摘要：文章首先阐述了内部控制的相关理论；其次分析了我国企业内部控制的进展和现状；最后针对我国企业内部控制当前存在的问题，从企业自身、政府监管和中介机构审计三个角度对上市公司加强内部控制提出相关的措施和建议。通过对企业内部控制的理论分析和现状的总结，文章建议加强我国上市公司的内部控制，要以企业自身为主，政府、中介机构为辅。
　　关键词：上市公司；内部控制；制度
　　近年来，国内外上市公司破产案、舞弊案频频发生，内部控制作为其中的致命因素引起了社会各界的关注，各国政府加快脚步构建内部控制规范体系。美国在2004年提出了《企业风险管理——整合框架》，我国也于2008年6月由五部委联合发布了《企业内部控制基本规范》。不管从实践需要还是法规要求上看，都有必要强化上市公司的内部控制。
　　一、内部控制的基本理论
　　（一）内部控制的基本概念
　　企业的内部控制是全面风险管理框架体系的一个子系统，指的是企业为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策和程序。它的主要目标是服务于企业目标的实现，提高经营的效率和效果，提高财务报告的质量，保证企业经营管理合法合规。
　　（二）内部控制要素
　　根据内部控制领域最新的理论研究成果《企业风险管理——整合框架》，内部控制的基本要素包括以下八个方面：内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控，这些要素相互联系，形成一个协作的整体，贯穿于企业风险管理的方方面面。八个要素紧密相连，形成完整的内部控制框架体系，服务于企业的风险管理，是企业在实践中构建内部控制制度的参照。
　　二、我国上市公司内部控制现状
　　（一）内控环境不佳
　　1、产权不明
　　我国不少大型上市公司的前身是国有制企业，企业资产的所有权和经营权归国家享有，经营的盈利和亏损都由国家承担。国有企业产权改革之后，在形式上成为独立的法人实体，企业由经理（厂长）经营，与国家之间是委托代理关系。然而国企的产权改革并不彻底，多数企业实现的仅仅是法律地位的独立，而经济上没有独立，这典型地体现在石油、粮农、通信等等垄断国企身上。鉴于这些企业所处行业在社会经济中的特殊性，出现危机时政府会以财政资金出手援助，自负盈亏作为市场经济下企业最重要的一个特征被抹杀掉了。
　　2、管理当局对内部控制认识不足、重视不够
　　有的企业领导对内部控制缺乏重视，认为控制制度只是形式上的东西，是一些手册、文件和制度，建立控制制度耗费人力、物力，而这种耗费不会直接产生经济效益，因而对建立企业内部控制缺乏积极性和主动性；有的企业领导认为加强内部控制增加了办事环节和程序，削弱了自身的权利束缚了自己的手脚，甚者有章不循、执法不严，遇到具体问题时以强调灵活性为由不按规定程序办理，使内控制度系统失去了应有的刚性和严肃性。
　　3、人力资源政策难以落实
　　不少国有企业改制重组后并没有实现真正的政企分离，行政干预时有发生，而这些干预又往往违背了内部控制的原则，加大了企业管理风险。
　　（二）风险管理不到位
　　1、目标设定偏差
　　完善的内部控制要求企业合理设定经营目标，以此来识别影响目标实现的风险。但是实体经济下的商业企业和工业企业，由于认识的不到位，往往为了盲目追求利润，导致目标设定的偏差。
　　2、风险管理意识薄弱
　　内部控制的动力来自企业对风险的认识和管理，降低和控制风险是内部控制的重要目标，强化企业内部控制，就必须做好风险的管理和控制工作。然而，一些企业风险管理意识淡薄，对风险的危害性认识不足、重视不够，高层管理人员甚至凭主观经验进行判断，凭感觉进行盲目决策。
　　3、风险管理机制形同虚设
　　部分企业根据设定的目标进行风险评估，分析风险的形式、程度和影响，但是在实际工作中，由于缺乏有效的内控机制，风险管理机制往往形同虚设。
