上市公司內部控制體系與框架一體化建設研究

摘 要：本研究深入分析了企業內部控制的基本概念、歷史發展、主要理論，并基于上市公司內部控制現狀分析，提出了構建以風險管理為核心的內部控制系統、加強內部控制文化建設、構建注重價值增長的管理控制體系、強化內部控制的執行與監督等一體化建設策略，以期推動上市公司內部控制體系與框架一體化建設。研究結果表明，通過實施這些策略，上市公司可有效地整合、提升內部控制框架，增強公司的風險管理能力與整體治理水平。

關鍵詞：內部控制體系；風險管理；監督

內部控制概念自20世紀初由美國引入后，逐漸成為企業管理的基本框架，最初集中于財務、會計領域，以保護資產安全、保證財務報告的準確性。隨著企業規模擴大與業務復雜化，內部控制范圍不斷擴展，涵蓋著企業運營管理、風險控制、法律合規等各方面，并概括出現代企業內部控制的五大要素——主要控制環境、風險評估、控制活動、信息與溝通、監督。進入21世紀，全球化、信息技術的快速發展推動著內部控制理論和實踐的演變，當前，內部控制已成為企業管理的核心工具，不僅用于防范財務風險，還可提高運營效率、實現戰略目標[1]。因此，研究上市公司內部控制體系與框架一體化的建設，既有助于理論的發展，也為企業實踐提供了重要指導，具有重要的實踐意義。

一、內部控制的基本概念

內部控制被定義為由董事會、管理層或其他員工共同實施的、旨在保證資產安全、提高運營效率、促進信息準確性或合規性的一系列措施。內部控制概念最早源自20世紀初期的財務審計領域，隨著商業實踐發展與公司治理結構的演變，內部控制范疇已經擴展到企業的戰略決策、風險管理等更廣泛的領域。內部控制系統包括控制環境、風險評估、控制活動、信息與溝通、監督等五大要素，這些要素相互作用，共同構成了企業內部控制的完整框架。高質量的內部控制系統不僅可幫助企業預防和識別風險，確保業務流程的正常運行與財務報告的準確性，還可增強企業的適應能力和競爭力，從而確保企業在復雜多變的商業環境中穩健前行。

二、上市公司內部控制存在的問題

（一）內部控制架構體系不完善

上市公司在內部控制架構體系的構建中存在架構體系不完善的問題。一是部分公司的內部控制體系缺乏靈活性、適應性，難以應對快速變化的市場環境與業務需求。剛性的控制體系在設計時未能充分考慮到公司業務的多樣性、復雜性，造成實際操作中無法覆蓋所有關鍵風險點。二是內部控制架構缺乏整合性，不同部門之間的控制系統相互孤立，信息流通不暢，造成重復工作、資源浪費。例如，財務部門、運營部門都各自建立獨立的控制系統，但系統之間缺乏有效的數據共享，從而降低內部控制的整體效果。三是部分企業內部控制體系在設計實施過程中缺乏足夠的前瞻性，未能利用先進的技術工具如大數據、人工智能來提高控制效率、精準性[2]。這些問題存在不僅影響著內部控制的有效性，也制約著公司治理結構的優化與風險管理能力提升。

（二）企業內部控制文化氛圍不足

內部控制文化的缺失是大部分上市公司面臨的普遍問題。在部分企業中，內部控制被視為必要的合規要求，而非企業文化的一部分，造成員工缺乏對內部控制重要性的認識與內在的遵守動機。企業內部控制文化氛圍不足主要表現在幾個方面。一是高層管理者未能將內部控制的重要性內化為企業運營的核心部分，造成企業從上到下的推動力度不足。二是缺乏對員工進行內部控制意識培訓，使得員工在面對具體控制要求時，因不理解其目的、方法而執行不到位。當內部控制被視為阻礙業務效率時，員工會尋找方法繞過控制措施，從而使得內部控制名存實亡。這種文化上的缺陷使良好的內部控制制度也難以在企業中得到有效執行。

