随着全球经济一体化和市场经济的发展,风险管理已逐步引入我国企业特别是上市公司的经营管理中,风险管理的成败决定上市公司能否在复杂的市场经济环境中做大做强做优。在上市公司的风险管理中,严格规范的内部审计能以其特有职能发挥积极的防控风险的重要作用。在国外,美国“安然公司”、“世通公司”假账案情浮出水面后,纽约证券交易所新发布“上市公司诚信声明”,进一步强调了上市公司必须建立内部审计制度的要求;在国内,通过近年来银广厦、蓝田、德隆、中航油等案件的陆续发生,上市公司的高管层也已认识到,内部审计是防控企业经营风险的一大有效手段,建立内部审计是维护上市公司公众形象的一项重要制度。
一、上市公司的健康快速发展有赖于积极有效的风险防控
经过20年的发展,我国的上市公司数量越来越多,规模越来越大,已经成为促进国民经济持续快速发展的一支重要力量。截至2005年5月,我国仅境内上市公司就有1388家,市价总值为31330亿元,流通市值达9989亿元。然而,一些上市公司由于民主决策机制不够健全,内部控制不够严格,管理松散,效益不高,影响了企业的健康发展。之所以出现这些问题,根本问题就是企业没有建立起规范的法人治理结构,监督机制没有真正发挥效用。远到美国的安然公司,近到我国的中航油、银广厦等企业,都是如此。
为了促进上市公司的持续快速和健康发展,我国近来十分强调上市公司的治理问题。上市公司自身也在强化管理,建立内控体系,防控企业经营风险。现代企业的风险管理就是要通过确定、评估、控制企业因业务活动而伴生的所有风险,降低这些风险带来的负面影响,帮助企业保持盈利。任何企业在生产经营过程中,均会面临和遇到各种各样的风险。但风险并不可怕,关键是要善于识别,小心防范,勇于化解,尤其在一些高风险领域,更应强化风险管理,将风险降到最低。上市公司的健康快速发展有赖于积极有效的风险防控。国资委主任李荣融在去年年底召开的中央企业负责人会议上再三强调,中央企业必须树立风险防范意识,建立风险管控体系,加强对风险的识别预警、评估监测,其中特别提到,要加强内部审计。
二、内部审计对防控企业经营风险具有重要作用
内部审计在上市公司经营管理中处于极其重要又特殊的地位,它是上市公司内部控制系统的重要组成部分,也是上市公司监督与评价内部控制的主要手段。设立内部审计机构是上市公司建立自我约束和监督机制的一种措施,是上市公司提升经济效益、提升竞争力以及确保资产保值增值的内在需要,也是公司内部对权力进行监督和制约的内在需要。尤其应该认识到,在上市公司的经营活动中,随着外部环境的变化,市场竞争激烈程度的加剧,各种风险不断变化且增加,内部审计在改进风险方面有着十分重要的作用。
内部审计部门在企业经营风险管理过程中的作用,是随着内部审计的层次提升而逐步推进的。由于内部审计人员长期在本企业工作,比较熟悉公司的业务并能够随时深入到生产经营的全过程了解掌握具体情况,在实施审计事项时通过周密详细的审前调查,收集到大量的第一手资料,因此能从中发现存在风险的隐患问题,进行风险分析。所以说,内部审计能够掌握企业经营风险的关键点。可以促进企业经营风险管理过程的建立。再进一步,内部审计可以通过审计评价和审计咨询的方式,协助上市公司风险管理的完善。风险管理是一个复杂的系统工程,组织内部各职能部门按照分工各司其职,在运转过程中,很可能发生企业经营风险。内部审计人员根据审计情况能够对管理层提出风险管理建议,并对风险管理进行全力协助,促进风险管理过程的完善。
内部审计在上市公司风险管理中的具体作用主要体现在以下方面:
——识别和防范各类风险
上市公司面临的风险分内部风险和外部风险。内部风险包括企业人力资源变化、财务变化、劳工关系变化、信息系统变化所带来的风险。外部风险包括货源、技术更新、债权人要求、竞争者行动、经济形式、政治形式、法律、自然灾害等的变化所带来的风险。内审部门可以通过财务审计、经营审计对这两类风险进行有效识别和防范,如能够识别和规范关联交易,能够保证业务真实、流程规范、会计信息准确,帮助理顺利益关系,能够对经营决策系统进行审计,减少因决策失误对权益者的侵害。
——风险警示作用
内部审计通过对企业内部控制系统的评估和检查,发现企业内部控制缺陷和漏洞,分析经营管理过程中的偏差和失误,解剖问题产生的各种主客观原因,对潜在的风险提出警示,并提出改进建议,甚至帮助管理部门设计风险应对机制。
三、强化内审职能不仅要强化传统的项目,还应从上市公司新的风险管理出发拓展新项目
综合上市公司内审开展的情况,目前上市公司的内部审计部门主要在这些领域开展了作业:内部控制评审;管理(经营)审计;经济责任审计;合同(合约)审计;工程项目审计;环境内部审计;质量控制审计;风险管理审计;战略管理审计;管理舞弊审计等。随着企业经营风险管理的深入,上市公司内部审计不仅应强化传统的财务审计、工程审计、经济责任审计等项目,而且应将风险管理作为工作主要内容。上市公司的内部审计应该更多地参与面向未来的规划和决策工作,对企业经营风险发生的可能性及时关注,这些风险包括公司经营现状带来的风险和计划规划、发展战略所带来的潜在的风险。
