内部控制规范建设，一向是国内外管理先驱企业关注的问题。不久前，财政部等五部委联合发布了《企业内部控制配套指引》，标志着我国企业由自发性控制驱动向约束性控制驱动转变，由粗放型控制向精细化控制转变，由注重增长速度向注重发展质量转变。这充分表明推进内部控制规范建设是企业可持续发展的关键抉择。

一、国学思想之于内部控制

一谈起内部控制，似乎就离不开COSO。其实，我国古代曾经有过灿烂的内部控制文明，“在内部控制、预算和审计程序等方面，周代在古代世界是无与伦比的”（《会计思想史》，迈克尔·查特菲尔德）。而内部牵制的多人原则也早已萌芽。“虑夫掌财用财之吏，参漏乾后，或者容奸而肆欺……于是一毫财赋之出入，数人之耳目通焉”（《周礼·理其财之所出》，宋·朱熹），即：考虑到掌管和使用财赋的官吏可能会出现贪污盗窃、弄虚作假的行为，因此规定每笔财赋的出入都要经数人之手，以实现相互牵制。

《论语·卫灵公》：人无远虑，必有近忧。《黄帝内经》：不治已病治未病，不治已乱治未乱。《老子·道德经》：为之于未有，治之于未乱。《荀子·大略》：先事虑事，先患虑患。先事虑事谓之接，接则事犹成。先患虑患谓之豫，豫则祸不生。事至而后虑者谓之困，困则祸不可御。上述国学要旨，无不精辟阐释了“预防重于发现，发现重于纠正”的内部控制核心价值，成为全面推进内部控制规范建设、有效落实《内部控制配套指引》工作中回答成本效益问题的最佳表述。

二、内部控制应用指引之精要

此次发布的内部控制配套指引由18项《企业内部控制应用指引》（简称“应用指引”）、《企业内部控制评价指引》、《企业内部控制审计指引》组成。应用指引第1号至第5号依次为组织架构、发展战略、人力资源、社会责任和企业文化，主要是从企业层面阐释控制环境、风险评估和控制活动等要素内容，控制重点是企业层面的战略风险、行业风险和经营风险，注重企业内、外部环境的适应性和协调性；应用指引第6至18号依次为资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递和信息系统，主要从业务层面阐释风险评估、控制活动、信息与沟通和内部监督等要素内容，其控制重点是企业业务层面的经营风险和财务风险。此结构划分，有助于使用者理顺内部控制规范体系组成部分之间的内在逻辑，明晰各应用指引与《企业内部控制基本规范》之控制要素的内在联系，理清各应用指引在内部控制中的功能范围和控制重点，有效减少《企业内部控制基本规范》的应用盲区。

应用指引划分为三类，即内部环境类指引、控制活动类指引、控制手段类指引，涵盖了企业资金流、实物流、人力流和信息流等业务和事项。

（一）内部环境类指引

第一，组织架构。针对企业治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，以及内部机构设计不科学，权责分配不合理等控制风险，组织架构指引明确要求：决策、执行和监督相互分离，形成制衡；企业的重大决策、重大事项、重要人事任免及大额资金支付业务等（即“三重一大”），实行集体决策审批或者联签制度；合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中；根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理；建立科学的投资管控制度，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置等重要事项。由此可见，对子公司的控制堪为组织架构指引“点穴”之举，也为应对集团控制的软肋提供了可操作的实务指南。

第二，发展战略。针对企业缺乏明确的发展战略、发展战略实施不到位，或者发展战略过于激进、过度扩张、经营失控甚至失败，或者发展战略频繁变动等控制风险，发展战略指引明确要求：企业要在董事会下设立战略委员会，或指定相关机构负责发展战略管理工作；企业要在充分调研、科学分析和广泛征求意见的基础上制定发展目标，综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等相关因素；董事会要从全局性、长期性和可行性等维度，严格审议战略委员会提交的发展战略方案，报股东（大）会批准实施；企业要根据发展战略，制定年度工作计划，编制全面预算，将年度目标分解、落实；战略委员会要加强对发展战略实施情况的监控，定期收集和分析相关信息。

第三，人力资源。针对企业人力资源缺乏或过剩、结构不合理、开发机制不健全，或者人力资源激励约束制度不合理、关键岗位人员管理不完善，或者人力资源退出机制不当、导致法律诉讼或企业声誉受损等控制风险，人力资源指引明确要求：企业要根据人力资源总体规划，结合生产经营实际需要，制定年度人力资源需求计划；根据人力资源能力框架要求，明确各岗位的职责权限、任职条件和工作要求，运用适当的方式选聘适当的人才；确定选聘人员后，应当依法签订劳动合同，建立劳动用工关系；建立和完善人力资源的激励约束机制，设置科学的业绩考核指标体系；建立健全员工退出机制，明确退出的条件和程序，确保员工退出机制得到有效实施。

