夯实制度基础　重在风险控制

夯实制度根底重在风险控制【摘要】本文通过比照?企业内部控制根本标准?从征求意见稿到发布稿的变化，及?企业内部控制详细标准?征求意见稿到?企业内部控制应用指引?征求意见稿的变化，以深化理解标准制订的意图，掌握内控标准的要义，从而更好地加以应用。【关键词】企业内部控制；根本标准；应用指引；风险控制“三鹿事件在全国乃至全球闹得沸沸扬扬。日前，其出售方案已经敲定，一个全国“最大的奶粉消费企业就此轰然倒地。人们反思社会诚信的缺失，反思食品、药品平安监视的无力，反思上报制度的官僚等等，不一而足，然而内观企业管理，三鹿事件已经成为内控失效的经典案例。如何引以为鉴，建立和施行有效的内部控制、防范风险，是每一个企业必须高度重视的课题。2022年6月28日我国发布了?企业内部控制根本标准?以下简称“内控根本标准。同时为了配合?企业内部控制根本标准?的施行，有关部门还草拟了?企业内部控制评价指引?征求意见稿、?企业内部控制应用指引?征求意见稿和?企业内部控制鉴证指引?征求意见稿并公开征求意见。逐步建立起了一套以根本标准为统领，以评价指引、应用指引和内部控制鉴证指引等配套方法为补充的内控标准体系。拓展了原来仅包括根本标准、详细标准和应用指南的内控标准体系构造的设想。而“内控根本标准从征求意见、修改到定稿、发布，历时为起草制定阶段的2倍。可见管理当局之慎重。笔者发现，“内控根本标准从征求意见稿到发布稿有着不小的变化；?企业内部控制应用指引?征求意见稿那么系原?内部控制详细标准?征求意见稿变身而来，也有一定的修订。一、?企业内部控制根本标准?的变化总体上，构造和文字都更加精简，删去了描绘性的语言和显负担的章节条款，同时又增加了局部内容，使各项要求更趋专业化。一构造精简征求意见稿分为七章：总那么、内部环境、风险评估、控制措施、信息与沟通、监视检查、组织施行及附那么。其中第二章又分五节：治理构造、内部机构设置与权责分配、企业文化、人力资源政策、内部审计机制和反舞弊机制。最终发布稿删掉了“组织施行及附那么一章，只在总那么中保存了相关的一条内容。“控制措施一章修改为“控制活动，“监视检查一章修改为“内部监视。第二章不再分节，内容有所调整。二文字精炼大幅删减描绘性文字或合并同类问题，由原来的82条减为50条，仅“内部环境一章就减少了12条。如原第二十六条和第二十九条共357个字，简并为第十五条149个字。一方面原第二十六条和原第二十九条第1、2、4款，简并为第十五条第1款，语言大为简练。另一方面，第十五条第2款修改了原第二十九条第3款关于内部审计监视的内容，明确了对“内部控制的有效性进展监视，与总那么第五条第5项增加的“内部控制缺陷的概念相照应，并按照“工作程序进展报告。对重大内部控制缺陷的报告对象增加了“监事会，赋予监事会真正的监视权。三内容增减，突出重点1.删减的主要内容。1无需在内控根本标准中标准的内容。如原第十六条企业文化的概念不需要在内控根本标准中介绍。相应的原第十七条至二十一条与企业文化相关的内容简并为一条。类似的还有原第三章中对风险、风险评估、目的设定等的定义，也都予以删减。2需要在内控标准中说明，但不需在根本标准中列示过细的内容。如前述删掉“组织施行一章计10条内容，原第六十条企业外部沟通应重点关注的六个方面，原第六十八条内部控制自我评估报告需披露的7项内容等等。3调整概念。如原第六条建立和施行内控的原那么，删掉合法性和有效性原那么。原第四章控制措施中，删掉“内部报告控制、“信息技术控制，将“受权控制、“审核批准控制并为“受权审批控制，“职责分工控制改为“不相容职务别离控制，“经济活动分析控制改为“运营分析控制等。2.增加的内容。1适用范围。原稿第三条规定，“本标准适用于大型企业、上市公司和其他涉及重大公众利益的企业。