传统审计风险模型解决的是企业的交易和事项在本身真实的基础上,怎样发现会计报表存在的错报,审计重点是放在各类交易和账户余额层次,而不从宏观层面考虑会计报表可能存在的重大错报风险,这很可能只发现企业小的错误,却忽略大的问题。现代审计风险模型则解决的是企业经营过程中管理层舞弊、虚构交易或事项而导致会计报表存在错报怎样进行审计的问题。这种战略风险审计是审计的一个高层次作业项目。还有人提出了现代风险导向审计的理论。现代风险导向审计是按照战略管理论和系统论,将由于企业的整体经营风险所带来的重大错报风险作为审计风险的一个重要构成要素进行评估。
目前,我国上市公司的内部审计人员大多将主要精力置于财务数据的真实性、合法性的审查及监督上,内部审计的主要职责就是“查错防弊”,而不是对公司管理做出分析、评价和提出管理建议,审计的对象主要是会计报表、账簿、凭证及相关资料。事实上,上市公司发生或产生的错误与舞弊等问题大多存在于经营管理过程之中。因此,内部审计的工作重点必须从传统的“查错防弊”转向为公司内部的管理、决策及效益服务,内部审计的职责也应从审查和监督向评价与咨询方面拓展,其作业范围不应局限于财务领域,而应扩展到企业经营管理的各个方面。
在实践中,内部审计主要从两个方面评估上市公司风险管理过程的充分性和有效性。一是评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势,确定是否可能存在影响企业发展的风险;二是评价管理层选择的企业经营风险企业经营风险管理方式的适当性。
在去年12月份召开的2005年中国电信集团工作会议上,王晓初总经理提出了促进中国电信由传统基础网络运营商向现代综合信息服务提供商转变的战略构想,以及优化资源配置、实施精确管理的工作思路。我们的内部审计就要紧密围绕企业转型,充分发挥监督服务作用,帮助防范企业经营风险、实施精确管理、优化资源配置,为促进企业成功转型提供保障。现在电信业面临的风险,一是来源于激烈的市场竞争,因为价格战、技术的快速更新和企业的管制,使得电信行业竞争非常激烈,吸引和维持客户越来越难,成本越来越高。二是规则管制,电信行业一直是受严格管制的行业,而管制的规则一直在变化造成很多不确定性,如对小灵通业务的管制。三是由于移动网等的影响,固网作为电信业核心业务具体收入不断下降。四是客户的需求在不断发生变化,如果没有一个很高质量的产品提供给消费者,电信企业就不会获得投资的回报。美国世通公司并购美国第二大长途电话公司后成为美国第二大的长途电话运营商,但世通公司后来却成为美国历史上最大的破产案。世通案件给我们的启示是,电信企业应该建立战略风险评估建设,发展内部审计制度,尤其在确定并购等重大战略前通过内审等手段进行充分的风险分析和风险防控。
四、强化上市公司内审职能需进一步健全内审体系
1、巩固强化内审地位,赋予职能。
要发挥内审在企业经营风险管理中的作用,必须明确内部审计的性质定位。内部审计在上市公司经营管理中处于极其重要而又特殊的地位。它是内部控制系统的重要组成部分,也是监督与评价内部控制其他部分的主要力量,因而其在强化内部控制方面应当发挥不可替代的积极的作用。不仅如此,内部审计工作还在改进企业经营风险管理和完善治理结构等方面发挥审查、评价及促进作用,由此赋予了内部审计人员更重、更多的职责和使命。上市公司因此必须进一步扩大内部审计的职能作用。
2、规范制度,健全机构,提升人员素质。
从大环境说,目前我国已公布实施了各类规范上市公司主体与行为的法律法规,为公司内审部门提供了良好的审计环境,也为内部审计提供了部分标准和依据。但内审环境总体而言并不乐观,内审相关法律法规仍有待建立和健全,部分法律法规的执行力度也有待加大。目前,各上市公司内部审计机构的设置、人员的配备、内部审计标准的制定等均未统一,不利于内部审计作用的充分发挥。因此,应加快各级内部审计协会的组织建设与制度建设,尽快设立和完善地方性或区域性内部审计协会,建立健全内部审计新的行业管理体制,对内部审计机构和内部审计人员进行行业自律管理,指导和监督内部审计工作的开展。
从小环境说,目前我国上市公司都设有内部审计机构,但基本上都处于与其他职能部门平行的地位,其独立性、客观性及权威性难以得到应有的保证。随着公司制度的不断创新和治理结构的逐步完善,内部审计机构的设置应高于其他各职能部门。另一方面,必须构建由精通财务、经营管理、工程技术等业务知识的人员组成的复合型内部审计队伍。唯有此,内审在企业经营风险管理中的作用才能得到最大程度地发挥。