（三）內部控制管理制度不完善

內部控制管理制度的不完善體現在多個層面。一方面，部分企業的內部控制制度在制定時未能全面覆蓋所有業務領域、操作層面，導致存在控制盲點。例如，新興業務領域如電子商務、國際業務常常因為缺乏專門控制政策而面臨更大的風險。另一方面，部分企業內部控制管理制度缺乏有效的更新機制，一旦制定后便鮮有調整，難以反映最新的業務實踐與風險管理要求。這些問題不僅削弱了企業內部控制制度的適應性、前瞻性，也影響著企業應對復雜變化環境的能力。

（四）內部控制執行監督力度不夠

內部控制執行和監督是確保控制措施有效性的關鍵，但部分上市公司在執行監督環節存在力度不足問題。監督力度不夠主要表現在幾個方面。一是缺乏定期的內部控制評估機制，使控制漏洞難以及時發現修正。例如，部分企業僅在年度審計時進行內部控制的檢查，忽略了日常的監督評估。二是部門企業內部控制的執行監督缺乏獨立性、權威性，相關監督部門受到業務部門的影響，無法客觀地評價內部控制的執行情況。三是對執行不力的情況，部分企業未能實施有效的激勵、處罰機制，造成內部控制措施不能被嚴格執行。這些缺陷使內部控制系統難以發揮應有的風險管理與資源優化功能，影響著公司的整體運營效率。

三、上市公司內部控制體系與框架一體化建設策略

（一）構建以風險管理為核心的內控系統

構建以風險管理為核心的內控系統，上市公司需從頂層設計入手，確保風險管理理念深入到內控系統的每一個層面。具體操作可從以下幾個步驟實施。首先，企業需進行全面的風險評估，識別、分類公司運營中面臨的各種風險，包括財務風險、運營風險、市場風險、法律合規風險、戰略風險等。整個過程需結合外部環境、內部業務實際，動態更新風險數據庫，確保風險識別時效性、準確性。其次，基于風險評估的結果，企業可設計具體的風險應對控制措施。包括制定風險預防措施、風險緩解策略、在風險發生時的應急處理方案。每項措施都應明確責任人，確保執行具體性、可操作性[3]。再次，企業需整合信息技術資源，利用大數據分析、人工智能等現代化技術手段，提升風險管理的自動化、智能化水平，例如：可通過建立自動監控系統，對關鍵業務指標進行實時監控，及時發現異常波動，觸發預警機制。最后，企業可建立持續的風險監控和評價機制，定期審查、評估已實施的風險控制措施的有效性，還要根據外部環境、內部條件的變化調整風險管理策略。例如，企業需強化風險管理文化的培養，通過培訓、溝通等方式，增強全員的風險意識、風險管理能力，確保風險管理成為企業文化的一部分。通過一系列具體操作，上市公司能構建一個以風險管理為核心、覆蓋企業全方位的內控系統，提升公司的風險防控能力與整體運營效率。

（二）加強內部控制的文化建設

構建注重價值增長的內部管理控制體系要求上市公司要將內部控制與業務戰略緊密結合，確保內部控制活動不僅支持當前運營效率、合規性，也可促進長期的價值創造。首先，公司需確定、明確其長期的業務戰略與關鍵績效指標，指標需反映公司價值增長的核心目標，如市場份額擴大、成本效率提升、創新能力增強等。在設計內部控制系統時，企業須確保系統能監控、支持績效指標的實現。其次，企業可利用先進的數據分析工具、技術來跟蹤評估與核心業務目標相關的數據，例如：通過設置自動化的數據收集、分析系統，實時監測關鍵業務流程的表現，及時調整控制措施以優化操作效率。例如，內部控制系統需包括機制以鼓勵創新風險合理化管理，確保在控制潛在風險同時，不抑制創新、業務發展的潛力。再次，企業需建立跨部門的協調機制，確保內部控制系統能全面覆蓋各個部門的戰略目標。這種協調不僅涉及流程的整合、信息的共享，包括文化、價值觀的一致性，以保證所有部門都能在相同的企業戰略框架下操作[4]。基于此，企業還要定期對內部控制系統進行審查、優化，確保仍然有效地支持企業戰略目標、適應外部環境變化。最后，企業需制訂持續改進的環境管理計劃，通過定期培訓、評審、反饋機制，使內部控制體系持續演進，不斷提高員工在促進企業價值增長方面的貢獻。藉此步驟，企業能確保內部控制體系在遵守規范和減少風險的同時，也能驅動業務價值成長，增強企業競爭力。

