李若山　刘晓丹　卢一萍

五部委联合出台《企业内部控制基本规范》对企业提出了编制《内部控制手册》的要求（亦被称为《内控手册》），但对《内部控制手册》的含义、定位、功能及应用仍存在较大争议。本文基于对内部控制要求及企业制度设置的分析，对《内部控制手册》的功能及质量特征进行了初步探讨，提出了一个编制框架及一个具体样式。本文可供存在《内部控制手册》编制需求的企业参考。

一、《内部控制手册》的提出

2008年6月28日我国五部委（财政部、证监会、审计署、银监会、保监会）联合出台《企业内部控制基本规范》（以下简称《基本规范》），明确“自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行”。同时，该《基本规范》作为我国企业未来内部控制建设的基本框架，在内控具体操作层面提出了《内部控制手册》这一概念，即“企业应当通过编制《内部控制手册》（以下简称《手册》），使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权”。然而，究竟什么是内部控制手册？它的基本质量要求是什么？它与企业现有的其他管理体系的差异在哪里？企业应当如何编制？这些问题在《基本规范》中并没有给出详尽的说明，实务界对此也存在较大的争议。本文试图通过对《基本规范》相关规定的分析，结合COSO框架以及部分大型企业的内控经验，对《手册》相关问题进行分析和阐述。

二、《内部控制手册》目标及质量要求

根据《基本规范》对《手册》的要求，不难发现：首先，《手册》是在企业内部控制的范畴内提出的，其自身应该成为企业内部控制制度设计及实践的组成部分；其次，《手册》的内容集中于机构设置、岗位职责、流程、权责分配等内容，一方面与经营操作相关，另一方面与企业内控所关注的经营层面的主要风险相关；再者，《手册》所面对的使用对象是公司的全体员工，因而可操作性应是需要考虑的重要因素；最后，《手册》还应对公司的内部审计部门起到工作指导的作用，以便于公司了解自身的整体经营风险并方便审计部门对业务环节的具体操作进行审计。据此，本文提出《手册》的编制目标及质量要求如下表：

表1 《内部控制手册》目标与质量要求

三、《内部控制手册》与企业其他管理制度体系的关联

对所有的企业来说，其自身在以往的经营活动中往往已制定了一些规章制度，并对企业经营过程中可能出现的风险进行了制度上的防范。另有一些企业，出于自身的管理规范的需求或外部的市场需求，申请了以ISO体系为代表的标准认证，并在此基础上制定了整套与之配套的制度规范。然而，本文认为《手册》与上述管理体系（符合或者不符合外部标准）存在联系的同时，也存在明显差异，主要体现在以下几个方面：

（一）编制目标差异

企业制定的管理制度往往是出于日常经营的需要，功能在于为特定的操作人员提供具体的工作指引。ISO管理体系是从产品质量的角度出发，关注如何编制制度以保证企业生产出高品质产品。ISO管理体系更多的关注企业产品质量风险，对于经营层面的整体风险关注的甚少。

与上述目标相对应，《手册》从企业内部控制的角度出发，借助COSO框架下的风险管理的理念，对企业经营的整体风险进行关注和防范。其强调“企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果、促进企业实现发展战略”。

（二）编制框架差异

在现阶段，大量企业在制定管理制度时，往往是一种事后的亡羊补牢式的修订，这种制度的制定常常缺乏逻辑架构和整体框架，因而难以全面应对各类风险。ISO之类的管理体系从产品质量管理的角度制定了一套完整的制度框架，但是由于缺少考虑企业经营层面的其它风险，尤其是生产循环之外的内部控制的关注。

《手册》以COSO的框架为编制的依据，在编制过程中一贯地强调对企业经营层面的所有风险的识别、分析、评估和控制，尤其强调表单和书面证据的重要性，以突出企业内部控制实施的可复核性，因而可以为内审部门提供一套有效的工作指南。

