7月,財政部、證監會、審計署、銀監會、保監會聯合發布《企業內部控制基本規范》(征求意見稿)。基本規范從中國的實際出發,借鑒了美國COSO《內部控制統一框架》,確立了以企業為主體、以政府監管為促進、以中介機構審計為重要組成部分的實施機制。
據報道,該規范將于明年7月1日起首先在上市公司范圍內實施,并鼓勵非上市的其他大中型企業執行。基本規范的發布標志著中國內部控制制度建設取得了重大突破,并將對公司、證券以及國有資產管理等相關制度產生深遠影響。
一、定義、目標、要素
基本規范首先界定了內部控制的含義。根據該規范,內部控制是由董事會、管理層和全體員工共同實施的、旨在合理保證實現企業經營管理基本目標的一系列控制活動。
內部控制的目標包括:企業戰略,經營的效率和結果,財務報告及管理信息的真實、可靠和完整,資產的安全完整,遵循國家法律法規和有關監管要求。
二、內部控制與風險管理
最重要的是,基本規范在形式上借鑒了COSO報告內部控制5要素框架,同時在內容上體現了其風險管理8要素框架的實質,構建了以內部環境為重要基礎、以風險評估為重要環節、以控制措施為重要手段、以信息溝通為重要條件、以內部監督為重要保證的5要素框架。上述要素相互聯系、相互促進,構成一個統一的企業內部控制框架。
企業所面臨的環境是不確定的,企業家的基本職能是管理風險。無論從目的、目標,還是從要素來看,內部控制的根本功能是風險管理。
內部控制的目的是在合理的范圍內保證企業基本目標的實現。盈利是企業生存和發展的基礎。作為一種盈利性組織,企業的根本目標是盈利。如果不能盈利,就連自身的生存都難“保證”,其他目標無從談起。
天有不測風云。不確定性意味著,機會與風險并存。如果說機會代表盈利的可能,風險則代表虧損的可能。二者不過是一枚硬幣的兩面。風險種類很多,如宏觀、市場、技術、金融、財務、法律等各種風險。有的風險可以保險,有的是不可保險的。在這種情況下,要想“保證”盈利,就必須管理風險。
內部控制就是一種風險管理機制。其中,風險評估的功能是識別、分析、評價風險,控制措施的功能是處理、防范、化解風險,而內部監督則是對整個過程進行監控。巧婦難為無米之炊。要想識別、處理風險,就必須收集、傳遞、溝通、應用信息,就要進行信息溝通,為風險管理提供事實依據。上述要素密切相關,體現為風險的識別、處理、反饋。
總之,風險管理是一個完整的過程。在這個過程中,內部控制的各個要素分別處于不同階段。其中,風險評估、信息溝通處于認識階段;控制措施、內部監督處于實踐階段,而內部環境則構成制度基礎。
三、內部控制與公司治理
公司治理是為了實現公司價值最大化,而在股東、董事、監事、高級管理人員之間進行權責分配,并在此基礎上進行決策、監督。其中,權責分配屬于關系要素;決策、監督則屬于行為要素。無論從目的還是從要素來說,內部控制是公司治理的重要內容。
首先,內部控制的目的是合理保證公司基本目標的實現。這也正是公司治理的目的。其次,內部環境要素的核心是權責分配,而權責分配既是公司治理的關系要素,也是內部控制的制度基礎。第三,內部監督要素本身就是公司治理的行為要素,也是內部控制的重要保證。第四,內部控制的其它要素也與公司治理密切相關。從功能上講,風險評估、控制措施、信息溝通屬于風險管理的不同環節,而企業家的基本職能就是管理風險。
需要強調的是,企業是內部控制的主體。無論在公司治理還是在內部控制中,董事和高級管理人員都發揮著至關重要的作用。
根據基本規范,董事會以及董事長應當加強對本企業內部控制建立和實施情況的指導和監督,對本企業內部控制的建立健全和有效實施負責;經理負責組織領導本企業內部控制的日常運行;總會計師主要負責與財務報告的真實可靠、資產的安全完整密切相關的內部控制的建立健全與有效執行。上述規范的法律依據是公司法對上述人員職責和義務的有關規定。例如,公司法規定,董事、監事和高級管理人員應當遵守法律、行政法規和公司章程,對公司負有忠實義務和勤勉義務。
公司法上述規定的問題是過于原則,且并不要求上述人員遵守有關監管要求。無論從內部控制規范與公司法的銜接,還是從公司法自身的完善來說,有必要進一步明確上述人員的法定義務。只有這樣,才能切實改變無法可依、無人負責的狀況。
內部控制規范與董事、高級管理人員的勤勉義務密切相關。對此,公司法并沒有做出具體規定。為了進一步加強公司治理和內部控制,有必要通過公司立法,對上述人員的勤勉義務作出具體規定。
從內部控制規范與公司法的銜接來說,應當要求所有公司建立健全并有效實施信息與報告系統,進一步要求上市公司建立健全并有效實施內部控制系統,并將確保上述系統的建立健全和有效實施規定為董事、高級管理人員的勤勉義務。立法建議如下:
公司(上市公司)董事、高級管理人員應當根據有關法律、法規和監管要求,指導和監督本公司(上市公司)信息與報告系統(內部控制系統)的建立和實施情況,對本公司信息與報告系統(內部控制系統)的建立健全和有效實施負責。
內部控制規范還與董事、高級管理人員的忠誠義務密切相關。在這個方面也有一些漏洞。例如,公司法禁止董事、高級管理人員違反公司章程的規定或未經股東(大)會同意,與本公司訂立合同或進行交易,否則,所得的收入應當歸公司所有。這是從批準程序上對利益沖突交易進行規范。
公司法上述規定的問題在于,首先,似乎不包括董事、高級管理人員的關聯方(關聯個人和關聯機構),他們有可能通過關聯交易(間接利益沖突交易)規避法律;其次,似乎不禁止上述人員及其關聯方參加投票,他們如果是股東的話也可以參加投票;第三,似乎不要求上述人員披露上述合同或交易的內容及其利益關系(或關聯關系),他們有可能通過隱瞞信息取得股東(大)會同意;第四,似乎不包括“公平”、“公允”等實體性規范,在“內部人”控制的公司中,僅憑程序性規范很難奏效。
總之,包括關聯交易在內的利益沖突交易非常復雜。除了上述人員之外,還有控股股東、實際控制人參與其中。對此,需要通盤考慮、全面規范。
