隨著上市公司違規(guī)和舞弊案件浮出水面，內(nèi)部控制再度成為投資者、監(jiān)管層和媒體關注的焦點。人們越來越深刻地意識到，一家缺乏有效內(nèi)部控制的上市公司，其風險無時、無處不在，隨時都可能給投資者帶來巨大損失。但長期以來，除了財政部頒布的《內(nèi)部會計控制基本規(guī)范》外，我國尚沒有針對上市公司的內(nèi)部控制規(guī)范，上海證券交易所出臺的《上市公司內(nèi)部控制制度指引》（征求意見稿，以下簡稱“指引”）適時填補了這一空白。指引借鑒COSO組織內(nèi)部控制整體架構（IC-IF）及企業(yè)風險管理（ERM）的先進理念和研究成果，使我國上市公司內(nèi)部控制從傳統(tǒng)會計控制過渡到管理控制階段，實現(xiàn)了與國際先進理論接軌。該指引具有哪些特點？存在哪些不足？以下將對指引內(nèi)容進行全面解讀和分析。

　　一、關于內(nèi)部控制目標

　　內(nèi)部控制目標的定位，反映了人們對內(nèi)部控制認識不斷深化的過程。1972年，美國審計準則委員會第1號審計準則公告（SAS NO.1），把內(nèi)部控制劃分為會計控制和管理控制，內(nèi)部會計控制的目標在于將保護資產(chǎn)安全完整，保證會計資料可靠性和準確性；內(nèi)部管理控制的目標在于提高經(jīng)營效率和保證管理部門所制定的各項政策得到貫徹執(zhí)行。1988年第55號審計準則公告（SAS NO.55）提出了“內(nèi)部控制結構”的概念，不再區(qū)分會計控制和管理控制，其目的是“合理保證企業(yè)實現(xiàn)特定目標”。1992年COSO組織的內(nèi)部控制整體架構認為，內(nèi)部控制的目標在于合理保證財務報告的可靠性、經(jīng)營的效果性和效率性以及法律法規(guī)的遵循性，企業(yè)風險管理在內(nèi)部控制整體架構的基礎上更進一步，認為除了上述三個目標外，還應包括公司戰(zhàn)略目標。

　　在內(nèi)部控制的目標定位上，指引第二條規(guī)定，上市公司內(nèi)部控制制度的目標依次為控制公司風險、提高公司經(jīng)營的效果與效率、增強公司信息披露的可靠性、確保公司行為合法合規(guī)，最終實現(xiàn)公司戰(zhàn)略目標。上述目標定位，吸取了COSO組織內(nèi)部控制整體架構和企業(yè)風險管理兩個文獻的理論精華，體現(xiàn)出風險導向和績效導向兩大特點。風險導向內(nèi)部控制是針對影響組織目標實現(xiàn)的風險做出迅速反應的方法，內(nèi)部審計師與管理部門一起識別和評價經(jīng)營風險，在收集資料、認識并評價風險的過程中，對組織經(jīng)營面臨的風險與改良時機產(chǎn)生深刻見解。風險和控制在實質(zhì)上是“同一個硬幣的兩面（two sides of same coin）”，出于減輕和規(guī)避風險的需要，人們才設計內(nèi)部控制系統(tǒng)，不存在風險，也就無所謂內(nèi)部控制，只有將內(nèi)部控制與特定的風險因素聯(lián)系在一起時，內(nèi)部控制才顯得尤為重要。內(nèi)部審計師在對內(nèi)部控制進行分析和評價時，更為關注組織目標、戰(zhàn)略和風險管理程序，更為強調(diào)內(nèi)部控制在風險規(guī)避、風險轉移和風險控制中發(fā)揮作用。傳統(tǒng)內(nèi)部控制以交易事項和財務處理為重點，體現(xiàn)了內(nèi)部控制查錯防弊的目標，績效導向內(nèi)部控制，突出了內(nèi)部控制從消極防弊發(fā)展到積極興利，從強調(diào)防護性發(fā)展到強調(diào)效率性和效果性。風險導向和績效導向的內(nèi)部控制最終都服務于實現(xiàn)公司戰(zhàn)略目標。