表2 《内部控制手册》与其它管理体系的差异

虽然《手册》与以往的企业管理制度体系关键的不同在于理念的出发点上，但本质上他们还是存在着极为紧密的内在联系。《手册》并不是凭空制定的又一套新的制度，而是对现有制度体系的整合和提升，是从风险管理的视角对企业原有制度体系和业务流程的再梳理。

然而考虑到企业原有的制度体系在风险管理上的系统性和规范性的不同，《手册》在编制过程中，按照是否对原有制度进行改进，可以将《手册》划分为具有制度创造功能和不具备制度创造功能两个类别。如果赋予《手册》制度创造的功能，则《手册》中提出的控制要求即具备相关应的强制性，即如果原有制度框架未涉及此类要求，则通过《手册》制定该要求；如果不赋予《手册》制度创造功能，则《手册》的主要作用在于提炼、归纳以及整合其他相关制度中的控制要求，自身并不提出新的制度要求。《手册》不同定位，可能会导致企业面临不同类型的制度协调问题。具体如下表：

表3 《内部控制手册》定位与制度协调

四、《内部控制手册》的内容构成

结合内部控制基本要求及质量特征，《手册》应梳理业务流程，找出业务循环的主要风险点和控制目标，并明确相对应的关键控制活动和基本的不相容职务分离的要求。同时通过对特定循环的流程分析，将关键控制活动对应到具体的岗位和管理制度，最后《手册》还要为内部审计提供必要的工作指引。基于这样的认识，针对特定流程，《手册》构成如下表所示：

表4 《内部控制手册》构成

五、《内部控制手册》的编制框架与典型步骤

结合前文对《手册》性质以及需要具备的内容的分析，以及凭借我们给企业提供的内控服务的经验，本文提出如下的《手册》制定的框架：

图4 《内部控制手册》编制框架

注：实线表示实际编制流程；虚线表示内在逻辑关系；虚线框表示逻辑范围。

本文认为，在大多数情况下，《手册》的编制可以分为4大步骤。

第一步：业务循环划分。企业应根据各自行业及所涉及业务的具体特点，将自身的运营活动划分为若干个主要业务循环，通常情况下，主要业务循环包括以下内容：（1）销货及收款环节；（2）采购及付款环节；（3）生产环节；（4）固定资产管理环节；（5）货币资金管理环节；（6）关联交易环节；（7）担保与融资环节；（8）投资环节；（9）研发环节；（10）人事管理环节；（11）信息管理环节。

因不同的业务特点的企业，其主要的业务循环所包含的内容不尽相同，故企业可以借鉴五部委即将颁布的《企业内部控制具体规范》的要求进行业务循环的划分。

第二步：流程风险分析。在明确了企（下转P8页）（上接P6页）业的具体业务循环后，针对每个具体业务循环需画出详细的业务流程图，并结合企业的现有制度分析该流程存在的主要风险点及相应的控制措施。改阶段内容主要包括：流程的控制目标、关键控制活动、主要涉及的岗位职责、相关的表单流转等。

第三步：不相容职务分析。一般而言，企业的各主要业务循环的各类活动可以划分为批准、执行、记录和控制四大类别，从岗位设置的要求来看，应该保证同一人员不同时从事以上四类中的任何两项及以上的工作。基于该原则，且从内部控制的角度出发，我们需要找出企业每个具体循环中存在的不相容职务并将其分离。

第四步：内控测试矩阵。内控测试矩阵是指导企业内部审计部门开展工作的重要指引。它基于内控实施的可复核性和可审计性的要求，明确了内控活动中所有关键控制点的主要痕迹和后果，并分别从过程和结果两个角度来检视内控实施的有效性。因而企业应该在第二步流程分析的基础上引申出企业内控的主要留痕，并提出内审的主要检查对象和检查方法。（全文完）

（作者单位：复旦大学管理学院、上海宝钢国际经济贸易有限公司）