五部委内控规范解读——治理+控制+管理

引子：

成立于1762年，巴林银行集团是英国伦敦城内历史最久、名声显赫的商人银行集团，素以发展稳健，信誉良好而驰名，其客户也多为显贵阶层，包括英国女王伊丽莎白二世。可是就是这样一位百年巨人，却在1995年2月26日倒闭，并以1英镑的象征性价格出售给了荷兰ING集团。究竟是什么原因致使这样一出惨剧的发生呢？

在巴林银行宣布破产之前，该银行的高级主管人员甚至对导致该银行破产的直接责任人，该银行新加坡分部的经理兼交易负责人尼克•利森的所作所为一无所知，直到尼克•利森潜逃的那一天， 即2月23日. 据新加坡有关当局披露，巴林银行在2月的前18天中共给新加坡国际货币交易所汇去了1.28亿美元，作为垫付维持金，在未通知英格兰银行的情况下，擅自给新加坡分部汇去7.6亿英镑现金，且又疏于控制，致使尼克•利森支配资金的权力超过了自己的权限。因此，“巴林银行倒闭案”的主要教训之一就是内部控制的松散.

此外，曾经以利润>利润高速增长现身的“郑百文”，被表面成绩冲昏头脑，激进扩张，对下属子公司管理失控，迅速跌入经营失败的困境，上演了一幕扼腕长叹的悲剧。更有离奇者，像银广夏，表面上有关会计凭证审核、批准等控制“完美无缺”，背地里却是一个不折不扣的造假链！尤其是今年年初发生在中国银行哈尔滨河松街支行的“巨额现金神秘消失”案件，更是一起典型的由于内部控制制度执行不力造成的“惊天大案”。

基于以上种种触目惊心的例子，犹可见内部控制以及企业风险管理对企业正常有序发展是何等的重要。倘若企业管理者忽视了内部控制制度对现代企业发展的重要保障作用，不身体力行，甚至影响了控制制度的执行程序，其结果必然导致企业走向混乱，直至灭亡。

加强公司内控的必要性

         由此可见，加强公司内控已经成为许多公司迫在眉睫的工作内容之一，笔者认为，加强哦国内公司内控，有如下的必要性：

①       是加强会计核算， 抑制会计造假行为， 提高财务会计信息质量的必然要求

财政部在一次对全国100家国有企业年报的抽查中发现， 大多数的企业存在作假帐现象: 有81家存在资产不实的问题， 共虚列资产37.61亿元， 有83家存在所有者权益不实的问题， 共虚列所有者权益26.12亿元， 有89家存在损益不实的问题， 共虚列利润27.47亿元。

②       是中国加入“WTO”， 参与全球性竞争的迫切需要

尽快建立和健全行之有效的内部控制， 与国际接轨， 不断提高经营管理效率和经济效益， 提高企业的核心竞争力， 保证信息的真实性﹑可靠性， 在激烈的全球性竞争中立于不败之地。

③       是从根本上治理腐败的一项制度安排

④       是吸取国内外经验教训的客观要求

美国法尔公司会计报表舞弊案﹑美国女王真空吸尘器公司会计报表舞弊案等， 我国证券市场上的“琼民源案”﹑“银广厦事件”等， 以及一些企业的破产， 究其原因， 大都是疏于内部会计控制。

⑤        是我国深化企业改革， 建立现代企业制度， 提高单位经济效益的客观需要

要使企业的产权关系清晰、权责明确，政企真正分开， 就必须建立和完善相应的财产﹑物资的核算﹑监督﹑保管等内部管理制度， 处理好受托经济责任和利益分配关系. 科学管理就是要建立和完善包括科学的领导制度和组织管理制度在内的企业内部管理制度， 其中必然包括科学的内部控制制度。

因此在今年6月28日，财政部、证监会、审计署、银监会、保监会等五部门联合发布了《企业内部控制基本规范》，来规范企业的内部控制，以防范企业的风险违规经营。

内控规范的背景及基本内容：

其实纵观世界历史，早在1992年，美国就已经颁布了一部关于企业内控的一项报告，即COSO报告——美国“反对虚假财务报告委员会”所属的“内部控制专门研究委员会发起机构委员会”(Committee of Sponsoring Organizations of the Tread-way Commission，简称COSO委员会)，在进行专门研究后提出专题报告: 《内部控制—--整体架构》。

几年后，针对安然、世通等财务欺诈事件，美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作《2002年萨班斯—奥克斯利法案》（简称萨班斯法案）。该法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。

而今年，《基本规范》也已经颁布，自2009年7月1日起首先在上市公司范围内施行。对于投资者来说，该规范的发布意味着一部可以有效保护其利益的类似于美国萨班斯法案的企业内控标准体系即将建立。

