孙晓双 李锐

摘 要：近年来，国家对上市公司的内部控制越来越重视，先后出台一系列规章，逐步构建了内部控制规范体系。上市公司的内控制度建设不仅要满足合规要求，还要符合企业发展中防风险、夯基础、提效率的要求。本文针对上市公司内控制度体系建设，重点围绕企业内控制度设计和实施中应注意的问题，系统的阐述了各项应对措施。

关键词：上市公司;内控制度;体系建设

近年来，国家高度重视企业的内部控制建设工作。上市公司建立有效的内控制度，首先是要满足监管部门的合规性要求，其次还要把“防风险、夯基础、提效率”做为基本目标，形成各部门之间相互制约相互监督的体制，提高企业的内部管理效率，更大程度地保证企业内部经营管理的有序性和企业资产的安全性。上市公司内控制度的设计和实施，是满足内外部要求的关键。

一 、企业内控制度设计应注意的问题

企业内控制度的设计，既要满足外部监管要求，又要要保证其能切实可行地为企业的内部管理服务，符合企业自身的特点和经营发展的要求，因此，内控制度设计是至关重要的第一道关，应该注意以下问题。

1.企业内控制度必须符合国家关于企业内部控制规范体系的要求

公司法第四十六条规定“董事会负责制定公司的基本管理制度”，第四十九条规定“经理层负责制定公司的具体规章”。2008年5月，财政部联合证监会、审计署、银监会、保监会发布了《企业内部控制基本规范》（财会[2008]7号），自2009年7月1日起在上市公司范围内施行。基本规范共七章五十条，主要包括：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。基本规范确立了中国企业建立和实施内部控制的基础框架，定义了企业内部控制的概念，阐述了内部控制的目标，确定了内部控制的原则（包括全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则），建立了以企业为主体、以政府监管为促进、第三方评价审计为组成部分的内部控制实施整体机制。为配合《企业内部控制基本规范》的落地实施，2010年4月，财政部等上述五部委又联合发布了《企业内部控制配套指引》，该配套指引包括《企业内部控制应用指引》（18项）、《企业内部控制评价指引》和《企业内部控制审计指引》，这一系列的配套指引，细化了企业内部控制建设的指导框架。《企业内部控制基本规范》及其配套指引的发布，标志着中国企业内部控制规范体系基本建成。由此看来，不断完善企业内部控制不仅是上市公司提高自身竞争能力，实现经营及发展目标的有力保障，也是各监管部门的要求。

建立内部控制制度，首先要搞清楚什么是内部控制。《企业内部控制基本规范》中指出“内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”、“内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。”

2018年9月，中国证监会颁发了《上市公司治理准则》（证监发〔2018〕29号），第九章“信息披露与透明度”第九十四条规定“上市公司应当建立内部控制及风险管理制度，并设立专职部门或者指定内设部门负责对公司的重要营运行为、下属公司管控、财务信息披露和法律法规遵守执行情况进行检查和监督。”、“上市公司依照有关规定定期披露内部控制制度建设及实施情况，以及会计师事务所对上市公司内部控制有效性的审计意见。”

做为内控制度体系的设计者，只有清楚和掌握国家关于内部控制规范体系的要求，才能有的放矢的确保内控制度在管理层面合规。

2.企业内控制度必须体现上市公司的独立性

《上市公司治理准则》（证监发〔2018〕29号）第六章“控股股东及其关联方与上市公司”第二节“上市公司的独立性”第二十八条“控股股东、实际控制人与上市公司应当实行人员、资产、财务分开，机构、业务独立，各自独立核算、独立承担责任和风险。”因此，上市公司的内控制度必須体现这个原则，不允许出现任何报控股股东审批的要求，否则就属于制度设计层面的违规。此问题在一些大型集团公司经常遇到，对于自己投资成立的上市公司，母公司理所当然的认为可以完全掌握，尤其是涉及人、财、物等重要的经营生产要素，都要求报母公司审批，这种做法已经触碰了违规的红线。

