拟上市民营企业内控体系建设探析与实践

●李景厅

股票发行注册制的全面实施加强了对企业信息披露和监管的要求，提高了市场透明度和对投资者的保护。在这一背景下， 对企业的内部控制要求则更高。 在全面注册制的“严监管”和“重内控”要求下，拟上市民营企业如何在尽可能短的时间内完成内控落地，达到上市企业内控要求，顺利上市融资，是亟须解决的难题。

“管理制度化、制度流程化、流程信息化” 是中央企业内部控制体系建设的要求， 也是民营企业内部控制体系建设发展的趋势。 要想解决民营企业上市时间紧、 内控体系建设落地慢的矛盾， 最有效的方式就是利用信息化手段。通过信息化建设，识别企业的关键风险， 将关键风险固化到信息系统，进行在线运行，并结合有效的内部监督，最终促使内控体系的快速落地。

一、 拟上市民营企业的内控现状

2022 年， 被质问内控问题的拟上市民营企业占所有被质问内控问题的拟上市企业的90%， 显示出拟上市民营企业的内控问题尤为突出， 本文将拟上市民营企业存在的内控问题与《企业内部控制基本规范》（以下简称《基本规范》） 中内部控制五要素相结合， 深入分析拟上市民营企业的内控现状。

（一）内部环境缺失，机构设置不合理

经过40 多年的改革开放，中国的民营企业如雨后春笋般“自由生长”。这种“自生自灭”式的自由生长，促使民营企业对资金的依赖性相比国企、央企更强， 也促使民营企业更关注企业的成本，特别是人工成本的节约。一人担任多个职位、 专业人员素质参差不齐、机构设置不合理、不相容的岗位未分开设置，等等。虽然拟上市民营企业相比其他民营企业在人员规模上已经有了较大的提升， 但是这种提升更侧重于一线生产人员数量的增加，一些关键岗位（如采购、财务），则继续由家庭成员担任或兼任， 家族化管理特征没有改变。

目前拟上市民营企业中，60、70 后的企业家占据较大比例， 他们成长于社会变革的时代，更注重资金的积累，更倾向于将资源和精力投入到业务扩张和市场开发中。这种重发展、轻控制的心态， 导致其对内控管理的意识仍然不强。 以实际控制人个人为中心建立的集权制组织结构， 组织监督职能发挥失效， 在管理控制中充斥着个体化、随意性的个人行为，而忽视了内控建设对于企业长远发展的重要性，实际的法人治理和制衡机制缺失。

（二）内部控制目标不明确，风险评估不到位

拟上市民营企业建设内控体系多以完成上市任务为主。 内控工作以财务部、法务部等其他部门人员兼任， 缺乏具备专业知识和经验的内控人才，企业在设定内部控制目标时缺乏科学的依据和判断。开展内控工作重心不齐、目标不明，内部控制的控制目标没有与企业发展目标以及业务目标相结合。 没有明确的、合理的控制目标，将无法评估、识别企业经营活动中的风险，无法提出合理的风险应对策略。 对一些关键风险点缺乏风险评估和识别，将失去对企业业务运行变化的控制和各项政策调整变化的控制，同时，影响企业财务数据的真实性和准确性，降低企业的风险承受能力和企业可持续发展能力。

（三）控制活动形同虚设，流程节点责任不清晰

拟上市的民营企业在管理方式上常受限于家族化和实控人个性化管理，因此往往过度依赖个人经验或家族传统，而忽视了建立科学的风险管理机制和体系，导致内部控制制度存在缺失和滞后的问题。企业日常的业务流转依靠的是历史的工作习惯和经验，表单和流程节点设置不合理，各操作细节描述不准确， 业务人员在实际操作中无所适从，部门之间相互推诿情况严重，缺乏系统的制度安排和健全的内控体系支撑。 授权、业绩评价、实物控制、职责分离等相关控制活动无法有效执行。

表单保管不齐全，表单上的签字不完整，并散落在各个部门之间。 在上市辅导期，花大量的时间和精力在补单子、补签字、补手续上，而这种依葫芦画瓢式的补单子、补签字、补手续，却经不起外部机构的监察，极易出现因内控缺失而无法正常上市的情况。

（四）信息化水平低，单据传递时间过长

由于证监会对上市企业财务核算健全性的要求，拟上市的民营企业需要建立完善的财务核算体系，才能满足上市要求。相比其他民营企业，拟上市民营企业的信息化水平相对要高，但信息化系统多以财务系统为主，没有形成完整的业财融合的ERP系统和进行业务流转的OA 系统。 业务端的经营信息和数据传递滞后，业务流程不顺畅，人工错弊的风险高。

