内控失灵 第6期

中国上市公司不仅在内控的制度建设方面存在重大缺失，而且在实际有效性方面也不容乐观。

中国社会科学院公司治理研究中心对中国100家上市公司内控的研究表明，对于大多数上市公司而言，企业内部控制作为公司治理与风险管理的核心内容仍然处于初级认识阶段。上市公司不同程度存在内控弱化、资产流失、损失浪费严重等问题。加强企业的风险管理和内部控制机制，已成为当前中国上市公司的迫切需要。

在控制环境方面，随着建立现代企业制度和公司治理改革的不断深入，我国的上市公司已初步建立起了公司治理的基本架构并制定了基本的内部管理制度。这为公司内部控制建设打下了一定的基础。但是在内部控制环境的“软件”如企业文化、风险控制意识、员工职业道德、人力资源政策等方面，中国上市公司明显不够重视。

上市公司在内部控制方面存在明显的漏洞（如右图）。在“公司是否具有自己书面的公司治理原则，可以清楚表明它的价值体系和董事会职责（E3i）”方面，只有一家公司“存在原则并且完全披露”，三家“存在原则，但没有完全披露”，其余96家“根本没有提及公司治理原则”。在“董事会是否给所有董事和员工提供了公司道德准则或者经营行为规范以保证他们清楚和理解”(E3ii)上，只有6家公司符合要求，48家“仅为高管或员工或董事提供”，其余46家没有提供。在“公司是否设有反舞弊程序和举报系统”（E3iii）上，只有18家公司达到了要求。另外，E4考察“公司是否建立正式的、统一的IT系统政策和IT安全政策”。只有26家公司符合标准，有73家没有实施这一重要措施。

在100家上市公司中，有52家在内部控制方面表现不错，但仍有48家需要进一步完善。其中大部分没有设立专门针对子公司和金融衍生品的内部控制规范；或者虽然设立了内部稽核部门，如内审部，但没有足够证据表明其能够在审核范围和实际运作上起到实质性作用。

在100家上市公司中，只有26家建立了相应的IT系统和安全政策。这和这些企业的规模是极为不相称的。此外，来自企业内部的举报在反舞弊和发现其他内部控制缺陷方面起着不可替代的作用。企业应建立反舞弊程序和举报系统，保证举报的顺畅和对举报人的保护。在这一方面百强上市公司的表现也极其令人失望。绝大多数公司没有建立类似的程序，只有18家建立了相应的“反舞弊程序”。

在监督方面，我们发现从公开信息来看，有24家公司没有设立审计委员会；在设立了审计委员会的76家公司中多数公司（46家）的审计委员会由3人组成；在审计委员会的开会次数方面，只有59家公司在2007年召开了审计委员会会议，且其平均开会次数不到4次，远低于董事会的平均会议次数10.52次。

  （作者鲁桐：中国社会科学院公司治理中心主任，常蕊系中国社会科学院博士生）