上市公司如何进行内部控制？

# 上市公司如何进行内部控制？ 在资本市场波澜壮阔的浪潮中，上市公司作为经济的“晴雨表”，其每一项决策、每一笔交易都牵动着投资者的神经。然而，近年来从康美药业300亿货币资金“蒸发”到瑞幸咖啡财务造假22亿元，再到部分上市公司因内控失效导致业绩“变脸”，这些案例无不揭示一个残酷现实：内控是企业生存的“防火墙”，更是上市公司行稳致远的“压舱石”。作为在加喜财税深耕12年注册、14年财税服务的从业者，我见过太多企业因内控缺失而折戟沉沙，也见证过不少企业通过筑牢内控防线实现跨越式发展。今天，我们就来聊聊上市公司究竟该如何构建一套“能落地、见实效”的内部控制体系。 ## 治理结构筑基 治理结构是内控的“顶层设计”，如同房屋的地基，若地基不稳，再华丽的装修也只是空中楼阁。上市公司作为公众公司，其治理结构的合理性直接决定了内控的有效性。实践中，不少企业把“治理结构”当成应付监管的“花架子”，董事会、监事会形同虚设，最终导致“内部人控制”泛滥——这可不是危言耸听，我去年接触过一家制造业上市公司，董事长兼任总经理，董事会成员中高管占比超过60%，开董事会时基本是“一言堂”，结果分管副总利用职务便利虚构采购合同，套取资金近2000万元，直到审计进场才东窗事发。所以说，治理结构的核心是“分权制衡”，而不是“权力集中”。 独立董事制度是治理结构中的“关键棋子”。监管要求上市公司独立董事占比不少于三分之一，但很多企业只看重“数量”却忽视“质量”。我曾遇到一家公司，请了一位退休的政府官员当独立董事，结果这位董事连公司的主营业务都搞不清楚，董事会审议重大关联交易时，他全程只问了一句“这个项目对股价有影响吗？”——这样的独立董事如何发挥监督作用？真正有效的独立董事，应当具备专业背景（如财务、法律、行业专家），且与公司无利益关联。我服务过的一家新能源企业，就引入了一位有15年审计经验的独董，每次审议财务报告时，他会逐笔核对大额应收账款的客户背景，甚至亲自打电话给对方核实交易真实性，这种“较真”的态度让财务数据造假无所遁形。 监事会的监督职能也不能“打折扣”。现实中，不少监事会要么是“橡皮图章”，开会只是走过场；要么成员全是职工代表，碍于情面不敢监督。其实，监事会要想有“牙齿”，必须赋予其实质权力。比如我建议客户，在《公司章程》中明确监事会“随时查阅公司账簿、询问高管”的权力，甚至可以聘请第三方审计机构协助审计。记得有一家客户曾抱怨：“监事会查账，财务部总说‘数据整理中’，拖了一周都没给结果。”后来我们帮他们修改了《监事会议事规则》，规定“财务部必须在24小时内提供完整资料，否则高管薪酬下浮10%”——有了“硬约束”，监事会监督效率立刻提升。 经理层的权责划分更是内控落地的“最后一公里”。很多企业存在“权责不清”的问题：采购部说价格要市场部定，市场部说供应商要采购部选，最后出了问题互相推诿。我常跟客户说：“内控不是‘管死人’，而是让每个人知道‘能做什么、不能做什么、做了要负责’。”比如某上市公司曾因销售返利计算错误导致利润虚增，我们帮他们梳理流程后，明确“销售部提方案—财务部审核—总经理审批—董事会备案”四步走，每个环节都留痕，责任到人，后来再没出过类似问题。 ## 制度体系先行 如果说治理结构是“骨架”，那制度体系就是“血肉”，没有完善的制度，内控就是“镜中花、水中月”。我曾见过一家科技公司，墙上贴着厚厚一摞《内控制度》，从采购到报销足足有50多本，但财务部报销时还是“看心情”——制度写得再好，不执行也是废纸。所以，制度体系的核心是“可操作”，而不是“看起来美”。 制度设计必须“分层分类”。很多企业喜欢“一锅烩”，把所有内控要求都塞进一本《内控手册》，结果财务人员看不懂业务，业务人员看不懂财务，最后谁也用不了。