纸质单据传递过程中容易出现因某位签字人员不在岗而频繁搁置的情况， 单据流转时间过长，工作效率低下。或者，先办事后补流程和签字，特殊情况常态化，导致内控失效。单据的使用不统一，使部门之间信息沟通不畅，内控体系建设落地慢。

（五）制度执行不到位，缺乏内部监督

约定俗成的习惯，是阻碍内控制度执行的主观因素；审计监督部门的缺失是阻碍内控执行的客观因素。大部分拟上市民营企业都是在上市辅导期才匆忙组建审计部门，审计部门的建立通常挂靠在财务中心下面，当开展内审工作时只能满足本部门的工作要求，缺乏审计工作的独立性，没有发挥真正的监督职能。

内控制度的落实为了应付上市而流于表面，制度执行上推一下、走一步，积极性不高。拟上市民营企业人事绩效考核和奖惩机制还不够健全，责任追究制度形式化。 一旦审计监督工作出现问题，将导致整个内部控制监督体系失灵，内部控制工作无法得到真正落实。

二、内控体系信息化建设的必然性

“推进内部控制体系建设同信息化建设的融合对接”，是国资委、财政部对中央企业内部控制体系建设提出的明确要求，也为拟上市民营企业的内部控制体系建设指明了方向。拟上市民营企业可以通过信息化建设，实现业务协同，提升业务流程效率，助力内控体系的快速落地。针对上述拟上市民营企业存在的内控问题， 通过信息化建设可以有效解决。

（一）利用信息化中的制衡机制可以有效解决机构设置不合理的问题

通过信息化建设明确职责分配和授权的具体方法，对组织架构的设置、人员之间的权限分配进行再梳理，明确各岗位的职责权限，形成以不同岗位为流程节点的审核制度。

首先，通过信息化建设，企业可以更加清晰地了解各个岗位的职责和权限，避免出现职责重叠或遗漏的情况。这有助于提高企业的运营效率和管理水平，确保各项工作得以顺利进行。

其次，通过信息化中的制衡机制，可以规范操作人员的行为， 确保他们按照规定的流程和标准进行操作。这有助于减少人为错误和舞弊行为的发生，提高操作的准确性和效率。同时，制衡机制还可以确保企业的经济业务真实、完整和可持续，避免出现财务舞弊或欺诈行为。

特别是对于外部监管机构重点关注的“三重一大”问题，按照设定好的规定权限和流程进行集体决策或联签， 可以规避企业运行发展中的重要经营风险。这有助于提高企业的合规性和透明度，提升企业的信誉和形象。

（二）利用信息化的固有属性，可以有效解决流程节点责任不清晰、单据传递时间过长等问题

内部控制的建设需要考虑重要性原则和成本效益原则，重点是对企业关键风险点的识别和控制，并与企业控制目标相结合， 评价企业内部控制的有效性，最终符合上市企业的内控要求。利用流程信息化可以将识别出的企业关键风险点转化成流程节点，企业根据常规授权的权限指引，将相应的授权范围、权限、责任等通过信息系统进行自动流转审批，解决了审批次序的不合理、审批滞后、审批责任不清等问题。并将各流程固化到系统中，通过不同的方式和频率进行风险控制，有效解决关键风险点的控制问题，提升企业的风险防范能力， 使整个企业的内部控制合理、有效。

在信息化系统中流转的数据都会存储在后台的服务器中，即起到了数据留痕的功能，又可以确保数据的安全。 信息系统中的附件上传功能和搜索功能可以定位到每一笔流转审批业务和对应单据， 在外审、券商进行内控穿行测试时，确保单据的完整和控制点的贯通。

信息化系统可以在电脑、手机等多终端、远程进行操作，在手机上可以设置信息提醒功能，各节点操作人员可以快速查看和处理信息。 流程处理时间从原来纸质传递时以“天”为单位，缩短到信息自动流转时以“秒”为单位，单据传递时间缩短了几个量级，提升工作效率的同时也加快了各部门间信息的传递，为内控体系的快速落地生根提供载体。

（三）利用信息化中的日常监督功能，可以有效解决制度执行不到位的问题

利用信息化系统中的流程监控功能， 对日常的流程进行实时监督一旦发现执行不到位的情况，系统可以自动发出预警， 提醒相关人员及时采取措施进行纠正。信息系统可以定期生成数据分析和报告，对制度执行情况进行全面分析和评价。 帮助管理者了解制度执行的情况并发现流程缺陷， 找出存在的问题和不足，提出改进措施，进行有针对性的完善和优化，形成流程“设定—执行—修订”的闭环管理。

