周 洁

（重庆两江城市电力建设有限公司，重庆 401120）

随着市场经济的繁荣发展，越来越多的公司进入资本市场，部分上市公司出现了财务造假、信息披露不合规等问题，严重破坏了资本市场健康的经济秩序，也给自身造成大额罚款、通报警告、摘牌等负面影响。因此，上市公司必须客观认识风险和收益的动态关系，通过加强内部控制来约束和规范各项经营活动，以有效防范经营风险，提升管理效率，满足全球市场监督要求，推动企业稳定快速发展。

一、上市公司内部控制概述

（一）内部控制的内涵

内部控制是上市公司股东、董事会、管理层和其他员工为实现企业目标而实施的动态管理过程。通过构建良好的内部控制环境和建立完善的内控体系，有效推进内部控制活动的实施，可以加强过程监督与事后评价，避免或减少经营损失风险，保证既定目标的达成。

（二）内部控制构成五要素

内部控制的五要素为组织目标的实现提供支撑，包括控制环境、风险评估、控制活动、信息与交流及内部监督。

1.控制环境

控制环境是内部控制的基础要素，是包括组织结构、权责分配、企业文化、人力资源政策以及内部审计机构等内部物质及文化环境的总和。只有以功能完善的内部环境作为支持，才能够有效地开展并落实各项内部控制策略。

2.风险评估

风险评估是内部控制的关键，其能通过科学的辨识与评估来预测企业发生风险的可能性，进而降低各类风险带来的不利影响。

3.控制活动

控制活动是内部控制的核心环节，通过控制活动可以对企业的内部与外部环境进行分析，对内部资源进行优化配置，进而提高企业对外界各干扰因素的抵抗力，具有持续性及动态性的特点。

4.信息与交流

信息与交流是内部控制的重要纽带，企业所有经营活动均离不开信息的支持。内控人员需要及时、准确地掌握企业的经营管理信息，并采取适当方法实现信息的传递与共享，提高信息的利用效率，为企业内部控制提供支持。除了对企业内部信息进行收集管理以外，相关人员还要重视对外部信息的利用，不仅需要在企业内不同层级之间建立有效的信息沟通渠道，还要保证与企业外部供应商、顾客、政府机关等对象的有效沟通。

5.内部监督

内部监督是内部控制的重要保证，通过建立完善的内部监督制度，对各项经营活动实施有效监控，并及时对管控成果进行总结与评价，能够使内部控制的实施更加科学合理。

（三）内部控制的作用

1.确保国家法律法规的贯彻执行

上市公司监管的法律框架包括证券市场相关法律、行政法规、证监会和国务院其他部委发布的部门规章、证券交易所发布的自律性规范文件等，上市公司加强内部控制可以使企业严格围绕国家最新的相关规定开展经营活动，有效保证国家政策、方针在企业中的有效实施。

2.确保财务报告准确可靠

财务报告可以为企业投资者、企业管理者、债权人等提供上市公司经营状况的有效信息，财务报表编制必须严格遵循公认的会计准则，信息披露应当全面真实。通过加强上市公司的财务核算流程、岗位职责分工、财务报告审批等内部流程，可以提升财务报告信息质量，确保会计政策适用的准确性，数据来源的真实性，信息披露的及时性，让财务报告使用者能充分了解公司的经营动态和财务状况等。

二、目前上市公司内部控制存在的问题

（一）公司内部治理结构不完善

第一，上市公司普遍存在集权严重的问题，在重大资金使用、重要资产处置、管理人员人事任免、融资决策制定等重大事项的集体表决上过于形式化，未能真实反映公司的决策方向；第二，管理层对内部控制不够重视，其未能充分意识到内部控制对风险防范的重要意义，错误地认为事前报批、调研等繁琐的流程会阻碍其快速决策，导致企业员工对内控管理也存在抵制情绪；第三，忽视企业文化建设与人才梯队搭建，企业员工凝聚力不够，未能真正激发员工的积极性与创新精神。

（二）公司内部控制制度不健全

内部控制制度不健全主要表现为内控制度设计缺陷和内控制度缺失两个方面。第一，公司管理层对公司发展定位理解不透彻，未能紧随公司战略目标制定行之有效的内控制度，导致内控重心偏移；第二，职能部门间缺乏信息交流，未形成有效的闭环机制，甚至出现部门间制度相互矛盾的情况。第三，内控制度设计不全面，无法涉及风险的各个环节，出现风险盲区，导致个别经营活动的实施无制度可依，致使经营风险出现的可能性增大。

