电子邮件 网上办公

邀兵请将  
您现在所在位置: 德衡商法网  >   业务领域  >   合规与企业法治业务中心

合规与风控专栏 | 陶光辉:内部控制的基本原理:目标、要素与局限

发布日期:2021-03-23
陶光辉

德衡律师集团高级合伙人







内部控制纳入法务工作范畴是法务4.0时代的特点。这不是说之前内部控制工作不存在,其实内部控制的起源和发展,甚至比企业法务还要早,还要受关注。只不过以前的内部控制工作往往是由公司的财务部来主导的,或者设置一个单独的内控部,归属于财务主管。内部控制工作从强调财务报告的真实性,转向以防控风险为主导,以提高经营效率与效果为目标,是当今企业内部控制发展的一种趋势。这种趋势与法治管理、合规创造价值等理念,正是一致的。故内部控制工作归为一个统一的“企业法治中心”管理,也是可理解的。




01

一、内部控制的定义



内部控制,如从字面意思理解,它是企业内的主体,包括董事会、管理层等,出于某种目标去控制企业。因为企业是拟制的实体,所以这里的控制者和被控制者是重合的。例如,在某些情况下,公司的部门管理人员对下属发出指令,要求下属按指令行事。这是控制主体。在某些情况下,公司部门管理人员按公司总经理的指令行事,这是受控对象。但内部控制肯定不仅是发出指令、按指令行事等这么简单,它涉及一整套的控制、激励机制。


根据财政部等五部委2008年5月印发《企业内部控制基本规范》第三条的规定,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这里的控制目标包括五个层面:1)合理保证企业经营管理合法合规;2)资产安全;3)财务报告及相关信息真实完整;4)提高经营效率和效果;5)促进企业实现发展战略。这五个层面的目标,是相当宏大的,特别是第4个、第5个层面,它把内部控制工作与企业的经营管理工作的边界模糊化了。这其实是内控工作在某种程度上没有取得良好效果的原因,也是其受到一定质疑的根源所在。但不管怎样,企业仍然需要内控作为一项独立的工作职能。从这个定义中,可以看出内部控制的主体是董事会、监事会、经理层和全体员工;内部控制的本质是实现控制目标的企业管理过程。


另有一个权威的内部控制定义来源,即COSO于1992年初次发布,于2013年5月发布新版的《内部控制——整合框架》。该整合框架给出如下定义:内部控制是一套流程,受组织的董事会,管理层和其他员工所影响,被设计并用来为组织提供合理保证,使其实现运营,报告和遵循目标。COSO认为,内部控制是一个持续不断的过程,包括各种任务和活动——一个达到目的的手段,而非目的本身;受人的影响——不仅仅是制度和流程手册,体系和表单,而是组织各个层级的人和他们所采取的行动;可以向组织的高级管理层和董事会提供合理保证——而非绝对保证;可以适应组织的结构——可灵活应用于整个组织或一个分支机构,业务部,运营单元或业务流程。


这个定义与《企业内部控制基本规范》的定义基本类似,细微差别在于对目标的描述。《内部控制——整合框架》的目标是三个层面:运营、报告和遵循。《内部控制——整合框架》对控制目标有进一步描述。运营目标是指组织运营的效果和效率,包括运营和财务绩效目标,资产安全不受损失。报告目标是指内、外部的财务和非财务报告的可靠性、及时性、透明度,以及其他监管者、公认的标准制定机构和组织政策所要求的方面。遵循目标是指遵守对组织适用的法律法规。由此,可以看到两份文件在控制目标的设计上本质上也是没有差别的。最后可以得出,《企业内部控制基本规范》与《内部控制——整合框架》对内部控制的定义是基本一致的,包括内部控制的主体与对象、内部控制的控制目标、内部控制行为的本质,都是一致的。


02

二、内部控制的目标



在内部控制的定义里,已包含了对内部控制目标的描述。但根据经验以及内控工作的得失,正确的内部控制实施,其实应密切关注企业内部控制的目标。从权威文件显示的内部控制的目标,应包括三个类别。不同类别的内控目标,属于不同性质的内控要求,须用不同的内控手段。


