掌握企業內部控制具體規范的要義

“三鹿事件”在全國乃至全球鬧得沸沸揚揚。日前，其出售方案已經敲定，一個全國“最大”的奶粉生產企業就此轟然倒地。人們反思社會誠信的缺失，反思食品、藥品安全監督的無力，反思上報制度的官僚等等，不一而足，然而內觀企業管理，三鹿事件已經成為內控失效的經典案例。如何引以為鑒，建立和實施有效的內部控制、防范風險，是每一個企業必須高度重視的課題。

2008年6月28日我國發布了《企業內部控制基本規范》。同時為了配合《企業內部控制基本規范》的施行，有關部門還草擬了《企業內部控制評價指引》、《企業內部控制應用指引》和《企業內部控制鑒證指引》并公開征求意見。逐步建立起了一套以基本規范為統領，以評價指引、應用指引和內部控制鑒證指引等配套辦法為補充的內控標準體系。拓展了原來僅包括基本規范、具體規范和應用指南的內控規范體系結構的設想。而“內控基本規范”從征求意見、修改到定稿、發布，歷時為起草制定階段的2倍。可見管理當局之謹慎。

筆者發現，“內控基本規范”從征求意見稿到發布稿有著不小的變化；《企業內部控制應用指引》則系原《內部控制具體規范》變身而來，也有一定的修訂。

一、《企業內部控制基本規范》的變化

總體上，結構和文字都更加精簡，刪去了描述性的語言和顯累贅的章節條款，同時又增加了部分內容，使各項要求更趨專業化。

結構精簡

征求意見稿分為七章：總則、內部環境、風險評估、控制措施、信息與溝通、監督檢查、組織實施及附則。其中第二章又分五節：治理結構、內部機構設置與權責分配、企業文化、人力資源政策、內部審計機制和反舞弊機制。最終發布稿刪掉了“組織實施及附則”一章，只在總則中保留了相關的一條內容。“控制措施”一章修改為“控制活動”，“監督檢查”一章修改為“內部監督”。第二章不再分節，內容有所調整。

文字精煉

大幅刪減描述性文字或合并同類問題，由原來的82條減為50條，僅“內部環境”一章就減少了12條。

如原第二十六條和第二十九條共357個字，簡并為第十五條149個字。一方面原第二十六條和原第二十九條第1、2、4款，簡并為第十五條第1款，語言大為簡練。另一方面，第十五條第2款修改了原第二十九條第3款關于內部審計監督的內容，明確了對“內部控制的有效性”進行監督，與總則第五條第5項增加的“內部控制缺陷”的概念相呼應，并按照“工作程序”進行報告。對重大內部控制缺陷的報告對象增加了“監事會”，賦予監事會真正的監督權。

內容增減，突出重點

1.刪減的主要內容。無需在內控基本規范中規范的內容。如原第十六條企業文化的概念不需要在內控基本規范中介紹。相應的原第十七條至二十一條與企業文化相關的內容簡并為一條。類似的還有原第三章中對風險、風險評估、目標設定等的定義，也都予以刪減。需要在內控規范中說明，但不需在基本規范中列示過細的內容。如前述刪掉“組織實施”一章計10條內容，原第六十條企業外部溝通應重點關注的六個方面，原第六十八條內部控制自我評估報告需披露的7項內容等等。調整概念。如原第六條建立和實施內控的原則，刪掉合法性和有效性原則。原第四章控制措施中，刪掉“內部報告控制”、“信息技術控制”，將“授權控制”、“審核批準控制”并為“授權審批控制”，“職責分工控制”改為“不相容職務分離控制”，“經濟活動分析控制”改為“運營分析控制”等。增加的內容。適用范圍。原稿第三條規定，“本規范適用于大型企業、上市公司和其他涉及重大公眾利益的企業”。公布稿第二條規定，“適用于大中型企業，小企業和其他單位可參照實行”。把中型企業納入必須實施的范圍內。原第四條列示了5條內控目標，要求“有義務對外提供財務報告的企業，應當確保財務報告及管理信息的真實、可靠和完整，具備條件的，還應同時實現其他控制目標”。公布稿將此款刪掉，在第十二條明確：“企業應當成立專門機構或者指定適當的機構具體負責組織協調內部控制的建立實施及日常工作”。明確內部控制不再是有條件才需做的工作。政府監督。總則中新增了第九條，“國務院有關部門可以對企業建立與實施內部控制的情況進行監督檢查”。基本規范公布前銀監會、證交所等部門都已出臺了各自的內控指引，此次作為全國統一的內控基本規范，首次明確了政府的監督檢查權并在一定程度上協調了各部門的關系。獨立審計。上市公司被要求對內控的有效性進行自我評價，披露年度評價報告，并進行審計。規范新增了第十條，會計師事務所對企業內部控制的有效性進行審計，出具審計報告。為企業內部控制提供咨詢的會計師事務所，不得同時為同一企業提供內控審計服務。因此，基本規范及配套辦法，不僅是企業實施內控的依據，還是政府和會計師事務所監督檢查的依據。公司治理相關內容。征求意見稿在總則中介紹的是董事長、經理和總會計師的職責，而公布稿調整到“內部環境”一章，增加了第十一至十三條，明確要求建立規范的公司治理結構和議事規則，包括股東大會、董事會、監事會和經理層的權責；董事會負責內控的建立和實施；董事會下設審計委員會負責審查，協調內控審計等事宜。更明確的各項制度或標準。第八條，建立內控實施的激勵約束機制，將各責任單位和全體員工納入績效考評體系。第十九條，建立法律顧問制度和重****律糾紛案件備案制度。第二十一條開展風險評估，應確定相應的風險承受度。第三十條，企業應編制常規授權的權限指引，規范特別授權的范圍、權限、程序和責任。第三十二條建立財產日常管理制度和定期清查制度。第三十三條實施全面預算管理制度。第三十四條建立運營情況分析制度。新增第三十七條，建立重大風險預警機制和突發事件應急處理機制。第三十八條建立信息與溝通制度。第四十二條建立反舞弊機制。第四十三條建立舉報投訴制度和舉報人保護制度。第四十四條制定內部控制監督制度。第四十五條制定內部控制缺陷認定標準。新增第四十七條，妥善保存內控建立與實施過程中的記錄或資料，確保其可驗證性。