（三）内部控制执行力度不高

企业各项业务控制活动应以内控制度为指引，但实际执行过程中，员工往往未依照制度逐步落实，导致制度流于形式，未能充分发挥内部控制的作用。如股东会决议内容表述存在歧义，可能产生不符合股东意图的风险；内部考核指标欠缺，导致回款、成本控制等关键事项缺少责任落实和绩效考核机制，影响了公司整体的运营质量等。

（四）缺乏风险意识与风险评估体系

上市公司的发展面临各方面的风险，需要通过有效的控制手段以削弱风险的影响程度，然而部分上市公司缺乏风险意识，缺少风险评估体系，以致其抵御风险的能力较弱，随着经营活动的展开，最终会导致风险隐患难以控制。

（五）信息披露质量有待提高

信息披露是上市公司对投资者及公众履行的重要职责之一，是外界获取上市公司信息的重要途径，部分管理者对信息披露的范围、期限认识不到位，未能及时有效的履行信息披露义务，或是为了自身利益刻意隐瞒有关重要信息，导致信息披露过于被动，信息披露质量不高，缺陷较大。

（六）缺乏有效的内部监督机制

有效的内部监督机制是内部控制工作的有力保障，很多上市公司虽实施了内部控制，但由于缺乏内部监督导致内部控制质量不高。从外部审计监督来看，外部审计人员的主要职责是以专业的质疑态度制定审计计划并实施审计方案，以便获得关于组织的财务报表是否存在重大错误或错报的合理保证。虽然注册会计师在出具审计报告前会对被审计单位进行内控审核，但由于审核时间短、专业化水平不高等原因，外部审计难以深入公司管理的各个环节，导致内控实施效果评价缺乏针对性。从内部审查监督来看，内部审计机构缺少独立性和权威性，人员较少，难以对内控管理效果进行有效的客观评价，有的上市公司甚至不重视内部审计工作，致使审计监督作用没有得到充分有效的发挥。

三、上市公司内部控制的优化建议

（一）改善上市公司内部治理结构

第一，依法构建股东大会、董事会、监事会、高层管理者以及审计部门等相互制衡的内部监管体系，完善公司的内部组织结构。第二，董事、监事、高管的任职条件要合规，会议召集、出席人数、表决程序等要合法。第三，公司应当重视企业文化宣传和人才培养，可以通过举办公司团建活动等方式，增强公司内部的凝聚力；并通过开展知识竞赛、技能比拼、优秀事迹评选等活动，调动员工的积极性与能动力。

（二）重视内部控制并落实管理责任

首先，单位负责人要深刻认识到内控控制是规范经营活动、降低经营风险、提高管理效益、保证企业战略目标顺利实现的重要举措，必须带头组织本单位搭建内部控制体系，并建立内控责任机制，将内控成果作为管理业绩的有效支撑。其次，需要将内控管理目标细化分解到部门，落实责任人并与个人绩效挂钩，使内控管理职责嵌入公司每一位员工。

（三）明确控制目标，完善制度建设

内部控制目标的重心是通过建立内部控制制度有效的搭建决策、执行及监督机制，以保证经营目标得以实现。企业应当根据现有的法律法规结合公司发展战略，对各项经营活动制定行之有效的流程制度，从经营活动事前评估到事后评价，涵盖经营活动的整个经营周期，并根据企业不同时期的经营特征，不断提高内控制度体系建设的完善度与合理性，定期修订以切实符合当前企业发展战略的管控目标。

（四）高效履行内部控制职能

1.以内控制度为指引，落实内控流程

公司全体员工应当以内部控制制度为指引，各司其职，对公司的各项业务活动实施动态管理，如规范招投标、资金授权审批、岗位职责分离、安全风险防范等，逐步落实内部控制的各项流程及签批手续，保障内控制度的有效实施。

