毛晓菲

摘要：我国企业越来越关注内控体系建设，内部控制检查评价又是评估内控体系有效性的重要方式。结合《我国上市公司2018年执行企业内部控制规范体系情况分析报告》，本文首先分析评判了上市公司内控检查评价的报告结论，其次归纳概况监管机构对内控检查的关注点和方法论，最后总结整理该报告对内控实际工作的借鉴启示。

关键词：内控检查评价;风控体系建设;内控管理

建立健全合规有效的内部控制体系越来越成为政府、企业、中介机构关注的话题，实施内控检查评价是评估内控体系有效性的重要方式。2019年10月国资委发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国资发监管规[2019]101号），明确指出要推进内控、风险和合规管理的监督检查评价工作，对内控体系有效性进行全面自评，促进内控体系持续优化。

一、财政部对上市公司内控检查评价的汇总分析

财政部于2019年12月发布《我国上市公司2018年执行企业内部控制规范体系情况分析报告》，对沪深两市上市公司内控报告等公开资料进行跟踪研判，全面深入分析我国上市公司内部控制规范体系运作情况。

报告从披露情况、内控评价报告结论、内控缺陷认定标准、内控缺陷数量内容、内部控制审计报告等方面分别分析阐述;同时针对党中央国务院关于防范化解重大风险、精准脱贫、污染防治三大攻坚战的决策部署，聚焦金融上市公司、ST类上市公司和重污染行业上市，对其内控体系执行情况进行了重点研究。

报告还阐述了内控评价实施存在的问题及改进建议。从内控评价报告和内控审计报告、自评和鉴证两个维度，分析上市公司内控检查评价执行情况，举例说明报告在规范性、信息可比性、标准完备性、整改持续性等方面仍存在不足。在此基础上，从政府层面、企业层面和事务所层面提出改进建议，三个方面齐抓共管、形成合力，共同健全并规范企业内部控制体系，为提高企业竞争能力保驾护航。

二、监管机构对内控工作的关注点和方法论

第一，报告体现传承性与创新性的有机结合。

一方面，延续以往惯例，报告全面分析當年上市公司内部控制体系基本情况和检查评价实施情况。披露内控评价报告企业的数量呈持续上升态势，沪深两市上市公司披露报告企业占比系近三年最高;披露的整体有效结论占比有所下降，财报/非财报存在无效、整体无效的数量和占比均略有上升。另一方面，紧跟时代主题，报告对三大攻坚战和安全问题进行独立分析，较往年有所创新。以防范化解金融风险为例，金融企业内控基础普遍扎实，但需关注市场信息不对称、 “跨市场、跨机构”等金融风险，夯实金融风险管控措施，警惕可能出现的“黑天鹅”“灰犀牛”事件。

第二，报告基础数据量大、分析方法多样，结论令人信服。

报告数据涵盖沪深全部3584家上市公司，从企业类型、缺陷认定标准、报告结论、财报/非财报等方面详细阐述分析。从结论数据来看，上市公司内控披露的全面性、科学性不断增强，深市主板、中小板和创业板的披露比例均达到或接近100%，内控部分或整体无效占比有所上升，且缺陷分布逐渐向非财报领域转移。上市公司不再为了“交作业”而“写作业”，切切实实把内控体系搭建、内控检查作为提升核心竞争力的内在动力，内控评价工作趋于成熟和理性。

第三，报告体现内控评价的整体性和联系性。

报告从缺陷认定、自我评价、审计鉴证报告等多方面进行交叉验证和对比分析，提示个别企业存在内控自评价与内控审计报告结论不一致、内控自评价有瑕疵、内控审计质量不高等现象。有些上市公司内控自评为整体有效，同时被事务所出具非标审计意见;有些企业已聘请中介机构鉴证，可年报只字不提聘请内控审计会计师事务所;还有些企业缺陷描述不清、缺陷成因和解决进展不明。随着国家监管机构信息化和大数据广泛运用，对上市企业的内控披露要求不断提高，披露成本和违法成本不断增大。

三、对内控实际工作的借鉴启示

一是不能固步自封，需要在传统思路中另辟蹊径。众所周知，20年前的COSO框架把内部控制划分为控制环境、风险评估、控制活动、信息与沟通和监督，也使得多年来内部控制一直受制于这个“经典立方体”中，变现为我国企业实际经营管理和COSO框架“水土不服”，需要我们更新观念、创新思路、与时俱进。比如，多数国企依然推崇制度管控，制度横向到边、纵向到底，但制度毕竟类似于“底线”，只能规范下限而非上限，可以尝试制度管控和文化浸入相结合，将工作规范上升到文化高度，变被动执行为主动意识。

二是全面分析研判，充分运用信息化手段。当前内部控制的两大条线是制度和流程，但在实践中往往不相统一，表现为制度未体现流程，流程没嵌入制度，执行中有冲突矛盾、更新迭代不及时。解决上述问题的关键钥匙在于“信息化”，通过信息化手段将制度流程化，将流程表单化，并把时间因素、成本因素、考核因素固化到流程结点，当制度更新优化时，流程结点和要求同步更新，能够最大程度避免合规风险，提升内控管理的效率和效果。

三是树立内控管理全局观，体现风险、内控的对立统一。风险管理基于未来视角，时刻关注潜在风险点，对不确定性进行识别、分析、应对和管理，提前预警并做好风险防范，使剩余风险处于可控状态;内部控制立足历史视角，充分利用制度和流程等有形载体，基于过去发生和现在进行的事件进行控制。但二者都体现了企业的使命和核心价值观，都为公司战略发展服务，都涉及管控措施和效果考核。在依法合规框架下，把风险管控融入制度，把流程管控嵌入制度，全面提升风控体系的科学性、实用性和可操作性，强化 “强内控、防风险、促合规”的管控目标，充分发挥内控风险的二道防线作用，加快推进企业高质量发展才是上策。

参考文献：

[1]我国上市公司2018年执行企业内部控制规范体系情况分析报告，财政部会计司等，财政部网站。

[2]关于加强中央企业内部控制体系建设与监督工作的实施意见，国务院国资委，国资发监督规 [2019]101号，2019年10月。