基于風險管理的企業(yè)控制探析

1、基于風險管理的企業(yè)內部控制探析 【摘要】 目前,很多企業(yè)內部控制存在風險管理缺失的問題。本文以ERM框架為參照,指出我國企業(yè)內部控制存在的問題以及ERM框架對我國企業(yè)內部控制的啟示,并針對中信泰富巨虧事件從內部控制角度進行了分析。 【關鍵詞】 風險管理;內部控制;ERM框架;企業(yè)內部控制基本規(guī)范 一、引言 2008年10月21日,中信泰富由于巨虧在港股高開293點時狂跌38%,截至收盤跌幅則擴大至55.10%,全天市值蒸發(fā)70.8億港元,其跌幅之慘烈令人心驚肉跳。而中信泰富是恒生指數(shù)的成份權重股、藍籌股,同時因其大股東是國企中信集團,所以也被視為紅籌股,就是這樣一支股票卻發(fā)生了如此不可思議的一

2、幕,究其原因卻是我們反復強調而事實上又經常忽略的內部控制問題。美國COSO委員根據(jù)薩班斯法案的相關要求,于2004年底頒布了一個全新概念的報告:企業(yè)風險管理整體框架(Enterprise Risk Management,簡稱ERM),ERM報告是內部控制框架的新發(fā)展,側重于用風險的理念來看待企業(yè)的管理和目標的實現(xiàn)。隨著這個報告的頒布,在企業(yè)和理論界都掀起了一股重視風險管理的熱潮。就是在這樣的背景下仍然發(fā)生了中信泰富事件,實在讓人扼腕嘆息。中信泰富只是一個典型,其他還有很多企業(yè)都存在風險管理缺失問題,如四川長虹、創(chuàng)維數(shù)碼、伊利股份等。為了加強和規(guī)范企業(yè)內部控制,提高經營管理水平和風險防范能力,促

3、進企業(yè)可持續(xù)發(fā)展,維護社會主義市場經濟秩序和社會公眾利益,財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會制定了企業(yè)內部控制基本規(guī)范,自2009年7月1日起在上市公司范圍內施行,鼓勵非上市的大中型企業(yè)執(zhí)行。鑒于此,有必要從風險管理的角度對內部控制進行研究。 二、我國企業(yè)內部控制現(xiàn)狀與存在的問題 (一)風險管理意識薄弱,對風險評估不足 當前企業(yè)面臨的風險主要有市場風險、信貸風險、營運風險、法律風險、管制風險等。在眾多風險中,最主要的風險是營運風險。企業(yè)應當建立可以辨認、分析和管理風險的機制,并確認高風險領域,以加強管理。但我國企業(yè)缺乏的就是這種機制,對于風險的管理十分薄弱,缺乏有效的風險識別、評價和反應

4、機制。企業(yè)抗險能力低,主要體現(xiàn)為:一是缺乏風險事項識別機制。企業(yè)管理層還未認識到風險事項識別是一個綜合性的過程,需要在實踐工作中進行全盤綜合考慮。大多數(shù)企業(yè)目前只能被動地接受內部或外部變化帶來的風險。二是沒有適當?shù)娘L險評估體系。三是風險的應對機制空白,還處于“出現(xiàn)一個問題,解決一個問題”的事后被動彌補狀態(tài)。 (二)缺乏有效的風險防范措施 雖然在有效資本市場的條件下,風險和收益是對稱的,低風險低收益,高風險高回報。但是從內部控制的角度看,企業(yè)應在認知和分析風險后,采取積極、創(chuàng)新的風險管理措施,把風險控制在企業(yè)可接受的范圍內。但是一些公司為了追求高收益,過度冒險,違規(guī)經營,敞開風險防范的大門,將負

5、債風險和破產風險交由股東承擔,致使風險資產加大,經營風險和財務風險增加,最終導致公司和股東的利益受到損害。 (三) 內部控制制度執(zhí)行不力,公司缺乏對內部控制狀況定期進行有效評價的機制 因內部控制制度執(zhí)行不力導致經營失敗的案例在我國可謂屢見不鮮。曾經以利潤高速增長現(xiàn)身的“鄭百文”,表面上有關會計憑證審核、批準等控制完美無缺,背地里卻是一個不折不扣的造假鏈的銀廣夏,中國銀行哈爾濱河松街支行的“巨額現(xiàn)金神秘消失”案件等等無一不是由于內部控制制度執(zhí)行不力造成的。許多企業(yè)的內部控制制度是掛在墻上、寫在紙上的制度,實際執(zhí)行情況可想而知。企業(yè)內部控制制度執(zhí)行情況評價、報告等也鮮有實施,沒有建立有效的內部控制

