70合规之道:上市公司与事业单位采购付款内部控制体系建设探讨

在全球经济不确定性增强和国内监管持续深化的背景下，采购付款环节的内部控制已成为上市公司和行政事业单位（以下简称“两类组织”）防范风险、保障资产安全、提升运营效率的关键防线。近年来，财政部、国资委、证监会等部门密集更新内控规范与监管指引，对采购付款活动的合规性、真实性、效益性提出了穿透式、全流程的更高要求。

本文旨在系统梳理截至2026年初的最新监管动态，结合权威政策与典型案例，构建一个兼具原则统一性与操作差异性的采购付款内控实践框架。

一、最新监管动态与内控核心要求解读

当前，监管呈现出从“零散治理”向“系统治理”转变的鲜明特征。对上市公司，监管核心是防范财务舞弊与利益输送；对事业单位，重点是落实政府采购政策、强化预算约束、防范廉政风险。最新政策为其内控建设提供了直接依据。

1. 面向行政事业单位：责任清单与全流程纪实

陕西省财政厅于2026年1月印发的《预算单位政府采购主体责任清单》具有极强示范意义。其核心要求构成了事业单位采购内控的基石：

•全面落实“谁采购、谁负责”：采购人是采购活动的责任主体，需建立合法合规、公正透明的内控制度。

•推行全过程纪实记录制度：确保采购执行过程和履责行为可查询、可追溯，各环节责任人签字留痕。

•坚持不相容岗位分离：明确要求采购需求制定与内部审查、采购文件编制与复核、合同签订与履约验收等岗位必须相互分离。

•强化验收与支付刚性绑定：明确规定“项目验收合格是政府采购项目资金支付的必要条件”，且满足支付条件的，原则上应在收到发票后10个工作日内支付。

2. 面向国有企业及上市公司：规范化与智慧化采购

国资委与国家发改委于2024年联合发布的《关于规范中央企业采购管理工作的指导意见》，为包括多数上市公司在内的企业提供了权威指引。其要点包括：

•依法合规与分类采购：在必须招标的项目外，系统规范了询比、竞价、谈判、直接采购等不同方式的适用条件，要求企业合理选择。

•强化供应商全生命周期管理：要求利用数智化手段广泛寻源，开展供应商全生命周期评价，并探索高风险供应商名单信息共享机制。

•推动采购公开与数智化：要求限额以上项目原则上公开，并深化电子采购系统应用，实现业务公开、过程受控、全程在线、永久可追溯。

•支撑科技创新与履行社会责任：明确对创新产品可采用谈判或直接采购方式予以支持，并要求大力扶持中小企业发展。

二、采购付款环节的典型风险分析

最新的监管案例揭示了采购付款环节若不严加控制，将引发严重风险：

1. 流程失控风险：付款与实际业务严重脱节

表现：付款审批权过度集中或失控，未按合同约定条件支付。如某公司总经理助理一人即可审批付款，导致采购付款发起和审批与制度规定存在差异。更为极端的情况是，上市公司在未收到货物的情况下提前支付大额货款，造成资金损失风险。

后果：直接导致资金安全风险，可能为虚假交易或资金挪用提供便利，是舞弊的高发区。

典型案例：2026年1月，北京新时空科技股份有限公司（简称“新时空科技”）因多项违规收到北京证监局《行政监管措施决定书》，其中关键一项直指采购付款的流程失控风险。监管明确指出，该公司 “与资金支付审批、供应商审批、财务核算管理等相关的内部控制不完善”。这份来自监管机构的官方认定，精准揭示了其付款审批流程存在重大缺陷。这种内控不完善意味着付款的发起、审核与授权可能未能有效分离或执行，使得制度规定形同虚设，极易导致付款脱离真实的业务背景与合同约定，为资金被挪用或发生非经营性占用（该公司同期还存在控股股东资金占用问题）打开了方便之门，成就了这起典型的流程失控与舞弊问题。

2. 合同与履约风险：验收付款流于形式

表现：合同管理不规范、评审缺失；验收环节走过场，对未完成或未达标的项目违规通过验收并付款。2024年度中央预算执行和其他财政收支的审计工作报告披露，有单位对建设内容未完成的2个信息系统，通过验收并支付了全部合同款。

