企業內控新規構筑風險防火墻

《企業內部控制基本規范》旨在加強和規范企業內控，提高企業經營管理水平和風險防范能力

6月28日，財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制基本規范》（以下簡稱《規范》）。《規范》旨在加強和規范企業內控，提高企業經營管理水平和風險防范能力，其為企業構筑了一道風險防火墻。

《規范》要求，中國境內上市公司須自2009年7月1日起執行該規范，同時鼓勵非上市公司的大中型企業參照執行。薩班斯法案對美國上市公司的內控規范作出了較為詳細的規定，并確立了COSO（美國虛假財務報告委員會下屬發起人委員會)于1992年制定的《內部控制框架》（以下簡稱COSO框架）作為對上市公司內控審計的審計標準。以下對《規范》與薩班斯法案下的內控規范體系進行一些比較分析，以期加深對《規范》的理解。

內控制度的改進與加強

薩班斯法案在其404條款中強制要求公眾公司年報中應包含內控報告及其評價，并要求會計師事務所對公司管理層作出的評價出具鑒證報告。《規范》之前，我國僅在《首次公開發行股票并上市管理辦法》第二十九條中要求擬公開發行股票并上市的公司的內控在所有重大方面是有效的，并由注冊會計師出具了無保留結論的內控鑒證報告。除此之外，上市公司的定期財務報告制度中并沒有要求對其內控狀況作出報告，提供注冊會計師出具的內控鑒證報告也沒有成為對上市公司的強行性要求。《規范》要求執行該規范的上市公司，應當對本公司內控的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業務資格的會計師事務所對內控的有效性進行審計。這意味著設計和實施有效的內控成為了上市公司的一項法定義務。

可以看出，《規范》借鑒了薩班斯法，這對于保護公眾投資者有重要的作用，投資者可以借助內控審計報告進一步判斷公司財務信息的真實性。同時，注冊會計師對管理層的內控報告的評價也揭示了管理層的品行，由此促使管理層認真地去執行《規范》。

內控制度控制要素分析

《規范》對內控的基本要素作了指引性的統一規定，基本與COSO框架一致，包括了控制環境、風險評估、控制活動、信息與溝通、內部監督這五個方面。

● 控制環境

《規范》及COSO框架中所指的控制環境主要包括了公司的治理結構、機構設置及權責分配、內部審計、人力資源政策、企業內部的文化和誠信價值觀念等。《規范》之前，我國在各種內控指導原則、意見或指引中對內控環境這一要素缺乏詳細的規范。《規范》將內控環境作為內控框架的首要要素，認為其是企業內控體系得以真正發揮作用的關鍵，而對控制環境影響重大的一個因素就是企業治理層的參與程度。《規范》明確指出了董事會、監事會以及經理層在內控建立和完善過程中的職責:董事會負責內控的建立健全和有效實施，監事會對董事會建立與實施內控進行監督，經理層負責組織領導內控的日常運行。

《規范》還規定企業應當通過編制內部管理手冊，使全體員工掌握內部機構設置、崗位職責、業務流程，明確各自權責分配，正確行使職權。這將有助于形成全員參與的控制環境，體現了內控建設的全面性原則。

● 控制活動

COSO框架下內控活動是指為確保管理層指示得以執行的政策和程序。包括了高層復核、指導并管理業務活動、資產保護即實物控制、信息核對、業績指標分析、職責分離等具體活動和措施。《規范》對控制活動的定義是“企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內”。按照COSO 框架下的理解，控制活動旨在確保管理層指示得以執行，而《規范》認為控制活動旨在將風險降低到可承受范圍內。筆者認為后者的表述更加恰當，因為一旦出現管理層凌駕于內控之上的情形時，旨在確保管理層指示得以執行的控制活動很可能無法發揮其控制風險的應有作用。

《規范》列舉了控制活動的一般內容，包括:不相容職務分離、授權審批、會計系統控制、財產保護、預算控制、運營分析和績效考評。這些列舉同COSO框架基本一致。《規范》對這些控制活動的具體含義和設計要求都作出了比較詳盡的描述，例如對于財產保護控制，《規范》詳細描述了這一控制應包括財產日常管理和定期清查制度以及財產記錄、實物保管、定期盤點、賬實核對等具體措施。這對于指引企業建立起常用的、基本的控制措施作用很大。

《規范》對于控制活動的規定相較于COSO框架有兩個創造性的發展。第一，《規范》強調了預算控制在控制活動中的重要性，明確各責任單位在預算管理中的職責權限，規范預算的編制、審定、下達和執行程序，強化預算對企業活動的約束。完善的預算管理可以降低企業經營活動的不可預見的程度，從而將經營風險降低到可接受的范圍內。第二，《規范》提出了企業應當建立重大風險預警機制和制定突發事件應急預案。在復雜多變的經濟環境下，這些控制措施對于提高企業應對突發情況和重大變化的能力有著積極的作用，能夠有效地降低經營風險。

● 風險管理

內控要素方面的另一個主要構成就是風險管理。任何經濟組織在經營活動中都會面臨各種各樣的的風險，風險對其生存能力和競爭能力產生影響。很多風險并不為經濟組織所控制，但管理層應當確定可以承受的風險水平，識別這些風險并采取一定的應對措施。將風險評估納入內控要素是COSO框架的創舉，并且還提出了風險評估的過程即風險識別、風險分析和應對變化。從本質上說，內控制度是對企業經營活動過程中所遇到或可能遇到的各種風險或者說整體風險進行預測、估計和應對，以實現企業的戰略與運營目標。這也就是COSO為何如此重視風險管理的根本原因。

《規范》明確地規定了企業的內控應當包括風險評估過程，即及時識別、系統分析經營活動中與實現內控目標相關的風險，合理確定風險應對策略。同時《規范》非常詳細地列舉了企業識別內部及外部風險時應當關注的各個方面，有效地指引企業對其經營活動中的各種風險進行全面評估。

● 信息溝通

為使內控相關信息能夠被及時地搜集、處理和溝通，以促進內控的有效運行，《規范》提出完整的內控框架中應當包含有效的信息系統和溝通機制。《規范》中所稱的信息包括了內部信息和外部信息。信息的溝通不僅發生在企業內部各管理級次、責任單位、業務環節之間，同時還發生在企業外部投資者、債權人、客戶、供應商、中介機構和監管部門之間。《規范》要求所有重要的信息都應當及時傳遞給公司的治理層和管理層，這將有助于及時地發現、識別風險并盡早作出應對措施。

在企業經營管理的過程中，舞弊導致的風險難以識別，造成的后果相對較嚴重。因此《規范》特別強調了信息和溝通機制應當發揮反舞弊的作用，要求企業建立舉報投訴制度和設置舉報專線，并明確舉報投訴的處理程序、辦理時限和辦結要求。

● 內部監督

為及時發現企業內控中的漏洞并進行改進和完善，《規范》要求企業建立起內控監督制度，包括日常的持續性監督檢查以及針對內控某一或者某些方面進行有針對性的專項監督。對于監督過程中發現的內控缺陷，應當及時地向治理層和管理層報告，并分析缺陷的性質和原因，提出整改方案。