正确的做法是“金字塔”结构：顶层是《内部控制基本制度》，明确内控目标、原则和总体框架；中间层是《具体控制指引》，比如《采购与付款控制指引》《资金活动控制指引》，针对关键业务环节；底层是《操作流程手册》，甚至可以细化到“报销单怎么填”“合同怎么审”这种程度。我服务过的一家零售企业，以前员工报销差旅费要填5张单子，跑3个部门，我们帮他们优化后，做成“报销流程图+示例”，贴在打印机旁，员工自己就能搞定，效率提升了60%。 制度“动态更新”比“制定”更重要。市场环境、业务模式在变，内控制度也得跟着变。比如疫情期间，很多企业的线下销售转线上，原来的《销售收款流程》就不适用了——客户线上下单怎么确认收入？货到付款怎么对账？如果制度不及时更新，就会出现“真空地带”。我去年帮一家餐饮上市公司做内控升级，他们原本的《食材采购制度》要求“必须当面验货”，但疫情期间供应商无法到店，我们紧急调整流程，增加“视频验货+第三方公证”条款，既保证了食材质量，又没耽误生意。所以说，制度不是“一劳永逸”的，得像手机系统一样定期“升级”。 制度落地还得有“考核指挥棒”。再好的制度，如果员工不执行，就是“纸上谈兵”。我常跟客户说：“内控不是‘财务部的事’，而是每个人的‘必修课’。”比如某上市公司把内控执行情况纳入绩效考核，财务报销出一次错扣当月奖金5%，采购流程违规扣部门负责人10%绩效，半年后违规率下降了80%。但要注意，考核不能“一刀切”，对新业务要“容错试错”，对老问题要“零容忍”——比如员工第一次报销单据填错，可以培训指导；要是故意伪造单据，那就得“零容忍”处理，这样才能让员工既敬畏制度，又敢创新。 ## 关键流程严控 上市公司的业务流程成百上千，但内控资源有限，必须“抓大放小”，聚焦“高风险、高影响”的关键流程。我总结了一个“二八原则”：20%的关键流程决定了80%的内控风险。比如资金活动、采购业务、销售业务、资产管理、财务报告这些环节，一旦出问题，动辄就是上千万的损失，必须严防死守。关键流程控制的核心是“堵漏洞”，而不是“添麻烦”。 采购与付款流程是“腐败高发区”。我曾遇到过一个案例：某上市公司采购经理和供应商串通，将100万的设备报价150万，中间的50万回扣两人分了。后来我们帮他们优化流程，增加了“三比三看”环节：比价格（看是否高于市场均价）、比资质（看供应商是否有相关认证）、比口碑（看过往合作评价），再引入“技术部门参与验货、财务部门审核发票”的双重复核，类似的舞弊行为就再没发生过。这里特别要提一个专业术语叫“穿行测试”，就是选一笔真实业务，从头到尾走一遍流程，看看每个环节的控制点有没有效。比如我们给一家制造企业做穿行测试时，发现“采购订单”不需要审批就能生效，立刻建议他们上线“电子审批系统”，现在任何一笔采购订单都要经过3个部门审批，想“暗箱操作”比登天还难。 销售与收款流程直接关系“收入真实性”。上市公司为了粉饰业绩，虚增收入的手法五花八门：无实体交货、提前确认收入、关联方非关联化交易……我服务过一家医药上市公司，曾通过“体外循环”虚增收入3个亿，后来被证监会处罚。我们帮他们整改时，重点抓了“客户准入”和“收入确认”两个环节：客户必须提供“营业执照、采购合同、发货单、签收单”四份材料，缺一不可；收入确认必须严格执行“控制权转移”原则，哪怕合同签了，货没发出去、客户没签收，都不能确认收入。半年后，他们的收入数据“水分”挤干了，股价反而更稳了。 资产管理流程容易被“忽视”。很多企业关注“钱”和“货”，但对固定资产、无形资产的管理很粗放。比如某上市公司办公室的电脑，财务台账显示有100台，实际盘点只有80台，剩下的20台哪去了？员工离职带走了？还是报废没报备？