企业合规与法务、内控、内审及风险管理
发布时间:2018-07-10
文 | 郭青红 汇业律师事务所 合伙人
本文旨在对企业法务、内控、内审、风险管理做一简要介绍,希望能帮助了解和厘清企业合规与它们之间的关系。其中包括笔者从法律视角提出的一些观点。不妥之处,敬请斧正。
在本文中,企业合规是指企业大合规。
一、企业合规与企业法务
企业法务,即企业法律事务。
企业法务的主要内容包括法律跟踪、法律咨询、公司治理法律事务、并购重组法律事务、合同法律事务、知识产权法律事务、争议解决、法律培训和对外部律师进行管理等。
企业合规中的“规”,包括国际条约、国家法律法规、国家及行业标准、行业监管规定、行业自律性文件、社区规范以及道德规范和公序良俗等。企业法务更侧重于国际条约、国家法律法规的适用。因此,企业合规的范围要广于企业法务,但企业法务是企业合规最重要和最核心的组成部分。
企业法务虽然也涉及相关法律事务的管理,如合同管理、争议解决管理、知识产权管理等,但更在于使用专业法律知识提供实务层面的法律服务,如:法律咨询,项目谈判,合同起草与修改,仲裁与诉讼等。企业合规则实务和程序兼顾。企业合规管理需要建立全面合规管理体系,包括建立合规组织;制定和实施合规政策、流程和制度;建立合规风险管理体系,进行合规风险识别、评价、应对和报告;收集、整理合规规范;还需要进行合规审查、合规评审、合规培训以及违规调查和违规处置等。
企业法务由企业法务部门负责。遗憾的是,中国国内还有很多企业没有专的门法务部门或人员,也未聘请外部律师协助企业处理企业内部法律事务,更没有设立企业合规组织开展企业合规管理。
二、企业合规与企业内控
企业内控,即企业内部控制。
现代企业内部控制产生于二十世纪初叶。1947年美国会计师协会的审计程序委员会发布《审计程序公告》,使内部控制成为一项法定的审计步骤。1977年美国反海外腐败法案除了反腐败条款外,另一重要内容就是要求企业建立充分的内部会计控制。1992年9月,美国 COSO(即美国反虚假财务报告委员会下属的发起人委员会,下同)发布了《企业内部控制 -- 整合框架》。美国国会于2002年7月通过了萨班斯法案(Sarbanes-Oxley法案),要求所有在美国的上市公司必须建立和完善企业内部控制体系。此后,企业内部控制越来越多地被西方国家和日本等纳入国家法律法规的范畴。
1996年,我国财政部发布《独立审计准则第9号 -- 内部控制与审计风险》,首次提在国内出了企业内部控制。1999年修订的《会计法》第一次以法律形式对建立健全企业内部控制提出了原则性要求。之后,财政部连续发布了《内部会计控制规范 -- 基本规范》等7项内部会计控制规范。2008年6月28日,财政部等五部门联合发布了《企业内部控制基本规范》,2010年4月26日又发布了《企业内部控制应用指引》,标志着中国企业内部控制规范体系基本建成。
美国审计程序委员会《审计准则公告》将内部控制定义为:“内部控制是在一定的环境下,企业为了提高经营效率、充分有效地获得和使用各种资源,达到既定管理目标,而在企业内部实施的各种制约和调节的组织、计划、程序和方法。”我国《企业内部控制基本规范》规定,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
随着企业内部控制的不断发展和完善,企业内部控制从早期的企业内部会计控制不断发展并扩充自己的范围和内容。我国《企业内部控制应用指引》将企业内部控制分为组织框架、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、信息传递、信息系统等十八个方面,使企业内部控制贯穿企业运营管理的各个环节及各个方面。
保证企业经营管理合法合规,是企业企业内部控制的主要目标之一。企业内部控制包括企业合规。企业合规在促使、保障企业遵守适用于企业的法律、法规、规范和标准方面,实践、支持企业内部控制,是企业内部控制基本的内容、目标和保障。企业内部控制强调设计和建立相互制衡的组织机构和授权,设计、制定、实施企业内部控制的制度和流程,并对这些制度和流程的实施进行评价和监督。企业合规强调企业运营管理的各个方面是否符合适用于企业的各项法律、法规、规范和标准,包括是否符合企业内部控制的制度和流程。
三、企业合规与企业内审
企业内审,即企业内部审计。
