我国上市公司的内部控制与风险管理研究
2011-07-13张莉
张 莉
一、内部控制与风险管理的概述
1.内部控制概述
美国COSO委员会将内部控制定义为:由企业董事会、经理层和其他员工共同实施的,为保证经营效果和效率,保证财务报告的可靠性和合法性而从事的活动,在定义之外,COSO报告将内部控制分为五个方面:风险评估、监督与控制、信息与沟通、控制活动和控制环境。这五个环节相互联系又互相制约,在紧密的配合下形成一个完整的内部控制体系。
2.风险管理概述
①企业风险管理的定义
从广义上讲,风险管理是一个由企业全体成员共同参与的、用于识别潜在风险的、为企业实现战略目标提供保障的过程。适用于各种行业组织和部门。
②企业风险管理的构成
风险管理由八个要素组成,分别是信息和沟通、目标制定、内部环境、事项识别、风险评估、风险反映、控制活动和监控。这八个要素紧密的联系在一起,并贯穿于企业管理活动的始末。
二、上市公司内部控制和风险管理分析——以新奥能源为例
1.企业背景
新奥能源集团顺应世界管理潮流,在管理上与时俱进,能够及时成立内部控制职能组,并及时推出一系列制度规范和关键业务流程,在探索内部控制建设的过程中积极寻求与外界的合作,不断优化内控体系建设,例如与毕博咨询公司强强联合,出具《内部控制手册》,用以指导能源分销内部控制业务,为了有效的控制成本费用,实现利润战略日标,使财务管理走向精耕细作。SAP信息化的实施,为内部控制体系的建设提出了新的挑战。
2.开展风险管理与内部控制的背景
(1)遵循国家相关部委法规的监管要求
为响应国资委和国家财政部、审计署、证监会对于大中型企业内部控制和风险管理的要求,新奥能源在企业内部切实贯彻《中央企业全面风险管理指引》和《企业内部控制基本规范》的中心思想,围绕自身战略目标,给公司管控一个明确的定位,并在此基础上建立起健全的内部控制和风险管理体系,明确公司管理层和下属各部门职责,制定详细的管理制度和管理流程,在公司全体配合下,形成完整的、有效的内控以及风险管理系统。
(2)投资者对上市公司的治理要求
内部控制和风险管理工作不到位的企业在投资者群体中是不会受欢迎的,这样的公司在融资时也会显得相当吃力。相反,内部控制和风险管理工作做得好的上市公司更容易受到广大投资者的追捧。作为拥有良好群众基础的上市公司,新奥能源更应该在内部控制和风险管理上下足功夫,让内部控制和风险管理工作由表及里,让广大投资者看到新奥能源的管理成果,增强投资者的信心,这样新奥能源才能获得更多的资金来源。
(3)公司发展和管理创新的内在要求
新奥能源正在按照自己的发展战略进行产业结构调整,从单一的化工厂发展成为化工行业的上下游企业,并开始逐步拓展海外业务。除此之外,新奥能源相继成立下设分公司、子公司,逐渐向集团型综合工业化企业迈进。新奥能源经济发展速度和规模扩张速度都比较快,现有的管理方式还无法适应这种迅速发展后的管理需要。从审计署的审计结果来看,新奥能源的财务管理上存在很多问题,这些问题集中于资金存放、账外资产处理、重大收购项目处理和资产评估、转让处理等方面,而且存在的问题都有明显的共性特征。集中表现为执行和检查不力。深究原因发现是因为没有完整的内部控制和独立的风险预警系统。这些问题带来的后果,不仅仅是经济上的损失,还会使公司决策蒙受风险。从新奥能源现有形势来看,要优化内部控制,实现风险管理,就要从组织结构入手,压缩管理层,缩短管理反映周期。实现从集权到分权,扩大授权范围是最有效的途径。让公司上下全员参与到风险控制中来,让监督职能充分的发挥在风险控制的过程之中。
3.新奥能源开展风险管理与内部控制的内容
(1)基本方法
从新奥能源战略发展的管理需求入手,同时满足其内在和外在的监控要求,制定出一套最适合新奥能源的管理方案,即建立起内部控制和风险管理“三道防线”,层层拦截管理风险。“三道防线”结构如下:职能部门和业务单位构成“第一道防线”;内控部门和风险管理部门构成“第二道防线”;审计部门构成最后一道防线。在这“三道防线”的监管之下,内部控制和风险管理从最初的事后控制延伸到事前预防和事中控制领域,不但能够为公司管理提供科学的改进建议,还能够为内部审计开展监督工作担当向导。在这“三道防线”的拦截作用下,新奥能源的管理水平在不断提高。
(2)风险管理与内部控制的措施
