企业风险管理分析论文

[内容摘要]本文认为，最近发生在新加坡的中航油事件是企业内部控制失败的结果。在分析中航油事件过程中，作者通过借鉴2004年10月颁布的新COSO报告内容，从内部控制的八个要素角度，逐步剖析了中航油事件发生的根源与过程，为中国企业如何借鉴国际企业风险管理方法，作了一个初步尝试，同时，本文还介绍了新的企业风险管理框架颁布的背景、理论贡献及对我国企业的启示。

一、导言

中航油巨亏事件，对国内外相关各方都产生了重大冲击和深远影响。由于中航油的国企背景，该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件，也给我们提出了一个相同的问题：我们的企业到底出了什么问题？就在此时，国际著名的反虚假财务报告委员会（即Treaday委员会）于2004年年底，针对国际企业界频繁发生的高层管理人员舞弊现象，废除了沿用很久的企业内部控制报告，颁布了一个概念全新的COSO报告：即《企业风险管理——总体框架》（EnterpriseRiskManagement，简称ERM）。此报告虽然保留了部分传统内部控制的某些概念，但不论在框架上、还是在要素方面，均有相当大的突破。

在如此赞誉之下的新内部控制框架，它出台的背景与动机又是什么？其具体内容究竟是什么？它能为我国企业内部控制的改善带来什么意义？这是我们需要分析的内容。

二、COSO委员会新报告《企业风险管理——总体框架》解读

内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的，大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段（储稀梁，2004）。由美国注册会计师协会（AICPA）、美国会计学会（AAA）、财务经理协会（FEI）、国际内部审计师协会（IIA）和管理会计师协会（IMA）五大学会共同组成的Treadway委员会，于1992年发表，并于1994年修订的《内部控制——整体框架》报告，标志着内部控制理论与实践进入了整体框架的新阶段，并被世界上许多企业所采用。尽管如此，理论界和实务界还是认为该内部控制框架有些局限性，如对风险强调不够，使得内部控制无法与企业的风险管理相结合（朱荣恩，贺欣，2003）。2004年10月份的企业风险管理（EnterpriseRiskManagement，ERM）框架就是在1992年报告的基础上，结合《萨班斯一奥克斯法案》（Sarbanes—OxleyAct）的相关要求扩展研究得到的。与传统内部控制内容相比，新框架有了较多的变化。这些变化主要包括如下几个方面：

（一）企业风险管理对内部控制内涵的发展

1992年COSO报告对内部控制的定义是：“内部控制是一个受到董事会、经理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”内部控制的定义明确了四个要点：（1）是一个过程；（2）受人为影响；（3）为了达到三个目标；（4）合理保证。

这个定义尽管非常宽，但从某种角度来说，又比较模糊，存在某些片面性。故原COSO报告1992年出版后不久，就有声音批评该报告缺乏保障资产的概念。例如美国审计总署（GAO）认为，这个文件对于内部控制的重要性的强调还不够，它丧失了提高内部控制监督和评估的机会。美国前总审计长查尔斯。鲍雪（CharlesBowsher）曾经说：“对有效控制的最大需求可能是在信贷组合领域。……一份没有丝毫谈及信贷组合的有关内部控制的财务报告是没有任何用处的。”（CraigJamesL，1993）但当时的COSO主席罗伯特。L.梅（RobertL.May）则认为，保障资产的考虑更适合作为一种经营控制（StevenJRoot，2004）。由于美国审计总署的影响巨大（例如可能使银行等认为COSO报告与其无关），如果COSO报告不根据其要求进行修改的话，从一开始就可能面临被抛弃的命运。最后妥协的结果是，在1994年修订后的报告上，提出了“保障资产的内部控制”的概念，即“预防未经授权的获得、使用或处理资产，…”。可见，这一概念是非常勉强地运用在内部控制框架中。而新的ERM框架非常明确了对保护资产概念的运用。

新报告认为“保护资产”或者“保护资源”是一个广义的概念，资产或资源的损失可能由于偷盗、浪费、无效率或错误的商业决策等。因此，广义的“保护资产”目标范围集中为特定的报告目标，使得保护资产适用于所有未经授权的获得、使用、处置资产。

又如，内部控制与管理活动有什么区别？在原报告中并不清晰。有些对错误纠正的管理行为，并不包括在原有COSO报告的内部控制活动之中。而新的ERM框架已经将纠正错误的管理行为明确地列为控制活动之一。

