7月10日晚，由财政部会同证监会、审计署、银监会、保监会共同制定的《企业内部控制基本规范》(下称“《规范》”)[全文]正式发布，提高企业经营管理水平和风险防范能力再次成为监管重点。

　　值得注意的是，这份自2009年7月1日起开始施行的《规范》，强制性在上市公司范围内施行，同时鼓励非上市的大中型企业执行。这在目前大股东侵占上市公司资金有所抬头的情况下，无疑是加强内控防范风险的重要举措。

　　《规范》所称的内部控制，涉及企业董事会、监事会、经理层以及全体员工。而内控的目标就是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

　　首先在企业内部环境上，《规范》要求企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确股东大会、董事会、监事会和经理层在决策、执行、监督等方面的职责权限，以形成科学有效的职责分工和制衡机制。

　　其中董事会要负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。

　　企业还被要求加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。

　　同时要求企业加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。

　　实际上，在监管部门近期处罚的一起大股东占用上市公司资金案中，该董事长自我总结时即称其“法律意识淡薄、规范意识不强，没有意识到会有如此严重的后果”。

　　值得注意的是，在发布《规范》的通知中，对上市公司有明确要求，即上市公司应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，同时可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。

风险评估与控制

　　根据《规范》，企业要及时进行风险评估，即及时识别、系统分析经营活动中与实现内部控制目标相关的内部和外部风险，确定相应的风险承受度，合理确定风险应对策略。

　　其中包括企业要合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。

   《规范》还列出了企业可应用的一些风险应对，应对比如风险规避、风险降低、风险分担和风险承受等，实现对风险的有效控制。

　　比如对超出风险承受度的风险，企业可以通过放弃或者停止与该风险相关的业务活动以避免和减轻损失；而在权衡成本效益之后，企业可采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内。

　　当然，在进行风险分析时，企业要充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。

　　此外，《规范》还列出了专门的控制措施，包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

　　比如“不相容职务分离控制”，即企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

　　而财产保护控制，则是要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。同时严格限制未经授权的人员接触和处置财产。

　　建立反舞弊机制

　　《规范》明确要求，企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

　　在前述监管部门处罚的大股东挪用上市公司资金案中，该公司董事长即串通出纳将上市公司资金挪用给集团公司使用，规避了公司内控及相关的公司治理程序，涉嫌舞弊。

　　“未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。”被明确要求作为反舞弊工作的重点。

　　此外，还有另外三种情形：在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等；董事、监事、经理及其他高级管理人员滥用职权；相关机构或人员串通舞弊。

　　“显然，这一规定将对巩固此前监管部门艰苦卓绝的‘清欠’成果，直接防范大股东利用各种途径挪用或者侵占上市公司资金的状况。”一位接近监管部门人士说。

　　与反舞弊机制相配套，《规范》要求企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。

    【作者：于海涛 来源：21世纪经济报道】