上市公司內部控制系統構建框架設計

陳少華　彭青

摘要：一個完整的理論框架只有兼顧政策要求與企業需求，才能有效付諸實施。文章首先回顧、總結了我國內部控制規范系統建設近十年的相關政策文件，繼而以政策要求為導向，結合上市公司的實際需求，提出了內控系統構建的理論框架與實踐差異，進而對內控專門機構設置、關鍵流程與重要風險點的確定、人工控制測試抽樣、控制缺陷認定等難點問題進行討論。

關鍵詞：內控系統構建；流程；專門機構；認定標準

一、 引言

為防止上市公司在內部控制建設與實施過程中出現“走過場”現象，2012年8月14日，財政部聯合證監會發布通知，對原定于2012年在主板上市公司全面實施內部控制規范系統的規定進行更改，變更后，僅要求中央和地方國有控股上市公司在2012年執行相關規定，允許非國有控股等其他上市公司分步、分批于2013年、2014年公布年報時再批露內部控制評價報告、審計報告（財政部、證監會，2012）。原執行路徑于2010年出臺《企業內部控制配套指引》（下稱“配套指引”）時敲定，《配套指引》聯同2008年發布的《企業內部控制基本規范》（下稱“基本規范”）標志著具有中國特色的，融合COSO內控經驗的中國內部控制規范系統基本成型。然而，內部控制的兩個主要文件均未對我國上市公司內部控制系統如何構建作出明確指導或說明，上市公司內控系統構建工作任重道遠，本文基于政策要求與企業需求視角，融合COSO《企業風險管理——整合框架》的先進經驗，試圖整理我國上市公司內部控制系統構建的基本框架，以期為相關理論探討與企業實務添磚加瓦。

二、 中國內部控制十年政策評析

COSO于1992年發布《內部控制--整合框架》，逐漸在世界范圍內成為內控權威文獻，相繼被各國審計準則制定機構、監管機構廣泛學習和借鑒。2004年，COSO發布《企業風險管理——整合框架》，相比1992年框架，其擴展了企業風險管理的主要目標，將風險管理“五要素”擴展為“八要素”，進一步突出和強調風險管理的重要性。在COSO風險管理框架先進經驗的指導下，我國內部控制法律、法規建設工作取得了長足的發展和進步，自2004年以來，相關部門單獨或聯合頒布了一系列具有指導性和示范性的政策文件，簡要歸納如表1。

依據文件適用的范圍，可將以上9個文件劃分為三類：第一類為中央企業內控規范文件（2個）；第二類為各交易所適用的內控規范文件（2個）；第三類為普適性內控規范文件（包括《基本規范》、《配套指引》、2個解釋公告和1個通知，共5個）是針對各行業各上市公司提出的一般性要求。第一類和第二類文件是對第三類普適性文件的重要補充，上市公司應以第三類文件為基礎，參照第一類、第二類文件的適用條款構建內控系統。遺憾的是，以上文件均未對我國上市公司內控系統構建的框架作出明確指導或說明，而這正是上市公司在構建內部控制系統過程中迫切需要的。

三、 上市公司內部控制系統構建的框架

1. 內控系統構建的理論框架。上市公司構建合理、完善的內控系統具有積極的意義：合理保證財務報告及其相關重要信息的真實性、完整性，保護投資者與其他利益相關者的利益；有效提高企業經營的效率和效果；促進企業發展戰略目標的達成；合理保證企業經營合法、合規及主要資產的安全。目前，我國內部控制法規均未對上市公司內部控制系統的構建流程作出指導說明，根據COSO《內部控制——整合框架》、《基本規范》、《配套指引》的基本要求，參照 及陳國記（2012）等學者的觀點，上市公司內控系統構建的理論框架大體可以提煉為三個環節，見表2。

