新《企業內部控制基本規范》解讀

朱亞平

摘要：文章對新《企業內部控制基本規范》的目標定位、設置原則、要素架構、實施機制，以及必須全員參與，進行全過程的內部控制等進行了解讀。旨在對企業更好地按照《基本規范》要求，盡快建立和健全內部控制制度有所裨益。

關鍵詞：內部控制；控制目標；風險評估：控制活動：內部監督

2008年6月28日五部委(財政部、證監會、審計署、銀監會、保監會)聯合發布的《企業內部控制基本規范》(財會[2008]7號文，以下簡稱基本規范)，自2009年7月1日起先在上市公司范圍內施行，鼓勵非上市的大中型企業執行。小企業和其他企業可以參照本規范建立與實施內部控制。這是繼新企業會計準則和審計準則之后，在會計、審計領域實施的又一與國際接軌的重大改革。

《基本規范》既借鑒國際慣例，以極其開放的態度，廣泛吸取了國際范圍內有關內控的多項有益成果。又堅持立足我國國情，吸取我國經濟管理尤其是改革開放30年的經驗教訓，形成了國際要求和我國實際相互協調的內部控制強制性要求。確定了我國建立和實施內部控制的基本目標、設計原則、要素架構和實施機制。可以自豪地說，《基本規范》在擁有美國《薩班斯一奧克斯利法案》(SOX)等效強制力的同時，比其對企業內控要求更加具體詳細；在擁有與美國COSO報告同樣的內控框架效用的同時，比其具有更高的權威性和強制力，標志著我國企業內部控制規范體系建設取得了重大突破。

一、企業內部控制目標定位

內部控制是由企業董事會、監事會、經理層和全體員工實施的，旨在實現控制目標的過程。《基本規范》將內部控制目標定位在“合理保證企業經營管理合法合規、資產安全完整、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略”這一高度上。

(一)促進企業經營管理合法合規

內部控制要求企業必須將發展置于國家法律法規允許的基本框架之下，在守法的基礎上去實現自身的發展。

(二)促進資產安全完整

資產安全是投資者、債權人和其他利益相關方普遍關注的重大問題，是企業可持續發展的物質基礎。因此，良好的內部控制應為資產安全提供扎實的制度保障。

(三)促進提出信息報告質量

可靠的信息報告能夠為企業管理層提供適合其既定目標的準確而完整的信息，支持管理層的決策和對營銷活動及業績的監控。只有保證對外披露的信息報告的真實完整，才有利于提升企業的誠信度和公信力，維護企業良好的聲譽和形象。

(四)促進提高經營效率和效果

這一目標它要求企業必須結合自身所處的特定的經營、行業和經濟環境，通過健全有效的內部控制，不斷提高營業活動的盈利能力和管理效率。

(五)促進實現發展戰略

這一目的它要求企業將近期利益與長遠利益結合起來，在企業經營管理中努力做出符合戰略要求，有利于提升可持續發展能力和創造長久價值的策略選擇。這是企業內部控制的終極目標。

《基本規范》確定的這一內部控制目標，既借鑒了國際上有關內部控制目標的定位，又立足于我國國情。既遵循了適當的前瞻性和發展性，又考慮了《基本規范》的穩定性和可操作性。且將內部控制作為一種動態的過程而不僅是靜態的制度。完全克服了以往我國內部控制目標主要定位在保證業務活動有效進行，防錯糾弊，保證會計資料的真實、合法與資產的安全和完整方面的局限性。

二、企業內部控制制度設計原則

《基本規范》確定了企業建立并實施內部控制的5項原則：

(一)全面性原則

內部控制應當貫穿決策、執行和監督全過程，覆蓋企業及其所屬機構的各種業務和事項。

(二)重要性原則

內部控制應當在全面控制的基礎上關注重要業務和事項和高風險領域，切實防范重大風險。

(三)制衡性原則

內部控制應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督、同時兼顧運營效率。

(四)適應性原則

內部控制應當與企業經營規模、業務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時家以調整。

(五)成本效益原則

內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。

《基本規范》確定企業建立和實施內部控制應遵循的上述原則，是企業建立和實施內部控制所依據的規則和基本要求，這對于企業選擇內部控制程序和方法具有重要的指導作用。

三、企業內部控制要素架構

《基本規范》明確指出企業建立實施有效的內部控制應當包括內部環境、風險評估、控制活動、信息與溝通和內部監督5要素。

(一)內部環境

一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。內部環境規定企業的紀律和架構，影響經營管理目標的制定，塑造企業文化并影響員工的控制意識。內部環境是企業實施內部控制的重要基礎。