　　（三）信息沟通不畅
　　不管是内部控制结构阶段还是内部控制整体框架阶段，都要求将内部控制作为一个整体，实现各层级间的信息互享，包括上级对下级、平级之间、下级对上级，全面掌握公司的所处环境和营运情况，才能做到风险预警。但是目前我国部分企业内部的信息沟通还无法真正实现畅通无阻。
　　（四）监控机制失效
　　1、公司治理结构不规范
　　在我国，不少上市公司在形式上虽然建立了法人治理结构，但是最基本的权力机构（股东大会）、管理机构（经理层）和监督机构（监事会）并没有形成相互分离、相互制衡的局面，不符合监督者与被监督者相分离的原则。
　　2、内部审计失效，外部监督流于形式
　　监控包括来自外部监督体系的检查和来自内部的监督检查。目前，我国上市公司中有的企业尚未建立内部审计机构，有的企业内审部门隶属于财务部门，或者表面上对董事会负责，实质上受经理层及其他部门的制约和影响，独立性太差，不能真正做到客观公正；在职能权限上，内部审计往往只是审核会计报表、账簿、凭证及相关资料等财务数据的真实性、合法性来“查错防弊”，而对管理审计、内部稽核、内部会计控制制度等方面监督和评价涉及的很少。外部监督主要是政府监督和社会监督。目前，财政、工商、税务、审计等政府监督部门之间的监督职能交叉，再加上缺乏横向信息沟通，难以形成有效的监督合力。社会监督主要是会计师事务所的独立审计，监督效果亦不尽如人意，会计师事务所的不规范执业、不正当竞争等等，致使注册会计师的独立监督职能无法有效发挥。
　　三、上市公司完善内部控制制度的建议
　　（一）优化内控环境
　　控制环境是内部控制的基础，它形成一种氛围，影响企业高层管理者和普通员工的控制意识和实施控制的自觉性，直接关系到企业内部控制的贯彻和落实。
　　1、明晰产权，减少行政干预
　　推进国有企业改制步伐，力争国企产权改革进行彻底，建立真正自主经营、自负盈亏、政企分开、管理科学的现代公司，将企业经营权完完全全交给经理（厂长）负责，使改制后的上市公司实现法律地位和经济地位的双独立。
　　2、转变控制理念
　　管理层对内部控制项目的支持与重视是企业内部控制成功实施的重要因素。企业领导者要树立正确的内部控制观：完善的内部控制体系不应成为游离于企业运作之外的额外负担，而应当成为企业提高绩效的重要措施。内部控制能控制风险、消除弊端、保证信息质量、提高效率，最终实现企业的价值创造。此外，上市公司设置内部控制，要站在公司战略管理的高度，不能仅限于财务领域，要超越内部会计控制的局限，将内部控制措施融入公司的日常管理和运营中的方方面面，为企业价值最大化的目标服务。
　　3、落实人力资源政策，提高员工胜任能力
　　良好的人力资源政策，对更好地落实内部控制有很大的帮助。企业在建立并实施人力资源政策控制过程中，必须引入竞争机制，形成任人唯贤的用人机制，提高企业的内在工作能力和效率。
　　（二）完善风险管理手段
　　1、强化风险意识
　　上市公司是资本市场的参与主体，其面临的不确定性比非上市公司大的多。随着全球经济一体化，国内市场已成为世界经济的一部分，受到国际市场的影响加大，当前不少上市公司面临的经营风险和财务风险已不再局限于国内。
　　2、明确设定企业目标，与企业风险偏好相一致
　　
　　明确企业目标，才能够识别对目标实现有潜在影响的事项。制定企业目标，要能够将目标与企业的任务或使命联系在一起，并且保证制定的目标建立在对风险合理预期的基础之上，与其风险承受能力相符。
　　3、完善风险评估，合理选择应对策略
