“执行”优先

《首席财务官》：据我们了解，目前在公司的内部控制实践中，内部控制部门与财务部门的归属关系各不相同，有的是内控部门向CFO汇报，有些则是内控部门独立于公司各部门之外，直接向董事会汇报。您认为，在新的规则下，内控的外延变得更加宽泛，企业内什么样的架构是比较合理的？

王海瑛：新规对企业内部的相关架构提出了明确的要求：由董事会而不是董事长负责内部控制的建立健全和有效实施，并新增了监事会对内控内容的监督，而内控机构不再是有条件再设立，必须有专门部门负责。

审计委员会变为必设机构，权力得到扩大。要求企业应当在董事会下设立审计委员会，并应当保证内部审计机构设置、人员配备和工作的独立性；内审机构对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

对于企业而言，一个完善的内控架构，不仅需要符合相关法律法规的要求，更重要的是要从自身的实际情况出发，充分考虑到效率、成本以及实际操作中的若干特性。探索出最适合自己的体系来。只有最适合自己的，才是最好的。

在实践中，很多企业由于自身的种种原因，内部控制部门的职能设置各不相同。但重点在于，这个部门是否有效的执行了相应的职能，而不是这个部门应该被安置在什么样的位置、是否叫作“内部控制部门”。简单的说，问题的关键是如何实现内部控制的实质，而形式则是可以根据公司的实际情况各不相同的。

《首席财务官》：采访中很多CFO表示，将传统的查错纠弊式内控转化为事前防范和威慑与事中查错纠弊相结合的内控体系是他们一直期待出现的局面，但在执行过程中遇到很多障碍和抵制，您认为，CFO该如何利用新规颁布的契机真正实现为企业风险预警的功能？

王海瑛：目前在企业的经营管理中，存在三类较大的风险：一是战略失误，二是成本失控，三是两者兼而有之。如果企业能够建立起一个有效的内部控制体系，并认真贯彻执行，就可以在很大程度上遏制风险的发生；而如果企业只是为了应付监管的需要而进行内控，这样的内控只能是徒增成本，得不偿失。

在风险预警、风险控制方面，我们建议CFO可以从建立健全的财务会计制度入手。健全的财务会计制度对于防范金融风险至关重要。在防范金融风险的全过程中，财务会计贯穿始终，是防范金融风险不可或缺的环节。而本次《基本规范》的一个特点就在于对企业会计审计制度的强调和重视。《基本规范》要求企业应当在董事会下设立审计委员会，审计委员会负责人应具备相应的独立性、良好的职业操守和专业胜任能力；内部审计机构对检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告，对发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告；要求企业依法设置会计机构，配备会计从业人员，大中型企业要设置总会计师，而且设置总会计师的企业，不得设置与其职权重叠的副职。

企业应该根据《基本规范》、《企业财务通则》、《企业会计准则》及其他有关法律法规的要求，从自身的实际特点出发，制订相应的内部财务会计、审计制度，同时严格的将这些制度付诸于具体执行，充分发挥财务会计的监督作用，才能有效的降低金融风险，同时提高自身的经营效率。

强化信息技术安全。近期一系列金融机构中所发生的金融欺诈案例都在提醒我们，强化IT系统安全对于防范欺诈风险的重要性。 随着全球信息技术的快速发展与各行各业信息化的不断深入，信息科技在企业中的应用越来越广，与此同时，由技术问题引发风险造成损失的可能性也在不断加大，这也对信息技术审计提出了更高的要求。

本次《基本规范》强调了企业要建立与其经营管理相适应的信息系统，使得内部控制流程能够和信息系统实现有机结合，从而达到对相关流程的自动控制，以便进一步减少或消除人为操作因素所带来的风险。同时，企业也应该采用先进、完善的信息技术手段，如加强人员权限和密码管理、严格监控数据输入、对所有操作进行详细记录和备份，以确保技术系统的安全运行。

建立风险预警和突发事件应急机制。任何危机或风险都不会是突然爆发的，之前一定会出现某种先兆，对于金融危机和金融风险而言，通常事先都会出现某些经济、金融指标的异常和恶化。所以防范、控制金融风险的一个重要手段就是密切监控这些金融指标，通过对异常动向的及时发现、反馈达到风险控制的目的。

根据《基本规范》的相关要求，企业要全面系统地收集所有信息，及时进行风险评估，并采取适当的风险应对策略，比如购买保险、及时放弃或停止相关活动以减少或避免损失等，实现对风险的分散和有效控制。

严格执行风险管理制度。相对于制订严格的风险管理制度，将这些制度严格的落实到企业实践中才是更为重要的。如果没有良好的执行，再完善的制度也起不到任何作用。除了制定制度之外，企业管理层应该在制度的执行上进行更加严格的监督，才能真正实现风险控制的目的。