强化内部控制是提升上市公司治理水平的当务之急

剧锦文

我国的上市公司整体上存在较为严重的内控问题，急需加强内控以提升公司治理水平

近来连续爆出的银行内部人员大肆挪用信贷资金的惊人犯罪案件，再次引起人们对我国公司内部控制现状的关注，也引起学者、监管当局和公司管理者对如何提升我国公司治理质量的思考。

公司内部控制的特点

内部控制是公司治理和企业管理的重要组成部分。美国ＣＯＳＯ委员会将公司内部控制定义为“由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。它主要包括:控制环境、风险评估、控制活动、信息和沟通、监督等几个要素”。2006年6月5日上海证券交易所发布的《上市公司内部控制指引》的第二条指出:“内部控制是指上市公司为了保证公司战略目标的实现，而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理层及全体员工共同参与的一项活动。”从这些定义中可以看出，公司的内部控制强调了以下几点:

一.内部控制要与企业经营目标相一致。受不断变化的内外环境的影响，为了达到企业预期的经营目标，企业必须对贯穿于经营的各个环节、方面进行适时监控，及时纠正偏离目标的任何行为。因此，内部控制是与公司治理、企业经营活动动态地结合在一起。

二.内部控制是对“内部人控制”的控制。两权分离的公司制使管理层成为实际控制人，公司的“内部人”总有侵占所有者利益的动机。因此，所有公司的内部控制都是针对“人”而设立并实施的。处于转轨过程中的中国公司，“内部人控制”问题十分严重，更该强调内部控制对“内部人”的控制。

三.内部控制是一个网状体系。内部控制的动源来自股东,但控制的责任则是逐级分摊的,并通过企业各层经营管理人员共同执行。理论上讲，企业中每一个员工既是控制的主体又是控制的客体，既对其所负责的作业实施控制，又受到他人的控制和监督。内部控制各要素之间存在着相互联系和相互制约的双边关系。

四.内部控制强调针对风险的控制。企业是在一个不确定的世界中运作的，规避风险是企业存在的前提和主要职责。内部控制就是针对企业的各种内外风险而实施的制度和政策安排。

中国上市公司内部控制的现状及其原因

安然事件暴露了美国公司内部控制的问题，震惊了整个世界。然而，中国公司的内部控制问题显然比美国更严重。德勤中国8月30日发布的“中国上市公司内部控制现状的调查报告”显示，74%的受访上市公司清楚了解监管机构对内部控制的要求，但只有20%的上市公司认为自身现有的内部控制体系能够完全满足监管要求;另有55%的企业认为内部控制体系设计不能完全满足监管要求。因此，尽管中国监管机构对企业内部控制和风险管理等方面的要求与国外成熟资本市场的要求接轨，但中国上市公司内部控制水平仍然较低。他们的调查还发现，对建立风险管理体系方面，76%的受访上市公司表示不了解或不确定如何有效地进行风险管理工作。有约72%的受访上市公司不完全同意企业本身有持续监控内部控制有效性的机制。

中国许多公司内部控制失效，丑闻频发，不仅周期在缩短，而且涉及金额有愈来愈大之势。我们以9月6日一审结束的中信银行(601998.SH，0998.HK)浦东支行一名普通信贷科长轻松地转移亿元资金为案例，窥视一下我国上市公司内部控制的现状。

43岁的蔡羽案发前担任上海泛洋城市度假村有限责任公司等多家公司的董事长和公司负责人，由于经营不善等原因，蔡羽的公司2005年左右相继陷入债务危机。为还债，蔡羽找到了中信银行浦东分行信贷科科长韩巍。2005年七八月间，韩巍与蔡羽合谋，由他通过银行内外的关系，找一些到中信银行浦东分行进行定期大额存款的单位，然后再利用他的职务之便，通过虚假的金融凭证，将钱“倒”出来。从2005年10月到2006年2月，短短半年间，先后将四家公司在该银行的1.399亿定期存款，转到蔡羽的私人账户里。

按照银行的业务流程，针对巨额存入或划出，银行一般都由“接柜-记账-复核-总账”四个流程。“验印”一般在“记账”阶段，如果“验印”不出问题，后面的流程就基本没有问题。可见，银行的“验印”是一个关键的高风险环节。然而，根据中信上海浦东分行的案例，如果银行的“内部人”与负责“验印”环节的会计部人员熟悉，是较容易地盖上验印通过的章的。这样，看起来先将大量资金“存入”银行，再由银行“贷出”，银行账目上很难发现异常情况。

银行本身是一个高风险的行业，既然银行的内部控制都如此无效，其他企业的状况就可想而知了。那么，中国公司的内部控制为什么如此无力？主要原因有三:

第一，股东职责“缺位”。中国的公司多数由国企改制而来，以前人们常说“所有者缺位”、“股东缺位”，实际上，每个公司都有明确的股东，而真正缺失的是股东的责任。国有股东并不是真正意义上的股东，他们并不会像自然人股东那样在乎其出资以及因出资带来的收益。正因如此，国有大股东没有任何激励去关注公司运作中的各种风险，公司针对风险的各种控制制度和措施自然就会流于形式。

第二，缺乏风险控制意识、规章制度和专业人才。正是由于股东职责缺失，内部人并不惧怕经营失败，防范风险的意识自然就淡漠，甚至会故意把决策建立在高风险项目上，以从中浑水摸鱼。此外，目前我国公司因为长期忽视风险控制，不重视引进和培养风险管理方面的人才，以至于风险管理的组织架构和风险管理人才普遍缺乏。

第三，大多数公司缺乏完善的内部控制体系。股东职责缺位是公司内控失灵的深层原因，一些公司没有建立起完善的内控体系同样是一个因素。德勤中国的调查说明，我国许多上市公司更多地将内部控制建设视作只是为满足监管要求而做的一次性工作，并未将内控看作公司日常经营管理的重要组成部分。因此，多数公司并不重视构建包括内部控制在内的常效管理机构、汇报机制和日常监控手段等。结果是公司内部的透明度很低，一些员工很容易掩盖自己的违法行为记录。

公司治理意义下的内部控制构建与实施

强化股东的职责以从源头加强和完善企业内部控制或许是个长期渐变的过程。就现况而言，为提升我国上市公司的治理水平，可采取如下对策:

首先，要针对公司的具体情况，建立健全各种内部控制的规章制度，以及相应的实施细则。建议公司建立风险控制的应急机制;要明确界定组织机构及其对应的管理权责，为实施控制和监督活动提供基本的制度框架和工作流程。

其次，要转变董事会的职能。目前我国公司的董事会把主要精力用在企业的经营方面，多数人不懂或不愿意承认董事会并不主要是运营企业，而是负责选拔经理人员，并监督其运营的绩效。因此，转变董事会职能，强化其监督功能是提高公司内部控制水平的重要方面。比如在上市公司董事会中一定要设置审计委员会，其成员由董事长、非执行董事、总审计师和独立董事等组成，其中独立董事一定要占到多数比例;

再次，要针对关键环节、关键部门设置特别的风险控制机制。企业中的人不可能像机器一样按规则运转，人的行为的任何偏差都构成风险，但我们总能分出大小风险。针对风险大的环节和部门设置多层防范机制、责任追究机制以及激励机制，对于增强公司内部控制能力是十分必要的。比如强化企业的会计、审计控制系统，要突出会计核算和会计监督这一环节，从会计和审计环节入手，并向其他管理环节延伸，逐步形成企业内部控制网络。

作者为中国社会科学院经济研究所研究员