我们帮他们建立“资产标签制度”，每台电脑贴上唯一二维码，扫码就能看到“采购日期、使用人、存放地点”，每年盘点一次，盘盈盘亏必须写明原因，现在资产账实相符率达到了100%。还有存货管理，制造业企业最头疼的就是“积压”和“毁损”，我建议客户用“ABC分类法”：A类存货（高价值）重点管理，每天盘点；B类（中价值）每周盘点；C类（低价值）每月盘点，既节省人力，又降低了风险。 ## 财务报告精审 财务报告是上市公司的“成绩单”，而内控是“成绩单”的“质检员”。如果内控失效，财务报告就可能“失真”，误导投资者，甚至引发监管处罚。我曾见过一家上市公司，因为应收账款坏账计提不充分，虚增利润8000万，被证监会出具《警示函》，股价直接跌停。所以说，财务报告内控的核心是“真实性”，而不是“美观性”。 会计政策与估计的“选择权”必须关进“制度的笼子”。同一笔业务，用不同的会计政策处理，结果可能天差地别。比如存货计价，用“先进先出法”还是“加权平均法”？折旧年限，电脑定3年还是5年？这些看似“技术性”的选择，背后可能藏着“利润调节”的空间。我服务过的一家家电企业，以前存货计价用“先进先出法”，在原材料价格上涨时，利润被“虚增”了不少。我们帮他们改成“加权平均法”，虽然短期利润下降了，但更贴近实际经营，投资者反而更认可了。还有会计估计，比如坏账计提比例，不能拍脑袋定，得根据客户信用等级、历史回款数据科学测算，最好每年度请第三方机构评估一下，避免“拍脑袋”决策。 关联方交易是“高风险地带”。上市公司为了转移利润、逃避监管，常常通过关联方交易“做文章”：关联方高价买我的产品，低价卖给我原材料，中间的差价就是“利润”。我曾遇到过一个案例：某上市公司大股东控股的另一家公司，以市场价2倍的价格收购了上市公司的滞销产品，结果上市公司“增收不增利”，钱都进了大股东的腰包。后来我们帮他们建立《关联方交易管理制度》，所有关联交易必须“独立第三方评估公允性”，提交董事会审议，还要在年报中详细披露交易金额、定价政策、对公司的影响，想“暗箱操作”就没那么容易了。 财务报告编制与披露的“流程控制”要“环环相扣”。从原始凭证到记账凭证，从明细账到总账，再到合并报表，每个环节都不能“掉链子”。我常跟财务人员说：“你们是财务报告的‘守门人’，签字的时候要想想，这份报告经得起投资者和监管的‘拷问’吗？”比如某上市公司在编制合并报表时，对子公司的投资核算用的是“权益法”，但子公司实际亏损了，却没有及时调整，导致合并报表虚增利润。我们帮他们梳理流程后，要求“每月末核对子公司财务数据，发现异常立即调整”，现在合并报表的准确性大幅提升。还有信息披露，要及时、准确、完整，不能“选择性披露”——好消息赶紧说，坏消息藏着掖掖，这种“报喜不报忧”的做法，最终会失去投资者的信任。 ## 系统赋能增效 传统的内控主要靠“人盯人”，不仅效率低，还容易出错。现在科技这么发达，上市公司完全可以借助“数字化工具”给内控“插上翅膀”。我见过一家传统制造企业，以前做内控检查，财务部要翻3个月的凭证，加班加点干了一个星期；后来上了ERP系统，点几下鼠标就能导出数据，半天就搞定了。所以说，数字化赋能的核心是“提效率、降风险”，而不是“为了技术而技术”。 ERP系统是内控的“中枢神经”。优秀的ERP系统能把业务流程、财务流程、管理流程打通，实现“业财一体化”。比如销售业务，从客户下单、仓库发货、物流签收到财务收款，每个环节的数据都会实时同步到财务系统，想“账实不符”都难。我服务过的一家建材上市公司，以前销售部、仓库、财务部各管一摊，销售订单和发货单对不上，经常和客户吵架。上线ERP系统后，销售员在系统里下单，仓库直接根据订单发货，签收信息自动传到财务部，收款、开票一条龙，客户满意度从60%提升到95%。