第一个类别是控制型的目标。即通过控制企业的经营管理行为(也即董事会、监事会、经理层和全体员工的行为),达到合法合规、资产安全、报告真实完整的状态。达到这一类的目标,手段是控制,包括核准、授权、验证、调整、复核、职责、考核等等。要达到的三种状态是“合理保证”,不是必然的,不提供绝对保证。也就是说,即便存在标准和规范的内部控制,也无法确保其结果是完全合法合规或资产无任何损失,报告没有任何瑕疵等。这也是内部控制体系的价值定位。那些完全依赖内控或认为只要建立内控体系,即可万无一失的想法和认识是错误的,不切实际的。内控从来不给百分百保证,只给“合理保证”。这与本文提及的合规管理目标还是存在差别的。合规管理目标很明确,就是防范企业的合规风险。而合规风险基于“违规零容忍”的理念,合规管理最后应达到的状态是“确保”,而非“合理保证”。


第二个类别是协助型的目标。即协助提高企业经营的效率和效果。企业经营的效率和效果,主要是依靠企业的流程优化和商业模式创新等工作来实现的。很显然,无法单独依靠内部控制工作就把企业经营的效率和效果给提升了。在某种程度上,企业经营的效果,是建立在对现行控制体系的突破之上才有产生的土壤。这也是内控与创新的矛盾之处。因此,在达到这类内控目标时,要格外注意平衡。所幸的是,《企业内部控制基本规范》也提到了内控的原则包含了适应性原则和成本效益原则。从内控角度,提高企业经营的效率和效果的手段,与控制型目标的手段,要注意区别。更多情况下是,通过对业务流程的优化,间接达到提高经营的效率和效果的目标。这与实现第一个类别目标的“控制”时段是不一致的。


第三个类别是参与型的目标。即促进企业实现发展战略。企业的发展战略之实现,依赖的因素更是多种,是综合作用的结果。内部控制工作只是其中的一小部分,是参与型的。不能把企业实现发展战略主要建立在内部控制之上。相对淡化这一块的目标,可能对内部控制工作取得成效反而更有利。


当然,这些目标是交织在一起的。不能当作彼此孤立的,甚至是冲突的目标来对待,也不是某项控制措施、控制制度就只能完成某一个特定的目标。正确的认识,应该是内部控制的全部要素合并在一起,才构成完善的内部控制体系,也才可发挥其预期的目标。而且,这些预期的目标也是必然的,只是适当的、相对的。


03

三、内部控制的要素



内部控制的要素是内部控制体系建设与实施的相互关联的几个活动或机制。《企业内部控制基本规范》和《内部控制——整合框架》都规定了内部控制的五要素。因此五要素成为企业内控体系的核心。这五个要素分别是:内部环境(控制环境)、风险评估、控制活动、信息与沟通、内部监督(监督活动)。


内部环境是内部控制的第一个要素,是企业实施内部控制的重要基础。它包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。治理结构由四部分主体来实施:股东会行使企业经营方针、筹资、投资、利润分配等重大事项的表决权;董事会对股东会负责,行使企业的经营决策权;监事会对股东会负责,行使对董事、经理和其他高级管理人员履行职责的监督权;经营层负责组织实施股东会、董事会决议事项,主持企业的生产经营管理工作。


股东会和董事会为内部控制的重要性(包括期待的行为准则)提供高层定调(the tone at the top)。各个层级的管理活动,则应强化这种认知和期待。内部环境还包括吸引、开发和保留人才的政策,以及严格的绩效考核、激励机制,以保证绩效实现。内控环境也需要培育积极向上的价值观和社会责任感,倡导诚实守信精神,强化风险意识。内部环境会对内部控制的整体体系产生全面影响,董事、监事、经理层及其他高级管理人员应当在内部环境的建立与塑造中发挥主要作用。


第二个要素是风险评估。这是企业内部控制实施的重要依据。每个企业都面临着来自内外部的各类风险。风险是潜在事件发生并对企业实现其目标产生负面影响的可能性。风险评估的前提是确定相应的风险承受度,风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。内部控制的风险评估就是找到(识别)那些与内控目标相关联,风险承受度之外的风险。它是一个通过持续地收集相关信息,关注企业内、外部风险因素,根据企业要实现的内控目标,动态和反复识别的过程。


识别风险之后,进而采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险,即风险分析。最后根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。典型的风险应对策略包括风险规避、风险降低、风险分担和风险承受等。需要强调的是风险降低策略,即企业在权衡成本效益之后,采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。可以看出,内部控制的大部分控制措施,其实都是风险降低策略的体现。


