上市公司的內部控制與制度建設

孔德昌 上海雅運紡織化工股份有限公司內審部

引言

制度建設是內部控制的關鍵，但目前對各項制度建設的具體要點論述較少，故撰寫此文以拋磚引玉。

一、上市公司內部控制的發展歷程

2008年5月，財政部、證監會、審計署、銀監會、保監會五部委頒布《企業內部控制基本規范》，對企業內部控制的內部環境、風險評估、控制活動、信息與溝通、內部監督五個環節進行規范，要求上市公司自2009年7月1日施行，并鼓勵非上市的大中型企業執行。

2010年4月，財政部、證監會、審計署、銀監會、保監會五部委頒布《企業內部控制配套指引》，包括《企業內部控制應用指引（18項）》《企業內部控制評價指引》《企業內部控制審計指引》，對企業內部控制的組織架構、發展戰略、人力資源、社會責任、企業文化、資金活動、采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包、財務報告、全面預算、合同管理、內部信息傳遞、信息系統十八個環節和自我評價、外部審計進行指引，要求境內外上市公司自2011年1月1日施行，上交所、深交所主板上市公司自2012年1月1日施行，擇機在中小板、創業板上市公司施行，鼓勵非上市的大中型企業提前執行。

2021年3月，財政部、證監會發布《關于深交所主板與中小板合并后原中小板上市公司實施企業內部控制規范體系的通知》，要求原中小板上市公司自2022年1月1日全面實施企業內部控制規范體系，即《企業內部控制基本規范》和《企業內部控制配套指引》。

至今，《企業內部控制基本規范》已在上市公司施行十余年，《企業內部控制配套指引》已在主板、中小板上市公司全面施行，創業板、科創板上市公司亦在持續推進，我國上市公司的內部控制已基本建成。

二、內部控制與制度建設

公司制度指依據特定程序制定，用以指導公司各方面工作和各級組織、員工行為的規范性、約束性文件，包括所有成文的管理規定。研讀企業內部控制規范體系文件，總結本人十余年上市公司內部控制實操經驗，認為完善公司內部控制的關鍵是建立一套符合公司實際情況的管理制度。

我國上市公司一般有三類制度，即內部控制制度、ISO體系文件、內部規章制度。內部控制制度一般由董事會辦公室、內控部門掌控，是為了公司上市需要，參照企業內部控制規范體系文件而建立。ISO體系文件一般由質量、安環管理部門掌控，包括質量管理體系文件、環境管理體系文件、職業安全健康管理體系文件，是為了通過三體系認證、獲得外資客戶，參照ISO標準文件而建立。內部規章制度一般由行政、人力資源部門掌控，是公司為了日常管理而多年積累的規章制度。

大多數上市公司均建有一套管理制度，但與公司實際情況的契合度常常不盡如人意，存在制度流于形式、束之高閣的情況，存在制度較少培訓、難以落地的情況，存在制度相互打架、不知所從的情況，存在制度與流程脫節的情況。因此，我國上市公司的內部控制仍需加強，我國上市公司的制度建設仍然任重道遠。

三、制度建設的機構設置與運作

為了加強公司制度建設，提高制度的健全性、有效性、可操作性和執行力，應建立一個制度評審機構，負責公司制度的評審、完善和監督執行。此制度評審機構可以命名為制度評審委員會，受董事長直接領導，由董事會辦公室、法務部、內審部、ISO體系管理部門的負責人組成，經董事長批準可增加其他成員。

制度評審委員會應制定《制度管理辦法》，對公司各項制度的起草、修訂、審批、頒布、存檔、培訓、執行、反饋等環節進行規范，對制度的格式、編號、類型、等級、檔案目錄等內容進行規范。制度評審委員會每年應對公司制度（包括內部控制制度、ISO體系文件、內部規章制度等各項制度）的運行情況進行總體評審一次，出具評審報告，對需要完善的制度列明修訂建議，經董事長批準后，交制度制定部門進行修訂。制度評審委員會應建立“制度審批流程”，公司各項制度的制定、修訂均應按照該流程進行，該流程包括申請人、相關部門征求意見、申請部門分管領導審批、制度評審委員會評審、上傳報批版、最終批準人審批、上傳簽字批準版、檔案部門存檔等節點。公司主要制度的制定、修訂等應交制度評審委員會評審，并根據制度評審委員會意見進行修改。公司制度出現爭議或不明晰時，由該制度制定部門負責解釋，制度制定部門解釋后仍不能厘定爭議的，報制度評審委員會裁決。

為了提高制度權威和便于傳閱、學習、執行，公司制度紙質版應由起草人、審核人、批準人簽字，并將掃描件交行政部門在公司OA等公共區域頒布。公司檔案管理部門應將制度原件收集歸檔，制作制度檔案目錄和現行制度目錄，并建立公司服務器建立制度共享盤，將公司制度分類存放，制作查看鏈接目錄，給各部門負責人開通查看權限。公司各級人資部門負責組織制度培訓工作，每年對各部門負責人至少進行一次制度培訓，新入職員工須進行制度培訓，培訓須留存培訓記錄。人資部門在制度培訓過程中發現或收到的問題、公司各部門在制度執行中發現的問題、公司內審部在內控檢查中發現的問題，均應及時反饋給制度制定部門，制度制定部門亦應定期跟蹤制度執行情況，進而及時更新制度。

