我国在境内外同时上市的近60家公司目前已经进入全面施行《企业内部控制基本规范》（下称“《基本规范》”）的“倒计时”。

日前，由东北财经大学中国内部控制研究中心承办的中国会计学会内部控制专业委员会2010年年会在大连召开。由于企业在施行《基本规范》过程中总是会碰到各种棘手问题，各界专家、学者在会上就此展开热议。

企业规章制度VS内控手册

到底是将规章制度融入内控手册，还是保持两者相互分离，这个问题困扰了不少准备全面施行或者正在《基本规范》的企业。

大连港集团副总经理、总会计师张凤阁在内控体系建设中发现，由于大连港集团是一个涉及行业非常广泛的大型企业集团，公司已有的管理制度和内控流程非常多而且繁琐，如果要把这些管理制度都融入到企业内控手册中，那么这本内控手册的厚度难以想象。

据了解，部分企业采取的做法是通过风险评估，将容易导致重大问题的风险点写入内控手册，同时在日常管理中遵循企业的规章制度。但是，南京大学会计与财务研究院院长杨雄胜认为，这样做会让企业在制作内控手册时产生“标准不统一”的问题，即什么该由内控手册来规范，什么该由企业规章制度来规范，区分不是特别清晰。

实际上，对内控手册的理解不同，编制形式也就不同。中国平安保险（集团）股份有限公司合规部副总经理张云平将其总结归纳为4种：规章制度汇编式、内控工作程序和方法指导式，、控制矩阵式、融合式。比较上述四种形式，中国平安的做法是对融合式内控手册进行改进，建立电子信息共享平台，既实现动态更新的关联，并支持按照流程、岗位来检索内部控制要求。

风险评估怎么做才算“到位”

企业在内控体系建设中碰到的疑惑显然不止上述一个。安永企业咨询有限公司合伙人王海瑛发现，很多企业之所以内控失效，是因为在建设和完善内控体系过程中没有开展系统的风险评估工作或者缺乏对内部控制的分析和梳理。

不少企业开始反思，风险评估怎么做才算“到位”？对于一个要全面建设内控体系的企业而言，风险评估是必经之路。据中国联通法律与风险管理部处长高级会计师孟猛介绍，目前中国联通建立的内控体系以风险为导向，因此，在风险评估时尽量做到拓宽风险信息收集、识别渠道。

孟猛说，中国联通除了按照传统收集方式识别公司当前各项主要工作和主要业务流程中具体风险点之外，同时还要收集内控评审发现的问题，这些问题可能给公司带来市场、运营、财务等方面的风险；通过客户服务窗口，通过公司客户服务窗口，关注公司热点问题、投诉率较高的问题，从而及时发现风险；通过分析公司的各类诉讼纠纷，对公司可能面临的风险进行识别，并进行相应的风险提示。

不过，企业在风险识别和风险评估时通常采用访谈、讨论等非量化的方式，王海瑛由此强调企业切勿为了风险评估而风险评估，而是要真正落到实处，真正可以提高企业管理水平。

很多企业在内控体系建设过程中，曾经为是否聘请咨询机构而犹豫过。不过，很多“走过来”的企业均表示，一开始可以请咨询机构进行专业帮助，因为企业更了解自身，在掌握了风险评估方法之后可以完全依靠企业员工来逐渐完善内控体系。

至于风险识别和风险评估标准无法量化的问题，金蝶软件（中国）有限公司助理总裁赵亮表示，目前已经有信息化软件可以通过风险修正技术，不断记录风险事件发现风险指标，从而识别风险。

上海财经大学教授、博士生导师朱荣恩说，目前总是用内控失效给企业带来的损失从反面说明实施内控的好处，他呼吁能够研究出一个衡量企业内控正面效益的效率效果模型。

（来源：中国会计报2010年12月3日）