基本规范共七章五十条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。基本规范坚持立足我国国情、借鉴国际惯例，确立了我国企业建立和实施内部控制的基础框架，并取得了重大突破。

 《基本规范》确立了我国企业建立和实施内部控制的基础框架，《规范》将率先在上市公司施行，并鼓励非上市的其他大中型企业执行。执行基本规范的上市公司应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。

其中五项基本要素构成了此次基本规范的核心内容，分别是：

（一） 内部环境——是企业实施内部控制的基础，一般包括治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化等。

（二） 风险评估——是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

（三） 控制活动——是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

（四） 信息与沟通——是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

（五） 内部监督——是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

此次的基本规范在形式上借鉴了COSO报告内部控制5要素框架，同时在内容上体现了其风险管理8要素框架的实质，构建了以内部环境为重要基础、以风险评估为重要环节、以控制措施为重要手段、以信息沟通为重要条件、以内部监督为重要保证的5要素框架。上述要素相互联系、相互促进，构成一个统一的企业内部控制框架。这些要素就自下而上，层层把关，有机地结合在一起，形成了企业内控以及风险管理的金字塔。（如下右图）

华彩认为，虽然此次的企业内控制度基本规范是针对上市企业，鼓励其他非上市的大中企业施行，但是对集团公司内控以及风险管理有着更深刻的借鉴意义。华彩引领以及倡导的集团公司管控，正是基于集团内控以及风险管理基础之上的。并且在集团母子管控的核心解决方案上首创了“治理+控制+管理”三管旗下的集团公司管控模式，有效地解决了现存于集团公司母子公司层面上的诸多问题。

反观现行的《企业内部控制基本规范》的五大内控要素，其实与就有不谋而合之处。如果说基本规范中的五大要素（即金字塔的右半部分）构成的是子公司的内控制度即风险管理的话，那华彩所倡导的“治理+控制+管理”的管理模式无疑是集团公司内控的最佳方案！

基本规范的具体剖析——治理

基本规范中，首要倡导的要素便是控制环境，从分析角度而言，是从宏观面对于内控进行分析，也就是内部环境的治理。总的来说，分为：董事会、监事会、审计委员会等架构、职能分配，以及基于内控的人力资源管理和企业内控文化等规章制度的建立。

要建立一套良好的内控规范体系，第一个需要治理的也就是公司的内控以及风险管理体系。正所谓工欲善其事,必先利其器！企业首先应该治理的环境，也就是企业的核心部门，董事会！为此，基本规范规定：

企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。

董事会对股东（大）会负责，依法行使企业的经营决策权。

监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。

董事会负责内部控制的建立健全和有效实施，监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。

需要强调的是，企业是内部控制的主体。无论在公司治理还是在内部控制中，董事和高级管理人员都发挥着至关重要的作用。根据基本规范，董事会以及董事长应当加强对本企业内部控制建立和实施情况的指导和监督，对本企业内部控制的建立健全和有效实施负责；经理负责组织领导本企业内部控制的日常运行；总会计师主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。上述规范的法律依据是公司法对上述人员职责和义务的有关规定。例如，公司法规定，董事、监事和高级管理人员应当遵守法律、行政法规和公司章程，对公司负有忠实义务和勤勉义务。

公司法上述规定的问题是过于原则，且并不要求上述人员遵守有关监管要求。无论从内部控制规范与公司法的衔接，还是从公司法自身的完善来说，有必要进一步明确上述人员的法定义务。只有这样，才能切实改变无法可依、无人负责的状况。

内部控制规范与董事、高级管理人员的勤勉义务密切相关。对此，公司法并没有做出具体规定。为了进一步加强公司治理和内部控制，有必要通过公司立法，对上述人员的勤勉义务作出具体规定。

从内部控制规范与公司法的衔接来说，应当要求所有公司建立健全并有效实施信息与报告系统，进一步要求上市公司建立健全并有效实施内部控制系统，并将确保上述系统的建立健全和有效实施规定为董事、高级管理人员的勤勉义务。立法建议如下：

公司(上市公司)董事、高级管理人员应当根据有关法律、法规和监管要求，指导和监督本公司(上市公司)信息与报告系统(内部控制系统)的建立和实施情况，对本公司信息与报告系统(内部控制系统)的建立健全和有效实施负责。

内部控制规范还与董事、高级管理人员的忠诚义务密切相关。在这个方面也有一些漏洞。例如，公司法禁止董事、高级管理人员违反公司章程的规定或未经股东(大)会同意，与本公司订立合同或进行交易，否则，所得的收入应当归公司所有。这是从批准程序上对利益冲突交易进行规范。