　　從我國相關的規(guī)定看，內(nèi)部控制的目標定位主要還是局限于會計資料的真實、合法與資產(chǎn)的安全和完整以及查錯防弊等方面。這種目標定位更多地考慮了我國經(jīng)濟發(fā)展和企業(yè)經(jīng)營管理的實際情況，上市公司作為我國企業(yè)中的特殊群體，對內(nèi)部控制具有更高的要求，內(nèi)部控制不僅用以防弊，還要興利和增值，指引在內(nèi)部控制目標的設定上前進了一大步。

　　二、關于內(nèi)部控制主體

　　關于內(nèi)部控制的主體，學術界和實務界已基本達成一致。例如，COSO組織在內(nèi)部控制整體架構的定義中明確了內(nèi)部控制的主體，認為內(nèi)部控制“受企業(yè)董事會、管理當局和其他員工影響”。正是“人”的因素使內(nèi)部控制發(fā)揮作用，良好的內(nèi)部控制將責任賦予管理當局，他們負責設立內(nèi)部控制目標，使控制機制和作業(yè)發(fā)揮作用，并對內(nèi)部控制進行監(jiān)督和評價，COSO組織同時也強調(diào)組織內(nèi)所有人在內(nèi)部控制中均發(fā)揮著重要作用。倫敦證券交易所的特恩布爾報告（Turnbull Report）認為董事會、管理當局和員工在內(nèi)部控制系統(tǒng)中負有不同的職責，其中董事會對公司內(nèi)部控制系統(tǒng)整體負責，應制定適當?shù)膬?nèi)部控制政策，尋求日常保證，使內(nèi)部控制系統(tǒng)能有效發(fā)揮作用；管理當局負責執(zhí)行董事會制定的風險和控制政策，應確認、評價公司所面臨的風險，設計、運行和監(jiān)督內(nèi)部控制系統(tǒng)；公司員工有義務將內(nèi)部控制作為其責任目標的組成部分，他們應具備必要的知識、技能、信息和權限，以建立、運行和監(jiān)督公司內(nèi)部控制系統(tǒng)。董事會、管理當局和員工各司其職，相互協(xié)作，形成責任層次分明的統(tǒng)一體，管理當局對內(nèi)部控制負有主要責任，但組織中的每個成員都對內(nèi)部控制分擔責任，從而使所有員工團結一致，而不是與管理當局對立。上述任何一個控制主體出現(xiàn)失誤和過錯，均可能導致公司整體內(nèi)部控制系統(tǒng)失效。

　　針對上市公司內(nèi)部控制的主體，指引做出了明確規(guī)定，指引第三條規(guī)定，“董事會應確保內(nèi)部控制制度健全有效，董事會及其全體成員應保證內(nèi)部控制制度相關信息披露內(nèi)容的真實、準確、完整”。與內(nèi)部控制整體架構和特恩布爾報告相比，指引僅把董事會作為內(nèi)部控制主體，而忽略了另外兩個同等重要的控制主體，這是指引的一大缺陷。以銀鴿投資[6.80 -1.31%]（600069）為例，其鄭州分公司原負責人未經(jīng)公司股東大會和董事會授權，分別于1999年、2000年和2001年1至5月對外提供委托理財資金共計2.74億元、2.00億元和2.70億元，還以銀鴿投資賬內(nèi)銀行存款作保證，向銀行借入資金后流入鄭州分公司“賬外賬”進行股票炒作，該公司高管上述行為均給公司帶來巨額損失。應該看到，在一個健全、有效的內(nèi)部控制系統(tǒng)中，僅董事會發(fā)揮作用是遠遠不夠的，若管理當局對董事會制定的風險管理和控制政策視而不見，一線員工拒不執(zhí)行相關控制作業(yè)，甚至惡意踐踏，無論設計多么完美的內(nèi)部控制都將形同虛設，無法真正發(fā)揮作用。

