我国上市公司内部控制失效分析及对策(下)

我国上市公司内部控制失效分析及对策(下)

我国上市公司内部控制现状失效成因

1外部成因

法律不完善

关于内部控制建设的指导性的法律，有1997年中国人民银行发布的《加强金融机构内部控制的指导原则》，2001年证监会发布的《证券公司内部控制指引》和2001年财政部颁布的《内部会计控制规范》等。但是我国还没有对企业建立健全内部控制制度出台强制性规定的法律，比如《中华人民共和国会计法》只规定了“各单位应当建立健全本单位内部会计监督制度”。

而对于由内部控制所引起的高管越权、大股东占款等问题则规定的少之又少。比如中航油巨亏事件暴露后，新加坡立即进入由新加坡商业事务调查局、新加坡金融管理局和新加坡交易所负责的刑事调查程序。在调查过程中，中航油新加坡公司总裁陈久霖被拘捕，同时中航油另外四名高管的护照被新加坡警方收缴，并限制出境。而在国内，竟没有首先进入法律程序，追究相关责任人的法律责任，而是先进行重组，再追究责任，明显我国法律存在程序上的不合理，给相关责任人逃脱处罚的机会。

证监会监管不利

中国证券监督管理委员会是上市公司的法定监督管理部门。证监会负责制定发行证券的规则、审核并监管企业发行证券。但在实践运行中，证监会的监管作用并没有对上市公司十分有效，主要由于一处罚不及时，二处罚力度小。

2004年12月，证监会对合肥丰乐种业股份有限公司作出处罚。原因是该公司自1997年至2001年利用募集资金38300万元和自有资金30500万元进行证券投资，虚开销售发票虚增利润15800万元，将证券投资转回收益11124万元冲销费用虚构利润。时隔三年，证监会的处分早已起不到惩前毖后的作用了。

又如湖南天一科技股份有限公司，于2003年虚构税前利润6354万元，多披露募集资金2926万元投入项目投资、帐外应付票据22533万元。该公司还以自然人名义帐外出自设立7家子公司，用于买卖股票、资金划转等。然而证监会与2005年8月处理结果是对天一科技处以50万元罚款，对董事长给预警告并罚款10万元。

可见证监会若执法不严，处罚不力，违法不究，将很难起到遏制上市公司弄虚作假等违法行为，不能起到推动上市公司完善内部控制的作用。

资本市场发育不完善

我国的资本市场较国外的资本市场相比有诸多的不完善之处，运行机制和法律法规都还很不健全，交易不规范，暗箱操作，非法牟取暴利时有发生。同时，且普遍存在企业内部控制薄弱的现象，如果要求完全披露上市公司内部控制状况信息，投资者将更加失去信心，导致市场更加混乱。

另一方面，股权结构的不合理使得流通股仅占总股本的%，这使得中小股东要权衡实行监控的成本与收益，理性的选择就是放弃监控权，采取“搭便车”，以二级市场的交易为主，因而关注点放在了企业的营运结果上，而放弃了对公司内部控制的关注。

外部审计对内部控制的忽视

外部审计包括政府审计和社会审计。这两方面对内部控制的监督都未起到应有的作用。政府审计的主要目标仍是查处违规违纪，近年来已经向会计报表真实性、合法性和公允性方向靠拢，但对公司内部控制仍然没有引起足够重视，没有形成对上市公司建立健全内部控制及执行情况进行约束、检查和奖惩，对内部控制监督、检查力度不够。而会计师事务所虽然对上市公司的内部控制有所关注，但其调查也多流于形式，无法真正发现上市公司内部控制存在的漏洞，无法起到完善内部控制的推动作用。

理论自身缺陷

内部控制理论有着自身难以克服的缺陷，即使设计的再完美，仍难以保证绝对预防或察觉所有不正常现象的发生。内部控制主理论要有以下几方面缺陷：

○1环境是变化的，而内部控制制度是固定的。企业所面对的环境不断变化，内部控制制度若要达到让企业提高经营效率、保护资产等目的，就必须不断随着环境的变化更新，调整过时的条款。然而企业中的制度基本上是不会变的，这和时刻保持内部控制的先进性产生了矛盾。

