如何应对《企业内部控制基本规范》(三).docVIP

如何应对《企业内部控制基本规范》(三)五部委联合出台《企业内部控制基本规范》对企业提出了编制《内部控制手册》的要求（亦被称为《内控手册》），但对《内部控制手册》的含义、定位、功能及应用仍存在较大争议。本文基于对内部控制要求及企业制度设置的分析，对《内部控制手册》的功能及质量特征进行了初步探讨，提出了一个编制框架及一个具体样式。本文可供存在《内部控制手册》编制需求的企业参考。 一、《内部控制手册》的提出 2008年6月28日我国五部委（财政部、证监会、审计署、银监会、保监会）联合出台《企业内部控制基本规范》（以下简称《基本规范》），明确“自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行”。同时，该《基本规范》作为我国企业未来内部控制建设的基本框架，在内控具体操作层面提出了《内部控制手册》这一概念，即“企业应当通过编制《内部控制手册》（以下简称《手册》），使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权”。然而，究竟什么是内部控制手册？它的基本质量要求是什么？它与企业现有的其他管理体系的差异在哪里？企业应当如何编制？这些问题在《基本规范》中并没有给出详尽的说明，实务界对此也存在较大的争议。本文试图通过对《基本规范》相关规定的分析，结合COSO框架以及部分大型企业的内控经验，对《手册》相关问题进行分析和阐述。 二、《内部控制手册》目标及质量要求 根据《基本规范》对《手册》的要求，不难发现：首先，《手册》是在企业内部控制的范畴内提出的，其自身应该成为企业内部控制制度设计及实践的组成部分；其次，《手册》的内容集中于机构设置、岗位职责、流程、权责分配等内容，一方面与经营操作相关，另一方面与企业内控所关注的经营层面的主要风险相关；再者，《手册》所面对的使用对象是公司的全体员工，因而可操作性应是需要考虑的重要因素；最后，《手册》还应对公司的内部审计部门起到工作指导的作用，以便于公司了解自身的整体经营风险并方便审计部门对业务环节的具体操作进行审计。据此，本文提出《手册》的编制目标及质量要求如下表： 表1 《内部控制手册》目标与质量要求 三、《内部控制手册》与企业其他管理制度体系的关联 对所有的企业来说，其自身在以往的经营活动中往往已制定了一些规章制度，并对企业经营过程中可能出现的风险进行了制度上的防范。另有一些企业，出于自身的管理规范的需求或外部的市场需求，申请了以ISO体系为代表的标准认证，并在此基础上制定了整套与之配套的制度规范。然而，本文认为《手册》与上述管理体系（符合或者不符合外部标准）存在联系的同时，也存在明显差异，主要体现在以下几个方面： （一）编制目标差异 企业制定的管理制度往往是出于日常经营的需要，功能在于为特定的操作人员提供具体的工作指引。ISO管理体系是从产品质量的角度出发，关注如何编制制度以保证企业生产出高品质产品。ISO管理体系更多的关注企业产品质量风险，对于经营层面的整体风险关注的甚少。 与上述目标相对应，《手册》从企业内部控制的角度出发，借助COSO框架下的风险管理的理念，对企业经营的整体风险进行关注和防范。其强调“企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果、促进企业实现发展战略”。 （二）编制框架差异 在现阶段，大量企业在制定管理制度时，往往是一种事后的亡羊补牢式的修订，这种制度的制定常常缺乏逻辑架构和整体框架，因而难以全面应对各类风险。ISO之类的管理体系从产品质量管理的角度制定了一套完整的制度框架，但是由于缺少考虑企业经营层面的其它风险，尤其是生产循环之外的内部控制的关注。 《手册》以COSO的框架为编制的依据，在编制过程中一贯地强调对企业经营层面的所有风险的识别、分析、评估和控制，尤其强调表单和书面证据的重要性，以突出企业内部控制实施的可复核性，因而可以为内审部门提供一套有效的工作指南。 表2 《内部控制手册》与其它管理体系的差异 虽然《手册》与以往的企业管理制度体系关键的不同在于理念的出发点上，但本质上他们还是存在着极为紧密的内在联系。《手册》并不是凭空制定的又一套新的制度，而是对现有制度体系的整合和提升，是从风险管理的视角对企业原有制度体系和业务流程的再梳理。 然而考虑到企业原有的制度体系在风险管理上的系统性和规范性的不同，《手册》在编制过程中，按照是否对原有制度进行改进，可以将《手册》划分为具有制度创造功能和不具备制度创造功能两个类别。如果赋予《手册》制度创造的功能，则《手册》中提出的控制要求即具备相关应的强制性，即如果原有制度框架未涉及此类要求，则通过《手册》制定该要求；如果不赋予《手册》制度创造功能，则《手