第三个要素是控制活动。这是企业内部控制实施的重要手段。控制活动是结合风险评估的结果,通过手工控制与自动控制、预防性控制与发现性控制结合的方法,运用相应的控制措施,将风险控制在可承受度之内。这里的控制措施,主要是风险降低策略的措施。包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。这些措施,具有比较独特的内控特色,与合规管理的风险控制措施相比,存在一定的区别。主要在于合规风险与内控风险的性质是不一样的,但均作为风险控制手段,还是有相通性的。这也为一体化进行合规、内控活动创造了条件。


不相容职务分离控制是最具特色的内部控制活动。它需要梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。不相容职务是指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和弊端行为的职务。例如授权、审批、执行、记录等职责,如果集中于一人身上,那么容易发生舞弊的情况。不相容职务分离的核心是“内部牵制”,它要求每项业务都要经过两个或两个以上的部门或人员的处理,使得单个人或部门的工作必须与其他人或部门的工作相一致或相联系,并受其监督和制约。


第四个要素是信息与沟通。这是企业内部控制实施的重要条件。信息对于企业而言,对推进内控、促进其目标实现是非常必要的。管理层需要获得有效的内部或外部信息来支持内部控制其他要素的正常运转。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息;通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。重要信息应当及时传递给董事会、监事会和经理层。


沟通是一个持续和不断重复的提供、分享和获得必要的信息的过程。沟通是一个手段, 使得信息能够在整个组织向上、向下和横向扩散,能够帮助员工接受来自高层的清晰的信息。沟通过程中发现的问题,应当及时报告并加以解决。


第五个要素是内部监督。这是企业内部控制实施的重要保证。内部监督由内部审计机构或经授权的其他监督机构来履行职责。内部监督分日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。


在内部监督过程中,如发现与事先设置好的内部控制缺陷认定标准相符的内控缺陷,应分析缺陷的性质和产生原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,通过评价来确认内部控制的五个要素以及每个要素下的基本原则与举措是否存在并发挥作用,最后并出具内部控制自我评价报告。


04

四、内部控制的历史发展



内部控制的渊源是十分久远的,一开始是作为对人类组织,如部落、庄园、国家等的内部成员和活动进行牵制的手段。20世纪以前,都可称为“内部牵制”,其目的是纠错防弊。牵制的前提假设是两个或两个以上的人或部门无意识地犯同样错误的机会很小;两个或两个以上的人或部门有意识合伙舞弊的可能性大大低于一个人或一个部门舞弊的可能性。牵制的主要方式包括:分权牵制、实物牵制、机械牵制和簿记牵制等。内部牵制在现代内控理论中仍然占有重要地位,成为职务分离控制的基础。


现代意义上的内部控制产生于20世纪初,随着股份制公司规模日益扩大,所有权和经营权进一步分离而产生。1934年,美国颁布《证券交易法》,提出内部会计控制的概念,要求证券发行人设计并维护一套内部会计控制,作为抑制经济危机中虚假会计信息泛滥的措施之一。1949年,美国注册会计师协会所属的审计程序委员会在一份报告中,第一次正式给出了内部控制的定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。” 1977年,美国颁布《反海外腐败法》,该法案不仅成为合规管理的重要来源,也是第一次强制性将内控制度纳入法律管辖的范畴,使内控得到了广泛的重视。1998年,美国注册会计师协会发布的审计准则公告第55号《财务报表审计中对内部控制结构的考虑》,提出用“内部控制结构”取代原“内部控制”,不再区分内部会计控制和内部管理控制,并确定了内部控制结构包括控制环境、会计系统和控制程序三个要素。


1992年,COSO发布指导内部控制实践的纲领性文件《内部控制——整合框架》,提出内部控制由控制环境、风险评估、控制活动、信息与沟通、监控等五个相互独立又相互联系的要素构成。COSO报告是内部控制发展史上的一座重要里程牌,其提出的观点受业内推崇,成为世界通行的内控权威标准。2001年美国安然、世界通信、施乐等公司财务舞弊案相继爆发,暴露出美国公司在内控上存在诸多问题。2002年7月美国国会通过著名的《萨班斯—奥克斯利法案》。该法案的第404条规定,公司管理层需要对财务报告内部控制的有效性进行报告和评价。随着国际经济环境发生深刻变化,互联网信息技术的广泛运用,金融危机爆发等原因,促使管理者、监管部门和利益相关者迫切需要利用更加有效的内部控制框架来识别、应对和控制风险。为此,COSO在2013年5月发布新版的《内部控制——整合框架》,新框架保留了内部控制的核心定义及五个要素,对原版内容进行了优化和诠释。最重要的优化内容之一就是原框架中的基本概念性内容演变为具体原则,并与五要素结合在一起。


