2019年10月19日,國資委發布《關于加強中央企業內部控制體系建設與監督工作的實施意見》,再提央企要加強內部控制體系建設,距離2012年國資委發布有關內部控制建設的通知,已經7年。期間,國資委2018年發布了《《中央企業合規管理指引(試行)》,加上國資委2006年后一直在推行的《中央企業全面風險管理指引》,企業已有風險管理、內部控制與合規管理等三套管理體系。如何看待這三者之間的關系,特別是內部控制(內控)與合規管理(合規)的關系,成為所有企業風險管控領導者及從業者的一大難題。
20世紀早中期,企業開始接觸內部控制的基本概念,但一直缺乏“何為良好內部控制”的統一定義。最早的內部控制定義出自美國注冊會計師協會(AICPA),并被美國證券交易委員會(SEC)于1934年頒布的《證券交易法》所引用。此后,內部控制的定義不斷發生變化,出現了許多版本的內部控制相關定義。
20世紀70年代,美國和世界許多地方爆發了大規模的公司會計欺詐事件,以及美國的“水門事件”,導致美國出臺《反海外腐敗法》(1977年)。該法案除了禁止賄賂外國官員(非美國官員),對公司賬簿的準確性、記錄和內部會計控制系統也提出了要求。這促進了企業重視內控概念的運用。
1985年,為了遏制日益猖獗的企業會計舞弊行為,美國注冊會計師協會等五家相關領域的權威機構聯合成立了一個美國反虛假財務報告委員會,其下屬有一個發起組織委員會(The Committee of Sponsoring Organizations of the Treadway Commission),這就是我們熟悉的COSO。1992年,COSO發布《內部控制-整合框架》,這是一部對內控理論和實踐有重要指導意義的文件。
21世紀初,以安然事件為代表,美國爆發歷史上第二次大規模企業財務欺詐事件 ,導致2002 年《薩班斯法案》誕生。該法案是美國第一部與內部控制密切相關的法律法規,發展至今,在世界范圍內有非常大的影響力。在該法案的執行中,美國證券交易委員會唯一推薦參考COSO發布的《內部控制-整合框架》。同時,薩班斯法案404條款細則,明確表示COSO內部控制框架可以作為評估企業內部控制的標準。
在中國,財政部參考COSO內部控制框架,聯合證監會、銀監會、保監會、審計署等,于2008年發布《企業內部控制基本規范》。2010年,出臺18項具體內控應用指引。2012年,財政部和國資委聯合發文,推動中央企業建立覆蓋全集團的內部控制體系。2014年,財政部發布的《行政事業單位內部控制規范(試行)》施行。2018年,財政部發布的《小企業內部控制規范(試行)》施行。至此,中國的內部控制體系建設全面展開。
合規的概念,沒有內控那么早出現。一般認為,根據對合規的不同定義,合規起源與發展存在兩條路徑。一是反腐敗合規,其起源仍是1977年的美國《反海外腐敗法》。其內容可分為兩個部分:會計標準條款和反賄賂條款。如前述,會計標準條款促進了企業內部控制概念的進化。反賄賂條款,則成為反腐敗合規管理的源頭。合規的另一個源頭,出現在金融行業。2005年4月29日,巴塞爾銀行監管委員會在其頒布的《合規與銀行內部合規部門》文件中,最早提出了合規的理念。
在反腐敗合規領域,一些國際組織和國家相繼一系列的公約、法規。如1997年,經濟合作與發展組織OECD通過了《國際商務交易活動反對行賄外國公職人員公約》,要求各締約國對于企業在海外業務中行賄外國公職人員的行為進行規制和處罰。2003年,聯合國通過《聯合國反腐敗公約》,這是聯合國唯一一份具有該法律約束力的反腐敗文件,要求各締約國應采取立法或其他措施,將企業或個人賄賂外國官員的行為認定為犯罪。2011年,英國頒布《反賄賂法案》,規定了比美國《反海外腐敗法》更加嚴格的條款,來制止腐敗行為,督促企業加強反腐敗合規管理。
