論上市公司內控制度體系建設的構建

孫曉雙 李銳

摘 要：近年來，國家對上市公司的內部控制越來越重視，先后出臺一系列規章，逐步構建了內部控制規范體系。上市公司的內控制度建設不僅要滿足合規要求，還要符合企業發展中防風險、夯基礎、提效率的要求。本文針對上市公司內控制度體系建設，重點圍繞企業內控制度設計和實施中應注意的問題，系統的闡述了各項應對措施。

關鍵詞：上市公司;內控制度;體系建設

近年來，國家高度重視企業的內部控制建設工作。上市公司建立有效的內控制度，首先是要滿足監管部門的合規性要求，其次還要把“防風險、夯基礎、提效率”做為基本目標，形成各部門之間相互制約相互監督的體制，提高企業的內部管理效率，更大程度地保證企業內部經營管理的有序性和企業資產的安全性。上市公司內控制度的設計和實施，是滿足內外部要求的關鍵。

一 、企業內控制度設計應注意的問題

企業內控制度的設計，既要滿足外部監管要求，又要要保證其能切實可行地為企業的內部管理服務，符合企業自身的特點和經營發展的要求，因此，內控制度設計是至關重要的第一道關，應該注意以下問題。

1.企業內控制度必須符合國家關于企業內部控制規范體系的要求

公司法第四十六條規定“董事會負責制定公司的基本管理制度”，第四十九條規定“經理層負責制定公司的具體規章”。2008年5月，財政部聯合證監會、審計署、銀監會、保監會發布了《企業內部控制基本規范》（財會[2008]7號），自2009年7月1日起在上市公司范圍內施行。基本規范共七章五十條，主要包括：總則、內部環境、風險評估、控制活動、信息與溝通、內部監督和附則。基本規范確立了中國企業建立和實施內部控制的基礎框架，定義了企業內部控制的概念，闡述了內部控制的目標，確定了內部控制的原則（包括全面性原則、重要性原則、制衡性原則、適應性原則和成本效益原則），建立了以企業為主體、以政府監管為促進、第三方評價審計為組成部分的內部控制實施整體機制。為配合《企業內部控制基本規范》的落地實施，2010年4月，財政部等上述五部委又聯合發布了《企業內部控制配套指引》，該配套指引包括《企業內部控制應用指引》（18項）、《企業內部控制評價指引》和《企業內部控制審計指引》，這一系列的配套指引，細化了企業內部控制建設的指導框架。《企業內部控制基本規范》及其配套指引的發布，標志著中國企業內部控制規范體系基本建成。由此看來，不斷完善企業內部控制不僅是上市公司提高自身競爭能力，實現經營及發展目標的有力保障，也是各監管部門的要求。

建立內部控制制度，首先要搞清楚什么是內部控制。《企業內部控制基本規范》中指出“內部控制，是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。”、“內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。”

2018年9月，中國證監會頒發了《上市公司治理準則》（證監發〔2018〕29號），第九章“信息披露與透明度”第九十四條規定“上市公司應當建立內部控制及風險管理制度，并設立專職部門或者指定內設部門負責對公司的重要營運行為、下屬公司管控、財務信息披露和法律法規遵守執行情況進行檢查和監督。”、“上市公司依照有關規定定期披露內部控制制度建設及實施情況，以及會計師事務所對上市公司內部控制有效性的審計意見。”

做為內控制度體系的設計者，只有清楚和掌握國家關于內部控制規范體系的要求，才能有的放矢的確保內控制度在管理層面合規。

2.企業內控制度必須體現上市公司的獨立性

《上市公司治理準則》（證監發〔2018〕29號）第六章“控股股東及其關聯方與上市公司”第二節“上市公司的獨立性”第二十八條“控股股東、實際控制人與上市公司應當實行人員、資產、財務分開，機構、業務獨立，各自獨立核算、獨立承擔責任和風險。”因此，上市公司的內控制度必須體現這個原則，不允許出現任何報控股股東審批的要求，否則就屬于制度設計層面的違規。此問題在一些大型集團公司經常遇到，對于自己投資成立的上市公司，母公司理所當然的認為可以完全掌握，尤其是涉及人、財、物等重要的經營生產要素，都要求報母公司審批，這種做法已經觸碰了違規的紅線。

