上市公司的内部控制与制度建设

2022-11-13孔德昌上海雅运纺织化工股份有限公司内审部

财会学习 2022年12期

孔德昌上海雅运纺织化工股份有限公司内审部

引言

制度建设是内部控制的关键，但目前对各项制度建设的具体要点论述较少，故撰写此文以抛砖引玉。

一、上市公司内部控制的发展历程

2008年5月，财政部、证监会、审计署、银监会、保监会五部委颁布《企业内部控制基本规范》，对企业内部控制的内部环境、风险评估、控制活动、信息与沟通、内部监督五个环节进行规范，要求上市公司自2009年7月1日施行，并鼓励非上市的大中型企业执行。

2010年4月，财政部、证监会、审计署、银监会、保监会五部委颁布《企业内部控制配套指引》，包括《企业内部控制应用指引（18项）》《企业内部控制评价指引》《企业内部控制审计指引》，对企业内部控制的组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统十八个环节和自我评价、外部审计进行指引，要求境内外上市公司自2011年1月1日施行，上交所、深交所主板上市公司自2012年1月1日施行，择机在中小板、创业板上市公司施行，鼓励非上市的大中型企业提前执行。

2021年3月，财政部、证监会发布《关于深交所主板与中小板合并后原中小板上市公司实施企业内部控制规范体系的通知》，要求原中小板上市公司自2022年1月1日全面实施企业内部控制规范体系，即《企业内部控制基本规范》和《企业内部控制配套指引》。

至今，《企业内部控制基本规范》已在上市公司施行十余年，《企业内部控制配套指引》已在主板、中小板上市公司全面施行，创业板、科创板上市公司亦在持续推进，我国上市公司的内部控制已基本建成。

二、内部控制与制度建设

公司制度指依据特定程序制定，用以指导公司各方面工作和各级组织、员工行为的规范性、约束性文件，包括所有成文的管理规定。研读企业内部控制规范体系文件，总结本人十余年上市公司内部控制实操经验，认为完善公司内部控制的关键是建立一套符合公司实际情况的管理制度。

我国上市公司一般有三类制度，即内部控制制度、ISO体系文件、内部规章制度。内部控制制度一般由董事会办公室、内控部门掌控，是为了公司上市需要，参照企业内部控制规范体系文件而建立。ISO体系文件一般由质量、安环管理部门掌控，包括质量管理体系文件、环境管理体系文件、职业安全健康管理体系文件，是为了通过三体系认证、获得外资客户，参照ISO标准文件而建立。内部规章制度一般由行政、人力资源部门掌控，是公司为了日常管理而多年积累的规章制度。

大多数上市公司均建有一套管理制度，但与公司实际情况的契合度常常不尽如人意，存在制度流于形式、束之高阁的情况，存在制度较少培训、难以落地的情况，存在制度相互打架、不知所从的情况，存在制度与流程脱节的情况。因此，我国上市公司的内部控制仍需加强，我国上市公司的制度建设仍然任重道远。

三、制度建设的机构设置与运作

为了加强公司制度建设，提高制度的健全性、有效性、可操作性和执行力，应建立一个制度评审机构，负责公司制度的评审、完善和监督执行。此制度评审机构可以命名为制度评审委员会，受董事长直接领导，由董事会办公室、法务部、内审部、ISO体系管理部门的负责人组成，经董事长批准可增加其他成员。

制度评审委员会应制定《制度管理办法》，对公司各项制度的起草、修订、审批、颁布、存档、培训、执行、反馈等环节进行规范，对制度的格式、编号、类型、等级、档案目录等内容进行规范。制度评审委员会每年应对公司制度（包括内部控制制度、ISO体系文件、内部规章制度等各项制度）的运行情况进行总体评审一次，出具评审报告，对需要完善的制度列明修订建议，经董事长批准后，交制度制定部门进行修订。制度评审委员会应建立“制度审批流程”，公司各项制度的制定、修订均应按照该流程进行，该流程包括申请人、相关部门征求意见、申请部门分管领导审批、制度评审委员会评审、上传报批版、最终批准人审批、上传签字批准版、档案部门存档等节点。公司主要制度的制定、修订等应交制度评审委员会评审，并根据制度评审委员会意见进行修改。公司制度出现争议或不明晰时，由该制度制定部门负责解释，制度制定部门解释后仍不能厘定争议的，报制度评审委员会裁决。

