我國上市公司的內部控制與風險管理研究

張 莉

一、內部控制與風險管理的概述

1.內部控制概述

美國COSO委員會將內部控制定義為：由企業董事會、經理層和其他員工共同實施的，為保證經營效果和效率，保證財務報告的可靠性和合法性而從事的活動，在定義之外，COSO報告將內部控制分為五個方面：風險評估、監督與控制、信息與溝通、控制活動和控制環境。這五個環節相互聯系又互相制約，在緊密的配合下形成一個完整的內部控制體系。

2.風險管理概述

①企業風險管理的定義

從廣義上講，風險管理是一個由企業全體成員共同參與的、用于識別潛在風險的、為企業實現戰略目標提供保障的過程。適用于各種行業組織和部門。

②企業風險管理的構成

風險管理由八個要素組成，分別是信息和溝通、目標制定、內部環境、事項識別、風險評估、風險反映、控制活動和監控。這八個要素緊密的聯系在一起，并貫穿于企業管理活動的始末。

二、上市公司內部控制和風險管理分析——以新奧能源為例

1.企業背景

新奧能源集團順應世界管理潮流，在管理上與時俱進，能夠及時成立內部控制職能組，并及時推出一系列制度規范和關鍵業務流程，在探索內部控制建設的過程中積極尋求與外界的合作，不斷優化內控體系建設，例如與畢博咨詢公司強強聯合，出具《內部控制手冊》，用以指導能源分銷內部控制業務，為了有效的控制成本費用，實現利潤戰略日標，使財務管理走向精耕細作。SAP信息化的實施，為內部控制體系的建設提出了新的挑戰。

2.開展風險管理與內部控制的背景

（1）遵循國家相關部委法規的監管要求

為響應國資委和國家財政部、審計署、證監會對于大中型企業內部控制和風險管理的要求，新奧能源在企業內部切實貫徹《中央企業全面風險管理指引》和《企業內部控制基本規范》的中心思想，圍繞自身戰略目標，給公司管控一個明確的定位，并在此基礎上建立起健全的內部控制和風險管理體系，明確公司管理層和下屬各部門職責，制定詳細的管理制度和管理流程，在公司全體配合下，形成完整的、有效的內控以及風險管理系統。

（2）投資者對上市公司的治理要求

內部控制和風險管理工作不到位的企業在投資者群體中是不會受歡迎的，這樣的公司在融資時也會顯得相當吃力。相反，內部控制和風險管理工作做得好的上市公司更容易受到廣大投資者的追捧。作為擁有良好群眾基礎的上市公司，新奧能源更應該在內部控制和風險管理上下足功夫，讓內部控制和風險管理工作由表及里，讓廣大投資者看到新奧能源的管理成果，增強投資者的信心，這樣新奧能源才能獲得更多的資金來源。

（3）公司發展和管理創新的內在要求

新奧能源正在按照自己的發展戰略進行產業結構調整，從單一的化工廠發展成為化工行業的上下游企業，并開始逐步拓展海外業務。除此之外，新奧能源相繼成立下設分公司、子公司，逐漸向集團型綜合工業化企業邁進。新奧能源經濟發展速度和規模擴張速度都比較快，現有的管理方式還無法適應這種迅速發展后的管理需要。從審計署的審計結果來看，新奧能源的財務管理上存在很多問題，這些問題集中于資金存放、賬外資產處理、重大收購項目處理和資產評估、轉讓處理等方面，而且存在的問題都有明顯的共性特征。集中表現為執行和檢查不力。深究原因發現是因為沒有完整的內部控制和獨立的風險預警系統。這些問題帶來的后果，不僅僅是經濟上的損失，還會使公司決策蒙受風險。從新奧能源現有形勢來看，要優化內部控制，實現風險管理，就要從組織結構入手，壓縮管理層，縮短管理反映周期。實現從集權到分權，擴大授權范圍是最有效的途徑。讓公司上下全員參與到風險控制中來，讓監督職能充分的發揮在風險控制的過程之中。

3.新奧能源開展風險管理與內部控制的內容

（1）基本方法

從新奧能源戰略發展的管理需求入手，同時滿足其內在和外在的監控要求，制定出一套最適合新奧能源的管理方案，即建立起內部控制和風險管理“三道防線”，層層攔截管理風險。“三道防線”結構如下：職能部門和業務單位構成“第一道防線”；內控部門和風險管理部門構成“第二道防線”；審計部門構成最后一道防線。在這“三道防線”的監管之下，內部控制和風險管理從最初的事后控制延伸到事前預防和事中控制領域，不但能夠為公司管理提供科學的改進建議，還能夠為內部審計開展監督工作擔當向導。在這“三道防線”的攔截作用下，新奧能源的管理水平在不斷提高。

