以最后一个风险类别难度最大。除了这些主要的类别,风险还有其他类别,如经济、政治、人才、产品/生产、会计、政治、法律等。由风险的定义,还可以看出风险包括的事项有:恶性事件带来的威胁;尚不能确定后果的事件;可转化为机会的事件。
主导地位,正属于尚不能确定后果的事件。
不论是专业技术的投资者,还是最为普通的个人,都很明白风险是长期存在的,只是或大或小;风险的长期存在也自然就意味着它的不可消除;除了这两个特点,风险还有一个特点就是必须与机会同时进行权衡。
●企业风险管理(ERM)
要理解企业风险管理,首先需要明白,什么是风险管理?
风险管理,即发现和了解组织中风险的各个方面的同时,采取明智的行动以帮助组织实现战略目标,减少失败的可能并降低不确定的经营结果的整个过程。
“风险就是一个负面的因素!它需要控制!”
“风险监控,这属于公司内部审计人员的职能,与我无关。”
“风险管理,这是低层次的要求,只需要低层次的人员负责就行了!”
……
诸如此类言语,大多都是过去人们对风险及其相应管理的粗陋的理解。而现在,人们的理解则大为不同了。
“风险管理这是CEO的工作内容之一!董事会也需要监管!”
“风险其实是一个机会!”
“风险管理的责任更加应该由高层人员或者部门管理人员来承担。”
……
认识了当下对风险管理的理解,再进一步了解企业风险管理就不困难了。企业风险管理就是指由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。
●内部控制整体框架VS企业风险管理整体框架
由美国防虚假财务报告委员会于2004年发布的《企业风险管理框架》提出的内部控制理论,五要素已经变成了八要素。不过这次是从企业风险管理的角度提出,而不是完全地从内部控制角度提出。八要素具体是内部环境、目标设定、事件辨别、风险评估、风险反应、控制活动、信息沟通以及监控(或者监督)。通过与过去的五要素对比发现,控制环境、控制活动、信息沟通和监控都是与之前五要素内部控制理论基本吻合的,而风险评估在企业风险管理框架中被更加细化,分为目标设定、事件辨别、风险评估以及风险反应。那这样的细分和重新定义是否有必要呢?
以企业风险管理的定义为切入点,可以发现企业风险管理整体框架与内部控制整体框架的一个明显的拓宽,涉及了一个全新的概念:风险偏好。风险偏好是指企业在实现其目标过程中愿意接受的风险的数量。企业如同一个投资者,此时风险偏好则直接决定着该企业的战略部署,选择与风险偏好相一致的战略将是企业的管理者最愿意看到的局面。
另外一个全新的概念是风险容忍度,也是这次企业风险管理整体框架中首度提到的。风险容忍度即在企业目标实现过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中出现差异的可容忍程度。在确定一个目标的风险容忍度的同时,免不了是要将企业的风险偏好也加以考虑进去的。
对企业风险管理的8个要素稍加分析,也可以发现其和内部控制整体框架有较大改进。
由控制环境改为内部环境,内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。
目标设定是指管理层必须基于目标来识别成功的潜在因素。
事件辨别指的是,在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,企业风险管理要求辨别可能对实现公司目标产生负面影响的所有重要情况或事件。
风险评估是指一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性,后者是假设时间发生,对经营、财务报告以及战略产生影响的可能结果,潜在影响一般以对经营、数量、金钱损失以及战略目标可能造成的损失进行计算。
风险反应是企业风险管理的重要组成部分,企业对所面临的每一个重要的风险都需要与其对应产生的回报进行评价和平衡,其结果还有部分取决于企业的风险偏好。
控制活动、信息沟通、监控,这三项与内部控制整体框架中的要素都基本没有区别。
险管理框架对企业内部控制的完善来看,可以发现企业内部控制是在逐渐从预防及控制舞弊现象的重心转向风险管理,走的路线将是从内部控制走向风险管理。
“企业风险管理应用于战略制定与组织的各层次活动中,它使管理者在面对不确定性时,能够识别、评估和管理风险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增长及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业交叉风险,为多种风险提供整体对策,捕捉机遇并使资本的利用合理化。”
――企业风险管理整体框架
内部控制包含在企业风险管理之中,是企业风险管理的一个有机组成部分。企业风险管理的含义远比内部控制更加宽泛。它是基于内部控制的基础上,进行的拓展和延伸,是对风险更加关注的整体框架。CRO首席风险官,Chief Risk Officer,简称CRO。众人皆知CEO,在国外CRO也是耳熟能详的词,其风靡度丝毫不亚于CEO。并且,随着企业风险管理意识在全球越来越深入人心,CRO这个职位也变得越加的炙手可热了。一份调查数据便很直接地证明了这个趋势,在2002年的美国,当时仅有20%的大型企业有CRO的职位,短短2年之后的2004年,范围就已经扩大到了40%;目前,则是世界性的金融机构中80%以上都设有此职位。在美国,首席风险官年薪一般在30万美元以上,有些甚至已逾百万美元。
是否对那高薪待遇怦然心动了呢?但这可不是人人都能干的轻松活。不信?那就一起来了解一下首席风险官的主要职责:负责拟定集团风险管理战略、规划,提出风险管理的政策和程序;监督风险管理政策和程序的实施、建立风险管理评价标准和组织;组织落实风险管理与内控体系建设相关措施,组织对风险总监的考核和风险管理队伍建设;评估集团外部环境,以及企业宏观的风险;就企业环境、战略、运营过程中所存在的风险提出建议,并定期向董事会报告。
值得一提的是,在我国,首席风险官倒似乎还没有如一些发达国家那么“受宠”。但是,随着风险管理师这一职业在中国诞生,也预示着中国企业将来对首席风险官的需求必然会越来越多。如有兴趣,何不赶紧拾起你的信念,投身于这一职业中,为各大企业的风险管理出谋划策吧!
