税务风险管理体系(4)

收成本。 四、税务风险的特征 第一，主观性。纳税人和税务机关对同一涉税业务存在不同理解，这直接导致税务风险的产生。同时，纳税业务在相关业务中表现出主观态度，不同税务机构对税收制度的理解大多不同，这都是税款征纳双方较难做到“沟通中的认同”。企业税务风险因此而出现，并且由于具体情况的不同而有大有小。 第二，必然性。在生产经营管理过程中，任何企业均以税后净利润最大化作为最终目标，这一客观状况却与税收本身具备的强制性存在矛盾，在此中间，企业追求税务成本最小化的动机，导致企业和政府问的信息不对称。加上国家税收执法环境不断变化，以及企业管理者、财务工作者对相应政策法规理解程度的有限性，更使企业管理者难以完全规避税务风险，并使得风险对企业经营带来潜在的持续影响。 第三，预先性。在企业日常经营活动与财务核算时，税务风险已然存在于企业实际缴纳各项税费之前的相关行为中。换言之，企业主观上实施的涉税相关业务计算与核算的调整等行为，导致其与税收政策、法规等出现矛盾甚至相互背离，也就是说，企业税务风险先于税务责任履行行为而存在。了解企业风险的预先性特征，有利于企业建立正确的税务风险控制时间观，以此及时掌握税收法规的制定及变动，切实降低税务风险。 五、税务风险的种类 税务风险依据不同标准，可以作不同分类。 第一，不同来源的税务风险。税务风险根据其来源，可以分为两类：来自税务局等执法部门的少缴税、晚缴税的风险；来自自身的多缴税、早缴税的风险。 第二，不同内容的税务风险。根据税务风险的内容，可以将税务风险分为：具体税种的风险，如增值税风险、企业所得税风险等；日常管理的风险，如因违反纳税申报、税务登记、发票管理等产生的风险等。 第三，不同性质的税务风险。根据涉税行为的性质及其严重程度，可以将税务风险分为：偷税等税收违法违规的风险；多缴税款等不违法违规的风险。 第二节 风险管理及国内外企业风险管理理论 12 一、风险管理的含义 风险管理，就是通过执行风险管理流程，运用风险管理技术方法，培育风险管理文化等措施，优化资源配置，识别、衡量、化解风险，为实现组织目标提供合理保证的过程和方法。实际上可以这样简要地表述：风险管理是为组织目标的实现提供有效保障过程和方法。我们会采用不同的策略来保障组织目标的实现，风险管理理论的策略是通过认识、衡量、化解风险来保障组织目标的实现。美国著名金融学家彼得.伯恩斯坦在其金融学巨著《与天对弈：关于风险的精彩故事》中认为，风险管理的极端重要性无论怎么强调都不过分，它甚至“超越了人类在科学、技术和社会制度方面取得的进步”。 风险管理是由企业的董事会或者高层管理人员负责实施的，将风险管理贯穿于企业整个企业行为活动中，作为企业发展战略中的矫正器，使管理风险至始至终控制在企业可容纳风险的范围内，通过识别潜在的涉及企业风险的经济事项，为企业目标的最终实现提供风险保障的过程。 二、国外企业风险管理理论 税务风险管理理论在国外起步较早，本文主要介绍OECD的税收风险管理理论以及美国发起人委员会（以下简称COSO）的企业风险管理框架。 在介绍相关理论之前，本文有必要区分以下“税收风险”和“税务风险”两个概念的差别，有时这两者可以混用，但更多时候他们是两个不同的概念。税收是政府的一种主要财政收入形式，税收风险是相对政府来说的，主要是指由于税收收入可能的不足而给政府带来的风险，政府应主要完善税制，加强征管，提高税款使用效率。税务风险更多的是指纳税人的涉税行为因未能正确有效地遵守税法规定，而导致未来利益的可能损失，是针对个人、企业等微观经济主体而言的，是指由于政府税收政策的变动以及纳税人经营行为的不当可能导致纳税义务或纳税成本增加（或者说遭受损失）而形成的风险。本文试图通过对政府税收风险管理理论的研究，从而形成切合自身条件符合税收法律法规的税务风险管理模式。 （一）OECD税收风险管理理论 OECD税收风险管理主要包括：风险管理战略规划、风险识别评定、风险等级排序、风险应对处理、风险管理绩效评价。这几个重要环节之间，基于统一的税收风险管理流程，专业分工清晰明确，相互衔接协调有序，持续改进循环发展，共同构成了税收风险管理的运行机制。 13 第一，战略规划。从整个管理体系的角度看，研究制定是风险管理战略规划是整个风险管理的基础性环节，它是管理层在对外部环境和内部条件进行认真分析研究的基础上，对一定时期内税收风险管理的工作目标、阶段重点、方针策略、主要措施、实施步骤等作出的具有系统性、全局性的谋划。重点是基于对影响税收遵从目标实现的内外部环境、形势进行研究、分析和判断，确定一定时期税收风险管理战略目标，制定实现战略目标的方针策略，规划实施的重点步骤，并为规划的实施提供各种组织、技术、资源等方面的保障。 第二，风险识别。风险识别是税收风险管理流程运转的基础性步骤，其在整个风险管理流程中的主要任务，是基于目标规划寻找税收风险发生的可能领域，识别税收风险发生的具体目标，回答税务机关将面临什么样的税收风险，这些风险与哪些纳税人有关等问题。 风险分析识别的主要路径包括：宏观或战略层面和微观或操作运行层面的风险分析识别。宏观风险识别主要关注不遵从风险行为发生的主要区域、领域、群体等，是微观风险识别的大环境，既为决策规划提供参考，也为微观风险识别提供导向。微观风险分析识别主要基于税收管理的实际操作过程，主要以各种税收不遵从案例等为基础。微观风险识别的成果可以累积为经验、智能和知识，成为验证、修正和完善宏观风险分析识别的重要基础。 宏观风险分析识别主要通过对经济社会发展情况、税收及相关法律制度、纳税人群体分类以及随机调查等方式进行。