中航油事件 中航油案例分析

[内容摘要]

本文认为，新加坡最近发生的CAO事件是内部控制失效的结果。在分析CAO事件的过程中，笔者参考2004年10月发布的新COSO报告，从内部控制八要素的角度分析了CAO事件的起因和过程，并对中国企业借鉴国际企业风险管理方法进行了初步尝试。同时，本文还介绍了新企业风险管理框架的背景、理论贡献及其对中国企业的启示。

一.导言

CAO的巨大损失对国内外相关方产生了巨大的影响和深远的影响。由于CAO国有企业的背景，此次事件对中国国家信用和中国企业海外上市前景产生了负面影响。与中国CAO事件几乎同时发生的伊利高管被捕、创维数码董事长被捕、郑锦数码和深圳石化前董事长被捕等事件，也向我们提出了同样的问题：我们的企业到底出了什么问题？此时，在2004年底，国际知名的反虚假财务报告委员会(以下简称“委员会”)废除了长期存在的内部控制报告，并发布了一份具有全新概念的COSO报告：《企业风险管理——总体框架》(简称“机构风险管理”)。虽然本报告保留了传统内部控制的一些概念，但它在框架和要素方面都取得了相当大的突破。

在这样的赞誉下，新的内部控制框架的背景和动机是什么？它的具体内容是什么？对中国企业内部控制的完善能带来什么意义？这是我们需要分析的。

二.解读COSO委员会新报告《企业风险管理——总体框架》

内部控制理论是随着企业内部控制实践经验的丰富而逐步发展起来的，经历了内部牵制、内部控制制度、内部控制结构和内部控制总体框架四个理论阶段(褚时良，2004)。由美国注册会计师协会(AACPA)、美国会计协会(AAA)、财务经理协会(FEI)、国际内部审计师协会(IIA)和管理会计师协会(IMA)组成的委员会于1992年发布并于1994年修订的《内部控制——整体框架》报告标志着内部控制的理论和实践进入了总体框架的新阶段，并被世界上许多企业所采用。尽管如此，理论界和实务界仍然认为内部控制框架存在一定的局限性，如对风险的重视不够，使得内部控制无法与企业风险管理相结合(朱，何新，2003)。2004年10月发布的企业风险管理(ERM)框架以1992年报告为基础，结合《萨班斯一奥克斯法案》 (-)的相关要求。与传统的内部控制内容相比，新框架有更多的变化。这些变化主要包括以下几个方面：

(一)企业风险管理对内部控制内涵的发展

1992年的COSO报告对内部控制的定义如下：“内部控制是一个受董事会、经理和其他人员影响的过程。该流程旨在为实现以下三个目标提供合理的保证：运营的效果和效率、财务报告的可靠性以及法律法规的合规性。”内部控制的定义明确定义了四个要点：(1)是一个过程；(2)受人类影响；(3)为了实现三个目标；(4)合理保证。

这个定义虽然很宽泛，但是从某个角度来说，还是比较模糊的，有些片面性。因此，在最初的COSO报告于1992年发表后不久，一些人批评该报告缺乏保护资产的概念。比如美国审计署(GAO)认为，这份文件对内部控制的重要性强调得不够，失去了完善内部控制监督评价的机会。查尔斯，美国前总审计长。鲍学()曾经说过：“有效控制的最大需求可能在信贷组合领域。一份完全不涉及信贷组合的内部控制财务报告是没有用的。”(，1993)但罗伯特，当时的COSO主席。罗伯特。May认为保护资产的考虑更适合作为一种业务控制(StevenJRoot，2004)。由于美国审计局的巨大影响力(比如银行可能认为COSO报告与此无关)，如果COSO报告不按其要求进行修改，可能一开始就面临被抛弃的命运。作为最后妥协的结果，在1994年的修订报告中，提出了“保护资产的内部控制”的概念，即“防止未经授权获取、使用或处置资产，……”。可以看出，这个概念在内部控制框架中的应用是非常勉强的。新的机构风险管理框架明确界定了保护资产概念的应用。

