論上市公司內控管理

上市公司內部控制是指公司為了保證戰略目標的實現，而對公司在戰略制定和經營活動中存在的風險予以管理的相關制度安排。內控過程是由公司董事會、管理層及全體員工共同參與完成的一項活動。

上市公司內部控制主要管理方法就是要解決“管什么”、“誰來管”、“怎么管”三個問題。“管什么”就是通過內控來減少戰略、市場、法律、財務、運營風險對企業的影響；“誰來管”就是要建立責、權、利各司其職相互制衡的機制；“怎么管”就是要建立全面風險控制的體系。

上海儀電電子股份有限公司即原上海廣電電子股份有限公司是以消費電子及特殊電子產品為核心業務的上市公司，是新中國最早上市的著名的“老八股”之一。近幾年來，公司持續推進全面風險管理工作，注重內部風險管控體系的建設。內控制度的完善，推動了管理制度規范化、增強了抵御經營風險能力、提升了管理水平和效率、提高了企業經濟效益。

筆者就多年的內控經驗，就上市公司內控建設中的三個核心問題分別從其目標、原則和方法上擬作介紹，淺析管見。

一.管什么

（一）目標

1.促進企業實現發展戰略；

2.保證經營管理合法合規；

3.財務相關信息真實完整；

4.保證公司資產安全可靠；

5.不斷提高企業經濟效益。

（二）原則

1.全面性，即內部控制應當貫穿決策、執行和監督全過程，覆蓋企業各種業務。

2.重要性，即內部控制應特別關注企業重要業務和高風險事項。

（三）方法

1.流程管理是基礎

內控作為一系列的控制活動，存在和貫穿于企業各個流程。在企業上百成千的流程中，基本可分為三類：一類是經營流程，包括企業戰略目標、產品定位、經營方針、考評政策等；一類是業務流程，包括市場營銷、研發設計、生產制造、采購貯運等；還有一類是管理流程，包括人力資源、技術設備、質量、財務、績效考評等。同時，流程還分為核心流程、一般流程和支撐流程，其中核心流程是重要、關鍵的流程。此外，還需找出導致績效管理低下的流程，特別是跨部門的流程，進行不斷的流程優化和再造。

企業流程有二種屬性：一種是效率型流程，其目的是企業經營效率最大化，但帶來的后果是經營風險的最大化；另一種是控制型流程，是指流程中后續加入的防范風險的流程，其目的是企業風險的最小化，但帶來了企業經營效率的最小化。因此，企業流程管理的關鍵是如何找到風險與效率均衡的流程。

2.識別風險是關鍵

風險是企業經營過程中面臨的影響目標實現的不確定性。企業在經營過程中面臨著各種各樣的風險，從戰略風險、市場風險、法律風險到財務風險、運營風險，風險無處不在，如何管理風險是企業內控控制的核心主題。但是由于風險的大小不同，對企業的影響程度也各異。為此，企業要確定關注重點風險和優先控制的風險，其方法有三個：一是采取定性和定量相結合的方法開展風險分析；二是按照風險發生的可能性及其影響程度來分析；三是對識別的風險進行分析和排序。

3.控制管理是目標

識別了管理中主要風險之后就需要為每個風險落實責任部門，特別要制定應對風險的有效控制措施。內部控制的目標不是消滅風險，事實上風險客觀存在，是無法消滅的，只能對風險進行有效的控制。其方法有四種：一是風險規避。企業對超出風險承受度的風險，可通過放棄或停止與該風險相關的業務活動，以避免和減輕損失；二是風險降低。就是企業在權衡成本和效益后，將風險控制在能承受的限度下；三是風險分擔。就是企業借助業務分包、購買保險等，以風險分擔來承受風險；四是風險承受。就是企業愿意承受的風險。內控的目標，就是通過制定預防性控制措施和發現性控制措施來減少和減輕風險對企業的影響。

二.誰來管

（一）目標

1.明確組織結構；

2.建立責權體系；

3.嚴格執行制度。

（二）原則

1.制衡性，即內部控制應形成相互制約、相互監督并提高運營效率的目的。

2.匹配性，即控制措施的執行權力和承擔的責任要相對等和相匹配。

（三）方法

1.治理結構是保證

上市公司應建立規范的股東大會、董事會、監事會、總經理班子制衡的治理結構。各管理層次理清工作界面、劃分工作權限、完善激勵辦法、落實監督措施。股東大會享有法律法規和企業章程規定的合法權利，依法行使企業經營方針、籌資、投資、利潤分配等重大事項的表決權，是權力機構；董事會對股東大會負責，依法行使企業的決策權，是決策機構；監事會對股東大會負責，監督企業董事、總經理班子等依法履行職責，是監督機構；總經理班子負責組織實施股東大會、董事會決議事項，主持企業的生產經營管理工作，是執行機構。董事會下可設立審計委員會，負責、監督、協調企業內部控制。

2.責權劃分是關鍵

企業的內部控制，董事會負責內部控制的建立健全和有效實施、監事會對董事會建立與實施內部控制進行監督、總經理班子負責組織實施企業內部控制的日常運行。

3.嚴格內控是手段

一是授權審批制度。明確授權相關責任，對授權人，要有效、適度授權，要明確授權的工作目標和權限，要明確授權的責任，有相關監督措施；對被授權人，必須有自我約束力，不越權或擅權，重大事項及時向授權人報告。

