如何构建适应严监管要求的上市公司内部控制体系

在中国经济进入“新常态”和中美博弈的宏观环境下，振兴和活跃资本市场被国家领导层提到了前所未有的历史新高度。2023年7月24日，中共中央政治局召开会议，首次提出“活跃资本市场，提振投资者信心”；2024年4月，中央政治局会议再次提及资本市场，提出“持续稳定和活跃资本市场”；2024年9月26日，中共中央政治局召开会议，再提“努力提振资本市场”，关注中长期资金入市、并购重组、公募改革（第一次提）和中小投资者保护；同日中央金融办、中国证监会联合印发《关于推动中长期资金入市的指导意见》。

围绕提振和活跃资本市场，提高上市公司质量、鼓励长期资金入市、保护投资者尤其是中小投资者合法权益成为三大重点，这其中，提高上市公司质量是重中之重。为此，中央政治局会议提出要全面落实强监管严监管要求，着力防范化解金融风险特别是系统性风险。中国证监会全面落地《国务院关于加强监管防范风险推动资本市场高质量发展的若干意见》要求，认真落实《关于进一步做好资本市场财务造假综合惩防工作的意见》，突出惩、防、治并举，维护市场“三公”，进一步健全法规制度，强化执法震慑，突出提升精准性，突出“追首恶”，严厉打击欺诈发行、财务造假等违法违规行为；用好大数据等技术手段，增强非现场监管和现场检查穿透力，提升“四早”特别是早识别能力；加强监管协同，强化准入、日常监管与稽查处罚的高效衔接，增强整体监管效能。

基于上述背景，内部控制体系作为有效防范企业内部舞弊和财务造假的重要手段，也被监管部门提高到了前所未有的高度。

 一、政策导航：资本市场内控监管政策解读 

2008年五部委发布的《企业内部控制规范》以及2010年发布的《企业内部控制配套指引》是中国关于内部控制监管的里程碑文件；2012年，财政部办公厅和证监会办公厅联合发布《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》（财办会[2012]30号文），全面启动了国内主板上市公司分类分批实施内部控制规范体系工作。

随着国家对于资本市场重视度的提升，2020年，国务院发布《国务院关于进一步提高上市公司质量的意见》（国发[2020]14号），把提高上市公司质量放在中央政府的高度加以着重强调，该文件明确提及：

“规范公司治理和内部控制。完善公司治理制度规则，明确控股股东、实际控制人、董事、监事和高级管理人员的职责界限和法律责任。控股股东、实际控制人要履行诚信义务，维护上市公司独立性，切实保障上市公司和投资者的合法权益。股东大会、董事会、监事会、经理层要依法合规运作，董事、监事和高级管理人员要忠实勤勉履职，充分发挥独立董事、监事会作用。建立董事会与投资者的良好沟通机制，健全机构投资者参与公司治理的渠道和方式。科学界定国有控股上市公司治理相关方的权责，健全具有中国特色的国有控股上市公司治理机制。严格执行上市公司内控制度，加快推行内控规范体系，提升内控有效性。强化上市公司治理底线要求，倡导最佳实践，加强治理状况信息披露，促进提升决策管理的科学性。开展公司治理专项行动，通过公司自查、现场检查、督促整改，切实提高公司治理水平。（证监会、国务院国资委、财政部、银保监会等单位负责）”

为了有效贯彻《国务院关于进一步提高上市公司质量的意见》（国发[2020]14号），2022年，财政部和证监会联合发布《关于进一步提升上市公司财务报告内部控制有效性的通知》（财会[2022]8号），该文件明确指出：

“充分认识加强财务报告内部控制的重要意义……有关地方和单位要高度重视，切实提升上市公司财务报告内部控制的有效性，充分发挥内部控制在上市公司财务报告中的控制关口前移、提升披露透明度、保护投资者权益等重要作用。 ”