ERM框架对内部控制的定义明确了以下内容：（1）是一个过程；（2）被人影响；（3）应用于战略制定；（4）贯穿整个企业的所有层级和单位；（5）旨在识别影响组织的事件并在组织的风险偏好范围内管理风险；（6）合理保证；（7）为了实现各类目标。对比原来的定义，ERM概念要细化的多。由于新CO.SO报告提出了风险偏好、风险容忍度等概念，使得ERM的定义更加明确、具体。同时，ERM又涵盖了内部控制所有合理的内容。

（二）企业风险管理对内部控制目标的发展

在1994年《内部控制——整体框架》中，内部控制有三个目标：经营的效果和效率、财务报告的可靠性和法律法规的遵循性。ERM整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外，还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表的，包括中期和简要财务报表，以及从这些财务报表中摘出的数据，如利润分配数据”。新报告则将报告拓展到“内部的和外部的”“财务的和非财务的报告”，该目标涵盖了企业的所有报告。

除此之外，新COSO报告提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。

（三）企业风险管理对内部控制要素的发展

1994年COSO报告《内部控制——整体框架》中，提出了五个要素：控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行深化和拓展，将其演变为八个要素。例如，ERM框架引入风险偏好和风险文化，将原有的“控制环境”扩展为“内部环境”。又如，虽然内部控制整体框架和ERM框架都强调对风险的评估，但风险管理框架建议更加透彻地看待风险管理，即从固有风险和残存风险的角度来看待风险，对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项分布等技术来分析（朱荣恩，贺欣，2003）。再如，由于原报告仅提出三个目标，因此“信息与沟通”中的信息仅仅指与这三个目标相关的信息。而新的报告包括了与组织的各个阶层、各类目标相关的信息，这就对管理层将巨量的信息处理和精炼成可控的信息（actionableinformation）提出了挑战。

原COSO报告仅提出风险识别，但是并没有区分风险和机会。ERM框架则将风险定义为“可能有负面影响的事项”，并且引入了风险偏好、风险容忍度等概念，将原有的风险评估这一要素，发展为目标设定、事项识别、风险评估和风险反应四个要素，使得原有的内控五要素发展为风险管理八要素。

（四）相关角色和任务的变化

新老COSO报告都将组织的董事会、管理层和内部审计和其他职员看成是相关责任人。在内部控制框架和ERM框架中，董事会都提供管理、指引和核查。虽然董事主要提供监督，但是也提供指导以及批准战略、一些特殊交易和政策。董事会既是内部控制的重要因素，也是企业风险管理重要因素。ERM框架使董事会在企业风险管理方面扮演更加重要的角色——负总体责任，并且要求其变得更加警惕。企业风险管理的成功与否在很大程度上依赖于董事会，董事会需要批准组织的风险偏好。以前，当公司出现丑闻时，很多人问：“管理层怎么让这发生的”？现在，恐怕要问：“董事会怎么让这发生的”？（DanaRhermanson，2003）在新报告中，CEO必需识别目标和战略方案，并且将其分类为战略目标、经营目标、报告目标和遵循性目标四类。每一个业务单元、分部、子公司的领导也需要识别各自的目标，并与企业的总体目标相联系（GeorgeMatyjewiczetal，2004）。一旦设定了目标，管理层就需要识别风险和影响风险的事项、评估风险并采取控制措施。

在ERM框架中，内部审计人员在监督和评价成果方面承担重要任务。他们必需协助管理层和董事会监督、评价、检查、报告和改革ERM.对于内审人员来说，最大的挑战是在ERM中扮演何种角色？很多内审人员可能被要求提供ERM的教育和训练，甚至“处理企业风险管理过程”。但是，新报告认为：内审人员并不对建立ERM体系承担主要责任。还有文章提醒内审人员不要行使不匹配的职能。（w.R.Kinveg，2003）内审人员职责的另一个变化是从原来对CFO和内审委员会负责，现在可能要对CFO、内审委员会和风险主管（riskofficer，CFO）负责。

在ERM框架中，新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他管理人员一样，在自己的职责范围内建立起风险管理外，还要帮助其他经理人报告企业风险信息，并可能是风险管理委员会的成员之一。

三、以反虚假财务报告委员会的《企业风险管理——总体框架》来解读中航油事件

中国航油（新加坡）股份有限公司是中国航空油料集团公司的海外控股公司。经国家有关部门批准，新加坡公司在取得中国航油集团公司授权后，自2003年开始做油品套期保值业务。在此期间，新加坡公司总裁陈久霖擅自扩大业务范围，从2003开始从事石油衍生品期权交易，同日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外，签订了合同。陈久霖买了“看跌”期权，赌注每桶38美元，没想到国际油价一路攀升——2004年10月以后，新加坡公司所持石油衍生品盘位已远远超过预期价格。根据合同，中航油需向交易对方（银行和金融机构）支付保证金，每桶油价每上涨1美元，中航油新加坡公司要向这些银行支付5000万美元的保证金，其结果导致中航油现金流量枯竭，实际损失和潜在损失总计约5.54亿美元。（许俊，2004）