二十世纪三十年代美国金融危机以及之后跨国公司的快速发展,使得现代企业内部审计也在美国产生并迅速发展。1941年11月11日,由瑟斯顿(John B. Thurston)等40多位内审人员在纽约成立国际内部审计师协会(IIA,下同),诞生了第一个内审协会机构,1978年6月,IIA制定了《内部审计实务标准》。
在我国,国务院于1983年8月23日批转审计署关于开展审计工作几个问题的请示,标志着我国内部审计监督的开始。1985年8月,国务院发布《内部审计暂行规定》,是我国第一部关于内部审计的法律规范。2003年中国内部审计协会发布《内部审计基本准则》等首批内部准则,形成了较为完善的内部审计准则体系。2004年8月23日,国资委又颁布了《中央企业内部审计管理暂行办法》。
按照IIA《内部审计实务标准》,内部审计定是一种独立、客观的确认和咨询活动,旨在增加组织的价值和改善组织的运营。它通过应用系统化、规范化的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。我国《内部审计基本准则》将内部审计定义为组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
我国《企业内部控制基本规范》规定,企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。我国《中央企业内部审计管理暂行办法》强调,企业应当建立相对独立的内部审计机构,国有控股和国有独资公司应在董事会下设审计委员会。企业内部审计机构应当接受审计委员会的监督和指导,直接对企业董事会(或主要负责人)负责。
内部审计具有评价和监督等职能,是内部控制的重要方式之一,也是对内部控制执行情况的一种监督形式,是企业内部控制体系的组成部分。但是,内部审计具有相对独立性,它通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和监督,直接向企业董事会及其审计委员会、监事会提出建议和报告。
企业合规与内部审计同为企业内部控制体系的组成部分。企业合规也是企业内部审计的对象和内容之一,即企业内部审计对企业合规管理进行评价、监督并提出意见和建议。企业合规又向企业内部审计提供法律支持,包括提供审计所依据的法律、法规、规范和标准,并根据企业内部审计的需要提供法律意见及合规意见等。企业合规部门开展违规调查,涉及财务、会计合规时,需要企业内部审计共同参与和提供专业性支持。
四、企业合规与企业风险管理
1955年,美国宾夕法尼亚大学施耐德教授第一次提出了企业风险管理的概念。1983年,在美国召开的风险和保险管理协会年会上讨论并通过了“101条风险管理准则”,标志着企业风险管理走向实践化。1995年由澳大利亚和新西兰联合制订的AS/NZS 4360(即澳新ERM标准)明确定义了风险管理的标准程序,诞生了第一个由国家制定的风险管理标准。2004年9月,美国COSO发布《企业风险管理——整合框架》,拓展了内部控制的范围和内容,更加关注企业全面风险管理这一更为宽泛的领域。
我国国资委于2006年6月6日颁布《中央企业全面风险管理指引》,以法规形式对中央企业建立企业全面风险管理体系提出了要求。2007年4月6日,保监会发布《保险公司风险管理指引》。2016年9月27日,银监会发布《银行业金融机构全面风险管理指引》。
美国COSO在《企业风险管理 -- 整合框架》中将企业风险管理定义为:企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。我国《中央企业全面风险管理指引》把企业风险划分为为战略风险、财务风险、市场风险、运营风险、法律风险等,将全面风险管理定义为:企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
企业全面风险管理则贯穿于企业经营管理的各个方面,包括对战略风险、财务风险、市场风险、运营风险、法律风险、社会责任风险等企业经营各个方面风险的管控。企业内部控制主要是对企业运营管理风险的管控,因此,企业全面风险管理涵盖了企业内部控制,企业内部控制系统是全面风险管理体系的一个子系统。
企业合规作为是企业内部控制基本的内容、目标和保障,也是企业全面风险管理重要和核心的内容。我国《保险公司合规管理办法》就规定,合规管理是保险公司全面风险管理的一项重要内容,也是实施有效内部控制的一项基础性工作。 我国银监会《商业银行合规风险管理指引》第四条业规定,合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性,确保各项风险管理政策和程序的一致性。