3.企業內控制度設計應以風險為基本導向

風險管理是企業內控管理的重中之重。隨著經濟發展的全球化，企業競爭日益激烈，環境變化的不確定性加劇。不少企業由于對風險管理不重視，致使企業遭受巨大損失，甚至因此倒閉。如新加坡中航油事件，中航油事件被認為是繼1995年巴林事件后最大的經濟丑聞，由于領導人不按照內部風險控制規則進行操作， 致使在石油衍生品交易中虧損額高達5.5億美元，最終導致新加坡中航油公司向法院申請破產保護。這些案例均在警示企業高層管理人員，必須牢固樹立全面風險意識。國資委發布的《中央企業風險管理指引》中指出，風險分為戰略風險、財務風險、市場風險、運營風險和法律風險。企業要通過內部控制來規避風險，這就要求企業在內部控制制度的設計過程中堅持以風險為導向，考慮企業經營管理的每一個環節，有效分析企業日常活動中存在的風險，并合理地評估風險，然后通過內部控制手段防止風險的發生或是將風險控制在一定范圍內，以減少風險發生可能帶來的損失。

4.企業內控制度體系架構應分層分類設計

上市公司高層管理人員要對內控制度合理規劃，內控制度體系按照其效力大小，一般分為三個層面：第一個層面基本制度，包括公司章程、董事會議事規則、監事會議事規則、經理層議事規則、“三重一大”等公司治理方面的制度，是上市公司規范運作的基本規則;第二個層面是業務制度，包括人力資源、財務管理、設備管理、制造管理等經營管理方面的制度，是公司確保經營生產高效運行的基礎和保障;第三個層面是管理細則，公司各部門依據前述兩個層級的制度，結合實際細化、補充后具有較強操作性的部門文件，或者是針對本部門獨有的業務制定的實施細則。以上三個層面的制度，審批層級不同，基本制度由董事會審批，業務制度由經理層審批，管理細則由職能管理部門自行審批。每一層面的內容不得與其以上層面的內容相違背。公司應重視對內控制度的持續完善，結合法規及監管環境的變化、業務的發展、以及公司風險控制的要求，不斷增強制度的完備性、有效性。

5.企業內控制度應具有較強的可操作性

內控制度只有得到有效實施，才能達到應有的效果。因此，在設計內控制度過程中，要確保其具有很強的可操作性。如果設計的內控制度只是表面看起來完善，卻不具備可操作性，必然會導致內控制度或束之高閣，或在實行中大打折扣，完全背離了我們建立內控制度的初衷。因此，設計者在設計建設內部控制制度時，首先組織業務骨干負責制度的起草，制訂過程中要充分考慮每一個環節、每一個制度是否能在當前的企業環境下開展，對員工的日常工作活動是否具有約束力。其次，在制度草案形成后，企業高層要組織相關人員進行研討，對各個部門職責進行確定，針對關鍵業務流程、風險點進行分析，堵塞漏洞，然后反復修改完善，杜絕制度設計缺陷。第三，制度草案還要廣泛征求制度配合實施部門以及執行人員的意見，杜絕制度帶病下發，消除內控制度在執行環節的阻力。

二 、企業內控制度在實施時應注意的問題

在對內部控制制度進行精心設計之后，要確保內控制度的有效實施，讓內控制度在企業的內部管理中真正發揮作用，還要注意以下問題。

1.提高認識，重視內控制度的建設

良好的內控制度體系是企業各項管理工作的基礎，是企業持續健康發展的保證。上市公司管理層應提高對內控制度重要性和緊迫性的認識，把企業各項管理工作都建立在健全、完善的內部控制的基礎之上，通過內控制度將公司治理、經營生產、責任考核、防范財務和經營風險等其他各項經營管理工作有機結合起來，做到相互促進、相互補充、不留漏洞，相得益彰。同時，上市公司高層要將風險管理理念融入企業管理中，并將這種觀念逐級傳導下去，讓各級管理人員逐步形成風險意識，在工作中主動發現風險點，將防范措施固化到內控制度中。只有各級管理人員思想上足夠重視，才能確保內控制度的建立和實施取得實際效果。