第四，社会责任。针对企业安全生产措施不到位、责任不落实，或者产品质量低劣、侵害消费者利益，或者环境保护投入不足、资源耗费大，或者员工权益保护不够等控制风险，社会责任指引明确要求：企业要设立安全管理部门和安全监督机构，建立严格的安全生产管理体系、操作规范和应急预案，强化安全生产责任追究制度；规范生产流程，建立严格的产品质量控制和检验制度；提高员工的环境保护和资源节约意识，建立环境保护与资源节约制度，认真落实节能减排责任；依法保护员工的合法权益，保障员工依法享有劳动权利和履行劳动义务。

第五，企业文化。针对企业缺乏积极向上的企业文化，或者缺乏开拓创新、团队协作和风险意识，或者缺乏诚实守信的经营理念等控制风险，企业文化指引明确要求：应将打造主业品牌作为企业文化建设的重要内容；重视并购重组后的企业文化建设，平等对待被并购方的员工，促进并购双方的文化融合；治理层和经理层要在企业文化建设中率先垂范；加强企业文化的宣传贯彻，并融入生产经营全过程。

（二）控制活动类指引

第一，资金活动。针对企业筹资决策不当、引发资本结构不合理或无效融资，或者企业投资决策失误、引发盲目扩张或丧失发展机遇，或者资金调度不合理、营运不畅，或者资金活动管控不严等控制风险，资金活动指引明确要求：企业要结合年度全面预算，拟订筹资方案，对筹资方案进行科学论证，重大筹资方案应形成可行性研究报告；按照规定权限和程序筹集资金。严格按照筹资方案确定的用途使用资金；加强债务偿还和股利支付环节的管理；合理安排资金投放结构，科学确定投资项目，拟订投资方案，重点关注投资项目的收益和风险；加强投资收回和处置环节的控制；加强资金营运全过程的管理，统筹协调内部各机构在生产经营过程中的资金需求，切实做好资金在采购、生产、销售等各环节的综合平衡等。

第二，采购业务。针对采购计划安排不合理、市场变化趋势预测不准确，或者供应商选择不当、采购方式不合理、招投标或定价机制不科学、授权审批不规范，或者采购验收不规范，付款审核不严等控制风险，采购业务指引明确要求：采购业务要尽量集中，避免多头采购或分散采购；要求企业建立采购申请制度，依据购买物资或接受劳务的类型，确定归口管理部门，明确相关部门或人员的职责权限及相应的请购和审批程序；建立科学的供应商评估和准入制度，以及采购物资定价机制；建立严格的采购验收制度，加强采购付款的管理，建立退货管理制度。

第三，资产管理。针对存货积压或短缺，或者固定资产更新改造不够、使用效能低下、维护不当、产能过剩，或者无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患等控制风险，资产管理指引明确要求：企业要采用先进的存货管理技术和方法，规范存货管理流程，明确存货取得、验收入库、原料加工、仓储保管、领用发出、盘点处置等环节的管理要求，充分利用信息系统，强化会计、出入库等相关记录；根据各种存货采购间隔期和当前库存，合理确定存货采购日期和数量；加强房屋建筑物、机器设备等各类固定资产的维护、清查、处置管理，重视固定资产的技术升级和更新改造，强化对生产线等关键设备运转的监控，严格执行固定资产投保政策，规范固定资产抵押管理；加强对品牌、商标、专利、专有技术、土地使用权等无形资产的管理。

第四，销售业务。针对销售政策和策略不当、市场预测不准确、销售渠道管理不当，或者客户信用管理不到位、结算方式选择不当、账款回收不力，或者销售过程存在舞弊行为等控制风险，销售业务指引明确要求：合理确定定价机制和信用方式，灵活运用多种策略和营销方式；关注客户信用状况、销售定价、结算方式等内容，明确双方的权利和义务；企业销售部门要按照经批准的销售合同开具相关销售通知，发货和仓储部门要严格按照销售通知所列项目组织发货；完善客户服务制度，加强客户服务和跟踪；完善应收款项管理制度，加强应收款项坏账的管理。

第五，研究与开发。针对研究项目未经科学论证或论证不充分，或者研发人员配备不合理或研发过程管理不善，或者研究成果转化应用不足、保护措施不力等控制风险，研究与开发指引明确要求：企业要结合研发计划，提出研究项目立项申请，开展可行性研究，编制可行性研究报告；研究项目要按照规定的权限和程序进行审批，重大研究项目应当报经董事会或类似权力机构集体审议决策；加强对研究过程的管理，合理配备专业人员，严格落实岗位责任制；建立和完善研究成果验收制度；界定核心研究人员范围，签署保密协议，并在劳动合同中约定研究成果归属、离职条件、离职后保密义务、违约责任等内容；加强研究成果的开发与保护，形成科研、生产、市场一体化的自主创新机制。