(二)風險評估

主要包括目標設定、風險識別、風險分析和風險應對。風險評估是指企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險(內部和外部，固有和剩余)，合理確定風險應對策略(風險規避、風險降低、風險分擔和風險承受)的過程。企業應采用定性和定量相結合的方法；按照風險發生的可能性及其影響程度，對識別的風險進行分析和排序，確定關注重點和優先控制的風險。根據風險分析結果結合風險承受度，權衡風險與收益確定風險應對策略。并結合不同發展階段和業務拓展情況，持續收集與風險變化相關的信息，進行風險識別和風險分析，及時調整風險應對策略以實現對風險的有效控制。風險評估是企業實施內部控制的重要環節。

(三)控制活動

常見的控制措施有：不相容職務相分離控制、授權批準控制、會計系統控制、財產保全控制、預算控制、運營分析控制、績效考核控制。它是指企業管理層根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。企業應當根據內部控制目標，結合風險應對策略，綜合運用控制措施，對各種業務和事項實施有效控制。控制活動是企業內部控制的具體方式。

(四)信息與溝通

其主要環節有：確認、計量、記錄有效的經濟業務，在財務報告中恰當揭示財務狀況、經營成果和現金流量；保證管理層與企業內部、外部的順暢流通，保證與利益相關者、監督部門、注冊會計師、供應商的溝通。信息溝通是企業及時準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間進行有

效溝通。其方式是靈活多樣的，但無論哪種方式都應當保證信息的真實性、及時性和有效性，以確保內部控制的有效運行。信息與溝通是企業實施內部控制的重要條件。

(五)內部監督

主要包括日常監督和專項監督。是企業對內部控制建立和實施情況進行監督檢查，評價內部控制的有效性，對發現的內部控制缺陷及時加以改進。監督是一種隨著時間的推移而評估制度執行質量的過程，監督情況應當形成包括揭示內部控制重要缺陷的書面報告。并應有暢通的報告渠道，確保發現的重要問題能送達經理層和管理層。同時應當建立內部控制缺陷糾正、改進機制，充分發揮內部監督效力。內部監督是企業實施內部控制的重要保證。

顯然，《基本規范》科學地構建了一套內部環境優化、風險評估科學、控制措施得當、信息溝通迅捷、監督制約有力的內部控制框架。

四、企業內部控制貫穿全員、全過程

內部控制是由企業董事會、監事會、經理層和全體員工實施的旨在實施控制目標的過程。董事會負責內部控制的建立健全和有效實施，直接影響內部環境這一控制基礎。而監事會對董事會建立和實施內部控制進行監督；經理層負責組織領導企業內部控制的日常運行，在內部控制中承擔重要責任。企業所有員工都應在實現內部控制中承擔相應職責并發揮積極作用。企業應當在董事會下設立審計委員會，負責審查企業內部控制、監督內部控制的有效實施和內部控制自我評價情況。這就形成了從董事會到全體員工全員參與的內部控制。克服了長期以來，我國企業內部控制建設滯后、相關各方執行時權責不清，從管理層到員工缺乏企業內部控制的責任與動力，經營管理水平不高，不能適應市場經濟發展的狀況。

同時《基本規范》規定企業內部控制應當貫穿決策、執行和監管全過程，覆蓋企業及其所屬單位的各種業務和事項，這就將企業的整個經營管理活動都置于內部控制的管理之中。強化了企業風險防范意識和社會責任感，實現了由內部牽制、單一會計控制向全面、全員、全過程的內部控制觀念的轉換。

五、企業內部控制實施機制

《基本規范》規定企業應當建立規范的公司治理結構和議事規則，形成科學有效的職責分工和制衡機制，并建立內部控制實施的激勵約束機制，將各責任單位和全體員工實施內部控制的情況納入績效考評體系。國務院有關部門對企業建立與實施內部控制情況進行監督檢查；接受企業委托從事內部控制審計的會計師事務所，對企業內部控制的有效性進行審計，并出具審計報告。

這就建立了以企業實施為主體，以政府監管檢查為促進，以中介機構審計為重要組成部分的有考核、有監督、有審計的完善的內部控制實施機制。這必將有利于企業內部控制工作的開展，促進內部控制的有效實施。必將大大提高企業經營管理水平、風險防范和可持續發展能力，維護社會主義市場經濟秩序和社會公眾利益。這對強化企業改革和資本市場的發展，構建和諧社會具有及其重大的推動作用。