许幼芬

2008年5月22日，财政部会同审计署、银监会、证监会和保监会联合印发了《企业内部控制基本规范》通知，该规范自2009年7月1日起在上市公司范围内实施，鼓励非上市公司的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自由评价，披露年度自我评价报告。作为上市公司和国有企业，执行《企业内部控制基本规范》首当其冲，我们有必要对该规范进行深入的了解和学习，以便有效的贯彻和实施该制度。笔者将以内部控制的定义作为切入点，结合COSO内部控制内容，对企业内部控制谈谈自己的认识和理解。

一、内部控制的定义

《企业内部控制基本规范》总则中对内部控制进行了如下定义：本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。建立内部控制体系时应符合以下目标：1、合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整；2、提高经营效率和效果；3、促进企业实现发展战略。本内控规范借鉴了以美国 COSO （Committee of Sponsoring Organization）报告为代表的国际内部控制框架，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列五个要素：（1）内部环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）内部监督。

内控规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。同时要求企业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。

执行内控规范的上市公司，在对企业内部控制的有效性进行自我评价后，应同时披露年度自我评价报告。国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查；并明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计，出具审计报告。

二、COSO内部控制内容

由于我国的内部控制规范借鉴了COSO内部控制框架的主要内容，现笔者对COSO内控框架的五个要素作简单介绍，COSO内部控制框架包括：控制环境、风险评估、控制活动、信息与沟通、监察。

（一）控制环境

控制环境是其他内部控制因素的根基。控制环境因素包括人员的道德观和胜任能力、董事会提供的指示和管理的效率，控制环境应包括坚守诚信及高尚的道德观。就此而言，高级管理层必须把企业的价值观和行为守则向全体员工明确传达，对违反行为守则的人员作出适当的处罚，以确保他们遵循行为守则并将其融入企业文化。控制环境因素的范围包括诚信和道德观、用人唯才的承诺、管理哲学和经营风格、董事会和审计委员会、组织结构、权力和责任的分配、人力资源政策和实务等，控制环境是内部控制的根本性组成部分。

（二）风险评估

按照 COSO立体模型，控制活动的上一层是风险评估。企业实现其目标的能力可能受到来自多个内外部因素的不利影响。作为整体内部控制结构的一部分，企业应实施一个程序，来评估可能影响其各种内部控制目标实现的潜在风险。风险评估可能是正规的量化风险评估程序，也可能是不太正规的方法，但是应包含对风险评估程序最起码的理解。风险评估是一个具有前瞻性的过程，应在所有层面以及企业的所有活动中实施这样的风险评估程序。COSO内部控制架构强调风险分析并非一个理论过程，而且常常对实体的整体成功起到至关重要的作用。管理层是内部控制整体评估的重要一环，他们应采取措施对可能影响整个企业的风险，以及不同的组织活动或实体所面对的风险进行评估。风险管理包括识别和分析影响目标实现的风险（包括与不断变化的监管、运营环境和商业策略有关的风险），以此来确定如何降低和管理此类风险的依据。

（三）控制活动

评估风险只是整个内部控制程序的一部分，管理层必须确定处理风险所需的行动，并付诸执行。这些行动亦应将注意力集中于控制活动的作用，目的是确保所需的行动得以有效且适时地执行。控制活动可分为运营、财务报告及合规三个类别，但它们之间有时可能出现重叠。常见的内部控制活动有组织控制、职责划分、调节和复核、实物控制、授权和批准、计算和会计、人员控制和监督及管理控制。

（四）信息与沟通

为了控制风险，有必要设立一个完善的沟通程序，以获取必要的信息，并向需要该信息的所有人员提供。控制风险是企业各类程序涉及的所有人员的责任，因此，已识别风险的信息以及控制这些风险的方法，必须向每个相关人员传达。有关员工应当遵循的政策及程序的信息，应在公司内从上至下得以传达。关于日常活动的信息，应从公司内准备这些信息的员工流向需要这些信息的员工。关于日常活动中发现的问题的信息，需要向公司上层流动，直至能够采取纠正措施的人员。

（五）监察

内部控制系统必须接受监察。监察是不断对内部控制系统的表现进行评估的过程，可以通过持续的监察活动或单独的评估来实现。内部控制如有缺陷，应向上级（例如高级管理层和审计委员会或董事会等）报告。

以上是对 COSO内部控制内容的简单阐述，要使内部控制系统有效，该系统必须能降低管理层己识别的业务风险。内部控制系统对于管理重大风险以实现业务目标发挥关键作用，完善的内部控制系统能极大地促进对股东投资的保护、公司资产的保护，以及确保对法律法规的遵守。

三、内控规范对企业的影响

在某种程度上说，内控规范的发布是中国在公司治理方面的一个重要里程碑，体现了中国经济与全球经济的进一步接轨和整合。随着中国资本市场的发展与壮大，与之配套的公司治理和监督机制的需求日益增加；而随着企业的做大做强，企业对于内部外部的风险需要更系统有力的控制。具体到企业而言，一方面，内控规范为企业建立内部控制体系提供了一个标准的框架，在理念、实施和制度层面为企业提供了基础，而在另一方面，内部控制作为一个相对较新的课题，对我们企业提出了新的挑战，从国际上一些公司治理法案，包括美国的《萨班斯一奥克斯利法案》实施情况来看，企业通常在内部控制实施的第一年需要投入很多时间和精力。企业应该建立一系列的内控制度，而且要根据企业的实际情况完善这些制度，并有效地保证其得以一贯的实施，真正做到合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果， 促进企业实现发展战略这才是最重要的。