上市公司CIO 内控管理和信息化建设

财政部会计司综合处处长，内控标准委员会家成员胡兴国

中国石油化工股份有限公司信息系统管理部处长姜林

用友公司NC产品架构师付建华女士

河北网通信息化部高级工程师屈玉阁

浪潮通软副总裁兼技术总监魏代森

中国铝业信息部的杨磊

国际信息系统审计师协会北京事务委员会主席何迪生

摩卡软件高级售前顾问周立民

EMC信息安全事业部中国区资深技术顾问冯崇彪

信息中心主任张艳

下面我们有请财政部会计司综合处处长，内控标准委员会家成员胡兴国。

胡兴国：各位领导，嘉宾，上午好。

今天能有这个机会我想给大家汇报一下财政部会同另外四各部位关于标准建设实施情况，我汇报情况叫我国企业内部控制标准建设与实施。

汇报5个问题，一个是我们启动标准建设的规定，第二就是汇报我们企业内部控制建设历程，第三简单汇报一下标准建设框架体系，第四简单介绍一下信息化，风险管理与内部控制关系，最后大家探讨一下企业在事实内控标准应该做一些什么工作。

第一部分是就是它的意义，我从三个部分进行总结，大家知道去年5月11日，财政部，证监会，保监会，还有审计署同时颁发了基本规范，我们也在北京召开了发布会标志着我们国家企业内部控制标准建设，有了重要阶段性成果。

当前世界金融危机给我们国家造成很多机遇，我们做了一个调研企业加强内部建设，提升自身的能力是非常重要。第二就是中央提出走出去战略，国家起草规范和技术出发点，要企业做强做大，帮助他们国外资本市场进行融资，特别是是美国，英国，法国，包括我们香港都有一些要求。

第三就是满足我们资本市场发展需要，我们国家资本市场公开，公平，公正，提高财政的信息质量，提升我们经营管理水平，可持续发展，还有保护我们广大投资者利益。

第二部分就是发展历程，我们国家企业内部控制建设从70年代就是改革开放以后，特别是我们第一部会计法的实施，这是一个标准性阶段。在满足社会不同需要，在这个过程我们出现过满足核算制度等等。早在70年代末期，80年代初，包括我们提出岗位分离等等。90

年代的时候，特别是我们会计法实施的时候财政部96年发布会计规范，规范要求各单位进一步建立健全包括内部控制先进内部会计管理制度，会计法明确要求各单位建立内部管理，这是我们内部管理的法律依据，到2001年6月22日，财政部依据会计法规定又制定了企业内部会计控制规范，基本规范和后备资金，04年相继发布了销售与收入增加，发布了1+6的等各项制度。

第三阶段以我们发布的金融规范，来源主要是美国安然事件以后，采捕正有关领导，把安然事件对我们国家的意义报个国务院，国务院领导同志做了批示，这项工作财政部牵头，证监会，国资委配合，建立中国的塞班斯法，到2007年，财政部，银监会，国资委等联合发起成立我国企业内部标准委员会，委员会委员是31位，我们成立了8个咨询小组，8个小组去年我们把这个小组又扩大了，委员从31名发展大50人，咨询小组现在有150人，当时我们发布规范发布了17项具体规范。我刚才说5月22日我们发布节本规范，要求7月1日正式实施。

第三部分给大家汇报一下，基本规范的框架体系。框架体系是一个规范加三个指引，一个是基本规范已经发布了，内部标准体系是最高层次，有的人说是中国的塞班斯法，第二是主要是对企业，对企业有内控企业的主体。帮助企业建立体系，第三系评价指标，是企业内部必须做的评价包括自我评价，怎么评价。第四是审计指引，会计事务所执行内部审计。

基本规范主要是有概念，目标，原则，要素。我们提出了概念，当时我们国家内部控制很多部门都有，包括我们银行，银监会，包括我们的证监会，包括我们两个交易所，我们部门把概念统一一下。目标有三个目标，我们提出5个目标，我们是5目标，原则，要素。

