内部控制作为一种管理思想和实践活动,已经成为现代企业管理的一项重要手段。上市公司内部控制制度是指上市公司为了保障其业务的正常运作,实现既定工作目标,防范和化解经营风险而设立的各种内控机制和一系列内部运作程序及方法的总称,实质上是上市公司自我规范、自我约束和自我完善的一种自律行为。2006年,上交所、深交所分别颁布了《上市公司内部控制指引》,对上市公司内控制度建设和信息披露提出了规范要求。2008年,财政部、证监会等五部委联合颁布了《企业内部控制基本规范》,自2009年7月1日起在上市公司范围内施行。该规范将内控制度的主要内容界定为内部环境、风险评估、控制活动、信息与沟通、内部监督等五个方面,即俗称的五要素。
一、当前我国上市公司内控制度存在的问题
伴随我国上市公司在国民经济构成中所占份额的高速增长,上市公司日益成为中国经济的核心和中坚力量。如何规范上市公司内部管理和提高抗风险能力逐渐引起广泛关注,其中内控制度设计与执行作为企业治理的一个关键性环节,显得尤为重要。但从当前我国上市公司内控制度现状看,存在问题较多,主要有以下几方面:
1.控制环境优化缓慢,内部监督难以落实
控制环境是内部控制体系的基础与核心,影响人员的控制意识,包括员工的诚信度、道德观和能力;管理哲学和经营风格;管理层授权和职责分工、人员组织和发展方式,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。当前上市公司按现代企业制度要求建立了董事会、监事会,聘任了总经理班子,引入了独立董事制度,设立了审计委员会,但事实上没有起到相互制约的作用,以至频繁出现公司利益被大股东转移、高管经营舞弊等事件。另外,我国传统文化的特点、转型期道德诚信等价值观的不良认识,对控制环境也有一定的弱化作用。
内部控制系统需要被监督,这属于再控制的范畴,以期能够及时发现内控实施过程中存在的失控点和薄弱环节,并根据情况的变化采取必要的纠正措施,确保内部控制能够持续、有效、健全地运作。监督活动的方式有持续监督和个别评估,由于管理体制和管理方式的问题,我国企业内部控制的监督非常薄弱,独立性的缺乏与人员不到位使得内控监督基本流于形式,内控机构无法起到应有的作用,内控制度执行情况评价少有报告,诸多上市公司没有正式的持续监督活动,或实际以日常管理工作代替监督。从监督的角度看,内控考核奖惩机制不够健全、有效,也是导致监控不能到位的一个重要原因。
2.风险评估意识薄弱,控制活动流程模糊
风险评估是对影响既定目标达成的相关风险识别和分析,其前提是目标的确定。风险识别包括对外部和内部因素进行检查,风险分析涉及评估风险的大小及发生的概率、风险应对的措施等。从我国上市公司现状来看,风险意识并没有提到应有的高度,管理层人员思想中缺乏风险概念,许多企业没有设置风险管理机制,更缺乏有效的风险管理机制。一些公司对风险的认识偏重于事后控制,经常等到问题发生时才采取手段去堵塞漏洞,而不是更多体现在防止和发现舞弊与错误上。许多创业板公司几乎没有正式的计划和程序来确定其目标、战略并管理经营风险,无有效内控风险管理导致出现严重的经营风险时还推诿于其他一些不可控的外部因素,建立起专业的事前风险评估体系对上市公司内控管理是一个持续的优化和提升过程。
控制活动指对所确认的风险采取必要的措施,确保管理层的指令得以执行的政策及程序。企业内部控制是一个持续活动,通过大量制度设计及实施来体现。绝大多数上市公司根据业务流程已经建立了与授权、业绩评价、信息处理、实物控制和职责分离等控制活动相关的内部控制制度,但就实际运行情况来看,很难发挥预期的效果。制度建设浮于表象,控制活动的流程不够清晰,实施不能到位,尤其是当高级管理人员与公司利益冲突时,内部控制的执行力更是大打折扣,失去了应有的约束力。
3.信息沟通不够及时,信息披露不够完整
信息与沟通是指为了使职员能执行其职责,企业必须识别、捕捉、交流外部和内部信息,通过信息系统处理,及时提供有效信息给适当的人员,使相关人员能够清楚地知道其职责和责任。目前上市公司从纵向角度看,自上而下的信息传递过程往往存在着迟缓和失真的现象,自下而上的信息传递过程则表现为沟通渠道不畅,开放度不够。从横向角度看,公司内部各个部门各自为政,部门与部门的信息沟通缺失,员工对企业信息的了解往往局限于自身所处的部门。