6、定期有效性評價的機制,大部分內控制度流于形式。另外,長期以來,對企業(yè)管理者業(yè)績考核以利潤為主要依據(jù),評價方式單一,很少對其內部控制綜合評價。 三、ERM框架對我國內部控制的啟示 ERM對原COSO報告的整體框架進行了擴展,把更多的注意力放到了企業(yè)風險管理這一更加寬泛的領域。在內部控制的內涵、目標、要素以及內部控制責任承擔等層面有了全新的突破。總的來講,新的框架強調在整個企業(yè)范圍內識別和管理風險的重要性,強調企業(yè)的風險管理應針對企業(yè)目標的實現(xiàn)在企業(yè)戰(zhàn)略制定階段就予以考慮。對風險的控制不僅面向過去,也要面向未來;使風險的管理不僅貫穿于戰(zhàn)術層面也貫穿于戰(zhàn)略層面;不僅貫穿于執(zhí)行層面也貫穿于決策層面。因

7、此,企業(yè)風險管理整體框架是涉及到企業(yè)全要素、全過程、全層次的風險控制。ERM框架對我國正在建設中的內部控制具有十分重要的啟示作用。 (一)以風險為導向來進行內部控制,加強針對管理層權力制衡的內部控制制度建設 從COSO的兩份重要報告:1992年的內部控制整體框架和2004年的企業(yè)風險管理整體框架可以看出,風險管理已經作為主要的內部控制要素。內部控制和風險管理日益融合,風險導向已是內部控制的發(fā)展方向。 在企業(yè)內部控制制度的建設中,對于企業(yè)的高層管理者的合理授權,是非常重要的一個環(huán)節(jié)。國內出現(xiàn)的有重大舞弊經濟案件的企業(yè),大部分都是因為授權不當引起的。因此,在具體授權時,應考慮既能保護經營決策的有效

8、運作,管理制度的有效貫徹,又能使權力制衡得到落實。ERM框架認為董事會在風險管理中負總體責任,企業(yè)風險管理的成功與否主要依賴于董事會,因為董事會需要批準組織的風險偏好。在企業(yè)風險管理中,CEO負有首要責任,并應對所有權負責,其他經理人員則起支持作用;風險部門管理者,財務部門管理者和內部審計人員等負有關鍵性責任;其他的企業(yè)人員負有按確定的指示和協(xié)議執(zhí)行企業(yè)風險管理的責任。 (二)完善重大決策的內控流程并保障實施 完善制訂重大決策的內控流程并保障實施是企業(yè)風險控制的關鍵。傳統(tǒng)模式下的內控制度,業(yè)務部門經過會簽,通過流程將決策信息提交給CEO,CEO可以對決策信息進行風險過濾后提供給董事會,從而誘導

9、董事會作出有利于他們的決策。財務經理對CEO負責,即使出現(xiàn)問題,CEO也可以通過施加影響修改財務報表。在這種內控架構下,董事會很難發(fā)現(xiàn)舞弊問題,等到發(fā)現(xiàn)時局面往往已不可收拾。內部審計只能監(jiān)控CEO以下的控制點,監(jiān)事會則基本形同虛設。在修訂后的內控架構中,決策權被上移至董事會。監(jiān)事會(或風險管理委員會)的職責更加明確,除聽取CEO的匯報外,還要關注CEO控制點之前各流程的風險評估,并且有權對相關部門進行質詢。財務經理同時對CEO和董事會負責,并接受監(jiān)事會的監(jiān)督,監(jiān)事會對決策流程做出客觀的風險評估后提交董事會。這樣,董事會在審議CEO提交的方案前,擁有來自業(yè)務層、財務經理、監(jiān)事會從各自不同角度提供

10、的風險評估信息。 (三)強化對各關鍵環(huán)節(jié)的風險控制,建立科學的績效考核和違規(guī)問責機制 由于內部控制制度的設計受到成本效益原則的制約,不可能面面俱到,因此只有抓住關鍵的控制點才能建立有效的內部控制制度。關鍵控制點是指業(yè)務流程和單位經濟活動中那些容易產生風險的環(huán)節(jié)。要求對每個關鍵控制點提出風險量化分析。首先,要對關鍵環(huán)節(jié)所涉及的人員進行培訓,培養(yǎng)風險管理的理念,使其意識到他們提供的風險評價信息將對董事會的決策產生直接影響。其次,明確各主體在企業(yè)風險管理流程中承擔的責任,強化責任意識,及時對內部控制進行有效性評價,評價可以采用自我評價結合外部專業(yè)機構評價,同時制訂相應的獎懲措施,促使各控制點對風險和

11、機會保持足夠的謹慎態(tài)度。一些企業(yè)的風險管理意識薄弱,在投機心理驅使下出現(xiàn)的類似賭博的行為得到默許,甚至縱容,因此,必須建立正確的業(yè)績觀念,改變那種以利潤為主要業(yè)績的考核依據(jù),且評價方式單一的局面。具體可以通過風險調整后的收益同時結合非財務指標考核,遏制高風險的投機沖動;另一方面強調違規(guī)問責,加大違規(guī)成本,提高全體員工的風險防范意識,抵制內部人控制和機會主義行為,提高制度實施的質量和效果。財政部等五部委制定的企業(yè)內部控制基本規(guī)范中明確指出:執(zhí)行本規(guī)范的上市公司,應當對本公司內部控制的有效性進行自我評價,披露年度自我評價報告,并可聘請具有證券、期貨業(yè)務資格的會計師事務所對內部控制的有效性進行審計。

