【律师视点】陶光辉:以风险管理为导向的企业内控与合规
The following article is from 法务人俱乐部 Author 陶光辉
北京德和衡律师事务所
高级联席合伙人
2019年10月19日,国资委发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》,再提央企要加强内部控制体系建设,距离2012年国资委发布有关内部控制建设的通知,已经7年。期间,国资委2018年发布了《《中央企业合规管理指引(试行)》,加上国资委2006年后一直在推行的《中央企业全面风险管理指引》,企业已有风险管理、内部控制与合规管理等三套管理体系。如何看待这三者之间的关系,特别是内部控制(内控)与合规管理(合规)的关系,成为所有企业风险管控领导者及从业者的一大难题。
一、内控与合规的起源
20世纪早中期,企业开始接触内部控制的基本概念,但一直缺乏“何为良好内部控制”的统一定义。最早的内部控制定义出自美国注册会计师协会(AICPA),并被美国证券交易委员会(SEC)于1934年颁布的《证券交易法》所引用。此后,内部控制的定义不断发生变化,出现了许多版本的内部控制相关定义。
20世纪70年代,美国和世界许多地方爆发了大规模的公司会计欺诈事件,以及美国的“水门事件”,导致美国出台《反海外腐败法》(1977年)。该法案除了禁止贿赂外国官员(非美国官员),对公司账簿的准确性、记录和内部会计控制系统也提出了要求。这促进了企业重视内控概念的运用。
1985年,为了遏制日益猖獗的企业会计舞弊行为,美国注册会计师协会等五家相关领域的权威机构联合成立了一个美国反虚假财务报告委员会,其下属有一个发起组织委员会(The Committee of Sponsoring Organizations of the Treadway Commission),这就是我们熟悉的COSO。1992年,COSO发布《内部控制-整合框架》,这是一部对内控理论和实践有重要指导意义的文件。
21世纪初,以安然事件为代表,美国爆发历史上第二次大规模企业财务欺诈事件 ,导致2002 年《萨班斯法案》诞生。该法案是美国第一部与内部控制密切相关的法律法规,发展至今,在世界范围内有非常大的影响力。在该法案的执行中,美国证券交易委员会唯一推荐参考COSO发布的《内部控制-整合框架》。同时,萨班斯法案404条款细则,明确表示COSO内部控制框架可以作为评估企业内部控制的标准。
在中国,财政部参考COSO内部控制框架,联合证监会、银监会、保监会、审计署等,于2008年发布《企业内部控制基本规范》。2010年,出台18项具体内控应用指引。2012年,财政部和国资委联合发文,推动中央企业建立覆盖全集团的内部控制体系。2014年,财政部发布的《行政事业单位内部控制规范(试行)》施行。2018年,财政部发布的《小企业内部控制规范(试行)》施行。至此,中国的内部控制体系建设全面展开。
合规的概念,没有内控那么早出现。一般认为,根据对合规的不同定义,合规起源与发展存在两条路径。一是反腐败合规,其起源仍是1977年的美国《反海外腐败法》。其内容可分为两个部分:会计标准条款和反贿赂条款。如前述,会计标准条款促进了企业内部控制概念的进化。反贿赂条款,则成为反腐败合规管理的源头。合规的另一个源头,出现在金融行业。2005年4月29日,巴塞尔银行监管委员会在其颁布的《合规与银行内部合规部门》文件中,最早提出了合规的理念。
在反腐败合规领域,一些国际组织和国家相继一系列的公约、法规。如1997年,经济合作与发展组织OECD通过了《国际商务交易活动反对行贿外国公职人员公约》,要求各缔约国对于企业在海外业务中行贿外国公职人员的行为进行规制和处罚。2003年,联合国通过《联合国反腐败公约》,这是联合国唯一一份具有该法律约束力的反腐败文件,要求各缔约国应采取立法或其他措施,将企业或个人贿赂外国官员的行为认定为犯罪。2011年,英国颁布《反贿赂法案》,规定了比美国《反海外腐败法》更加严格的条款,来制止腐败行为,督促企业加强反腐败合规管理。
