第 4 章风险导向内部审计在中国神华公司的应用
纵观我国其他大中型企业的内部审计建设情况,已有中国联通,武汉钢铁等大型企业可以很好地应用风险导向内部审计,但是绝大多数的大中型企业的内部审计尚不能进入真正意义上的风险导向之路,很多企业都在纸上谈兵,无法找到问题的关键点,也就不能够"对症下药"改善内部审计的情况。神华集团的规模越来越大,经营的业务也变得非常复杂,集团以上市公司为主,在集团逐步推广风险导向内部审计的实践,使公司各方面得到进步。下面以神华公司为例,深度剖析大中型企业如何运用风险导向内部审计,并进行了效果分析,总结实践经验,旨在为其他大中型企业提供案例参考,促进大中型企业内部审计的应用。
4.1 公司简介。
4.1.1 中国神华公司的基本情况。
神华集团是全球最大的煤炭经销商,成立于 1995 年 10 月,是一家国有独资企业,业务主要包括煤炭、发电、行运、铁路等板块。于 2005 年,神华能源股份公司在香港上市,2007 年在上交所上市,目前神华集团拥有 21 家全资子公司,70 个生产矿井,煤炭年销售量达 6.5 亿吨,拥有 21.4 万员工,2013 年在全球 500强企业中排名 178 位。
神华集团是我国的大型企业,经过不断地发展,已经建立了完善的公司治理结构,并已经具备了大中型企业实施风险导向内部审计的条件,这样内审的职能才能得到充分地发挥,下面是神华集团的组织结构图,从图中可以直接看出董事会下面有监事会、战略委员会、财务审查委员、全面风险管理委员会等管理层级,管理层级下设内部审计部门,内部审计部门可以直接向董事会汇报,不用经过中级的管理层机构,内部审计部门又对下面的分子公司的内部审计部门进行业务指导,并监督审计活动。这样的结构加强审计部门的重要性。神华集团拥有三大审计中心,都是集团的直属机构,负责完成集团下发的审计任务,直接与集团公司审计部门沟通汇报。审计中心的人员已达到百人,审计力量得到了大大的提升。
4.1.2 中国神华内部审计转型前的情况。
1.转型前内部审计以"过程控制型"审计为主,不能提前预警企业面临的风险,只能做到事后检测。近几年,神华集团内外的经营环境都发生了重大的变化,面临的风险也随之增加,经营环境愈发复杂,对内部审计的工作质量的要求也越来越高,这促使内部审计开始"过程控制型"转型"风险管理型",转型后内部审计要求将风险因素融入到各个审计项目中,关注潜在风险,实时汇报给管理层,并提出帮助企业实现增值的途径。
2.风险数据库不完备,在风险管理的建设不完备的情况下,风险数据稀缺,不利于审计对象的确定。过去的神化集团业务种类比较单一,面临的风险种类不多,风险数据库不丰富,为了符合神化集团的发展需求,需要扩充审计风险,这也促进内部审计人员全面了解集团业务,建立完备的风险数据库,可以实现企业信息资源共享,有效实施风险评估程序,快速、全面地获取风险信息也会为内部审计的工作打下良好的基础。
3.风险评估迟缓,一年的风险评估次数不足一次,不能及时发现风险的变化,跟进改进风险的策略。风险评估工作的不足将无法保证经济本质的安全,风险管理委员会也无法确定下一年度的审计重点,无法为以后的审计工作提供有关风险管理的指引,更无法针对具体风险提出详尽的应对措施。
4.内部审计人员职业能力差,不具备胜任审计工作的专业能力和职业操守,审计效率低。影响内部审计工作质量的首要因素是"人",提高内审人员的职业素质是迫在眉睫的重要任务,良好的职业素养及职业道德就是内部审计人员的职业胜任能力。
4.2 风险导向内部审计在中国神华公司的应用分析。
4.2.1 中国神华公司应用风险导向内部审计的动因分析。
神华公司建设风险导向内部审计的必要性来自于两个方面,一方面是来自企业外部的压力,另一方面是来自公司内部发展的压力。
外部的压力主要体现在企业风险的增加,市场竞争愈演愈烈,神华企业外部环境变幻莫测,面对的风险愈发复杂,神华面临着更大的挑战和机会,主要风险来自于运营、安全和煤炭市场方面。运营风险主要来自于我国经济整体下滑,神华涉足的煤炭、电力、港口等行业无一例外受到冲击,而且市场竞争激烈,差异化的竞争优势不复存在,运营方面存在很大的风险。安全风险主要是因为神华集团涉足的产业都是高危产业,这样的产业在安全管理方面存在很多问题。煤炭市场风险的产生原因主要是煤炭供求关系的变化,导致价格下降,直接影响到企业的经济效益。神华开展风险导向内部审计可以督促管理层关注风险管理,加强风险防控意识,对防范经营风险有很大的帮助。神华集团的另一方面外部的压力来自于保护国有资产,负有使之保值增值的社会责任。神华集团开展风险导向内部审计能够加强资产的管控,强化内部控制,完善公司治理结构。
