上市公司内部控制建设与评价若干问题的探讨

一．内部控制是什么？

当前，“内部控制”一词是一个非常热、也有点“泛滥”的词语。在一定程度上，这反映了对内部控制本身的重视，也反映了出了一些过度的期望和曲解，也是过犹不及的。我们认为：

内部控制不是简单的制度汇编，搞内部控制建设也就不是编内控制度，更不是照搬别人现存的制度。别人成功的制度，不能根本上解决自身的问题，原因在于每一个企业的内在机制和环境不同，所以照搬制度只能解决形式上的问题。

内部控制也不能包治百病。内部控制作为一种管理方法或管理工具的形式，它的目标从保证资产的安全、完整，过度到保证财务报告的可靠性、法律法规的遵循性，再到提高企业经营的效率和效果，这是提高企业核心竞争力的重要手段；当然，企业发展还有很多外在的因素，如市场、供应商、客户以及竞争对手等，这些要靠外部控制，所以也不是“一控就灵”，但良好的内部控制能增进把握外部机会的能力。

我们理解：从性质上，（1）内部控制是企业的一个保障机制。一般来说，我们要求内部控制能够保证财务报告可靠，保证企业和管理层对于法律法规的遵循。正因为这样，各上市公司监管机构把它作为一项指标纳入信息披露范围。也就是说，用内部控制来给企业“贴标签”，从而给投资者一个关于公司管理水平的鉴证报告；（2）现代的内部控制也是增进企业盈利的手段。

从形式上，内部控制是贯穿企业管理全过程、包含企业经营环境、各业务流程、相应的风险点、关键控制、风险数据库、沟通机制、信息系统、监督体系等全方位的管理活动。它在过程中体现为业务环境的分析、流程的梳理、制度的建立、数据库的维护、例外事项的改进以及管理信息化的实施等阶段。

二．上市公司需要什么样的内部控制？

和企业财务报告不同，所有的企业不可能按照同一个模式来设计自身的内部控制。所以各监管机构就通过发布指引的方式，为各上市公司内部控制建设指明方向。因此，上市公司需要的内部控制应该是：（1）首先符合自身特点，满足自身管理需求；（2）同时又能满足监管需求的内部控制。一般来说，前者是终极目标，如果一个企业的内部控制不能满足自身管理的需要，而仅仅去迎合监管要求，这是一种枷锁，所以美国的上市公司会计监管委员会（PCAOB）也只是推荐使用COSO模型；后者是监管者的最低要求，所以一般企业在建设内部控制时，都会考虑到监管者的要求，同时结合自身的特点去设计自身的内部控制。

因此，上市公司的内部控制建设要做好三大功课，一是分析企业本身，二是熟悉相关法规，三是在此基础上选择和设计上市公司自身的内控体系框架。本文试图探讨第二和第三部分的问题。

（一） 国内关于内部控制的法规有哪些？

目前主要有：

1. 《上市公司证券发行管理办法》第六条 公司公开发行证券的条件中明确规定，“公司内部控制制度健全，能够有效保证公司运行的效率、合法合规性和财务报告的可靠性；内部控制制度的完整性、合理性、有效性不存在重大缺陷”，并且要求公司在证券发行的申请材料中提交由会计师事务所审核的《内部控制审核报告》。

2. 《上海证券交易所上市公司内部控制指引》（2006年7月1日起施行）和《深圳证券交易所上市公司内部控制指引》（2007年7月1日起施行）均对在本所上市的公司内控建设的目标、内容、范围、内部控制的要素以及内部控制的监督和信息披露均提出了具体的要求。这也是上市公司内部控制建设必须达到的最低标准。

3. 《中央企业内部控制评价暂行办法》（尚处于征求意见稿阶段）对中央企业集团控股的上市公司内部控制建设和评价也作了规范，对企业内部控制的标准、原则、内容、程序和工作组织等均提出了具体的要求。

