文章来源:中顾法律网
上网找律师
就到中顾法律网
快速专业解决您的法律问题
风险管理、公司治理与内部控制 ——评《企业内部控制基本规范》 苗壮 清华大学法律硕士生联合导师
最近,财政部、证监会、审计署、银监会、保监会联合发布《企业内部控制基本规范》(征求意见稿)。该规范从中国的实际出发,借鉴了以美国COSO《内部控制统一框架》,确立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的实施机制。据报道,该规范将于明年7月1日起首先在上市公司范围内实施,并鼓励非上市的其他大中型企业执行。基本规范的发布标志着中国内部控制制度建设取得了重大突破,并将对公司、证券以及国有资产管理等相关制度产生深远影响。
内部控制规范包括基本规范、具体规范和应用指南等。除了基本规范,五部委还发布了17项具体规范(征求意见稿),并在研究、起草其它9项具体规范。具体规范包括货币资金、采购与付款、存货、对外投资、工程项目、固定资产、无形资产、资产减值、销售与收款、筹资、衍生工具、成本费用、担保、合同、对子公司的控制、企业合并与分立、服务外包等财务报表项目相关规范,财务报告编制、关联
文章来源:中顾法律网
上网找律师
就到中顾法律网
快速专业解决您的法律问题
交易、公允价格、信息披露等财务报表编制相关规范以及预算、人力资源政策、计算机信息系统、内部审计、中介机构聘用等制度支持。基本规范与具体规范共同构成内部控制规范的完整体系。
一 定义、目标、要素
基本规范首先界定了内部控制的含义。根据该规范,内部控制是由董事会、管理层和全体员工共同实施的、旨在合理保证实现企业经营管理基本目标的一系列控制活动。
与其它经营管理活动一样,控制活动既有收益也有成本。这就有必要进行成本收益分析。换句话说,控制活动也要讲求效率。考虑到环境的复杂多变性与人类理性的有限性,内部控制应当且只能在“合理”的范围内保证上述目标的实现。
内部控制的宗旨体现为内部控制的目标。根据基本规范,内部控制的目标包括:企业战略,经营的效率和结果,财务报告及管理信息的真实、可靠和完整,资产的安全完整,遵循国家法律法规和有关监管要求。
上述5目标类似于COSO报告3目标:经营的有效与效率、财务报告的可靠、遵循有关法律法规。相比之下,将“管理信息”的真实、可靠和完整列入目标更为可取,因为许多管理信息无法进入财务报
文章来源:中顾法律网
上网找律师
就到中顾法律网
快速专业解决您的法律问题
告。不过,综合平衡有效性和效率性,似应将其限定为“重大管理信息”。此外,“经营的效率和结果”既取决于“企业战略”,又取决于“资产的安全完整”,似应将其合而为一。资产既构成经营的基础,又能反映经营结果。之所以将“资产的安全完整”单列出来,或许是考虑到我国国有企业的主导作用、制度特征,多数上市公司一股独大等特殊情况以及国有资产保值、增值,保护中小股东等重大关切。
最重要的是,基本规范在形式上借鉴了COSO报告内部控制5要素框架,同时在内容上体现了其风险管理8要素框架的实质,构建了以内部环境为重要基础、以风险评估为重要环节、以控制措施为重要手段、以信息沟通为重要条件、以内部监督为重要保证的五要素框架。
根据基本规范,内部环境主要包括治理结构、机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制;风险评估主要包括目标设定、风险识别、风险分析和风险应对;控制措施主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制;信息沟通主要包括信息的收集机制以及企业内外的沟通机制;内部监督主要包括对建立并执行内部控制的整体情况进行持续性监督,对内部控制的某些方面进行专项监督,以及提交相应的检查报告、提出有针对性的改进措施等。上述要素相互联
文章来源:中顾法律网
上网找律师
就到中顾法律网
快速专业解决您的法律问题
系、相互促进,构成一个统一的企业内部控制框架,并涵盖企业经营管理的各个层级、各个方面和各项业务环节。
二 内部控制与风险管理
企业所面临的环境是不确定的,企业家的基本职能是管理风险。无论从目的、目标,还是从要素来看,风险管理是内部控制的根本功能。
内部控制的目的是在合理的范围内保证企业基本目标的实现。盈利是企业生存和发展的基础。作为一种盈利性组织,企业的根本目标是盈利。如果不能盈利,就连自身的生存都难“保证”,其它目标无从谈起。在这个意义上讲,也可以将信息可靠性、行为合规性等视为实现盈利性目标的重要“保证”。
天有不测风云。每一个普通股民都知道,未来是不确定的,机会与风险并存。然而,长期以来,经济学家一直假定信息是完美的。这既无法解释亏损,也无法解释利润。奈特可能是第一个将利润(和亏损)与不确定性(和风险)联系起来的经济学家。如果说机会代表盈利的可能,风险则代表亏损的可能。二者不过是一枚硬币的两面。风险的种类很多,如宏观、市场、技术、金融、财务、法律等各种风险。在这个意义上讲,也可以将信息可靠性、行为合规性等视为财务、法
