为了抢在7月1日完成企业内部控制的建设，许多企业加快了步伐。“我们最近接了十几家公司的项目，他们都很着急。”中天恒会计师事务所总经理李三喜说。
　　在财政部早前的计划中，7月1日是《企业内部控制基本规范》（以下简称《内控规范》）开始实施的时间点。但没有任何预兆，也没有任何公示，财政部悄然推后了《内控规范》实施的时间，改为2010年1月1日开始执行。到2010年年底，执行企业要出具内控自我评价报告。
　　但许多企业到目前为止，依然不知道这个信息。
　　延期的理由
　　《内控规范》被称为中国的“萨班斯法案”（2002年生效主要任务是加强对企业的监管），2008年6月28日，由财政部、证监会、审计署、银监会、保监会联合发布。“延期实施主要是因为还有大量的准备工作要做，例如，指引的会签，不少于半年的企业培训”，财政部会计司司长刘玉廷在接受《中国经营报》记者采访时说。
　　刘玉廷所说的指引是《内控规范》的三个配套文件——《企业内部控制应用指引》、《企业内部控制审计指引》和《企业内部控制评价指引》，“会签起码需要一个月的时间”。
　　需要说明的是，虽然《内控规范》早在去年6月28日即已发布，但事实上，如果缺少在操作细节方面的具体“指引”，企业是很难实施的。
　　除延期外，执行企业的范围也发生了变化。考虑到创业板公司的规模较小，执行《内控规范》的成本较高，因此，要求原来的上市公司先执行的方案改为拟定境外上市公司先执行。而就企业内控水平而言，海外上市公司的水平最高，其次是国内的上市公司，随后是其他未上市的大型企业，中小企业的内控审计建设最为薄弱。
　　不过，在李三喜看来，《内控规范》延期除了刘玉廷指出的因素外，还有其他原因。李三喜的另一个身份是财政部特聘的企业内部控制标准委员会咨询专家，职责是做好《内控规范》的宣传贯彻和配套指引的研究制定工作。
　　“一个很重要的原因是对执行成本的考虑。内控是对企业业务流程的再造，需要增设专门的岗位、专业的人员，制定相应流程，聘请咨询公司做设计，这是一笔不小的开支。如果请国外公司做设计的话，一般需要5000万元左右，请国内公司做设计需要500万元左右。在金融危机下，企业的日子也不好过，这也是财政部为企业着想。”李三喜说。
　　“另外，从执行层面看，《内控规范》和配套指引只是企业的起点，每个企业还要根据自己的实际情况再进行细化，这也需要时间。从技术层面看，年初或年尾实施《内控规范》，要比年中实施好很多，这样便于监控企业一年的情况，否则企业还要有两套体系来执行。”
　　内控机制尚不完善
　　颇有意味的是，《内控规范》延期推出的信息并未在财政部等五部门的网站上进行公告，德勤企业风险管理服务合伙人谢安用一贯的审慎态度表示：“目前，我们并未接到有关《内控规范》实施日期推迟的正式文件，如果推迟，无论是对于企业还是监管者，甚至是对注册会计师来说，都是一个务实而且周到的调整。从国外的经验来看，一些大型企业实施内部控制的准备时间也一般都在两年及两年以上。从目前到推迟后企业出具内部控制自我评价报告的截止日还有近两年的时间。”
　　从美国实施萨班斯法案的经验来看，监管者也考虑到实施中可能出现一些困难，如一些企业可能会由于时间有限而使实施流于形式，或在短期内无法完成内部控制的建设工作，为了避免这些情况，保证实施的效果，萨班斯法案的实施也是将实施范围内的公司分为三个类别，并分别数次推迟了这三类公司正式实施的时间。
　　从中国企业内控的现状来看，推迟《内控规范》的实施有充分的理由。德勤连续两年对国内上市公司的内部控制实施状况进行了跟踪调查，调查发现，有56％的公司没有建立或现有内部控制机制尚不完善，72％的公司认为其公司没有持续监控内部控制的有效机制，与2007年相比，在持续监控方面未得到任何改善。
　　“企业应当考虑如何将内部控制的理论框架转化为对实际工作的具体指导，如何将内部控制的要求与公司的业务流程进行有机地结合，以及如何建立有效的内部控制监督机制。另外，企业可能还会面临部门职能划分、岗位设置、职责分工等与内部控制相关联的一系列棘手问题。”谢安说。
　　中天恒为100多家企业做过内控设计，李三喜说：“做企业内控设计咨询很费劲，一方面是因为中国的许多企业是人治而不是法治，另一方面是实施内控的关键是企业领导要对此有足够的重视，而且内控主要控制的是领导人的行为，他们会觉得因此而被控制是件很难受的事。对此，我们有时会偷换概念，告诉企业的领导层，内控为了利于他控制底下人。”
　　工作中，李三喜接触过形形色色的企业，甚至有时他会习惯性地先询问：做内控是企业真正需要还是为了包装上市或应付政府的检查，而后者也占据了一定的比例。
　　增加的重复劳动？
　　采访中记者发现，许多央企的上市公司颇有微辞。他们觉得《内控规范》与2006年国资委出台的《中央企业全面风险管理指引》存在难以协调的问题。目前的布局很可能会导致央企为了应对检查，同一事件要用两个规范来做，既要编报风险管理报告，又要编制内部控制报告。
　　“内部控制与风险管理要融合，正因为有风险才需控制，两者是一个事件的两个方面，在实践中风险管理和内部控制工作基本上是一致的。融合后，企业至少没有必要既设立风险管理部，又设立内部控制部，设一个风险控制部就够用了。而且企业内部控制和风险管理工作合二为一，必然会减少各监管部门和企业不必要的重复劳动，也会减轻企业的负担，管控的效果或许会更好些。”李三喜表示。
　　但是，刘玉廷对此并不认可，他觉得，《内控规范》与《中央企业全面风险管理指引》存在一定的重复，并没有什么不好，也不是什么大问题。
　　然而，专家却认为，这并不是一个小问题，毕竟中国2/3的上市公司基本上都是由大型央企或地方国有企业参股或控股的。
　　同时，可以预见的是，《内控规范》在实施初期的境遇会类同于《中央企业全面风险管理指引》。对于后者，业内人士一直认为风险管理报告的效果流于形式。对此，国资委副主任邵宁在2008年年底召开的中央企业全面风险管理经验交流会上指出，尽管2009年防范风险是央企发展的一项重点工作，但国资委也不要求企业必须编制年度全面风险管理报告并上报。原因是担心一旦某一项工作成为上面硬性要求，在实际操作中就很容易走样，就变成一种应付上面的形式主义的东西，即使是好事，也会增加企业的负担。
　　不过，截止到4月底，还是有20多家央企在第一时间主动完成了2009年度风险管理报告。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。