4. 其他的法规主要包括：《会计法》、《内部会计控制规范》、新《中华人民共和国证券法》、新《公司法》、新《企业会计准则》、新《注册会计师审计准则》、《商业银行法》等。

（二） 上市公司内控建设选择什么样的模型或框架体系？

分析《上证指引》和《深证指引》，二者基本上都采用了COSO内部控制框架，我们认为这也是目前我国上市公司建设内部控制比较好的成熟的模式。

COSO内部控制框架作为美国SEC和PCAOB推荐各上市公司使用的内部控制模型由“三个控制目标”和“五个构成要素”构成，即经营的效率与效果、财务报告的可靠性、法规的遵循性三个控制目标；控制环境、风险评估、控制活动、信息和沟通、监督等五个构成要素。如何应用COSO框架，结合我们为在美国上市的中国石油天然气股份有限公司经验，我们认为在设计上框架上，包含以下四大要素的内部控制体系基本能够满足上海、深圳证券交易所监管的要求，主要包括：

1. 公司层面控制层面：包括控制环境（含组织机构图、权限指引表）、风险评估过程、经营活动分析、信息与沟通、信息披露、内部审计、反舞弊7个方面，共17个主题；

2. 业务活动层面控制层面：包括风险数据库、基本业务流程目录、以及业务操作中重要业务流程的业务流程图、风险控制文档、控制程序文件及其相关文件；

3. 信息系统总体控制和应用系统控制层面：信息系统总体控制和应用系统控制；

4. 需要补充和完善的规章制度，包括企业管理和经营活动各环节的各项管理制度。

（三） 《上证指引》和《深证指引》的内部控制框架的主要区别是什么？

《上证指引》、《深证指引》规定均与COSO内部控制框架基本一致。二者主要的区别如下：

1．基本目标

三．上市公司如何开展内部控制建设工作？

根据我们的经验，内部控制建设需要以下几个必要的基础：

1．聘请有专业经验，并熟悉该公司业务流程，具有审计基础的会计师事务所参与内部控制建设，组成上市公司内部专家和外部咨询专家相结合的联合项目组。

2．领导的高度支持，并指定专门的机构和专人负责；

3．全公司各部门及全体人员的配合和参与；

4．需要一个相对较长的周期，分阶段进行，不可视为一两个月搞个制度就完成了；

在实践中，我们建议：首先应该在分析和确立本公司经营目标的基础上，对公司的风险进行全面分析，并按照风险的优先顺序划分属于准确性、完整性、有效性、合法性等控制特点的业务活动，在此过程中遵守相互牵制、协调配合、岗位匹配、成本效益、整体结构五大原则，为职责分工、实物接触控制、内部核查、充分的书面记录、恰当的授权提供有效合理的保证。

一般，我们采用“五步法”为企业设计内控体系。

四．上市公司如何开展内部控制评价工作？

建设了一个良好的内部控制体系之后，要定期地对企业内部控制进行评价，以发现企业内部控制的缺陷和风险，并同时不断地改进和完善企业的内部控制，即监管机构经常说的“以评促建”，因此从广义上说，也属于企业内部控制建设的范畴。

根据《上证指引》和《深证指引》，上市公司的内部控制至少包含三个环节的评价，即：企业内部专职的内控监督检查机构或内审部门的定期和不定期评估，形成内部审计报告或内控检查监督报告；监事、独立董事或董事会对内部审计报告或内控检查监督报告进行评估，形成内部控制自我评估报告；会计师事务所根据主管部门的规定，即审计准则的有关要求，对内部控制自我评估报告进行核实，出具评价意见。这三种评价中，最重要的是注册会计师的内部控制评价工作，对于企业内部控制自我评估报告的核实评价意见将与企业财务报告、内控自我评估报告一同对外披露。

如何做好内控评价工作呢？结合我们长期参与中国石油的内控评价以及接受国资委、北京市证监局等机构委托参与中央企业、上市公司内控评价的经验，我们认为，做好企业内控评价工作，应做好以下几个方面的工作：