后果：导致采购资金浪费，资产虚增，并为通过关联交易虚增成本、操纵利润提供了空间。

典型案例：2025年11月，ST东尼（东尼电子，603595.SH）因信息披露违法违规收到浙江证监局《行政处罚决定书》，其违法行为深刻暴露了合同履约管理的失效。该公司一份金额6.75亿元的重大采购合同，在实际履行严重滞后（完成率仅6.74%）的情况下，不仅未及时披露风险，更在财务处理上“流于形式”：将本应作为研发费用核销的不良产品计入存货，并通过关联方代垫采购款且不入账。这些操作实质上是绕过了真实的“验收”环节，通过会计手段虚假确认资产与成本，最终导致公司2022年年报及2023年半年报虚增利润总额超过1.1亿元。此案后果严重，公司被处以700万元罚款，时任董事长被罚350万元，并因此被实施其他风险警示（ST），充分揭示了履约管理失控与财务舞弊相结合的严重后果。

3. 合规与舞弊风险：程序违规与“明招暗定”

表现：应招标未招标、化整为零规避招标；采购程序倒置，先实施后招标；在招标中设置歧视性条款或内定供应商。

后果：破坏市场公平竞争，易滋生商业贿赂，导致采购价格虚高、质量低下，并面临严重的监管处罚和声誉损失。

典型案例：近期冲刺深交所IPO的上海誉帆环境科技股份有限公司（誉帆科技），其上市进程因其采购招标活动中存在的“明招暗定”嫌疑而蒙上阴影。根据调查，该公司在其主营的市政水务项目投标中，与供应商南通云程市政工程有限公司形成了“一方屡次中标、一方持续陪跑”的异常模式。企查查数据显示，双方在近两年的多个项目中高频次共同竞标，但结果均是规模、实力占优的誉帆科技胜出。更为关键的是，南通云程的股东王某，曾在2018年至2020年期间担任誉帆科技的采购经理。这种“前采购经理控制的公司成为固定陪标方”的人事关联，以及违背商业逻辑的竞标结果，引发了市场对其是否存在串通投标、操纵招标程序的强烈质疑。此类行为不仅直接违反《招标投标法》，触碰法律红线，也导致公司IPO的合规性与信息披露真实性受到监管机构的严格审视，上市前景存在重大不确定性。

三、面向落地的采购付款内控体系建设框架

基于最新监管要求与风险分析，一个有效的采购付款内控体系应是以风险为导向、覆盖全流程的闭环系统。下表对比了两类组织建设的侧重点：

四、关键落地举措与实施建议

为使框架有效运行，组织需聚焦以下举措：

1. 筑牢“三道防线”，明晰职责分离

完善的采购付款内部控制体系，其组织架构与职责设置的核心是构建清晰、制衡的“三道防线”。这一理念最早被金融监管机构确立为内部控制的基本要求，旨在通过顺序递进的监督机制，形成层层设防、环环相扣的风险防范体系。对于采购活动，该体系要求将决策、执行、监督等关键职责分配给不同的部门或岗位，实现“分事行权、分岗设权、分级授权”，从而确保权力受到有效约束。

• 第一道防线（业务执行与操作部门）：承担直接责任的风险“识别者”与“控制者”。

第一道防线由直接参与采购活动的业务部门构成，如采购部、需求使用部门等。它们不仅是采购需求的发起者和采购合同的执行者，更是风险管控的首要责任人。其核心职责在于确保每一笔业务操作在源头就符合内控制度。根据最新规定，这包括：科学、合理确定采购需求并进行价格测算；严格执行采购流程，确保在采购文件编制、供应商选择等环节无歧视、无偏向；在合同履行中，负责跟踪供应商履约情况，并依据合同约定发起付款申请。陕西省财政厅2026年发布的《预算单位政府采购主体责任清单》明确要求，所有环节均需建立“责任人签字留痕”制度，确保执行过程可追溯。