信息化中的日常监督也可以为审计工作提供更加全面、准确的数据支持，提高审计监督工作的质量和效率。同时，有效的审计监督进一步强化了各部门制度的执行。 审计人员通过对各部门的经济活动和财务状况进行审查和评估， 可以发现制度执行中的问题，提出改进意见和建议。这些意见和建议可以促使各部门更加自觉地遵守和执行制度， 从而确保企业的稳定发展和合法运营。

综上所述，信息化建设以自身的优势，不但可以解决现阶段拟上市民营企业的内控问题， 也能为企业上市后的持续健康发展保驾护航。 健全的内控体系也提升了企业财务报告的准确性和可靠性， 进一步保护了广大投资者的利益。因此，信息化建设是拟上市民营企业内控体系建设的必然选择。

三、内控体系信息化建设的实施路径设计

通过对拟上市民营企业内控现状的分析， 本文认为， 拟上市民营企业内控体系信息化建设的实施路径可分以下几个步骤进行：

（一）转变管理意识，做好内部环境建设

内部环境是企业实施内部控制的基础， 是内部控制赖以生存的土壤， 控制环境的好坏直接决定着其他控制要素能否发挥作用。

企业在实施信息化建设时应做好业务流程、管理模式、组织结构等内部环境变革的准备，以及做好机构设置和权责分配调整的准备。 明确信息化的总体实现目标，利用系统思维，科学设置，使企业在业务流程、管理模式、授权审批等方面有显著的改进和提高。 结合企业现状，贴合企业实际需求，按重要程度分阶段推进信息化项目进程。同时，在信息化建设实施之前，企业管理者需要先转变“三个管理意识”。

1.由“封闭式”管理意识向“开放式”管理意识的转变。 评价半导体技术进步速度有一条法则叫摩尔定律，就是每一美元能买到的电脑性能，隔一个月就会翻一倍以上。 同样，中国的信息化经过30 年的发展与之前相比已经有了翻天覆地的变化，信息化系统的应用能力已经显著提高，信息化建设成本已经明显降低，企业管理者应以“开放式”的管理观念去接收新事物，利用信息化手段为企业管理服务。

2.由“集权式”管量意识向“分权式”管理意识的转变。 内控体系建设中最重要的一条是授权，通过授权把管理职责分配到各部门、各岗位，用活每个人，通过不相容岗位之间的相互牵制，达到企业“活而不失控”的状态。 摈弃以前高度“集权式”的管理意识和“家长式”的作风；摈弃“一支笔”的审批权限，大事小事都由企业主一人签字。 利用“分权”这条鲇鱼盘活企业的大池子，利用“内控”这道围墙管住池子里的鲇鱼，做到“放得开又管得住”。

3.由“重发展，轻控制”管理意识向“发展+信息化控制”管理意识的转变。 利用信息化固化的制度流程，提升员工的工作效率，增加企业经营的稳定性；利用信息化的风险识别手段，防范企业经营风险，优化企业资源配置，确保企业可持续发展；利用科学合理的评价体系，充分调动员工工作的积极性和主动性，减少人员的流失率，增强企业的竞争力。“发展+信息化控制”是确保企业目标实现和长期稳定健康发展的有效管理模式。

（二）梳理组织架构和岗位职责，明确岗位职级

清晰的组织架构和岗位职责是开展信息化建设的基础，只有明确各岗位职能、权限、相互关系，才能设计具体的审批流程。 组织架构和岗位职责的梳理步骤如下：

1.明确企业战略和目标：在梳理组织架构之前，首先需要明确企业的战略和目标。 这将有助于确定组织架构的方向和重点，以确保所有部门和岗位都能支持企业战略的实现。

2.分析现有的组织架构：对企业的现有组织架构进行深入的分析，包括部门的设置、职责划分、人员配置以及信息流程等；了解现有组织架构的优势和不足，以及存在的问题和瓶颈。