3.企业内控制度设计应以风险为基本导向

风险管理是企业内控管理的重中之重。随着经济发展的全球化，企业竞争日益激烈，环境变化的不确定性加剧。不少企业由于对风险管理不重视，致使企业遭受巨大损失，甚至因此倒闭。如新加坡中航油事件，中航油事件被认为是继1995年巴林事件后最大的经济丑闻，由于领导人不按照内部风险控制规则进行操作， 致使在石油衍生品交易中亏损额高达5.5亿美元，最终导致新加坡中航油公司向法院申请破产保护。这些案例均在警示企业高层管理人员，必须牢固树立全面风险意识。国资委发布的《中央企业风险管理指引》中指出，风险分为战略风险、财务风险、市场风险、运营风险和法律风险。企业要通过内部控制来规避风险，这就要求企业在内部控制制度的设计过程中坚持以风险为导向，考虑企业经营管理的每一个环节，有效分析企业日常活动中存在的风险，并合理地评估风险，然后通过内部控制手段防止风险的发生或是将风险控制在一定范围内，以减少风险发生可能带来的损失。

4.企业内控制度体系架构应分层分类设计

上市公司高层管理人员要对内控制度合理规划，内控制度体系按照其效力大小，一般分为三个层面：第一个层面基本制度，包括公司章程、董事会议事规则、监事会议事规则、经理层议事规则、“三重一大”等公司治理方面的制度，是上市公司规范运作的基本规则;第二个层面是业务制度，包括人力资源、财务管理、设备管理、制造管理等经营管理方面的制度，是公司确保经营生产高效运行的基础和保障;第三个层面是管理细则，公司各部门依据前述两个层级的制度，结合实际细化、补充后具有较强操作性的部门文件，或者是针对本部门独有的业务制定的实施细则。以上三个层面的制度，审批层级不同，基本制度由董事会审批，业务制度由经理层审批，管理细则由职能管理部门自行审批。每一层面的内容不得与其以上层面的内容相违背。公司应重视对内控制度的持续完善，结合法规及监管环境的变化、业务的发展、以及公司风险控制的要求，不断增强制度的完备性、有效性。

5.企业内控制度应具有较强的可操作性

内控制度只有得到有效实施，才能达到应有的效果。因此，在设计内控制度过程中，要确保其具有很强的可操作性。如果设计的内控制度只是表面看起来完善，却不具备可操作性，必然会导致内控制度或束之高阁，或在实行中大打折扣，完全背离了我们建立内控制度的初衷。因此，设计者在设计建设内部控制制度时，首先组织业务骨干负责制度的起草，制订过程中要充分考虑每一个环节、每一个制度是否能在当前的企业环境下开展，对员工的日常工作活动是否具有约束力。其次，在制度草案形成后，企业高层要组织相关人员进行研讨，对各个部门职责进行确定，针对关键业务流程、风险点进行分析，堵塞漏洞，然后反复修改完善，杜绝制度设计缺陷。第三，制度草案还要广泛征求制度配合实施部门以及执行人员的意见，杜绝制度带病下发，消除内控制度在执行环节的阻力。

二 、企业内控制度在实施时应注意的问题

在对内部控制制度进行精心设计之后，要确保内控制度的有效实施，让内控制度在企业的内部管理中真正发挥作用，还要注意以下问题。

1.提高认识，重视内控制度的建设

良好的内控制度体系是企业各项管理工作的基础，是企业持续健康发展的保证。上市公司管理层应提高对内控制度重要性和紧迫性的认识，把企业各项管理工作都建立在健全、完善的内部控制的基础之上，通过内控制度将公司治理、经营生产、责任考核、防范财务和经营风险等其他各项经营管理工作有机结合起来，做到相互促进、相互补充、不留漏洞，相得益彰。同时，上市公司高层要将风险管理理念融入企业管理中，并将这种观念逐级传导下去，让各级管理人员逐步形成风险意识，在工作中主动发现风险点，将防范措施固化到内控制度中。只有各级管理人员思想上足够重视，才能确保内控制度的建立和实施取得实际效果。