12、該規(guī)范第八條規(guī)定:企業(yè)應當建立內部控制實施的激勵約束機制,將各責任單位和全體員工實施內部控制的情況納入績效考評體系,促進內部控制的有效實施。 (四)建立有利于風險管理的內部環(huán)境 企業(yè)內部環(huán)境是企業(yè)風險管理發(fā)揮作用的基礎,對企業(yè)風險管理系統(tǒng)的實施以及職能的發(fā)揮產生重大、持久的影響。企業(yè)應當根據(jù)國家有關法律法規(guī)和企業(yè)章程,建立規(guī)范的公司治理結構和議事規(guī)則,明確決策、執(zhí)行、監(jiān)督等方面的職責權限,形成科學有效的職責分工和制衡機制。必須加強對員工的在職培訓和后續(xù)教育的投入,努力打造學習型組織,提高企業(yè)風險管理的整體能力。 四、中信泰富案例簡析 (一)中信泰富巨虧案簡介 中信泰富集團為了減低西澳洲鐵礦項目

13、面對的貨幣風險,簽訂若干杠桿式外匯買賣合約以對沖風險。但外匯杠桿合同被普遍認為投機性很強,屬于高風險產品。自2008年9月7日察覺到該等合約帶來的潛在風險后,公司終止了部分合約。但7月1日至10月17日,公司已因此虧損8.07億港元。至10月17日,仍在生效的杠桿式外匯合約按公平價定值的虧損為147億港元。換言之,相關外匯合約導致已變現(xiàn)及未變現(xiàn)虧損總額為155.07億港元。 (二)基于風險管理的內部控制視角進行巨虧分析 1. 對投資風險,特別是潛在風險的評估不足 中信泰富對遠期合約風險評估不足是這次投資巨額虧損的主要原因。這類杠桿式外匯買賣合約交易者只需支付一定比例的保證金,就可進行數(shù)十倍的額

14、度交易,本質上屬于高風險金融交易,尤其在當前金融危機的肆虐下,部分國家貨幣匯率波動劇烈,類似波動在經杠桿放大后,其導致的風險將是驚人可怕的。合約套期保值的功能是有限的,每份合約當達到公司可收取的最高利潤時(幅度介于150萬美元至700萬美元之間)就將終止,如果澳元大幅升值,過低的合約終止價格使得其套期保值作用相當有限,但是如果澳元走軟,中信泰富必須不斷以高匯率接盤,理論上虧損可以無限大。對澳元匯率的判斷過于樂觀,使得中信泰富在全球金融危機下付出了慘痛的代價。作為未來外匯需求的套保,其目標應是鎖定購買澳元的成本,也就是最小化澳元波動的風險。但是其簽訂的這些合約的目標函數(shù)卻是最大化利潤,中信泰富的

15、風險是完全敞開的。 2. 投資沒有經過公司董事會授權審批 中信泰富的公告中指出兩名財務高層為對沖澳大利亞鐵礦石項目的貨幣風險,在沒有通過公司董事會授權審批的情況下簽訂若干杠桿式外匯買賣合約,導致147億港元損失。在如此重大和巨額的公司投資行為中,竟然不是投資執(zhí)行部門在操作,而是整個財務部門在運作,實在令人驚嘆。正是由于最基本內部控制原則上的缺失,使得這筆遠期合約合同的投資行為無法在事前得到有效的管理控制。另外由于擁有隱型的政府信用,外資金融機構愿意賦予其高長度的資金杠桿,同時由于這些企業(yè)的執(zhí)掌者賭性十足,在覺察問題時未能及時平倉,也沒有受到有效監(jiān)管最終導致悲劇發(fā)生。 3. 沒有遵守遠期合約風險政策 若單純?yōu)榱吮茈U進行類似外匯保證金交易,那么這類可贖回遠期合約虧損基本在可控范圍內。但是中信泰富的財務主管沒有遵循遠期合約的風險政策和盡到應盡的職責,使得遠期合約的風險無限放大。 4. 內部控制執(zhí)行情況沒有得到及時披露,相關問責機制缺乏 中信泰富在發(fā)現(xiàn)問題6個星期之后才對外公布,顯示出其內部控制執(zhí)行情況信息披露不及時,內部監(jiān)管存在巨大漏洞,嚴重損害了投資者的利益。出現(xiàn)問題后根本就沒有問責機制,僅是以財務負責人辭職了事,暴露出其財務制度和責任承擔機制的不足。 五、簡單結論 目前,我國大部分企業(yè)的內部控制依然薄弱