○2内部控制的一个很重要的内容就是内部牵制。这是内部控制最早提出的内容，并且一直沿用至今。但如果企业内部不相容职务的人员互相串通，那么内部控制的这一内容将失去意义，无法发挥其应有的作用。比如出纳和会计合伙挪用公司资金，保管员和财产记录员联手作假，都将导致内部控制失效，公司发生舞弊现象。

○3成本效益原则是所有企业一贯支持的原则，在内部控制方面也不例外。控制环节越多，控制措施越复杂，相应的控制成本也越高。如果增加的控制环节过于降低工作效率，就可能会放弃实施这项内部控制。由于企业资源有限，对于很少发生或不经常发生的经济业务，企业不会制定相应内部控制制度，但当这些经济业务发生时，就没有相应制度来对其进行约束了。

○4各种控制程序都是针对其相应的内容由执行人员对其进行监督控制的工具。但对于执行人员的行为，该程序却无法对其进行监督，这是程序无法避免的缺陷。当内部控制的监督执行人员滥用职权或不正当使用权利时，内部控制也将完全失去租用。内部控制作为企业管理的组成部分，将按照管理人员的意图运行，尤其是企业负责人的决策更起了决定性的作用。如果决策出了问题，贯彻决策人意图的内部控制也失去了相应的控制职能。

2内部原因

产权不明晰

产权明晰有利于协调劳动者行为、分为劳动成果和提高资源配置效率，有利于提高公司的经营效率。产权不明晰，委托人和代理人就不能明确各自的权利和义务。委托人无法对代理人进行有标准的考核，代理人也因此无需对自己的行为承担责任，因而容易引起随意决策和浪费行为。导致我国上市公司产权不明晰的原因主要是由于我国的上市公司大多是由国有企业改制而来，国内绝大部分上市公司控股权实质上仍然是国家所有。国家是人民意志的代表，人民就是国有股的所有者，是企业的委托人。但是这仅是名义上的所有，实际上任何的个人都无权对其拥有产权的国有资产自行决定处置。这就导致了上市公司“出资人缺位”，产权不明晰。高级管理人员无需对自己的行为向委托人承担任何责任，造成了他们无视内部控制制度，只关心自己的利益，甚至通过损害企业利益来使自己利益最大化。

独立董事形同虚设

2001年8月16日，中国证监会发布了《关于在上市公司建立独立董事制度的指导意见》，正式确立的独立董事制度。根据规定，独立董事的候选人人选由董事会、监事会和单独或者合并持有上市公司已发行股份1%以上的股东提名，独立董事津贴标准由董事会制定预案，股东大会审议通过。这其中就存在着缺陷。任命与薪酬都由董事会，监事会决定，董事会又由大股东支配，独立董事的独立性根本不能完全保障。

此外，独立董事多来自于上市公司外部，不在上市公司中任职，这就使得独立董事信息不对称，对上市公司的经营管理上许多内幕或刻意隐藏的问题很难发现。独立董事又大多是兼职，每年召开董事会次数有限，仅靠几天的会议就决定企业的经营方针，显得有些草率。

股权结构缺少监督

就前面提到，我国上市公司“一股独大’现象十分严重，其很重要的一个原因就是缺乏监督和约束。在2004年广东证券股份有限公司对1066家样本公司进行的实证研究中，84%的上市公司董事长、68%的上市公司总经理来自第一大股东，第一大股东在董事会中投票权过半数的达64%。这表明第一大股东在董事会中拥有绝对的投票权和控制权，其他董事根本没有权利来对大股东进行监督。对于机构投资者，流通股只占总股本的1/3，也无法对上市公司的治理产生大的影响，无法对上市公司控制权起到制衡的作用。没有有效的监督，内部控制也无法使管理人员自觉的遵守。

缺乏内部控制评价机制

任何制度的完善都需要有反馈的支持。内部控制评价机制是完善内部控制的必要工具，是保证内部控制顺利实施，起到应有效果的机制。我国上市公司大多都有较为明确的内部控制制度，但对其执行效果和制定标准却没有一个准确的评价机制。究竟内部控制执行的情况如何，内部控制的制定是否合理，如果这些都不得而知，那么内部控制的完善进程将相当的缓慢。