公布稿第二条规定，“适用于大中型企业，小企业和其他单位可参照实行。把中型企业纳入必须施行的范围内。原第四条列示了5条内控目的，要求“有义务对外提供财务报告的企业，应当确保财务报告及管理信息的真实、可靠和完好，具备条件的，还应同时实现其他控制目的。公布稿将此款删掉，在第十二条明确：“企业应当成立专门机构或者指定适当的机构详细负责组织协调内部控制的建立施行及日常工作。明确内部控制不再是有条件才需做的工作。2政府监视。总那么中新增了第九条，“国务院有关部门可以对企业建立与施行内部控制的情况进展监视检查。根本标准公布前银监会、证交所等部门都已出台了各自的内控指引，此次作为全国统一的内控根本标准，首次明确了政府的监视检查权并在一定程度上协调了各部门的关系。3独立审计。上市公司被要求对内控的有效性进展自我评价，披露年度评价报告，并进展审计。标准新增了第十条，会计师事务所对企业内部控制的有效性进展审计，出具审计报告。为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内控审计效劳。因此，根本标准及配套方法，不仅是企业施行内控的根据，还是政府和会计师事务所监视检查的根据。4公司治理相关内容。征求意见稿在总那么中介绍的是董事长、经理和总会计师的职责，而公布稿调整到“内部环境一章，增加了第十一至十三条，明确要求建立标准的公司治理构造和议事规那么，包括股东大会、董事会、监事会和经理层的权责；董事会负责内控的建立和施行；董事会下设审计委员会负责审查，协调内控审计等事宜。5更明确的各项制度或标准。第八条，建立内控施行的鼓励约束机制，将各责任单位和全体员工纳入绩效考评体系。第十九条，建立法律参谋制度和重大法律纠纷案件备案制度。第二十一条开展风险评估，应确定相应的风险承受度。第三十条，企业应编制常规受权的权限指引，标准特别受权的范围、权限、程序和责任。第三十二条建立财产日常管理制度和定期清查制度。第三十三条施行全面预算管理制度。第三十四条建立运营情况分析制度。新增第三十七条，建立重大风险预警机制和突发事件应急处理机制。第三十八条建立信息与沟通制度。第四十二条建立反舞弊机制。第四十三条建立举报投诉制度和举报人保护制度。第四十四条制定内部控制监视制度。第四十五条制定内部控制缺陷认定标准。新增第四十七条，妥善保存内控建立与施行过程中的记录或资料，确保其可验证性。显然，内控根本标准从征求意见稿到正式公布稿历经了一个“锐化过程，并旨在通过这种“锐化使得内部控制制度具有一定的强迫性，到达防范风险的目的。首先，内控根本标准明确要求企业应当建立内部控制制度，这是无条件的，而不是视有条件与否才施行的，并明确指出了内控制度必须包含哪些必要的内容、应该到达什么样的标准。其次，政府的监视是促使企业，尤其是大中型国有企业建立健全内部控制制度的有力推动，并且从国家层面来看这本身就是一种国家“内控行为相对于企业内控，表达了强迫性。再次，利用中介机构的专业才能指导和促进企业建立健全内控制度的意图很强，这也显示了国家对于企业尽快建立健全内部控制制度的迫切希望。二、?企业内部控制应用指引?征求意见稿的变化总体上，内容构造更趋完善，文字增减不及根本标准变化大，局部内容修改细化，用词更趋严谨。总体内容构造上。此次征求意见的?企业内部控制应用指引?以下简称应用指引，共22项，将原征求意见的17项详细标准中的2项合并为1项，新拟定了6项应用指引。合并的是，将“财务报告编报和“信息披露详细标准合并为“财务报告编报和披露应用指引。增加的是无形资产、业务外包、衍生工具、企业并购、关联交易和内部审计应用指引，使应用指引体系的总体内容构造趋于完善。