构建风险导向内部审计的内部压力主要是指全面风险管理发展的需要和内部审计发展的需要。神华的风险管理建设已有 5 年,全面风险管理的建设工作小有成就,为了积极探索风险管理的新篇章,神华集团将风险管理与内部审计相融合,实现审计前移和内容创新。神华集团过去的内部审计已经不再能够满足现代企业发展的需求,原来内部审计职能被严重弱化,内审在神华集团的存在岌岌可危,因此神华的内部审计需要转型,开启新的职能作用,为神华实现增值,提高在公司中的地位。
4.2.2 中国神华公司应用风险导向内部审计的保障体制分析。
中国神华拥有层次分明的管理模式,明确各个部门的风险管理职责,组成了由决策层,管理层,执行层,监控层构成的风险管理结构。决策层是由董事会担任,风险管理委员会和高层属于管理层范畴,分子公司及各个部门属于执行层,审计委员会和内审部门属于监督层。内部审计部门由董事长领导,其部门职责是实施并管理审计项目,评价内部控制体制的有效性,及时发现管理漏洞,跟进整改措施,推进风险管理的进程。神华集团的内部审计的独立性也得利于层次分明的管理层,并且内部审计部门能够被董事会的直接垂直领导,也大大提升了独立性,这种管理结构的创新保障了风险导向内部审计的运行。
4.2.3 中国神华公司应用风险导向内部审计的程序分析。
2006 年中国神华开始了构建全面风险管理之路,刚开始在企业的内控与风险管理中加入了风险评估的方法。2010 年神华全面启动了风险管理的工作,编制了《神华风险管理办法》,明确指出风险管理与内控、安全管理的关系,规范了风险管理体系。在我国企业中,中国神华在风险管理实践方面一直走在前面,结合企业内外部的需求和自身的实际情况,使用国外先进的管理理念和管理方法,围绕着提高效益,防控风险,实现战略目标这三点开展了构建中国神华特色的风险管理机制。
1.风险评估。
自 2006 年以来,神华公司每年都会全面地评估风险,不断地积累经验,采用先进的评估方法和程序,制定出较为科学合理的评估机制,内部审计人员以历史资料和分析模型为依据,充分了解各种风险的情况,分析重大事项,采用定量和定性的方法,得出风险大小、风险概率、管控风险的责任方等方面的结论。
神华公司内部审计人员需要明确风险评估的目标。目标有以下几点,第一要保证公司整体战略、运营、安全生产三方面的目标实现,防止经济损失的发生;第二能够全面识别管理工作中存在的风险和业务操作中的风险,并能够将各个风险分类,确定重要性水平;第三能够按照风险的类别和重要性水平的高低指定防控风险的方案;第四点是风险管理的终极目标,使神华每一员工能够具备风险管理的意识,掌握风险识别的方法,拥有风险防控的能力。
神华公司进行风险评估时要通过 4 个程序进行,风险自查、风险汇报、修订风险数据库、风险预警分析这四个程序。风险自查是指神华公司的分子公司需要依照年度风险管理任务表对较大风险的来源进行系统的分析和总结,内部会使用问卷调查的方式来编制风险管理的自查报告。从 2012 年 3 月份开始,神华公司的总部及分子公司的各个管理部门都已经编制关于重大风险监控情况的季度报告,报告内容涉及重大风险的监控情况、重大风险的防控措施、完善风险防控的建议,以及新风险的情况反馈工作。风险汇报工作是指神华公司的各个单位向上级汇报所有的重要风险,通过分析拟定重要风险的名单,然后根据名单编制风险管理报告。修订风险数据库的工作已从 2010 年开始实施,神华内审工作人员利用调研和自查问卷的方法重新修订了以往的风险数据库,结合同行业的其他企业的企业风险,形成了较为全面的数据库,接下来的几年都根据上述的评估工作修订风险数据库。神华公司利用平衡记分卡、数据信息、模型分析等方法确定指标,再划分出正常、轻度、中度、重度的预警标准。
2.编制审计计划。