二是不相容職務分離制度。在業務流程中，涉及不相容職務實施分離措施，形成各司其職、各負其責、相互制約的工作機制。如采購預付款中不相容職務的分離：請購與審批、詢價與確定供應商、采購合同的訂立與審批、采購與驗收、采購驗收與相關會計記錄、付款審批與付款執行，不得由同一部門或個人同時兼任。

三.怎么管

（一）目標

1.實現控制措施與企業經營實際的匹配和吻合；

2.實現控制措施的成本最優；

3.保證內控體系的全面覆蓋。

（二）原則

1.適應性，即內部控制應與企業經營規模、業務范圍、競爭狀況、風險水平等相適應。

2.經濟性，即內部控制應考慮運營成本，以最低的成本達到有效的控制。

（三）方法

1.預算控制，實施經營目標內控

全面預算管理是國際上大集團、跨國公司通行做法，是變“用了算”為“算了用”。預算有四項原則：一是一致性原則。各級預算必須服從于集團經營目標和長期發展目標，控制力強；二是分級預算原則。按一級管理二級，二級管理三級，預算剛性強；三是全面預算原則。操作細致、規范；四是實事求是原則。從實際出發，保證預算在執行過程中切實可行，充分發揮指導和控制作用。

2.資產控制，實施資產全面內控

（1）投資、融資是重點

公司投資，涉及股權、貨幣、房產、設備等實物資產和專有技術、科研成果、品牌等無形資產；公司融資，包括籌資、擔保業務。作為涉及企業資金進出的一項重大業務活動，投、融資一旦失敗，將會給企業帶來致命的損失，因此企業應有嚴格的業務流程和權限進行控制。從投融資前期的立項申請、科研分析到盡職調查、授權審批，再到合同的草擬、會簽到簽訂，以及最后的投資退出和融資償還，公司需要對每個環節都嚴格把控，以保證重大資金的安全。

（2）財產保護是保證

對于公司財產有三種方法保護：一是建立財產日常管理制度和定期清查制度；二是采取財產記錄、實物保管、定期盤點、賬實核對等措施；三是嚴格限制未經授權的人員接觸和處置財產。

（3）會計系統是關鍵

公司在嚴格執行會計準則，加強會計基礎工作，明確會計憑證、會計賬簿和財務會計報告的處理程序，保證會計資料真實完整的基礎上，應該進一步強調財務人員在內控中的職責，即強化財務管理和財務控制的職責。內部控制對上市公司來說的一個核心是保證財務報告的真實有效，而會計系統作為財務數據的一個運行系統，從確認、計量到記錄、報告都要建立嚴密的管理流程，并衍生到必要的業務環節，對業務數據的來源做嚴格的審核和比對，以保證財務數據從源頭到處理過程到最終結果的全過程保證。

3.運營控制，實施經營規范內控

運行監控就是對企業經營運行狀況進行預防性、發現性控制，是一種體檢式的控制。其主要內容就是開展月、季的生產、財務、綜合分析。通過因素分析、對比分析、趨勢分析，及時發現問題，查明原因并加以改進和控制。同時，在運營控制中，建立重大風險預警機制和突發事件應急處理機制，做到有明確風險預警標準、有應急預警方案、有規范處置程序。

4.考評控制，實施崗位考核內控

為達到有效的內控，必須從企業“一把手”開始，明確崗位職責，明確內控工作“做什么、怎么做、做到什么程度、達到什么樣的標準”，并進行績效考評。主要做好四項工作：一是建立和實施績效考評制度；二是科學設置考評體系；三是定期開展對員工考評、評價；四是績效與獎懲掛鉤。

5.監督控制，實施審計監督內控

為確保員工切實的實施內控措施，準確履行職責，審計監督是重要的一環。一方面企業要充分發揮監事會以及審計委員會的作用，監督內部控制的有效實施、定期開展內部控制自我評價；另一方面，審計部門要轉變原有的審計思路，從傳統的績效審計向管理審計轉型，從結果關注向過程關注轉變。建立有效的內控監督機制，對內控關鍵控制要點的實施情況持續的監督，以真正成為企業的“防火墻”。

6.建立內控長效機制

公司建立全面的內控體系一定要有機制來保證，也就是要有制度、檢查、評估等來保證，建立內控長效機制。同時，公司應加強企業文化建設，挖掘文化底蘊，提煉核心價值，形成企業文化規范，切實做到文化建設與發展戰略結合，企業發展與員工發展相結合，增強員工的責任感和使命感，構筑好企業內控的堅實防線。

7.信息暢通，實施內控信息管理

公司內控必須保持公司內部與外部信息暢通。為此，公司必須做好五件事：一是建立信息與溝通制度；二是明確內部控制相關信息的收集；三是做好信息處理和傳遞程序；四是確保企業內部信息有效運行；五是確保企業內部信息系統安全暢通。

（作者系上海儀電電子股份有限公司）