在各國和國際組織推進反腐敗合規管理的進程中,隨著國際經濟環境的變化、企業合規管理漸漸提出了新的要求,不再限于反腐敗領域,而是拓展到了企業行為的各個方面。如公平競爭與反壟斷、反洗錢、進出口管制、隱私與數據安全、環境保護、勞動用工等。同時,合規涉及的行業,也不再限于金融業或公眾公司,而是各行各業及各類型企業。
這引起了幾乎所有企業的高度關注。如歐盟《通用數據保護條例》(GDPR)的實施,引發了企業數據合規管理的熱潮。建立完整的合規管理體系,已成為目前各國和國際組織關注的重點。國際標準化組織ISO積極響應,2014年12月公布《ISO19600:2014合規管理體系 指南》,為所有規模和類型的企業建立有效的合規管理體系提供指導性建議。
在中國,合規管理在金融業率先開展。2006年10月,銀監會頒布了《商業銀行合規風險管理指引》,較早使用了合規的概念。隨后,保監會、證監會相繼頒發各自監管領域內的合規管理辦法。2016年4月,國資委印發《關于在部分中央企業開展合規管理體系建設試點工作的通知》,在中國移動、中國石油等五家中央企業開始試點合規管理體系建設。2017年5月,中央全面深化改革領導小組召開第三十五次會議,審議通過《關于規范企業海外經營行為的若干意見》,提出要“加強企業海外經營行為合規制度建設”。
2017年12月,國家標準化委員會發布《合規管理體系 指南》(GB/T 35770-2017/ISO 19600:2014),為組織建立系統的合規管理體系提供指南。2018年11月,國資委頒布《中央企業合規管理指引(試行)》,對于中央企業合規管理體系建設提出要求和建議。2018年12月,國家發改委會等七部委聯合頒發《企業境外經營合規管理指引》,對推動企業提升合規管理水平提供更加具體的行動指引。
通過分析內控與合規的起源及發展脈絡,結合內部控制五要素以及合規管理的重點內容,可以看出內部控制與合規管理的異同。
(一)兩者相同點
1.兩者目標存在一致性。根據COSO的《內部控制-整合框架》(2013年版),內部控制的目標在于實現營運控制、報告控制以及合規性控制。遵循適用的法律法規,是內部控制三大目標之一。合規管理的目標,當然也包括遵守法律法規。因此,通過有目的的管控活動,使得企業能夠遵守適用的法律法規,是內部控制和合規管理的共同目標。
2.兩者在企業反舞弊等領域重合。內部控制一開始是基于財務舞弊的出現,在企業內形成的一種監督制衡機制,逐漸發展成對企業內業務、職能及管理層進行風險控制。合規管理也是從對企業內舞弊、腐敗、賄賂等行為進行控制,發展為對勞工、環保、數據、競爭等進行規制。兩者的最初來源,有很大的重合之處。
3.兩者都是風險管理的一種方式。內部控制的產生,是為防止出現人為的或認知缺失而產生的舞弊、失控等風險。建立內控體系,便是建立內部風險預防與風險應對體系。合規管理的產生,同樣是出現了與法律法規、規章制度、監管要求不相符合的風險,而必須建立制度和流程,以杜絕或降低該風險。故內部控制與合規管理,都屬于風險管理的一種。
(二)兩者的不同點
1.兩者涵蓋的范圍不一樣。內部控制包括對企業的整體層面、分支機構層面、業務活動層面進行全面控制,為企業的運營、財務與非財務報告以及合規目標提供合理保證。內部控制是為保護企業而設計的,它能確保相關經營單元的資產免于被濫用或遭受損失。合規管理主要是針對外部法律法規的執行、企業規章制度以及和遵循狀況進行監督和評價,對違規行為進行審查,對合規風險進行有效預防。因此,內部控制涵蓋的范圍,要比合規管理更廣。
另外,從兩者的目標來看,內部控制致力于達到三大目標,其中之一便是合規目標。雖然這里合規目標,與合規管理中所指的合規目標相比,可能僅指法律法規的遵守。但對法律法規的遵守,恰恰是合規管理的最重要的目標。從目標的寬度上看,內部控制包含了合規管理。
