如何應(yīng)對《企業(yè)內(nèi)部控制基本規(guī)范》（三）

李若山　劉曉丹　盧一萍

五部委聯(lián)合出臺《企業(yè)內(nèi)部控制基本規(guī)范》對企業(yè)提出了編制《內(nèi)部控制手冊》的要求（亦被稱為《內(nèi)控手冊》），但對《內(nèi)部控制手冊》的含義、定位、功能及應(yīng)用仍存在較大爭議。本文基于對內(nèi)部控制要求及企業(yè)制度設(shè)置的分析，對《內(nèi)部控制手冊》的功能及質(zhì)量特征進(jìn)行了初步探討，提出了一個編制框架及一個具體樣式。本文可供存在《內(nèi)部控制手冊》編制需求的企業(yè)參考。

一、《內(nèi)部控制手冊》的提出

2008年6月28日我國五部委（財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會）聯(lián)合出臺《企業(yè)內(nèi)部控制基本規(guī)范》（以下簡稱《基本規(guī)范》），明確“自2009年7月1日起在上市公司范圍內(nèi)施行，鼓勵非上市的大中型企業(yè)執(zhí)行”。同時，該《基本規(guī)范》作為我國企業(yè)未來內(nèi)部控制建設(shè)的基本框架，在內(nèi)控具體操作層面提出了《內(nèi)部控制手冊》這一概念，即“企業(yè)應(yīng)當(dāng)通過編制《內(nèi)部控制手冊》（以下簡稱《手冊》），使全體員工掌握內(nèi)部機(jī)構(gòu)設(shè)置、崗位職責(zé)、業(yè)務(wù)流程等情況，明確權(quán)責(zé)分配，正確行使職權(quán)”。然而，究竟什么是內(nèi)部控制手冊？它的基本質(zhì)量要求是什么？它與企業(yè)現(xiàn)有的其他管理體系的差異在哪里？企業(yè)應(yīng)當(dāng)如何編制？這些問題在《基本規(guī)范》中并沒有給出詳盡的說明，實(shí)務(wù)界對此也存在較大的爭議。本文試圖通過對《基本規(guī)范》相關(guān)規(guī)定的分析，結(jié)合COSO框架以及部分大型企業(yè)的內(nèi)控經(jīng)驗(yàn)，對《手冊》相關(guān)問題進(jìn)行分析和闡述。

二、《內(nèi)部控制手冊》目標(biāo)及質(zhì)量要求

根據(jù)《基本規(guī)范》對《手冊》的要求，不難發(fā)現(xiàn)：首先，《手冊》是在企業(yè)內(nèi)部控制的范疇內(nèi)提出的，其自身應(yīng)該成為企業(yè)內(nèi)部控制制度設(shè)計及實(shí)踐的組成部分；其次，《手冊》的內(nèi)容集中于機(jī)構(gòu)設(shè)置、崗位職責(zé)、流程、權(quán)責(zé)分配等內(nèi)容，一方面與經(jīng)營操作相關(guān)，另一方面與企業(yè)內(nèi)控所關(guān)注的經(jīng)營層面的主要風(fēng)險相關(guān)；再者，《手冊》所面對的使用對象是公司的全體員工，因而可操作性應(yīng)是需要考慮的重要因素；最后，《手冊》還應(yīng)對公司的內(nèi)部審計部門起到工作指導(dǎo)的作用，以便于公司了解自身的整體經(jīng)營風(fēng)險并方便審計部門對業(yè)務(wù)環(huán)節(jié)的具體操作進(jìn)行審計。據(jù)此，本文提出《手冊》的編制目標(biāo)及質(zhì)量要求如下表：

表1 《內(nèi)部控制手冊》目標(biāo)與質(zhì)量要求

三、《內(nèi)部控制手冊》與企業(yè)其他管理制度體系的關(guān)聯(lián)

對所有的企業(yè)來說，其自身在以往的經(jīng)營活動中往往已制定了一些規(guī)章制度，并對企業(yè)經(jīng)營過程中可能出現(xiàn)的風(fēng)險進(jìn)行了制度上的防范。另有一些企業(yè)，出于自身的管理規(guī)范的需求或外部的市場需求，申請了以ISO體系為代表的標(biāo)準(zhǔn)認(rèn)證，并在此基礎(chǔ)上制定了整套與之配套的制度規(guī)范。然而，本文認(rèn)為《手冊》與上述管理體系（符合或者不符合外部標(biāo)準(zhǔn)）存在聯(lián)系的同時，也存在明顯差異，主要體現(xiàn)在以下幾個方面：