2. 內控系統構建的實踐差異。在企業內部控制建設實務中，內控系統構建的邏輯框架通常與表2的理論框架存在差異，主要表現在第一環節的第3項內容“識別流程中的關鍵控制活動，編制風險控制矩陣”，在實務中，該項工作內容通常需進一步改進并細化為以下工作內容：3.1開展制度缺口分析與控制差異分析；3.2完善控制措施設計，繪制業務流程圖，編制內控手冊；3.3內控手冊實施與反饋。導致這一差異的主要原因是：一方面，企業在全面開展內部控制建設工作前鮮有關于各業務流程的描述文件，如標準操作流程（SOP）等；另一方面，企業現有內部控制基礎薄弱，沒有設計或執行應有的控制活動。因此，在確定重點與優先控制的風險點后，企業需以識別的關鍵風險點為基礎，開展控制差異分析，比較“現有控制措施”與“預期控制措施”的差異，分析存在的漏洞，進而完善內部控制設計，填補制度設計缺口，繪制業務流程圖（常用Visio專業軟件）。在設計“預期控制措施”時，企業應根據實際經營管理情況，全面梳理各項相關規章管理制度，將內部控制的核心要求融入到各項管理系統當中，使內部控制真正為經營管理服務，提高經營的效率和效果；在繪制業務流程圖時，應清晰地描述各項業務活動在各相關部門中如何發生、處理、記錄及披露的過程，并有效嵌入復核、授權審批、崗位分離、定期經營分析等控制活動。具備條件的企業可以充分運用信息技術平臺固化各業務流程，提高業務處理效率，增進信息共享的廣度和深度，還可以減少內部控制與其他經營管理系統的沖突。

3. 內控系統構建的專門機構。內部控制系統框架的有效性和合理性最終在實施過程中得以體現，內控系統在實施過程中應由誰負責組織、協調？根據《基本規范》的要求，董事會負責企業內部控制的建立健全與有效實施，董事會指定專門委員會負責企業內部控制建設工作。一部分上市公司董事會下設風險管理委員會，風險管理委員會下設風險管理部負責牽頭落實企業內部控制建設與推進工作，以保證工作的專業性和獨立性；一部分上市公司在董事會下設總經理領導的內部控制工作小組（或稱為“風控中心”），并由總經理委托董事會風險管理委員會管理，內部控制的工作實際由風險管理委員會組織、協調，這樣的架構設計（由總經理領導）有助于體現內部控制工作的權威，減少內部控制推進過程中與經營管理系統的摩擦。內部控制構建專門機構的組織形式并沒有一個固化的模式，企業可以根據現有的治理結構、結合管理層特征設計合理的機構模式。少數企業受現有崗位編制、專業人才儲備等條件限制，可能尚不具備成立內控專門機構的條件，可以暫時把內控管理職能劃歸至現有機構，如內部審計部門，簡化組織架構?？傊?，不同企業應根據企業規模、組織架構等基本情況成立專門機構負責組織協調內部控制的建立實施及日常工作（五部委，2012）。

四、 上市公司內部控制系統構建的難點

1. 關鍵流程梳理與重要風險點的確定。外部審計過程中涉及的“內部控制”主要是指與“財務報告及相關重要信息真實完整”這一目標相關的內部控制，簡稱“財務報告內部控制”不包括與資產安全等其他四個目標相關的內部控制。證券監管機構對2011年實施和試點內控建設的單位，要求先從“財務報告內部控制”切入，即外部審計過程中經常提及的“內部控制”，已經完成財務報告內部控制的公司，鼓勵將范圍擴展到全面內控建設。在構建與財務報告相關的內部控制時，需確定與財務報告相關的重要會計科目與附注披露事項，繼而梳理、確定與這些重要的會計科目、披露事項對應的關鍵的業務流程，識別和分析風險類型，明確重點與優先控制的風險點。一般選擇合并財務報表稅前利潤的5%作為確認重要會計科目的定量標準。定性標準則包括：會計科目核算的業務的交易數量和復雜程度，存在較大錯誤或舞弊的可能性，導致重大財產損失的可能性，存在較多的會計估計或經驗判斷的會計科目，與或有負債相關的會計科目，與新發生的金額較大的交易或行為相關的會計科目，與關聯交易相關的會計科目。如果根據定量或定性因素確認某項會計科目（如固定資產）是重要的，需注意這一會計科目的附屬科目（如累計折舊）也是重要的。對于披露事項的確認，由于財務報告中的每項附注都是報告使用者關心的事項，因此，企業應將財務報告的報表附注全部確認為重要的披露事項。流程和梳理與重要風險點的確定是內部控制構建過程中的重點也是難點，流程的梳理有賴于風險管理或內部控制工作者對公司業務的了解，這個過程可能要耗費大量的人力、物力。重要風險點的確定則有賴于內控工作者對業務的了解程度、專業能力及獨立性。以上兩項工作的有效完成是保障上市公司內控建設質量的基礎。