新报告认为，“保护资产”或“保护资源”是一个宽泛的概念，资产或资源的损失可能是由于盗窃、浪费、低效或错误的业务决策造成的。因此，“保护资产”的宽泛范围侧重于特定的报告目标，这使得保护资产适用于所有未经授权的资产获取、使用和处置。

再比如，内部控制和管理活动有什么区别？在最初的报道中并不清楚。COSO公司报告的内部控制活动中不包括一些纠正错误的管理措施。然而，新的机构风险管理框架明确将纠正管理行动列为控制活动之一。

企业风险管理框架对内部控制的定义如下：(1)它是一个过程；(2)受他人影响；(3)应用于战略制定；(4)整个企业的各级、各单位；(5)旨在识别影响组织的事件，管理组织风险偏好范围内的风险；(6)合理保证；(7)为了实现各种目标。ERM相对于最初的定义要详细得多。新的公司治理结构报告提出了风险偏好和风险承受能力的概念，使企业风险管理的定义更加清晰和具体。同时，企业风险管理涵盖了内部控制的所有合理内容。

(二)企业风险管理对内部控制目标的发展

在1994年《内部控制——整体框架》，内部控制有三个目标：运营

效果和效率、财务报告的可靠性和法律法规的遵循性。ERM整体框架中除了经营目标和合法性目标与内部控制整体框架相似以外，还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表的，包括中期和简要财务报表，以及从这些财务报表中摘出的数据，如利润分配数据”。新报告则将报告拓展到“内部的和外部的”“财务的和非财务的报告”，该目标涵盖了企业的所有报告。

除此之外，新COSO报告提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。

　　（三）企业风险管理对内部控制要素的发展

1994年COSO报告《内部控制——整体框架》中，提出了五个要素：控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行深化和拓展，将其演变为八个要素。例如，ERM框架引入风险偏好和风险文化，将原有的“控制环境”扩展为“内部环境”。又如，虽然内部控制整体框架和ERM框架都强调对风险的评估，但风险管理框架建议更加透彻地看待风险管理，即从固有风险和残存风险的角度来看待风险，对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项分布等技术来分析（朱荣恩，贺欣，2003）。再如，由于原报告仅提出三个目标，因此“信息与沟通”中的信息仅仅指与这三个目标相关的信息。而新的报告包括了与组织的各个阶层、各类目标相关的信息，这就对管理层将巨量的信息处理和精炼成可控的信息（actionableinformation）提出了挑战。

原COSO报告仅提出风险识别，但是并没有区分风险和机会。ERM框架则将风险定义为“可能有负面影响的事项”，并且引入了风险偏好、风险容忍度等概念，将原有的风险评估这一要素，发展为目标设定、事项识别、风险评估和风险反应四个要素，使得原有的内控五要素发展为风险管理八要素。

　　（四）相关角色和任务的变化

新老COSO报告都将组织的董事会、管理层和内部审计和其他职员看成是相关责任人。在内部控制框架和ERM框架中，董事会都提供管理、指引和核查。虽然董事主要提供监督，但是也提供指导以及批准战略、一些特殊交易和政策。董事会既是内部控制的重要因素，也是企业风险管理重要因素。ERM框架使董事会在企业风险管理方面扮演更加重要的角色——负总体责任，并且要求其变得更加警惕。企业风险管理的成功与否在很大程度上依赖于董事会，董事会需要批准组织的风险偏好。以前，当公司出现丑闻时，很多人问：“管理层怎么让这发生的”？现在，恐怕要问：“董事会怎么让这发生的”？（DanaRhermanson，2003）在新报告中，CEO必需识别目标和战略方案，并且将其分类为战略目标、经营目标、报告目标和遵循性目标四类。每一个业务单元、分部、子公司的领导也需要识别各自的目标，并与企业的总体目标相联系（GeorgeMatyjewiczetal，2004）。一旦设定了目标，管理层就需要识别风险和影响风险的事项、评估风险并采取控制措施。