（三）構建注重價值增長的內部管理控制體系

構建注重價值增長的內部管理控制體系要求上市公司整合內部控制與業務戰略，以確?？刂拼胧┎粌H合規，還能夠支持企業經營增長與價值創造。首先，企業需界定其長期戰略目標，并將目標轉化為具體可量化的關鍵績效指標。指標應涵蓋各個方面，如收入增長、成本控制、市場拓展、客戶滿意度、創新能力等。例如，企業可設計內部控制系統，確保系統能有效地支持績效指標的監測、實現，包括設置合理的業務流程控制，用于確保操作效率、防止資源浪費；將內部控制重點設置在組織結構及職責分工、授權批準、會計記錄、資產保護、預算管理和報告制度等重要環節組織實施。其次，企業可建立激勵機制，鼓勵員工、管理層通過創新措施來推動業務目標的實現，可通過與績效相關的獎勵系統實現，確保所有團隊成員都與企業的長期價值增長目標保持一致。最后，為保持內部控制體系的有效性，企業需定期評估內部控制體系的性能，評估內部控制體系對業務價值的貢獻。通過定期審核、反饋，企業可及時調整控制策略，確保內部控制系統與企業的業務戰略、市場動態保持同步。通過具體步驟實施，上市公司可構建一個支持企業價值增長的內部管理控制體系。

（四）強化內部控制的執行與監督

強化內部控制的執行與監督是確保企業內部控制系統有效性的關鍵舉措。企業可從增強監督機制嚴密性、建立有效的反饋改進流程兩個方面入手。一方面，企業需搭建全面的內部審計部門，該部門負責定期的內部控制審查，對企業的所有業務流程進行持續監督，包括實施定期和不定期的審計，使用風險導向的方法來確定審計的頻率、范圍，確保關注點集中在中、高風險區域。另一方面，為加強內部控制的執行，企業需確保所有層級的員工都明確了解他們在內部控制中的角色、責任。對關鍵控制點的操作人員，企業可通過定期的培訓、評估完成；對關鍵崗位人員，企業可實行定期輪崗制度；對不相容崗位，企業可實行相互分離等制度。通過建立明確的溝通渠道、支持系統，企業可為內部控制人員提供必要的資源指導，以便內部控制人員能夠有效地實施內部控制措施[5]。此外，企業可引入先進的技術工具，如自動監控系統、業務智能分析，信息化技術工具可實時追蹤關鍵性能指標與控制成效，及時發現問題，觸發警報，例如：可建立一個綜合的信息系統，該系統能集成來自各個部門的數據，提供全面的視圖，幫助管理層監督內部控制的執行情況。

四、結語

通過對上市公司內部控制體系與框架一體化建設的深入探討，本研究揭示了當前內部控制中存在的架構不完善、文化氛圍不足、管理制度不健全及執行監督力度不夠等問題。研究結果顯示，結合具體改進策略，通過構建以風險管理為核心的內控系統、加強內部控制文化建設、構建注重價值增長的管理控制體系、強化執行與監督等措施實施，可為企業提供全面的解決方案。研究表明，通過系統性的內部控制體系建設，上市公司不僅能提升風險管理、合規性，還能促進業務的長期價值增長與競爭力的增強。研究成果對提升公司治理水平與市場表現具有重要的實際意義。

參考文獻：

[1] 李麗.基于COSO-ERM框架下M電信公司內部控制體系優化研究[D].內蒙古財經大學，2024.

[2] 楊永新.上市公司內部控制體系與框架一體化建設研究[J].中國農業會計，2024，34（10）：106-108.

[3] 戴開波. 構建內部控制框架完善企業風險管理體系[J].中國商界，2024（04）：162-163.

[4] 邱文娟.混合所有制改革下SL監理公司內部控制體系優化研究[D].南昌大學，2023.

[5] 田夢琦.基于模糊綜合評價法的Z公司內部控制體系評價及優化研究[D].云南師范大學，2023.

[作者單位：立信會計師事務所（特殊普通合伙）珠海分所]