COSO新报告下企业内部控制成本与风险防范

近年来，随着安然、世通等一批巨人企业的倒下，引发了公众对企业的信任危机，并导致了萨班斯——奥克斯利法案的出台与COSO新内控框架的建立。本文主要结合当前电信企业按照萨班斯法案进行的内控制度建设，探讨企业风险防范和控制问题。

一、内部控制的发展及企业风险管理的推出背景

在企业修订内控制度时，COSO框架无疑是对照的范本。COSO (美国反舞弊委员会下属组织委员会的英文缩写)最早于1994年修订完成的《内部控制——整体框架》成为企业构建内控制度的准则。此后，美国出现了包括安然公司在内的一系列公司财务丑闻，使投资者蒙受巨大损失。于是，要求完善公司治理结构和提高风险管理能力的呼声日益高涨。2002年美国通过萨班斯——奥克斯利法案，其中的404条款要求上市公司管理当局对内部控制的有效性进行披露，同时也要求注册会计师对上市公司内部控制的效果进行审计。正是在这一背景下，COSO于2004年10月发布了《企业风险管理——整体框架》(Enterprise Risk Management-Integrated Framework，简称ERM )的报告。

企业原先的内控体系及制度设计大都建立在1994年COSO报告的基础上，2004年风险管理概念的引入是对内控认识的一次跨越，但如何利用新COSO报告对原有的内控体系进行改造使得许多大公司面临困惑。一方面是内控成本大幅上升，人力物力和控制点成倍增加；另一方面，又不知这样的投入是否能满足萨班斯法案监管的要求，企业缺少足够的自信。比如中国移动、中国电信在内的电信公司为满足萨班斯法案的监管要求，聘请国际知名会计师事务所重新梳理了所有内控流程，仅关键内控点就有上千个，同时增设了内控自我评估专职人员，组织从集团公司到县支局所的全面内控评估。每年评估一次的时间长达半年，涉及企业的所有相关流程，测试控制点包括了从集团投资到差旅费、医药费报销等，投入可谓巨大。但公司管理层是否就能保证企业没有任何风险了呢？恐怕还不行。虽然ERM报告有力地推动了内控管理的发展和内控制度的建设，对企业在经营中如何抵御各种风险有很大的借鉴意义，但关键还在于企业如何深入理解并将其有效运用到内控管理中，这应该是管理层需要迫切解决的核心问题。

二、企业风险管理的基本理念

如何将COSO的ERM报告融入企业内部控制管理中，首先要理解ERM提出的企业风险管理的概念。“企业风险管理是指处理那些影响价值创造或价值保值的事项。”此定义特别强调了价值的基础性地位。如果内控点不涉及影响企业价值，则可以被企业风险管理所忽略；如果董事会只是盲目扩大对内控的预算投入，将原本已经很庞大的内控手册再次修订、细化，不断增加流程的环节和控制点,将会大大降低企业的运营效率。比如，根据内控手册制定的部门之间的制约机制，导致很多原先一个部门内可以解决的事项现在需要两个甚至多个部门不断的沟通协调才能解决，实际上一份合同或一张发票后面多达十多个人的签字看似完美无缺，却找不到真正对该决策承担风险责任的部门或个人。于是，企业强化风险管理后，风险非但没有减轻，反而在冗杂的内控制度下隐藏得更深了。

因此，企业内控制度的完善在于对关键风险控制点的有效掌控。事实上，包括像世通、安然在内，几乎所有大公司都有一整套风险管理制度。这些制度涵盖了从对外投资到差旅费报销等所有环节，应有尽有。董事会与管理层通常会认为，贯彻与执行这些制度就是内控管理的所有内容。其实，企业的管理资源是有限的，控制需要耗费大量成本。如果企业将主要精力放在所有琐碎细小的控制点上，显然就有些舍本求末了。由此看来，企业风险管理框架要求董事会与管理层将主要精力放在可能产生重大风险的环节上，实际上内控效果、风险和成本之间存在一个最优组合的问题，三者之间的关系如下图所示：

随着对内控管理的投入加大，企业内控制度逐步完善，风险下降，内控效果明显；但当内控成本超过合理范围时，资源限制导致无法面面俱到，反而将导致风险的急剧放大，造成内控效果下降，如果再追加对内控的投入，也不能取得更好的效果。当企业的成本曲线导致企业风险曲线出现拐点时，就是内控的最优组合点。之后的内控效果将出现下降，此时企业更应将内控管理的重点放到调整内控成本分配结构上来。

