《企業(yè)內(nèi)部控制基本規(guī)范》旨在加強和規(guī)范企業(yè)內(nèi)控，提高企業(yè)經(jīng)營管理水平和風(fēng)險防范能力

6月28日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》（以下簡稱《規(guī)范》）。《規(guī)范》旨在加強和規(guī)范企業(yè)內(nèi)控，提高企業(yè)經(jīng)營管理水平和風(fēng)險防范能力，其為企業(yè)構(gòu)筑了一道風(fēng)險防火墻。

《規(guī)范》要求，中國境內(nèi)上市公司須自2009年7月1日起執(zhí)行該規(guī)范，同時鼓勵非上市公司的大中型企業(yè)參照執(zhí)行。薩班斯法案對美國上市公司的內(nèi)控規(guī)范作出了較為詳細的規(guī)定，并確立了COSO（美國虛假財務(wù)報告委員會下屬發(fā)起人委員會)于1992年制定的《內(nèi)部控制框架》（以下簡稱COSO框架）作為對上市公司內(nèi)控審計的審計標準。以下對《規(guī)范》與薩班斯法案下的內(nèi)控規(guī)范體系進行一些比較分析，以期加深對《規(guī)范》的理解。

內(nèi)控制度的改進與加強

薩班斯法案在其404條款中強制要求公眾公司年報中應(yīng)包含內(nèi)控報告及其評價，并要求會計師事務(wù)所對公司管理層作出的評價出具鑒證報告。《規(guī)范》之前，我國僅在《首次公開發(fā)行股票并上市管理辦法》第二十九條中要求擬公開發(fā)行股票并上市的公司的內(nèi)控在所有重大方面是有效的，并由注冊會計師出具了無保留結(jié)論的內(nèi)控鑒證報告。除此之外，上市公司的定期財務(wù)報告制度中并沒有要求對其內(nèi)控狀況作出報告，提供注冊會計師出具的內(nèi)控鑒證報告也沒有成為對上市公司的強行性要求?！兑?guī)范》要求執(zhí)行該規(guī)范的上市公司，應(yīng)當(dāng)對本公司內(nèi)控的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業(yè)務(wù)資格的會計師事務(wù)所對內(nèi)控的有效性進行審計。這意味著設(shè)計和實施有效的內(nèi)控成為了上市公司的一項法定義務(wù)。

可以看出，《規(guī)范》借鑒了薩班斯法，這對于保護公眾投資者有重要的作用，投資者可以借助內(nèi)控審計報告進一步判斷公司財務(wù)信息的真實性。同時，注冊會計師對管理層的內(nèi)控報告的評價也揭示了管理層的品行，由此促使管理層認真地去執(zhí)行《規(guī)范》。

內(nèi)控制度控制要素分析

《規(guī)范》對內(nèi)控的基本要素作了指引性的統(tǒng)一規(guī)定，基本與COSO框架一致，包括了控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督這五個方面。

● 控制環(huán)境

《規(guī)范》及COSO框架中所指的控制環(huán)境主要包括了公司的治理結(jié)構(gòu)、機構(gòu)設(shè)置及權(quán)責(zé)分配、內(nèi)部審計、人力資源政策、企業(yè)內(nèi)部的文化和誠信價值觀念等?！兑?guī)范》之前，我國在各種內(nèi)控指導(dǎo)原則、意見或指引中對內(nèi)控環(huán)境這一要素缺乏詳細的規(guī)范。《規(guī)范》將內(nèi)控環(huán)境作為內(nèi)控框架的首要要素，認為其是企業(yè)內(nèi)控體系得以真正發(fā)揮作用的關(guān)鍵，而對控制環(huán)境影響重大的一個因素就是企業(yè)治理層的參與程度?！兑?guī)范》明確指出了董事會、監(jiān)事會以及經(jīng)理層在內(nèi)控建立和完善過程中的職責(zé):董事會負責(zé)內(nèi)控的建立健全和有效實施，監(jiān)事會對董事會建立與實施內(nèi)控進行監(jiān)督，經(jīng)理層負責(zé)組織領(lǐng)導(dǎo)內(nèi)控的日常運行。

《規(guī)范》還規(guī)定企業(yè)應(yīng)當(dāng)通過編制內(nèi)部管理手冊，使全體員工掌握內(nèi)部機構(gòu)設(shè)置、崗位職責(zé)、業(yè)務(wù)流程，明確各自權(quán)責(zé)分配，正確行使職權(quán)。這將有助于形成全員參與的控制環(huán)境，體現(xiàn)了內(nèi)控建設(shè)的全面性原則。

● 控制活動

COSO框架下內(nèi)控活動是指為確保管理層指示得以執(zhí)行的政策和程序。包括了高層復(fù)核、指導(dǎo)并管理業(yè)務(wù)活動、資產(chǎn)保護即實物控制、信息核對、業(yè)績指標分析、職責(zé)分離等具體活動和措施?！兑?guī)范》對控制活動的定義是“企業(yè)根據(jù)風(fēng)險評估結(jié)果，采用相應(yīng)的控制措施，將風(fēng)險控制在可承受度之內(nèi)”。按照COSO 框架下的理解，控制活動旨在確保管理層指示得以執(zhí)行，而《規(guī)范》認為控制活動旨在將風(fēng)險降低到可承受范圍內(nèi)。筆者認為后者的表述更加恰當(dāng)，因為一旦出現(xiàn)管理層凌駕于內(nèi)控之上的情形時，旨在確保管理層指示得以執(zhí)行的控制活動很可能無法發(fā)揮其控制風(fēng)險的應(yīng)有作用。