应用指引，给我们发布了征求意见，目前21个应用指引，加上审计指引，加上评价指引，一共是23个，我们财政部部长签发了，审计署也签了。我们应用指引主要是21个分布，一个是针对企业管理，我们根据基本规范有5个一个是统一架构，一个是发展战略，一个是人力资源，还有社会责任和企业文化。这5个我们是怎么每一个构架都差不多，我就举一个社会责任框架，我们第一就是整合，提出它的概念什么是社会责任，我们再提出中心有哪些，社会责任我们提出4个中心点，安全生产，不落实可能导致企业生产事故，第二产品质量恶劣，会侵害消费者利益，可以导致企业破产，大家知道河北石家庄三鹿开奶粉事件，第三是环保投入不足，资源消耗大，造成环境污染，资源枯竭，缺乏发展后劲一是一个风险。

第四我们说促进就业和员工权益保护，我们金融危机背景下，扩大就业，保内需，增长，我们从企业角度。第一是控制环境，第二是资源，包括资金活动，我们以融资，投资这一块我们放在一些活动里面，还有采购业务，还有负债管理，销售，研发，工程项目，服务外包等

等。应用指引形式都差不多，比如说采购应用，我们主要是支付环境，包括购买环节，要采购申请，招标，确定供应商，供应价格，报批核准等等，每个环节进行控制，第三是控制手段，包括全面预算，风险管理，内容信息传递，信息系统，财务报告。

第四针对特殊行业或者行业的控制，包括银行业，证券期货业务，保险业务个个应对指引。再说一下就是评价制度，作为企业内部管理涉及到运行效果和自我评价，为了方便起见，我们起草了一个对企业内部控制，内部评价指标，包括内容，标准，程序，方法，包括报告形式，我们选择企业报告的基本是从1月2日，12月31作为一个会计年计表，也可以选择6月30号自查报告也有了新的形式我们参考的深交所还有美国塞班斯法正在研究，报告形式可能要分两部分，第一个是对环境评价，对业务流程通过一些表格，数据一些量化标准。企业怎么判断你的是否存在重大缺陷，下面就是审计制度，主要是事务所接受企业审计。从我们目前起草稿子我们指引分四各类型，一个就是标准，还有在强调时间段和保留意见，还有否定一些意见，还有无法表明一些意见，和我们财务报告差不多，这个也有一些具体指标。我简单汇报一下框架体系。

第四部分我们汇报一下内部控制与风险管理的信息化，我们是怎么理解的。内部控制和风险管理，实际上存在一些争议，理论界对这一问题，人事部统一，有人认为内部控制与风险管理是两回事，两张皮，也有人形象说内部控制是“正确的做事”，风险管理是“做正确的事”。从我们制定基本规范角度出发点，我们认为内部控制和风险管理不是两张皮，应该是一个完整和有机融合，我们认为内部控制主要是企业内容风险，包括你可控风险也包括不可控风险，但是都要做。所以我们基本规范风险评估，有风险识别，分析，经营存在的风险，战略，决策等等。第二对国际先进研究成果与经验看，应该是有机融合的趋势。看与风险之间的感到我们是这样理解的。

那样控制与信与化，信息化会计信息化有财政部会计司也说，80年代我们在全国积累了很多经验，在电算化的一些标准，08年11月12日我们财政部会同其他8大部委在北京成立会计信息化，包括还有XBRL中国地区组织。经过20多年的努力，在会计信息化工作方面给我们发了一个指导意见，这项工作从我们司角度，已经成为工作重点。会计信息化与内部控制信息化还是有一点区别，这一方面从我们内控角度，我们单独有一个信息系统这方面的指引，我相信这个会内部控制好，要做得好，对大多数企业来说很重要的。随着科技发展水平越来越先进，所以信息化一定要跟内容控制有机融合起来。信息系统我个人理解不仅是本身需要控制，最主要是在内容控制和风险管理中，能发挥很大的作用，提高工作效率，能够节约很多成本。

第五部分，我汇报一下企业如何实施内容控制规范。我们知道原来定今年7月1日上市公司开始实施，考虑到因为我们一系列的具体的应用目前还没有发布，加上我们审计指引，发布以后还要有一段时间消化吸收还要有一个过程，由于金融危机影响，我们调研一些企业他们关注点说法不一样，有的说我们现在经济不景气，我们练内功吧，有的关注不是这个关注经济增长率，所以经过部里面领导多年的慎重研究，目前我们调整到2010年1月1日，原来是在境外上市公司实施，考虑到情况其他上市公司、其他企业也执行。这套体系下来已经做