事实上，陈久霖这种石油期权投机交易，其股东方中航油集团公司是明令禁止的。国务院1998年8月1日《国务院关于进一步整顿和规范期货市场的通知》、2001年10月11日证监会的《国有企业境外期货套期保值业务管理制度指导意见》都明确规定了取得境外期货业务许可证的企业，在境外市场只能进行套期保值，不能进行投机业务。1999年6月2日国务院的《期货交易管理暂行条例》，也规定了国有企业的期货交易仅限于从事套期保值业务（且命令禁止场外交易），并要求期货交易总量应当与其同期现货交易量总量相适应。

然而，中航油从事以上交易时，一直未向中国航油集团公司报告，而且中国航油集团也没有发现。直到保证金支付问题难以解决、经营难以为继的情况下，新加坡公司才向中国航油集团公司紧急报告。即便如此，中航油公司也没有向集团公司说明实情。而且为了掩饰公司的违法行为，中航油开始向上级公司提供假账，2004年6月，中航油就已经在石油期货交易上面临3580万美元的潜在亏损。但公司仍然一意孤行，继续追加了错误方向“做空”资金，但在财务账面上没有任何显示。由于陈久霖在场外进行交易，集团通过正常的财务报表没有发现陈久霖的秘密，新加坡当地的监督机构也没有发现其有违规现象，因此，才使得中航油事件从一个并不很大的失误开始，酿成为石破天惊的大案、要案。根据上述中航油事件，我们对比ERM框架，认为有如下几个方面非常值得关注：

（一）关注企业风险比关注企业细节控制更为重要

ERM框架最大的变化，就是将企业内部控制更名为企业风险管理，这一变化是有特殊意义的。事实上，包括中航油公司在内，几乎所有的公司都有一大套管理制度。这些制度大到包括对外投资、小到包括差旅费报销等，应有尽有。因此，企业董事会与管理层认为，这些制度的贯彻与执行，就是内部控制的所有内容。其实，企业的管理资源是有限的、控制也是需要成本的。如果将企业主要精力放在所有细小的、或微不足道的控制上，往往会舍本求目，如有些企业在差旅费报销的规定上，长达数十页，极其繁琐，表面上控制得很好，但浪费了许多管理资源，还会忽视企业重大风险。所以，ERM框架要求董事会与管理层将精力主要放在可能产生重大风险环节上，而不是所有细小环节上，将风险管理作为内部控制的最主要内容，这是一个革命性的变化。事实上，中航油公司曾在2003年被新加坡证券监督部门列为最具透明的企业，说明该企业确实在细节方面的内部控制做得非常周到。但是，从事后暴露出的结果来看，恰恰是在经营风险管理上出了问题。所以，ERM框架要求董事会将主要精力放在风险管理上，而不是所有细节的控制上，是非常值得关注的变化。

（二）执行ERM框架比设计内部控制框架更为重要

应该说，任何一个公司都或多或少存在一定的内部控制，否则，公司是无法正常运行的。事实上，中航油公司本身也有一整套内部控制制度，为了追求制度的完美，他们还聘请了国际四大会计

借鉴意义

《企业风险管理——总体框架》对我国其他企业也有很多可供借鉴的地方。如近来发生的伊利股份、创维数码、四川长虹等失败案例或重大事件，或多或少都与企业风险管理缺失有关：2004年12月17日，内蒙古自治区检察院对内蒙古伊利实业股份公司董事长郑俊怀等5名高管人员的经济问题正式进行立案调查，其主要原因是郑俊怀等人在2000年和2001年间未经董事会同意，先后挪用1590万元和1400万元，分别给了呼和浩特华世商贸有限公司和启元有限责任公司用于经营。事后得知：华世商贸公司是伊利公司的第五大股东，它是由郑俊怀、杨桂琴等人以亲属名义注册的私人企业；而启元公司企业法人就是董事长郑俊怀。无独有偶，2004年11月30日，创维数码董事局主席黄宏生，无视公司外部股东利益，绕开现有的董事会，私自将上市公司款项打人自己创办的企业，因此涉嫌盗取公司资金4800多万元，被香港廉政公署拘捕。而老牌上市公司四川长虹则折戟国际市场——因其合作伙伴美国APEx家电进口公司拖欠4.6亿美元巨款而遭受巨大坏账损失，也使得舆论评价四川长虹风光不再。在该案例中，虽然APEX公司是长虹在美国最大的合作伙伴，但是在确定信用政策时，长虹考虑坏账风险的策略是令人难以理解的。因为，长虹是在A：PEX公司拖欠国内多家公司的巨额欠款情况下，还与其签订了巨额赊销合同，如果长虹有合理的内部控制制度，这些情况或许不会发生。

