李若山　高　垚

“大江东去，浪淘尽，千古风流人物”，这句苏东坡留在赤壁上的千古绝唱，既蕴含着对古代英豪的钦佩，更有对英雄人物悲怆结局的惋惜。我国改革开放三十年来，上市公司要想成为流芳百世的英雄就在于企业能否居安思危，曲突徒薪，能否有效管理企业，快速反映外部环境变化，及时控制和化解企业内部和外部的各种风险。

改革开放与资本市场孕育了无数睿智的企业家，造就了众多优秀的上市公司。然而，也有很多上市公司由于前期发展过快，对于风险管理意识比较薄弱，如何应对风险，加强企业内部控制往往被忽视，多年的积累导致内部管理千疮百孔，最后落得被兼或收购。没能守住企业，有句古训说：“打天下容易，守天下难”。此类例子甚多，诸如三九、科龙等等。对于这些企业的发展问题，必须强调企业内部控制管理的规范。

2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布我国第一部《企业内部控制基本规范》，这是我国上市公司监管领域的又一重大改革举措，标志着中国企业内部控制规范体系建设取得重大突破。然而与法规出台对立的是，国内大部分公司内部控制制度尚未建设或完善，对于如何应对《企业内部控制基本规范》不知所措，本文就企业如何应对《企业内部控制基本规范》问题，对企业需要做些什么进行解读。

基本规范共七章五十条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。基本规范在以下6个重要方面对上市公司提出了要求，企业应：

一、构建内部控制体系，确保合法有效的治理结构

(一)保证一个良好的内部环境

内部环境一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化。企业应该根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，开成科学有效的职责分工和制衡机制。

(二)治理层的相关职责如下

(1)股东会：股东(大)会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。

(2)董事会：董事会对股东(大)会负责，依法行使企业的经营决策权。

(3)监事会：监事会对股东(大)会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

(4)经理层：经理层负责组织实施股东(大)会、董事会决议事项，主持企业的生产经营管理工作。

二、确立各部门及岗位的内控职责及合理的授权体系

(一)企业董事会下设的审计委员会要承担企业内控审查与监督的职责：“企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制。监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。”

(二)企业须保持承担内控职责的部门的独立性：“审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。”“企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。”“内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。”

(三)企业要制定合理而完整的授权体系：“授权审批控制要求企业根据常规授权和特别授权的规定。明确各岗位办理业务和事项的权限范围、审批程序和相应责任。”

三、对企业风险进行自我评价

(一)企业应该根据自身的行业、产业及企业特色。对企业的风险进行评估：“企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。”“企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。”

(二)企业建立风险数据库，建立风险应对策略：“企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。”

四、编制《企业内部管理手册》

(一)编制《企业内部管理手册》

“企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。“确保”企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况。明确权责分配，正确行使职权。”

(二)要确保企业的运营处于有效控制下，实现企业经营管理的合规合法、资产安全、财务报告及相关信息真实完整，提高经营效率和效果、促进企业实现发展战略，企业应当从以下几方面入手：

(1)不相容职务分离控制；

(2)授权审批控制；

(3)会计系统控制；

(4)财产保护控制；

(5)预算控制；

(6)运营分析控制；

(7)纯净考评控制。

五、持续监督，保留内控相关书面痕迹

(一)企业要根据《企业内部管理手册》构建全方面的监督检查体系，确保对企业运营有持续的监督(包括日常监督和专项监督)：“企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。”

“内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战略，组织结构、经营活动、业务流程，关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。”

(二)企业应该保留书面控制活动的痕迹：“企业应当的内部日常控制和以书面(或其他适当形式)保存内控相关资料，确保内控建立与实施的可验证性。”

六、反舞弊

企业应结合内部治理与机构设置建立反舞弊机制：“企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告卸补救程序。”并从机构设置上切实保证反舞弊机制的可操作性：“企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。”(未完待续)