顯然，內控基本規范從征求意見稿到正式公布稿歷經了一個“銳化”過程，并旨在通過這種“銳化”使得內部控制制度具有一定的強制性，達到防范風險的目的。

首先，內控基本規范明確要求企業應當建立內部控制制度，這是無條件的，而不是視有條件與否才實施的，并明確指出了內控制度必須包含哪些必要的內容、應該達到什么樣的標準。其次，政府的監督是促使企業，尤其是大中型國有企業建立健全內部控制制度的有力推動，并且從國家層面來看這本身就是一種國家“內控”行為，體現了強制性。再次，利用中介機構的專業能力指導和促進企業建立健全內控制度的意圖很強，這也顯示了國家對于企業盡快建立健全內部控制制度的迫切希望。

二、《企業內部控制應用指引》的變化

總體上，內容結構更趨完善，文字增減不及基本規范變化大，部分內容修改細化，用詞更趨嚴謹。

總體內容結構上。此次征求意見的《企業內部控制應用指引》，共22項，將原征求意見的17項具體規范中的2項合并為1項，新擬定了6項應用指引。合并的是，將“財務報告編報”和“信息披露”具體規范合并為“財務報告編報和披露”應用指引。增加的是無形資產、業務外包、衍生工具、企業并購、關聯交易和內部審計應用指引，使應用指引體系的總體內容結構趨于完善。如與原具體規范的內容結構及具體項目的設想比較，在財務報表項目、財務報表編報和制度支持三大塊中，應用指引僅各剩余一項未制定完成。

具體指引名稱。“貨幣資金”改為“資金”，“采購與付款”改為“采購”，“銷售與收款”改為“銷售”，“對外投資”改為“長期股權投資”，“合同”改為“合同協議”，“計算機信息系統”改為“信息系統一般控制”。同時，工程項目、長期股權投資的概念都有所擴展，內涵更加明確。

各項指引內容上。對比原具體規范征求意見稿，每一項指引在總則中都增加了“第三條企業至少應當關注涉及××××的下列風險：……”，很明顯地突出了對于各項業務的風險管理。第四條“關鍵方面或關鍵環節的控制”內容也相應有調整。其他條款變化不大，稍有修改或細化。在原條款基礎上進一步細化。如應用指引《資金》第十六條，原具體規范規定：“企業應當加強對銀行對賬單的稽核和管理。出納人員一般不得同時從事銀行對賬單的獲取、銀行存款余額調節表的編制等工作”。應用指引增加：“確需出納人員辦理上述工作的，應當指定其他人員定期進行審核、監督”。同一指引最后一款，“按規定需要由有關負責人簽字或蓋章的經濟業務與事項，必須嚴格履行簽字或蓋章手續”，增加“用章必須履行相關的審批手續并進行登記”。這都是工作中容易忽視的事項，而一旦出現問題又影響巨大，應用指引進一步細化了相關程序要求，增強了可操作性。修改完善的。如應用指引《采購》第十七條，原具體規范僅規定，財會部門辦理付款業務時應嚴格審核。而應用指引明確了相關部門的職責和付款的程序：首先由采購部門審核，并提交付款申請，財務部門復核后，提交權利機構審批，再辦理付款。應用指引《合同協議》第六條，原具體規范要求，建立“合同授權委托代理制度”，合同由董事長或代理人簽章。而應用指引改為建立“合同協議訂立權限分級授予制度”，合同協議由法定代表人或其授權的人簽章。應用指引中《財務報告編報和披露》由原兩個具體規范合并而來，文字與內容有較大減并，突出了“控制”，而不是如何編制報表或披露信息。其他指引之文字或條款精簡的不再一一贅述。

很明顯，應用指引脫胎于具體規范，更注重的是風險提示和可操作性。就像母親手把手教兒女走路一樣，應用指引無時不刻在提醒企業內控應該怎么“走”，會面臨什么樣的“風險”。這是個很重要的步驟，可見國家對于企業內控管理的重視。這也正是中國內控基本規范借鑒美國SOX法案而又較之更具有可操作性的所在。

“三鹿事件”只是一個企業內控機制不健全的縮影。實際上，我們國家改革開放發展到今天，已經為企業內部控制中存在的問題付出了太多的學費。比如2004年相繼爆發的中航油、中儲糧事件，早已暴露出我們在內部控制管理上的缺失，并為此付出了沉重的經濟代價。而“三鹿事件”則在經濟代價之外還付出了巨大的社會代價。試想，如果他能在快速擴張的同時重視內部的治理；如果他能在2004年“大頭娃娃”、2005年“早產奶”事發后及時汲取教訓，而不是僅僅“擺平”輿論；如果在2008年9月東窗事發前能比照內控規范，認真整改，尤其是一些關鍵的風險控制點，如“重大風險預警機制和突發事件應急處理機制”，那么事件就遠不會發展到今天的地步。

管中窺