企业内部控制信息披露质量提升研究

曹 海 梁运吉 刘桐君

（1.黑龙江龙煤鸡西矿业有限责任公司，黑龙江 鸡西 158199；2.哈尔滨商业大学，黑龙江 哈尔滨 150006）

一、引言

内部控制信息披露体系是一个企业向投资者公开披露其内部的经营管理信息的一种重要途径，有效的内部控制信息披露体系对于预警和减少企业的经营管理风险起到了具有十分关键的作用。各级相关监管部门不断地加强对于企业内部风险控制规范体系建设和财务信息披露工作等方面的监督检查，我国内部风险控制规范体系、相关的信息披露制度以及内部控制信息披露实践的有效性还有待进一步加强。信息是数字经济时代重要的竞争资源，对企业内部控制信息披露相关制度规范及其执行效果的分析十分必要。具体而言，现行企业内部控制信息披露相关规范还存在哪些可改进之处？企业内部控制信息披露相关规范的实施效果如何？实践中还存在哪些问题？对内部控制信息披露实践进行分析将有助于更加深刻地认识和了解上述问题，进而为进一步改进内部控制相关制度规范的设计和应用指南提供更具针对性的建议。

二、我国企业内部控制信息披露制度

表1 梳理了在不同发展阶段我国企业内部控制信息披露制度的代表性法规文件。由表1 可知，经过十余年的发展，我国内部风险控制性信息的披露已经由一个自愿披露的阶段逐步转变为了强制性披露的阶段，并初步形成了具有中国特色的内部控制规范体系。伴随着数字经济时代的发展，企业的商业模式和治理模式都发生了深刻变化，传统的内部控制规范体系已不能满足数据驱动和数字治理的新发展趋势对企业治理提出的新要求。不足之处如下：

表1 我国企业内部控制信息披露相关法规

我国内部控制信息披露规范在法律层面得约束力有待增强，以部门规章占比较多。就目前情况来看，我国上市企业的内控信息披露以自愿披露为辅助方式，以强制披露为主要方式，随着经济不断快速发展，这些企业会比较重视内部控制体系的建设，目前市面上所有的上市公司全部都进行了内控披露，但是，从综合年报方面上看，内部控制信息披露质量有待提高。

不同部门出台的规范性文件在内部控制和信息披露的内容上存在着差异，有些地方存在多头监管情况。目前，我国内部对于信息披露的控制性管理主体有财政部、证监会、审计署与银保监会四个部委，但不同部门出台的指引性文件对企业内部控制信息披露内容的要求不太相同。在独立董事意见评价方面，根据目前提供的报告来看，大部分存在着内容大致相似的情况。在机构进行核实审查方面，能够披露这方面信息的上市公司有待增加。

管理层对内部控制信息披露内容存在较大的自由裁量权。当前我国内部控制信息披露相关规定均为“原则导向型”而非“规则导向型”。而且，目前上市企业披露的内部控制信息格式有待规范，比如，标题、格式。就企业内部控制信息方面，创新性、及时改进性方面，在上市企业的内控报告中会涵盖子公司的控制股权结构和股票的持有比例方面的信息有待进一步完善。

三、内部控制体系建设的主要方法及工作路径

（一）明确工作的原则，遵循其工作原则

内控风险管理体系的设立包含的流程过于繁多、设计方面广。当在具体工作中具体方向不清晰，就会带来其工作过程偏离其目标发展的结果。内部控制的风险管理体系刚开始建立的阶段，就需要致力于有效地将企业和公司的管理与实践有机结合，这样便不会导致企业出现体制与具体的管理实践和操作相分离的结果，企业在这个阶段的同时还需要充分注意明确制度和体系的基本运行原则和机制，在其实施的过程中应该优先强调“三个坚持、三个结合”的根本工作规律。具体是坚持以总体发展是作为公司发展的第一位置的基本原则，做到内部控制和公司日常运营管理有机结合。坚持把重心放在进一步提高企业管理水平的基本原则，做到推陈出新传统中的经营理念，在继承中创造，在发展中继承。坚持把实际效益放在第一位的原则，做到不断完善体制和解决实际问题相结合。保证企业内部控制与风险管理全面融合，使其在设立过程中注意防控风险、规范操作流程以用来防范可能出现的风险。内控领导小组下设办公室，负责计划、完善相关制度，组织安排企业内控日常活动。

（二）打造内部控制网络体系，确保日常管控工作顺利进行

确保内部控制管理体系的建造和有效的运转，只有各个业务部门的协同协作是不够的，还需要企业的管理层积极参与和高度支持。因此，跟进公司内部的风险控制工作推进了风险管理与内部风险控制体系的建设，强化组织管理是很重要的。要切实地加强对风险管理工作的管控，明确公司董事会以及每个管理层对于风险管理人员工作岗位职责的划分，开展内部控制检查评价，编制内控检查报告，致力于打造一个由公司董事会、管理层、综合管理部门、职能管理部门和内部审计部门等共同构成的全面风险管理控制体系，风控管理必须实行“统一领导、分级负责”的管理方面的主要方法及工作路径。