神华公司内部审计部门以公司的风险管理体制为基础,综合风险状况、风险排序、管理水平、内控效率等方面确认审计工作的重点,进而分配审计资源。经过评估,神华公司 2013 年的重大风险分为四类,分别是战略风险、营运风险、财务风险、法律风险。战略风险涉及投资决策风险,如投资宾馆、酒店、房地产项目。财务风险是指财务收支管控的风险,如收入的确认风险、奖金补贴的发放风险及财务合并财务报表方面编制的风险。营运风险包括神华在生产方面的风险、工程项目带来的风险、业务外包带来的风险。法律风险是指神华公司在执行宏观经济的政策时需要遵循的法律和法规的风险。排序各个风险指定审计项目的排序,将有限的审计资源分配到各个审计项目中。神华的审计计划草案由内部审计人员、风控人员、质量管理人员共同编制,最后内部审计主管领导审核,得到高层批准才能成为年度审计计划。
3.编制审计方案。
神华的审计组首先需要了解审计对象的情况,必要时要进行审计前调查,调查会利用内控和风险评估成果,采取控制测试等程序,确定审计的范围和重点。
以 2013 年神华集团业务外包的内部专项审计为例,下面介绍审计方案。
神华内部审计人员针对业务外包专项审计的目标有两个,与之相对应的审计重点也将分为两类。
目标一是能够了解神华公司外包的相关管理制度和建立业务外部业务的程序,能够检查制度和程序的有效性,形成评价性的结论。根据审计目标一,其审计重点概括为以下两类。(1)业务外包方面的内控制度是否已经被各层级单位建立,其内控制度应该涵盖外包决策的程序、选择承包商的标准、外包的价格与发生成本的确定、业务外包合同的管理、业务外包从实施到结算过程中的日常活动管理制度以及业务外包的流程制度。(2)对外包的内控制度的有效性的评价,权责划分的合理性的评价,管控程序与业务的匹配性的评价,同时还要评价是否有漏洞,管控的措施是否明确,工作的标准是否清晰,监督检查的管理责任及问责规章是否存在,流程和程序是否做到连贯。
目标二是稽核业务外部的具体实施情况,判断业务外包是否符合管理规定,是否符合外包的目的。审计目标二的审计重点包括:(1)业务外包的决策过程是否依照程序进行,是否符合神华的外包制度的规定。(2)承包商的竞争是否公平的,选择是否公正,是否采取择优方式。(3)成本是否有预算,以此控制价格,检查价格的合理性,是否通过招标等方式确认,是否有出现高于公允的价格。(4)合同的签订是否按照规定的程序进行,是否有审批环节。(5)合同条款是否完备,业务外包甲方乙方的权责是否明晰,双方收益与风险是否匹配。(6)是否监督承包商的服务,是否检测服务的质量,是否有验收记录。(7)结算是否以合同条款为依据。(8)是否客观地评价承包商,并形成结论,为以后业务外包提供参考依据。
神华公司根据《内部控制应用指引》及管理方面的原则,指定了业务外包的审计标准。各个环节对应着不同的审计标准。
4.审计实施。
在审计实施阶段,神华公司的内部审计人员需要做到以下几点。内部审计人员首先一定要熟悉在上一个审计环节中遇到的风险,以及公司针对上一个环节的风险已经采取的应对风险的策略;其次,内部审计人员需要以内控的视角来验证风险防控对策的有效性,是否可以起到防控风险的作用;最终,内部审计人员以内控测试的最终结果为基础确定剩余风险,分析没有防控的风险,再次深度分析与评估剩余风险,并制定出有效的策略。下面是神华集团的内部审计实施阶段的流程图。
4.3 中国神华公司应用风险导向内部审计的效果分析。
4.3.1 实施风险导内部审计提升了审计工作效率。
风险导向内部审计提升内部审计人员的工作效率。神华公司的经营业务非常复杂,资金往来的频率也特别高,内部审计的工作量自然非常大,这样繁重的工作与拥有的有限审计资源相比,产生了极大的矛盾,而实施风险导向内部审计后,这一问题迎刃而解,审计人员利用风险识别与评估后的成果,找出审计重点,将有限的精力和审计资源放在审计重点中,避免了审计盲目和随意的状况出现,内审人员在短时间内完成审计工作任务,而且神华的审计人员在审计过程中自始至终地将风险管理的理念贯穿于每一环节、每一个关键点和每一个步骤,审计结论与审计建议也会紧密地结合着风险的降低与控制,这样神华的内部审计人员就由原来的被动状态转向主动发现、控制风险,提高审计的工作效率。另为,神华公司建立了风险导向内部审计业绩考核机制,旨在激励内审人员加强审计工作,探索新方法,保证审计质量。神话公司推行关键业绩指标业绩考核机制,建立项目组织管理、审计业务质量、审计成果转化和审计创新四方面的评价体系。审计业务质量的考核标准由数量标准、质量标准和反馈标准组成。