不过要注意，ERP系统不是“买来就能用”，必须结合企业实际业务流程定制开发，我见过有企业照搬别人的系统结果“水土不服”，业务更乱了——所以说，“适合自己的才是最好的”。 内控信息化平台要“智能预警”。传统的内控多是“事后检查”，等问题发生了再去补救，成本太高。现在有了大数据、AI技术，可以实现“事前预警、事中控制”。比如我们给某上市公司开发的“风险预警系统”，设置了“应收账款逾期超过90天”“采购价格偏离市场均价超20%”等10个预警指标，一旦触发系统会自动给相关负责人发短信、邮件，提醒及时处理。去年有个客户，系统预警“某供应商付款条件异常”，财务部一查，发现供应商账户信息被篡改了，差点被骗100万，及时止损。还有“流程自动化（RPA）”技术，可以自动抓取数据、核对凭证，把财务人员从重复性劳动中解放出来，让他们有更多时间做“风险分析”。 数据安全与备份是“底线思维”。数字化程度越高，数据安全越重要。上市公司一旦核心数据泄露或丢失，后果不堪设想——比如客户信息泄露可能引发诉讼，财务数据丢失可能导致无法出具报告。我曾见过一家互联网上市公司，因为服务器遭黑客攻击，财务数据全部丢失，直接导致年报无法披露，被ST处理。所以，我们帮客户做内控时，一定会强调“数据安全三要素”：加密（敏感数据必须加密存储）、权限（不同岗位设置不同数据访问权限）、备份（每天增量备份，每周全量备份，异地存放）。还有“数据治理”，确保数据的“准确性、完整性、一致性”，比如客户名称、银行账号这些关键字段，不能有错别字，否则系统识别不出来，预警就会失效。 ## 内审监督闭环 内控做得好不好，不能“自己说了算”，必须有独立的监督机构来“体检”。内部审计（简称“内审”）就是内控的“免疫系统”，能及时发现“病灶”，防止“小病拖成大病”。但很多企业的内审部门要么“人手不够”，要么“权限不够”，成了“花瓶”。我去年接触过一家公司，内审部只有3个人，要负责全集团20多家子公司的审计，忙得脚不沾地，最后只能“走马观花”，很多问题都没查出来。所以说，内审监督的核心是“独立性、权威性”，而不是“和稀泥”。 内审机构的“独立性”是“生命线”。内审部门不能隶属于财务部或总经理办公室，最好直接向董事会审计委员会汇报，这样才能保证“不受干扰”。我常建议客户，在《公司章程》中明确“内审负责人任免需经审计委员会同意”，避免“换领导换内审”的情况。还有内审人员的“独立性”，不能既当“运动员”又当“裁判员”——比如让财务部的人去审财务部，肯定查不出问题。我们帮客户选内审人员时，会优先考虑“有财务背景、懂业务、敢说话”的人，哪怕“得罪人”也在所不惜——毕竟，得罪人总比出问题强。 内审计划要“风险导向”。很多企业做内审，喜欢“平均用力”，今天查采购，明天查销售，结果“捡了芝麻丢了西瓜”。正确的做法是根据风险评估结果，聚焦“高风险领域”。比如某上市公司最近扩张快，新开了5家子公司，那内审重点就应该是“新公司内控执行情况”；如果发现销售返利计算错误过，那就要“回头看”，确保整改到位。我服务过的一家金融企业，用“风险矩阵”做内审计划：横轴是“风险发生概率”，纵轴是“影响程度”，把风险分为“高、中、低”三级，优先审计“高概率、高影响”的风险，审计效率提升了50%。还有“审计不打招呼”，突击检查才能看到真实情况——我见过有企业知道要查库存，提前把仓库堆满“货到单未到”的物料，突击检查才发现猫腻。 问题整改要“闭环管理”。内审不是“查问题”就结束了，关键是“整改到位”。很多企业审计报告发出去后，问题就“石沉大海”，下次审计还是老问题。我们帮客户建立“整改台账”，每个问题明确“整改责任人、整改措施、整改时限”，整改完成后还要“回头看”，确保“问题不重复出现”。