风险管理、公司治理与内部控制

上网找律师就到中顾法律网快速专业解决您的法律问题

风险管理、公司治理与内部控制

——评《企业内部控制基本规范》

苗壮清华大学法律硕士生联合导师

最近，财政部、证监会、审计署、银监会、保监会联合发布《企业内部控制基本规范》(征求意见稿)。该规范从中国的实际出发，借鉴了以美国COSO《内部控制统一框架》，确立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的实施机制。据报道，该规范将于明年7月1日起首先在上市公司范围内实施，并鼓励非上市的其他大中型企业执行。基本规范的发布标志着中国内部控制制度建设取得了重大突破，并将对公司、证券以及国有资产管理等相关制度产生深远影响。

内部控制规范包括基本规范、具体规范和应用指南等。除了基本规范，五部委还发布了17项具体规范(征求意见稿)，并在研究、起草其它9项具体规范。具体规范包括货币资金、采购与付款、存货、对外投资、工程项目、固定资产、无形资产、资产减值、销售与收款、筹资、衍生工具、成本费用、担保、合同、对子公司的控制、企业合并与分立、服务外包等财务报表项目相关规范，财务报告编制、关联

上网找律师就到中顾法律网快速专业解决您的法律问题

交易、公允价格、信息披露等财务报表编制相关规范以及预算、人力资源政策、计算机信息系统、内部审计、中介机构聘用等制度支持。基本规范与具体规范共同构成内部控制规范的完整体系。

一定义、目标、要素

基本规范首先界定了内部控制的含义。根据该规范，内部控制是由董事会、管理层和全体员工共同实施的、旨在合理保证实现企业经营管理基本目标的一系列控制活动。

与其它经营管理活动一样，控制活动既有收益也有成本。这就有必要进行成本收益分析。换句话说，控制活动也要讲求效率。考虑到环境的复杂多变性与人类理性的有限性，内部控制应当且只能在“合理”的范围内保证上述目标的实现。

内部控制的宗旨体现为内部控制的目标。根据基本规范，内部控制的目标包括：企业战略，经营的效率和结果，财务报告及管理信息的真实、可靠和完整，资产的安全完整，遵循国家法律法规和有关监管要求。

上述5目标类似于COSO报告3目标：经营的有效与效率、财务报告的可靠、遵循有关法律法规。相比之下，将“管理信息”的真实、可靠和完整列入目标更为可取，因为许多管理信息无法进入财务报

上网找律师就到中顾法律网快速专业解决您的法律问题

告。不过，综合平衡有效性和效率性，似应将其限定为“重大管理信息”。此外，“经营的效率和结果”既取决于“企业战略”，又取决于“资产的安全完整”，似应将其合而为一。资产既构成经营的基础，又能反映经营结果。之所以将“资产的安全完整”单列出来，或许是考虑到我国国有企业的主导作用、制度特征，多数上市公司一股独大等特殊情况以及国有资产保值、增值，保护中小股东等重大关切。

最重要的是，基本规范在形式上借鉴了COSO报告内部控制5要素框架，同时在内容上体现了其风险管理8要素框架的实质，构建了以内部环境为重要基础、以风险评估为重要环节、以控制措施为重要手段、以信息沟通为重要条件、以内部监督为重要保证的五要素框架。

根据基本规范，内部环境主要包括治理结构、机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制;风险评估主要包括目标设定、风险识别、风险分析和风险应对;控制措施主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制;信息沟通主要包括信息的收集机制以及企业内外的沟通机制;内部监督主要包括对建立并执行内部控制的整体情况进行持续性监督，对内部控制的某些方面进行专项监督，以及提交相应的检查报告、提出有针对性的改进措施等。上述要素相互联

上网找律师就到中顾法律网快速专业解决您的法律问题

系、相互促进，构成一个统一的企业内部控制框架，并涵盖企业经营管理的各个层级、各个方面和各项业务环节。

二内部控制与风险管理

企业所面临的环境是不确定的，企业家的基本职能是管理风险。无论从目的、目标，还是从要素来看，风险管理是内部控制的根本功能。

内部控制的目的是在合理的范围内保证企业基本目标的实现。盈利是企业生存和发展的基础。作为一种盈利性组织，企业的根本目标是盈利。如果不能盈利，就连自身的生存都难“保证”，其它目标无从谈起。在这个意义上讲，也可以将信息可靠性、行为合规性等视为实现盈利性目标的重要“保证”。

天有不测风云。每一个普通股民都知道，未来是不确定的，机会与风险并存。然而，长期以来，经济学家一直假定信息是完美的。这既无法解释亏损，也无法解释利润。奈特可能是第一个将利润(和亏损)与不确定性(和风险)联系起来的经济学家。如果说机会代表盈利的可能，风险则代表亏损的可能。二者不过是一枚硬币的两面。风险的种类很多，如宏观、市场、技术、金融、财务、法律等各种风险。在这个意义上讲，也可以将信息可靠性、行为合规性等视为财务、法

上网找律师就到中顾法律网快速专业解决您的法律问题

律风险。有的风险可以保险，有的是不可保险的。在不确定的条件下，要想“保证”盈利，就必须管理风险。

根据基本规范，风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程;控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段;内部监督是对内部控制的健全性、合理性和有效性进行监督与评估，形成书面报告并作出相应处理的过程。简而言之，风险评估的功能是识别、分析、评价风险，控制措施的功能是处理、防范、化解风险，而内部监督则是对整个过程进行监控。巧妇难为无米之炊。要想识别、处理风险，就必须收集、传递、沟通、应用信息，就要进行信息沟通，为风险管理提供事实依据。上述要素密切相关，体现为风险的识别、处理、反馈。

总之，风险管理是一个完整的过程。在这个过程中，内部控制的各个要素分别处于不同阶段。其中，风险评估、信息沟通处于认识阶段;控制措施、内部监督处于实践阶段，而内部环境则构成制度基础。

三内部控制与公司治理

公司治理的定义很多，涉及各种内外部关系。从内部关系来说，公司治理是为了实现公司价值最大化而在股东、董事、监事、高级管理人员之间进行权责分配，并在此基础上进行决策、监督。其中，权