此外，该文件明确指出了上市公司内部控制的重点领域，包括资金资产活动相关舞弊和错报的风险与控制、收入相关舞弊和错报的风险与控制、成本费用相关舞弊和错报的风险与控制、投资活动相关舞弊和错报的风险与控制、关联交易相关舞弊和错报的风险与控制、重要风险业务和重大风险事件相关的风险与控制、财务报告编制相关的风险与控制。

在内部控制组织责任方面，该文件明确指出：

“（一）上市公司作为第一责任人，要确保财务报告内部控制有效实施。……（二）会计师事务所要发挥审计监督作用，重点审计财务报告内部控制有效性。……

（三）政府监管部门形成合力，强化对上市公司和会计师事务所监管。”

2023年，财政部和证监会联合发布《关于强化上市公司及拟上市企业内部控制建设推进内部控制评价和审计的通知》（财会〔2023〕30号）（彼时笔者恰逢借调证监会担任会计顾问助理，有幸亲身参与了该文件的起草工作），要求A股全板块上市公司、北交所上市公司以及拟上市公司自2024年报起须强制执行内部控制审计工作（聘请会计师事务所实施财务报告内部控制审计），该文件进一步加强了对上市公司和拟上市公司的内部控制监管的强度（此前创业板、北交所上市公司并不强制要求开展年度内部控制审计工作，拟上市公司只需要开展内部控制鉴证工作而非严格遵循《企业内部控制审计指引》的内部控制审计工作）。

2024年，证监会又进一步发布了《关于严格执行退市制度的意见》，该文件第一次明确提出内部控制退市情形，提出“增加连续多年内控非标意见退市情形，督促上市公司切实强化内部管理和公司治理；增加控制权长期无序争夺导致投资者无法获取上市公司有效信息的退市情形，保障中小投资者知情权；上市公司内控失效，出现大股东大额资金占用且不整改的，在强制退市中予以考虑。”

综上所述，我们可以发现，当前国内资本市场监管部门对于上市公司的内部控制体系的建设、运行和优化的重视程度提高到前所未有的高度，其主要监管思路可以总结如下：

（1）上市公司在上市之初即须建立完善的内部控制管理体系。须正式发布内部控制相关体系文件和配套管理制度并明确执行，明确内部控制建设优化主责部门和内部控制体系评价主责部门（内审部）；

（2）内部控制环境失效是红线。如控制权长期无序争夺导致投资者无法获取上市公司有效信息，如大股东大额资金占用且不整改；

（3）财务报告相关内部控制活动是重点，包括涉及资金资产、收入、成本费用、投资、关联交易和财务报告编制的内部控制活动；

（4）强调外部审计师的“看门人”作用。强调压实外部审计师的审计监督作用，要求外部审计师重点审计财务报告内部控制有效性。

二、挑战面对：上市公司内部控制面临的现实问题

在严监管政策全面落地的背景下，国内上市公司尤其是民营上市公司内部控制工作正面临监管要求快速升级与企业面对的经营环境和风险日趋复杂的双重压力，迫切需要将企业自身内部控制体系做深做透做扎实，不断提升公司治理水平，有效防控内部舞弊和保证财务报告的真实准确完整。

目前，上市公司内部控制面临如下两大现实问题与挑战。

（一）上市公司公司治理水平不高，内部控制监督力度不强

（1）公司治理水平不高，内控意识不强，内控环境不佳

有相当数量的上市公司治理水平不高，仍然存在大股东和实控人“一言堂”和“一支笔”现象，部分上市公司仍然存在大股东、实控人、董事长、总经理由同一人担任的情况，这种人员混同为实现“管理层凌驾”大开方便之门，从而导致内部控制环境不佳，使得部分企业管理层对于内部控制认识不到位。

有的上市公司有意无意虚化和弱化董事会及其下设的专门委员会的作用，有的上市公司一年都不召开一次董事会战略委员会会议，有的上市公司管理层觉得董事会审计委员会由于是由独立董事召集和主导，就有意虚化和弱化其作用，不到万不得已尽量不打交道，导致审计委员会委员对公司信息了解不够充分和及时，起不到风险控制的相关作用，有的审计委员会委员对于公司内部控制实际运行状态知之甚少，根本起不到监督作用。有的上市公司内审部与董事会审计委员会沟通甚少，严重弱化了内审部向审计委员会的汇报关系，使得审计委员会对于上市公司的内部控制评价和整改工作缺乏实际的指导和监督。