2.内控制度应及时修订，适应内外部发展变化

内控制度体系建设不是一劳永逸的，是一项永无止境的工作。内控制度体系构建不仅要覆盖各项业务领域，同时还要对各个经营活动科学把控，让内部控制满足完整性要求，从而发挥应有的作用。在实际过程中，上市公司应结合公司实际运营状况，根据公司所处的运营环境，对现有的内部控制制度适当调整改革，保证内部控制制度的完善性和实效性，形成统一、完整的内部控制管理格局。当外部市场环境发生变化时，内控制度也要进行相应的调整， 防止企业的管理制度滞后，影响企业发展。

3.加大内控制度的宣传力度，提高制度执行力

内控制度设计再完美，得不到认同并严格执行就毫无价值。对执行者而言，要充分理解制度内容并对其认同，才能有效执行，因此就体现出内控制度培训、宣传、推广工作的重要性。其次加强内控管理理念宣传，指导员工真正了解内控制度的意义所在，辅导员工深入学习领会内控制度内容及精髓，帮助员工提升职业技能和综合素养，调动员工积极性，充分发挥自身能力，让全体员工都能积极的参与到企业内控管理中。各部门之间的沟通是促进企业内部机构正常运转的重要枢纽及渠道，部门之间沟通不畅直接影响到信息的传递，上市公司应结合内部组织架构及管理方式建立有效沟通机制，保证部门之间沟通顺畅，分工到位，责权明确，才能进一步提升公司经营效率。

4.建立内控监督评价机制，确保内控制度的落施效果

在内控制度的实施过程中，要确保每项内控制度被切实地执行且效果良好，对内部控制过程就必须建立监督评价机制。為此，上市公司应结合企业风险管理“三道防线”的做法，将监督评价与其有效融合。所谓“三道防线”，即企业的业务部门作为前端部门是风险管理的第一道防线;企业风险管理职能机构作为风险管理的第二道防线;企业的内部审计职能机构作为风险管理的第三道防线。在此基础上，企业内部监督评价机制还要增加基层单位这一道防线，所有制度的执行都要在基层落地，因此基层单位是整个内控体系中的重要环节。基于以上认识，上市公司应建立“横向到边，纵向到底”的监督评价机制，既基层单位自查、职能部门专业检查、内控体系建设部门联合检查、审计及第三方实施内、外部审计检查。在各层级监督评价活动中，应重点关注影响公司主要风险和关键业务流程的经营活动，如大宗物资采购及工程建设的招投标、重要合同的签订和实施、公章的使用等，对财务部门相关账目要进行定期审计，详细盘点各项资产，保证企业的经营活动符合内部控制的规定。实施监督评价的部门应当组织存在问题的单位制定整改措施，同时跟踪监督评价的进度和总体效果，一旦出现违反规定的行为要依据制度采取相应的惩处措施。

三 、 结语

在上市公司开展内控制度体系建设，可以有效促进企业的规范管理，确保企业在符合监控要求的基础上，形成企业内部各部门、员工之间相互制约、相互监督的体制，可有效防止企业经营管理中出现的风险，从而提高企业抗风险能力，确保企业实现经营发展战略目标。

参考文献：

[1]黄丽华.论上市公司内部控制制度的有效构建[J].企业研究，2012：36-37.

[2]范国华.关于中小企业内部控制制度建设的思考[J].中国市场，2011（28）：74-75.

[3] 王书珍，王淳.上市公司内部控制缺陷的识别认定研究 [J].长春大学学报，2019 （09）：31-36.

作者简介：

孙晓双（1973年7月），男，汉族，籍贯：河北唐山，高级经济师，研究生，北京首钢股份有限公司，研究方向：企业管理，单位在北京，邮编：100041