为了促进我国企业完善内部控制和强化风险管理,由中国内部审计协会主办,安永华明会计师事务所协办的“COS0内部控制与风险管理框架实践”研讨会,于2007年6月22日在北京王府半岛酒店举行。会议主题围绕COS0两大架构的互动及如何在中国的实践展开。与会代表提出了许多有关内部控制与企业风险管理方面普遍关心的核心问题。我们与COS0主席拉瑞·瑞丁伯格(Larry Rittenberg)就10个主要问题展开了充分的讨论,现将讨论情况整理如下,谨与国内内部审计专家学者分享: 问题1:内部控制部门与风险管理部门之间有怎样的关系?从观念上及实用角度上,您有什么建议? 拉瑞先生:美国和欧洲大多把内部审计部门分为两个部分:一个是传统的、关注内部控制和财务以及运营的内部审计部门;一个是牵头了解企业风险管理的内部审计部门,这通常也是内部审计的第二个职能,主要协助协调企业的风险管理工作。但是在许多全球性企业中,单独成立内部控制部或风险管理部也是日渐普及的模式。无论风险管理是设在内部审计部门范围之内,还是独立的风险管理部门,在公司的业务领域之内,有效实施风险管理的关键是管理部门对企业风险管理的认可。而且,重要的是要明白业务管理者在风险管理中是一个很重要的角色。业务管理部门负责管理公司,管理责任应该扩展到识别和管理所负责领域风险的范畴。以此类推,内部审计应是促进公司风险管理有效实施的推动者。 问题2:内部控制的架构和风险管理架构是否可以相互融合并相互代替? 拉瑞先生:所有的公司都应首先关注内部控制框架,因为这是公司运营的基础。风险管理框架是内部控制框架的延伸,所有内部控制框架的要素同样适用于企业风险管理框架。当公司开始对风险和管理理念有了一定了解的时候,就该实施风险管理框架,这两个框架在横向和纵向都应是一致的,不会有冲突。企业风险管理是两个框架中含义比较广的一个。内部控制框架与具体的控制目标相关,而企业风险管理则超越控制、超越财务报告,总体把握企业的战略以及同企业运营相关的风险。我们倾向于所有公司都实施企业风险管理框架,但是这需要一个过程,每个公司都应该从良好的内部控制开始,然后发展到良好的企业风险管理。 问题3:内部控制与公司治理有什么样的关系? 拉瑞先生:内部控制和公司治理是完全相互联系的。没有良好的公司治理,则难以建立良好的内部控制。因为随着公司不断发展,管理层报酬随之增多,对管理层的有效监控的需求也随之增加。这种监控根据文化的不同会有多种方式。然而,监督机制的建立和管理是公司治理的一个重要部分。因此独立董事会非常重要,内部审计部门和审计委员会的直接关系非常重要,内部审计部门与审计委员会主席互动关系也很重要。良好的公司治理会通常体现于有独立的审计委员会(或类似机构),并对监督控制、财务报告以及风险管理承担直接和重要的责任。审计委员会需要利用内部审计(或其他内部控制部门)人员的工作以及公司内部的其他资源来完成这个重要的任务。因此,内部控制和公司治理是完全相结合的。 问题4:建立内部控制体系固然非常重要,然而,设置内部控制流程可能会影响某些重要决策,从而造成利润下降,如何解决这个问题? 拉瑞先生:良好的内部控制带来良好的企业运营。因为良好的内部控制可以为管理层提供更准确、更及时以及可信赖的信息以帮助他们做决策。有很多内部控制失效、公司经营则失败的案例。美国威斯康星州曾做过一个案例研究,成立一个委员会审查州立保险委员会对于保险信息的使用情况,这些信息是用以在保险公司出现问题时确定民事责任和保障保险客户权益的。在查阅了所有失败的保险公司的详细报告后,发现所有这些公司都存在两个失败因素。一个因素是过分主观的领导行为。这些公司领导认为公司内部存在的所有问题都能够通过更多的销售来解决。另一个因素是内部控制不够或是没有内部控制。在美国,拥有良好内部控制和风险管理的公司,能使管理层做出更好的决策,因为管理层能够及早发现问题,例如库存过多或是信用政策的变化等问题。因此,内部控制能够影响决策过程,增加公司成功的可能性。应该说,合宜的内部控制不会影响企业的重要决策。但是没有良好的内部控制,却会影响公司及时做出决策。在审阅COS0内部控制或者企业风险管理框架的时候,重要的是要明白,重点永远是企业目标的实现。比如:一个目标是关于财务报告的可靠性。COS0 2006指引指出,关注控制目标以及公司怎样更加有效地实现这些控制目标是非常重要的。公司经常错误地认为,应把重点放在控制及制定各项制度政策上,认为这个控制或者那个控制必须存在。其实,许多不同的控制方法可以用来实现企业的目标;但是管理层及内部审计师应该寻找最有效的控制方法来实现企业目标并且使组织结构更加有效率。 问题5:要想建立有效的内部控制系统,企业应从哪里开始? 拉瑞先生:每个有效的内部控制系统都源于企业的高层。如果管理层、财务总监和董事会不致力于建立有效的内部控制,并提供资源以保证内部控制的有效实施,想要建立有效的内部控制系统是很难的。企业必须从一个最高最广的视角来思考对企业最有效控制目标的实现方法。最容易入手的地方是确保所有交易流程系统是有效的,且在整个公司内是一致的。从这些系统入手,是因为在许多公司内,尤其是一个有很多分支机构的公司,可以通过一致与标准化来获得提高绩效的机会。因此,优化控制以及提高控制有效性的一个做法是找到使基本交易系统间的流程标准化的方法。这需要从公司层面的视角出发,对公司实现控制目标最有效的方法给予前瞻性的考虑。一旦交易系统得到控制,下一步则应该考虑财务报表了,因为我们的目标是降低财务报表中出现严重错误的风险。所以,公司必须在他们的账目中识别重要的科目。我们建议,公司应该优先考虑那些重要的,但至今没有得到控制关注的领域,尤其是需要做会计判断的区域。其中包括所得税账户、确认负债,比如养老金或其他债务、与资产或者公允资产价值相关的区域。另外,包含在财务报表附注中的披露信息对于报表使用者来说也是至关重要的。例如,准备金的披露对于公司和投资者来说都是非常重要的。因此,我们必须关注是否对财务报表附注中的数据建立了有效的控制。