　　风险评估是企业内部控制至关重要的组成部分。首先，确认企业的整体目标与层级目标，识别影响目标实现的内部风险和外部风险，并结合企业实力和策略确定相应的风险承受度，风险识别是风险评估的第一步，通过调查识别风险的存在，了解风险在什么情况下出现，有什么样的表现形式以及会造成什么样的后果；其次，采用定性与定量相结合的方法，分析风险发生的原因、重要性及后果等，按照风险发生的可能性及其影响程度，对识别的风险进行排序，确定关注重点和优先控制的风险；最后，根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。
　　（三）畅通信息沟通渠道
　　1、协调信息不对称的利益冲突
　　上市公司主要的利益相关者包括股东、债权人、经理和员工等，各利益相关者将自有资本投入企业就必然对企业赋予某种期望，按照经济学中的“经济人”假设，他们的目标是追求自身利益最大化，这必然导致利益冲突。“为加强企业的信息与沟通，减少各利益相关者之间的利益冲突，降低企业的交易费用和代理成本，达到信息与沟通的目标，可以在企业董事会下设立一个信息与沟通委员会，专职负责各利益相关者利益的协调、信息披露及流动工作。”各个利益主体能够就自身利益的实现及威胁发表观点，企业的代理问题、信息不对称问题才能得到更好的解决。
　　2、强化信息沟通，实现双向互动
　　一个良好的信息与沟通系统，应该做到三方面的保证：首先，上级的指令和决策能够准确地传达到下面的部门和员工，确保员工能清晰地了解自己承担的责任，上下级朝着共同的目标努力；其次，同级之间的沟通交流要充分，只有相互了解彼此的情况才可以提高协作的效率和效果；最后，下级部门和员工的情况要及时向上级汇报，确保管理层能全面地把握企业的内部运作和外部环境，准确地进行事项识别和风险评估，这样才能做出科学的有利的决策，保证企业健康持续发展。
　　此外，在公司的各个子系统之间，信息的传递同样需要保持通畅，除了一般的提交财务报告、向总公司述职之外，还应该创造其他双向了解的渠道，避免因机构组织过于庞大、结构复杂、层次过多，影响信息沟通的及时性和准确性。
　　（四）强化内外监控
　　1、内部监控
　　（1）完善公司治理结构。只有建立规范有序的公司法人治理结构，确保董事会、管理层、监事会相互独立，形成相互监督、相互牵制的局面，内部监控才能真正发挥作用。一方面，要强化董事会职能。控制环境是企业内部控制体系的核心，董事会是这个核心的核心。它为经理层制定博弈规则并监督他们，因此董事会成员应具备相当的工作经验和专业知识，具有相对于管理层的独立性。另一方面，要增强监事会的权威性。作为独立于公司权力机构和管理机构的机构，要赋予监事会实权，使其有权力参与制定具体的工作规则与议事程序，并在董事会和管理层犯错时给予内部惩处。
　　（2）加强内部审计。上市公司进行内部审计是法定要求，因此应设立专门的内部审计机构，赋予其内部监督的职责和权限，制定规范的内部监督程序、方法和要求，对整个内部控制的过程施以恰当的监督，通过监督发现内部控制的薄弱环节并加以修正，确保内部控制制度能持续有效运作。
　　（3）建立内部控制制度评价体系。所谓内部控制自我评价是公司定期或不定期地对自己及所属子公司的内部控制系统进行评价，评价内部控制的有效性及其实施的效率效果，以期能更好地实现内部控制的目标。自评不仅要与企业的风险管理紧密结合，而且要与信息管理相结合。自我评价要定期或不定期地进行，及时发现内部控制的漏洞，形成报告内部控制评估报告，并提出改善的建议。
　　2、外部监控
　　更好地保证内部控制制度的执行，还必须要有来自企业外部的监督。上市公司应聘请注册会计师对企业的内部控制进行审计，以进一步保证内控制制度的有效性。外部审计需要强调的一点是，注册会计师的聘用必须由股东代表大会或董事会来抉择，审计费用等经济利益独立于公司管理层，这样才能避免中介机构出于利益考虑而听命于管理层。
　　参考文献：
　　1、程新生.公司治理、内部控制、组织结构互动关系研究[J].会