有的上市公司管理层和中层普遍区分不清楚管理制度体系和内部控制体系的关系，对于内部控制的宣贯培训不到位，有的认为建立规章制度实际上就是一种内部管理控制；有的将内部控制体系虚化为一套纸面上的制度文件，只用来应对外部监管，企业内部运行流程与内部控制体系脱节；有的上市公司管理层搞不清楚质量管理体系和内部控制体系的联系与区别；有的将内部控制窄化为管理过程中的授权审批，而相当多的基层员工则认为这只是管理层的职责。

（2）形式化内控大量存在

形式化内控现象大量存在。内部控制体系与业务管理结合不够紧密，部分企业甚至形成了“两张皮”现象，内部控制对于核心业务的经营管理结合不紧密，部分上市公司机械照搬《企业内部控制应用指引》，对于生产管理、质量管理、环保管理等关键业务环节缺乏适用的内部控制安排。甚至有的上市公司将企业生产和质量管理游离于内部控制体系之外，搞不清楚ISO9000质量管理体系和内部控制体系的区别和联系，很多企业制定了大量的规章制度，但是缺乏公司层面的统一制度管理，不同部门制定的制度协调性不强，甚至出现“制度打架”的情况，实际执行环节仍大量依赖领导“拍板”，制度主要用于应付外部检查之用，有的上市公司制度修订不及时，甚至过了5年都没有做过像样的管理制度体系修订和完善工作；在业务流程执行方面存在不少“补流程”、“形式上走流程”的现象，文档留痕形式大于实质，表单填写形式化，很多文档记录内容空洞，语焉不详。

（3）内控监督力度不强

内部控制监督力度不强，不少上市公司对于内控自评价工作采用应付态度，强制披露的《年度内部控制自评价报告》内容空洞，上市公司主体对于下属企业的内控监督评价力度不强，内控评价报告模板化，问题描述避重就轻，内控评价报告的跟踪整改不到位，存在整改要求停留在加强培训等内容，未追踪实际效果，存在应付了事的情况。

（4）企业管控层层衰减

在部分大型上市公司尤其是部分大型国有上市公司中，企业管控层层衰减问题体现较为突出，较为严重影响了内部控制的有效性落地。具体体现在，内部控制体系和相关管理制度的落地衰减问题，上市公司主体制定的风险、内控、合规制度和流程在基层执行时被简化甚至规避，虽然通过实施企业层级压降，部分缓解了这个问题，但是基层单位（尤其是在三级和四级企业）对于风险的敏感度明显低于上市公司主体要求的情况仍然大量存在，企业管控衰减仍然较为明显，部分子公司以“本地化调整”为由，变通执行甚至阳奉阴违情况时有发生，上市公司主体难以及时、准确获取基层单位真实经营数据，存在“数据美化”和“选择性汇报”，重大风险事件被层层过滤；在监督问责方面，同样存在层层递减现象，集团审计、内控评价、纪检发现的问题，在子公司整改时“高举轻放”，对违规行为处罚力度逐级削弱。

有的民营上市公司管理层内部山头现象严重，企业管控层层衰减现象存在管理层成员故意为之的痕迹，部分管理层成员把自己主管的下属公司当成“自留地”和“后花园”，对其他管理层成员乃至部分董事都层层屏蔽，形成“企中有企”的怪象。

（二）内部控制信息化和数智化水平不高

（1）信息系统孤岛现象较为严重，严重影响了内控效果

相当多的上市公司缺乏对企业信息化和数字化的顶层设计机制，财务、采购、生产、销售等业务系统往往由相关部门主责推动建设，信息化部门的统一规划和协调作用发挥不充分，各个数据系统间数据互联互通不充分，导致建立在流程层面的内部控制体系难以发挥全部作用。