《規(guī)范》列舉了控制活動的一般內(nèi)容，包括:不相容職務(wù)分離、授權(quán)審批、會計系統(tǒng)控制、財產(chǎn)保護、預(yù)算控制、運營分析和績效考評。這些列舉同COSO框架基本一致。《規(guī)范》對這些控制活動的具體含義和設(shè)計要求都作出了比較詳盡的描述，例如對于財產(chǎn)保護控制，《規(guī)范》詳細描述了這一控制應(yīng)包括財產(chǎn)日常管理和定期清查制度以及財產(chǎn)記錄、實物保管、定期盤點、賬實核對等具體措施。這對于指引企業(yè)建立起常用的、基本的控制措施作用很大。

《規(guī)范》對于控制活動的規(guī)定相較于COSO框架有兩個創(chuàng)造性的發(fā)展。第一，《規(guī)范》強調(diào)了預(yù)算控制在控制活動中的重要性，明確各責(zé)任單位在預(yù)算管理中的職責(zé)權(quán)限，規(guī)范預(yù)算的編制、審定、下達和執(zhí)行程序，強化預(yù)算對企業(yè)活動的約束。完善的預(yù)算管理可以降低企業(yè)經(jīng)營活動的不可預(yù)見的程度，從而將經(jīng)營風(fēng)險降低到可接受的范圍內(nèi)。第二，《規(guī)范》提出了企業(yè)應(yīng)當(dāng)建立重大風(fēng)險預(yù)警機制和制定突發(fā)事件應(yīng)急預(yù)案。在復(fù)雜多變的經(jīng)濟環(huán)境下，這些控制措施對于提高企業(yè)應(yīng)對突發(fā)情況和重大變化的能力有著積極的作用，能夠有效地降低經(jīng)營風(fēng)險。

● 風(fēng)險管理

內(nèi)控要素方面的另一個主要構(gòu)成就是風(fēng)險管理。任何經(jīng)濟組織在經(jīng)營活動中都會面臨各種各樣的的風(fēng)險，風(fēng)險對其生存能力和競爭能力產(chǎn)生影響。很多風(fēng)險并不為經(jīng)濟組織所控制，但管理層應(yīng)當(dāng)確定可以承受的風(fēng)險水平，識別這些風(fēng)險并采取一定的應(yīng)對措施。將風(fēng)險評估納入內(nèi)控要素是COSO框架的創(chuàng)舉，并且還提出了風(fēng)險評估的過程即風(fēng)險識別、風(fēng)險分析和應(yīng)對變化。從本質(zhì)上說，內(nèi)控制度是對企業(yè)經(jīng)營活動過程中所遇到或可能遇到的各種風(fēng)險或者說整體風(fēng)險進行預(yù)測、估計和應(yīng)對，以實現(xiàn)企業(yè)的戰(zhàn)略與運營目標。這也就是COSO為何如此重視風(fēng)險管理的根本原因。

《規(guī)范》明確地規(guī)定了企業(yè)的內(nèi)控應(yīng)當(dāng)包括風(fēng)險評估過程，即及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)控目標相關(guān)的風(fēng)險，合理確定風(fēng)險應(yīng)對策略。同時《規(guī)范》非常詳細地列舉了企業(yè)識別內(nèi)部及外部風(fēng)險時應(yīng)當(dāng)關(guān)注的各個方面，有效地指引企業(yè)對其經(jīng)營活動中的各種風(fēng)險進行全面評估。

● 信息溝通

為使內(nèi)控相關(guān)信息能夠被及時地搜集、處理和溝通，以促進內(nèi)控的有效運行，《規(guī)范》提出完整的內(nèi)控框架中應(yīng)當(dāng)包含有效的信息系統(tǒng)和溝通機制?！兑?guī)范》中所稱的信息包括了內(nèi)部信息和外部信息。信息的溝通不僅發(fā)生在企業(yè)內(nèi)部各管理級次、責(zé)任單位、業(yè)務(wù)環(huán)節(jié)之間，同時還發(fā)生在企業(yè)外部投資者、債權(quán)人、客戶、供應(yīng)商、中介機構(gòu)和監(jiān)管部門之間?！兑?guī)范》要求所有重要的信息都應(yīng)當(dāng)及時傳遞給公司的治理層和管理層，這將有助于及時地發(fā)現(xiàn)、識別風(fēng)險并盡早作出應(yīng)對措施。

在企業(yè)經(jīng)營管理的過程中，舞弊導(dǎo)致的風(fēng)險難以識別，造成的后果相對較嚴重。因此《規(guī)范》特別強調(diào)了信息和溝通機制應(yīng)當(dāng)發(fā)揮反舞弊的作用，要求企業(yè)建立舉報投訴制度和設(shè)置舉報專線，并明確舉報投訴的處理程序、辦理時限和辦結(jié)要求。

● 內(nèi)部監(jiān)督

為及時發(fā)現(xiàn)企業(yè)內(nèi)控中的漏洞并進行改進和完善，《規(guī)范》要求企業(yè)建立起內(nèi)控監(jiān)督制度，包括日常的持續(xù)性監(jiān)督檢查以及針對內(nèi)控某一或者某些方面進行有針對性的專項監(jiān)督。對于監(jiān)督過程中發(fā)現(xiàn)的內(nèi)控缺陷，應(yīng)當(dāng)及時地向治理層和管理層報告，并分析缺陷的性質(zhì)和原因，提出整改方案。