没有良好的企业文化

企业文化是指企业全体员工在一切生产经营活动中所形成的认同关系、历史传统、价值理念、信仰、思维模式和行为准则。企业文化是企业在市场竞争中实践经验的沉淀和升华，是企业员工实现自我发展、自我超越的核心支点，能够在激烈的市场竞争中提升企业的管理水准。[10]

企业的内部控制制度是否有效，依赖于健康的企业文化。企业文化是对待内部控制制度的一种态度，是企业管理行为在企业全体员工中形成的精神上的结果。如果企业文化是积极、敬业、诚信的，与内部控制制度相协调，那么内部控制制度的制定成本和执行成本就都会降低，执行效率也会提高。反之，消极的企业文化使员工对企业存在侥幸心理，游离于制度之外，导致内部控制的实施效率低下，成本提高。

目前我国上市公司主要存在两种不健康的企业文化：

○1无明确企业文化。有的上市公司内部控制制度十分明确，规定员工的责任和义务，但没有明确的文化理念，没有对员工进行价值观的倡导，使内部控制的执行缺乏活力，员工没有积极性主动执行。

○2过激文化。有的企业会提出一些不切实际的远大抱负和文化理想，倡导超出企业范围的使命感。大而空的口号让员工盲目追求不切实际的目标，而忽视了现实中的工作，对内部控制的执行十分不利。

四、完善我国上市公司内控制度的对策

通过以上分析，可以看出目前我国上市公司内部控制存在的很多的问题，应从各个方面对其进行整改和完善。但鉴于篇幅有限，笔者认为要对公司有实际借鉴意义，应从公司的可操作性出发，站在公司管理层的角度，对公司内部控制制度进行完善。

通过以上对内部控制理论的回顾和我国上市公司内部控制现状的分析，笔者认为应该以COSO框架为基础，对我国上市公司内部控制进行完善。虽然企业风险框架理论是内部控制的最新发展，其内涵相对COSO加入了更多的目标和要素，相对更加完善，但我国现在理论界的研究还没有达到这个高度，实务界更还停留在内部会计控制与内部管理控制阶段，若要让企业马上接受风险管理框架并有效实施，难度十分巨大。因此，作为公司内部控制的发展与过渡，并利用现在国内比较成熟的对COSO框架的理解，笔者认为COSO框架是目前我国上市公司完善内部控制最合适的理论框架。

本文将遵循COSO框架的五要素，即控制环境，风险评估，控制活动，信息与沟通，监控[11]，从这五个方面分别对上市公司的内部控制提出具体的建议。具体五个方面的内容见下表：

控制环境

1优化公司治理结构

针对公司董事会作用弱化现象，应该强化董事会在公司治理结构中的主导地位，突出董事会在建立和完善内部控制体系过程中的核心作用。具体做法是设立专门委员会，包括审计委员会、预算管理委员会、价格委员会、薪酬委员会和投资委员会等，由专门董事充当这些委员会的委员。这样以明确董事会分工，使其在内部审计、预算编制和控制、对外采购、薪酬激励机制、融资投资决策等一系列对内部控制至关重要的活动中发挥监控作用，有利于企业会计信息真实性的提高、企业经管理目标的实现和保护所有者资产的安全和完整。

2建立良好的企业文化

良好的企业文化有助于企业内部控制的顺利实施，是企业经营的灵魂。由于内部控制的有效性不会超越创造、管理和监控这些制度的人们的道德观和忠诚度，因此人们的观念就成为了内部控制环境的关键因素。

控制活动具体制定书面的道德守则和行为准则，内容包括高级管理人员和下属员工所应共同遵守和分别应遵守的准则。内容应包括公平原则、利益冲突处理、披露、保密、法律遵循、内部人交易、服务和消费者利益等；对书面准则的传达，可以通过文件、规章制度、会议、培训等方式，通过多种渠道使准则融入员工思想中，对员工造成潜移默化的影响；定期检查公司员工的道德和行为准则的遵守情况。对公司道德和行为准则的知晓情况进行检查，让每位员工在道德和行为准则确认书上签名，对未签署的员工及部门进行严格检查，重点检查关键部门，比如财务部门；对违反公司准则的行为采取适当的惩罚。