3.优化组织结构设计：根据企业的战略目标和业务特点，以及现有组织架构的分析结果，对组织结构进行优化设计。 可以考虑以下几个方面：一是减少管理层级：简化组织结构，减少决策层级，提高信息传递效率和决策速度； 二是合并重复职能：整合重复的职能部门，以减少资源浪费和提高工作效率；三是调整部门划分和职责：根据企业战略和核心业务需求，重新划分部门职责和权限，确保各部门能够更好地支持企业目标；四是制定组织架构图和岗位说明书：将新的组织架构以图表的形式展现出来，明确各个部门和岗位的职责、权限和各岗位人员汇报层级。 同时，为每个岗位制定详细的岗位说明书，包括职位名称、职责描述、任职要求等；五是沟通与反馈：将新的组织架构和岗位说明书与企业的员工进行沟通和反馈，确保员工对新的组织架构有充分的了解和认识。 同时，鼓励员工提出意见和建议，以便进一步完善组织架构；六是搭建信息化系统中的人员组织架构： 根据梳理出的企业、部门层面的组织架构和各岗位人员汇报层级，搭建信息化系统中的人员组织架构，以直线型的方式明确各岗位人员的上下级关系。 从上向下：一位上级可以对应多名下属；从下向上：一位下属不能对应多名上级。 建立岗位人员信息录入标准，为后续各节点之间的顺畅流转奠定基础。

组织架构的梳理需要结合每个企业的业务特点进行调整和优化。 同时，组织架构的设计也需要考虑到企业的文化和员工的实际情况，以确保新的组织架构能够得到员工的认可和支持。

（三）结合岗位说明书，进行关键风险点识别

结合梳理出的各岗位说明书，进行关键风险点识别的步骤如下：

首先，需要认真阅读和理解岗位说明书，了解每个岗位的职责、权限、工作要求、任职要求等。 这样可以明确每个岗位的工作内容和标准，为后续的关键风险点识别提供基础。

其次，在了解岗位说明书的基础上，需要分析每个岗位可能面临的风险因素。 这些风险因素可能包括业务风险、法律风险、道德风险等。 可以通过对历史数据的分析、同行业比较、专家评估等方式，识别出每个岗位的关键风险点。

对关键风险点的识别应结合企业的实际发展情况、自身业务特点、风险承受程度等影响因素进行系统分析，避免遗漏风险、过度识别风险。 关键风险点识别过程中的注意事项包括：

第一， 关键风险的识别要了解企业的风险承受程度。 风险承受是指企业对所面临的风险采取接受的态度， 从而承担风险带来的后果。 对企业风险承受程度的考量可以结合具体的量化指标，包括资产负债率、流动比率、利润率等；以及非量化指标，包括管理层的风险偏好、行业的地位等。了解企业的风险承受度， 并根据识别出的风险做出相应的风险应对策略， 为下一环节的具体控制活动提供依据。

第二，关键风险的识别要考虑成本效益原则。风险无处不在、无时不在，对企业风险的识别要考虑成本效益原则。 风险识别过程中应该对每个关键风险点可能带来的影响进行评估， 包括可能导致的损失、 对企业战略目标的影响等。 这样有助于了解风险的严重程度， 提高关键风险识别的质量。

第三，关键风险的识别要考虑重要性原则。先关注重要的风险点，在识别关键风险点时，需要优先关注对企业影响较大、发生概率较高的风险点。这些风险点可能带来的损失较大， 因此需要优先采取防控措施。 同时， 对于一些发生概率较低但对企业影响较大的风险点， 也需要引起重视并采取相应的防控措施。

第四， 对关键风险点识别的过程和结果进行详细的文档记录， 包括识别的方法、 识别的结果等， 这样有助于后续的跟踪和评估。 随着企业内外部环境的变化，新的风险点可能会出现，而旧的风险点可能会降低或消失。 因此， 需要保持敏感性和灵活性，根据记录及时调整和优化筛选关键风险的方法和结果。

在流程信息化建设过程中， 对关键风险点的识别格外重要， 只有关键风险点的识别达到了内部控制的要求，才能真正发挥流程控制的作用，整个流程的结果才能得到控制， 内部控制的建设才能有效。

（四）根据识别出的关键风险点，绘制流程矩阵

根据识别出的关键风险点， 辅以每个关键风险点具体的控制活动，并绘制流程矩阵，具体步骤如下：

1.明确流程目的和范围：在绘制流程矩阵之前，需要明确流程的目的和范围。流程目标可以是提高效率、降低成本、提高质量、增强安全性等，确保流程目标与企业的战略和业务目标保持一致。流程范围包括涉及的业务领域、部门和人员等。同时，需要了解业务的运作方式和关键环节，有助于确定流程的目的和目标， 以及确定需要包含哪些控制活动和环节。