（一）編制目標(biāo)差異

企業(yè)制定的管理制度往往是出于日常經(jīng)營的需要，功能在于為特定的操作人員提供具體的工作指引。ISO管理體系是從產(chǎn)品質(zhì)量的角度出發(fā)，關(guān)注如何編制制度以保證企業(yè)生產(chǎn)出高品質(zhì)產(chǎn)品。ISO管理體系更多的關(guān)注企業(yè)產(chǎn)品質(zhì)量風(fēng)險，對于經(jīng)營層面的整體風(fēng)險關(guān)注的甚少。

與上述目標(biāo)相對應(yīng)，《手冊》從企業(yè)內(nèi)部控制的角度出發(fā)，借助COSO框架下的風(fēng)險管理的理念，對企業(yè)經(jīng)營的整體風(fēng)險進(jìn)行關(guān)注和防范。其強(qiáng)調(diào)“企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務(wù)報告及相關(guān)信息真實(shí)完整，提高經(jīng)營效率和效果、促進(jìn)企業(yè)實(shí)現(xiàn)發(fā)展戰(zhàn)略”。

（二）編制框架差異

在現(xiàn)階段，大量企業(yè)在制定管理制度時，往往是一種事后的亡羊補(bǔ)牢式的修訂，這種制度的制定常常缺乏邏輯架構(gòu)和整體框架，因而難以全面應(yīng)對各類風(fēng)險。ISO之類的管理體系從產(chǎn)品質(zhì)量管理的角度制定了一套完整的制度框架，但是由于缺少考慮企業(yè)經(jīng)營層面的其它風(fēng)險，尤其是生產(chǎn)循環(huán)之外的內(nèi)部控制的關(guān)注。

《手冊》以COSO的框架為編制的依據(jù)，在編制過程中一貫地強(qiáng)調(diào)對企業(yè)經(jīng)營層面的所有風(fēng)險的識別、分析、評估和控制，尤其強(qiáng)調(diào)表單和書面證據(jù)的重要性，以突出企業(yè)內(nèi)部控制實(shí)施的可復(fù)核性，因而可以為內(nèi)審部門提供一套有效的工作指南。

表2 《內(nèi)部控制手冊》與其它管理體系的差異

雖然《手冊》與以往的企業(yè)管理制度體系關(guān)鍵的不同在于理念的出發(fā)點(diǎn)上，但本質(zhì)上他們還是存在著極為緊密的內(nèi)在聯(lián)系。《手冊》并不是憑空制定的又一套新的制度，而是對現(xiàn)有制度體系的整合和提升，是從風(fēng)險管理的視角對企業(yè)原有制度體系和業(yè)務(wù)流程的再梳理。

然而考慮到企業(yè)原有的制度體系在風(fēng)險管理上的系統(tǒng)性和規(guī)范性的不同，《手冊》在編制過程中，按照是否對原有制度進(jìn)行改進(jìn)，可以將《手冊》劃分為具有制度創(chuàng)造功能和不具備制度創(chuàng)造功能兩個類別。如果賦予《手冊》制度創(chuàng)造的功能，則《手冊》中提出的控制要求即具備相關(guān)應(yīng)的強(qiáng)制性，即如果原有制度框架未涉及此類要求，則通過《手冊》制定該要求；如果不賦予《手冊》制度創(chuàng)造功能，則《手冊》的主要作用在于提煉、歸納以及整合其他相關(guān)制度中的控制要求，自身并不提出新的制度要求。《手冊》不同定位，可能會導(dǎo)致企業(yè)面臨不同類型的制度協(xié)調(diào)問題。具體如下表：

表3 《內(nèi)部控制手冊》定位與制度協(xié)調(diào)

四、《內(nèi)部控制手冊》的內(nèi)容構(gòu)成

結(jié)合內(nèi)部控制基本要求及質(zhì)量特征，《手冊》應(yīng)梳理業(yè)務(wù)流程，找出業(yè)務(wù)循環(huán)的主要風(fēng)險點(diǎn)和控制目標(biāo)，并明確相對應(yīng)的關(guān)鍵控制活動和基本的不相容職務(wù)分離的要求。同時通過對特定循環(huán)的流程分析，將關(guān)鍵控制活動對應(yīng)到具體的崗位和管理制度，最后《手冊》還要為內(nèi)部審計提供必要的工作指引。基于這樣的認(rèn)識，針對特定流程，《手冊》構(gòu)成如下表所示：