3提高员工素质

良好的员工素质可以提高公司的经营效率，使公司的战略方针顺利实施，降低内部控制实行的成本。作为管理层，需要有一定的才学和相当的远见；作为普通员工，要具备专业的工作知识和操作技能。

具体控制活动制定书面职位说明书，准确定义各个岗位所需的业务能力和资历要求；对新入职员工进行入职培训；对于管理层和关键岗位员工需经过仔细挑选，并进行必要的背景调查；设立适当的奖惩和提升程序，激励员工自觉提高素质的积极性；定期对管理层及重要岗位员工进行考核；定期对书面手册进行更新

风险评估

每个企业都面临来自内部和外部的风险，针对企业不同的目标，企业需要进行不同的风险识别，以达到控制风险或规避风险，提高经营效率，达到经营目标的目的。风险评估主要由三部分组成：目标制定，风险评估，风险应对

1目标制定

目标的制定是企业进行风险控制的前提。只有先确立了目标，管理层才能针对目标确定风险并采取相应措施来控制风险。企业的目标可分为营运目标、财务目标和遵循性目标。营运目标是与企业经营的效果和效率有关的目标，包括业绩、盈利和保护资产。财务目标要求公司的财务报告的准确性与真实性，防止财务报告的欺诈。遵循性目标要求企业遵守相关的法律和法规。

具体的目标制定可通过以下控制活动：由管理层建立战略目标、战略规划及相应的业务计划；保证公司目标在公司内部的传达，并通过组织会议等方法了解管理层和公司员工对公司目标的反馈；保证公司战略目标、战略规划及相应的业务计划的一致性，通过预算调整程序保持业务计划、预算目标与公司战略的一致性；建立定期复核公司目标与业务计划的程序，如定期召开会以对公司战略计划和年度发展规划的执行情况进行评估，根据经营环境的变化对战略规划进行调整。

2建立风险评估程序

在企业确定了目标之后，就应该针对其指定的目标进行风险评估。主要包括风险的因素识别，评估风险的重要程度，评估风险发生的可能性，尽可能对企业所面临的风险有充分的认识。

具体控制活动对外部风险因素进行预期和识别，包括技术的进步、客户的需求、现有以及潜在的竞争对手、法律法规的变化、社会经济形势的变化等；对内部风险进行预期和识别，包括信息的损坏，雇员的违规、管理层的失职等；建立风险评估机制和程序，对每项风险因素进行考虑，考虑其在风险中的重要程度，并对其相关性加以研究，综合考虑来确定具体风险的重要程度和发生的可能性；建立风险监控程序，对容易变化的风险因素进行实施监督，及时了解风险的变化，调整风险评估结果；完整记录风险评估过程，将结果反馈给相关责任人，由其进行指导风险评估制度的建立与评估。

3建立风险应对措施

在充分了解企业所面临的风险及其状况后，应建立风险应对机制，来控制或规避风险。否则风险评估将失去意义，企业将暴露在风险之中。

具体控制活动包括：针对可能存在较大风险的业务建立专门的风险应对措施，如重大并购业务，资产的剥离等；针对有重大风险因素的例外事项建立风险应对措施，比如环境发生重大改变而预算也应随之进行相应调整，防止舞弊发生；管理层对风险应对措施进行检查，监控，并建立反馈机制，完善公司的风险预警机制，对风险评估和应对机制的有效性和充分性进行评价，保证风险评估机制有效实施。

控制活动

控制活动是指为确保公司的内部控制制度顺利实施而采取的政策和程序。控制活动主要分为以下几种：

○1业绩评价，将实际业绩与制定的标准和以前的数据进行横向与纵向的比较，将不同的数据根据相关性进行联系分析，从多方面对业绩进行评价。

○2信息处理，保证业务在信息系统中正确、完全和经授权处理的活动。信息处理控制主要包括针对信息系统和信息本身的控制。对信息系统要保证软件程序的完整性、兼容性、效率性，定期对软件进行维护，确保信息安全与完整。对信息要确保其真实性，完整性和时效性，采取不定期对信息核查等措施。