为了提高制度权威和便于传阅、学习、执行，公司制度纸质版应由起草人、审核人、批准人签字，并将扫描件交行政部门在公司OA等公共区域颁布。公司档案管理部门应将制度原件收集归档，制作制度档案目录和现行制度目录，并建立公司服务器建立制度共享盘，将公司制度分类存放，制作查看链接目录，给各部门负责人开通查看权限。公司各级人资部门负责组织制度培训工作，每年对各部门负责人至少进行一次制度培训，新入职员工须进行制度培训，培训须留存培训记录。人资部门在制度培训过程中发现或收到的问题、公司各部门在制度执行中发现的问题、公司内审部在内控检查中发现的问题，均应及时反馈给制度制定部门，制度制定部门亦应定期跟踪制度执行情况，进而及时更新制度。

四、制度建设的方法

（一）董事会办公室制度建设

遵照上市公司的规则规范，建立公司章程，建立股东大会、董事会、监事会、董事会各委员会的议事和投票规则，建立各项信息披露制度，建立总经理、董秘、独立董事的工作细则，建立控股股东、实际控制人、董事、监事、高管的行为规范。

其中，《对外投资管理制度》，规范对外投资的决策程序、审批权限、审批程序、监控、档案管理等方面。《对外担保管理制度》，规范对外担保的类型、对象、审查与审批、合同管理、风险管理、责任人责任等方面。《关联交易管理制度》，对关联交易的范围、关联人报备、关联价格确定、审查与审批程序、合同、信息披露等方面进行规范。《募集资金管理制度》，对募集资金的专户存储、使用、投向变更、管理与监督等方面进行规范。《控股子公司管理制度》，对控股子公司的设立、董监高管理、运行管理、财务管理、资产管理、法律诉讼等方面进行规范。

（二）财务部门制度建设

《财务管理制度》，对各科目会计核算、财务报告编制、财务管理体制、日常管理等方面进行规范。《货币资金和财务票据管理制度》，对现金、银行存款、其他货币资金的存放、使用、审批、盘点等环节进行规范，对财务票据的类别、内控措施、收取、支付、盘点等环节进行规范。《固定资产管理制度》，对固定资产的定义、类别、管理职责、账务核算、盘点、转移、闲置、报废、处置等方面进行规范，明确财务部门、采购部门、行政部门、IT部门、生产部门、各使用部门的职责和权限。《存货及成本核算管理制度》，对存货的采购、仓储、生产制造、成本核算、呆滞品管控、盘点等方面进行规范。《预算管理制度》，对预算的内容、编制、审批、调整、执行、考核等环节进行规范。《出差报销管理制度》，对出差申请、住宿标准、交通标准、差旅费借支、费用报销等环节进行规范。《收付款管理制度》，对付款的种类、审批权限、所需单据等方面进行规范，对收款种类、授信管理、产品赊销、应收账款监控、应收账款催收、坏账处理等环节进行规范。《筹资管理制度》，对筹资预算编制与审批、筹资方案的编制与审批、筹资方案实施等环节进行规范。

（三）采购部门制度建设

《采购管理制度》，对采购类型、采购预算、采购申请与审批、供应商选择、合同签订、合同执行、验收、付款、档案管理等方面进行规范。《供应商管理制度》，对供应商的分类、评定与准入、日常考核、年度评审、合格供方名录、档案管理等方面进行规范。

（四）销售部门制度建设

《销售管理制度》，对销售预算与考核、销售价格、合同签订、合同执行、发货、收款、业务员管理、合同管理等方面进行规范。《客户管理制度》，对客户的分类、开发与维护、客户档案、客户账期、客诉解决等方面进行规范。

（五）行政部门制度建设

《印章管理制度》，对公司印章的类型、刻制、启用、保管、使用、停用、销毁、档案、盘点等环节进行规范，明晰行政部门、印章保管部门、印章使用部门的职责和权限。《档案管理制度》，对公司档案的类别、归档程序、归档要求、保管要求、查借阅，相关纪律等环节进行规范，明晰档案管理部门、归档部门、使用部门以及母子公司的职责和权限。《办公用品、礼品和劳保用品管理制度》，对办公用品、礼品和劳保用品的类别、购买、保管、领用等环节进行规范，明晰行政部门、领用部门的职责和权限。《文件管理制度》，对文件的类别、格式、保管、保密要求等方面进行规范。《通讯管理制度》，对固定电话、移动电话、传真的开设、使用、资费等方面进行规范，对通讯录（如座机号、手机号、邮箱）制作进行规范。《接待管理制度》，对接待的类别、礼仪、会议室安排、交通、食宿等方面进行规范。《保安和门岗管理制度》，对保安人员的值班、巡逻、纪律、礼仪等方面进行规范，对门岗的员工进出、车辆进出、物品进出、外来人员来访、快递信件收发等方面进行规范。《车辆管理制度》，对车辆类别、车辆使用、司机管理、车辆维修保养、交通事故处理等方面进行规范，对班车的路线、申请、驾驶员纪律、乘车纪律等方面进行规范。《食堂管理制度》，对食堂的食材购买、食品质量、卫生与安全（如食品、炊事人员、厨房、餐厅等）、就餐管理、资产管理等方面进行规范。《宿舍管理制度》，对宿舍申请、住宿纪律、卫生管理、安全管理、宿舍检查、退宿等环节进行规范。