（2）系统功能与内部控制需求衔接不紧密

现有很多业务系统多为通用性软件，并未针对上市公司特殊管控要求开展定制化开发，与内部控制控制点无缝嵌入的信息化要求存在一定差距。有的上市公司内部流程主要依赖OA系统，但相关OA系统对于内部控制方面的考虑不足，无法完全满足相关控制点的要求，系统流程简单机械照搬相关制度要求，未充分考虑业务实际的多种场景开展灵活性设计，导致实际执行中，出现各种不规范操作（如拆单操作、流程下一步的岗位角色选择范围过大）。

（3）数据治理水平不高，难以应用高级数智化手段

主数据管理普遍不到位，不同部门主导的主数据之间口径往往不一致，基础数据录入不规范，历史数据未充分清洗，导致数据质量不高，分析结果失真，严重影响了数智化能力的发挥，内部控制信息化多半停留在“流程线上化”和“非结构化文件记录”的层次，系统数据智能化查询和分析能力偏弱，风险预警和主动风控难以实施。

三、体系构建：适应严监管环境的上市公司内部控制体系构建探索

在资本市场内部控制监管日趋严格的“长牙带刺”的环境下，上市公司须构建更加健壮和完善的内部控制体系，并将内部控制体系做深做透做扎实，并通过以评促建和以评促改形成一个自我完善的闭环，这样才能有效防控内部舞弊，保证财务报告的真实准确完整，切实达成监管层的愿望，经得住监管检查。

（一）组织保障：完善上市公司内控环境

在“长牙带刺”式的严监管纵深推进的背景下，上市公司需立足自身治理结构与业务实际，将公司治理水平提升、内控环境改善、内部控制组织完善作为重中之重，通过强化董事会负责、内部控制职能部门统筹协调作用，深化跨部门协同，形成权责清晰、协同高效的组织架构。

· 搭建良好的公司治理架构：搭建良好的公司治理组织架构，尽力避免大股东、实控人、董事长、总经理由同一人担任，在董事会议事规则和总经理办公室议事规则中设计完善的回避制度安排，从公司治理层面有效降低“管理层凌驾”风险。

· 董事会：落实董事会全链条内控监管职责，董事会具体负责内部控制体系建设、评价的工作决策，董事会下设的审计和风控委员会要发挥董事会专业咨询机构的作用，为董事会在风险管理和内部控制方面作出重大决策提供咨询、建议。

· 管理层：激发管理层的经营活力和管理主动性，切实承担起内部控制体系建设和评价的组织和执行工作，编制相关工作报告，指导下属公司开展内部控制体系建设及监督工作。

· 内部控制职能部门：充分发挥内部控制主责部门（包括内部控制体系建设主责部门和内部控制体系评价主责部门）作用，其中内审部应为内部控制评价主责部门，充分发挥内部控制体系统筹协调、组织推动、督促落实、监督评价的作用，对照监管的要求，会同相关部门厘清和评估企业公司治理、管控模式、运行机制、制度规范、技术手段等方面的适配性、有效性，有效组织开展内部控制体系建设、优化和评价相关工作，以评促建，以评促改，持续优化内部控制体系，确保监管工作部署一贯到底、落地见效。

· 明确内审部向董事会审计委员会汇报工作关系：在工作制度层面，切实落实内审部向董事会审计委员会的汇报关系，内审部不得由管理层成员分管，保障内审部在执行企业内部审计工作的独立性，切实发挥审计委员会的对于内控评价工作的监督和指导作用，发挥相关独立董事的监督作用。

（二）制度和流程保障：夯实内部控制体系

健全的管理制度和流程体系是开展内部控制工作的基础。在监管“实质重于形式” 原则下，制度体系建设需从 “合规覆盖” 转向 “风险导向”，通过系统化、立体化制度设计，提升内部控制工作对资本市场监管要求的适配性。

· 做好外规内化：建立“资本市场监管要求-上市公司主体制度规定-子公司执行标准” 三级制度对照体系，确保监管政策自上而下精准落地。制定制度动态评估机制，定期开展制度合规性审查与适用性完善，对内部现行各项规章制度设计缺陷进行评估，及时做好制度“废改立”工作，确保监管要求内化为企业内控目标和管理行动，保障制度与监管政策同步更新。