○3实务控制，即资产和记录交叉核对，包括实物安全控制，定期盘点数量，对计算机数据的接触与授权，进行账账对比，账实对比。

○4职责分离，对每一项职能进行分离，尽量向没有一个职员负责超过一个职能的方向努力。尽量做到业务授权、业务执行、业务记录和业务监督的分离，有意识的预防舞弊的发生。

○5风险控制，在制定了风险评估程序和风险应对机制后，应确保该控制有效实施，包括风险控制机制评价程序，建立反馈制度。

具体控制活动内容

1建立必要内部控制制度和程序：管理层应根据公司的业务活动的特点以及风险评估的结果，制定必要的政策和程序；制定政策要遵循以下原则：合法性、健全性、针对性、一贯性、适应性和经济性；同时建立实时监控制机制，关注企业业务变化和环境风险的变化，对相关政策和程序进行调整，提高制度的有效性。

2建立预算管理体系对公司经营活动进行有效控制：完善公司预算管理体系；定期复核关键绩效指标，如预算、利润、市场份额等，与历史数据和制定标准分别进行对比，识别重大差异；将结果定期上报管理层和董事会，制定相应的调整方案。

3制定信息系统的政策与程序，关注信息安全、变更管理、程序开发与维护等领域：管理层建立针对信息安全、隐私和公司整体安全的相关政策与程序；由企业信息部制定包括信息安全、计算机操作、变更管理、程序开发实施与维护等方面的政策和程序，定期审阅和更新这些政策制度，并已下发文件方式传达至员工；企业信息部建立相应敏感数据安全风险评估的政策与程序，协同业务部门评估敏感数据的安全风险，并据此合理确立数据分类标准及安全维护规范；定期复核不同应用系统、数据库和操作系统的系统权限和访问控制以保证安全性；在员工离开原岗位后应及时对用户的权限进行变更。

4保证记账的准确性和有效性，并满足信息披露的相关要求：根据国家会计法和公司法的规定制定记账和结账程序；建立有关法律遵循部门，对财务报告的披露进行复核和确认，评估其是否遵循法律的要求；建立定期盘点制度，定期对实物进行盘点，确保实物与账簿相符，并通过程序设计确保盘点的有效性。

5分离相关职责，运用内部牵制，防止舞弊发生：制定明确的公司岗位责任制度，并以书面形式向员工传达，让每位员工明确自己的权利与义务；在制定公司运营流程时尽量细分每项职责，原则上由不同的员工担任不同的岗位；由人力资源部门进行关键岗位员工背景调查，对于违反职责分离原则的情况进行整改。

6评价风险控制机制，有效控制风险：建立风险评估委员会，不仅制定风险评估程序，同时制定风险评估程序评价机制，定期对风险评估程序进行评价，分析其有效性并进行改进；管理层实施风险评价程序的过程进行检查，确保程序被有效执行；建立风险反馈机制，接受来自方面的风险信息，以之作为参考，完善风险控制机制。

信息与沟通

若使内部控制运行有效，风险管理到位，一个非常重要的前提条件就是信息的获取，要求信息的准确性，相关性，及时性，完整性和安全性。同时，在信息采集到以后，应及时传递到需要的人手中。这体现了信息与沟通的两个核心要素：信息，沟通。是为了业务经营和达成企业的目标——经营的、财务的和遵循性的目标，企业所需要掌握的所有数据和情况。信息主要由信息系统来识别、掌握、加工和报告。对采集到的信息要关注其准确性，相关性，及时性，完整性和安全性。

沟通是信息系统必不可少的另一部分，它既是信息采集的渠道，又是信息采集到后的工作延续。将采集到的信息及时的传递给信息使用者，是沟通的本质作用。同时，还应该保证信息传递的完整性与准确性。沟通主要分为外部沟通和内部沟通。

