(杭州电子科技大学 浙江 杭州 310018)

企业想要在多元化的经济格局中立于不败之地，就应该探究企业面临的各种风险，要更加重视企业自身的内部控制制度。本文引入长生生物案例，探讨长生生物的内部控制制度，及其对财务，经营等方面的影响。

一、内部控制的框架及概念

COSO内部控制框架进一步创新和丰富了内部控制目标的具体内涵，并且新框架沿用旧框架的分类方式，将内部控制目标划分为经营目标、合规性目标以及报告目标三种类型，其中前两个目标的内涵没有产生实质性变化，仅仅是对报告目标的内涵进行了创新与丰富。旧框架在明确内部控制目标时所提出的唯一要求是确保财务报告能够满足可靠性要求，而新框架要求涵盖财务报告在内的所有报告都必须符合可靠性要求。报告体系中不仅仅包含财务报告，同时将其他对外报告涵盖在内；将对内和对外报告、财务和非财务信息全部纳入报告体系。

COSO内部控制框架进一步扩大了内部控制的覆盖范畴。依据新框架要求，在实施组织外包时，管理层必须严格按照相关流程及要求对外包服务承包方及其整个供应链上的所有实体构建的内部控制体系是否有效进行评价，由此扩大和延伸了内部控制实施的外延范畴。从具体层面来看，新框架针对控制环境提出的要求主要包含：组织行为守则不仅适用于组织内部所有层次，同时适用于外包服务承包方。

二、长生生物的内部控制自我评价

长生生物在其2017年度内部控制自我评价报告中提到：依据针对财务报告内部控制重大缺陷的相关认定标准，在内部控制评价报告基准日，在财务报告内部控制层面并不存在重大缺陷，经董事会商议，企业已经按照内部控制的规范体系及相关要求重大方面实现了对有效财务报告应有的内部控制。依据对非财务报告内部控制重大缺陷的认定标准，在内部控制评价报告基准日，企业在这一层面并未发现重大缺陷。自这一基准日到内部控制报告发出日之间同样没有产生影响内部控制有效性评价结论的因素。

长生生物依照风险导向原则明确界定了纳入风险评价范畴的相关单位、业务范畴、关键事项及高风险领域。这一评价范围主要包含上市公司母公司本身以及重要的子公司长春长生生物科技有限责任公司的主要业务和事项。本次纳入评价范畴的单位资产总规模在合并财务报告资产总规模中的占比高达96.68%，相应的营业收入规模占比约计99.05%，纳入评价范围的业务及关键事项主要包含组织框架、经营战略、资金、人力、采购、生产、仓储、销售、财务管理、合同管理、关联交易、对外担保、工程项目、洗信息系统建设、内部信息沟通、内部监督等内容。依据全年风险评估结果重点关注的高风险领域主要包括：发展战略、人力资源、资金、采购、生产、仓储、销售、合同管理、内外部信息沟通。以上纳入评价范畴的实体单位、关键业务及事项几乎涵盖了企业经营管理中的核心环节，并不存在关键性遗漏。

纳入评价范畴的业务及关键事项主要包含：组织框架、经营战略、资金管理、人力资源管理、采购管理、存货管理、销售管理、财务报告、固定资产、对外担保、合同管理、工程项目、内部信息沟通、内部监督、信息披露事务管理、信息系统；长生生物科技股份公司对上述范围均作出正常评价。

三、深交所对长生生物的年报审查

深交所在对长生生物2017年年报审查中，已关注到公司疫苗销售大幅增长、研发支出异于同行、大额购买理财产品等情况，向公司发出年报问询函，要求公司补充说明并对外披露。

另外，经对公司信息披露情况进行全面核查，经初步调查发现，该公司并未及时做出披露的信息主要涉及到内部控制存在的重大缺陷、被相关部门调查的信息。针对公司存在的以上违规行为，深交所已经启动对公司及相关责任人实施公开谴责的处分流程。

四、长生生物的内部控制缺陷

从2017年年报数据来看，此次事件对2018年公司业绩影响巨大。依据该企业2017年对外公布的年报数据，长春长生这一时期所实现的营业收入和净利润分别为15.39亿元、5.87亿元。而同一时期长生生物所实现的营业收入和净利润分别为15.53亿元、5.66亿元。也就是说该事件导致长生生物2018年的收入减少了上年收入的一半。

单纯从公司经营的角度来说，长春长生的痛点就在于其失败的内部控制！尤其是其董事会方面，根据公开资料显示，长春长生董事长、总经理、财务总监均由高俊芳一人担任。一个人身兼上市公司的多个要职，完全与现代企业的公司治理模式背道而驰，折射出公司的内部控制可能存在不足。

决策权集中在少数高层手中，尤其是一人手中，负面效果非常突出。而这就是发生在长春长生的状况。虽然董事长兼财务总监这种制度安排，严格说来并不违反现行公司法，毕竟大量的中小微企业都存在着类似的情况，如果不涉及外部投资者，总的来说也无伤大雅。但作为可以获得社会融资的上市公司，尤其还是从事疫苗生产、关系到生命安全的生物科技企业，这样的制度安排必然蕴含着较高的内部控制风险。生产记录造假、开发劣质药剂的重大情况想必是为公司实际控制人所知、所允许的。生产乃是企业的生命线。对于医药企业来说，产品的安全性更是悬在头顶的一柄利刃。没有完善的内部控制流程与坚定的控制意识，企业走入火坑也是意料之中。很多大中型公司每年都会发布内部控制自我评价报告，这既是对投资者的交代，也是给自己设立的警戒线。

内部控制不仅仅是企业有效规避风险的工具或手段，同时也是企业风险管理的核心内容。内部控制与风险管理紧密相关，但二者并非简单的相互作用关系，而是相互依存、不可分割的有机整体。实施内部控制的目的是提高企业防御经营风险的能力，确保会计信息真实可靠并维护各项财产资源的安全性和完整性，推动企业不断实现长足发展目标。必须充分重视内部控制在企业管理中的积极作用，风险管理更应时时刻刻体现在实际行动上！