【正文】 成要素的基礎 。從國內外權威機構發(fā)布的內部控制框架的時間順序來看，在 1988 年美國注冊會計師協(xié)會發(fā)布《會計準則公告第 55 號》 (SASNO， 55)公告中，提出了內部控制結構由三部分組成，它們是控制環(huán)境、會計系統(tǒng)、控制程序。該公告首次將控制環(huán)境正式納入內部控制范疇，凸顯對環(huán)境控制的重要性認識。 1992 年美國 COSO 發(fā)表的《內部控制 —— 整體框架》 (ICIF)在內部控制理論的發(fā)展史上占有非常重要的地位，其提出的內部控制系統(tǒng)由五部分組成：控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)督。 2021 年我國企業(yè)內部控制標準委員會發(fā)布的《企業(yè)內部控制規(guī)范 —— 基本規(guī)范》中提出，內部環(huán)境是影響、制約企業(yè)內部控制建立與執(zhí)行的各種內部因素的總稱，是實施內部控制的基礎。美國的 SASNO，55 和 ICIF 都始終把“控制環(huán)境”放在首位，說明其居于整個內部控制的核心地位 。結合我國的基本規(guī)范可以看出，內部控制中強調的“控制環(huán)境”主要是指對企業(yè)內部環(huán)境的控制上，強調的是內部環(huán)境問題，這與 ERM 框架中強調的“內部環(huán)境是企業(yè)風險管理的核心”實質上是一致的。因此對我國跨國公司風險管理的內部問題分析就應該從我國跨國公司“內部環(huán)境”的內容要素人手。 ERM 框架、 SASNO， 5 ICIF和基本規(guī)范關于內部環(huán)境的內容要素的提法各有差別但是基本上一脈相承的，概括起來，內部環(huán)境的內容要素主要包括企業(yè)文化、治理結構、內部監(jiān)督和管理方法等四個方面。這四個方面的不利因素構成了其風險管理內部問題的主要原因： (一 )從企業(yè)文化角度來看：我國跨國公司缺乏科學的、統(tǒng)一的風險管理價值觀。 一方面，風險管理理念是風險管理價值觀的核心要素，而我國跨國公司管理者和員工的風險管理理念都存在非科學性。 COSO 報告曾明確指出，企業(yè)里的每個人對企業(yè)風險管理都有責任。但是，我國多數(shù)跨國公司的管理者的風險管理理念落后，導致其行為常常凌駕于風險管理規(guī)則之上，甚至有一些管理者還存在道德風險問題。這些跨國公司的員工工作時只憑領導意識辦事，對風險管理的準則和制度也是一種選擇性遵守。另一方面，我國跨國公司整體缺乏統(tǒng)一的風險管理價值觀。近年來我國跨國公司的風險管理意識得到了一定的增強，但仍缺乏將風險管理意識上升為 統(tǒng)一的風險管理價值觀。這集中體現(xiàn)在，我國跨國公司母、子公司風險管理價值觀的不統(tǒng)一。母公司的管理人員往往認為整個跨國公司的風險管理就是各個子公司各項制度、規(guī)章的統(tǒng)一和各方面資料、數(shù)據(jù)的匯總，忽視了研究子公司的業(yè)務營運風險及其與跨國公司整體風險的相關性 。同時，子公司的管理人員也僅僅認為只要遵照母公司的規(guī)章制度即可，忽視了應與母公司形成互動式的風險管理。這種不統(tǒng)一的、非互動式的風險管理導致跨國公司整體風險管理能力長期低于應有的水平。這反過來又會加深子公司對母公司風險管理能力的懷疑，從而形成惡性循環(huán)。 (二 )從公司治理結構角度來看：我國跨國公司的治理結構不規(guī)范。 企業(yè)風險管理的建設及有效運行，有賴于企業(yè)良好的公司治理結構。然而，我國跨國公司雖然形式上也建立了法人治理結構，具有了現(xiàn)代企業(yè)的形式，但遠未達到內部權力相互制衡的效果，這是導致企業(yè)“一把手”的行為凌駕于風險管理制度之上的根本原因。