比如某上市公司内审发现“采购合同未经法务审核”的问题，要求1个月内整改，我们不仅检查了整改情况，还随机抽查了后续10份合同，发现都经过了法务审核，才算真正闭环。还有“整改问责”，对屡查屡犯的问题，要严肃处理相关人员——比如某部门连续3次出现同类问题，部门负责人要降薪，这样才能“长记性”。 ## 合规文化浸润 再完善的制度、再先进的技术，如果员工不认同、不执行，内控还是“空中楼阁”。我见过一家上市公司，制度厚厚一摞，系统先进得很，但员工还是“上有政策、下有对策”——报销时虚开发票，采购时拿回扣，最后出了问题还抱怨“制度太死板”。所以说，合规文化的核心是“内化于心、外化于行”，而不是“挂在墙上”。 高管层要“以身作则”。合规文化不是“自上而下”的灌输，而是“自上而下”的示范。如果高管自己都不遵守制度，还怎么要求员工执行？我常跟客户说：“高管是内控的‘风向标’，你们怎么做，员工就怎么学。”比如某上市公司董事长出差，从不超标住宿，报销单据贴得整整齐齐，员工自然不敢“浑水摸鱼”；相反，如果高管带头违规，比如“特批”不按流程采购，那员工就会觉得“制度是摆设”，内控也就形同虚设。我服务过的一家能源企业，以前高管“一言堂”严重，内控执行差，后来换了董事长，每次开会都强调“合规是底线”，自己带头遵守制度，半年内控违规率下降了70%。 员工培训要“入脑入心”。很多企业做合规培训，就是“念文件、划重点”，员工左耳朵进右耳朵出，效果很差。其实培训可以更“接地气”——比如用“案例教学”，把企业过去的内控案例改编成“小故事”，让员工扮演“审计人员”“业务人员”，模拟场景演练；或者搞“合规知识竞赛”，设置奖品，提高参与度。我去年给一家零售企业做培训时，没讲大道理，而是放了他们自己员工“虚报差旅费”被辞退的视频，员工看完后一片寂静，效果比讲十遍理论都好。还有“新员工入职培训”，内控必须是“必修课”，培训考试不合格不能上岗——毕竟，新员工是“内控的第一道防线”，必须把好关。 举报机制要“畅通无阻”。员工是内控的“眼睛”，如果他们发现了问题不敢说，内控就会有“盲区”。所以，上市公司必须建立“安全、便捷”的举报渠道，比如匿名举报箱、举报电话、举报邮箱，甚至可以引入第三方举报平台。我常跟客户说：“不怕员工举报，就怕员工不举报；怕举报不实，不怕举报失实——只要渠道畅通，真的假不了，假的也真不了。”比如某上市公司设立了“合规举报奖”，对举报属实的员工奖励5-10万，并对举报信息严格保密，一年内收到有效举报20多起，挽回损失上千万。不过要注意，举报机制不能“滥用”，不能变成“打击报复”的工具，否则员工就不敢举报了。 ## 总结 上市公司内部控制不是“一蹴而就”的工程，而是“系统工程+长期工程”。从治理结构的“顶层设计”，到制度体系的“落地生根”，再到关键流程的“严防死守”、财务报告的“真实准确”、系统技术的“赋能增效”、内审监督的“闭环管理”，最后到合规文化的“浸润人心”，每个环节都不可或缺。正如我常对客户说的：“内控不是‘成本’，而是‘投资’——投的是‘风险防范’，赚的是‘长远发展’。”在当前资本市场强监管的背景下，只有把内控做实做细，才能在风浪中行得稳、走得远。 ### 加喜财税见解总结 加喜财税深耕上市公司内控领域14年，深知内控不是“静态手册”，而是与业务共生、动态优化的“免疫系统”。我们通过“诊断-设计-落地-迭代”全流程服务，帮助企业搭建适配自身发展的内控体系：从治理结构优化到流程细节管控，从传统制度梳理到数字化工具赋能，从内审机制建设到合规文化培育，让内控真正成为企业高质量发展的“护航员”。我们相信，有效的内控不仅能防范风险，更能提升运营效率，为企业创造实实在在的价值。