關于創業板上市公司內控體系建設探討

摘 要：從《企業內部控制基本規范》及配套指引的要求出發，考察了創業板上市公司內控體系建設的內外部需求及特點，分析了我國創業板上市公司內控體系建設過程中存在的問題，并提出了相應的改善對策，以期推動我國企業內部控制體系貫徹實施步入法制化、規范化發展的新階段。

關鍵詞：創業板；上市公司；內控體系

中圖分類號：F275 文獻標志碼：A 文章編號：1000—8772（2012）13—0074—03

近年來，隨著我國資本市場改革的深入、政府監管部門保護投資者的意識日益增強，我國對企業內部控制的監管措施正逐步完善。2008年5月和2010年4月，財政部會同證監會、審計署、銀監會、保監會先后發布了《企業內部控制基本規范》、《企業內部控制應用指引》、《企業內部控制評價指引》以及《企業內部控制審計指引》，自2011年1月1日起《企業內部控制配套指引》在境內外同時上市的公司施行， 2012年1月1日起，在上海證券交易所、深圳證券交易所主板上市公司施行；在此基礎上，擇機在中小板和創業板上市公司施行。這些文件規范有很強的針對性，對企業建立健全內部控制制度具有重要的指導意義。

而隨著企業內部控制規范體系的逐步建立，企業內部控制有效性的自我評價制度和注冊會計師審計制度也相繼建立起來，由此推動我國企業內部控制體系貫徹實施步入法制化、規范化發展的新階段。

一、創業板上市公司內控體系建設的內外部需求

1.加強創業板上市公司內控體系建設的內生需求

創業板公司普遍存在成立時間短、規模小、所處行業特殊、經營模式創新等特點，這就使市場對這些公司的估值缺乏較為可靠的標準，投資者對公司的發展前景容易交替出現極度樂觀與極度悲觀的判斷，進而導致大盤整體振幅加大。作為上市企業，除融資外，更有義務與必要加強企業自身的內部控制，使企業取得更好的經營績效，回報投資者，進一步增加投資者信心，同時也可獲得更多的投資資金，形成更好的良性循環。雖然創業板上市企業都對自身進行了內部控制評價，絕大多數都取得了會計師事務所出具的標準無保留內部控制審核報告，但通過對其情況進行更深層次的了解并結合內部控制的基本要素可知，大部分創業板上市公司的內控制度建設都不到位，內部環境較為松散，風險評估意識薄弱，信息溝通存在障礙，內部監督運轉不利，亟須公司管理層人員提高風險意識，建立健全內控監督機制。

2.政府監管是內控體系建設的推動力量

我國對內部控制理論的研究起步較晚，但隨著我國資本市場改革的深入和規范化要求的不斷加強，從20世紀90年代開始，政府加大了對企業內部控制尤其是上市公司內部控制建設的推進力度，作為上市公司的監管部門，財政部、證監會、銀監會、保監會和中注協等制定了相關法規制度。為了推動和指導上市公司建立健全內部控制制度，上海證券交易所和深圳證券交易所在2006年分別發布的《深圳證券交易所上市公司內部控制指引》、《上海證券交易所上市公司內部控制指引》規定：會計師事務所應參照主管部門的有關規定，對公司內部控制自我評估報告進行核實評價。2008年5月22日，財政部、證監會、審計署、銀監會、保監會五部委聯合發布《企業內部控制基本規范》，要求上市公司對本公司內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計。

二、創業板上市公司內部控制的特點

1.強制要求進行信息披露

創業板公司多為中小型的高新技術企業，其出資可以是個人與國有、集體企業聯合出資，可以是個人與民營企業聯合出資，還可以是個人與國有、集體、民營聯合出資，這種結構復雜的出資模式和其他環境因素會使投資人在企業成立之初就難以對產權進行劃分，導致股權結構不清晰，在公司今后的經營管理過程中難免會遇到權屬糾紛或產權主體空缺等問題，會給公司治理帶來一定的阻礙。為避免所有者之間不必要的糾紛，就需要進行嚴格的內部控制，需要公司對重要事項，比如重大的訴訟仲裁事件、收購資產、出售資產、重大擔保、重大關聯交易等進行嚴格的披露。《創業板上市公司季報規則》中規定，公司在披露信息時，應適當增加非財務信息的披露，包括主營業務經營情況、核心競爭能力、無形資產、核心技術團隊或關鍵技術人員等的重大變化，以及公司未來經營的主要優勢和困難等，便于投資者獲得關于公司經營情況的充分信息。

2.全面實施風險管理

一方面，創業板市場不規范，上市公司的規模較小，股權分散，易于被操控，交易規則也更加寬松，公司的治理結構、管理體系尚不完善，創業板市場的市場運作風險、上市公司的經營管理風險、上市公司的道德風險均較高。另一方面，創新是創業板公司最顯著的特點，也是為公司帶來機會、收益和發展的必要條件，但是我們應當看到在創新背后隱藏著的巨大的風險，有些風險在短時間內特別是在創業板公司起步階段不易被發現，但并不意味著企業就沒有抗風險的能力，要做到正確、及時地規避風險，就需要在內部控制時建立風險的識別和控制體系。《創業板上市公司季報規則》提出了不同于主板市場的要求，要求創業板公司充分關注風險揭示，注意保護投資者利益，公司要在報告中充分披露未來經營中的重大風險因素、困難因素等，并要求公司說明擬采取的應對措施，以便投資者全面了解投資風險。