表4 《內(nèi)部控制手冊》構(gòu)成

五、《內(nèi)部控制手冊》的編制框架與典型步驟

結(jié)合前文對《手冊》性質(zhì)以及需要具備的內(nèi)容的分析，以及憑借我們給企業(yè)提供的內(nèi)控服務(wù)的經(jīng)驗(yàn)，本文提出如下的《手冊》制定的框架：

圖4 《內(nèi)部控制手冊》編制框架

注：實(shí)線表示實(shí)際編制流程；虛線表示內(nèi)在邏輯關(guān)系；虛線框表示邏輯范圍。

本文認(rèn)為，在大多數(shù)情況下，《手冊》的編制可以分為4大步驟。

第一步：業(yè)務(wù)循環(huán)劃分。企業(yè)應(yīng)根據(jù)各自行業(yè)及所涉及業(yè)務(wù)的具體特點(diǎn)，將自身的運(yùn)營活動劃分為若干個主要業(yè)務(wù)循環(huán)，通常情況下，主要業(yè)務(wù)循環(huán)包括以下內(nèi)容：（1）銷貨及收款環(huán)節(jié)；（2）采購及付款環(huán)節(jié)；（3）生產(chǎn)環(huán)節(jié)；（4）固定資產(chǎn)管理環(huán)節(jié)；（5）貨幣資金管理環(huán)節(jié)；（6）關(guān)聯(lián)交易環(huán)節(jié)；（7）擔(dān)保與融資環(huán)節(jié)；（8）投資環(huán)節(jié)；（9）研發(fā)環(huán)節(jié)；（10）人事管理環(huán)節(jié)；（11）信息管理環(huán)節(jié)。

因不同的業(yè)務(wù)特點(diǎn)的企業(yè)，其主要的業(yè)務(wù)循環(huán)所包含的內(nèi)容不盡相同，故企業(yè)可以借鑒五部委即將頒布的《企業(yè)內(nèi)部控制具體規(guī)范》的要求進(jìn)行業(yè)務(wù)循環(huán)的劃分。

第二步：流程風(fēng)險分析。在明確了企（下轉(zhuǎn)P8頁）（上接P6頁）業(yè)的具體業(yè)務(wù)循環(huán)后，針對每個具體業(yè)務(wù)循環(huán)需畫出詳細(xì)的業(yè)務(wù)流程圖，并結(jié)合企業(yè)的現(xiàn)有制度分析該流程存在的主要風(fēng)險點(diǎn)及相應(yīng)的控制措施。改階段內(nèi)容主要包括：流程的控制目標(biāo)、關(guān)鍵控制活動、主要涉及的崗位職責(zé)、相關(guān)的表單流轉(zhuǎn)等。

第三步：不相容職務(wù)分析。一般而言，企業(yè)的各主要業(yè)務(wù)循環(huán)的各類活動可以劃分為批準(zhǔn)、執(zhí)行、記錄和控制四大類別，從崗位設(shè)置的要求來看，應(yīng)該保證同一人員不同時從事以上四類中的任何兩項(xiàng)及以上的工作?；谠撛瓌t，且從內(nèi)部控制的角度出發(fā)，我們需要找出企業(yè)每個具體循環(huán)中存在的不相容職務(wù)并將其分離。

第四步：內(nèi)控測試矩陣。內(nèi)控測試矩陣是指導(dǎo)企業(yè)內(nèi)部審計部門開展工作的重要指引。它基于內(nèi)控實(shí)施的可復(fù)核性和可審計性的要求，明確了內(nèi)控活動中所有關(guān)鍵控制點(diǎn)的主要痕跡和后果，并分別從過程和結(jié)果兩個角度來檢視內(nèi)控實(shí)施的有效性。因而企業(yè)應(yīng)該在第二步流程分析的基礎(chǔ)上引申出企業(yè)內(nèi)控的主要留痕，并提出內(nèi)審的主要檢查對象和檢查方法。（全文完）

（作者單位：復(fù)旦大學(xué)管理學(xué)院、上海寶鋼國際經(jīng)濟(jì)貿(mào)易有限公司）