淺析企業內部控制制度

許幼芬

2008年5月22日，財政部會同審計署、銀監會、證監會和保監會聯合印發了《企業內部控制基本規范》通知，該規范自2009年7月1日起在上市公司范圍內實施，鼓勵非上市公司的大中型企業執行。執行本規范的上市公司，應當對本公司內部控制的有效性進行自由評價，披露年度自我評價報告。作為上市公司和國有企業，執行《企業內部控制基本規范》首當其沖，我們有必要對該規范進行深入的了解和學習，以便有效的貫徹和實施該制度。筆者將以內部控制的定義作為切入點，結合COSO內部控制內容，對企業內部控制談談自己的認識和理解。

一、內部控制的定義

《企業內部控制基本規范》總則中對內部控制進行了如下定義：本規范所稱內部控制，是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。建立內部控制體系時應符合以下目標：1、合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整；2、提高經營效率和效果；3、促進企業實現發展戰略。本內控規范借鑒了以美國 COSO （Committee of Sponsoring Organization）報告為代表的國際內部控制框架，并結合中國國情，要求企業所建立與實施的內部控制，應當包括下列五個要素：（1）內部環境；（2）風險評估；（3）控制活動；（4）信息與溝通；（5）內部監督。

內控規范強調內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。同時要求企業實行內部控制自我評價制度，并將各責任單位和全體員工實施內部控制的情況納入績效考評體系。

執行內控規范的上市公司，在對企業內部控制的有效性進行自我評價后，應同時披露年度自我評價報告。國務院有關監管部門有權對企業建立并實施內部控制的情況進行監督檢查；并明確企業可以依法委托會計師事務所對本企業內部控制的有效性進行審計，出具審計報告。

二、COSO內部控制內容

由于我國的內部控制規范借鑒了COSO內部控制框架的主要內容，現筆者對COSO內控框架的五個要素作簡單介紹，COSO內部控制框架包括：控制環境、風險評估、控制活動、信息與溝通、監察。

（一）控制環境

控制環境是其他內部控制因素的根基。控制環境因素包括人員的道德觀和勝任能力、董事會提供的指示和管理的效率，控制環境應包括堅守誠信及高尚的道德觀。就此而言，高級管理層必須把企業的價值觀和行為守則向全體員工明確傳達，對違反行為守則的人員作出適當的處罰，以確保他們遵循行為守則并將其融入企業文化。控制環境因素的范圍包括誠信和道德觀、用人唯才的承諾、管理哲學和經營風格、董事會和審計委員會、組織結構、權力和責任的分配、人力資源政策和實務等，控制環境是內部控制的根本性組成部分。

（二）風險評估

按照 COSO立體模型，控制活動的上一層是風險評估。企業實現其目標的能力可能受到來自多個內外部因素的不利影響。作為整體內部控制結構的一部分，企業應實施一個程序，來評估可能影響其各種內部控制目標實現的潛在風險。風險評估可能是正規的量化風險評估程序，也可能是不太正規的方法，但是應包含對風險評估程序最起碼的理解。風險評估是一個具有前瞻性的過程，應在所有層面以及企業的所有活動中實施這樣的風險評估程序。COSO內部控制架構強調風險分析并非一個理論過程，而且常常對實體的整體成功起到至關重要的作用。管理層是內部控制整體評估的重要一環，他們應采取措施對可能影響整個企業的風險，以及不同的組織活動或實體所面對的風險進行評估。風險管理包括識別和分析影響目標實現的風險（包括與不斷變化的監管、運營環境和商業策略有關的風險），以此來確定如何降低和管理此類風險的依據。

（三）控制活動

評估風險只是整個內部控制程序的一部分，管理層必須確定處理風險所需的行動，并付諸執行。這些行動亦應將注意力集中于控制活動的作用，目的是確保所需的行動得以有效且適時地執行。控制活動可分為運營、財務報告及合規三個類別，但它們之間有時可能出現重疊。常見的內部控制活動有組織控制、職責劃分、調節和復核、實物控制、授權和批準、計算和會計、人員控制和監督及管理控制。

（四）信息與溝通

為了控制風險，有必要設立一個完善的溝通程序，以獲取必要的信息，并向需要該信息的所有人員提供。控制風險是企業各類程序涉及的所有人員的責任，因此，已識別風險的信息以及控制這些風險的方法，必須向每個相關人員傳達。有關員工應當遵循的政策及程序的信息，應在公司內從上至下得以傳達。關于日常活動的信息，應從公司內準備這些信息的員工流向需要這些信息的員工。關于日常活動中發現的問題的信息，需要向公司上層流動，直至能夠采取糾正措施的人員。

（五）監察

內部控制系統必須接受監察。監察是不斷對內部控制系統的表現進行評估的過程，可以通過持續的監察活動或單獨的評估來實現。內部控制如有缺陷，應向上級（例如高級管理層和審計委員會或董事會等）報告。

以上是對 COSO內部控制內容的簡單闡述，要使內部控制系統有效，該系統必須能降低管理層己識別的業務風險。內部控制系統對于管理重大風險以實現業務目標發揮關鍵作用，完善的內部控制系統能極大地促進對股東投資的保護、公司資產的保護，以及確保對法律法規的遵守。

三、內控規范對企業的影響

在某種程度上說，內控規范的發布是中國在公司治理方面的一個重要里程碑，體現了中國經濟與全球經濟的進一步接軌和整合。隨著中國資本市場的發展與壯大，與之配套的公司治理和監督機制的需求日益增加；而隨著企業的做大做強，企業對于內部外部的風險需要更系統有力的控制。具體到企業而言，一方面，內控規范為企業建立內部控制體系提供了一個標準的框架，在理念、實施和制度層面為企業提供了基礎，而在另一方面，內部控制作為一個相對較新的課題，對我們企業提出了新的挑戰，從國際上一些公司治理法案，包括美國的《薩班斯一奧克斯利法案》實施情況來看，企業通常在內部控制實施的第一年需要投入很多時間和精力。企業應該建立一系列的內控制度，而且要根據企業的實際情況完善這些制度，并有效地保證其得以一貫的實施，真正做到合理保證公司經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果， 促進企業實現發展戰略這才是最重要的。