李若山　楊　芳

五部委《企業(yè)內(nèi)部控制基本規(guī)范》對上市公司所要求的執(zhí)行時間2009年7月1日即將到來，然而如何建設內(nèi)部控制體系對絕大多數(shù)的公司而言，還是個全新的課題?；谖宀课囊蠛蛧H上先進經(jīng)驗，我們給出了上市公司內(nèi)部控制體系建設流程，以輔助上市公司內(nèi)部控制體系建設，具體流程如下：

一、梳理企業(yè)現(xiàn)有治理結(jié)構(gòu)、完善組織設計及部門設置

圖1 內(nèi)控環(huán)境構(gòu)建流程

合理的公司治理結(jié)構(gòu)既是內(nèi)控環(huán)境的組成部分，又是內(nèi)控體系得以順利實現(xiàn)的基礎(chǔ)，所以上市公司首先應該明確自己的戰(zhàn)略目標，根據(jù)戰(zhàn)略目標規(guī)范治理結(jié)構(gòu)，對現(xiàn)有組織結(jié)構(gòu)、部門職責進行全方位的梳理，同時還要按照五部委的《內(nèi)控規(guī)范》設立相應的內(nèi)控部門及部門職責。其次，上市公司還應在上述基礎(chǔ)上對公司所有的規(guī)章制度進行查缺補漏，整合成符合公司實際需求的制度體系。

二、建立內(nèi)部控制系統(tǒng)

世界上不存在兩個完全相同的企業(yè)，即便是同一行業(yè)中的兩個企業(yè)，銷售同類型的產(chǎn)品，都會在運營管理中體現(xiàn)出不同的文化特色、管理風格，這就決定了每個企業(yè)一定會有自己所特有的內(nèi)控環(huán)境，因而其內(nèi)部控制系統(tǒng)也一定是各有差異、各具特色。

企業(yè)內(nèi)部控制的主要目標是為了經(jīng)營合規(guī)合法、運作高效率、控制風險。為此，構(gòu)建企業(yè)內(nèi)部控制系統(tǒng)應該是一個長期、動態(tài)持續(xù)的過程，一般可以分為以下幾階段：

1.對企業(yè)風險進行系統(tǒng)評估。

圖2 企業(yè)風險評估體系

風險評估是被國內(nèi)企業(yè)最容易忽視的環(huán)節(jié)，而實際上，這個環(huán)節(jié)卻是建立企業(yè)內(nèi)控體系的一個至關(guān)重要的前提。企業(yè)應當基于所處行業(yè)的特色和企業(yè)自身的業(yè)務特征，利用專業(yè)的評估工具對企業(yè)的內(nèi)外風險進行量化的分析，對風險可能發(fā)生的頻率和后果賦值，計量風險的嚴重程度，同時設定企業(yè)對風險的容忍限度，對診斷出的所有風險進行排序，隨后建立相應的風險數(shù)據(jù)庫及風險應對策略。

2.建立書面的內(nèi)部管理手冊。

圖3 企業(yè)內(nèi)部管理手冊建立流程

在前述建立的風險數(shù)據(jù)庫的前提下，企業(yè)的任務是對應于上述風險數(shù)據(jù)庫對企業(yè)整個運營管理流程進行分類，針對具體業(yè)務流程（明細程度可能根據(jù)企業(yè)的控制目標具體界定）確定關(guān)鍵崗位、職責表，描述關(guān)鍵控制點及相關(guān)的關(guān)鍵控制活動，分析不相容職務表（詳見“立信銳思——如何企業(yè)內(nèi)部管理手冊”）。

企業(yè)的內(nèi)部管理手冊應該是系統(tǒng)的、可操作的，所以在內(nèi)部管理手冊的最后應當有相應控制活動的對應內(nèi)審程序及職責表，以便于企業(yè)持續(xù)的監(jiān)督，也就是在內(nèi)控設計有效的基礎(chǔ)上確保執(zhí)行的有效性。

3.對企業(yè)內(nèi)部管理手冊的執(zhí)行進行持續(xù)監(jiān)督。

在以往的國有上市公司內(nèi)控失敗的案例中，很多企業(yè)已經(jīng)制訂了防范風險的控制制度，這些制度設計雖不能避免所有的風險，但至少可以保證不會導致企業(yè)破產(chǎn)清算，難以持續(xù)經(jīng)營。他們的失敗不在于缺乏制度，而在于缺乏監(jiān)督，致使制度形同虛設，舞弊肆虐、管理完全失效。