2.兩者的管控手段不一樣。內部控制的五要素是控制環境、風險評估、控制活動、信息與溝通、監控活動。合規管理則是通過合規政策制定、合規組織架構,合規管理制度,合規風險的識別與評估、合規舉報與調查、合規審查、合規處理、合規考核與培訓等行為來實現合規風險的管控。兩者的管控手段是不大一致的,這是造成內部控制和合規管理在企業內難以協調的原因。兩者的管控手段雖不一樣,但本質上,他們的管控邏輯是一樣的,這也是他們可以整合在一起的根本原因。
3.兩者的價值觀不一樣。內部控制對企業全體員工,包括高層,是一種相互約束,其價值觀體現為一種“制衡監督”的理念。合規管理是企業高管和員工主動推動并遵照執行的自我約束,其價值觀體現為一種“主動遵守”的理念。
國資委《關于加強中央企業內部控制體系建設與監督工作的實施意見》提出,要建立健全以風險管理為導向、合規管理監督為重點的內控體系,且要將風險管理和合規管理要求嵌入業務流程,實現“強內控、防風險、促合規”的管控目標。這不僅為我們實現內部控制與合規管理的整合提出了迫切要求,而且還提供了創新思路。
整合的目的是為提高內部控制與合規管理工作本身的效率,減少兩種風險管控活動之間的重復性工作,消除目前存在的對兩種活動的一些困惑之處。整合的策略包括:
(一)管控環境的整合
內部控制五要素的頂層是“控制環境”,它是企業實施有效內部控制的基礎。控制環境始于董事會和高管層,他們為企業確定“最高層基調”。企業高管對外發布的內部控制聲明,如企業行為準則,正是企業合規文化要推動的一件大事。合規從高層做起,由高層推動,是合規管理能否取得成效的關鍵。因此,不管是合規,還是內控,企業高層都需要親自介入,并傳遞出統一的聲音,形成有利的控制環境及合規環境。
(二)風險評估活動的整合
風險評估是管理各種風險的決策基礎,不管是合規風險,還是其他的戰略風險、營運風險、財務風險、信息風險。內控的風險識別與分析,包括企業整體業務層面的風險,也包括單個業務或項目層面的風險,比合規的風險識別與分析要廣。但是,在風險評估中,管理層所用的評估方法是可以通用的。每個業務領域的潛在風險,以及風險發生的時間和概率及其影響范圍,是一致的。故內控與合規在整合過程中,可以用同樣的評估方法,及共用一套風險事件庫、風險評估清單。
(三)風險控制活動的整合
控制活動是內部控制最核心的要素,其貫穿于整個企業,遍及各個層級、業務單元和流程以及技術環境。控制活動可分為預防性措施和檢查性措施,它包括一系列手工控制和自動化控制,如授權、審批、驗證、調節、業績評價等。職責分離是最基本的控制措施。可行性研究與決策審批、決策審批與執行、執行與監督檢查等崗位職責的分離。采購、銷售、投資管理、資金管理、工程項目,產權交易等業務領域的崗位職責權限要相互銜接、相互制衡、相互監督。在合規管理的管控措施中,基本上可以用到前述風險控制活動的技巧。
(四)信息系統的整合
對于內部控制和合規管理而言,信息都是不可或缺的元素。信息應當可靠、來源多元化。出于成本和效率考慮,內部控制和合規管理,應當擁有一體化的信息(系統)。內控與合規建設部門要與業務部門、審計部門、信息化建設部門協同配合,推動企業投資和項目管理、財務和資產、物資采購、全面風險管理、人力資源等信息系統的集成應用,實現內控、合規體系與業務信息系統互聯互通、有機融合。信息化基礎較好的企業可探索利用大數據、云計算、人工智能等技術,實現內控與合規體系實時監測、自動預警、監督評價等在線監管功能。
當然,內控與合規畢竟是兩件獨立存在的兩件事情,即便經過一體化的整合,仍存在諸多不可完全融合之處。如,相關管理組織架構、管理制度,溝通機制與監控機制,均因內控與合規的不同而有所差異,故仍需用不同的方法和原則予以對待。但整體來說,以風險管理為導向,整合內控與合規的共同要素是可行的。