公司法上述规定的问题在于，首先，似乎不包括董事、高级管理人员的关联方(关联个人和关联机构)，他们有可能通过关联交易(间接利益冲突交易)规避法律；其次，似乎不禁止上述人员及其关联方参加投票，他们如果是股东的话也可以参加投票；第三，似乎不要求上述人员披露上述合同或交易的内容及其利益关系(或关联关系)，他们有可能通过隐瞒信息取得股东(大)会同意；第四，似乎不包括“公平”、“公允”等实体性规范，在“内部人”控制的公司中，仅凭程序性规范很难奏效。

总之，包括关联交易在内的利益冲突交易非常复杂。除了上述人员之外，还有控股股东、实际控制人参与其中。对此，需要通盘考虑、全面规范。

基本规范的具体剖析——控制

在建立起一套有效的治理体系，也就是所谓的内控环境之后，接下来也就应该如何对已建立的体系加以控制。事实上，控制——尤其是事前控制，已经在实际的企业管理过程中表现出越来越突出的作用。因为通过事前谈判、授权、流程、组织、政策、风险评估乃至战略、价值观（文化）等控制手段，可以有效地降低管理过程中可能出现的风险，降低管理成本，进而提升“治理+控制+管理”的综合效能。“控制”已经从传统的五大管理职能之一的角色渐渐地走到台前，并随着其重要性的日益突出，更加可以和“管理”并列，共同组合形成未来公司基于内控及风险控制的管理模式！

那究竟如何进行有效的控制呢？笔者认为，总结起来就是基于细致缜密风险评估的内部控制。风险的发生是可能性的，风险发生后会造成不利的后果，风险发生的可能性及其后果的严重程度都与其发生的条件相关；风险可能会带来损失，所以风险的存在对人的活动具有约束作用；人们在经营管理中，不能不考虑风险的威胁，以免受到不必要的损失或受到过重的打击。

那风险评估有什么具体步骤呢？笔者认为，风险评估包括风险辨识、风险分析和风险评价等三个步骤：

①       风险辨识是识别企业面临的风险，并将风险归类

②       风险分析是将辨识出的风险放进统一的模型中进行分析处理，进一步作出定性和定量的分析，包括风险对企业目标实现的可能影响、这些风险物化的多重情境分析和统计特性、可能的影响因素和方式

③       风险评价是评价风险对企业目标的影响，企业影响最大的风险将成为企业风险管理的重点

紧接着风险评估后面的工作，即是控制的一个过程。基于制度体系，风险评估的控制说来简单，但对于一家上市企业而言，如何去了解每个部门的运作情况，有效地控制风险，就是一件比较困难的事情了，倘若对于一家拥有二、三层子集团的集团公司而言，那就是难上加难了。

对于诸如此类的问题，公司总部不可能对每个业务部门都配备相应的人才，去对某个业务板块去进行一个理性分析。因此，财务指标——财务数据，这一世界通用的语言，便成了企业内部控制以及风险管理的主要标准之一。为此，基本规范就明确指出：会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计帐簿和财务会计报告的处理程序，保证会计资料的真实完整。企业应当依法设置会计机构，配备会计从业人员、从事会计工作的人员，必须取得会计从业资格证书，会计机构负责人应当具备会计师以上专业技术职务资格。

如果有可能的话，在公司内部建立自由的审计部门，若没有条件的，则外部聘用相关的审计部门，来完善公司的财务监控，有效地降低财务风险。

对此而言，摩托罗拉对于企业财务内控已经建立起一个非常完善的体系了，对于不同的情况有不同的标准相对应。每个指标会设置几个水平档，然后根据实际情况相应地添入这些数据，最后得出结论。公司的内部控制体系已经很成熟了，有一套需要严格执行的制度系统，做不完第一步就无法进行第二步。作为财务人员，根本不用去想要不要做的问题，而且怎么做也已经定好了，只要按照规定的去做就可以了。

基本规范的具体剖析——管理监督

治理与控制，也就是宏观环境与制度流程都已经建立完毕之后，就落实到具体的操作过程，笔者把该过程总结为基于信息通畅的管理与监督。

为此，基本规范规定：企业应当根据本规范及其配套方法，指定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。

内部监督分为日常监督和专项监督，日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。

从而督促企业加强内控职能部门的建设，完善企业内控监督体系，从而达到科学有效地管理公司，使公司的风险最小化。笔者认为，要着重抓好三个方面的工作：

一、完善约束机制

加强企业内部监督管理，必须改革现行的监督体制，建立完善的监督体系，增强各监督主体之间的有机联系，形成内部监督合力。