在ERM框架中，内部审计人员在监督和评价成果方面承担重要任务。他们必需协助管理层和董事会监督、评价、检查、报告和改革ERM.对于内审人员来说，最大的挑战是在ERM中扮演何种角色？很多内审人员可能被要求提供ERM的教育和训练，甚至“处理企业风险管理过程”。但是，新报告认为：内审人员并不对建立ERM体系承担主要责任。还有文章提醒内审人员不要行使不匹配的职能。（w.R.Kinveg，2003）内审人员职责的另一个变化是从原来对CFO和内审委员会负责，现在可能要对CFO、内审委员会和风险主管（riskofficer，CFO）负责。

在ERM框架中，新增加了一个角色——风险主管或风险经理。风险主管除了需要和其他管理人员一样，在自己的职责范围内建立起风险管理外，还要帮助其他经理人报告企业风险信息，并可能是风险管理委员会的成员之一。

三、以反虚假财务报告委员会的《企业风险管理——总体框架》来解读中航油事件

中国航油（新加坡）股份有限公司是中国航空油料集团公司的海外控股公司。经国家有关部门批准，新加坡公司在取得中国航油集团公司授权后，自2003年开始做油品套期保值业务。在此期间，新加坡公司总裁陈久霖擅自扩大业务范围，从2003开始从事石油衍生品期权交易，同日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外，签订了合同。陈久霖买了“看跌”期权，赌注每桶38美元，没想到国际油价一路攀升——2004年10月以后，新加坡公司所持石油衍生品盘位已远远超过预期价格。根据合同，中航油需向交易对方（银行和金融机构）支付保证金，每桶油价每上涨1美元，中航油新加坡公司要向这些银行支付5000万美元的保证金，其结果导致中航油现金流量枯竭，实际损失和潜在损失总计约5.54亿美元。（许俊，2004）

事实上，陈久霖这种石油期权投机交易，其股东方中航油集团公司是明令禁止的。国务院1998年8月1日《国务院关于进一步整顿和规范期货市场的通知》、2001年10月11日证监会发布的《国有企业境外期货套期保值业务管理制度指导意见》都明确规定了取得境外期货业务许可证的企业，在境外市场只能进行套期保值，不能进行投机业务。1999年6月2日国务院发布的《期货交易管理暂行条例》，也规定了国有企业的期货交易仅限于从事套期保值业务（且命令禁止场外交易），并要求期货交易总量应当与其同期现货交易量总量相适应。

然而，中航油从事以上交易时，一直未向中国航油集团公司报告，而且中国航油集团也没有发现。直到保证金支付问题难以解决、经营难以为继的情况下，新加坡公司才向中国航油集团公司紧急报告。即便如此，中航油公司也没有向集团公司说明实情。而且为了掩饰公司的违法行为，中航油开始向上级公司提供假账，2004年6月，中航油就已经在石油期货交易上面临3580万美元的潜在亏损。但公司仍然一意孤行，继续追加了错误方向“做空”资金，但在财务账面上没有任何显示。由于陈久霖在场外进行交易，集团通过正常的财务报表没有发现陈久霖的秘密，新加坡当地的监督机构也没有发现其有违规现象，因此，才使得中航油事件从一个并不很大的失误开始，酿成为石破天惊的大案、要案。根据上述中航油事件，我们对比ERM框架，认为有如下几个方面非常值得关注：

　　（一）关注企业风险比关注企业细节控制更为重要

ERM框架最大的变化，就是将企业内部控制更名为企业风险管理，这一变化是有特殊意义的。事实上，包括中航油公司在内，几乎所有的公司都有一大套管理制度。这些制度大到包括对外投资、小到包括差旅费报销等，应有尽有。因此，企业董事会与管理层认为，这些制度的贯彻与执行，就是内部控制的所有内容。其实，企业的管理资源是有限的、控制也是需要成本的。如果将企业主要精力放在所有细小的、或微不足道的控制上，往往会舍本求目，如有些企业在差旅费报销的规定上，长达数十页，极其繁琐，表面上控制得很好，但浪费了许多管理资源，还会忽视企业重大风险。所以，ERM框架要求董事会与管理层将精力主要放在可能产生重大风险环节上，而不是所有细小环节上，将风险管理作为内部控制的最主要内容，这是一个革命性的变化。事实上，中航油公司曾在2003年被新加坡证券监督部门列为最具透明的企业，说明该企业确实在细节方面的内部控制做得非常周到。但是，从事后暴露出的结果来看，恰恰是在经营风险管理上出了问题。所以，ERM框架要求董事会将主要精力放在风险管理上，而不是所有细节的控制上，是非常值得关注的变化。