2. 人工控制測試抽樣?？刂频臏y試程度會根據相應控制具有的特點而變化，如該控制是自動控制還是人工控制。其中，人工控制測試是內部控制建設過程中的重點和難點，通常需結合詢問、觀察、檢查、重新執行四種測試方法進行。人工控制是否有效需在不同的業務情況下檢查某個特定的經營場所或業務單位的控制（即“抽樣”），這個過程的確定是整個人工控制測試的核心環節，內控團隊應選擇合適的測試樣本量，這一過程并不一定要求應用嚴格的統計抽樣，但可以借鑒統計抽樣的相關理論，把抽樣風險降至最低。測試或選樣的范圍主要基于內控團隊對相關控制重要性的判斷及其希望從測試中獲得的保證程度。表3結合筆者的實務經驗與普華永道內控團隊提供的經驗數據（2012），整理了人工控制抽樣的一些經驗數據，作為參考。需要提醒的是，在抽樣之前，內控團隊還應考慮通過其他途徑獲得的證據，如自我評估的結果，內部審計證據，以及從內部監督過程中收集的證據，繼而做出抽樣決策。多種證據的結合使用有助于提高控制有效性的保證程度。

3. 內控缺陷認定標準的設定。一項具體業務內部控制措施的有效性包括設計有效性與執行有效性兩部分，內部控制措施有效性評價的基本邏輯是：該業務存在的主要風險是什么？公司是否制定了相應的控制措施？該控制措施設計是否合理有效，即是否可以有效預防或控制風險？設計合理的控制措施是否得到有效執行？執行中發現的問題是否及時、有效處理？控制剩余風險是否在企業可接受的范圍內？在以上過程中，通常綜合采用詢問、觀察、穿行測試、實地查驗等方法廣泛收集公司內部控制設計與運行是否有效的證據。當然，對于一些特定的風險領域控制，風險管理團隊需考慮采用特定途徑與方法對內控有效性進行驗證，如，對于質量管理，企業可能需要熟悉產品或相關制造工藝的專家的參考；針對信息安全，企業可能需要聘請專業人員進行技術檢查。在控制測試結束后，企業需參照內控缺陷認定標準對內控缺陷分類判定并整改，由于企業所處行業、規模、風險偏好等存在差異，《基本規范》和《配套指引》均未對內部控制缺陷的認定標準進行統一規定，使得內部控制缺陷認定標準的設定成為內部控制建設工作中的又一難點。企業可以根據《基本規范》和《配套指引》相關要求，結合所處行業特征、企業規模，研究確定適合企業的內部控制重大缺陷、重要缺陷和一般缺陷的具體認定標準，這些標準可以是定性標準，也可以是定量標準，通常使用定性與定量方法結合制定標準。定性標準指就被評價的控制問題，謹慎地考慮相關的事實依據并且結合職業判斷以確定其嚴重程度，進而對缺陷等級進行判定。定量標準指就問題導致的“嚴重程度”進行量化，并且與客觀的、適度的尺度進行對比，進而判斷缺陷等級。例如，可以從內控缺陷造成后果的“影響程度”和“發生的可能性”兩個維度綜合確定三類缺陷的標準。

五、 小結

企業內部控制系統構建是一個循序漸進的過程，在實踐過程中，內控建設相關部門和人員需把握以下要領：第一，管理層應充分重視內控系統構建工作，并保持對內控建設與實施工作的持續關注；第二，企業應根據組織架構特點設置內控建設專門機構，保證內控建設工作的專業性和獨立性；第三，內控建設機構應理順企業內控系統構建的基本流程，落實每一環節的工作，保證建設工作的穩步推進，并充分認識到內部建設過程中的難點，如關鍵流程與重要風險點的確定，人工控制測試抽樣，內控缺陷認定標準的設定。

參考文獻：

1. 五部委.企業內部控制規范系統實施中相關問題解釋第1號，2012.

2. 財政部、證監會.2012主板上市公司分步分批實施內控基本規范系統的通知，2012.

3. 六部委.企業內部控制規范系統實施中相關問題解釋第2號，2012.

4. 陳國記.關于企業內部控制構建若干思考.財會通訊（綜合），2012，（12）.

5. 普華永道.<企業內部控制基本規范>管理層實務操作指南.北京：中國財政經濟出版社，2012.

作者簡介：陳少華，廈門大學管理學院會計系教授、博士生導師；彭青，廈門大學管理學院會計系博士生。