内部控制与合规管理的一体化探讨
陶光辉
2019年10月19日,国务院国资委发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》,再提央企要加强内部控制体系建设。这距离上次国资委发布有关内部控制建设的通知[1]已经7年。期间,国资委发布了《《中央企业合规管理指引(试行)》,与发改委等联合发布了《企业境外经营合规管理指引》,加上国资委2006年6月6日发布并一直在推行的《中央企业全面风险管理指引》,央企内已有风险管理、内部控制与合规管理等三项体系。
如何看待这三者之间的关系,特别是内部控制与合规管理的关系,成为所有企业风险管控领导者及从业者的一大难题。本文从内部控制、合规管理的起源说起,阐述内部控制、合规管理的发展逻辑,并通过比较两者的异同点,尝试探讨内部控制与合规管理的一体化之路。
一、内部控制的起源与发展
内部控制的思想雏形,来源于内部牵制。所谓牵制,是指职能和职能之间存在必要的约束,非由一个职能完全支配一项业务活动而没有交叉检查。牵制,最早可以追溯到人类几千年以前的古文明时期。根据《周礼》记载,早在西周时代的国库管理活动中,便分为职内、职出和职币三个岗位,分别负责收入、支出和盘点登记。这便是内部牵制思想的体现。可以看出,牵制思想最早出现在财政(财务)管理中。
20世纪早中期,企业高层开始接触内部控制的基本概念,但一直缺乏“何为良好内部控制”的统一定义。最早的内部控制定义出自美国注册会计师协会(AICPA),并被美国证券交易委员会(SEC)于1934年颁布的《证券交易法》所引用[2]。此后,内部控制的定义不断发生变化,出现了许多版本的内部控制相关定义。
20世纪70年代,美国和世界许多地方爆发了大规模的公司会计欺诈事件,以及美国的“水门事件”,导致美国出台《反海外腐败法》(1977年)。该法案除了禁止贿赂外国官员(非美国官员),对公司账簿的准确性、记录和内部会计控制系统也提出了要求。这更加促进了企业重视内部控制概念的运用。
1985年,为了遏制日益猖獗的企业会计舞弊行为,美国注册会计师协会等五家相关领域的权威机构联合成立了一个美国反虚假财务报告委员会,其下属有一个发起组织委员会(The Committee of Sponsoring Organizations of the Treadway Commission),这就是我们熟悉的COSO。1992年,COSO发布《内部控制-整合框架》,这是一部对内部控制理论和实践有重要指导意义的文件[3]。
21世纪初,以安然事件为代表,美国爆发历史上第二次大规模企业财务欺诈事件 ,直接导致2002 年《萨班斯法案》诞生。该法案是美国第一部与内部控制密切相关的法律法规,发展至今,在世界范围内有非常大的影响力。在该法案的执行中,美国证券交易委员会唯一推荐参考COSO发布的《内部控制-整合框架》。同时,萨班斯法案404条款细则,明确表示COSO内部控制框架可以作为评估企业内部控制的标准。
从全球范围来看,除了COSO的内部控制框架,各个国家都发展出了相关的内部控制相关文件,如英国的Turnbull、加拿大的COCO、南非的King等。
在中国,财政部参考COSO内部控制框架,联合证监会、银监会、保监会、审计署等,于2008年发布《企业内部控制基本规范》。2010年,又出台18项具体应用指引。2012年,财政部和国资委联合发文,推动中央企业建立覆盖全集团的内部控制体系。2014年,财政部发布的《行政事业单位内部控制规范(试行)》施行。2018年,财政部发布的《小企业内部控制规范(试行)》施行。至此,中国的内部控制体系建设全面展开。
二、合规管理的起源与发展
合规的概念,没有内部控制那么早出现。一般认为,根据对合规的不同定义,合规起源与发展存在两条路径。一是反腐败合规,其起源仍是1977年的美国《反海外腐败法》。其内容可分为两个部分:会计标准条款和反贿赂条款。如前述,会计标准条款促进了企业内部控制概念的进化。反贿赂条款,则成为反腐败合规管理的源头。合规的另一个源头,出现在金融行业。2005年4月29日,巴塞尔银行监管委员会在其颁布的《合规与银行内部合规部门》文件中,最早提出了合规的理念。