四、制度建設的方法

（一）董事會辦公室制度建設

遵照上市公司的規則規范，建立公司章程，建立股東大會、董事會、監事會、董事會各委員會的議事和投票規則，建立各項信息披露制度，建立總經理、董秘、獨立董事的工作細則，建立控股股東、實際控制人、董事、監事、高管的行為規范。

其中，《對外投資管理制度》，規范對外投資的決策程序、審批權限、審批程序、監控、檔案管理等方面。《對外擔保管理制度》，規范對外擔保的類型、對象、審查與審批、合同管理、風險管理、責任人責任等方面。《關聯交易管理制度》，對關聯交易的范圍、關聯人報備、關聯價格確定、審查與審批程序、合同、信息披露等方面進行規范。《募集資金管理制度》，對募集資金的專戶存儲、使用、投向變更、管理與監督等方面進行規范。《控股子公司管理制度》，對控股子公司的設立、董監高管理、運行管理、財務管理、資產管理、法律訴訟等方面進行規范。

（二）財務部門制度建設

《財務管理制度》，對各科目會計核算、財務報告編制、財務管理體制、日常管理等方面進行規范。《貨幣資金和財務票據管理制度》，對現金、銀行存款、其他貨幣資金的存放、使用、審批、盤點等環節進行規范，對財務票據的類別、內控措施、收取、支付、盤點等環節進行規范。《固定資產管理制度》，對固定資產的定義、類別、管理職責、賬務核算、盤點、轉移、閑置、報廢、處置等方面進行規范，明確財務部門、采購部門、行政部門、IT部門、生產部門、各使用部門的職責和權限。《存貨及成本核算管理制度》，對存貨的采購、倉儲、生產制造、成本核算、呆滯品管控、盤點等方面進行規范。《預算管理制度》，對預算的內容、編制、審批、調整、執行、考核等環節進行規范。《出差報銷管理制度》，對出差申請、住宿標準、交通標準、差旅費借支、費用報銷等環節進行規范。《收付款管理制度》，對付款的種類、審批權限、所需單據等方面進行規范，對收款種類、授信管理、產品賒銷、應收賬款監控、應收賬款催收、壞賬處理等環節進行規范。《籌資管理制度》，對籌資預算編制與審批、籌資方案的編制與審批、籌資方案實施等環節進行規范。

（三）采購部門制度建設

《采購管理制度》，對采購類型、采購預算、采購申請與審批、供應商選擇、合同簽訂、合同執行、驗收、付款、檔案管理等方面進行規范。《供應商管理制度》，對供應商的分類、評定與準入、日常考核、年度評審、合格供方名錄、檔案管理等方面進行規范。

（四）銷售部門制度建設

《銷售管理制度》，對銷售預算與考核、銷售價格、合同簽訂、合同執行、發貨、收款、業務員管理、合同管理等方面進行規范。《客戶管理制度》，對客戶的分類、開發與維護、客戶檔案、客戶賬期、客訴解決等方面進行規范。

（五）行政部門制度建設

《印章管理制度》，對公司印章的類型、刻制、啟用、保管、使用、停用、銷毀、檔案、盤點等環節進行規范，明晰行政部門、印章保管部門、印章使用部門的職責和權限。《檔案管理制度》，對公司檔案的類別、歸檔程序、歸檔要求、保管要求、查借閱，相關紀律等環節進行規范，明晰檔案管理部門、歸檔部門、使用部門以及母子公司的職責和權限。《辦公用品、禮品和勞保用品管理制度》，對辦公用品、禮品和勞保用品的類別、購買、保管、領用等環節進行規范，明晰行政部門、領用部門的職責和權限。《文件管理制度》，對文件的類別、格式、保管、保密要求等方面進行規范。《通訊管理制度》，對固定電話、移動電話、傳真的開設、使用、資費等方面進行規范，對通訊錄（如座機號、手機號、郵箱）制作進行規范。《接待管理制度》，對接待的類別、禮儀、會議室安排、交通、食宿等方面進行規范。《保安和門崗管理制度》，對保安人員的值班、巡邏、紀律、禮儀等方面進行規范，對門崗的員工進出、車輛進出、物品進出、外來人員來訪、快遞信件收發等方面進行規范。《車輛管理制度》，對車輛類別、車輛使用、司機管理、車輛維修保養、交通事故處理等方面進行規范，對班車的路線、申請、駕駛員紀律、乘車紀律等方面進行規范。《食堂管理制度》，對食堂的食材購買、食品質量、衛生與安全（如食品、炊事人員、廚房、餐廳等）、就餐管理、資產管理等方面進行規范。《宿舍管理制度》，對宿舍申請、住宿紀律、衛生管理、安全管理、宿舍檢查、退宿等環節進行規范。