（2）風險管理與內部控制的措施

為了對上市公司的風險管理和內部控制進行更為全面、更為深入的了解。2009年新奧能源曾對國內外的同類上市公司的風險管理和內部控制情況作了一次調查。結果顯示，我國大中型上市公司與國外同類規模公司相比，在內部控制和風險管理上確實存在很大差距。即風險管理和內部控制在國外已經發展的相當成熟，但是在我國只是剛剛起步，我國半數以上的企業還停留在傳統的企業管理階段，沒有形成完整的、獨立的內部控制系統和風險管理體系。美國次貸危機后，新奧能源更是在運作的規范性上投入大量的精力，為了規范公司的治理結構，新奧能源大力推進企業內部控制和風險管理改革，以確保企業的可持續發展。新奧能源強化風險管理和內部控制的具體措施如下：

①強化公司內控制度的建設

可以說公司的內部管理制度覆蓋了企業管理的方方面面，新奧能源的內部管理制度主要針對公司層面、信息系統和業務流程的總體控制。在管理上，新奧能源始終秉承著以提高公司的風險防范能力、加強公司的內部控制與管理能力并保護股東的合法權益為目的。在制度建設上，新奧能源保持了兩個獨立，即公司于控股股東保持獨立以及公司的內部審計保持獨立。要制定專門的制度來規定審計的目的、宗旨、權限和工作范圍等。內部審計部門有權對發現的問題進行整改和跟進監督，有權要求母公司和各個分、子公司的負責人離任審查；有權參加公司各方面的重要會議；有權參與內部控制和管理制度的制定和修改過程；有權接觸企業的所有記錄、人員以及其他與審計工作相關的資料。

②注重公司獨立性的保障

獨立性是公司的立身之本，公司法強調公司獨立性有權不受任何事項的侵害，所有可能傷害到公司獨立性的事項都必須要禁止。公司、特別是上市公司，其獨立性體現在很多方面，如獨立經營與自負盈虧。此外，在公司的治理結構中也有所體現。新奧能源很多方面的管理職能都與控股股東保持獨立，如財務、資產、人員和業務等等，而且公司的采購部門、人事部門和經營管理部門都是相對獨立的。這種獨立性的管理條件下，控股股東重疊任職的現象不會再發生，公司可以不再依賴于任何控股集團。公司成立之初非常注重日常運營中經營、生產和管理環節的獨立和完整，建立起規范、獨立的經營運作系統，可以獨立面向市場自主經營。

③加強公司透明性的建立

新奧能源十分注重信息披露的時效性和真實性，根據《上市公司信息披露管理辦法》的相關規定，積極建立起信息披露管理制度，并切實貫徹到企業之中，得以有效執行。在機構設置上，新奧能源設有獨立的信息披露委員會，由新奧能源的CEO擔任該委員會的主任。公司需要向外界披露的資料都要經過該委員會審核。依據上市公司監管制度，主動完成信息披露。

④建立全面風險預警的機制

為了進行有效的風險管理，保證企業運營安全，公司以建立全面監測和預警機制的方式實現對企業風險的全方位動態監控。根據企業全面風險預警的機理，將企業風險分為四個等級，不同等級的風險要有不同的應對措施。新奧能源將企業風險分為四個等級：第一級我們稱之為紅色預警，表示企業目前所處的情況非常危急，處理不及時、不得當，后果可能是無法彌補的，損失更是無法挽回的。企業可能會面臨破產。第二級我們稱之橙色預警，即表示企業目前的狀況比較緊急，如果風險發生，會給企業帶來不小的打擊。但是結局是可以彌補，損失也是可以挽回的。第三級我們稱之為黃色預警，表示企業目前有一定的風險，雖然不是很嚴重，但是也要引起注意。第四級我們稱之為綠色安全狀態，表明企業現在所處的環境十分安全，這種現狀可以繼續保持。

企業依據風險類型，在風險管理系統中劃分出生產、財務、采購和營銷四個子系統，并提出了全面風險預警的概念，指定了風險控制的指標。生產風險預警指標包括：訂單完成能力、產品質量、物料消耗能力、工序平衡和能否按期交貨等等；財務風險預警指標包括：償還能力、盈利能力、運營效率分析以公司擴張能力等等；采購風險預警指標包括：企業競爭風險、企業顧客風險、和企業產品風險；營銷風險預警指標包括：行業進入難易程度、市場競爭力、市場占有率、銷售增長率、銷售利潤率、存貨周轉率、產品性價比和同類產品差異度等等。

通過對上述指標的分析，便可得出目前企業所處環境的風險等級，并針對不同等級的風險采取相應的應對措施，將風險控制在最初階段，將損失控制在最小范圍內。

三、結論

通過新奧能源管理的實踐，不難看出，無論是內部控制還是風險管理都貫穿于企業管理的始末，對上市公司的公司管理而言，是不可或缺的一部分。通過上文的論述，我們可以總結出，企業實行內部控制和風險管理，不僅僅是為了滿足企業管理的需求，也是響應國家國資委等相關經濟部門的號召，更是給廣大投資者拋出了一顆定心丸，放心的將更多的資金投入到企業建設之中，企業也會給投資者帶來更加豐厚的回報。可見有效的內部控制和風險管理，可以讓企業同時獲得經濟效益與社會效益，對于推動新奧能源做大做強，發揮著巨大作用。