在各国和国际组织推进反腐败合规管理的进程中,随着国际经济环境的变化、企业合规管理渐渐提出了新的要求,不再限于反腐败领域,而是拓展到了企业行为的各个方面。如公平竞争与反垄断、反洗钱、进出口管制、隐私与数据安全、环境保护、劳动用工等。同时,合规涉及的行业,也不再限于金融业或公众公司,而是各行各业及各类型企业。
这引起了几乎所有企业的高度关注。如欧盟《通用数据保护条例》(GDPR)的实施,引发了企业数据合规管理的热潮。建立完整的合规管理体系,已成为目前各国和国际组织关注的重点。国际标准化组织ISO积极响应,2014年12月公布《ISO19600:2014合规管理体系 指南》,为所有规模和类型的企业建立有效的合规管理体系提供指导性建议。
在中国,合规管理在金融业率先开展。2006年10月,银监会颁布了《商业银行合规风险管理指引》,较早使用了合规的概念。随后,保监会、证监会相继颁发各自监管领域内的合规管理办法。2016年4月,国资委印发《关于在部分中央企业开展合规管理体系建设试点工作的通知》,在中国移动、中国石油等五家中央企业开始试点合规管理体系建设。2017年5月,中央全面深化改革领导小组召开第三十五次会议,审议通过《关于规范企业海外经营行为的若干意见》,提出要“加强企业海外经营行为合规制度建设”。
2017年12月,国家标准化委员会发布《合规管理体系 指南》(GB/T 35770-2017/ISO 19600:2014),为组织建立系统的合规管理体系提供指南。2018年11月,国资委颁布《中央企业合规管理指引(试行)》,对于中央企业合规管理体系建设提出要求和建议。2018年12月,国家发改委会等七部委联合颁发《企业境外经营合规管理指引》,对推动企业提升合规管理水平提供更加具体的行动指引。
二、内控与合规的异同
通过分析内控与合规的起源及发展脉络,结合内部控制五要素以及合规管理的重点内容,可以看出内部控制与合规管理的异同。
(一)两者相同点
1.两者目标存在一致性。根据COSO的《内部控制-整合框架》(2013年版),内部控制的目标在于实现营运控制、报告控制以及合规性控制。遵循适用的法律法规,是内部控制三大目标之一。合规管理的目标,当然也包括遵守法律法规。因此,通过有目的的管控活动,使得企业能够遵守适用的法律法规,是内部控制和合规管理的共同目标。
2.两者在企业反舞弊等领域重合。内部控制一开始是基于财务舞弊的出现,在企业内形成的一种监督制衡机制,逐渐发展成对企业内业务、职能及管理层进行风险控制。合规管理也是从对企业内舞弊、腐败、贿赂等行为进行控制,发展为对劳工、环保、数据、竞争等进行规制。两者的最初来源,有很大的重合之处。
3.两者都是风险管理的一种方式。内部控制的产生,是为防止出现人为的或认知缺失而产生的舞弊、失控等风险。建立内控体系,便是建立内部风险预防与风险应对体系。合规管理的产生,同样是出现了与法律法规、规章制度、监管要求不相符合的风险,而必须建立制度和流程,以杜绝或降低该风险。故内部控制与合规管理,都属于风险管理的一种。
(二)两者的不同点
1.两者涵盖的范围不一样。内部控制包括对企业的整体层面、分支机构层面、业务活动层面进行全面控制,为企业的运营、财务与非财务报告以及合规目标提供合理保证。内部控制是为保护企业而设计的,它能确保相关经营单元的资产免于被滥用或遭受损失。合规管理主要是针对外部法律法规的执行、企业规章制度以及和遵循状况进行监督和评价,对违规行为进行审查,对合规风险进行有效预防。因此,内部控制涵盖的范围,要比合规管理更广。
另外,从两者的目标来看,内部控制致力于达到三大目标,其中之一便是合规目标。虽然这里合规目标,与合规管理中所指的合规目标相比,可能仅指法律法规的遵守。但对法律法规的遵守,恰恰是合规管理的最重要的目标。从目标的宽度上看,内部控制包含了合规管理。
2.两者的管控手段不一样。内部控制的五要素是控制环境、风险评估、控制活动、信息与沟通、监控活动。合规管理则是通过合规政策制定、合规组织架构,合规管理制度,合规风险的识别与评估、合规举报与调查、合规审查、合规处理、合规考核与培训等行为来实现合规风险的管控。两者的管控手段是不大一致的,这是造成内部控制和合规管理在企业内难以协调的原因。两者的管控手段虽不一样,但本质上,他们的管控逻辑是一样的,这也是他们可以整合在一起的根本原因。