企業(yè)在建立了內(nèi)部管理手冊以后，由專門的、職責獨立的內(nèi)審部門負責日常的監(jiān)督，并及時直接地向企業(yè)內(nèi)部控制委員會匯報、實施有效控制。

對企業(yè)來說，僅實施日常監(jiān)督是不夠的，內(nèi)部控制委員會還要制定專項監(jiān)督制度，對企業(yè)的非經(jīng)常性項目進行不定期的監(jiān)督，以防止預想之外的風險發(fā)生。

4.根據(jù)企業(yè)的外部環(huán)境及內(nèi)部業(yè)務的變化對內(nèi)控體系進行動態(tài)更新。

企業(yè)在業(yè)務發(fā)展的過程中會發(fā)生大小各異的內(nèi)部變化，小到低層員工的變動，大到經(jīng)營模式的變化，這些變動累積到一定程度會導致原有的風險手冊和內(nèi)控管理手冊不再符合企業(yè)的實際，特別是2008年全球金融危機，企業(yè)面臨著及其嚴酷的競爭環(huán)境，該環(huán)境加劇了企業(yè)風險的可變性。因此，企業(yè)的內(nèi)控體系也應該是一個動態(tài)更新的過程。

這個動態(tài)更新的過程即可以是漸進式的（當內(nèi)外部變化不是非常劇烈時），也可以急進的、全新式的（當內(nèi)外部發(fā)生的革命性的變化時）。

規(guī)范公司內(nèi)部控制制度的執(zhí)行和評價報告制度是公司首次執(zhí)行公司內(nèi)部控制評價報告制度最困難的一件任務。首次執(zhí)行大規(guī)模的動態(tài)更新對于許多公司來說，并不是一件易事。

我們建議企業(yè)在首次建立內(nèi)控體系或重大動態(tài)更新時選擇第三方的權(quán)威中介機構(gòu)，既可以借助其專業(yè)知識為企業(yè)量身定做內(nèi)控體系，也可以通過培訓方式培養(yǎng)企業(yè)自身的內(nèi)控理念和意識。

三、對外披露：內(nèi)控自我評估及內(nèi)控鑒證

1.內(nèi)控自我評估。

企業(yè)根據(jù)國家有關(guān)法律、行政法規(guī)或者有關(guān)監(jiān)管規(guī)則的規(guī)定提交并披露（以財務報告為主的）內(nèi)部控制自我評估報告時，還應當在該報告中披露以下內(nèi)容：

（1）聲明企業(yè)董事會對建立健全和有效實施內(nèi)部控制負責，并履行了指導和監(jiān)督職責，能夠保證財務報告的真實可靠和資產(chǎn)的安全完整。

（2）聲明已經(jīng)遵循有關(guān)的標準和程序?qū)?nèi)部控制設計與運行的健全性、合理性和有效性進行了自我評估。

（3）對開展內(nèi)部控制自我評估所涉及的范圍和內(nèi)容進行簡要描述。

（4）聲明通過內(nèi)部控制自我評估，可以合理保證本企業(yè)的內(nèi)部控制不存在重大缺陷。

（5）如果在自我評估過程中發(fā)現(xiàn)內(nèi)部控制存在重大缺陷，應當披露有關(guān)的重大缺陷及其影響，并專項說明擬采取的改進措施。

（6）保證除了已披露的內(nèi)部控制重大缺陷之外，不存在其他重大缺陷。

（7）自資產(chǎn)負債表日至內(nèi)部控制自我評估報告報出日之間（以下簡稱報告期內(nèi)）如果內(nèi)部控制的設計與運行發(fā)生重大變化的，應當說明重大變化情況及其影響。

（8）依法及時披露的內(nèi)部控制自我評估報告，經(jīng)董事會審議批準后公布。

2.內(nèi)控鑒證。

根據(jù)國家有關(guān)法律、行政法規(guī)規(guī)定或者監(jiān)管協(xié)議約定應當實行內(nèi)部控制審計或者評價的企業(yè)，應對內(nèi)部控制審計或者評價工作予以配合。接受委托執(zhí)行內(nèi)部控制審計或者評價業(yè)務的社會中介機構(gòu)，應當嚴格遵照相關(guān)法律法規(guī)、執(zhí)業(yè)準則和本規(guī)范的規(guī)定辦理相關(guān)業(yè)務，保持客觀獨立性，并對出具的內(nèi)部控制審計或者評價報告的合法性、公允性負責。（未完待續(xù)）

（作者單位：復旦大學管理學院、立信銳思內(nèi)控中心）