· 完善内部控制与企业授权清单的挂钩机制：基于风险导向原则，结合各个监督条线发现的突出问题，合理确定和更新企业授权清单，每年至少评估一次授权执行情况，对存在内控体系缺陷、内控管理失效、违规行权或转投权等问题的，及时开展授权调整和更新。

（三）基于风险导向原则开展重点领域内部控制工作

在监管“实质重于形式”原则下，上市公司需要基于风险导向原则，紧盯重点领域，强化内部控制的刚性管控作用。

· 重点围绕财务报告相关内部控制开展设计和执行工作：紧紧守住资金管理底线，严防“大股东资金占用”红线，围绕资金资产、收入、成本费用、投资等影响财务报告结果的重点领域以及关联交易这类敏感领域开展针对性内部控制设计并严格执行，加强员工岗位培训，提高员工职业胜任能力，严格绩效考核和员工追责，督促员工认真履职，勤勉尽责；

· 重点围绕财务报告相关内部控制开展监督评价工作：基于风险导向原则，哪里有重大风险，哪里有重点控制，发挥内部控制体系“治已病、防未病”的作用，将内控监督评价重点放到监管关注事项上来，围绕财务报告相关内部控制展开深入评价，问题要一杆子插到底，追溯到风险源头，找到问题根因，对于收入、成本费用、投资、资金资产、关联交易等重点领域要重点发力，对于内部舞弊问题要零容忍，发现一起查处一起，绝不姑息，切实保证财务报告的真实、准确和完整，守住不发生财务造假的底线。

· 加强覆盖事前、事中和事后的全链条风险管控：坚守底线思维，强化风险源头把控、过程监控和结果管控。通过风险防控责任台账、重大经营风险事件报告等机制压实风险监测预警防控责任，强化责任追究，把风险管控扩展到事前事中事后全链条，将企业风险控制到可接受范围之内。

· 提升内控评价质效：加大内控分析力度，对于内控失效深层次问题要一追到底，将内控监督评价范围深入到三级以下子企业，紧盯管控层层衰减问题，加大对三级以下基层经营单位的经营行为、资金流动、重大风险、违规责任的监督力度，增强内控监督评价的威慑力和精准性。

（四）深入推进内部控制数智化转型

技术创新是推动内部控制质效提升的有效手段。上市公司需以“数据驱动、智能预警、安全可控”为目标，构建全链条数智化内部控制技术体系，实现对经营管理活动的深入实质性内控监督。

· 夯实内部控制信息化基础：全面实现将内控要求无缝嵌入各类业务信息系统，提高系统自动识别并终止超越权限、逾越程序等违规行为的能力。全面提高控制点的信息化实现率，强化业务信息系统和财务系统的关键节点控制。对已上线运行业务信息系统开展内控穿行测试，全面排查流程设定与制度要求不一致、风险控制点和控制要求未嵌入信息系统、人为规避系统监管等内控缺陷，最大限度减少人为操纵因素，确保各项经营管理决策和执行活动可控制、可追溯、可检查。

· 在内部控制信息化基础上积极向内部控制数智化的转型：在内控信息化扎实和富有成效的基础上，切实提升数据治理能力，加强信息化和数字化顶层设计能力，积极探索利用人工智能、大数据等信息技术手段，实现经营管理决策和执行全程控制、自动预警、跟踪评价等在线监管功能，推动内控体系由“人防人控”向“技防技控”乃至“智能化风控”转变。尤其在风险预警领域，探索运用数智化手段，强化高风险子企业和高风险项目的风险监测，加强苗头性、隐秘性、交叉性风险的早期识别和早期预警能力，以便能提早研究制定风险应对方案，避免发生系统性风险。

随着资本市场严监管从政策要求转化为企业实践，上市公司亟需构建相适应的内部控制管理体系，将内部控制体系做深做实做扎实，助力实现上市公司高质量发展。

来源：信永中和