（二）执行ERM框架比设计内部控制框架更为重要

应该说，任何一个公司都或多或少存在一定的内部控制，否则，公司是无法正常运行的。事实上，中航油公司本身也有一整套内部控制制度，为了追求制度的完美，他们还聘请了国际四大会计师事务所之一的安永会计师事务所制定了《风险管理手册》，在该手册中规定：损失超过500万美元，必须报告董事会，并立即采取止损措施等。然而，当陈久霖在处理期货头寸的过程中，这些规定的流程成为形式，设定的风险管理体系并没有发挥任何作用。由此可见，公司在设计内部控制时，是花了相当大的精力，而在如何保证实施制度方面，则缺乏应有的措施。这一点，ERM框架有明确指示。为了保证所设计的制度能够得到执行，在ERM框架中的第七与第八个要素中，再一次强调了通过控制活动的设置，建立独立的监督部门来保证框架实施的可行性。这二要素包括建立、实施某些程序，保证有效进行风险反应。控制活动在整个组织的各个层级和各种活动中都发生，包括对申请和一般信息技术的控制、组织控制、经营控制、人事控制、定期检查、设施和设备的控制等不同方法。而监督则指企业整个风险管理过程均应被监督，并且在必要时对所发现的偏离进行必要修正。或者通过正在实行的管理活动以及分别评价风险管理过程，双管齐下来监督其他要素的有效性。这些内容均是监督要素的核心。事实上，作为一个现代企业组织，最为忌讳的是，在开展业务过程中出现暗箱操作行为，这往往是发生舞弊的前奏。因此，将所有业务活动分离出授权、批准、执行、记录及监督，并将这些职能分别授于不同部分执行，形成一个相互牵制、相互制约的过程，是内部控制的精髓。从中航油事件来看，陈久霖作为一个管理人员，如果其有授权功能，按照控制活动原则，就不应有执行的功能。即使其有执行功能，按照控制活动原则，他就不应有检查与监督功能。

但是，在陈久霖越权从事石油金融衍生产品投机过程中，没有任何阻拦与障碍，而在事后还能一手摭天、隐瞒真实信息，足见该公司在职能分工方面，特别是控制活动与监督这两个要素存在严重问题。由于存在这些缺陷，所以就很难保证已有设计好的内部控制能够到执行。通常，在比较规范的海外公司中，为了保证内部控制的实施，一般来说，除了财务上必须既向公司总经理汇报，又应向董事会汇报外，还有一个不受总经理制约的内部审计委员会。通过这些机构的设置，以保证董事会不仅有知情权，还有干预权。使得公司的运作是以股东利益最大化为最终目的。所以，从中航油事件中我们得到这样一个教训，保证ERM框架的实施，比设计一个内部控制更为重要。

（三）注意ERM框架中的新要素：内部环境、目标设定及事件设别

对比传统的内部控制内容，新ERM有了四个要素方面的变化。这四个要素的变化，对重新认识中航油事件，可能有一定的借鉴意义。

　　1.将控制环境改变为内部环境

传统内部控制将第一要素定义为控制环境，而新ERM框架却将其改为内部环境，这一要素的变化体现了企业风险管理的范围更大了，应该关注的环境视野比过去更广了。在该新要素中，强调了内部环境包含了一个组织的气氛，形成一个组织的人员识别和看待风险的基础。内部环境主要包括：风险管理哲学和风险偏好；员工诚实性和道德观以及企业经营环境。内部环境要素确立了企业的风险文化，它既要认可预期发生的事

标签： #从工商管理角度看热门事件