上市公司重大行為風險的內在控制及其失控理論

摘要：通過對內部控制理論的梳理、上市公司重大行為風險的內控流程模式分析、上市公司重大行為風險失控分析，試圖解決上市公司重大行為風險的控制問題，并對失控原因進行分析，提出防范上市公司重大行為失控和完善上市公司內控制度的對策。

關鍵詞：重大行為風險 內部控制 內控流程模式

一、內部控制理論的梳理

企業內部控制是現代企業制度的根本要求，自美國《薩班斯-奧克斯利法案》頒布后，西方各國企業尤其是上市公司掀起了內部控制建設的高潮。我國企業內部控制建設大部分以國際上比較權威的“COSO內部控制框架”為指導，而COSO又不完全適合我國國情。2008年6月財政部等五部委聯合發布了《企業內部控制基本規范》。

內部控制是指有企業董事會、管理層和全體員工共同實施的、旨在合理保證實現以下基本目標的一系列控制活動：（1）企業戰略；（2）經營的效率和效果（3）財務報告及管理信息的真實、可靠、完整；（4）資產的安全完整；（5）遵循國家法律法規和有關監管要求。內部控制有五個基本要素組成：內部環境、風險評估、控制活動、信息與溝通、內部監督。內部控制的內容：財務控制、業務控制、管理控制。

二、上市公司重大行為風險的內控流程模式分析

上市公司重大行為的界定首先要考慮上市公司的融資特點和上市公司的運作模式風險來判斷其行為對于股東尤其是中小股東利益、公司資產等利益的近期風險和遠期風險情況的影響深度和廣度，從而正確定義上市公司重大行為，比如融資后的資金投向與事前發布的信息的一致性問題、關聯交易問題、關聯擔保問題、重大經營行為等。

（一）內部環境

在內部環境中，強調的是形成科學有效的職責分工和制衡機制：股東大會享有法律法規企業規章規定的合法權利，依法行使企業的經營方針、籌資、投資、利潤分配等重大事項的表決權；董事會對股東大會負責，依法行使企業的經營決策權；監事會對股東大會負責，監督企業董事、經理和其他高管依法履行職責；經理曾負責組織實施股東大會、董事會決議事項，主持企業的生產經營管理工作。在重大行為的表決、決策、監督、實施流程的內部環境中，就有了權力、權利、利益的不同分工和制衡，對于重大行為風險的防范起了流程化透明化的過濾效應。

（二）風險評估

上市公司在設定控制目標之后，必須全面持續收集重大行為的相關信息，結合公司實際情況，及時進行風險評估，識別內部風險和外部風險，確定科學合理的風險承受度包括整體風險承受能力和業務層面的可接受風險水平。同時，應當關注重大行為設計的人力資源因素、管理因素、自主創新因素、財務因素、安全環保因素等相關內部因素。外部因素需要關注的是經濟因素、法律因素、社會因素、科學技術因素、自然環境因素等。針對重大行為風險組成風險分析團隊，按照嚴格程序開展工作，確保風險分析結果的準確性。

（三）控制活動

上市公司對重大行為風險的控制措施有：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。公司上下各司其職，各負其責、相互制約，對權限范圍、審批程序、責任劃分予以明晰。會計憑證、會計賬簿、財務會計報告的處理程序明確，保證會計資料真實完整。建立重大行為風險預警機制，制定預案，確保重大行為風險的及時妥善處理。

（四）信息溝通

上市公司應建立信息與溝通制度，明確內控信息的收集、處理、和傳遞程序，確保信息及時溝通。重大行為風險的重要信息應當及時傳遞給董事會、監事會、管理層，充分利用現代信息技術進行信息的集成和共享。同時建立重大行為反舞弊機制，將反舞弊的著眼點放在4個方面：（1）為謀取不正當利益而非法挪用、侵占上市公司資產；（2）財務會計報告和信息披露的虛假記載、誤導性陳述、重大遺漏等；（3）高管濫用職權的重大行為；（4）串通舞弊行為。上市公司應當完善舉報投訴制度，使得重大行為風險信息的及時有效掌控。

（五）內部監督

上市公司內部審計和其他內部監控機構將日常監督和專項監督落到實處，加強對關鍵崗位關鍵人員、經營活動、業務流程等的專項檢查。確定內控缺陷認定標準，及時發現問題并報告高管層。完善內控自我評價體系建設，將內控評價的方式、范圍、程序、頻率予以明晰。

三、上市公司重大行為風險失控分析

上市公司重大行為風險控制流程只是分化了風險，并不能完全防范重大行為風險所致的損害結果。任何一個環節的失控，都可能導致重大行為風險的失控。貨幣資金、采購付款、收入和收款控制、生產過程、對外投資、工程項目、固定資產控制、籌資和擔保、人力資源控制、內部審計等公司重大行為都必須嚴格按照內控流程模式進行。

重大行為失控主要原因在于一下因素：公司組織結構不合理、財務控制缺乏力度、社會對內部控制信息不敏感、證監會監管不力、內部控制制度的缺陷、高管決策不當對內控產生負面影響，高管過于自信忽視職權分共化流程化行使、高管素質不高、成本效益局限、人員舞弊行為、時效性局限、內控機制表面化難以實際有效運行、內控信息傳導更新滯后于上市公司經營運作信息等。

防范上市公司重大行為失控和完善上市公司內控制度的對策有：1.控制環境的改善：建立健全組織管理機構理清責任、加強董事會建設強化董事會職能；2.提高風險管理水平，認識風險樹立風險意識，在認識和樹立風險意識的同時企業還要建立風險應對措施；3.控制活動的加強，建立一套嚴密而科學的內部會計控制制度，合理授權，明確責任；4.完善信息溝通系統，重視管理信息化建設，建立網絡化溝通渠道；5.健全監督機制，整合內部控制監督資源，完善內部控制監督體系；6.信息披露的有效性和規范，嚴格規定披露內容和格式，嚴格規定內部控制信息披露的時間。

參考資料：

[1]國有企業內部控制課題組著，國有企業內部控制框架[M]，機械工業出版社，2009年7月第1版。

[2]徐榮才、李三喜主編，內部控制規范化操作指南[M]，人民郵電出版社，2008年10月第1版。