第六，工程项目。针对工程立项缺乏可行性研究或者可行性研究流于形式、决策不当，或者项目招标暗箱操作、存在商业贿赂，或者工程造价信息不对称、技术方案不落实、概预算脱离实际等控制风险，工程项目指引明确要求：企业应当根据发展战略和年度投资计划，提出项目建议书，编制可行性研究报告，并组织内部相关机构专业人员进行充分论证和评审，在此基础上，按照规定的权限和程序进行决策；采用公开招标的方式，择优选择具有相应资质的承包单位和监理单位，规范工程招标的开标、评标和定标工作；加强工程造价的管理，明确初步设计概算、施工图预算的编制方法，按照规定的权限和程序进行审核和批准；加强对工程建设过程的监控，实行严格的概预算管理和工程监理制度；及时编制竣工决算，开展竣工决算审计，办理竣工验收手续；建立完工项目后评估制度，并以此作为绩效考核和责任追究的依据。

第七，担保业务。针对企业对担保申请人的资信状况调查不深、审批不严或越权审批，或者对被担保人在担保期内出现财务困难或经营陷入困境等状况监控不力，或者被担保人和提供担保人在担保过程中存在舞弊行为等控制风险，担保业务指引明确要求：企业要对担保申请人进行资信调查和风险评估，并出具书面报告；加强对子公司担保业务的统一监控，企业内设机构未经授权不得办理担保业务，为关联方提供担保的，与关联方存在经济利益或近亲属关系的有关人员在评估与审批环节应当予以回避；根据审核批准的担保业务订立担保合同，定期监测被担保人的经营情况和财务状况；加强对担保业务的会计系统控制，建立担保事项台账；规范对反担保财产的管理，妥善保管被担保人用于反担保的财产和权利凭证，定期核实财产的存续状况和价值；担保合同到期时，全面清理用于担保的财产、权利凭证，按照合同约定及时终止担保关系。

第八，业务外包。针对外包范围和价格确定不合理、承包方选择不当，或者业务外包监控不严、服务质量低劣，或者存在商业贿赂等控制风险，业务外包指引明确要求：合理确定外包业务范围，综合考虑成本效益原则，权衡利弊，避免将核心业务外包；拟定业务外包实施方案，按照规定的权限和程序审核批准；择优选择外包业务的承包方，签订外包合同，合理确定外包价格，严格控制外包业务成本；注重与承包方的沟通与协调，并对承包方的履约能力进行持续评估。

第九，财务报告。针对企业财务报告的编制违反法律法规和国家统一的会计准则制度，或者企业提供虚假财务报告、误导财务报告使用者，或者不能有效利用财务报告、难以及时发现企业经营管理中的问题等控制风险，财务报告指引明确要求：企业编制财务报告时，要重点关注会计政策和会计估计；根据登记完整、核对无误的会计账簿记录和其他有关资料编制财务财告，做到内容完整、数字真实、计算准确，不得漏报或者随意进行取舍；企业集团还应编制合并财务报表，明确合并财务报表的合并范围和合并方法，如实反映企业集团的财务状况、经营成果和现金流量；及时对外提供财务报告；重视财务报告分析工作，全面分析企业的经营管理状况和存在问题，财务分析报告结果应当及时传递给企业内部有关管理层级。

（三）控制手段类指引

第一，全面预算。针对企业不编制预算或预算不健全，或者预算目标不合理、编制不科学，或者预算缺乏刚性、执行不力、考核不严等控制风险，全面预算指引明确要求：企业要建立和完善预算编制工作制度，明确编制依据、编制程序、编制方法等内容，确保预算编制依据合理、程序适当、方法科学；按照上下结合、分级编制、逐级汇总的程序，编制年度全面预算；加强对预算执行的管理，认真组织各项生产经营和投融资活动，定期召开预算执行分析会议，妥善解决预算执行中存在的问题；建立严格的预算执行考核制度，必要时可实行预算执行情况内部审计制度。

第二，合同管理。针对企业未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈，或者合同未全面履行或监控不当，或者合同纠纷处理不当等控制风险，合同管理指引明确要求：对于影响重大、涉及较高专业技术或法律关系复杂的合同，应当组织法律、技术、财会等专业人员参与谈判，必要时可聘请外部专业人员参与相关工作；谈判过程中的重要事项和参与谈判人员的主要意见，应当予以记录并妥善保存；按照规定的权限和程序与对方当事人签署合同；加强合同信息安全保密工作；遵循诚实信用原则严格履行合同，对合同履行实施有效监控；建立合同履行情况评估制度，至少于每年年末对合同履行的总体情况和重大合同履行的具体情况进行分析评估，对分析评估中发现的不足或问题应及时加以改进。