在实施风险导向内部审计后,神华公司的审计效率提高不少,本文统计神华公司某一分公司 2010 年至 2013 年的审计成果数据,在内部审计人员并未增加的情况下,随着风险导向内部审计应用的完善,审计效率也越来越高,从下表可以直观看出实施风险导向内部审计后审计效率的明显提高。
4.3.2 实施风险导向内部审计加大了内部审计成果的转化力度。
神华公司实施风险导向内部审计后,不但内部审计人员的工作效率得到大幅提升,而且内部审计成果的转化力度变得更大。审计成果的改善主要表现在两个方面:一是高层管理者对内部审计的信任度大幅提升,神华公司明确要求内审部门为开展全面风险管理工作提供数据和咨询服务,积极参与到风险管理工作中。
二是内审提出的审计建议逐年增加,被采纳的几率也越来越高。
风险导向内部审计的后续审计程序依据风险的大小和改进防控风险措施的难易程度而进行的,神华公司的内部审计人员会按照这一程序跟进被审计对象的改进措施和实施新措施的工作落实情况,由此相比转型前的审计效果,风险导向内部审计加大了神华公司审计成果的转化力度,审计工作促进整改措施落到实处,推动公司整体运行的改革。
4.3.3 实施风险导向内部审计实现了神华企业增值的目标。
以企业的主要活动为中心,神华公司借助风险导向内部审计能有效地处理不确定的风险并能够有效降低风险的职能,提升公司创造价值的能力,实现公司价值增值的目标。
1.神华公司通过风险导向内部审计有效降低财务风险,提升企业价值。如果财务风险不能得到很好的防控就会引发财务困境,财务困境还可能导致企业面临破产。神华公司利用风险导向内部审计分散企业风险,降低了企业破产的几率,保护了公司、债权人和利益相关者的利益,减少财务困境出现的可能性,降低其带来的预期成本,提升企业价值。
2.神华公司通过风险导向内部审计有效减轻税收风险,提升企业价值。涉税的风险共有两类,一类是企业未缴税或少缴税而带来的惩罚风险,一类是企业未能利用税法优惠政策,多缴纳税款而带来的风险。神华公司通过风险导向内部审计的实施,增强了公司的防范税务风险的意识,强化风险评估,促进风险防控举措实施,从而在降低涉税风险的同时增加企业价值。
3.神华公司通过风险导向内部审计有效提高投资决策的科学性,提升企业价值。风险导向内部审计有对重要活动的监督和评价的职能,神华的管理者在投资决策时会更加关注各种风险因素,权衡各方案带来的收益和风险,科学的选出最优的投资方案,神华公司有效避免了忙碌投资,过度投资的行为,规避企业价值的减损,保护了企业价值的同时也创造了企业价值。
4.神华公司通过风险导向内部审计有效推进防控风险工作,降低代理成本,提升企业价值。风险导向内部审计的实施使神华公司的各个层级和各个部门之间形成监控机制,此机制减少了管理层出现违背道德的行为,避免逆向选择,降低了代理成本,提升企业价值。
4.4 中国神华公司应用风险导向内部审计的实践经验。
4.4.1 完善风险数据库。
神华公司根据自身涉猎行业的特点和风险管理的需求将先有的数据库进行扩充,以满足内审人员了解行业特点、法律法规、经营环境、业务流程、评估风险、评价业绩等方面的需求。同时也计划建立资源共享的信息系统,内部审计人员可以及时地获得准确的信息,更有利于实施风险评估,为风险导向内部审计做好准备工作。
4.4.2 改进审计方法和技术。
中国神华公司运用战略风险分析技术对内外部的环境进行分析,综合地评价战略风险;运用了业绩评价技术整体地评估经营的业绩;利用风险组合、风险检查、风险对冲等的方法减少风险,使风险损失最小,收益最大。风险导向内部审计的常用审计方法有分析法、比较法、实质性测试、归纳法、控制测试等;取证的方式包括调查、函证、检测文件记录和穿行测试等。
4.4.3 充分发挥风险导向内部审计的成果。
神华公司会定期或不定期的梳理审计的成果,分析研究这些成果所反映的规律性问题,再结合对内控和风险管理二者有效性的评价和实践情况,提出有针对性、有建设性的意见和对策,发挥内审监督管理职责,为管理层决策提供可靠的依据。加强与被审计单位的对接,有利后续审计的进行,更好地跟踪审计成果的落实情况,也能够使内部审计及时发现问题、解决问题,确保审计成果的落实。