后记
1.从范围上来看,企业全面风险管理的范围最广,涵盖了战略风险、财务风险、市场风险、运营风险、法律风险和社会责任风险等企业所面临风险的各个方面,关系到企业的整体和长远发展。
企业内部控制属于企业全面风险管理的一部分,是企业全面风险管理的主要内容。企业内部控制的管控对象为企业运营管理风险,涉及企业运营和管理的各个方面。企业内部控制从早期的企业内部会计控制不断发展并扩充自己的范围和内容,现代企业内部控制已经涵盖了企业运营管理的各个环节及各个方面,也已涵盖了企业全面风险管理的主要内容。
企业合规和企业内审同属于企业内部控制的一部分。
企业内审具有相对独立性,是对企业经营活动及内部控制的适当性、合法性和有效性独立地进行监督、审查和评价,包括对企业合规管理进行评价、监督并提出意见和建议。
企业合规是企业内部控制乃至企业全面风险管理的最基础、最核心的部分,实践、支持企业内部控制,是企业内部控制基本的内容、目标和保障。
企业法务又是是企业合规中最重要和最核心的部分。
2.从组织机构和管理体系的建设上来看,企业全面风险管理中的战略风险、财务风险、市场风险、法律风险、社会责任风险等,涉及等企业的宏观、整体和长远发展,其风险的识别、评价、应对和改进有更高的要求和专业的方法,宜建立相对独立的宏观风险管理体系,由企业董事会设立和领导高层级的风险管理部门(如风险管理委员会)来负责。
企业内部控制更侧重于建立组织、制度和流程,强调运营和管理风险的识别、评价、审查、应对、持续改进等实务操作,宜由内控部门牵头负责、各相关业务部门共同参与。
由于其独立性,企业内审有着特殊的地位,大的企业集团董事会往往都设立了审计委员会来领导和管理独立的企业内部审计部门。
企业合规是企业内部控制的一部分和基础性工作,但因为涉及法律、法规、规范和标准而具有其专业性特点,宜由企业合规部门牵头负责、各相关业务部门共同参与。
企业法务是企业合规部门的最重要组成部分,须由企业法务部门、法务人员或者外部律师负责。
企业全面风险管理、内部控制、企业合规、企业内审、企业法务只是范围不一样,相互之间并不矛盾。企业需要将全面风险管理、内部控制、企业合规、企业内审和企业法务的组织机构和管理体系进行科学融合,统一协调,合理安排,避免出现相互矛盾或者机构、职能、制度、流程、人员交叉重叠的情况。
3.从管理体系的选择上来看,企业全面风险管理体系的产生虽然晚一些,但越来越多地被大型跨国企业集团所采用和实践。我国国资委于2006年6月6日颁布《中央企业全面风险管理指引》以来,要求中央企业逐步建立企业全面风险管理体系,加强内控体系建设,确保企业合规,培育良好的企业风险管理文化。
当然,企业需要综合考虑自身业务规模、经营管理特点、发展阶段、信息技术条件、内外部环境要求、行业风险特点等,选择适合自身需要的管理体系。例如,从企业规模来看,大型跨国企业集团、中央企业、上市公司可能需要建立全面风险管理体系(含内控体系、合规体系以及内审体系等),中型企业可能建立企业内控体系(含内部会计控制体系、合规体系和内审体系等)就能满足需要,而小型企业和处于刚刚起步阶段的企业就必须建立企业合规管理体系。从行业风险特点来看,监管比较严格的行业如金融行业、医药行业、互联网企业等,企业合规管理体系的建设和完善就显得更加重要和迫切一些。
4.企业合规是企业内部控制乃至企业全面风险管理的基础和保障。依法治企,建立和实施企业全面合规管理体系,培育企业合规文化,是每个企业的最基本责任。在我国,欧美大型跨国企业集团(尤其是美资企业)在中国投资设厂时,就较早地将企业合规带入了它们在中国设立的合资企业、合作企业和独资企业。我国银行、保险公司等金融机构从2006年起就率先开展企业合规。2017年12月29日,中国标准化管理委员会发布了ISO 19600《合规管理体系 指南》(GB/T 35770-2017)。据悉,我国国资委也正在起草《中央企业合规管理工作指引》。就我国企业而言,重组上市、新兴产业(如互联网+、人工智能)等对企业合规有了更高的要求,改革开放、“一带一路”战略促进跨国并购、跨境业务、海外投资迅猛发展,中国企业的合规管理亟待发展、加强和完善。
5.上海市汇业律师事务所拥有专业的企业合规管理团队,在合规管理培训、建立合规组织、建立合规管理体系、合规审查、合规评审、合规调查、企业业务合规流程等各方面向客户提供企业合规管理服务。
继本文之后,我们将相继推出企业合规管理体系、企业合规组织以及企业业务合规流程等方面的文章,敬请关注。