通过宏观经济发展趋势来衡量遵从趋势，分析发现遵从水平变化的早期迹象，如，增值税收入和GDP的比较分析，如果GDP变化比增值税收入变化更快，可能意味着遵从缺口在扩大；如果趋势是可比的，则证明总体遵从水平比较好。通过民意调查，对公众的遵从态度和行为趋势进行分析，可以支持战略风险评估和风险应对策略的改进。通过税收制度的风险识别，可以发现已有制度会造成哪些风险，新的立法或规章制度的执行将会产生哪些风险。微观层面的风险识别是基于实际操作过程的风险分析，主要是基于各种税收不遵从案例开展风险分析，通过个案或有代表性的案例可以寻找某种风险发生的特点和规律。 第三，风险排序。风险管理理论认为，不是所有风险都需要加以解决的。有些风险可以规避，有些风险可以容忍，而那些对组织战略目标实现产生重要影响的风险，则必须以科学理性的方式积极加以应对。资源的有限性决定了风险估算 14 以及风险等级确定的必要性。风险评级排序环节在风险管理流程中，就是对已识别风险进行等级估算和排序，帮助税务机关确定哪些纳税人是必须优先应对。它是风险识别与风险应对之间一个承上启下的环节。 第四，风险应对。风险应对在整个风险管理流程中，是对风险分析识别、等级排序结果作出反应的环节。这个环节要求税务机关通过理性的风险行为分析，选择恰当的应对策略，实施有效的应对措施。风险应对的根本目的不是要尽可能多的发现问题，尽可能多的实施惩罚，而是为了防止类似的不遵从行为尽量不要再发生，归根到底仍然是为了最大限度地提高遵从度。因此，在应对环节，税务机关首先必须理性地分析正在发生的税收风险的具体表现是什么，哪些纳税人在这样做，他们为什么这样做，从而为选择适当的风险应对策略提供可靠的根据，即，视不同的原因，不同的纳税人，选择不同策略。 第五，绩效评估。绩效评估是对风险管理运行状况进行的总结、回顾和评价，也是一个风险管理周期中的最后环节。科学的绩效评估可以为风险管理持续优化不断改进提供信息反馈，如，风险分析识别是否科学且有针对性，风险等级排序是否与风险度大小的实际状况相吻合，风险应对措施是否有效，风险应对的收益率（包括：本年恢复的收入和未来的恢复收入），风险应对后公众对税收遵从的认知状况等。不仅如此，科学的绩效评估还更好地支持资源优化配置，鼓励开辟更加广泛的数据来源，甚至对是否应当考虑使用替代战略提供决策参考意见等。 （二）COSO企业风险管理框架 1985年，由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务报告委员会（通常称Treadway委员会），旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO（Committee of Sponsoring Organization，COSO）委员会，专门研究内部控制问题。1992年9月，COSO委员会发布《内部控制整合框架》（COSO-IC），简称COSO报告，1994年进行了增补。这些成果马上得到了美国审计署(GAO)的认可，美国注册会计师协会（AICPA）也全面接受其内容并于1995年发布了《审计准则公告第78号》。由于COSO报告提出的内部控制理论和体系集内部控制理论和实践发展之大成，成为现代内部控制最具有权威性的框架，因此在业内倍受推崇，在美国及全球得到广泛推广和应用。2003年7月，美国COSO委员根据萨班斯法案的 15 相关要求，颁布了“企业风险管理整合框架”的讨论稿(Draft)，该讨论稿是在《内部控制整合框架》的基础上进行了扩展而得来的，2004年9月，COSO正式发布《企业风险管理整合框架》，收到各国企业界和政府部门的广泛推崇。 COSO企业风险管理的定义 ：“企业风险管理是一个过程，受企业董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架，为公司的董事会提供了有关企业所面临的重要风险，以及如何进行风险管理方面的重要信息。企业风险管理本身是一个由企业董事会、管理层、和其他员工共同参与的，应用于企业战略制定和企业内部各个层次与部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内进行多层面，流程化的企业风险管理过程，它为企业目标实现提供合理保证。 COSO风险管理框架提出了三类目标、五项构成要素的概念。COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。这些概念的提出，为评价内部控制系统提供了一套完整的标准，使COSO报告在理论和实际应用两个方面都较原来的内部控制学说有一个质的飞跃。他认为内部控制是“过程”，并由控制环境、风险评估、控制活动、信息与沟通和监测活动五项要素构成。五项控制要素不是内部控制过程中先后顺序上的一道道工序，而是一个多方向交叉的多维的反复的过程。COSO报告突出了内部控制过程中的复杂性和各控制要素之间有机的多维的联系与影响。 三、我国企业风险管理理论 我国企业风险管理理论起步较晚，发展也不成熟，还处在探索阶段，目前有代表性的指导性文件有以下三个： 2006年6月，国务院国有资产监督管理委员会以通知的形式，印发《中央企业全面风险管理指引》（国资发改革[2006]108号），这是在借鉴了发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法，以及国内有关内控机制建设方面的规定的基础上形成的，可以说是我国关于企业风险管理的第一个指导性文件，对于中央企业建立健全风险管理长效机制，促进企业稳步发展，防止国有资产流失，保护投资者利益，都具有一定的意义。《中央企业全 16