2.內控制度應及時修訂，適應內外部發展變化

內控制度體系建設不是一勞永逸的，是一項永無止境的工作。內控制度體系構建不僅要覆蓋各項業務領域，同時還要對各個經營活動科學把控，讓內部控制滿足完整性要求，從而發揮應有的作用。在實際過程中，上市公司應結合公司實際運營狀況，根據公司所處的運營環境，對現有的內部控制制度適當調整改革，保證內部控制制度的完善性和實效性，形成統一、完整的內部控制管理格局。當外部市場環境發生變化時，內控制度也要進行相應的調整， 防止企業的管理制度滯后，影響企業發展。

3.加大內控制度的宣傳力度，提高制度執行力

內控制度設計再完美，得不到認同并嚴格執行就毫無價值。對執行者而言，要充分理解制度內容并對其認同，才能有效執行，因此就體現出內控制度培訓、宣傳、推廣工作的重要性。其次加強內控管理理念宣傳，指導員工真正了解內控制度的意義所在，輔導員工深入學習領會內控制度內容及精髓，幫助員工提升職業技能和綜合素養，調動員工積極性，充分發揮自身能力，讓全體員工都能積極的參與到企業內控管理中。各部門之間的溝通是促進企業內部機構正常運轉的重要樞紐及渠道，部門之間溝通不暢直接影響到信息的傳遞，上市公司應結合內部組織架構及管理方式建立有效溝通機制，保證部門之間溝通順暢，分工到位，責權明確，才能進一步提升公司經營效率。

4.建立內控監督評價機制，確保內控制度的落施效果

在內控制度的實施過程中，要確保每項內控制度被切實地執行且效果良好，對內部控制過程就必須建立監督評價機制。為此，上市公司應結合企業風險管理“三道防線”的做法，將監督評價與其有效融合。所謂“三道防線”，即企業的業務部門作為前端部門是風險管理的第一道防線;企業風險管理職能機構作為風險管理的第二道防線;企業的內部審計職能機構作為風險管理的第三道防線。在此基礎上，企業內部監督評價機制還要增加基層單位這一道防線，所有制度的執行都要在基層落地，因此基層單位是整個內控體系中的重要環節。基于以上認識，上市公司應建立“橫向到邊，縱向到底”的監督評價機制，既基層單位自查、職能部門專業檢查、內控體系建設部門聯合檢查、審計及第三方實施內、外部審計檢查。在各層級監督評價活動中，應重點關注影響公司主要風險和關鍵業務流程的經營活動，如大宗物資采購及工程建設的招投標、重要合同的簽訂和實施、公章的使用等，對財務部門相關賬目要進行定期審計，詳細盤點各項資產，保證企業的經營活動符合內部控制的規定。實施監督評價的部門應當組織存在問題的單位制定整改措施，同時跟蹤監督評價的進度和總體效果，一旦出現違反規定的行為要依據制度采取相應的懲處措施。

三 、 結語

在上市公司開展內控制度體系建設，可以有效促進企業的規范管理，確保企業在符合監控要求的基礎上，形成企業內部各部門、員工之間相互制約、相互監督的體制，可有效防止企業經營管理中出現的風險，從而提高企業抗風險能力，確保企業實現經營發展戰略目標。

參考文獻：

[1]黃麗華.論上市公司內部控制制度的有效構建[J].企業研究，2012：36-37.

[2]范國華.關于中小企業內部控制制度建設的思考[J].中國市場，2011（28）：74-75.

[3] 王書珍，王淳.上市公司內部控制缺陷的識別認定研究 [J].長春大學學報，2019 （09）：31-36.

作者簡介：

孫曉雙（1973年7月），男，漢族，籍貫：河北唐山，高級經濟師，研究生，北京首鋼股份有限公司，研究方向：企業管理，單位在北京，郵編：100041