具体控制活动

1建立并完善信息系统：根据公司的整体战略目标制定信息系统战略，成立信息规划组织，保证有适当的人力和财务资源以开发必要的信息系统；对开发人员进行监控，考虑内部控制检查与权力制衡的设计；收集公司所需要的信息，包括管理层和普通员工，但主要是针对管理层，为管理层的决策提供辅助作用；建立良好的信息传递渠道，保证各个子系统之间沟通顺畅，消除不兼容的现象；建立业务持续计划，并对系统进行定期维护；建立灾难恢复计划，定期将数据备份并保证其隐私性。

2保证信息质量：在开发过程中，信息使用部门应参与相关信息系统的开发与检测，以确保信息的可靠性；建立信息搜集、传递、处理和报告的标准程序，确保信息传递及时性和完整性；针对公司重要信息，建立专门的整理和保管制度，保证信息的完整，并建立相应的授权制度，保证信息安全。

3建立外部信息沟通渠道：针对客户和供应商，建立产品和公司信息的交流渠道，包括购买和销售产品或服务的信息，产品或服务质量的反馈，公司的制度和企业文化的交流等；针对竞争对手建立合作的信息交流渠道，共享公司允许范围内的信息；针对投资者建立定期信息披露制度，使投资者对公司有更多的了解，增加投资者的投资信心；针对监管者建立定期报告制度，上报公司信息，并收集监管者关于公司的意见和建议。

4建立内部信息沟通渠道：建立自上而下信息传递标准程序，传达公司的经营目标和财务目标；建立平行信息传递标准程序，将信息在同级部门之间顺利传递；建立自下而上信息传递标准程序，收集员工工作情况，公司经营目标的偏离情况；建立不合理事项信息沟通渠道，包括匿名举报，保密条款等。

监控要素

监控是内部控制有效运行的必要保障。它的保障作用主要体现在以下三个方面：持续监督，独立评估，防止舞弊。

持续监督是在公司日常经营过程中，对经常发生的经济业务和程序执行进行监督。持续监督工作包括日常经济业务的发生，风险管理系统的运行状况，员工内部控制的执行情况等。

独立评估是由内部审计和第三方对内部控制程序本身以及执行情况进行评估，考察内部控制制度有哪些缺陷，执行不到位的原因，并提出相应整改建议。主要工作包括建立评价程序，选择评价方法和标准，完善内部控制制度。

防止舞弊是监控最为基本的职能之一，针对公司关键点特别进行监控，一旦发现员工舞弊行为，应给予严厉的惩处。

具体控制活动

1持续监控：核对员工在执行日常工作中获得的数据与信息系统中产生的数据，以获得内部控制中信息系统的漏洞和缺陷；定期核对账面记录与实物资产，保证资产安全，确认内部控制有效执行；对公司关键点进行严密监控，监视员工的操作是否有违规行为；定期举行会议或其他方式，向管理层提供内部控制的运行情况以及是否有效。

2独立评估：提高独立评估主体的独立性，包括评估主体直接向董事会负责，评估的工作范围、获取的信息和接触的人员不受限制，有充足的审计资源；建立评价程序，包括制定评估计划，数据采集，情况调查，数据分析，评价结果和整改建议；选择评估方法和评估标准，运用多种审计形式，如经营审计、内控审计、外部检查、独立调研、专项调查等，注重内部审计质量，通过多因素进行内部控制有效性评价；制定反馈程序，对于评估过程中发现的问题，需及时向管理层汇报，提出建议，并监督管理层的整改，使监控真正发挥作用，提高内部控制的有效性。

3防止舞弊：关注舞弊信号，对采购，资产，现金，收入等增设适当的授权审批程序；要求内部审计关注管理层，监控其是否有越权、串通等舞弊行为；建立舞弊行为举报制度，从内部与外部同时监控公司员工行为；针对发现的舞弊行为，成立专门调查委员会，对舞弊行为进行查处，并依法对其进行惩处。

五、结论与展望

本文首先对内部控制的理论进行回顾，并同我国目前的理论研究进行对比，然后以COSO框架为模型，从五要素的角度对我国