• 第二道防线（风险管理与合规职能）：承担监督责任的“规范制定者”与“合规审查者”。

第二道防线由财务、法务、风险管理及专门的合规管理部门等构成。它们不直接参与具体采购业务，而是负责制定采购付款的“游戏规则”，并对第一道防线的操作进行事中监督与审核。其关键职责包括：制定和完善采购付款相关的内部控制制度与流程；对采购预算、采购方式、合同条款（特别是价格、付款、违约责任）进行合规性与合理性审查；在付款环节，严格审核付款申请是否具备完整的支撑文件链条（如经批准的采购订单、验收报告、合规发票），确保“三流一致”（合同流、物流/服务流、发票流），防止资金被挪用或支付给虚假交易。这一防线的作用是在业务流程的关键节点设置“刹车”和“安检门”。

• 第三道防线（内部审计与纪检监察）：承担独立评价责任的“监督的再监督者”。

第三道防线由独立于所有采购与付款业务的内部审计部门（及事业单位的纪检监察部门）构成。其核心特征是独立性，直接向董事会或单位最高负责人报告。它的职责不是参与日常业务审核，而是定期或不定期地对整个采购付款内部控制体系的设计有效性和运行效率进行全面、独立的审计与评价。这包括检查“三道防线”是否履职到位、不相容职责是否真正分离、是否存在舞弊或违规线索，并将审计结果和改进建议直接报告给最高治理层，从而形成强有力的威慑和闭环管理。

为了确保上述“三道防线”有效运转，避免因职责交叉导致的控制失效或舞弊机会，不相容岗位分离是必须坚守的底线原则。根据《企业内部控制基本规范》及2026年配套指引等权威标准，在采购付款领域，至少应实现以下关键职责的分离：

采购需求提出与供应商选择、定价权分离：防止为自己“量身定制”需求并指定供应商。

采购合同签订与合同审核权分离：防止在合同中埋设不利条款。

采购订单执行与物资/服务入库验收权分离：防止接收不合格品。

采购付款申请与付款审批、资金支付权分离：这是防止虚假采购套取资金的核心控制点，必须确保申请、审批、执行支付由不同人员完成。

供应商履约考核与供应商准入、淘汰决策权分离：防止包庇不合格供应商。

2.强化以履约验收为核心的“事中管控”

确立“无验收，不付款”的铁律，是堵塞采购资金流失漏洞、确保采购成果物有所值的最终且最关键闸门。履约验收绝非简单的数量清点或形式签字，而是一个独立、专业、公开的实质性核查过程，其有效性直接决定了采购活动的成败与内控体系的稳健性。

首先，必须构建独立于采购执行部门的专业化验收组织体系。 独立性是验收公正性的生命线。无论是上市公司还是行政事业单位，均应建立制度化的验收小组机制。该小组应由需求使用部门（负责检验是否符合使用目的）、技术部门或外聘专家（负责技术参数与质量的专业判定）、财务或内控部门（负责核对与合同、发票的一致性）等多方人员组成。对于重大、复杂的项目（如信息系统集成、大型设备、工程建设），必须强制引入第三方权威检测机构或行业专家，出具独立的检测或评估报告。这种组织设计从源头上切断了“谁采购、谁验收”的利益链条，防止内部串通。例如，在某智慧城市项目中，通过设立由外部信息安全专家主导的验收组，成功发现中标供应商在核心数据加密模块上未达标，避免了数千万元劣质投入。

其次，必须推行标准化、清单化的专业验收流程。 专业性体现在验收行为的精细化和标准化。验收应严格依据采购合同、招标文件、投标响应等具有法律效力的文件，制定详细的验收方案与检查清单。清单需涵盖技术规格、性能指标、文档资料、培训服务、售后服务等所有合同要素。对于软件类项目，需进行压力测试、安全漏洞扫描和代码合规性审查；对于设备类采购，需进行连续运行测试和精度校准。验收过程必须形成完整的书面记录、影像资料及测试数据报告，所有参与人员签字确认，实现责任可追溯。审计发现，许多失败案例的共性是验收报告空洞无物，仅有“合格”结论而无支撑证据。因此，必须将验收从“定性判断”转变为“定量核查”。