1．建立完善的评价体系和模型。一般来说，主要有用打分来评价企业内控设计是否合理和运行是否有效的定量方法和缺陷描述并进行披露的定性方法。从《上证指引》、《深证指引》来看，采用了缺陷描述的方法，要求企业对于重大缺陷和重大损失进行披露。但中央企业及其上市公司正在酝酿打分的评价模型。

2．建立缺陷认定和分类、测试范围、抽样频率、例外事项分类等技术标准。即如何定义和确认存在的例外事项，如何确定内控测试评价的范围，如何确定具体抽样的样本总体和样本量，如何认定发现的例外事项是否一般缺陷、重大缺陷等，这些技术标准的建立需要和外部审计时共同讨论，这也是注册会计师最后发表内部控制核实评价意见的标准。

3．设计、完善的工作底稿和评价工具。这是企业、会计师事务所共同开发完成的工作，以保证测试的规范性。从《上证指引》、《深证指引》来看，都要求按照档案管理要求保留内控评价的工作底稿，上海规定10年，因此，对于工作底稿、评价工具的开发和设计是非常重要的。

4．制定完善的评价工作方案。包括评价总体方案、技术方案、组织方案（工作组织、人员安排、时间进度）、具体工作计划等。

5．进行人员培训，开展评价工作，撰写评价报告。

五．上市公司内部控制建设应该注意哪几个问题？

1．如何处理好现有管理制度和新的内控体系之间的关系？

内控体系是从风险管理的角度对现有的企业管理体系进行梳理和完善，因此，上市公司内控体系建设不是全盘否定现有的管理制度，更多的是按照风险管理的思路，补充和完善现有的管理体系，使其更加体系化。

2．内部控制仅仅是财务部门的事情，与其他部门无关？

这是一个比较普遍的误区。由于企业的所有业务操作最终都会在财务信息中体现，所以财务部门是内控的核心部门，但这并不表示内控仅仅是财务部门的事情，与其他部门无关。

从COSO框架、《上证指引》、《深证指引》中关于内控的定义我们可以看出，内控是公司董事会、管理层和全体员工共同参与的一项活动，每一个人都对内部控制负有责任并受到内部控制的影响。从内控涉及的业务层面看，内控涉及到公司各业务环节层面。由此可以看出，内控建设需要企业的全员参与，是全体员工的共同责任，而不仅仅是财务部门的事情。

3．内部控制要控制到多细，是不是越具体越好？

有人主张内部控制应该事无巨细，都一一在内控管理文件中进行规范，导致了内控制度出现繁琐、形式化的倾向。这违背了内控建设提高经营的效果和效率目标的要求，没有结合企业的实际经营管理需要，也不符合可操作性、成本效益原则。我们认为：在内控的建设过程中，设计者应该对企业进行深入全面的了解，在原有企业经营管理的基础上优化业务流程、控制风险，重点对重要业务流程和重要风险进行控制，区分企业风险顺序和重要程度进行设计，不能脱离企业的实际，搞成繁文缛节。

4．如何利用外部智慧？

有人主张全部交由外部机构操办，这样简单、高效、可以解决自身不好解决的问题，相对成本也低；也有的人主张全部由内部人员设计，这样熟悉情况、自己设计的自己执行也好。其实，这些优点都是作为建设内部控制的企业所希望达到的，方法就是：建立外部专家和企业内部专家结合的联合工作团队。

企业作为内部控制的主体，充分了解自身的实际情况和目标，这为内部控制建设提供一个合理、可行、有效的基础。而中介机构作为参与企业内部控制建设外部人员，可以充分发挥其专业经验和作为内部控制评估机构的优势，可以保证内部控制建设的专业标准。因此建立外部专家和企业内部专家共同工作的联合团队是建设有效的内部控制的必经之路。