　　三、關于內(nèi)部審計職能

　　從英國內(nèi)部審計實踐的演變看，卡德伯利報告（Cadbury Report）認為內(nèi)部審計是對外部審計的補充，設立內(nèi)部審計機構對內(nèi)部控制進行監(jiān)督是良好實務的組成部分，這種日常監(jiān)督也是公司內(nèi)部控制整體中的一部分，它有利于保持內(nèi)部控制系統(tǒng)的有效性。其后的哈姆佩爾報告（Hampel Report）認為，沒有必要對內(nèi)部審計做出強制性規(guī)定，特恩布爾報告（Turnbull Report）關于內(nèi)部審計的觀點是，公司是否設立內(nèi)部審計機構，取決于對公司規(guī)模、行為的多樣性和復雜性、員工數(shù)量以及成本效益等因素的綜合考慮。

　　指引強制性要求上市公司應設立內(nèi)部審計機構，配備專門的內(nèi)部審計人員，負責內(nèi)部控制稽核工作。長期以來，內(nèi)部審計在許多上市公司內(nèi)未得到應有的重視，不少人抱有內(nèi)部審計人員只是“簡單地重復外部審計的工作”，只是審查“數(shù)豆子的人是否將豆子數(shù)得一粒不差”等類似的偏見。各公司在機構設置和責任安排上也不盡相同，有的內(nèi)部審計部門隸屬于財務部門，向財務總監(jiān)負責；有的隸屬于高級管理層，向總經(jīng)理負責；也有的隸屬于董事會下的審計委員會，向審計委員會負責。指引對內(nèi)部審計機構設置和制度安排做出了統(tǒng)一規(guī)定，要求“內(nèi)部審計部門對董事會負責，直接向董事會報告，內(nèi)部審計部門負責人也應由董事會任免”，董事會下屬審計委員會或風險管理委員應為內(nèi)部審計工作提供“指導”。這些舉措有利于提高內(nèi)部審計部門在公司中的地位，提升內(nèi)部審計人員和內(nèi)部審計工作的獨立性，擴大內(nèi)部審計在公司中的影響力。

　　指引明確了內(nèi)部審計的職能和工作重點，要求內(nèi)部審計應將收購和出售資產(chǎn)、關聯(lián)交易、從事衍生品交易、提供財務資助、為他人提供擔保等重大事項作為內(nèi)部審計工作的“必備事項”，進行重點審計。實踐證明，這些領域正是蘊藏巨大風險，內(nèi)部控制最容易失效的關鍵領域，涉足這些領域也為上市公司內(nèi)部審計發(fā)展提供了一個嶄新的平臺，使之不再局限于傳統(tǒng)的財務審計，而是介入到發(fā)展前景更為廣闊的業(yè)務審計和綜合審計領域。指引還規(guī)定應把檢查中發(fā)現(xiàn)的內(nèi)部控制制度缺陷及實施中存在的問題，據(jù)實在稽核工作報告中反映，并應在向董事會報告后進行追蹤，以確定相關部門是否及時采取適當?shù)母纳拼胧?，這些要求內(nèi)部審計人員不僅要發(fā)現(xiàn)問題，還要協(xié)助解決問題。

　　在報告機制上，指引做出了雙重報告的制度安排，即內(nèi)部審計同時向董事會和專門委員會提交報告。作為董事會的“眼睛和耳朵”，指引規(guī)定內(nèi)部審計部門應至少每季度向董事會提交一次稽核工作報告，針對發(fā)現(xiàn)的重大缺陷和重大風險，應及時向董事會報告。此外，內(nèi)部審計還應向董事會下屬審計委員會或風險管理委員會提交內(nèi)部控制制度檢查核對表，審計委員會或風險管理委員亦應評價公司內(nèi)部控制制度執(zhí)行的情況，發(fā)表專項意見，并向董事會報告。這種雙重報告制度安排，使董事會可以“兼聽”，獲取更多、更為全面的信息。

　　四、關于內(nèi)部控制信息披露

　　現(xiàn)行有關規(guī)定中，只要求上市公司提出融資申請時披露內(nèi)部控制信息，例如《公開發(fā)行證券的公司信息披露內(nèi)容與格式準則第11號——上市公司發(fā)行新股招股說明書》第59條規(guī)定“發(fā)行人應披露管理層對內(nèi)部控制制度的完整性、合理性及有效性的自我評估意見，同時應披露注冊會計師關于發(fā)行人內(nèi)部控制評價報告的結論性意見”。對于日常內(nèi)部控制信息披露的形式和內(nèi)容尚無統(tǒng)一要求，上市公司應披露哪些內(nèi)部控制信息、以何種形式披露都無章可循。這直接導致內(nèi)部控制信息“供給”出現(xiàn)混亂，也增加了信息使用者獲取和分析信息的成本。

