COSO:从内控向风控的嬗变
企业成功最终表现为卓越的财务业绩,企业的失败最终也体现在财务上的失败。因此,财务风险控制是企业风险控制最具综合性的内容。
企业的成功依赖于正确的战略和强有力的执行力度,相应地,企业的风险包括战略制订风险和执行中的风险两种类型。美国COSO《内部控制—总体框架》向《企业风险管理—整体框架》的演进体现了将原来的执行风险控制转化为战略制订风险控制和执行风险控制相结合的趋势。
COSO内控框架的局限性
在美国,由内部审计协会、注册会计师协会、美国会计学会、管理会计协会、首席财务官协会联合成立的发起者组织委员会(COSO, Committee of Sponsoring Organizations of the Tread Way Commission)1994年发布的《内部控制—总体框架》将内部控制的目标定位为:
(1)财务报告目标:保证财务报表的真实可靠;
(2)经营目标:保证企业经营的效率和效果;
(3)一致性目标:确保相关法律及管理规章被不折不扣地贯彻实施。
与三大目标相对应的是内控框架的五个要素:控制环境、风险评估、控制活动、信息与沟通、监督。上述三大目标定位以及五大框架要素的设计,旨在规避执行中的风险。《萨-奥法案》的实施提升了内部控制在企业中的影响力,强化了执行环节的力度。但是,内部控制框架存在着明显的局限性。
第一,尽管内部控制框架也讲风险评估,但它主要指的是完成三大目标过程中的管理风险评估,是执行风险,而不涵盖决策风险;第二,内部控制框架对风险定义的局限性,内部控制框架将风险定义为目标执行中的不确定因素,而不界定这些不确定因素中哪些是有助于目标完成的因素,哪些是阻碍目标完成的因素。
COSO风险管理框架出炉
为解决上述问题,COSO于2004年推出了《企业风险管理——整体框架》(简称ERM)。风险管理框架中的管理目标及框架要素(如图1):
与《内部控制—总体框架》相比,《企业风险管理—整体框架》在以下几方面做出了创新:
(1)就框架的第一维度框架的目标而言,在原内控框架三大目标的基础上增加了基于公司风险偏好而制订战略目标的概念,并指出风险偏好统驭着公司所有的重要经营决策、每一实体的存在都是为了利益相关者创造价值。
(2)管理面临的最严重挑战之一是如何承受可接受的风险,实现利益相关者的价值最大化。ERM将风险定义为“对企业的目标产生负面影响的事件发生的可能性”(将“产生正面影响的事件”视为机会),因此,该框架可以涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险。ERM指出,不确定性既包含风险也包括机会,是毁灭价值或提升价值的潜在因素。风险管理能够有效地处理与不确定性有关的风险和机会,提升企业创新价值的能力。
(3)在企业价值创造中,就框架的第二维度框架要素而言,将原来内控框架构成的五要素拓展至内部环境、目标确定、事项辨认、风险评估、风险应对、控制活动、信息与沟通、监督八个要素。
(4)就框架的第三个维度而言,不仅保留了原内控框架中的业务单元和业务活动、进而细分到各个流程以及作业层次,而且还包括公司层面、分部以及下属子公司。第三维度中层次的向上拓展,明确将公司层面、分部以及下属子公司等概念纳入框架中,不难看出框架的制定者已经意识到集团内控与风险管理在为利益相关者创造价值中的重要性。
正如《企业风险管理——整体框架》的前言所说的:管理当局只有通过确立战略与目标实现成长、回报和风险三者间的适当平衡,才能实现企业价值的最大化。为此,《企业风险管理——整体框架》强调以下几点:风险偏好与战略的匹配、风险应对决策、降低经营中的突发事件和损失、确认与管理综合性和企业全局性的风险、抓住机会、改善资本运用。
COSO风控框架对财务风控的启示
1、以战略目标为导向,从成长、盈利和风险三者的平衡角度把握风险。
我国企业的财务风险控制中较为突出的问题是沉溺于具体事项的风险控制而忽略了战略目标导向下成长、盈利、风险三者平衡的风险控制观。例如,在销售环节中,对坏账风险采取了严格的控制方法。对能不采用赊销的产品一律不向对方提供延期付款的商业信用,对于不得不通过赊销来扩大销售的产品则从信用标准、信用条件、销售程序和收款政策四个角度实施严格的控制。但从三者平衡的角度看,这种方法不是最佳的财务风险控制方法,因为赊销能够通过降低“短缺成本”来消除销售能力不足给企业造成的损失,并能提高价格竞争力从而实现销售环节效益的最大化;另外,在产品畅销期取消一切销售信用,不利于优化与客户的合作关系、不利于培养一批忠诚的客户队伍。从战略目标导向下的三者平衡观看,即使是比较畅销的产品也应该在确保现金流畅通的前提下向客户提供赊销并启动赊销与收款的风险控制程序。
2、通过风险的重要程度和发生风险可能性的综合对应分析来确定风险应对措施。
在财务事项的风险控制中,我们通常基于自己的判断分别对风险采用接受、实施控制、分散转移、监控与回避等策略。但是控制策略的选择不能只看风险的重要程度(风险发生所产生的损失)和风险发生的可能性,而应该通过两者的综合分析确定风险控制策略。风险控制框架为风险控制策略的选择提供了指南(如图2)。
3、通过事项辨认进行风险整合,提高风险控制效果。
风险管理并不是孤立地针对每一风险制订应对策略。风险与风险之间是存在着内在依存关系的,这种关系具体表现为重叠关系和抵消关系。所谓重叠关系是某两个或若干个风险因素结合在一起可能会放大企业所面临的风险,抵消关系指的是某两个或若干个风险因素结合在一起可能降低或抵消整体风险。例如,外币应收账款的套期保值手段能够借助现汇汇率与期汇汇率的不断变化有效地化解汇率波动,将外币对本位币的兑换率固定在可接受的水平。风险控制中,只有以战略目标为导向,站在全局高度进行风险整合,才能发挥风险控制的最佳效果。
4、建立监督机制和危机管理机制为风险控制系统提供强有力的支持。
由于受成本效益法则的约束、决策中人为判断失误、管理人员超越风险控制程序行事(例如,中航油新加坡公司总裁陈久霖超越既定的期货风险控制系统进行风险性投机)等因素的存在,风险控制系统有可能失效。风险控制系统只能为战略制订和风险管理提供合理保证而非绝对保证。因此,必须从以下两点着手为风险控制系统提供强有力的支持:第一,在公司治理结构中,改变监事会、审计委员会、审计部三者间只有沟通关系而无职能领导关系的状况,打破目前监督体系弱化的局面,充分发挥监督机构的作用,保证财务风险控制系统能够有效地运转;同时建立危机管理系统提高企业应对突发事件的能力。