咬定内控不放松 信息管控为先锋

今年，财政部、证监会、审计署、银监会、保监会联合颁布《企业内部控制基本规范》。该规范成为我国金融业加强内控的一个良好契机。通过对规范的实施，可以帮助金融企业建立有效的内部控制机制，满足企业对提高管理水平的迫切需求，也可加快实现与国际要求的接轨。本期专题将围绕“金融业如何适应基本规范的要求，全面提升内控管理水平”这一话题展开，愿为全球金融危机大环境下的中国金融企业提供一些有益的思考。

内控，对于金融业来说，既显稀松平常又是重中之重。抓好了内控，就宛如扼住了命运的喉咙，企业生存发展尽在掌握；放松了内控，则“千丈之堤，溃于蚁穴”，企业大厦必将根基不稳，摇摇欲坠。

今年6月28日，有“中国萨班斯法案”之称的《企业内部控制基本规范》由财政部、证监会、审计署、银监会、保监会联合颁布。“基本规范”将自2009年7月1日起首先在上市公司范围内施行。业内人士一致认为，该规范的推出将成为我国金融业加强内控的一个良好契机。

金融企业需要建立一个长效的、根植于企业内部各业务流程的内部控制持续改进机制。这一机制的建立，将使金融企业得以不断根据内、外部环境的变化完善企业治理结构，促进组织架构合理化，优化内部流程，疏通企业信息沟通渠道，提高财务信息质量，提高业务决策的准确性，从而全面提高企业的管理水平和核心竞争力。

借力“中国萨班斯法案” 金融企业加大内控力度

“基本规范”之所以被业界看作是“中国萨班斯法案”，主要因为它是参照美国于2002年7月30日颁布的《2002年萨班斯-奥克斯利法案》而制定。号称“美国会计改革的号角”的萨班斯法案对公司治理、会计师行业监管、证券市场监管等方面提出了严格要求，并设定了内控风险管理的问责机制和相应的惩罚措施。

同样，“基本规范”也被看作是一部中国的会计改革法案，标志着我国将全面加强对企业财务会计制度及内部控制的监管。“基本规范”的一大突破是：科学界定了内部控制的内涵，强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，有利于树立全面、全员、全过程控制的理念。

以往银监会、证监会也颁布了相关的内控指引、规范，与“基本规范”相比，有何异同之处？该规范对金融业提高内控水平有何影响？德勤企业风险管理服务华北区主管认为，“基本规范”作为中国权威的内部控制框架理论标准和基本要求，为金融企业建设内部控制体系提供了坚实的理论指导。同时，“基本规范”与金融监管机构制定的内控指引又各有侧重，互为补充。两者除适用性不同、作用不同、对内控评价的要求不同之外，最主要的是关注点不同。此外，证监会、上交所和深交所也曾对上市公司内部控制提出一些要求，但对何为内部控制，良好的内部控制应当具备哪些要素并未做明确规定。因此，“基本规范”的出台也很好地填补了这一空白，并为各机构、各部门的监管提供了一个统一、协调的口径和标准，以促进具体监管要求保持互相协调一致。

总之，这部新规的推出，更意味着中国企业内部控制规范体系建设与国际标准的接轨进入提速阶段。通过对“基本规范”的实施，我国金融业可以尽快实现与国际接轨，不断提高国际竞争力。

破除重重阻碍 保驾金融企业内控体系构建

尽管加强内控对于提升金融企业价值之“利”显而易见，但非内生性的内控执行问题和监管的高磨合成本，让政府与企业都感到头疼。这些矛盾在当前全球经济危机之际，显得格外令人担忧。

在经济危机中启动国内金融企业的转型升级，最稳妥的步骤是优先建立并健全企业的风险内控体系，同时完善外部的监控环境，将转型升级的风险控制在企业可承受的范围之内。然而，这个最稳妥的步骤在当前依然困难重重。一方面，内控与风险管理是企业发展的大势所趋，但内控标准属于企业经营自主权范畴，政府的检查无法全面充分地了解企业内控成效。另一方面，企业在具体执行上，遇到很多问题。比如，内控制度在员工内部普及程度不高；企业重大风险事项的事先预警准备不足；总行对下属分支行重要内控事项很难实时监控；不能做到长期有效的跟踪和改进内控制度。

这使得金融企业内控制度的有效执行存在复杂多变性。为了解决这一问题，有些企业早已提前进行了内部管控尝试，尤其是那些在内地、香港、美国三地上市的企业，已经正式推行了内部控制体系的建设，将运营、控制、信息三大系统有机结合。在企业内控体系建设过程中，审查监督汇报机制的建立尤为关键，而其中的技术核心就是整合信息系统资源，以企业信息资源计划项目的实施为核心，统一系统规划、统一数据标准、统一技术标准，建立起网络化的控制信息系统。由此，金融企业可在此基础上创建一整套全面内部控制体系。

从信息化入手 全面提升金融企业管理水平

“基本规范”总则第八条指出：“企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制”。可见，IT技术及应用系统控制的运用是金融企业建立一个可有效持续运作的内控体系所必需的组成元素。

“为贯彻实施基本规范，很多企业已经逐步构建了内控与风险管理的各种制度体系，但真正借助信息化系统刚性实施内控与风险管理者，还为数甚少。”用友公司高级副总裁表示。

在内部环境上，可以建立集中统一的数据中心和信息平台，提供内部IT的控制环境；在风险评估上，内控信息平台可以提供对风险指标的管理、分析评估和预警监控，使得风险管理的过程可以借助IT工具实现，辅助企业管理人员的决策。在控制活动上，内控信息平台可以提供企业基础档案和财务核算规则、业务控制流程和规则的企业控制方案，以及财务会计平台，达到业务处理的规范化、标准化和财务描述的自动化；在信息和交流上，内控信息平台将各种风险信息第一时间以图表方式，通过手机、邮件、即时通讯、PDA电脑等各种媒介与风险管理者和应对负责人进行交流和沟通；在内部监管上，内控信息平台所提供的内控审计和工作流配置平台，将持续跟踪和改进、调整企业内控与风险机制的执行与设计，从而不断适应企业发展的需要。总之，内控信息平台可以将内控规范与日常业务运作相结合，协助金融企业实现实时监控、内控预警，建立管控体系以及长期有效的内控审计监督机制，并持续跟踪改进内控风险管理体系，从而构成企业内控与风险管理的全面防护系统。

虽然“基本规范”将于2009年7月1日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行，但金融企业如果能提前着手适应“基本规范”的要求，那么，就能以加强内控带动风险管理能力的提升，企业整体经营管理水平也必将登上一个更高的台阶。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友