問題最為突出的方面表現(xiàn)在：股東大會流于形式、董事會作用嚴重弱化、監(jiān)事會的權力虛置。 首先，我國大多數(shù)跨國公司在歷史發(fā)展過程中最大的一個特點，就是其大多由國有企業(yè)股份化、集團化改造而成，政府在公司形成過程中扮演了 很重要的角色，股權過于集中，國有股“一股獨大”，使股東大會流于形式。這使得我國跨國公司占比重最大的國有跨國公司風險管理設計與實施的依據(jù)不明，不能充分代表全部產權人的利益，造成終極所有國際經濟合作 2021 年第 8 期者缺位，“內部人控制”現(xiàn)象嚴重。其次，我國國有跨國公司股東會 (國資委 )和董事會的公司法地位很高，但實際上高級管理人員的推薦、任免權，均由上級組織人事部門代為行使，這使董事會對經理人員的監(jiān)管作用難以發(fā)揮。股東會和董事會在公司治理結構上被懸空，在地位上被下置，充其量只有具體經營事項的部分決策價值和應付外部 監(jiān)管的形式價值。這使得公司管理當局長期處于一些政府官員的直接干預之下，董事會不可能對政府的不當干預進行法律上的阻隔。因此，外部行政風險在這種董事會的構架下無法防范，從風險成因上來講，這種權力缺陷是我國國有跨國公司各類風險事件發(fā)生的主要誘因。再次，我國跨國公司監(jiān)事會的作用被嚴重弱化。 2021 年版《公司法》規(guī)定：董事會對股東會負責，但《公司法》卻只規(guī)定了監(jiān)事會的職權規(guī)定，卻并沒有明確它到底對誰負責，監(jiān)事會地位尚不明確。在實踐中，由于監(jiān)事對董事會的依附性較強和缺乏監(jiān)督手段，其主要職責限于事后的檢查，基本不具備實時 監(jiān)控的職能，“監(jiān)事會不監(jiān)事”的現(xiàn)象比比皆是。 (三 )從內部監(jiān)督角度來看：我國跨國公司的內部審計不到位。 風險管理過程必須被施以恰當?shù)谋O(jiān)督。通常，企業(yè)的專項監(jiān)督職能由內部審計來完成，內部審計是風險管理內部監(jiān)督的主要內容，其作用發(fā)揮的好壞直接影響到風險管理的效果。而我國跨國公司的內部審計大多是應國家審計的需要而建立起來的，國家對公司內部審計機構實行雙重領導體制，在行政上由企業(yè)主要負責人直接領導，在業(yè)務上接受國家審計機關的指導。由于這種審計制度的建立帶有明顯的外部政府壓力的傾向，會導致以下問題：監(jiān)事會內部審 計模式的低效，內部審計局限于財務職能，內審人員缺乏風險管理的專業(yè)知識。 首先，我國跨國公司一般采取的是以監(jiān)事會為中心的內部審計模式，而監(jiān)事會往往只有監(jiān)督權和建議權，對董事和經理并沒有直接的制裁權，一般要通過股東大會才能執(zhí)行，從而在客觀上削弱了監(jiān)督效率。有實證研究表明，監(jiān)事會領導的內部審計模式的公司規(guī)模最大，但公司業(yè)績最差。其次，我國跨國公司的內部審計僅是作為一個財務領域的職能部門，重點集中在檢查會計報表等財務數(shù)據(jù)的真實性上面，很少觸及經營管理的其他領域，沒有發(fā)揮出世界 500 強公司的風險導向型內部審計 對風險管理做出整體的分析、評價以及建議。據(jù)調查，現(xiàn)階段我國企業(yè)有 %的被調查單位的內部審計機構在風險管理中不發(fā)揮任何作用 。再次，世界 500 強公司實施的風險導向型內部審計，對具體實施人員有著很高的要求，要求他們精通于常規(guī)的審計程序的基礎上，還應該具備風險管理的專業(yè)知識和經驗。當前，我國跨國公司的內部審計人員大都是財會人員出身，其中少有接受過風險導向型內部審計的專業(yè)訓練，缺乏相關的知識與經驗，因此難以充分發(fā)揮內部審計在風險管理中的重要作用。 (四 )從管理方法角度來看：我國跨國公司風險管理方法較為 落后。 