在反腐败合规领域,一些国际组织和国家相继一系列的公约、法规。如1997年,经济合作与发展组织OECD通过了《国际商务交易活动反对行贿外国公职人员公约》,要求各缔约国对于企业在海外业务中行贿外国公职人员的行为进行规制和处罚。2003年,联合国通过《联合国反腐败公约》,这是联合国唯一一份具有该法律约束力的反腐败文件,要求各缔约国应采取立法或其他措施,将企业或个人贿赂外国官员的行为认定为犯罪。2011年,英国颁布《反贿赂法案》,规定了比美国《反海外腐败法》更加严格的条款,来制止腐败行为,督促企业加强反腐败合规管理。
在各国和国际组织推进反腐败合规管理的进程中,随着国际经济环境的变化、企业合规管理渐渐提出了新的要求,不再限于反腐败领域,而是拓展到了企业行为的各个方面。如公平竞争与反垄断、反洗钱、进出口管制、隐私与数据安全、环境保护、劳动用工等。同时,合规涉及的行业,也不再限于金融业或公众公司,而是各行各业及各类型企业。
这引起了几乎所有企业的高度关注。如欧盟《通用数据保护条例》(GDPR)的实施,引发了企业数据合规管理的热潮。中兴通讯事件,像是促进中国企业强化合规管理、防范合规风险的一次集体学习。建立完整的合规管理体系,已成为目前各国和国际组织关注的重点。国际标准化组织ISO积极响应,2014年12月公布《ISO19600:2014合规管理体系 指南》,为所有规模和类型的企业建立有效的合规管理体系提供指导性建议。
在中国,合规管理在金融业率先开展。2006年10月,银监会颁布了《商业银行合规风险管理指引》,较早使用了合规的概念。随后,保监会、证监会相继颁发各自监管领域内的合规管理办法。2016年4月,国务院国资委印发《关于在部分中央企业开展合规管理体系建设试点工作的通知》,在中国移动、中国石油等五家中央企业开始试点合规管理体系建设。2017年5月,中央全面深化改革领导小组召开第三十五次会议,审议通过《关于规范企业海外经营行为的若干意见》,提出要“加强企业海外经营行为合规制度建设”。
2017年12月,国家标准化委员会发布《合规管理体系 指南》(GB/T 35770-2017/ISO 19600:2014),为组织建立系统的合规管理体系提供指南。2018年11月,国资委颁布《中央企业合规管理指引(试行)》,对于中央企业合规管理体系建设提出要求和建议。2018年12月,国家发改委会等七部委联合颁发《企业境外经营合规管理指引》,对推动企业提升合规管理水平提供更加具体的行动指引。
三、内部控制与合规管理的异同点
通过整理、分析内部控制与合规管理的起源及其发展脉络,结合内部控制五要素以及合规管理的重点内容,可以看出内部控制与合规管理的相同点及不同点。
1.两者的目标存在一致性。根据COSO的《内部控制-整合框架》(2013年版),内部控制的目标在于实现营运控制、报告控制以及合规性控制。遵循适用的法律法规,是内部控制三大目标之一。合规管理的目标,当然也包括遵守法律法规。因此,通过有目的的管控活动,使得企业能够遵守适用的法律法规,是内部控制和合规管理的共同目标。
2.两者都以风险管理为导向。内部控制的产生,即为防止出现人为的或认知缺失而产生的舞弊、失控等风险。建立内控体系,便是建立内部风险预防与风险应对体系。合规管理的产生,同样是出现了与法律法规、规章制度、监管要求不相符合的风险,而必须建立制度,以杜绝或降低该风险。内部控制与合规管理,都属于风险管理的一种。
3.两者在企业反舞弊等领域重合。内部控制一开始是基于财务舞弊的出现,在企业内形成的一种监督制衡机制,逐渐发展成对企业内业务、职能及管理层进行风险控制。合规管理也是从对企业内舞弊、腐败、贿赂等行为进行控制,发展为对劳工、环保、数据、竞争等进行规制。
(二)两者的不同点
1.两者涵盖的范围不一样。内部控制包括对企业的整体层面、分支机构层面、业务活动层面进行全面控制,为企业的运营、财务与非财务报告以及合规目标提供合理保证。内部控制是为保护企业而设计的,它能确保相关经营单元的资产免于被滥用或遭受损失。[4]合规管理则主要是针对外部法律法规的执行、企业规章制度以及和遵循状况进行监督和评价,对违规行为进行审查,对合规风险进行有效预防。因此,内部控制涵盖的范围,要比合规管理更广。
另外,从两者的目标来看,内部控制致力于达到三大目标,其中之一便是合规目标。虽然这里合规目标,与合规管理中所指的合规目标相比,可能仅指法律法规的遵守。但对法律法规的遵守,恰恰是合规管理的最重要的目标。故,从目标的宽度上看,内部控制包含了合规管理。
