內控實施方案

程靜萍

繼2008年財政部出臺《企業內部控制基本規范》(以下簡稱“規范”)后，為促進企業建立、實施和評價內部控制，規范會計師事務所內部控制審計行為，2010年5月，財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制配套指引》(以下簡稱“指引”)，要求自2011年1月1日起在境內外同時上市的公司施行，自2012年1月1日起在上海證券交易所、深圳證券交易所主板上市公司施行；在此基礎上，擇機在中小板和創業板上市公司施行。

《規范》和《指引》的出臺，標志著我國各類企業，尤其是上市公司全面開展內部控制體系建設的時機已經成熟，也是企業規范內部控制，提升全面風險管理水平的良好契機。根據五部委要求各類企業施行《規范》和《指引》的時間表，我們可以預見，中國的上市公司將掀起一波內部控制建設的熱潮。2010年7月19日，財政部會計司、證監會會計部舉辦了境內外同時上市公司內控培訓班暨中國企業內控論壇，筆者有幸聆聽了財政部會計司幾位領導的培訓課程，加深了對本次《指引》出臺的背景、《規范》和《指引》施行的目標，《指引》具體內容的理解。筆者結合多年從事企業內部控制管理咨詢經驗，初步探討在《規范》和《指引》的要求下，建立符合企業經營管理特點的內控管理體系工作的要點和難點。

壹《規范》和《指引》帶了什么新東西

“內部控制”是近年來企業運營管理的一個熱門詞匯，越來越多的企業開始著手建設內控管理體系，其中不乏有部分管理先進的企業已經搭建了相對成熟的內控體系。這既源于國內外監管要求的壓力，也源于企業自身發展過程的需要。提及內控，我們的腦海中自然會浮現“COSO”這個字眼，的確，這個由美國“反欺詐財務報告全國委員會”下屬的COSO委員會于1992年提出的《內部控制——整體框架》(簡稱“COSO”框架)堪稱當今企業內控體系建設的圣經。而財政部兩年前頒布的《規范》正是以COSO框架為基礎，吸納了目前在企業中應用廣泛的COSO五要素內部控制框架及八要素全面風險管理整合框架的內容，并通過《指引》加以具體規范和指導企業實踐。但是與COSO相比，《規范》和《指引》更貼合現階段中國經濟發展的特點和中國企業的實際需求，具有更強的可操作性。二者在目標、內容和實施程序上均存在區別，如圖1所示：

其中，最主要的區別可歸納為三點：

與COSO框架相比，《規范》和《指引》對內部控制的目標進行了拓展。表面上看，是目標層次上更豐富和完整了，但是實質上卻遠不止如此。基于制定者的身份和立場，要求企業按照COSO框架完善內部控制，在于將會計師的責任降到最低，規避其執業風險。而我國本次頒布實施的內控框架，把促進企業實現其發展戰略和確保企業資產安全納入主要目標，昭示內控的終極目的在于實現企業價值最大化而非會計師責任最小化。

與COSO框架相比，《指引》的內容更符合中國企業的實際情況，與管理結合更為緊密。以控制環境為例，COSO框架列出“誠信與道德觀、董事會與審計委員會、管理層經營風格與理念、組織結構、管理授權與職責分工、人力資源政策與措施”等六項，而《指引》則將“組織結構、發展戰略、人力資源、企業文化和社會責任”等列為主要五項內容，涵蓋了企業發展方向和經營管理的主要范疇。

與COSO框架相比，《指引》在內控程序上追求的是完整和效率之間的平衡性，而非單純的完整性。這點是特別符合我國企業發展階段和經營管理現狀的，使內控規范更具可操作性。

綜上所述，本次在上市公司推行的內控《規范》和《指引》，并不是對企業已進行的內控管理體系建設工作的否定。對于部分管理比較規范，與國際接軌程度較高，已擁有較為完備的COSO框架內部控制體系的企業，不必推倒重來，另起爐灶，而是在現有基礎上，按照《規范》和《指引》的要求，在內容和程序上進行相應的改進和充實。

貳企業內控管理體系建設的難點

在《指引》正式出臺之前，筆者曾經實施過多個內控管理體系建設的咨詢項目，所服務的客戶大多是管理相對先進的大型國有企業集團和民營上市公司。每每在被企業的老總們問到諸如“內控管理實施難不難，成本高不高，效果好不好”之類的問題，都覺得很難給出一個確切的答案，因為這項工作的難與否、成本高與否、效果好與否，都取決于是否能處理好以下四個方面的關系。如圖2所示：

◎內部控制的成本與效益的平衡關系

筆者接觸過的一些公司，尤其是在境外上市的公司，為滿足上市所在地的監管要求，通常都會花費高額的成本，聘請國際知名的咨詢機構，設計出一套嚴格遵照相關監管文件要求的內部控制體系文件，并在企業全面地推廣實施。這樣的做法固然是好，但是如果一味地為追求控制的嚴格性和完整性，而忽略了隨之而來的執行成本，就可能導致負面的結果。

要平衡內部控制的成本與效益關系，企業的領導者首先要樹立正確的內控觀，即完善內控體系不是為了應付監管機構，而是為了促進企業提高經營管理水平，實現企業價值最大化。其次要遵循成本和收益配比的原則，核算出控制成本與利潤的關系。筆者認為，數目眾多的中小規模上市公司在實施內部控制規范體系過程中，應在遵照《規范》和《指引》基本要求前提下，盡可能簡化執行程序，提高效率，以最低的成本獲取最大的收益。

◎內控權利與責任的配比關系

以往部分企業在內控建設和管理工作中，往往將其視為是內控相關部門，甚至是財務部門的責任，領導者名義上雖然擔任著項目領導小組的負責人，但是并未給予充分的重視，參與度不夠。而內控部門在未獲得充分授權的情況下，往往難以調動各方面資源加入內控體系建設工作，導致內控執行達不到預期的效果。證監會副主席李小雪在境內外同時上市公司內控培訓班開班儀式上明確指出，“要著力解決內控的權利與責任問題”，要充分借鑒國外經驗，賦予企業高管層在實施內控規范的權利，并通過剛性的法律規定，明確如果公司內控失效，高管層應承擔的相應法律責任。《指引》和《規范》中對董事會及經理層在建立健全內部控制方面的職責作出了規定，在實施過程中有必要考慮建立相應的責任追究機制，使其權利與責任充分匹配。

◎內控效果與效率的平衡關系

通常而言，內控流程的關鍵控制點越多，控制的措施越完善，單純的風險控制效果越好。但是，如果內部控制的環節過多，不僅增加了管理的成本，更重要的是喪失了效率。筆者在調研中經常能聽到業務部門的聲音，抱怨內控雖然把風險控制住了，但是業務效率也隨之下降，因為業務要不斷識別風險，滿足內控部門要求。與前文提到的成本與效益平衡一樣，企業在內控體系建設