（六）人事部門制度建設

《員工手冊》，對員工日常工作中應遵守的行為準則、規章制度進行摘錄，對公司的企業文化、企業戰略進行濃縮，匯編成冊，一般包括禮儀守則、員工權利與義務、任職聘用、上班與考勤、考核與獎懲、福利與工資、行政管理、安全與健康、員工關系、客戶關系、供應商關系等條款。《招聘管理制度》，對人員編制、招聘申請與審批、招聘過程、入職、離職、勞動合同等環節進行規范。《考勤管理制度》，對考勤類型、考勤辦法、出勤時間、出勤要求、加班、請假等環節進行規范。《薪資福利管理制度》，對薪資類型、薪資結構、薪資標準、崗位職級、薪資計算、薪資發放、薪資保密、調薪、社保、福利種類、福利標準、福利享有等進行規范。《績效考核管理制度》，對績效指標、評分方法、考核程序、績效計算、績效發放等環節進行規范。《職位變動管理制度》，對職位變動種類、職位等級、職位要求、職位變動流程等方面進行規范。《獎懲管理制度》，對獎懲種類、適用情形、獎懲程序等環節進行規范。《培訓管理制度》，對培訓類型、實施辦法、培訓評價、培訓紀律、培訓費用等方面進行規范。《意外事故和工傷管理制度》，對意外事故和工傷的類型、報告程序、所需資料、處理標準、處理流程等環節進行規范。

（七）生產和研發部門制度建設

《生產管理制度》，對生產計劃、生產過程、生產質量、生產工藝、生產考核、生產人員、車間現場管理、作業指導書等環節進行規范。《生產設備管理制度》，對生產設備的類別、購買、維修保養、電氣安全、巡檢、閑置、報廢、處置、備品備件等環節進行規范。《倉庫管理制度》，對倉庫的出入庫管理、現場管理、盤點管理、單據管理、呆滯品管理等進行規范。《研發管理制度》，對研發的項目立項與審批、工作流程、工作考核、研發材料管理、實驗室管理、人員管理等方面進行規范。

（八）安環部門制度建設

《安全管理制度》，對安全管理的責任劃分、安全要求、安全培訓、安全預案、安全事件處理等方面進行規范。《消防管理制度》，對消防管理的責任劃分、消防要求、消防檢查、消防培訓與演練、消防器材使用與管理等方面進行規范。《工作環境與衛生管理制度》，對工作環境要求、清掃與保潔、室內衛生、垃圾處理、廢棄物管理、衛生設施與工具等方面進行規范。《安環巡檢管理制度》，對安環巡檢范圍、巡檢人員、巡檢職責、巡檢要求等方面進行規范，安環巡檢范圍必須包括危險化學品倉庫、一般化學品倉庫、危險廢棄物倉庫、污水處理設施、消防設施。

（九）法務部門制度建設

《法律事務管理制度》，對訴訟與非訴訟案件、法律事務咨詢、法律知識培訓、法律事務責任追究、法務審核程序、法務權限等方面進行規范。《合同管理制度》，對合同的擬訂、模板、審核、簽訂、履行、變更、解除、糾紛解決、檔案管理等環節進行規范，明晰合同承辦部門、財務部門、法務部門、檔案管理部門、內審部門的職責和權限。

（十）內審部門制度建設

《內部審計制度》，對內部審計機構的隸屬、人員配置、人員要求、職責、權限等方面進行規范，對內部控制評價、信息披露、審計檔案、獎懲等進行規范。《內部審計制度實施細則》，對內部審計、內部控制評價的工作內容、實施程序、出具報告、制定整改措施、跟蹤整改、考核和業務文書模板等方面進行規范。

（十一）信息部門制度建設

《信息化軟件管理制度》，對信息系統的類別、使用權限管理、密碼管理、操作要求、數據安全、測試與維護、需求改進等方面進行規范，對無線網絡、寬帶、網絡訪問權限、病毒防治等方面進行規范，對網站、微信公眾號、微信群、郵箱、OA的使用與維護進行規范。《信息化硬件管理制度》，對電腦、服務器及配件耗材的申請、審批、購買、領用進行規范，對電腦、服務器的維修、升級、回收、軟件安裝、日常檢查、機房管理、電源安全等進行規范。《公司流程管理制度》，對OA系統、財務系統、CRM系統等信息系統中的流程需求、流程設定、流程調整、流程審批、流程執行、流程撤銷、流程評審等環節進行規范，明晰信息部門、流程主控部門、人事部門、流程評審部門、各使用部門的職責和權限。

（十二）基建部門制度建設

《基建工程項目管理制度》，對基建工程的分類、項目申請、項目審批、比價與招標、合同簽訂、施工過程、驗收、結算、付款、承包商管理、檔案管理等方面進行規范。

結語

綜上所述，董事長直屬的制度評審委員會定期評審，各部門按上述方法進行制度完善，行政部門進行制度公示與歸檔，人事部門進行制度培訓，內審部門進行制度檢查監督，則上市公司的制度建設必將健全且高效。