一、內部控制與風險管理的融合
1992年,美國COSO委員會(Committee of Sponsoring Organizations of The Treadway Commission)提出報告《內部控制—整體框架》,1994年對其進行了增補。該框架認為:為了實現內部控制的有效性,需要下列五個方面的要素支持:控制環境(Control environment)、風險評估(Risk assessment)、控制活動(Control activities)、信息與交流(Information and Communication)和監測(Monitoring)。自COSO報告發布以來,內部控制框架被世界上許多企業采用,在此基礎上,理論界和實務界紛紛對內部控制提出一些改進建議,強調內部控制框架的建立應與企業的風險管理相結合。2004年4月COSO委員會頒布了《企業風險管理整體框架》,對內部控制框架進行擴展,繼承并包含了《內部控制一整體框架》的主體內容,旨在為各國的企業風險管理提供一個統一術語與概念體系的全面的應用指南。
為了加強和規范企業內部控制,提高企業經營管理水平和風險防范能力,促進企業可持續發展,我國于2007年3月,由財政部牽頭、六部委共同組成的企業內部控制標準委員會研究制定的企業內部控制規范征求意見稿問世,在業界引起了強烈的反響,學者們關注目光主要集中在內部控制規范與體系、全面風險管理,以及內部控制與風險管理的融合問題上。2008年5月,《企業內部控制基本規范》正式印發,將于2009年7月1日起在上市公司范圍內施行,并鼓勵非上市的大中型企業執行。COSO報告對我國內部控制體系構建具有重要的指示作用,對其借鑒主要體現在:在形式上借鑒了COSO報告5要素框架,在內容上體現了風險管理8要素框架的實質。
在內部控制與風險管理關系問題上,我國大部分學者認為,風險管理是內部控制的有機組成部分,加強內部控制是防范企業風險的有效途徑。有學者進一步指出,內部控制旨在風險管理,它對風險管理起著重要作用,COSO企業風險管理的關鍵點就是管理層應采用以風險管理為基礎的內部控制,并進行內部控制有效評價。
不少學者主張將內部控制與風險管理有機融合在一起。其中,有學者認為,企業風險管理與內部控制是一個程序,它不是靜態的,而是處于不斷的調整和變化之中,以適應組織環境的變化。內部控制只有與風險管理相融合,才能實現最佳效果。從制度經濟學角度看,內部控制作為一種內部制度安排,具有特定的功能,主要表現在降低企業內部的交易成本、補充企業不完備契約。對于內部控制的核心問題,即什么是促進和推動內部控制發展的本質屬性和最終動力,筆者認為,降低企業的經營風險是內部控制發展和推進的本質。
二、基于風險管理的內部控制博弈分析
企業是一系列(不完全)契約(合同)的有機組合,是人們之間交易產權的一種方式。由于現實世界的復雜性、經濟人的有限理性和機會主義的影響,這組契約通常又是不完備的,使人們之間交易產權存在較大風險,風險管理內部控制就是為了在取得低交易成本收益的同時彌補企業契約的不完備性、降低風險而建立在企業內部的一個風險監管機制。
(一)參與者
博弈雙方為相對于離企業“較近”的企業的經營者(主要是董事會和經理層);另一方是相對于離企業“較遠”的要素投入主體(主要是股東和債權人)在這兩方的博弈中,雙方均為理性人,也就是說在做出決策時考慮自己的收益和成本,期望自己的收益最大化。
(二)基本假設
假設1:經營者的策略(尋租,不尋租)。尋租,經營者在內部控制風險監管機制不能有效實施時攫取額外租金;不尋租,在內部控制風險監管機制有效實施時正常的尋利行為。
假設2:要素投入主體(實施內部控制風險監管,不實施內部控制風險監管)。實施的內部控制風險監管,要素投入主體投入人力物力實施內部控制風險監管機制使其起作用;不實施內部控制風險監管,要素投入主體沒有投入人力物力導致內部控制風險監管機制不起作用。
假設3:企業總體經濟利益為I,經營者正常經營所獲得的經濟利益為A,要素主體實施內部控制風險監管機制所投入的成本為B(并假設,只要投入內部控制風險監管機制,就能控制尋租行為的發生),要素主體沒有投入內部控制風險監管機制所發生的損失為C,而經營者為自己謀取的尋租利益為D,實施內部控制風險監管機制發現尋租行為對經營者的懲罰為E(并假設,只要實施內部控制風險監管機制經營者的尋租行為就一定能被發現)。博弈的收益矩陣如表1所示
(三)博弈分析
假設用P表示經營者在內部控制風險監管不能有效實施時的尋租概率,用θ表示要素投入者實施內部控制風險監管的概率。當經營者正常尋利行為的概率為1-P,經營者在內部控制風險監管不能有效實施時的非常尋租行為的概率為P時,要素投入主體選擇投入人力物力致使內部控制風險監管有效實施(θ=1)和選擇不投入人力物力致使內部控制風險監管不能有效實施(θ=0)的期望收益分別為:
E(θ=1)=( I-A-B-C+E)×P+(I-A-B)×(1-P)
= EP-CP+I-A-B ①
E(θ=0)=(I-A-C)×P+(I-A)×(1-P)
=I-A-CP②
當E(θ=1)=E(θ=0)時,P=B/E③
當要素投入主體選擇投入要致使內部控制風險監管有效實施的概率為θ,經營者在內部控制有效實施時選擇正常尋利行為(P=1)和在內部控制風險監管不能有效實施時選擇非常尋租行為(P=0)的期望收益分別為:
E(P=1)=(A+D-E)×θ+(A+D)×(1-θ)=A+D-Eθ ④
E(P=0)=A×θ+A(1-θ)=A⑤
當E(P=1)=E(P=0)時,θ=D/E⑥
由③可知,當經營者在內部控制風險監管不能有效實施時的尋租概率等于B/E時,要素投入主體選擇投入要素致使內部控制風險監管有效實施所獲得的期望經濟利益等于選擇不投入要素致使內部控制風險監管不能有效實施所能獲得的期望經濟利益。
當經營者在內部控制風險監管不能有效實施時的非常尋租行為的概率小于B/E時,則要素投入主體選擇投入人力物力致使內部控制風險監管有效實施的期望收益就會小于選擇不投入人力物力致使其不能有效實施的期望收益,因此,要素投入主體最優選擇就是不投入要素從而致使內部控制風險監管不能有效實施;同樣,當經營者在內部控制風險監管不能有效實施時的尋租概率大于B/E時,對應的要素投入主體選擇投入要素致使內部控制風險監管有效實施的期望收益就會大于選擇不投入要素致使其不能有效實施的期望收益,因此,要素投入主體必定會選擇投入要素使內部控制風險監管能有效實施。