2.两者的管控手段不一样。内部控制的五要素是控制环境、风险评估、控制活动、信息与沟通、监控活动。合规管理则是通过合规政策制定、合规组织架构,合规管理制度,合规风险的识别与评估、合规举报与调查、合规审查、合规处理、合规考核与培训等行为来实现合规风险的管控[5]。两者的管控手段看上去是不一致的,这也是造成内部控制和合规管理在企业内难以协调的原因。两者的管控手段虽不一样,但本质上,他们的管控逻辑是一样的,这也是他们可以整合在一起的根本原因。
3.两者的价值观不一样。内部控制对企业全体员工,包括高层的一种制衡与监督机制,其价值观体现为一种“进行控制”的理念。合规管理是企业高管和员工主动推动并遵照执行的自我约束机制,其价值观体现为一种“主动遵守”的理念。
国资委《关于加强中央企业内部控制体系建设与监督工作的实施意见》提出,要建立健全以风险管理为导向、合规管理监督为重点的内控体系,且要将风险管理和合规管理要求嵌入业务流程,实现“强内控、防风险、促合规”的管控目标。这不仅为我们实现内部控制与合规管理的一体化提出了迫切要求,而且还提供了创新思路。 一体化是为提高内部控制与合规管理工作本身的效率,减少两种风险管控活动的一些重复性工作,消除目前存在的对两种活动的一些困惑之处。
内部控制五要素的顶层是“控制环境”,它是企业实施有效内部控制的基础。控制环境始于董事会和高管层,他们为企业确定“最高层基调”。企业高管对外发布的内部控制声明,如企业行为准则,正是企业合规文化要推动的第一件大事。合规从高层做起,由高层推动,正是合规管理能否取得成效的关键。因此,不管是合规,还是内控,企业高层都需要亲自介入,并传递出统一的声音,形成有利的控制环境及合规管理环境。
风险评估是管理各种风险的决策基础,不管是合规风险,还是其他的战略风险、营运风险、财务风险、信息风险。内部控制的风险识别与分析,包括企业整体业务层面的风险,也包括单个业务或项目层面的风险,比合规管理的风险识别与分析要广。但是,在风险评估中,管理层所用的评估方法是可以通用的。每个业务领域的潜在风险,以及风险发生的时间和概率及其影响范围,是一致的。故内部控制与合规管理在一体化过程中,可以用同样的评估方法以及共用一套风险事件库。
(三)控制活动的一致性及个性化
控制活动是内部控制最核心的要素,其贯穿于整个企业,遍及各个层级、业务单元和流程以及技术环境。控制活动可分为预防性措施和检查性措施,它包括一系列手工控制和自动化控制,如授权、审批、验证、调节、业绩评价等。职责分离是最基本的控制措施。可行性研究与决策审批、决策审批与执行、执行与监督检查等岗位职责的分离。采购、销售、投资管理、资金管理、工程项目,产权交易等业务领域的岗位职责权限要相互衔接、相互制衡、相互监督。在合规管理的管控措施中,基本上可以用到前述内部控制的技巧。但除此之外,合规管理还有一些个性化的控制活动。如合规举报、合规调查等。
(四)信息系统的一体化
对于内部控制和合规管理而言,信息都是不可或缺的元素。信息应当可靠、来源多元化。出于成本和效率考虑,内部控制和合规管理,应当拥有一体化的信息(系统)。内控与合规建设部门要与业务部门、审计部门、信息化建设部门协同配合,推动企业投资和项目管理、财务和资产、物资采购、全面风险管理、人力资源等信息系统的集成应用,实现内控、合规体系与业务信息系统互联互通、有机融合。信息化基础较好的企业可探索利用大数据、云计算、人工智能等技术,实现内控与合规体系实时监测、自动预警、监督评价等在线监管功能。
内部控制与合规管理毕竟是两件独立存在的两件事情,即便经过一体化的整合,仍存在诸多不可完全融合之处。如,相关的管理组织架构、相关的管理制度,相关的沟通机制与监控机制,均因内部控制与合规管理的不同而有所差异,故仍需用不同的方法和原则予以对待。
作者简介:陶光辉,法学硕士,高级经济师,北京德和衡律师事务所总所联席执行主任,第一法务协会(CACC)秘书长,中国人民大学企业法治研究所兼职研究员,北京创业投资法学会常务理事。联系电话:15701025270(微信同号)。
[1] 2012年5月7日,国资委、财政部联合发布《关于加快构建中央企业内部控制体系有关事项的通知》。
[2] 《新版COSO内部控制实施指南》:[美]罗伯特.穆勒,秦荣生、张庆龙、韩菲译,电子工业出版社2019年版第7页。
[3] COSO《内部控制-整合框架》,1992年9月正式发布,1994年进行增补,2013年5月发布新版。
[4] 《新版COSO内部控制实施指南》:[美]罗伯特.穆勒,秦荣生、张庆龙、韩菲译,电子工业出版社2019年版第3页。
[5] 《企业合规管理操作指南》:王志乐主编,中国法制出版社2017年版第5页。