2008年国家五部委《企业内部控制基本规范》简介

1．目的及对上市公司的要求

国家五部委制定的《企业内部控制基本规范》，旨在加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益。

《企业内部控制基本规范》于2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。

《企业内部控制基本规范》坚持立足于我国国情、借鉴国际惯例，确立了我国企业建立和实施内部控制的基础框架，并取得了重大突破。它科学地界定了内部控制的内涵，强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。同时准确定位内部控制目标，要求企业在合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果的基础上，着力促进企业实现发展战略。

2．总则

《企业内部控制基本规范》在总则中不但给出了内部控制的定义和目标，同时也合理地确定了内部控制的原则并统筹构建了内部控制的要素。

企业建立与实施内部控制，应当遵循下列原则：

全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。

重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。

制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。

《企业内部控制基本规范》在形式上借鉴了COSO内部控制框架的五要素，同时在内容上体现了风险管理八要素框架的实质，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。

3．内部环境

内部环境是内部控制体系建设的基础，是有效实施内部控制的保障，直接影响着内部控制的贯彻执行、集团经营目标及整体战略目标的实现，包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等内容。

4．风险评估

风险是指未来的不确定性对集团实现其目标的影响。风险评估是及时识别、科学分析和评估影响集团目标实现的各种不确定因素并制定应对策略的过程，是实施内部控制的重要环节。在风险评估中，既要识别和分析对实现目标具有阻碍作用的风险，也要发现对实现目标具有积极影响的机遇。

5．风险应对策略

风险应对策略是指选择和运用具体措施对风险进行管理的过程，主要是在风险分析评价完成后，企业确定如何应对风险，并将方案付诸实施。风险应对的目的是将剩余风险控制在风险承受度以内。风险管理的最终目的是利用企业现有的资源对企业所面临的风险，分不同情况采取措施进行应对。

风险应对策略主要有以下几种基本类型：

风险规避：是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。

风险降低：是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。

风险分担：是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。

风险承受：是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。

6．控制活动

控制活动是指企业根据风险评估结果，采取相应的控制措施，将风险控制在可承受范围内。

控制活动是确保管理层关于企业经营管理指令得以贯彻执行的政策和程序，它存在于整个企业所有级别的分支机构、职能部门和子孙公司，通常包括不相容职务分离、授权审批、会计系统、财产保护、预算、运营分析、绩效考评控制等。

企业应当根据内部控制目标，将控制措施与风险应对策略相结合，对各种业务和事项实施有效控制。此外，企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

7．信息与沟通

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，以促使职责的履行。该指引主要强调了信息采集、信息沟通、信息系统、反舞弊机制等方面的内容。

8．内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性的持续过程，包括日常监督、专项监督、控制缺陷跟踪和内部控制评价等要素。

9．《企业内部控制基本规范》发布的意义

一直以来，我国企业内部控制体系建设总体处于起步阶段，在国内一直没有统一的内部控制规范。《企业内部控制基本规范》的发布是我国企业内部控制体系建设的里程碑，具有非凡意义。美国COSO委员会主席瑞腾博格在《企业内部控制基本规范》发布会的书面致辞中称赞说，中国新发布的《企业内部控制基本规范》与包括COSO报告在内的世界领先的内部控制框架在所有主要方面保持了一致。可见，《企业内部控制基本规范》的发布标志着我国内部控制建设正在与国际领先水平逐步接轨。