上市公司應從「會計控制」到「管理控制」

2009-4-30 16:54　於立華劉秋明　【大中小】【列印】【我要糾錯】

隨著上市公司違規和舞弊案件浮出水面，內部控制再度成為投資者、監管層和**關注的焦點。人們越來越深刻地意識到，一家缺乏有效內部控制的上市公司，其風險無時、無處不在，隨時都可能給投資者帶來巨大損失。但長期以來，除了財政部頒布的《內部會計控制基本規範》外，我國尚沒有針對上市公司的內部控制規範，上海**交易所出台的《上市公司內部控制制度指引》（徵求意見稿，以下簡稱「指引」）適時填補了這一空白。

指引借鑑coso組織內部控制整體架構（ic-if）及企業風險管理（erm）的先進理念和研究成果，使我國上市公司內部控制從傳統會計控制過渡到管理控制階段，實現了與國際先進理論接軌。該指引具有哪些特點？存在哪些不足？

以下將對指引內容進行全面解讀和分析。

一、關於內部控制目標

內部控制目標的定位，反映了人們對內部控制認識不斷深化的過程。2023年，美國審計準則委員會第1號審計準則公告（sas no.1），把內部控制劃分為會計控制和管理控制，內部會計控制的目標在於將保護資產安全完整，保證會計資料可靠性和準確性；內部管理控制的目標在於提高經營效率和保證管理部門所制定的各項政策得到貫徹執行。

2023年第55號審計準則公告（sas no.55）提出了「內部控制結構」的概念，不再區分會計控制和管理控制，其目的是「合理保證企業實現特定目標」。2023年coso組織的內部控制整體架構認為，內部控制的目標在於合理保證財務報告的可靠性、經營的效果性和效率性以及法律法規的遵循性，企業風險管理在內部控制整體架構的基礎上更進一步，認為除了上述三個目標外，還應包括公司戰略目標。

在內部控制的目標定位上，指引第二條規定，上市公司內部控制制度的目標依次為控制公司風險、提高公司經營的效果與效率、增強公司資訊披露的可靠性、確保公司行為合法合規，最終實現公司戰略目標。上述目標定位，吸取了coso組織內部控制整體架構和企業風險管理兩個文獻的理論精華，體現出風險導向和績效導向兩大特點。風險導向內部控制是針對影響組織目標實現的風險做出迅速反應的方法，內部審計師與管理部門一起識別和評價經營風險，在收集資料、認識並評價風險的過程中，對組織經營面臨的風險與改良時機產生深刻見解。

風險和控制在實質上是「同乙個硬幣的兩面（two sides of same coin）」，出於減輕和規避風險的需要，人們才設計內部控制系統，不存在風險，也就無所謂內部控制，只有將內部控制與特定的風險因素聯絡在一起時，內部控制才顯得尤為重要。內部審計師在對內部控制進行分析和評價時，更為關注組織目標、戰略和風險管理程式，更為強調內部控制在風險規避、風險轉移和風險控制中發揮作用。傳統內部控制以交易事項和財務處理為重點，體現了內部控制查錯防弊的目標，績效導向內部控制，突出了內部控制從消極防弊發展到積極興利，從強調防護性發展到強調效率性和效果性。

風險導向和績效導向的內部控制最終都服務於實現公司戰略目標。

從我國相關的規定看，內部控制的目標定位主要還是侷限於會計資料的真實、合法與資產的安全和完整以及查錯防弊等方面。這種目標定位更多地考慮了我國經濟發展和企業經營管理的實際情況，上市公司作為我國企業中的特殊群體，對內部控制具有更高的要求，內部控制不僅用以防弊，還要興利和增值，指引在內部控制目標的設定上前進了一大步。

二、關於內部控制主體

關於內部控制的主體，學術界和實務界已基本達成一致。例如，coso組織在內部控制整體架構的定義中明確了內部控制的主體，認為內部控制「受企業董事會、管理當局和其他員工影響」。正是「人」的因素使內部控制發揮作用，良好的內部控制將責任賦予管理當局，他們負責設立內部控制目標，使控制機制和作業發揮作用，並對內部控制進行監督和評價，coso組織同時也強調組織內所有人在內部控制中均發揮著重要作用。

倫敦**交易所的特恩布林報告（turnbull report）認為董事會、管理當局和員工在內部控制系統中負有不同的職責，其中董事會對公司內部控制系統整體負責，應制定適當的內部控制政策，尋求日常保證，使內部控制系統能有效發揮作用；管理當局負責執行董事會制定的風險和控制政策，應確認、評價公司所面臨的風險，設計、執行和監督內部控制系統；公司員工有義務將內部控制作為其責任目標的組成部分，他們應具備必要的知識、技能、資訊和許可權，以建立、執行和監督公司內部控制系統。董事會、管理當局和員工各司其職，相互協作，形成責任層次分明的統一體，管理當局對內部控制負有主要責任，但組織中的每個成員都對內部控制分擔責任，從而使所有員工團結一致，而不是與管理當局對立。上述任何乙個控制主體出現失誤和過錯，均可能導致公司整體內部控制系統失效。

針對上市公司內部控制的主體，指引做出了明確規定，指引第三條規定，「董事會應確保內部控制制度健全有效，董事會及其全體成員應保證內部控制制度相關資訊披露內容的真實、準確、完整」。與內部控制整體架構和特恩布林報告相比，指引僅把董事會作為內部控制主體，而忽略了另外兩個同等重要的控制主體，這是指引的一大缺陷。以銀鴿投資[6.