文章来源:中顾法律网
上网找律师
就到中顾法律网
快速专业解决您的法律问题
律风险。有的风险可以保险,有的是不可保险的。在不确定的条件下,要想“保证”盈利,就必须管理风险。
根据基本规范,风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程;控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段;内部监督是对内部控制的健全性、合理性和有效性进行监督与评估,形成书面报告并作出相应处理的过程。简而言之,风险评估的功能是识别、分析、评价风险,控制措施的功能是处理、防范、化解风险,而内部监督则是对整个过程进行监控。巧妇难为无米之炊。要想识别、处理风险,就必须收集、传递、沟通、应用信息,就要进行信息沟通,为风险管理提供事实依据。上述要素密切相关,体现为风险的识别、处理、反馈。
总之,风险管理是一个完整的过程。在这个过程中,内部控制的各个要素分别处于不同阶段。其中,风险评估、信息沟通处于认识阶段;控制措施、内部监督处于实践阶段,而内部环境则构成制度基础。
三 内部控制与公司治理
公司治理的定义很多,涉及各种内外部关系。从内部关系来说,公司治理是为了实现公司价值最大化而在股东、董事、监事、高级管理人员之间进行权责分配,并在此基础上进行决策、监督。其中,权
文章来源:中顾法律网
上网找律师
就到中顾法律网
快速专业解决您的法律问题
责分配属于关系要素;决策、监督则属于行为要素。无论从目的还是从要素来说,内部控制是公司治理的重要内容。
首先,内部控制的目的是合理保证公司基本目标的实现。这也正是公司治理的目的。其次,内部环境要素的核心是权责分配,而权责分配既是公司治理的关系要素,也是内部控制的制度基础。第三,内部监督要素本身就是公司治理的行为要素,也是内部控制的重要保证。第四,内部控制的其它要素也与公司治理密切相关。从功能上讲,风险评估、控制措施、信息沟通属于风险管理的不同环节,而企业家的基本职能就是管理风险。
需要强调的是,企业是内部控制的主体。无论在公司治理还是在内部控制中,董事和高级管理人员都发挥着至关重要的作用。
根据基本规范,董事会以及董事长应当加强对本企业内部控制建立和实施情况的指导和监督,对本企业内部控制的建立健全和有效实施负责;经理负责组织领导本企业内部控制的日常运行;总会计师主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。上述规范的法律依据是公司法对上述人员职责和义务的有关规定。例如,公司法规定,董事、监事和高级管理人员应当遵守法律、行政法规和公司章程,对公司负有忠实义务和勤勉义务。
文章来源:中顾法律网
上网找律师
就到中顾法律网
快速专业解决您的法律问题
公司法上述规定的问题是过于原则,且并不要求上述人员遵守有关监管要求。无论从内部控制规范与公司法的衔接,还是从公司法自身的完善来说,有必要进一步明确上述人员的法定义务。只有这样,才能切实改变无法可依、无人负责的状况。
内部控制规范与董事、高级管理人员的勤勉义务密切相关。对此,公司法并没有做出具体规定。为了进一步加强公司治理和内部控制,有必要通过公司立法,对上述人员的勤勉义务作出具体规定。
从内部控制规范与公司法的衔接来说,应当要求所有公司建立健全并有效实施信息与报告系统,进一步要求上市公司建立健全并有效实施内部控制系统,并将确保上述系统的建立健全和有效实施规定为董事、高级管理人员的勤勉义务。立法建议如下:
公司(上市公司)董事、高级管理人员应当根据有关法律、法规和监管要求,指导和监督本公司(上市公司)信息与报告系统(内部控制系统)的建立和实施情况,对本公司信息与报告系统(内部控制系统)的建立健全和有效实施负责。
内部控制规范还与董事、高级管理人员的忠诚义务密切相关。在这个方面也有一些漏洞需要填补。例如,公司法禁止董事、高级管理人员违反公司章程的规定或未经股东(大)会同意,与本公司订立合同
文章来源:中顾法律网
上网找律师
就到中顾法律网
快速专业解决您的法律问题
或进行交易,否则,所得的收入应当归公司所有。这是从批准程序上对利益冲突交易进行规范。
公司法上述规定的问题在于,首先,似乎不包括董事、高级管理人员的关联方(关联个人和关联机构),他们有可能通过关联交易(间接利益冲突交易)规避法律;其次,似乎不禁止上述人员及其关联方参加投票,他们如果是股东的话也可以参加投票;第三,似乎不要求上述人员披露上述合同或交易的内容及其利益关系(或关联关系),他们有可能通过隐瞒信息取得股东(大)会同意;第四,似乎不包括“公平”、“公允”等实体性规范,在“内部人”控制的公司中,仅凭程序性规范未必就能奏效。
总之,包括关联交易在内的利益冲突交易非常复杂。除了上述人员之外,还有控股股东、实际控制人参与其中。对此,需要通盘考虑、全面规范。
