企業合規與法務、內控、內審及風險管理

發布時間:2018-07-10

文 | 郭青紅 匯業律師事務所 合伙人

本文旨在對企業法務、內控、內審、風險管理做一簡要介紹,希望能幫助了解和厘清企業合規與它們之間的關系。其中包括筆者從法律視角提出的一些觀點。不妥之處,敬請斧正。

在本文中,企業合規是指企業大合規。

一、企業合規與企業法務

企業法務,即企業法律事務。

企業法務的主要內容包括法律跟蹤、法律咨詢、公司治理法律事務、并購重組法律事務、合同法律事務、知識產權法律事務、爭議解決、法律培訓和對外部律師進行管理等。

企業合規中的“規”,包括國際條約、國家法律法規、國家及行業標準、行業監管規定、行業自律性文件、社區規范以及道德規范和公序良俗等。企業法務更側重于國際條約、國家法律法規的適用。因此,企業合規的范圍要廣于企業法務,但企業法務是企業合規最重要和最核心的組成部分。

企業法務雖然也涉及相關法律事務的管理,如合同管理、爭議解決管理、知識產權管理等,但更在于使用專業法律知識提供實務層面的法律服務,如:法律咨詢,項目談判,合同起草與修改,仲裁與訴訟等。企業合規則實務和程序兼顧。企業合規管理需要建立全面合規管理體系,包括建立合規組織;制定和實施合規政策、流程和制度;建立合規風險管理體系,進行合規風險識別、評價、應對和報告;收集、整理合規規范;還需要進行合規審查、合規評審、合規培訓以及違規調查和違規處置等。

企業法務由企業法務部門負責。遺憾的是,中國國內還有很多企業沒有專的門法務部門或人員,也未聘請外部律師協助企業處理企業內部法律事務,更沒有設立企業合規組織開展企業合規管理。

二、企業合規與企業內控

企業內控,即企業內部控制。

現代企業內部控制產生于二十世紀初葉。1947年美國會計師協會的審計程序委員會發布《審計程序公告》,使內部控制成為一項法定的審計步驟。1977年美國反海外腐敗法案除了反腐敗條款外,另一重要內容就是要求企業建立充分的內部會計控制。1992年9月,美國 COSO(即美國反虛假財務報告委員會下屬的發起人委員會,下同)發布了《企業內部控制 -- 整合框架》。美國國會于2002年7月通過了薩班斯法案(Sarbanes-Oxley法案),要求所有在美國的上市公司必須建立和完善企業內部控制體系。此后,企業內部控制越來越多地被西方國家和日本等納入國家法律法規的范疇。

1996年,我國財政部發布《獨立審計準則第9號 -- 內部控制與審計風險》,首次提在國內出了企業內部控制。1999年修訂的《會計法》第一次以法律形式對建立健全企業內部控制提出了原則性要求。之后,財政部連續發布了《內部會計控制規范 -- 基本規范》等7項內部會計控制規范。2008年6月28日,財政部等五部門聯合發布了《企業內部控制基本規范》,2010年4月26日又發布了《企業內部控制應用指引》,標志著中國企業內部控制規范體系基本建成。

美國審計程序委員會《審計準則公告》將內部控制定義為:“內部控制是在一定的環境下,企業為了提高經營效率、充分有效地獲得和使用各種資源,達到既定管理目標,而在企業內部實施的各種制約和調節的組織、計劃、程序和方法?!蔽覈镀髽I內部控制基本規范》規定,內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略。

隨著企業內部控制的不斷發展和完善,企業內部控制從早期的企業內部會計控制不斷發展并擴充自己的范圍和內容。我國《企業內部控制應用指引》將企業內部控制分為組織框架、發展戰略、人力資源、社會責任、企業文化、資金活動、采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包、財務報告、全面預算、合同管理、信息傳遞、信息系統等十八個方面,使企業內部控制貫穿企業運營管理的各個環節及各個方面。

保證企業經營管理合法合規,是企業企業內部控制的主要目標之一。企業內部控制包括企業合規。企業合規在促使、保障企業遵守適用于企業的法律、法規、規范和標準方面,實踐、支持企業內部控制,是企業內部控制基本的內容、目標和保障。企業內部控制強調設計和建立相互制衡的組織機構和授權,設計、制定、實施企業內部控制的制度和流程,并對這些制度和流程的實施進行評價和監督。企業合規強調企業運營管理的各個方面是否符合適用于企業的各項法律、法規、規范和標準,包括是否符合企業內部控制的制度和流程。

三、企業合規與企業內審

企業內審,即企業內部審計。

二十世紀三十年代美國金融危機以及之后跨國公司的快速發展,使得現代企業內部審計也在美國產生并迅速發展。1941年11月11日,由瑟斯頓(John B. Thurston)等40多位內審人員在紐約成立國際內部審計師協會(IIA,下同),誕生了第一個內審協會機構,1978年6月,IIA制定了《內部審計實務標準》。