上述案例的发生，或是董事会功能缺失、或是有内部控制制度但在实际业务中没有得到应有执行、或是根本就没有制度。因此，认真学习ERM框架中的所有内容，并将其与企业经济业务紧密结合起来，我们认为对我国企业内部控制制度的重新调整，有一定借鉴意义，也为我们在当前环境下如何建立起一套适合中国国情的内部控制措施，提供了一个新的理论基础。例如，新框架要求，以后再发生类似高级管理人员舞弊问题时，不是问总经理在哪儿？而是要问董事会在哪儿？因此，发挥董事会在内部控制方面的作用是新框架中的一个重要内容。另外，企业风险管理要求高级管理人员将企业风险、而不是所有细节作为控制的主要对象，是新框架中又一主要变化。因此，我们应当关注COSO报告中有关ERM的新发展，这对我们建立一个科学的企业现代制度是大有裨益的。

主要参考文献

储稀梁2004.COSO内部控制整体框架：背景、内容、理论贡献与启示，金融会计，6.

刘明辉2004.加拿大规范企业内部控制的实践与特点。中国审计，6

许俊2004.探密中航油事件：监督缺位下的巨额国有资产流失。转引自/zh_cn/finance/11009723/20041203/11994126.html.

朱荣恩、贺欣2003.内部控制框架的新发展——企业风险管理框架。审计研究，6.

Anonymous.1999.COSOreleaseslandmarkstudyonfraudulentfinancialreporting.FinancialExecutive.Morristown：Vol.15，Iss.3.

Anonymous.Dec2004.EnterpriseRiskManagement：NewERMModelIsEssentialtoFinancialReportingControls.IOMA''''sReportonFinancialAnalysis，Planning＆Repotting.NewYork：Vol.04，Iss.12

Scott，October2004，COSOERMReleased，InternalAuditor

Benson，Tony.1975.CHANGINGNEEDSOFINDUSTRY.Accountancy.London：FEB.Vol.86，Iss.978；p.66.

ChristopherEMandel.Dec15，2003.COSOgivesagoodstarttoimplementERM.BusinessInsurance.Chicago：。Vol.37，Iss.50；p.12.

Craig，JamesL.1993，Acallforleadership.TheCPAJournal，ABI/INFORMGlobal；4thpg.6.

DanaRHermanson，Nov/Dec2003.THEIMPLICATIONSOFCOSOSPROPOSEDERMFRAMEWORK，InternalAuditing；ABI/INFORMGlobal，p41-43.

DavidWood，ScottRandall.Nov15，2004.ImplementingERMrequiresintegratedapproach.Oil＆GasJournal.Tulsa：。Vol.102，Iss.43；p.28.

DeniseMEnglish；DianeKSchooley；MaryFAlien，Mar/Apr2004；19，2.THEPCAOB$INTERNALCONTROLPRACTICES：ACOSO-BASEDREVIEW，InternalAuditing；；ABI/INFORMGlobal，pg.37.

EllenMHeffes.May2002.COSOStudiesEnterpriseRisks，FinancialExecutive.Morristown：Vol.18，Iss.3；p.16.

EnterpriseRiskManagement-IntegratedFramework，.

FrankCMinter，Feb2002；83，8；DoyourememberCOSO？StrategicFinance；ABI/INFORMGlobal，p.8~9.

GeorgeMatyjewicz，JamesRDArcangelo.Oct2004BeyondSarbanes-Oxley.TheInternalAuditor.AhamonteSprings：Vol.61，Iss.5；p.67-71.

Kelley，ThomasP；Bowsher，CharlesA，Jul1994；TheCOSOreport：AnewaddendumresultsinGAOendorsement，JournalofAccountancy；ABI/INFORMGlobal，pg.18.

LarryWhite.Nov2004.ManagementAccountantsandEnterpriseRiskManagement.StrategicFinance.Montvale：Vol.86，Iss.5；p.6~7.

MichaelBradford.Aug4，2003.FrameworkoffersguidanceonERM；

COSO：Enterpriserisktool.BusinessInsurance.Chicago：Vol.37，Iss.31；p.4.

W.R.Kinney，2003.AuditingRiskAssessmentandRiskManagementProcesses，ResearchOpportunitiesinInternalAuditing（AltamonteSprings）FL：IIAResearchFoundation，StevenJ.Root.2004.