80 -1.31%]（600069）為例，其鄭州分公司原負責人未經公司股東大會和董事會授權，分別於2023年、2023年和2023年1至5月對外提供委託理財資金共計2.74億元、2.

00億元和2.70億元，還以銀鴿投資賬內銀行存款作保證，向銀行借入資金後流入鄭州分公司「賬外賬」進行**炒作，該公司高管上述行為均給公司帶來鉅額損失。應該看到，在乙個健全、有效的內部控制系統中，僅董事會發揮作用是遠遠不夠的，若管理當局對董事會制定的風險管理和控制政策視而不見，一線員工拒不執行相關控制作業，甚至惡意踐踏，無論設計多麼完美的內部控制都將形同虛設，無法真正發揮作用。

三、關於內部審計職能

從英國內部審計實踐的演變看，卡德伯利報告（cadbury report）認為內部審計是對外部審計的補充，設立內部審計機構對內部控制進行監督是良好實務的組成部分，這種日常監督也是公司內部控制整體中的一部分，它有利於保持內部控制系統的有效性。其後的哈姆佩爾報告（hampel report）認為，沒有必要對內部審計做出強制性規定，特恩布林報告（turnbull report）關於內部審計的觀點是，公司是否設立內部審計機構，取決於對公司規模、行為的多樣性和複雜性、員工數量以及成本效益等因素的綜合考慮。

指引強制性要求上市公司應設立內部審計機構，配備專門的內部審計人員，負責內部控制審核工作。長期以來，內部審計在許多上市公司內未得到應有的重視，不少人抱有內部審計人員只是「簡單地重複外部審計的工作」，只是審查「數豆子的人是否將豆子數得一粒不差」等類似的偏見。各公司在機構設定和責任安排上也不盡相同，有的內部審計部門隸屬於財務部門，向財務總監負責；有的隸屬於高階管理層，向總經理負責；也有的隸屬於董事會下的審計委員會，向審計委員會負責。

指引對內部審計機構設定和制度安排做出了統一規定，要求「內部審計部門對董事會負責，直接向董事會報告，內部審計部門負責人也應由董事會任免」，董事會下屬審計委員會或風險管理委員應為內部審計工作提供「指導」。這些舉措有利於提高內部審計部門在公司中的地位，提公升內部審計人員和內部審計工作的獨立性，擴大內部審計在公司中的影響力。

指引明確了內部審計的職能和工作重點，要求內部審計應將收購和**資產、關聯交易、從事衍生品交易、提供財務資助、為他人提供擔保等重大事項作為內部審計工作的「必備事項」，進行重點審計。實踐證明，這些領域正是蘊藏巨大風險，內部控制最容易失效的關鍵領域，涉足這些領域也為上市公司內部審計發展提供了乙個嶄新的平台，使之不再侷限於傳統的財務審計，而是介入到發展前景更為廣闊的業務審計和綜合審計領域。指引還規定應把檢查中發現的內部控制制度缺陷及實施中存在的問題，據實在審核工作報告中反映，並應在向董事會報告後進行追蹤，以確定相關部門是否及時採取適當的改善措施，這些要求內部審計人員不僅要發現問題，還要協助解決問題。

在報告機制上，指引做出了雙重報告的制度安排，即內部審計同時向董事會和專門委員會提交報告。作為董事會的「眼睛和耳朵」，指引規定內部審計部門應至少每季度向董事會提交一次審核工作報告，針對發現的重大缺陷和重大風險，應及時向董事會報告。此外，內部審計還應向董事會下屬審計委員會或風險管理委員會提交內部控制制度檢查核對表，審計委員會或風險管理委員亦應評價公司內部控制制度執行的情況，發表專項意見，並向董事會報告。

這種雙重報告制度安排，使董事會可以「兼聽」，獲取更多、更為全面的資訊。

四、關於內部控制資訊披露

上市公司應從「會計控制」到「管理控制」

上市公司會計監管研究基於內部控制規範的視角

上市公司會計部管理手冊

上市公司內部控制自查階段工作安排

上市公司應從「會計控制」到「管理控制」

上市公司會計監管研究 基於內部控制規範的視角

上市公司會計部管理手冊

上市公司內部控制自查階段工作安排

相關推薦

上市公司會計監管研究基於內部控制規範的視角