为了对上市公司的风险管理和内部控制进行更为全面、更为深入的了解。2009年新奥能源曾对国内外的同类上市公司的风险管理和内部控制情况作了一次调查。结果显示,我国大中型上市公司与国外同类规模公司相比,在内部控制和风险管理上确实存在很大差距。即风险管理和内部控制在国外已经发展的相当成熟,但是在我国只是刚刚起步,我国半数以上的企业还停留在传统的企业管理阶段,没有形成完整的、独立的内部控制系统和风险管理体系。美国次贷危机后,新奥能源更是在运作的规范性上投入大量的精力,为了规范公司的治理结构,新奥能源大力推进企业内部控制和风险管理改革,以确保企业的可持续发展。新奥能源强化风险管理和内部控制的具体措施如下:
①强化公司内控制度的建设
可以说公司的内部管理制度覆盖了企业管理的方方面面,新奥能源的内部管理制度主要针对公司层面、信息系统和业务流程的总体控制。在管理上,新奥能源始终秉承着以提高公司的风险防范能力、加强公司的内部控制与管理能力并保护股东的合法权益为目的。在制度建设上,新奥能源保持了两个独立,即公司于控股股东保持独立以及公司的内部审计保持独立。要制定专门的制度来规定审计的目的、宗旨、权限和工作范围等。内部审计部门有权对发现的问题进行整改和跟进监督,有权要求母公司和各个分、子公司的负责人离任审查;有权参加公司各方面的重要会议;有权参与内部控制和管理制度的制定和修改过程;有权接触企业的所有记录、人员以及其他与审计工作相关的资料。
②注重公司独立性的保障
独立性是公司的立身之本,公司法强调公司独立性有权不受任何事项的侵害,所有可能伤害到公司独立性的事项都必须要禁止。公司、特别是上市公司,其独立性体现在很多方面,如独立经营与自负盈亏。此外,在公司的治理结构中也有所体现。新奥能源很多方面的管理职能都与控股股东保持独立,如财务、资产、人员和业务等等,而且公司的采购部门、人事部门和经营管理部门都是相对独立的。这种独立性的管理条件下,控股股东重叠任职的现象不会再发生,公司可以不再依赖于任何控股集团。公司成立之初非常注重日常运营中经营、生产和管理环节的独立和完整,建立起规范、独立的经营运作系统,可以独立面向市场自主经营。
③加强公司透明性的建立
新奥能源十分注重信息披露的时效性和真实性,根据《上市公司信息披露管理办法》的相关规定,积极建立起信息披露管理制度,并切实贯彻到企业之中,得以有效执行。在机构设置上,新奥能源设有独立的信息披露委员会,由新奥能源的CEO担任该委员会的主任。公司需要向外界披露的资料都要经过该委员会审核。依据上市公司监管制度,主动完成信息披露。
④建立全面风险预警的机制
为了进行有效的风险管理,保证企业运营安全,公司以建立全面监测和预警机制的方式实现对企业风险的全方位动态监控。根据企业全面风险预警的机理,将企业风险分为四个等级,不同等级的风险要有不同的应对措施。新奥能源将企业风险分为四个等级:第一级我们称之为红色预警,表示企业目前所处的情况非常危急,处理不及时、不得当,后果可能是无法弥补的,损失更是无法挽回的。企业可能会面临破产。第二级我们称之橙色预警,即表示企业目前的状况比较紧急,如果风险发生,会给企业带来不小的打击。但是结局是可以弥补,损失也是可以挽回的。第三级我们称之为黄色预警,表示企业目前有一定的风险,虽然不是很严重,但是也要引起注意。第四级我们称之为绿色安全状态,表明企业现在所处的环境十分安全,这种现状可以继续保持。
企业依据风险类型,在风险管理系统中划分出生产、财务、采购和营销四个子系统,并提出了全面风险预警的概念,指定了风险控制的指标。生产风险预警指标包括:订单完成能力、产品质量、物料消耗能力、工序平衡和能否按期交货等等;财务风险预警指标包括:偿还能力、盈利能力、运营效率分析以公司扩张能力等等;采购风险预警指标包括:企业竞争风险、企业顾客风险、和企业产品风险;营销风险预警指标包括:行业进入难易程度、市场竞争力、市场占有率、销售增长率、销售利润率、存货周转率、产品性价比和同类产品差异度等等。
通过对上述指标的分析,便可得出目前企业所处环境的风险等级,并针对不同等级的风险采取相应的应对措施,将风险控制在最初阶段,将损失控制在最小范围内。
三、结论
通过新奥能源管理的实践,不难看出,无论是内部控制还是风险管理都贯穿于企业管理的始末,对上市公司的公司管理而言,是不可或缺的一部分。通过上文的论述,我们可以总结出,企业实行内部控制和风险管理,不仅仅是为了满足企业管理的需求,也是响应国家国资委等相关经济部门的号召,更是给广大投资者抛出了一颗定心丸,放心的将更多的资金投入到企业建设之中,企业也会给投资者带来更加丰厚的回报。可见有效的内部控制和风险管理,可以让企业同时获得经济效益与社会效益,对于推动新奥能源做大做强,发挥着巨大作用。