據(jù) ERM 所述，企業(yè)風險管理各環(huán)節(jié)都需要一定的方法來支持。首先，跨國公司是一個多分支的組織系統(tǒng)，母公司與子公司之間的信息常常是不對稱的，這可能會產生子公司提供不完全信息、虛假信息和延緩信息的提供等行為，而信息的真實性、及時性直接影響到風險管理的準確性和及時性。由于我國多數(shù)跨國公司內部在風險管理信息系統(tǒng)建設方面的滯后，導致其母公司與子公司之間不能形成有效的風險管理信息共享與互換，甚至有的子公司的下屬部門即便發(fā)現(xiàn)了風險也沒有相應的渠道向母公司匯報。其次，與發(fā)達國家跨國公司大量運用數(shù)理統(tǒng)計模型等先進 計量方法進行風險管理相比，由于風險管理信息上的不完全等各種現(xiàn)實原因，我國多數(shù)跨國公司還仍是采用定性分析等較為落后的方法進行風險管理。這直接導致我國跨國公司不能準確地預測風險、識別風險和評估風險，進而影響我國跨國公司風險管理目標的順利實現(xiàn)。 四、中國跨國公司風險管理內部問題的對策 (一 )培育風險管理的企業(yè)文化環(huán)境。 從本質上講，企業(yè)風險管理是培育在一種文化背景下具有統(tǒng)一認知和行為的 39。模式。因此，我國跨國公司應將風險管理作為企業(yè)文化的重要內容并貫穿企業(yè)文化建設始終，以培養(yǎng)和加強管理層及普 通員工科學的、統(tǒng)一的風險管理價值觀，并自覺地落實風險管理的各種準則和制度到日常各項工作中 。要通過企業(yè)風險管理文化的培育，將風險管理自然滲透到母公司和子公司以及跨國公司的各個業(yè)務單元、各個崗位和各個工作環(huán)節(jié)，使每個崗位和每個人在開展每項業(yè)務時都要考量上、下游風險及其相關性因素，以形成防范風險的互動式風險管理。在營造企業(yè)風險管理文化環(huán)境方面，我國跨國公司可以依靠書面形式的行為準則和規(guī)章制度來規(guī)范員工的行為，可以舉辦針對全體員工的風險管理培訓，還可以在企業(yè)內部組織包括普通員工在內的風險管理工作內部評價，形成一個開 放的風險管理文化環(huán)境，以發(fā)現(xiàn)更多的隱患。 (二 )改進公司治理結構。 有研究表明，只有建立以科學的現(xiàn)代治理結構為基礎的權力產生和運行機制，才可以理順企業(yè)內部的各種權力結構，提升企業(yè)的風險管理能力。首先，在股東大會建設方面，要使股東大會真正成為代表全體股東利益的機構就要完善征集股票表決權辦法和分類表決制，并通過一定切實可行的措施保障中小股東在股東大會上行使權力。其次，在董事會建設方面，一是完善獨立董事制度，發(fā)揮其在決策中監(jiān)督，在管理中監(jiān)督的作用，并使獨立董事的收入不與所任職的企業(yè)直接相關，防止獨 立董事作用異化，最終達到防止大股東操縱董事會。二是在董事會內部設立專門委員會 —— 風險管理委員會，使董事會通過風險管理委員會的指導與推動作用，來實現(xiàn)企業(yè)的風險管理戰(zhàn)略。三是針對我國國有跨國公司股東會和董事會在公司治理結構上被懸空的問題，在現(xiàn)有組織人事管理體制不發(fā)生重大變化的前提下，國有跨國公司應在治理結構上要利用權力整合與制衡原則，將政府組織人事部門和國資委“設定”為兩家不同的“股東”。組織人事部門以人事權力為基礎享有“股東會”的部分權利，包括董事長 (兼黨委書記 )和董事會高管資格審查委員會主任 (兼主管組織工作 的副書記 )的兩名董事高管間接任命權 (依公司法應通過國資委履行董事任命，因為國資委是法律上的唯一股東 )：國資委以資產管理權為基礎，經組織人事部門的授權，享有部分人事任免權利，包括任命董事總經理和董事常務副總經理。這樣就可以在董事會層面產生了權力的制衡效果，同時沒有回避實際治理過程中的干部管理權問題。