三、創業板上市公司內控管理存在的問題

1.內部控制環境薄弱

內部環境是企業實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。任何一個上市公司的內部控制都必須存在于一定的內部環境中，這一環境反映了公司管理層對內部控制的態度。由于創業板上市的公司多從事于高科技業務，雖然有較高的成長性，但是成立時間短，公司管理層對于內部控制的態度有不同程度的偏差，往往出現對內部環境控制薄弱的情況。

2.風險評估意識薄弱

隨著中國創業板市場管理體制的不斷完善，創業板上市的中小企業在提高自身行業競爭力的同時也面臨著外部投資環境變化的生產風險，諸如市場風險、信貸風險、營運風險、聲譽風險等以及隨著交易類型和環境的變化所面臨的兼并收購、破產重組、電子商務等。這些都是創業板上市公司管理層之前所沒有遇到的問題，創業板上市公司為獲得很好的融資機會使得公司降低了自身的技術風險，同時也大大地提高了公司整體投資決策的風險。

3.信息溝通存在障礙

美國國會于2002年正式通過了《薩班斯—奧克斯利法案》，對上市公司提出了披露內部信息的強制要求。關于上市公司內部控制信息披露的一直以來都是投資者關注的信息，而內部信息的有效溝通也可以為公司和股東合理地規避風險。對于絕大多數我國的創業板上市公司而言，對于內部信息的披露往往只是簡單的一句“本公司已經建立完善的內部控制制度”，而沒有對內部控制的具體制度、成果及不足作以詳細闡述。由此可見，內部控制信息的披露對于創業板上市公司通常只是一種形式，并沒有對公司治理層造成應有的壓力。由此致使信息不能有效溝通會加大投資者與公司內部信息不對稱的程度，進而導致其投資決策的失敗。

4.控制制度不健全

我國法律法規沒有明確規定內部控制制度的制定和執行應該由誰負責，目前我國創業板上市公司的內部控制要由監事會負責，只有不到10%的公司的董事會參與內部控制制度的制定和執行。而監事會并不是內部控制的責任主體，他們發表意見僅僅是對董事會和經理是否建立內部控制制度的一種監督。建立并維持有效的內部控制制度，應該是董事會和治理當局的責任。創業板上市公司這種責任的剝離勢必會導致內部監督體制存在漏洞。

5.內部審計未能充分發揮作用

在我國，大多數創業板公司的內部審計機制是由國家強制建立的，這種監督機制往往并沒有切實有力地執行。其主要表現在，首先，創業板公司由于公司規模等方面原因大多聘請內部財務人員兼任，這些人員大多缺乏必要的審計知識，特別隨著公司的不斷發展，投融資業務日趨復雜，他們往往難以應對；同時，聘請相關財務人員兼任內部審計，在一定程度上違背了審計的客觀獨立性原則，有自我復核的嫌疑。其次，我國創業板上市公司的內部審計還是停留在差錯防弊的階段，大多是在出現問題時才進行必要的監督，沒有做到事前的審查和事中的控制。再次，上市公司的內部審計機構實質上與管理層及其相關機構平行，因此造成了其獨立性較差、權威性較差，一定程度上受制于管理層。

四、完善創業板上市公司內控管理的實施方針

1.基于現狀，滿足監管，優化管理

目前我國證監會等監管機構對上市公司的監管是多維度和市場化的，對于創業板上市公司而言應立足于企業經營管理的實際情況，建立符合企業發展要求的內部控制體系，加強關鍵授權控制，對自己經營活動中的關鍵領域、關鍵流程、關鍵點進行認真分析，嚴格控制，同時建立長效激勵機制，以促進企業的可持續發展，此外實施責任追究體系，發揮審計監督作用，確保內部控制制度有效執行。

上市公司要按照管理制度化、制度流程化、流程信息化的要求，立足企業實際，倡導全員參與，注重控制實效，防止流于形式，抓好內部控制建設的基礎工作和關鍵環節。一是建立規范的公司治理結構和議事規則，明確治理主體的權利運行機制，合理設置職責權限，規范決策程序，確保決策制度有效落實，建設和倡導合規、誠信的企業文化，提高企業依法合規經營管理的能力，持續改進內部控制建設與執行工作。二是以價值管理為主線，以風險管理為導向，全面梳理各類、各項業務流程，查找經營管理的風險點，評估風險影響程度，編制分類風險與缺陷清單，明確關鍵控制節點和控制要求，實施業務流程再造，編制內部控制管理手冊，促進業務處理規范化和標準化。三是加強重點流程與特殊業務的內部控制，著力抓好資金、投資、采購、基建、銷售、產權管理、人力資源管理、質量管理、安全生產等關鍵業務流程控制，加強境外資產、金融及其衍生業務、重大經濟合同和節能減排等特殊業務的內部控制建設，建立重大風險預警與應急機制，制定和落實應急預案。四是結合內部控制目標，梳理完善管理制度體系，并根據業務發展要求和外部經營環境變化，持續檢驗和評估管理制度的有效性，建立動態調整與改進機制，防止出現制度缺失和流程缺陷。五是推進內部控制體系建設同信息化建設的融合對接，在將制度和控制措施嵌入流程的基礎上，結合企業信息化建設進程，將業務流程和控制措施逐步固化到信息系統，實現在線運行。