　　實踐中，上市公司內(nèi)部控制信息的披露形式五花八門，有的公司在招股說明書對內(nèi)部控制進行自我評估、有的公司發(fā)布獨立的內(nèi)部控制自我評估報告、也有的公司在年報的管理層陳述中披露。各公司披露的具體內(nèi)容也不盡相同，例如大連金牛[8.77 -0.34%]（000961）從控制環(huán)境、會計系統(tǒng)和控制程序三個層面對公司內(nèi)部控制制度進行自我評價；遼源得亨（600699）則認為公司內(nèi)部控制制度主要包括控制環(huán)境、會計系統(tǒng)和業(yè)務循環(huán)三方面，具體內(nèi)容包括對組織結構、會計系統(tǒng)、擔保、資金收付、銷售采購、投資融資、固定資產(chǎn)管理、費用報銷、員工服務等經(jīng)濟業(yè)務活動的控制。

　　指引明確規(guī)定了內(nèi)部控制信息披露的內(nèi)容和形式，這將有利于解決由于缺乏統(tǒng)一要求引發(fā)的信息披露混亂。指引規(guī)定上市公司應當在年報的“管理層討論與分析”部分披露有關的內(nèi)部控制信息。具體內(nèi)容包括：內(nèi)部控制制度執(zhí)行情況，包括內(nèi)部控制的運行情況、稽核工作、風險處置、制度改進等內(nèi)容，特別是內(nèi)部控制制度檢查核對表中存在異常的事項，應進行重點討論和分析。

　　在內(nèi)部控制要素和內(nèi)容方面，指引借鑒的是COSO組織企業(yè)風險管理的研究成果，認為內(nèi)部控制由內(nèi)部環(huán)境、目標設定、因素辨認、風險評估、風險反應、控制活動、信息溝通和監(jiān)督等八要素組成，指引還專門針對銷貨及收款循環(huán)、采購及付款循環(huán)、生產(chǎn)循環(huán)、固定資產(chǎn)循環(huán)、貨幣資金循環(huán)、關聯(lián)交易循環(huán)、融資循環(huán)、投資循環(huán)、研發(fā)循環(huán)、人事管理循環(huán)等十個業(yè)務循環(huán)以及附屬子公司，衍生品交易兩個特殊領域的內(nèi)部控制做出了相關規(guī)定。

　　除了上述控制目標、控制主體、內(nèi)部審計、信息披露等主要內(nèi)容外，我們認為指引尚存在兩大明顯的缺陷：

　　第一，指引未明確內(nèi)部控制的性質(zhì)。

　　COSO組織認為內(nèi)部控制是一個“過程”，是根植于經(jīng)營過程的一個持續(xù)元素，內(nèi)部控制不是一個事件，而是一系列的行動和作業(yè)，這些行動和作業(yè)發(fā)生在組織的持續(xù)經(jīng)營過程之中，與企業(yè)經(jīng)營管理過程相結合，而不是凌駕于企業(yè)的基本活動之上。內(nèi)部控制應被視為企業(yè)運作系統(tǒng)的整體組成部分，而不是組織內(nèi)部獨立的系統(tǒng)，從這個意義上說，內(nèi)部控制是組織基礎設施的一部分，協(xié)助管理當局經(jīng)營其組織，并在持續(xù)的基礎上實現(xiàn)其目標。

　　第二，指引未明確內(nèi)部控制的局限性。

　　內(nèi)部控制只提供合理保證，而非絕對保證。管理當局在成本效益的基礎上設計和執(zhí)行內(nèi)部控制，無論內(nèi)部控制設計和執(zhí)行的有情況多好，都無法絕對保證可以實現(xiàn)組織的所有目標?？刂浦獾囊蛩鼗驅芾懋斁值挠绊懚伎梢杂绊懡M織實現(xiàn)其目標的能力，例如人為錯誤、判斷失誤以及合謀行為均可影響機構的目標。