再次，必须积极探索并应用多元化的验收方法与技术手段。 除了传统方法，应引入更科学的验收机制。对于长期服务类或分期交付项目（如物业管理、云服务），应采用分期验收、绩效挂钩付款模式，将付款与季度或年度服务绩效考核结果强绑定。鼓励采用“盲样测试”（供应商不知情的样本测试）或 “飞行检查”（不预先通知的现场突击检查）等方式，验证供应商日常履约的真实水平。此外，可借助物联网（IoT）传感器、区块链等新技术，对设备运行状态、货物物流轨迹进行不可篡改的实时监控与自动验证，将事后验收部分转变为事中持续监督。

最后，必须强化验收结果的刚性应用与联动反馈。 验收不是终点，其结论必须产生实际效力。一是与付款强绑定，验收不合格或部分不合格的项目，财务系统应自动冻结或按比例扣减相应付款，并启动违约索赔程序。二是与供应商管理强关联，验收结果应录入供应商绩效评价体系，作为后续招标评审、合同续签、份额分配的核心依据。对于严重违约的供应商，应列入黑名单并予以公示。三是与需求管理形成闭环，验收中发现的需求定义不清、标准不切实际等问题，应反馈至采购需求制定环节，持续优化前端管理。通过将验收结果深度嵌入业务流程，使其从一个孤立的环节，升级为驱动采购质量持续改进的关键枢纽。

3. 深化全流程数字化“智慧内控”

数字化转型是破解传统人工控制效率低下、人为干预过多难题，实现“全程在线、永久可追溯”监管要求的必然选择。智慧内控旨在通过技术赋能，将制度规则转化为系统逻辑，从事后抽查转向实时监控，从人防为主转向技防与人防相结合。

核心是构建一体化的集成管控平台。 消除“信息孤岛”是实现智慧内控的前提。必须推动采购管理系统与预算管理系统（控制源头）、ERP/财务系统（控制支付与核算）、合同管理系统（控制履约依据）、资产管理系统（控制交付成果）以及供应商关系管理（SRM）系统的全面集成与数据实时交互。例如，一项采购申请提交时，系统自动校验年度预算余额；合同审批时，自动调取该供应商的历史绩效、关联关系提示；货物入库时，扫描二维码自动触发验收任务并更新资产卡片；发起付款时，系统自动匹配“合同-订单-入库单-验收单-发票”五单，不一致则流程中断。这种端到端的集成，确保了业务流、实物流、信息流和资金流的“四流合一”，让任何不合规操作在系统中无处遁形。

关键在于实现规则驱动的流程自动化控制。 将内部控制的关键要求预先“固化”到系统工作流中，是数字化内控的精髓。系统应能够强制执行以下规则：1） 预算控制规则：超预算、无预算项目无法创建采购申请；2） 供应商准入规则：不在合格名录库或处于黑名单的供应商无法被选入；3） 采购方式控制规则：达到公开招标限额的系统自动推荐或强制要求招标流程；4） 定价控制规则：采购价格高于历史采购价、市场参考价或预算单价时，系统自动预警并需附加特殊审批；5） 付款控制规则：严格执行“无合同不付款、无订单不付款、无验收不付款、无发票不付款”的“四无”拦截。通过将人为的“软约束”变为系统的“硬控制”，极大降低了违规操作空间。

升阶在于建立基于大数据的动态监测与智能预警体系。 在流程自动化的基础上，利用数据仓库、商业智能（BI）工具和人工智能算法，对采购全貌进行深度洞察和风险预测。监控预警的重点应包括：1） 供应商风险画像：监控供应商集中度（单一供应商采购占比异常高）、围串标线索（多家投标人IP地址、硬件信息雷同）、关联方交易（识别隐形关联）。2） 价格与成本分析：建立主要物料价格数据库，自动识别价格异常波动、长期无变动或明显高于市场行情的采购。3） 合同履约追踪：监控合同执行进度偏差、验收延迟、付款账龄（特别是长期挂账的预付款项）。4） 行为异常监测：分析采购员行为模式，如频繁更换供应商、特定时间段大量操作、与某些供应商交互过密等。系统一旦发现风险信号，应立即向风险管理、内审及管理层推送预警报告，实现从“事后查处”到“事前预防、事中干预”的转变。

