上市公司内控风险的管理之“道”

赵澍崴

COSO内控系统五大要素及其影响

1992年，COSO委员会发布《内部控制整合框架》，简称“COSO报告”。COSO报告指出将内部控制分为控制环境、风险评估、控制活动、信息的沟通与交流以及对环境的监控五大因素。

控制环境主要包括企业人员的伦理道德观念、管理者对内部控制的态度以及董事会对企业未来预期目标的設定等内容；风险评估是对风险的识别、分析以及应对方式的选择；控制活动包含责任分配、绩效评价等内容；信息的沟通与交流是通过信息系统与沟通制度对内部事件进行处理；对环境的监控是对内部控制的监督。此五大因素对公司的影响如下：

控制环境

伦理道德对公司的企业文化有着关键作用，建立良好的企业文化，可提升员工的责任意识。

管理者对内部控制系统的态度对内控系统的建立及推行效果有着导向作用，其对内控体系的积极态度有利于其推行，反之，则可能无法推行。董事会制定企业未来预期目标是为企业指明大方向，对企业发展有着重要意义。

风险评估

风险评估是对风险进行控制的先决条件，建立完善的风险评估系统对风险调控有着关键作用。企业要做的并不是消除风险，而是根据风险识别与分析对公司自身可承受的风险敞口进行估测，规避无法承受的风险。

风险评估对于内控体系的建设也起着至关重要的作用，是公司进行商业活动的流程之一，遵守风险评估流程是企业规避操作风险的途径。

控制活动

通过对不同部门拥有不同的权利与职责的规定，以便于各部门监督和权力的分散，降低操作风险。绩效评价对于工作成绩好的员工是一种激励制度，以绩效来获取福利奖金；对于工作成绩较差的员工则是一种提醒与及时纠正的机会。

信息的沟通与交流

信息系统是为了防止由于信息不对称而造成的损失，同时提升内控效率。沟通制度更多是为员工提供一个问题反映的渠道以及与公司管理层达成共识的平台。员工发现内部控制问题后及时进行汇报以防止负面事件发生，例如跨级反应制度的应用，不仅可以对问题进行沟通解决，还可以对上层管理者进行监督。

对环境的监控

通过监控体系的建立可以有效发现内控环节中的问题，明确公司各部门监督职责，提升内部监督的有效性。

企业风险管理及内控系统中的问题

随着风险管理与内控体系的发展，虽然企业把风险管理与内控体系看得越来越重要，但依然有企业发生重大风险事件，这暴露了企业内控体系仍存在不足。

企业对内部环境的认识不足

企业对内部环境认识不足，特别是风险意识不足，难免会带来重重隐患。

2020年4月，中国银行的“原油宝”发生重大亏损。

此事件反映出了企业风险意识不足且内控系统缺乏应急能力。在国际原油市场油价持续下跌，甚至出现负值报价的时候，并未引起“原油宝”管理者的重视，也没有及时挽救，进而使投资者承受巨大损失。

2008年在美国次债危机影响下，美国第四大投行雷曼兄弟破产。其破产就与公司高管的风险管理决策有着紧密关联。

雷曼兄弟的业务过于集中，抵押贷款比重巨大且杠杆很高，在次贷危机发生时，管理层误判了形势，遭遇系统风险，引发了破产。

企业缺少有效的监控

内部监控就是进行风险策略调整的预警机制。监控制度的漏洞往往会给管理者或员工可乘之机，严重损害公司利益。

2020年4月，瑞幸审计机构安永表示，公司部分管理人员在2019年第二季度至第四季度通过虚假交易虚增公司收入、成本及费用。随后，美国多家律师事务所发起集体诉讼，瑞幸因此次财务造假事件股价暴跌85%。

企业风险评估与应对措施

企业的风险评估系统是企业预估未来风险的重要机制，与之同样重要的就是对待风险进行的措施。如果企业缺少了好的风险评估能力，就会增大未来发展中的不确定性，也直接令风险应对措施难以及时施行。

美国长期资本管理公司从1994年至1997年，年平均投资回报率达32.28%。而就是这样一个业绩惊艳华尔街的公司，却最终走向了失败。究其原因，主要是由于这家公司存在模型风险，管理层认为极端事件是很难出现的，并且认为市场具有自动修复的能力，可1997年东南亚金融危机导致俄罗斯国债违约，导致其发生了重大亏损。

基于此，风险评估系统需要考虑到极端事件的发生。

信息与沟通缺乏客观性

企业信息如果没有真实对外披露，会对经营带来负面影响，同样，企业如果缺少内部沟通也不利于防范风险的发生。

负面信息对于一个企业来说造成的影响极其巨大，会造成股价波动、信誉受损等。而正是因为这些原因，有些公司就会钻空子，选择性披露或隐瞒负面信息。

如欣泰电气定期报告中存在虚假记载、汇丰银行的客户信息被泄露等。而内部沟通存在问题同样影响很大，如法兴银行的交易员与助手合谋且交易员没有遵守交易员之间的轮换替代机制，这样的行为并没有被其他员工或管理者及时汇报，也导致了法兴银行的亏损。

上市公司风险管理与内部控制制度建议

当今时代，公司内控制度要不断完善才能适应于的市场变化。

建议如下：

加强企业文化建设

控制环境是企业内部控制体系的基础，不仅上市公司管理层要有风险管理与内部控制的意识，员工也要加强内控意识，形成重视风险、积极参与公司建设发展的企业文化。

董事会为公司指明未来目标，管理层积极执行董事会决策，员工努力实现自身价值，才能最终形成企业的良性循环。

完善监控制度

公司要致力于内部监督制度的完善与执行，规定好每个部门职责，鼓励员工积极参与到监督过程；对金额巨大的收益要有警惕性，财报与交易要确认是真实发生的；设立独立的风险监控部门，引进专业人才，保证监督的独立性；对发生的问题要及时进行补救并汲取教训，完善监督体系建设。

提高风险评估水平与措施调整灵活性

有的风险对公司威胁小但较为频发，而有些风险虽然出现频率很低，可一旦发生对公司将造成巨大打击。公司风险评估要将可能发生的风险都考虑到评估系统内，同时也要注意极端事件的发生，防范因系统性风险带来的打击。风险调控还要有灵活性，当发现未预估到的风险时，应当及时调整风险应对措施。

加强信息与沟通管理

公司要重视信息与沟通管理的建设，提高相应技术。保证信息传达到每一位员工，重视信息的准确性。同时，管理层还要特别重视加强沟通机制建设，让员工拥有反映问题的权力和机会。不仅如此，公司还可以对提出有效建议的员工进行奖励，以制度激励带动员工与管理层共同加入到公司发展中，从而保证信息与沟通畅通，便于工作的开展及内控系统的完善。

结语

COSO风险管理视角基于五大因素，而完善公司内控管理就要做好这五方面的建设。上市公司在完善内控管理的过程中，在立足于公司所处市场大环境及自身环境的基础上，要加强企业文化建设，内部监督建设，信息与沟通管理建设；在公司发展的过程中及时总结经验，灵活应对风险事件；根据市场变化积极调整策略，提升公司内控管理效率，实现公司未来目标。

作者单位：河南牧业经济学院