内控“速成”

内部控制是上市公司治理和企业管理的重要组成部分，笔者以一家于2011年12月在上海证券交易所上市的公司，于上市前进行的系统化内部控制优化建设工作为例，给出上市前优化内部控制的几点建议。

1建立内控建设的组织保障

为确保内部控制规范、优化建设工作顺利开展，该公司成立了内控建设领导小组及内控建设工作小组，同时聘请外部咨询机构工作共同完成内控建设工作。

2拟定内控建设工作计划

该公司内部控制建设工作主要分为拟定方案并确定实施范围、召开动员会、内控培训、编制风险清单、查找内控缺陷、制定整改方案、整改落实、检查整改效果、内控自评价报告等九个步骤。

3对内控现状评估查找内控缺陷

梳理该公司现有政策、制度、风险清单等的基础上，与18项内控指引要求进行对照，诊断目前内控存在的问题，总结内控缺陷：

1.内控环境方面

董事会、监事会在内部控制上并未完全承担应有的职责，比如制定内部控制政策，以及对内部控制体系、内部控制制度等的审查、审批；内部控制目标模糊，未完全体现至业务中；公司总部、分支机构在职能和功能上定位不清晰，例如总部同时存在业务前台和，缺少业务条线的纵向监督和制约；公司总部高级管理层分工存在问题，尚需进一步明晰；部分部门职责不清，权限不明，责、权、利不匹配；部分部门设置有待优化，例如法律事务部仅是风险控制部下的一个二级部门，今后将难以承担相应的职责；企业文化重业务发展，轻内控管理，对内控、风险管理人员的激励性不强。

2.风险识别与评估体系方面

并未实施真正意义上的风险控制垂直管理，分支机构的风险控制人员名义上由总部派驻，但不对总部风险控制部负责，而是接受分支机构的直接管理；风险预测和风险指标分析方面有待加强；风险管理的量化监测方面存在不足，应加强对风险指标的实时监测；缺少对新产品风险评估的系统管理，新产品的风险识别与评估内容不够全面。

3.控制活动方面

已有制度对管理和业务活动做了原则性指导，但不能直接规范管理和业务活动的操作行为，需要基层机构根据管理和业务活动的实际情况，细化各项规章制度；对于一些重要的管理和业务活动，尚存在空白，还未能制订规范的工作流程。

4.信息与沟通方面

没有明确例外事项的汇报机制；对于信息的获取和及时反应需进一步改进。

5.监督与评价方面

内部控制检查机制缺少整体性管理，没有自上而下地将内控检查工作分解到各条线管理部门，条线管理部门只是针对本条线内部控制薄弱环节及风险易发环节来有针对性地制定检查计划；对一些风险较大部门的内控检查不够；风险控制部对内控检查的实际执行情况还有待提高；问责制没有真正实施。

4制定整改方案并落实整改

正确认识发现的内控缺陷，针对内部控制缺陷，该公司协同中介咨询机构统一部署制定内控缺陷整改方案，并推进落实整改：

1.夯实内控环境：一是改进“三权”制衡体系，明确股东大会、董事会、监事会的权力；二是切实保障两权分离；三是加强董事会在内部控制体系中的作用；四是将总部的业务管理职能和业务执行职能分离；五是梳理分支机构的人事权利；六是梳理分支机构的现有定位；七是梳理总部高管人员业务分工；八是按照业务条线对总部部门进行梳理，实现部门责、权、利匹配；九是设立独立的法律合规部；十是加强内控文化建设与内控培训；十一是梳理内控管理条线关系，明确各级机构的内控管理职能。

2.风险识别与评估方面：一是实施风险控制的垂直化管理；二是持续调整和丰富风险指标体系内容；三是完善和调整风险指标阈值；四是进行风险预测和风险指标的深入分析；五是利用信息化系统，加强风险指标的实时监测；六是平衡业务发展与风险管理之间的关系；七是扩展风险压力测试范围；八是完善新产品风险识别与评估体系。

3.完善内部控制活动：一是通过建立清晰的业务流程和完整的内部控制制度体系，层层落实风险控制责任，按照“纵向到底、横向到边、责任到人”的原则，将内部控制关键点与相关岗位职责一一对应，落实内控责任；二是加强计算机系统环境的内部控制。

4.建立信息与沟通机制：依托企业现有信息沟通基础，整合建立标准而有效的信息沟通平台，从企业自身实际出发设计相应的管理报告及信息传递路径与频率，及时、准确地收集、处理和传递管理信息，作为揭示风险、解决问题、提升管理的窗口。

5.构建监督与评价机制：一是制定全公司内控检查目标并分解下达；二是建立公司内控自评价机制；三是优化内审报告中建议的有效性和可操作性；四是严格实施问责制管理；五是强化监事的职权：监事会有权直接请求总经理提交业务及财务报告、监督公司业务执行的职权；同时明确监事的责任，对于企业、第三人、股东的责任。

（本文作者为中华咨询董事、财务管理咨询总监）