4. 培育全员合规文化与问责机制

再完美的制度和系统，最终需要人来执行和维护。因此，培育深入人心的合规文化，并辅以清晰、严厉的问责机制，是内控体系能够持续有效运行的“土壤”和“保障”。

高层必须率先垂范，确立“合规至上”的基调。 董事会、单位主要负责人及高级管理层的态度直接决定了内控环境的优劣。他们不能仅将内控视为应付监管的成本，而应视其为创造组织价值、保障基业长青的战略投资。高层应通过正式会议、内部讲话、书面承诺等方式，持续、明确地传达对合规经营“零容忍”的坚定立场。更重要的是，其自身行为必须严格遵守制度，杜绝“领导特批”绕过流程的情况。例如，管理层应自觉将自身及关联方可能涉及的采购事项主动提交合规审查，公开承诺不干涉具体采购活动，从而为全体员工树立最权威的榜样。

需要构建分层、精准、常态化的全员培训与沟通体系。 合规意识不能自然产生，需要持续灌输和培育。培训应分层分类：对决策层，侧重内控治理责任与法律风险；对采购、财务等关键岗位，侧重流程规范、舞弊识别与案例剖析；对普通员工，侧重基础制度与举报渠道。培训形式应多样化，结合线上微课程、线下研讨会、典型案例情景模拟、知识竞赛等。尤其要善于运用最新的监管处罚案例（如前面提到的各类上市公司失败案例）进行“沉浸式”警示教育，让员工深刻认识到违规行为对个人职业生涯、家庭和公司造成的毁灭性后果。同时，建立畅通的合规咨询与质疑渠道，鼓励员工在遇到灰色地带时主动寻求指导。

最终必须依靠严密、公正、透明的问责机制形成闭环。 没有问责，责任就会落空。问责机制的核心在于“精准”和“联动”。

1） 精准追溯：依托“全过程纪实记录”制度（如陕西省责任清单所要求），确保从需求提出到最终付款的每个环节都责任到岗、记录到人、签字确认。一旦发生问题，可以迅速、准确地锁定违规环节和责任人，避免责任虚化、集体担责。

2） 联动惩处：问责结果必须与个人绩效考核、薪酬奖金、职务晋升、评优评先等切身利益强挂钩。对合规表现优异的给予奖励；对轻微违规的进行诫勉谈话、通报批评；对严重违规或构成舞弊的，坚决予以行政处分、经济处罚甚至移交司法。

3） 公开透明：在不违反隐私规定的前提下，适当内部公开典型违规事件的查处情况，“以案释法”，达到“处理一个、警示一片”的效果。通过严格的问责，让合规要求从“软约束”真正变为触碰不得的“高压线”。

面对强监管、严问责的新常态，上市公司与行政事业单位的采购付款内控建设已进入系统化升级的关键阶段。落地的关键在于：以最新的权威监管要求为刚性约束，以全流程闭环管理为基本框架，以不相容职务分离和组织制衡为基石，以穿透式履约验收为核心抓手，以数字化转型为实现永久可追溯的效能引擎，以清晰的责任文化与问责机制为持久保障。

唯有如此，才能将内部控制从纸面制度转化为真正的风险防控能力，确保采购活动在保障组织运营的同时，实现合规、廉洁、高效、物有所值的综合目标，为组织的可持续发展奠定坚实基础。

主要参考文献

1. 陕西省财政厅. 《陕西省预算单位政府采购主体责任清单》（陕财办采〔2026〕1号）.

2. 国务院国资委， 国家发展改革委. 《关于规范中央企业采购管理工作的指导意见》（国资发改革规〔2024〕53号）.

3. 中国证券监督管理委员会广东监管局. 关于对东莞市诺丽科技股份有限公司、朱晓东、董辉采取出具警示函措施的决定〔2024〕51号.

4. 审计署. 2025年第1号公告：中央部门单位2024年度预算执行等情况审计发现的主要问题.

5. 每日经济新闻. 《28份合同“未交货”，遭6亿元巨额索赔！》.

6. 中国网. 《虚增利润过亿，重大合同履行严重滞后未及时信披！东尼电子及时任高管被罚千万》.