（一）商业贿赂在企业风险管理中的控制点

1.内部环境。包括风险管理哲学、风险文化、诚信和道德观、组织结构和人力资源政策等。商业贿赂是对企业道德文化的侵蚀，是对企业内部环境的破坏，使企业缺乏凝聚力和创造力。

2.目标设定。企图通过商业贿赂获利的企业，只看到某些短期利益，而忽视了企业做大做强的长期战略目标；通过商业贿赂获取的竞争机会，不利于企业产品质量的提高和竞争优势的体现，从某种程度上损害了经营目标的实现；由于商业贿赂的隐蔽性，只能通过虚假的会计信息反映，最终导致财务报告失真；商业贿赂是一种违法行为，必然影响到企业合规目标的实现。

3.事件识别。指识别影响事件的内外部因素。潜在的事项对企业可能有负面影响，也可能有正面影响，或者两种影响同时存在。对于商业贿赂，管理层应衡量利害得失，进一步认清其负面影响。

4.风险评估。使企业了解潜在事项对企业的正面影响和负面影响，以及如何影响企业目标的实现。

5.风险应对。企业应对风险的措施包括规避风险、减少风险、共担风险和接受风险四类。企业应针对商业贿赂可能发生的环节，设计和执行风险应对方案。

6.控制活动。它贯穿于企业各项业务流程之中，包括了不相容职责的分离、授权与控制、岗位设置、充分的会计记录、业务的独立审核等。针对商业贿赂问题，许多企业没有制订相应的控制政策与程序，或者存在相关政策和程序但没有切实执行。

7.信息与沟通。一个良好的信息与沟通系统有助于提高内部控制的效率和效果。在商业贿赂中，企业通过虚构的经济交易、伪造的业务凭证来掩盖商业贿赂行为，产生“假象”，造成企业内部信息沟通“堵塞”，误导外部信息使用者的判断决策，加剧“信息不对称”。

8.监控。包括持续监控和个别评价，或者两者结合。企业风险管理是一个动态过程和有机整体，企业必须在前面七个控制点上引入监控措施，对这一动态过程不断进行反馈修正，以更好地防范商业贿赂的发生。

（二）防范商业贿赂的风险管理对策

1.管理层应树立正确的领导方针。企业需要诚信的价值观，管理层是这种价值观的积极实践者。董事会应当对企业的经营决策起到真正的引导作用，监事会应对各项决策的执行起到有效的监督作用。企业的管理层应当以身作则，用制度来规范各项经济活动，以实现全体员工对风险管理的参与，营造一个良好的反商业贿赂的控制环境。

2.制定明确的反商业贿赂的风险管理目标。笔者认为应该在正确战略导向的基础上，制定合理的经营目标、明确的报告目标和严格的监管目标。企业要实现上述目标，避免商业贿赂风险造成的损失，要抓住三个要素：机会、概率和成本。设计严密的内部控制制度，减少违规行为发生的机会；加强过程监督，提高违规行为被发现的概率；实施严厉的处罚措施，提高违规者的成本。

3.构建有效的风险评估和应对机制。企业应分解、落实各部门、各岗位的职责，并对各环节的控制状况进行检查、评价和考核，强化风险管理责任。应根据易发生商业贿赂的高风险领域，确定风险控制的重点环节。企业的采购与销售部门是商业贿赂的多发区，对于这些部门及人员的风险评估应更加谨慎，风险的应对措施应更明确具体。同时，企业的管理层也是商业贿赂的高发人群。一个设计良好的内部控制系统也会因为集体舞弊或管理层舞弊而失效。这种情况下，只能通过注册会计师的外部审计，对企业内部控制情况进行评估，帮助企业防止和发现管理层的道德逆向行为。

4.构建畅通的信息传递途径。商业贿赂行为对企业财务状况的影响难以量化，因此其表内确认是相当困难的。在现行财务报告模式下，此类信息更多是通过财务报告附注等方式进行表外披露。这就需要政府相关监管部门进一步明确表外披露的强制性规定，包括具体的披露标准和相应的审计准则。与此同时，企业财务部门要充分利用会计信息系统，清晰地记录和反映业务流程和会计信息，向管理层和其他使用者提供内部控制的各项信息，使得企业信息传递途径保持畅通。

5.发挥内部审计的再监督职能。内部审计人员应在企业制定全面风险管理策略时参与，重点关注可能引发商业贿赂风险的因素是否得到有效控制；业务流程是否能够满足防范商业贿赂风险的需要；信息渠道是否能够为管理层提供足够可靠的信息等。内部审计师一旦确认企业存在商业贿赂或将其评价为高风险时，应及时向董事会或审计委员会报告，以便决策层采取积极的应对措施，并有权督促内部审计建议的落实。■

责任编辑 张璐怡