最后，在監(jiān)事會建設方面，必須保證監(jiān)事會責權利的完整性，應從相關法規(guī)和制度上規(guī)定監(jiān)事會履行職責的人員編制、資金來源，確保監(jiān)事會責權利的落實。同時，強化監(jiān)事會權力和責任，并通過相關的實施細則或條例、辦法對監(jiān)事會的職責予 以細化，明確監(jiān)事會失察的法律責任，使風險控制真正落到實處。如果能建立起監(jiān)事會領導下的風險管理制度，通過事前介入、事中參與和事后監(jiān)督也能在很大程度上降低企業(yè)風險。 (三 )強化內部審計。 鑒于我國跨國公司還處于建立風險管理流程的階段，其內部監(jiān)督的主要內容 —— 內部審計并沒能在風險管理中真正發(fā)揮出作用。因此，現(xiàn)階段我國跨國公司的內部審計在企業(yè)風險管理中應定位于建議者、協(xié)調者和監(jiān)督者的角色，主要通過管理咨詢和建議、管理協(xié)調和管理監(jiān)督途徑來參與風險管理。首先，對于內部審計模式，由于監(jiān)事會的非有效監(jiān)督，以 監(jiān)事會主導的內部審計有職能缺陷。審計模式可以調整監(jiān)事會領導內部審計為以董事會領導內部審計。實踐證明，董事會領導內部審計，在發(fā)現(xiàn)問題及時性、信息傳遞速度方面的效率較高，對提高風險管理決策科學性和風險管理效率非常重要 。其次，對于內部審計職能，由于我國會計標準的變化，現(xiàn)代企業(yè)的財務資料操作會越來越規(guī)范，企業(yè)所有者真正關心的是如何實現(xiàn)企業(yè)價值最大化，如何有效防范風險。這就要求內部審計工作重點必須從傳統(tǒng)財務領域的“查錯防弊”擴展到企業(yè)內部的管理、決策及效益服務等企業(yè)經濟管理和業(yè)務活動的各個層面、各個方面，內部審計的職 能也應從審查的監(jiān)督向評價、咨詢、建議和協(xié)調等方面拓展 。最后，對于內審人員的素質，內審部門要努力按照國際內部注冊審計師協(xié)會審計準則的要求建立內部審計質量控制制度，強化審計的風險管理意識，提高內審人員的業(yè)務素質。其途徑的選擇，包括多專業(yè)地選拔內審人員，優(yōu)化內審人員的知識結構，注重對其綜合能力 (審計、風險管理等 )的培養(yǎng)和考核，加強對內審人員的后續(xù)教育和崗位培訓，必要時可成立有關業(yè)務方面的專家小組，參與內審工作等等。 （四）建設先進有效的風險管理系統(tǒng)。 為了能降低我國跨國公司的母公司與子公司等各級信 息的不對稱程度，以達到防范風險的目的。首先，從信息流動方向來看，我國跨國公司應確保自上而下和自下而上兩個相反方向的信息流動均暢通 。其次，從信息溝通渠道來看，風險管理信息系統(tǒng)中需要溝通的信息必須以一個有效設計的風險管理組織結構作為溝通渠道來傳遞這些信息。各級風險管理部門負責收集和傳遞各個風險信息，整個跨國公司最高的風險管理委員會作為溝通渠道中關鍵性的角色應將這些信息匯總并處理 。最后，從風險管理系統(tǒng)的有效性來看，真正有效的風險管理系統(tǒng)在準確地對風險值做出計算的同時，還能夠實現(xiàn)事前與事后相結合，對已經避免的風險進 行追蹤，對正在發(fā)生的風險進行預測等。具體來講，母公司必須在整個跨國公司內部建立一套有效的風險管理系統(tǒng)：一是建立覆蓋整個跨國公司經營全過程的風險管理信息系統(tǒng)，通過固定化業(yè)務流程等，實現(xiàn)企業(yè)運營業(yè)務信息向風險信息的自動轉換。二是建立涵蓋整個跨國公司風險管理各個流程的風險預警分析系統(tǒng)，即采用現(xiàn)代風險管理技術 —— 模型計量等風險管理方法，量化風險指標、收集風險預警重要信息，預測企業(yè)發(fā)生各種風險的可能性及其大小。