三、高效执行企业风险管理的策略

1.加强对管理层权力制衡的内控制度建设

笔者认为，对管理层权力制衡的内控制度建设是风险防范的基础，也是最难实施的，毕竟企业管理层在建设内控制度时，首先要约束的恰恰是自己。从调查统计来看，一系列重大舞弊丑闻的根源，很大程度上归咎于管理层内控约束机制的缺失。负责企业经营决策的CEO们权力过大，又缺乏有效监督，当个人绩效目标与公司及股东目标发生冲突时，他们往往会选择前者，给企业发展带来隐患。因此，对管理层进行权力制衡不但必要而且势在必行。

董事会和独立审计委员会（或监事会）必须拥有充分知情权，授权以外的重大投资及经营决策必须通过董事会的批准。董事会的主要职责在于判断决策事项的机会和风险性是否在董事会认可的范围内。独立审计委员会的职责是通过不定期的监督来检查公司运作中有无违反授权范围或存在隐瞒的事项。与普通的内部审计不同，ERM的独立评估只对企业风险进行测试，而不是全面的内控测试，这就确保了企业能以有限的成本投入来认知并化解潜在的风险。

2.完善制订重大决策的内控流程

完善制订重大决策的内控流程是企业风险控制的关键。建立起面向企业管理层的内控制衡制度后，必须设计相关的关键控制流程与之配套。按照企业风险管理要求的流程再造对比图如下所示：

传统内控制下的决策流程设计

施加风险管理影响下的决策流程设计

传统模式下的内控制度，业务部门经过会签，通过流程将决策信息提交给CEO，CEO可以对决策信息进行风险过滤后提供给董事会，从而诱导董事会作出有利于他们的决策。财务经理对CEO负责，即使出现问题，CEO也可以通过施加影响修改财务报表。在这种内控架构下，董事会很难发现舞弊问题，等到发现时局面往往已不可收拾。内部审计只能监控CEO以下的控制点，监事会则基本形同虚设。

在修订后的内控架构中，决策权被上移至董事会。监事会（或风险管理委员会）的职责更加明确，除听取CEO的汇报外，还要关注CEO控制点之前各流程的风险评估，并且有权对相关部门进行质询。财务经理同时对CEO和董事会负责，并接受监事会的监督，监事会对决策流程做出客观的风险评估后提交董事会。这样，董事会在审议CEO提交的方案前，拥有来自业务层、财务经理、监事会从各自不同角度提供的风险评估信息。

通过企业风险管理框架内的流程再造，能明确各个关键控制点的责任主体，量化风险大小，并接受独立的审查。因此，董事会在批准CEO的提案前，对风险的大小能作出更为有效的评估，既降低了风险，也大大减少了舞弊的机会。

3.强化对各关键环节的风险控制

在制度和流程优化之后，如果每个关键控制点的风险量化发生偏差，也将导致最后的决策发生偏移。所以，有必要强化对各关键环节的风险控制。

内控流程要求对每个关键控制点提出风险量化分析。首先，要对关键环节所涉及的人员进行培训，宣贯风险管理的理念，使其意识到他们提供的风险评价信息将对董事会的决策产生直接影响。其次，明确各主体在企业风险管理流程中承担的责任，强化责任意识，并制订相应的奖惩措施，促使各控制点对风险和机会保持足够的谨慎态度。

比如，当电信公司进行网络投资项目时，都会有规划部门率先提交项目可行性报告，但这类可行性报告往往强调项目的投资收益性，忽略或有意识地弱化项目的风险性。引入风险管理流程后，规划部门必须面对监事会的质询，而且在风险责任明确、存在实质性惩罚措施的情况下，可行性报告一般能做到如实评估项目投资失败所造成的风险。

由于ERM刚推出不久，国际上还没有与之相应的成熟的风险管理模式，企业大都还处于摸索阶段。执行企业风险管理的关键在于如何强化董事会的决策功能，形成一套行之有效的风险监督机制，并保证其相对的独立性。

(作者单位：浙江省电信有限公司 公话分公司 撰文/茹越峰)