在我國,國務院于1983年8月23日批轉審計署關于開展審計工作幾個問題的請示,標志著我國內部審計監督的開始。1985年8月,國務院發布《內部審計暫行規定》,是我國第一部關于內部審計的法律規范。2003年中國內部審計協會發布《內部審計基本準則》等首批內部準則,形成了較為完善的內部審計準則體系。2004年8月23日,國資委又頒布了《中央企業內部審計管理暫行辦法》。

按照IIA《內部審計實務標準》,內部審計定是一種獨立、客觀的確認和咨詢活動,旨在增加組織的價值和改善組織的運營。它通過應用系統化、規范化的方法,評價并改善風險管理、控制和治理過程的效果,幫助組織實現其目標。我國《內部審計基本準則》將內部審計定義為組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。

我國《企業內部控制基本規范》規定,企業應當加強內部審計工作,保證內部審計機構設置、人員配備和工作的獨立性。內部審計機構應當結合內部審計監督,對內部控制的有效性進行監督檢查。內部審計機構對監督檢查中發現的內部控制缺陷,應當按照企業內部審計工作程序進行報告;對監督檢查中發現的內部控制重大缺陷,有權直接向董事會及其審計委員會、監事會報告。我國《中央企業內部審計管理暫行辦法》強調,企業應當建立相對獨立的內部審計機構,國有控股和國有獨資公司應在董事會下設審計委員會。企業內部審計機構應當接受審計委員會的監督和指導,直接對企業董事會(或主要負責人)負責。

內部審計具有評價和監督等職能,是內部控制的重要方式之一,也是對內部控制執行情況的一種監督形式,是企業內部控制體系的組成部分。但是,內部審計具有相對獨立性,它通過對經營活動及內部控制的適當性、合法性和有效性進行審查、評價和監督,直接向企業董事會及其審計委員會、監事會提出建議和報告。

企業合規與內部審計同為企業內部控制體系的組成部分。企業合規也是企業內部審計的對象和內容之一,即企業內部審計對企業合規管理進行評價、監督并提出意見和建議。企業合規又向企業內部審計提供法律支持,包括提供審計所依據的法律、法規、規范和標準,并根據企業內部審計的需要提供法律意見及合規意見等。企業合規部門開展違規調查,涉及財務、會計合規時,需要企業內部審計共同參與和提供專業性支持。

四、企業合規與企業風險管理

1955年,美國賓夕法尼亞大學施耐德教授第一次提出了企業風險管理的概念。1983年,在美國召開的風險和保險管理協會年會上討論并通過了“101條風險管理準則”,標志著企業風險管理走向實踐化。1995年由澳大利亞和新西蘭聯合制訂的AS/NZS 4360(即澳新ERM標準)明確定義了風險管理的標準程序,誕生了第一個由國家制定的風險管理標準。2004年9月,美國COSO發布《企業風險管理——整合框架》,拓展了內部控制的范圍和內容,更加關注企業全面風險管理這一更為寬泛的領域。

我國國資委于2006年6月6日頒布《中央企業全面風險管理指引》,以法規形式對中央企業建立企業全面風險管理體系提出了要求。2007年4月6日,保監會發布《保險公司風險管理指引》。2016年9月27日,銀監會發布《銀行業金融機構全面風險管理指引》。

美國COSO在《企業風險管理 -- 整合框架》中將企業風險管理定義為:企業風險管理是一個過程,受企業董事會、管理層和其他員工的影響,包括內部控制及其在戰略和整個公司的應用,旨在為實現經營的效率和效果、財務報告的可靠性以及法規的遵循提供合理保證。我國《中央企業全面風險管理指引》把企業風險劃分為為戰略風險、財務風險、市場風險、運營風險、法律風險等,將全面風險管理定義為:企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。

企業全面風險管理則貫穿于企業經營管理的各個方面,包括對戰略風險、財務風險、市場風險、運營風險、法律風險、社會責任風險等企業經營各個方面風險的管控。企業內部控制主要是對企業運營管理風險的管控,因此,企業全面風險管理涵蓋了企業內部控制,企業內部控制系統是全面風險管理體系的一個子系統。

企業合規作為是企業內部控制基本的內容、目標和保障,也是企業全面風險管理重要和核心的內容。我國《保險公司合規管理辦法》就規定,合規管理是保險公司全面風險管理的一項重要內容,也是實施有效內部控制的一項基礎性工作。 我國銀監會《商業銀行合規風險管理指引》第四條業規定,合規管理是商業銀行一項核心的風險管理活動。商業銀行應綜合考慮合規風險與信用風險、市場風險、操作風險和其他風險的關聯性,確保各項風險管理政策和程序的一致性。