（六）人事部门制度建设

《员工手册》，对员工日常工作中应遵守的行为准则、规章制度进行摘录，对公司的企业文化、企业战略进行浓缩，汇编成册，一般包括礼仪守则、员工权利与义务、任职聘用、上班与考勤、考核与奖惩、福利与工资、行政管理、安全与健康、员工关系、客户关系、供应商关系等条款。《招聘管理制度》，对人员编制、招聘申请与审批、招聘过程、入职、离职、劳动合同等环节进行规范。《考勤管理制度》，对考勤类型、考勤办法、出勤时间、出勤要求、加班、请假等环节进行规范。《薪资福利管理制度》，对薪资类型、薪资结构、薪资标准、岗位职级、薪资计算、薪资发放、薪资保密、调薪、社保、福利种类、福利标准、福利享有等进行规范。《绩效考核管理制度》，对绩效指标、评分方法、考核程序、绩效计算、绩效发放等环节进行规范。《职位变动管理制度》，对职位变动种类、职位等级、职位要求、职位变动流程等方面进行规范。《奖惩管理制度》，对奖惩种类、适用情形、奖惩程序等环节进行规范。《培训管理制度》，对培训类型、实施办法、培训评价、培训纪律、培训费用等方面进行规范。《意外事故和工伤管理制度》，对意外事故和工伤的类型、报告程序、所需资料、处理标准、处理流程等环节进行规范。

（七）生产和研发部门制度建设

《生产管理制度》，对生产计划、生产过程、生产质量、生产工艺、生产考核、生产人员、车间现场管理、作业指导书等环节进行规范。《生产设备管理制度》，对生产设备的类别、购买、维修保养、电气安全、巡检、闲置、报废、处置、备品备件等环节进行规范。《仓库管理制度》，对仓库的出入库管理、现场管理、盘点管理、单据管理、呆滞品管理等进行规范。《研发管理制度》，对研发的项目立项与审批、工作流程、工作考核、研发材料管理、实验室管理、人员管理等方面进行规范。

（八）安环部门制度建设

《安全管理制度》，对安全管理的责任划分、安全要求、安全培训、安全预案、安全事件处理等方面进行规范。《消防管理制度》，对消防管理的责任划分、消防要求、消防检查、消防培训与演练、消防器材使用与管理等方面进行规范。《工作环境与卫生管理制度》，对工作环境要求、清扫与保洁、室内卫生、垃圾处理、废弃物管理、卫生设施与工具等方面进行规范。《安环巡检管理制度》，对安环巡检范围、巡检人员、巡检职责、巡检要求等方面进行规范，安环巡检范围必须包括危险化学品仓库、一般化学品仓库、危险废弃物仓库、污水处理设施、消防设施。

（九）法务部门制度建设

《法律事务管理制度》，对诉讼与非诉讼案件、法律事务咨询、法律知识培训、法律事务责任追究、法务审核程序、法务权限等方面进行规范。《合同管理制度》，对合同的拟订、模板、审核、签订、履行、变更、解除、纠纷解决、档案管理等环节进行规范，明晰合同承办部门、财务部门、法务部门、档案管理部门、内审部门的职责和权限。

（十）内审部门制度建设

《内部审计制度》，对内部审计机构的隶属、人员配置、人员要求、职责、权限等方面进行规范，对内部控制评价、信息披露、审计档案、奖惩等进行规范。《内部审计制度实施细则》，对内部审计、内部控制评价的工作内容、实施程序、出具报告、制定整改措施、跟踪整改、考核和业务文书模板等方面进行规范。

（十一）信息部门制度建设

《信息化软件管理制度》，对信息系统的类别、使用权限管理、密码管理、操作要求、数据安全、测试与维护、需求改进等方面进行规范，对无线网络、宽带、网络访问权限、病毒防治等方面进行规范，对网站、微信公众号、微信群、邮箱、OA的使用与维护进行规范。《信息化硬件管理制度》，对电脑、服务器及配件耗材的申请、审批、购买、领用进行规范，对电脑、服务器的维修、升级、回收、软件安装、日常检查、机房管理、电源安全等进行规范。《公司流程管理制度》，对OA系统、财务系统、CRM系统等信息系统中的流程需求、流程设定、流程调整、流程审批、流程执行、流程撤销、流程评审等环节进行规范，明晰信息部门、流程主控部门、人事部门、流程评审部门、各使用部门的职责和权限。