3.两者的价值观不一样。内部控制对企业全体员工,包括高层,是一种相互约束,其价值观体现为一种“制衡监督”的理念。合规管理是企业高管和员工主动推动并遵照执行的自我约束,其价值观体现为一种“主动遵守”的理念。
三、以风险管理为导向
之内控与合规的整合
国资委《关于加强中央企业内部控制体系建设与监督工作的实施意见》提出,要建立健全以风险管理为导向、合规管理监督为重点的内控体系,且要将风险管理和合规管理要求嵌入业务流程,实现“强内控、防风险、促合规”的管控目标。这不仅为我们实现内部控制与合规管理的整合提出了迫切要求,而且还提供了创新思路。
整合的目的是为提高内部控制与合规管理工作本身的效率,减少两种风险管控活动之间的重复性工作,消除目前存在的对两种活动的一些困惑之处。整合的策略包括:
(一)管控环境的整合
内部控制五要素的顶层是“控制环境”,它是企业实施有效内部控制的基础。控制环境始于董事会和高管层,他们为企业确定“最高层基调”。企业高管对外发布的内部控制声明,如企业行为准则,正是企业合规文化要推动的一件大事。合规从高层做起,由高层推动,是合规管理能否取得成效的关键。因此,不管是合规,还是内控,企业高层都需要亲自介入,并传递出统一的声音,形成有利的控制环境及合规环境。
(二)风险评估活动的整合
风险评估是管理各种风险的决策基础,不管是合规风险,还是其他的战略风险、营运风险、财务风险、信息风险。内控的风险识别与分析,包括企业整体业务层面的风险,也包括单个业务或项目层面的风险,比合规的风险识别与分析要广。但是,在风险评估中,管理层所用的评估方法是可以通用的。每个业务领域的潜在风险,以及风险发生的时间和概率及其影响范围,是一致的。故内控与合规在整合过程中,可以用同样的评估方法,及共用一套风险事件库、风险评估清单。
(三)风险控制活动的整合
控制活动是内部控制最核心的要素,其贯穿于整个企业,遍及各个层级、业务单元和流程以及技术环境。控制活动可分为预防性措施和检查性措施,它包括一系列手工控制和自动化控制,如授权、审批、验证、调节、业绩评价等。职责分离是最基本的控制措施。可行性研究与决策审批、决策审批与执行、执行与监督检查等岗位职责的分离。采购、销售、投资管理、资金管理、工程项目,产权交易等业务领域的岗位职责权限要相互衔接、相互制衡、相互监督。在合规管理的管控措施中,基本上可以用到前述风险控制活动的技巧。
(四)信息系统的整合
对于内部控制和合规管理而言,信息都是不可或缺的元素。信息应当可靠、来源多元化。出于成本和效率考虑,内部控制和合规管理,应当拥有一体化的信息(系统)。内控与合规建设部门要与业务部门、审计部门、信息化建设部门协同配合,推动企业投资和项目管理、财务和资产、物资采购、全面风险管理、人力资源等信息系统的集成应用,实现内控、合规体系与业务信息系统互联互通、有机融合。信息化基础较好的企业可探索利用大数据、云计算、人工智能等技术,实现内控与合规体系实时监测、自动预警、监督评价等在线监管功能。
当然,内控与合规毕竟是两件独立存在的两件事情,即便经过一体化的整合,仍存在诸多不可完全融合之处。如,相关管理组织架构、管理制度,沟通机制与监控机制,均因内控与合规的不同而有所差异,故仍需用不同的方法和原则予以对待。但整体来说,以风险管理为导向,整合内控与合规的共同要素是可行的。
或许您还想看
陶光辉,北京德和衡律师事务高级联席合伙人,一法网创办人,兼任大连大学法学院客座教授、中国人民大学企业法治研究所研究员、青岛仲裁委互联网仲裁院副院长、北京创业投资法学研究会常务理事等。陶律师拥有仲裁员、高级经济师、上交所独立董事、证券/期货从业人员、企业法律顾问、企业管理咨询师等资格,出版《公司法务部》(法律出版社)、《法务之道》(中国法制出版社)等著作。
专业领域:新金融、新零售、新常法领域的交易、合规与诉讼。曾执掌金额达数十亿的投资并购及巨额地产交易诉讼。擅长新型常年法律顾问,投资并购,企业法务及合规管理。
联系方式
手机:18201002170(微信同号)
邮箱:taoguanghui@deheng.com
✦质控人:王悦建 公司业务中心副总监、股权投资专业委员会主任
✦本文仅代表作者观点,如需转载、节选,请在后台留言联系小编