摘要:
内部控制理论的发展大致经历了内部牵制、内部控制系统、内部控制结构、内部控制整体框架四个阶段。由美国COSO委员会于1992年发表、1994年修订的《内部控制——整体框架》报告,是进入内部控制整体框架阶段的标志。2002年美国在安然事件后颁布了《萨班斯——奥克斯利法案》(Sarbanes-Oxley Act),结合该法案,并针对实践中出现的新问题,COSO将内部控制的框架加以扩展,形成了2004年的《企业风险管理——总体框架》。本文将通过对COSO内部控制框架到风险管理框架变化的介绍,总结出内部控制整体思维发展变化的特点,以期为相关研究提供参考。
一、平衡与整合思维——跳出框架看实质变化
COSO的风险管理框架为我们提供了新的角度探讨内控问题,相较于1992年框架表现出的变化,反映出了整个内部控制研究的发展趋势和方向。笔者认为,内部控制思维的变化主要体现了在总体系统中平衡和整合的思想。
1、风险与控制信息的平衡
这里所提到的控制信息是指根据内部控制规定所要关注的控制点和所需收集的相关信息,偏重于控制制度的层面;风险信息则是站在公司整体的角度,在公司风险偏好范围内进行的对风险的识别和分析,获得相关风险的信息,偏重于管理...
内部控制理论的发展大致经历了内部牵制、内部控制系统、内部控制结构、内部控制整体框架四个阶段。由美国COSO委员会于1992年发表、1994年修订的《内部控制——整体框架》报告,是进入内部控制整体框架阶段的标志。2002年美国在安然事件后颁布了《萨班斯——奥克斯利法案》(Sarbanes-Oxley Act),结合该法案,并针对实践中出现的新问题,COSO将内部控制的框架加以扩展,形成了2004年的《企业风险管理——总体框架》。本文将通过对COSO内部控制框架到风险管理框架变化的介绍,总结出内部控制整体思维发展变化的特点,以期为相关研究提供参考。
一、平衡与整合思维——跳出框架看实质变化
COSO的风险管理框架为我们提供了新的角度探讨内控问题,相较于1992年框架表现出的变化,反映出了整个内部控制研究的发展趋势和方向。笔者认为,内部控制思维的变化主要体现了在总体系统中平衡和整合的思想。
1、风险与控制信息的平衡
这里所提到的控制信息是指根据内部控制规定所要关注的控制点和所需收集的相关信息,偏重于控制制度的层面;风险信息则是站在公司整体的角度,在公司风险偏好范围内进行的对风险的识别和分析,获得相关风险的信息,偏重于管理实践的层面。我们对内部控制的理解常常会被限制在内部控制规定范围内,倾向于根据相关需要遵守的规则来寻找内部控制的关键控制点,完成控制的过程,即对控制信息的依赖。这种方式识别出的内控风险点是被制度化的,也是有限的。而从风险的角度切入,全面掌握风险的相关信息并从中筛选和识别出有用信息,更加有利于组织目标的实现。因此新框架体现了平衡风险与控制的关系。
2、执行层次的平衡
执行层次是指在组织内部控制的具体实施过程中,采用的执行顺序是从下到上还是从上到下的问题。传统上,组织和实施内控,倾向于采用从下到上的执行方式,即内部控制的实施首先是根据整体制度,在较低的组织层次上来识别和监控风险点,然后通过各个环节配合实现整个内部控制的过程。而风险控制模型要求从根本上改变这种做法,转变为从上到下的一种执行模式,在该模式下,强调董事会在内控中的作用:董事会要决定整个公司的风险偏好,控制监督整个风险管理过程。在董事会决策基础上再进行具体操作从而达到提高效率的目的。这样的执行过程使得对风险的关注更加宏观,进而决策有用的程度也会提高,从降低成本的角度来看,这也是较为合理的考虑。与此同时,操作中还必须强调下层执行的有效性和针对性,避免执行脱节。
3、前动与后动的平衡
传统内部控制采取较多的后动反应,在人们的观念中往往与纠错防弊等同,实际操作中重视发现问题后的修复性和补救性的行为,执行建立在已经发生的问题基础上,检查过程较为简便,也不需要做出更多的专业判断,但却限制了内部控制重要性的发挥。而风险管理框架要求我们提前预测和评估各种现存和潜在风险,从整体战略目标一致的角度确定相应内控应对措施来处理风险,达到控制的效果。在未发生风险负面影响前即采取措施,可以降低风险的损失,降低成本,提高整体管理水平。同时,这个过程对组织的灵活性和应变能力的要求提高了,强调整个组织的学习过程。
4、治理、风险、控制的整合
新的风险管理框架试图寻求一个有效的切入点,使得内部控制真正作为组织战略管理的重要组成部分嵌合入组织内部,提高组织对内部控制重要性的认同,并使得内控能为组织战略目标的实现做出更多的贡献。依照风险管理的整体控制思维,扩展内部控制的内涵和外延,将治理、风险和控制作为一个整体为组织目标的实现提供保证。这一整合的过程将会克服内部控制与管理脱节的问题,整个组织风险管理的过程也是内部控制实施的过程,内控不再被人为地从企业整个流程中分离出来,这样可以提高内部控制与组织的整合性和全员参与性。同时,组织的每个部门都包含在风险管理的框架和环节中,提高了内部控制的关注程度。
二、平衡与整合思维对我国内部控制实践的启示
1、从对制度的遵循到主动地作为
实际上,我国的众多企业包括出现过重大问题的中航油等,都有完善的内部控制管理制度。但是,如果企业将很多精力放在了细小的制度规定上,而忽视了会导致企业失败的重大风险,这种舍本逐末的做法会导致内部控制难以发挥应有的作用。中航油事件即反映出其在风险管理方面的不足。因此,我国企业的内部控制思路应该从制度执行向组织整体发展转变,重视识别和评价组织整体层面上的风险。
2、风险管理的前提是强化公司治理
内部控制越来越强调董事会在公司整个风险管理过程中的作用。过去我们通过管理层实施的内部控制已经发生了变化。董事会要控制整个组织的风险偏好,从总体的高度把握整个组织层面的风险水平,进而对各个次级单位提出要求并监督落实。因此,完善公司治理,明确董事会、监事会、高管的责任也是有效进行风险管理的前提。
3、建立学习型组织以提高企业的风险应对能力
通过内部控制,把“学习”细胞嵌入企业组织肌体,使其形成自我提高的机制。现代企业面临着各种各样的风险,其环境具有很强的不确定性。内部控制不是消极地应对这些风险,而是在风险管理过程中主动地识别并尽可能减少风险所带来的伤害。通过整个积极的风险应对的控制过程,引导组织成员学会创新,形成学习的习惯,提高学习的能力,提高整个组织面对风险时的灵活性,提高组织控制的效率。
4、在整体把握的基础上强调全体参与的过程
强调整体和从上到下的内部控制的实施过程,并不是忽略组织各个组成部分的作用。从另外的角度来看,风险管理更加注重全体参与。风险存在于组织中的各个部分,甚至涉及组织中的每个个体,只有规范组织中每个个体的行为才能对风险加以有效控制。作为组织的“免疫系统”,组织中的各个组成人员相互协作才能真正保证其高效地工作,抵御风险的侵袭。
责任编辑 武献杰