（三）明确一条主线

从企业的整体出发，全面梳理各种业务的经营管理事项，按照控制要求，搜寻含有企业特色的风险控制管理体系建设途径，合理地分工各项业务的事项及职责权限，纵向管理各层面各阶级，横向对各个职能部门以及岗位之间进行梳理，对其职责进行重新界定，争取做到各项业务管理工作职责清晰，权限相当明确，科学有序，没有遗漏。把我国企业的风险管理工作作为主要指导方向，即按照全面风险管理的要求，有计划地组织开展了事件的识别和风险评估，对企业相关的风险采取了措施，从整个企业所包含的各种业务量来进行了系统性的分析，从企业风险事件发生的概率和可能性以及企业风险事件发生，对其运营目标的直接影响和严重程度等几十个角度对企业进行了分析，统一地对企业风险的基本认识和原因进行梳理，确定内部风险控制的关键节点，并以此为基础建立良好的风险控制活动，防范外部风险、控制内部风险，构建实现公司长期发展战略目标的自我免疫体系，提高全员人才对于风险管理的意识和技术能力，提升公司的风险预警和防范能力。分专业来落实，确保风控体系具备充分的适应性、针对性和体系在推广过程中运行的健康可持续性，按照突出专业特色、涵盖全面的业务、保障工作真正执行的要求，区分各个业务板块分别设计管控工作流程，紧扣专业的特点，有针对性地加快推进风控体系的建设。其次，要求所有上市的企业的董事会在年度报告中披露内控有关的信息，与此同时，还要做到要求监事会和由独立董事组成的审计委员会对其内部控制评价发表意见。为了防止形式化的内控信息披露出现，可以借鉴国外的一些相关做法，要求提供单独的内部控制报告。最后，加强对上市公司自愿披露内控信息的监管，可以从加大对内控信息披露违规的企业的惩罚力度，尽快完善证券法中的民事赔偿，在最大程度上降低违规企业的违规收益，另一方面，从增强证券监管的震慑作用，确立政府进行监管、行业自律管理、社会监督，这样三位一体监管。

（四）抓实两大载体，围绕体系建设提升公司管理水平

开展风控制度体系的建设，就是需要通过一套科学的方法来设计，有效地实施，主动地适应监督的要求，切实地提高公司的经营效率与管理水平。在风控制度体系的建设中，企业需要严格遵循设计思路和具体的实施办法安排，扎实地推进各环节的建设，特别要着力做好调研目标对象和穿行性测试两个主要环节的载体。调研中的对标工作既是风控制度体系构建的一个关键环节，又是保证和提高风控工作效果的一个重要载体，一方面，要求各级政府或者单位紧紧围绕自己现行的制度法律规范、工作绩效等多个方面，与相关行业和先进的企业经营管理人员进行了对标，查找并学习最优的管理实践和风控经营运行模型，确保人员对自己经营管理的现状有一个明确客观地了解和认识，为风控制框架系统的构建为用户提供了可靠的依据和原则遵循;另一方面，要在大量的访问和调研基础上，将其风控规范标准和企业经营管理现状相结合，进行了对标，这一风控规范的本地化过程，能够有效地保证其风控制度融入到企业中。穿行式测试主要指的就是对每一个流程都进行了端到终止的梳理与评估，主要用于确认所设计的工作流程是否正确完全、评估风控制度体系的设计能够正常运行以及风控制度是否能够得到有效实施。在测试的过程中，提高对于流程管理的重视度，掌握各个工作节点的重要性和薄弱环节，进一步考核体系建立和设计工作的科学性与执行有效度，从而促使各个岗位的职责更加鲜明明确，业务的执行也更加强大，管理秩序也得到了更加优化。

为了更好地保证我国大型企业的管理理论与风险防范控制体系相结合，在根本上能够保证其风险防范控制体系的功能和与企业的管理理论与实践相互融合，真正地提高我国大型企业的经营管理水平，要着重采取措施：一是从企业的设计工艺流程角度入手，严格把控制度流程化，制度工艺流程化，流程岗位化，人员以及岗位规范化的目标为导向，保证企业从完成自己的经营目标角度出发，把内部控制与风险防范放置在各种经营流程当中，各个经营流程都涵盖了企业的所有主体经营业务，与此同时还应该设立良好的控制环境和节点并定制化的管控措施，用来提高企业内部控制工作的可操性和其实效性。二是要严格落实风险沟通与确认的环节，也即风险控制的工作职能在各项业务流程中，规范与监督指导各个企业的管理活动，企业要在对风险的控制体系框架建立的过程中，要做到充分发挥各个企业的管理与经营部门的职能，例如管理单位要与专门的部门一起做到及时的沟通与确认，重点关注"对风险辨识的了解是否充分，责任是否清晰，流程是否全面完整并得到了优化，关键风险的控制点得当与否，风险的控制措施是否能够取得一定的成效，并且对于是否关于运用的操作考虑是否便捷方面来对其进行研究和确认，使得我国大型企业内部的风险控制措施能够在研究和讨论的过程中变得更为具有可操作性和现实的效果。三是要有机地把自己的工作融入和应用到整个企业的管理当中，企业必须结合自身经营和管控工作的实际情况，致力于推动对风险防范和控制标准的落地与深植，将这些规范化的标准全面、深入地应用和融入到整个企业的管理工作当中。要将企业当前的风控管理模式、管理载体和风控体系等进行有机衔接，做到风控管理和内部治安管理的有机统一，使得风控的工作从效果上和后期可持续的运行、系统维修等各个环节都能够得到有效的提高，确保风控体系的有效性。四是统一制定风险评估程序，组织公司的各个层面进行有序的风险识别与评估，由总部带头，深入地分析宏观经济的形式以及目前的竞争情况，在与自身实际相结合梳理形成企业内部控制风险的清单。五是控制责任与岗位职责能够相互匹配上，明确相关信息的收集、分析以及报告及处理程序等，按时提供企业日常业务活动中的重要的相关信息，全面准确地反映经济情况，增强内部控制的及时性和针对性。