2.利用预算管控手段，充分发挥监督职能

预算可以帮助企业进行合理的资源配置，有效保障既定目标的实现。首先，预算编制应当与企业发展战略保持一致，以支撑企业经营目标落地，需要全员参与预算编制过程，共同规划企业发展方向，制定各项预算指标。其次，应将年度预算进行月度分解，对经营活动实施过程监管，分析实际与预算的执行偏差并向责任方提供反馈；通过编制连续性的滚动预算，并与年度预算进行比较，及时掌握影响年度目标达成的重要构成因素，定期对预算假设发生重大变化的部分进行预算调整。最后，对预算执行情况进行分析与评价，严格实施年度绩效考核奖惩机制。

3.加强企业信息化建设

信息沟通是内部控制有效实施的重要基础，经济活动的开展离不开生产、营销、财务、人事等部门的多方协同合作，通过有效的沟通可以正确传递信息，实现信息共享，让业务流程更加顺畅，还可以整合会计、业务、审计等部门的制度规划以及总结报告，让内部控制效果能协调统一，此外，信息化建设还能减少差错，提高工作效率，是加强内部控制与风险防范的重要手段。

因此，首先，企业可以通过建立先进的ERP和OA系统，对数据进行自动统计分析，以缩短基础业务的人工耗时并减少人为失误；实现部门间的信息传递和资源共享，加强部门间协同；满足移动办公需求，实现高效线上签批的要求；统一会计科目的使用标准，提高数据提取的准确性等。其次，对信息化操作权限进行分批授权、交叉审核，以防范技术风险和计算机犯罪。此外，还需加强信息系统的后期维护管理，以保障信息数据的安全。

4.提升相关人员素质

人员素质是影响上市公司内部控制实施的关键因素，公司应当重视人员素质的提升，在人员聘用方面，不仅要考核其业务能力的高低，同时也要注重对人员职业道德的提升及法制观念的培养。在人员安排方面，要定期进行工作岗位轮换，通过轮岗及时发现问题，抑制不良动机的萌生；建立员工激励、职位晋升、淘汰机制，以充分激发人员的积极性和责任感；可以通过视察、开会、汇报工作报告等方式定期对人员进行测评，及时掌握员工动态。

（五）强化风险防范意识

首先，上市公司应通过开展或参与内外部相关培训，如举办安全防范、合同风险防范、资金管理风险防范、税务风险防范等课程，增强员工的风险意识。其次，全面梳理公司存在风险的环节，建立风险数据库，根据风险发生的频率及危害程度将风险分为重要风险、中等风险、轻度风险，将风险防范责任落实到部门及相关责任人，并提出风险防范措施。再次，正确判断风险性质，将风险划分为定性风险和量化风险。针对定性风险如员工离职等，定期进行风险排查，对重要风险要增加排查的频率，拓展排查的深度。针对量化风险，可依据潜在的损失额、发生损失的概率以及控制措施无效的概率等因素对风险损失进行量化，对引发风险的因素进行深度分析，以采取应对措施控制或削弱风险损失程度。最后，定期对风险管控效果进行评价，建立奖惩考核机制。

（六）加强内外部监督

上市公司内部监督由内部监督和外部监督两部分构成：

在内部监督方面，一是要依法成立监事会，明确监事会的职能职责，充分发挥其监督管理职能；二是企业应当设置独立的内部审计机构，由其直接向董事长汇报，以保证内部控制效果；重视内审人员的专业技能和品格素养的培养，使其拥有公平、公正的工作态度以及高度的工作责任心；三是建立内部控制评估系统，定期开展内控检查，出具整改意见书，辅助企业及时弥补漏洞、排查隐患，落实相关责任人，督促缺陷整改，形成年度OKR评价的重要指标，并与年度绩效指标挂钩，以提高管理者的重视度。

在外部监督方面，企业应当与口碑好的外部审计中介机构建立长期合作机制，利用其专业性为公司梳理内控流程，从第三方视角进一步深挖问题给出指导意见，同时应当加强年度审计报告与内控审计的联系，确保年度审计报告基础数据的准确性和合理性。

四、结束语

上市公司要正确认识并利用好内控工具建立风险屏障，助力公司快速发展，以有效防范运营过程中的风险，避免或降低风险损失，保证企业经营业绩的稳定提高。内部控制是长期持续的过程，从政策层面到公司执行层面都要随着市场经济的环境变化不断完善，以提高上市公司在激烈竞争市场中的持续竞争力，推动企业更好的发展。