从对外信息披露看,2011年上市公司年度报表均按照要求不同程度地披露了与内控相关的信息,包括“公司治理结构”和监事会报告中的“独立意见”两个方面。所有监事会报告中的意见基本趋于一致,即诸如“本公司建立了完善的内部控制制度”、“公司决策程序合法,没有发现违法违规和违反公司章程行为”之类的套话,注册会计师也极少就公司内控情况发表非标准意见,内控信息披露的规定未得到有效细化执行。
二、建立科学有效的上市公司内控制度的几点建议
当前世界范围内,最值得借鉴的仍是美国出台的《2002年萨班斯一奥克斯利法案》(the Sarbanes-Oxley Act of 2002),该法案将公司内控系统的有效性上升到法律高度。借鉴该法案及我国现有法规,笔者对优化完善我国上市公司内控制度提出以下建议:
1.优化内部控制环境,营造良好内控氛围
内部控制运行于控制环境之中,控制环境可以看作是影响内部控制质量的内部“气候”。我国上市公司在制度基础、风险理念、经营风格、法律意识等方面与欧美企业还存在较大差距,所以,控制环境的优化既要与国际接轨,又要符合国情。领导决策层对内控制度建设的持续支持,建立健全股东会、董事会、监事会制度,上市公司现有的企业文化对内控制度建设的影响等,这些都是优化内控环境的组成部分。笔者认为,更为重要的是政府管理当局要强化董事会和管理层的责任,把有关内部控制的管理责任落实到这些关键人物身上,明确承担相应法律责任,这对建立一个有利的控制环境非常关键。企业管理层和员工应当建立和维持一种支持性的态度,形成积极的控制环境,推动和引导现有的业务系统和经营管理,而不应视其为一种束缚。内控环境建设可以从以下几方面着手:一是建立廉政和道德准则,董事会和管理层在确定组织道德方面扮演关键角色,应当做到率先垂范,而不是试图谋求一种超然地位,游离于内部控制体系之外。二是建立适当的组织权责和报告体系,使人们在接受组织内部的监督的同时,对行使权力的后果承担责任。三是建立良好的人力资源政策和实务,包括一系列聘任、定位、评价、提升以及监督的制度。
从内部监督角度看,加强内部稽核审计。充实审计力量,提高人员素质,提高日常稽核审计的普及面和频次,必要时开展专门专项核查;逐步提高稽核审计部门的独立性和权威性,可以对任何业务进行监督检查,对发现的内控制度缺陷及时进行整改。强化考核的激励与惩戒措施,加大执行力度,必要时与经济和行政处理挂钩。
2.构建风险评估机制,规范内控制度流程
上市公司应根据系统风险、行业特性和企业特点,建立结构合理、内容完整、方法科学的风险评估管理系统,设定重要和关键的风险控制点,以控制标准和评价标准为主体,通过风险预警、风险识别、风险评估、风险分析、风险报告等措施,对企业面临的经营风险和财务风险及时评估、全面防范,以控制舞弊和防范风险,推动企业有效完善内部约束机制。
建立严谨规范的控制活动流程,控制触角涉及企业经营的各个环节和方面,不能出现控制死角。重点是找准关键控制点和关键控制活动,通过点的控制起到牵动全身的作用,使控制点与控制面有机结合,内部控制才能发挥良好的效率。一般来说,内部控制的关键点可以放在资金流动、成本控制和权力使用三个方面。同时,建立的内部控制体系应该是系统的、可操作的,并且便于持续监督的。
3.搭建内控信息平台,规范对外信息披露
作为现代企业管理的领军者,上市公司应该强化信息技术平台的建设,形成一个良好的信息与沟通系统,通过信息平台落实内控信息传递的完整性、有效性、准确性和及时性,确保组织中每个人明白且能及时按要求调整自己承担的职责。通过内控信息平台,定期及不定期地形成内控评估报告,对上市公司的内控情况做出定性和定量的说明。
进一步规范内控制度信息披露的强制要求和内容。对内控制度信息披露的具体内容和格式作出更详细规定,进一步增强执行力和可操作性。如要求管理当局出具关于内控制度责任的书面声明,明确内控制度的固定限制、有无重大缺陷,内控制度随外部、内部环境变化导致执行有效性变化的评估情况等。强化注册会计师的签证功能,充分发挥对内控制度的外部监督作用。注册会计师出具的上市公司年报中要把内控制度信息作为一个不可或缺的因素加以鉴证,对公司的内控制度建立、执行和自我评估情况进行鉴证并完整反映在审计报告中,对内控制度不足之处提出改进措施,对内控信息披露的虚假不实之处,给予提示或警告并加以公示。
三、结语
内控概念是通过实践过程逐渐产生和发展完善起来的,内控管理制度是通过企业的董事会、经理阶层和员工实施和制定的,想要做好企业内控管理就必须将上市公司企业中所有成员调动起来,做好企业内控工作,这也必将让上市公司企业得到更好地发展,实现更高的经济效益。
(作者单位:浙江经济职业技术学院)