2.治理層重視，全員參與

公司內部控制體系的建設及實施在很大程度上受公司治理層的影響。企業的章程和政策中應規定治理層的職責。治理層（董事會）通常通過其自身的活動，并在審計委員會或類似機構的支持下，對企業的財務報告政策和程序進行監督。因此，董事會、審計委員會或類似機構應關注企業的財務報告，并監督企業會計政策以及內部、外部的審計工作和結果。治理層的職責還包括監督用于復核內部控制有效性的政策和程序設計是否合理，執行是否有效。

上市公司治理層要高度重視內部控制工作，將建立健全內部控制體系作為管理提升活動的重要任務來抓，切實加強組織領導。公司要成立專門的內部控制工作領導機構，負責內部控制工作的組織協調；設立專職機構或確定牽頭部門，配備專職工作人員，具體負責內部控制體系建設與實施工作；建立相關部門共同參與的跨部門聯動工作機制，明確分工，落實責任，共同推進，并做好對子企業內部控制建設的組織指導工作；按照內部控制建設與監督評價職責相分離的原則，明確內部審計或相關部門負責組織內部控制評價工作。同時建立健全內部控制工作責任制，將內部控制建設與執行效果納入績效考核體系，確保內部控制不斷完善并得到有效執行，為戰略有效實施、資源優化配置、企業價值提升提供強有力的支撐。

公司內部控制體系的建設需要全員參與，內控標準需要層層分解落實，明確職能部門各崗位的風險控制責任，各崗位人員根據自身崗位的有關要求對比執行，從而有效提高全員的風險防范意識，提升公司經營管理水平和內控風險能力，形成全員內控文化。

3.持續改進，動態適應，強化執行

創業板上市公司應加強內控體系建設的評價與審計，促進內部控制持續改進與優化。認真組織開展內部控制年度評價與審計工作，促進內部控制持續改進與優化。一是要按照內部控制的基本原則和要求，設計適合企業自身特點的評價體系和內部控制缺陷認定標準，并在全公司范圍內推行應用。二是企業內部審計或相關部門要組織開展對本公司內部控制的年度自評工作，尤其要加強對重點子公司、分公司和關鍵業務流程內部控制有效性的檢查評價；企業可以根據需要，聘請外部中介機構協助開展內部控制評價工作或進行內部控制審計。三是要加強缺陷管理，通過內部控制評價工作，充分揭示內部控制的設計缺陷和運行缺陷，提出管理改進建議，及時報告董事會和管理層，并跟蹤落實缺陷整改工作，實現內部控制閉環管理，促進控制優化。四是要建立內部控制重大缺陷追究制度，內部控制評價和審計結果要與履職評估或績效考核相結合，逐級落實內部控制組織領導責任。五是要做到與風險管理工作的有機結合，內部控制是風險管理的有效措施，上市公司要緊密結合風險管理實踐，充分利用風險管理體系框架，加強工作協同，形成工作合力，共同推動企業管理的持續改進。

五、結語

20世紀末，現代公司治理中的管理控制系統有了新的發展，要求管理人員“向前看”，把控制系統建立在前饋而不是簡單的反饋基礎上。在此影響下，公司內部控制也逐漸由強調事后的反饋控制變為更貼合內部控制目標的前饋以及同期控制，由整體架構階段發展到包含更大范圍而目的性卻更明確的現代內部控制（又稱企業風險管理框架ERM），更關注環境變化的影響，體現了系統的動態性和靈活性。在構建內控評價體系的過程中，應該以風險管理理念為基準。風險管理成為組織管理的關鍵所在，內控評價的重點應該是確認風險及測試管理風險的方法，在風險導向的內控評價中，分析、確認、揭示關鍵性的經營風險，在評價標準、指標和權重的選擇上均要把握風險管理理念，才是內控評價的焦點。

現階段創業板上市公司內部審計應逐漸構建以風險為導向的內審體系，在內控有效性評價的基礎上，著眼公司風險評估及控制，更好地把內控建設與風險管理進行融合，從而保障公司的持續健康發展。

參考文獻：

[1] 鄧銳廷.風險導向內部審計與內部控制結合的實踐與探索[J].中國內部審計，2011，（10）.

[2] 周曙光，陳麗蓉.內部控制審計：企業風險管理與政府監管[J].財會月刊，2011，（11）.

[3] 于增彪，王競達，瞿衛菁.企業內部控制評價體系的構建——基于亞新科工業技術有限公司的案例研究[J].審計研究，2007，（3）.

[4] 沙巍.淺析中國創業板上市公司內部控制存在的問題[J].中國經貿，2010，（8）.（責任編輯：袁凌云）