后記

1.從范圍上來看,企業全面風險管理的范圍最廣,涵蓋了戰略風險、財務風險、市場風險、運營風險、法律風險和社會責任風險等企業所面臨風險的各個方面,關系到企業的整體和長遠發展。

企業內部控制屬于企業全面風險管理的一部分,是企業全面風險管理的主要內容。企業內部控制的管控對象為企業運營管理風險,涉及企業運營和管理的各個方面。企業內部控制從早期的企業內部會計控制不斷發展并擴充自己的范圍和內容,現代企業內部控制已經涵蓋了企業運營管理的各個環節及各個方面,也已涵蓋了企業全面風險管理的主要內容。

企業合規和企業內審同屬于企業內部控制的一部分。

企業內審具有相對獨立性,是對企業經營活動及內部控制的適當性、合法性和有效性獨立地進行監督、審查和評價,包括對企業合規管理進行評價、監督并提出意見和建議。

企業合規是企業內部控制乃至企業全面風險管理的最基礎、最核心的部分,實踐、支持企業內部控制,是企業內部控制基本的內容、目標和保障。

企業法務又是是企業合規中最重要和最核心的部分。

2.從組織機構和管理體系的建設上來看,企業全面風險管理中的戰略風險、財務風險、市場風險、法律風險、社會責任風險等,涉及等企業的宏觀、整體和長遠發展,其風險的識別、評價、應對和改進有更高的要求和專業的方法,宜建立相對獨立的宏觀風險管理體系,由企業董事會設立和領導高層級的風險管理部門(如風險管理委員會)來負責。

企業內部控制更側重于建立組織、制度和流程,強調運營和管理風險的識別、評價、審查、應對、持續改進等實務操作,宜由內控部門牽頭負責、各相關業務部門共同參與。

由于其獨立性,企業內審有著特殊的地位,大的企業集團董事會往往都設立了審計委員會來領導和管理獨立的企業內部審計部門。

企業合規是企業內部控制的一部分和基礎性工作,但因為涉及法律、法規、規范和標準而具有其專業性特點,宜由企業合規部門牽頭負責、各相關業務部門共同參與。

企業法務是企業合規部門的最重要組成部分,須由企業法務部門、法務人員或者外部律師負責。

企業全面風險管理、內部控制、企業合規、企業內審、企業法務只是范圍不一樣,相互之間并不矛盾。企業需要將全面風險管理、內部控制、企業合規、企業內審和企業法務的組織機構和管理體系進行科學融合,統一協調,合理安排,避免出現相互矛盾或者機構、職能、制度、流程、人員交叉重疊的情況。

3.從管理體系的選擇上來看,企業全面風險管理體系的產生雖然晚一些,但越來越多地被大型跨國企業集團所采用和實踐。我國國資委于2006年6月6日頒布《中央企業全面風險管理指引》以來,要求中央企業逐步建立企業全面風險管理體系,加強內控體系建設,確保企業合規,培育良好的企業風險管理文化。

當然,企業需要綜合考慮自身業務規模、經營管理特點、發展階段、信息技術條件、內外部環境要求、行業風險特點等,選擇適合自身需要的管理體系。例如,從企業規模來看,大型跨國企業集團、中央企業、上市公司可能需要建立全面風險管理體系(含內控體系、合規體系以及內審體系等),中型企業可能建立企業內控體系(含內部會計控制體系、合規體系和內審體系等)就能滿足需要,而小型企業和處于剛剛起步階段的企業就必須建立企業合規管理體系。從行業風險特點來看,監管比較嚴格的行業如金融行業、醫藥行業、互聯網企業等,企業合規管理體系的建設和完善就顯得更加重要和迫切一些。

4.企業合規是企業內部控制乃至企業全面風險管理的基礎和保障。依法治企,建立和實施企業全面合規管理體系,培育企業合規文化,是每個企業的最基本責任。在我國,歐美大型跨國企業集團(尤其是美資企業)在中國投資設廠時,就較早地將企業合規帶入了它們在中國設立的合資企業、合作企業和獨資企業。我國銀行、保險公司等金融機構從2006年起就率先開展企業合規。2017年12月29日,中國標準化管理委員會發布了ISO 19600《合規管理體系 指南》(GB/T 35770-2017)。據悉,我國國資委也正在起草《中央企業合規管理工作指引》。就我國企業而言,重組上市、新興產業(如互聯網+、人工智能)等對企業合規有了更高的要求,改革開放、“一帶一路”戰略促進跨國并購、跨境業務、海外投資迅猛發展,中國企業的合規管理亟待發展、加強和完善。

5.上海市匯業律師事務所擁有專業的企業合規管理團隊,在合規管理培訓、建立合規組織、建立合規管理體系、合規審查、合規評審、合規調查、企業業務合規流程等各方面向客戶提供企業合規管理服務。

繼本文之后,我們將相繼推出企業合規管理體系、企業合規組織以及企業業務合規流程等方面的文章,敬請關注。



返回列表