第三，内部信息传递。针对企业内部报告系统缺失、功能不健全，内容不完整，或者内部信息传递不通畅、不及时，或者内部信息传递中泄露商业秘密等控制风险，内部信息传递指引明确要求：企业应当根据发展战略、风险控制和业绩考核要求，科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映与企业生产经营管理相关的各种内外部信息；制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台；拓宽内部报告的渠道，通过落实奖惩措施等多种有效方式，广泛收集合理化建议；企业各级管理人员要充分利用内部报告管理和指导企业的生产经营活动，有效利用内部报告进行风险评估，确定风险应对策略。

第四，信息系统。针对信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，或者系统开发不符合内部控制要求，授权管理不当，或者系统运行维护和安全措施不到位等控制风险，信息系统指引明确要求：企业要根据信息系统建设整体规划提出项目建设方案，按照规定的权限和程序审批后实施；将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能；加强信息系统开发全过程的跟踪管理，组织独立于开发单位的专业人员对开发完成的信息系统进行验收测试，做好信息系统上线的各项准备工作；加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题；重视信息系统运行中的安全保密工作，确定信息系统的安全等级，建立不同等级信息的授权使用制度、用户管理制度和网络安全制度。

三、“六大不足”和“十大关系”

把握关键抉择，企业需要认清“六大不足”：一是董事会与管理层对内部控制的认知停留在“文本”层面，对于有效执行缺乏有力、有序的指导；二是未能关注公司层面的控制，治理结构形同虚设；三是缺乏实施内部控制的专业技术人才，以及有效的监督考核机制，使内部控制流于形式；四是过于关注内部控制短期效果而忽视长效机制的建立；五是未能将内部控制要求与日常运营工作有机结合；六是信息系统薄弱或未能将信息系统与内部控制要求紧密结合。

把握关键抉择，企业需要协调“十大关系”：第一，内部控制与公司治理的关系；第二，内部控制与风险应对的关系；第三，内部控制与内部审计的关系；第四，内部控制与外部监管的关系；第五，内部控制与企业目标的关系；第六，内部控制与财务报告的关系；第七，对标借鉴和具体实际的关系；第八，控制强化与效率提高的关系；第九，集中建设与持续改进的关系；第十，自我评价与外部评价的关系。

把握关键抉择，核心在于内部控制执行。“我们必须始终如一地遵守内部控制，直到被伤害为止。”一位美国内部控制专家如是说。

四、内控实务的总体考虑

根据笔者的经验体会，特定企业的内部控制体系设计一般分为四个阶段：

第一阶段，调研阶段。利用调查问卷等手段，进行全面、细致的调研访谈。

第二阶段，流程诊断阶段。在充分调研了解情况的基础上，对控制流程运行的实际效果进行全面、系统的梳理，对流程中内控环节的全面性、适用性、有效性进行分析，对流程运行可能存在的内控缺陷以及适当的调整和补救措施进行剖析。

第三阶段，《内部控制操作手册》和《内部控制评价手册》形成阶段。制定具有可理解性、可操作性的手册，以涵盖控制目标、控制程序、关键控制点、监督检查、自我评价等内容。

第四阶段，培训阶段。针对执行中的问题和实施中的意见，进行点对点培训。

通过内部控制环境的变革以及业务流程的梳理和优化，促进管理向标准化、系统化转变，实现管理工作的集中、流程的透明、过程的控制以及信息的共享。

推进内部控制规范建设，企业要坚持“优化”、“固化”和“E化”三步走的策略。

所谓“优化”，是指在现有流程的基础上，完善流程中欠缺的内控环节，对不适用、不恰当的控制环节进行调整，对流程的内控效果、运作效率进行优化。

所谓“固化”，是在“优化”的基础上，通过流程执行检查、量化考评等手段，使优化后的流程标准能够顺利贯彻实施，使流程标准成为关键管理人员自觉的行为习惯。

所谓“E化”，是“固化”的进一步延伸，通过建立一体化的信息平台，将流程标准的运作通过管理信息系统来实现，使内部控制由“人控”变为“机控”，以最终实现内部控制规范化、平台化、透明化的控制目标。

推进内部控制规范建设，注册会计师能够发挥更多专业特长：开展内部控制审计服务，促进企业持续完善内部控制；向企业提供咨询，支持企业完成集中建设和持续改进；提供培训，传播内部控制理念与方法；总结实践经验，参与企业内部控制规范的制定与完善；积极参与国际交流，促进内部控制标准的趋同与等效。

“一个人做一件好事并不难，难的是一辈子做好事，不做坏事。”设计内部控制制度类似于“做一件好事”，不算太难，但执行内部控制制度类似于“一辈子做好事”，很有难度。唯其有难度，才进一步验证了内部控制规范建设是企业可持续发展的关键抉择。■

责任编辑 刘黎静