如何應對《企業內部控制基本規范》（一）

李若山　高　垚

“大江東去，浪淘盡，千古風流人物”，這句蘇東坡留在赤壁上的千古絕唱，既蘊含著對古代英豪的欽佩，更有對英雄人物悲愴結局的惋惜。我國改革開放三十年來，上市公司要想成為流芳百世的英雄就在于企業能否居安思危，曲突徒薪，能否有效管理企業，快速反映外部環境變化，及時控制和化解企業內部和外部的各種風險。

改革開放與資本市場孕育了無數睿智的企業家，造就了眾多優秀的上市公司。然而，也有很多上市公司由于前期發展過快，對于風險管理意識比較薄弱，如何應對風險，加強企業內部控制往往被忽視，多年的積累導致內部管理千瘡百孔，最后落得被兼或收購。沒能守住企業，有句古訓說：“打天下容易，守天下難”。此類例子甚多，諸如三九、科龍等等。對于這些企業的發展問題，必須強調企業內部控制管理的規范。

2008年6月28日，財政部、證監會、審計署、銀監會、保監會聯合發布我國第一部《企業內部控制基本規范》，這是我國上市公司監管領域的又一重大改革舉措，標志著中國企業內部控制規范體系建設取得重大突破。然而與法規出臺對立的是，國內大部分公司內部控制制度尚未建設或完善，對于如何應對《企業內部控制基本規范》不知所措，本文就企業如何應對《企業內部控制基本規范》問題，對企業需要做些什么進行解讀。

基本規范共七章五十條，各章分別是：總則、內部環境、風險評估、控制活動、信息與溝通、內部監督和附則。基本規范在以下6個重要方面對上市公司提出了要求，企業應：

一、構建內部控制體系，確保合法有效的治理結構

(一)保證一個良好的內部環境

內部環境一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化。企業應該根據國家有關法律法規和企業章程，建立規范的公司治理結構和議事規則，明確決策、執行、監督等方面的職責權限，開成科學有效的職責分工和制衡機制。

(二)治理層的相關職責如下

(1)股東會：股東(大)會享有法律法規和企業章程規定的合法權利，依法行使企業經營方針、籌資、投資、利潤分配等重大事項的表決權。

(2)董事會：董事會對股東(大)會負責，依法行使企業的經營決策權。

(3)監事會：監事會對股東(大)會負責，監督企業董事、經理和其他高級管理人員依法履行職責。

(4)經理層：經理層負責組織實施股東(大)會、董事會決議事項，主持企業的生產經營管理工作。

二、確立各部門及崗位的內控職責及合理的授權體系

(一)企業董事會下設的審計委員會要承擔企業內控審查與監督的職責：“企業應當在董事會下設立審計委員會。審計委員會負責審查企業內部控制。監督內部控制的有效實施和內部控制自我評價情況，協調內部控制審計及其他相關事宜等。”

(二)企業須保持承擔內控職責的部門的獨立性：“審計委員會負責人應當具備相應的獨立性、良好的職業操守和專業勝任能力。”“企業應當加強內部審計工作，保證內部審計機構設置、人員配備和工作的獨立性。”“內部審計機構應當結合內部審計監督，對內部控制的有效性進行監督檢查。內部審計機構對監督檢查中發現的內部控制缺陷，應當按照企業內部審計工作程序進行報告；對監督檢查中發現的內部控制重大缺陷，有權直接向董事會及其審計委員會、監事會報告。”

(三)企業要制定合理而完整的授權體系：“授權審批控制要求企業根據常規授權和特別授權的規定。明確各崗位辦理業務和事項的權限范圍、審批程序和相應責任。”

三、對企業風險進行自我評價

(一)企業應該根據自身的行業、產業及企業特色。對企業的風險進行評估：“企業應當根據設定的控制目標，全面系統持續地收集相關信息，結合實際情況，及時進行風險評估。”“企業應當采用定性與定量相結合的方法，按照風險發生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優先控制的風險。企業進行風險分析，應當充分吸收專業人員，組成風險分析團隊，按照嚴格規范的程序開展工作，確保風險分析結果的準確性。”

(二)企業建立風險數據庫，建立風險應對策略：“企業應當根據風險分析的結果，結合風險承受度，權衡風險與收益，確定風險應對策略。”

四、編制《企業內部管理手冊》

(一)編制《企業內部管理手冊》

“企業應當結合風險評估結果，通過手工控制與自動控制、預防性控制與發現性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內。“確保”企業應當通過編制內部管理手冊，使全體員工掌握內部機構設置、崗位職責、業務流程等情況。明確權責分配，正確行使職權。”

(二)要確保企業的運營處于有效控制下，實現企業經營管理的合規合法、資產安全、財務報告及相關信息真實完整，提高經營效率和效果、促進企業實現發展戰略，企業應當從以下幾方面入手：

(1)不相容職務分離控制；

(2)授權審批控制；

(3)會計系統控制；

(4)財產保護控制；

(5)預算控制；

(6)運營分析控制；

(7)純凈考評控制。

五、持續監督，保留內控相關書面痕跡

(一)企業要根據《企業內部管理手冊》構建全方面的監督檢查體系，確保對企業運營有持續的監督(包括日常監督和專項監督)：“企業應當根據本規范及其配套辦法，制定內部控制監督制度，明確內部審計機構(或經授權的其他監督機構)和其他內部機構在內部監督中的職責權限，規范內部監督的程序、方法和要求。”

“內部監督分為日常監督和專項監督。日常監督是指企業對建立與實施內部控制的情況進行常規、持續的監督檢查；專項監督是指在企業發展戰略，組織結構、經營活動、業務流程，關鍵崗位員工等發生較大調整或變化的情況下，對內部控制的某一或者某些方面進行有針對性的監督檢查。”

(二)企業應該保留書面控制活動的痕跡：“企業應當的內部日常控制和以書面(或其他適當形式)保存內控相關資料，確保內控建立與實施的可驗證性。”

六、反舞弊

企業應結合內部治理與機構設置建立反舞弊機制：“企業應當建立反舞弊機制，堅持懲防并舉、重在預防的原則，明確反舞弊工作的重點領域、關鍵環節和有關機構在反舞弊工作中的職責權限，規范舞弊案件的舉報、調查、處理、報告卸補救程序。”并從機構設置上切實保證反舞弊機制的可操作性：“企業應當建立舉報投訴制度和舉報人保護制度，設置舉報專線，明確舉報投訴處處理程序、辦理時限和辦結要求，確保舉報、投訴成為企業有效掌握信息的重要途徑。舉報投訴制度和舉報人保護制度應當及時傳達至全體員工。”(未完待續)