如与原详细标准的内容构造及详细工程的设想比拟，在财务报表工程、财务报表编报和制度支持三大块中，应用指引仅各剩余一项未制定完成分别是资产减值、公允价值和中介机构聘用。详细指引名称。“货币资金改为“资金，“采购与付款改为“采购，“销售与收款改为“销售，“对外投资改为“长期股权投资，“合同改为“合同协议，“计算机信息系统改为“信息系统一般控制。同时，工程工程、长期股权投资的概念都有所扩展，内涵更加明确。各项指引内容上。1比照原详细标准征求意见稿，每一项指引在总那么中都增加了“第三条企业至少应当关注涉及的以下风险：，很明显地突出了对于各项业务的风险管理。第四条“关键方面或关键环节的控制内容也相应有调整。其他条款变化不大，稍有修改或细化。2在原条款根底上进一步细化。如应用指引?资金?第十六条，原详细标准规定：“企业应当加强对银行对账单的稽核和管理。出纳人员一般不得同时从事银行对账单的获娶银行存款余额调节表的编制等工作。应用指引增加：“确需出纳人员办理上述工作的，应当指定其别人员定期进展审核、监视。同一指引最后一款，“按规定需要由有关负责人签字或盖章的经济业务与事项，必须严格履行签字或盖章手续，增加“用章必须履行相关的审批手续并进展登记。这都是工作中容易无视的事项，而一旦出现问题又影响宏大，应用指引进一步细化了相关程序要求，增强了可操作性。3修改完善的。如应用指引?采购?第十七条，原详细标准仅规定，财会部门办理付款业务时应严格审核。而应用指引明确了相关部门的职责和付款的程序：首先由采购部门审核，并提交付款申请，财务部门复核后，提交权利机构审批，再办理付款。应用指引?合同协议?第六条，原详细标准要求，建立“合同受权委托代理制度，合同由董事长或代理人签章。而应用指引改为建立“合同协议订立权限分级授予制度，合同协议由法定代表人或其受权的人签章。应用指引中?财务报告编报和披露?由原两个详细标准合并而来，文字与内容有较大减并，突出了“控制，而不是如何编制报表或披露信息。其他指引之文字或条款精简的不再一一赘述。很明显，应用指引脱胎于详细标准，更注重的是风险提示和可操作性。就像母亲手把手教儿女走路一样，应用指引无时不刻在提醒企业内控应该怎么“走，会面临什么样的“风险。这是个很重要的步骤，可见国家对于企业内控管理的重视。这也正是中国内控根本标准借鉴美国sx法案而又较之更具有可操作性的所在。“三鹿事件只是一个企业内控机制不健全的缩影。实际上，我们国家改革开放开展到今天，已经为企业内部控制中存在的问题付出了太多的学费。比方2022年相继爆发的中航油、中储粮事件，早已暴露出我们在内部控制管理上的缺失，并为此付出了沉重的经济代价。而“三鹿事件那么在经济代价之外还付出了宏大的社会代价。试想，假如他能在快速扩张的同时重视内部的治理；假如他能在2022年“大头娃娃、2022年“早产奶事发后及时汲取教训，而不是仅仅“摆平言论；假如在2022年9月东窗事发前能比照内控标准，认真整改，尤其是一些关键的风险控制点，如“重大风险预警机制和突发事件应急处理机制，那么事件就远不会开展到今天的地步。管中窥豹，从?企业内部控制根本标准?及应用指引在征询意见前后的变化，可以看到，?企业内部控制根本标准?及应用指引通过删减描绘性语言、增减必要条款、修改完善内容，夯实了制度根底，突出了企业的风险控制这一重点，旨在建立以企业为主体、政府监视和独立审计并重的内控机制，意在控制和防范风险、保证信息质量、进步管理效率、维护企业乃至国家的经济利益。【参考文献】1企业内部控制标准起草说明.2企业内部控制标准根本标准征求意见稿.3企业内部控制根本标准.4秦立东.内控出鞘.新理财，2022，6.5企业内部控制详细标准征求意见稿.6企业内部控制应用指引征求意见稿.7汪靖中.三鹿：企业内控失效的典型案例.中国会计报，2022，9.