2.确认控制活动的合理性和有效性：在绘制流程矩阵时， 需要根据识别出的关键风险点确认具体的控制活动。例如，采购环节识别的关键风险点：因合同条款模糊不清，违反法律规定的风险。具体的控制活动可以描述为： 采购人员应与供应商签订框架协议，需要发生采购业务时，采购人员填写《采购订单》；框架协议除需采购经理审批外，还需法务人员审批。 另外，在绘制流程矩阵时，还需要参考相关法规和标准， 以确保控制活动符合法律和行业规范。例如，需要参考《基本规范》等相关法规和标准， 以确保控制活动的合理性和有效性。

3.确认信息流向的合理性和准确性：在绘制流程矩阵时， 需要仔细核对每个环节的输入和输出、确保每个符号和注释都准确无误。 例如，每次触发不同的控制条件时， 信息是否能准确传递。

4.及时更新和完善：随着企业内外部环境的变化，需要及时更新和完善流程矩阵，以适应新的情况和需求。例如，当出现新的业务需求或政策法规时，需要在原有流程矩阵的基础上，增加更多的流程节点，包括操作活动、决策活动、信息流向等；或针对可能出现的异常情况， 需要增加异常处理流程来解决问题、恢复业务的正常运行。

控制活动是企业根据风险评估的结果， 采用相应的控制措施。 控制活动贯穿于企业的所有层次和各个职能部门，是内部控制的重要组成部分。在确定控制活动时， 需要考虑控制活动之间的联系，不能为了控制而控制，必须将控制活动与关键风险控制点相结合， 利用具体的控制活动将风险控制在可承受范围内。

（五）结合流程矩阵，搭建具体信息化流程

结合流程矩阵中的关键风险点、 风险描述、控制活动描述等，将关键风险点转化成信息系统中的审批节点嵌入到具体的审批流程中。

在搭建具体流程之前，先要分析：这个流程用来做什么（流程类型、流程名称）？ 需要处理哪些数据（表单、字段）？ 需要经过哪几个环节（节点）？每个环节之间的连接顺序（出口）是怎样？每个环节由谁来执行（操作者）？

具体流程搭建步骤如下： 确定流程类型、定义流程名称；确定表单中的字段，明确字段类型，将字段的合集在系统中生成一张完整的表单；确定每个节点和节点之间的连接顺序（参照上述的原/辅料采购节点）； 确定每个节点具体的审批人和归档人（参照控制活动的描述）。

固化后的信息系统审批流程通过系统的自动流转将大大缩短审批时间，节点与人员的一一对应，进一步明确各部门、各岗位的责任，避免相互推诿的情况发生，工作效率得到提升。 流程发起人员可以随时查看流转状态， 进行实时跟踪，通过流程报表进行历史流程查询。 真正做到内部控制有授权、有审批、有留痕。

（六）加强内部监督，持续优化

内部监督是指企业对内部控制建立与实施情况进行监督检查，是内部控制五要素中的最后一个要素。 对拟上市企业来说，有效的内部监督也是评价内部控制有效性的重要一环。

审计部门通过对信息系统中各流程数据的采集和分析，完成各业务循环的穿行测试，评价内控的有效性，发现内控执行中的缺陷。 对人为因素导致的内控体系执行不到位，会同人事部门建立奖惩机制， 追究相关责任单位或者责任人的责任，监督内控体系建设的落地。 内控部门通过在信息系统中建立 “内控问题直通车模块”，搭建与执行部门内控问题沟通的桥梁， 执行部门在执行过程中的内控问题通过信息系统第一时间反馈给内控部门，内控部门根据各关键风险点的扫描和识别，结合企业控制目标，进行快速响应、改进和优化。 利用信息系统形成审计部门监督、内控部门优化和执行部门反馈的闭环控制（见图1）。

图1 内控体系信息化建设闭环图

四、期望成效

通过内控体系信息化建设，将制度和流程进行“固化”，实现从“人治”管理向“法治”管理和科学管理的转变，内控管理更加规范化和标准化。 信化建设加速了各部门之间的信息流转和数据交换，内部控制的穿行测试、监控和自我评价变得更高便捷和高效。 在一定程度上缩短了内控体系的建设周期，提高了企业内部控制的效率和质量。

通过内控体系信息化建设，真正构建了《基本规范》中要求的：以内部环境为重要基础、以风险评估为重要环节、 以控制活动为重要手段、以信息与沟通为重要条件、 以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架，达到上市企业的内控要求，助力企业成功上市。

随着信息化的广泛运用，民营企业的信息化建设是顺应时代发展的必然选择。 虽然内控体系信息化建设只是众多信息化建设中的冰山一角，但通过与实践的结合，可以有效帮助拟上市民营企业解决内控体系薄弱、建设周期长、落地慢的难题，为更多有上市需求的民营企业解决内控问题上的燃眉之急。 ■