在国内,一开始明确要求建立企业内部控制机制是在金融机构和上市公司中提出来的。1997年5月16日,中国人民银行即发布了一份《中国人民银行加强金融机构内部控制的指导原则》文件。该文件虽已被2002年发布的《商业银行内部控制指引》废止,但该指导原则文件对内部控制的目标、原则、要素及内容、建立内部控制的基本要求、内部控制制度的管理与监督等均作了详细规定。随后几年内,在保险、证券领域,监管部门均发布了相应的保险公司内部控制指引、证券公司内部控制指引。2006年6月5日,上海证券交易所发布《上海证券交易所上市公司内部控制指引》。2006年9月28日,深圳证券交易所发布《深圳证券交易所上市公司内部控制指引》。该两份指引对上市公司的内部控制的基本要求、业务控制活动、检查与披露等均作了明确规定,对于上市公司规范运作起到了良好的促进作用。


国内最具有标志性价值的内部控制标准,是2008年5月22日由财政部、证监会、审计署,银监会,保监会等五个部委联合发布的《企业内部控制基本规范》。这是我国第一部通用的内部控制正式部门规章。2010年,五部委又联合发布了18项《企业内部控制应用指引》、以及《企业内部控制评价指引》和《企业内部控制审计指引》。2012年11月财政部印发《行政事业单位内部控制规范(试行)》。该《规范》分总则、风险评估和控制方法、单位层面内部控制、业务层面内部控制、评价与监督、附则等章节,自2014年1月1日起施行。2017年6月,财政部又印发《小企业内部控制规范(试行)》,分总则、内部控制建立与实施、内部控制监督、附则等章节,自2018年1月1日实施。2019年10月,国务院国资委发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》,提出中央企业要建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系。企业内部控制体系的建设与优化工作,再次掀起一阵高潮。


05

五、内部控制的局限性



在前论述内部控制的目标时,我们也提及内部控制体系为企业的目标达成只是提供“合理保证”,甚至“提供合理保证”本身才是目标。这种观点,被COSO所强调。COSO明确承认内部控制不是解决管理问题的灵丹妙药,是存在局限性的。在COSO发布的2013年版《内部控制——整合框架》中,甚至设置了专门的一章,用来讲述“内部控制的局限性”。COSO认为,承认局限性,是使得管理层在选择、执行和部署内部控制时,能够清楚内部控制在哪些方面存有限制,并能在切合实际的情况下将这些限制最小化。那么,哪些地方构成内部控制的局限性?


第一,内部控制设计存在缺陷。内部控制的设计是人为的,受设计者所掌握的信息和其知识及能力所限。一些基于人为和经验判断作出的决策,可能事后才会发现无法达到预期的结果。如果设计时没有考虑到一些重要因素,那么这个内部控制体系在运行时其有效性就会受到影响。


第二,外部环境发生变化。内部控制是在不同层级展开的,对于那些与运营的效率与效果,特别是发展战略的实现,较多地依赖于外部因素。当外部事件对这些目标的达成产生较大影响,且无法将影响降低或控制到企业可接受的水平,内部控制就无法对目标的达成提供保证,甚至是“合理保证”也无法提供。


第三,内部控制执行不到位。内部控制关键还在于执行,即便是设计再完善的内控体系,也需要员工的贯彻落实。员工可能会误解指令,可能由于粗心,可能由于懈怠,可能被分配过多任务而无法承受等等,导致执行不到位,从而内部控制不能发挥有效作用。


第四,管理层凌驾于内控之上。即使一个企业建立了有效的内控体系,仍会有一些管理层出于谋取个人利益而故意凌驾于内部控制之上。高管和部门主管人员都可能出于各种目的凌驾于内控之上。如虚增报告收入以掩盖业绩下滑带来的对己不利的影响,隐瞒一些不合规的行为。


第五,串谋舞弊。内部控制的不相容岗位分离机制能够规避个人舞弊行为的发生,但不能防范两个或两个以上的人员和部门共同作弊行为的发生。当个别员工合谋舞弊或犯罪时,往往能够修改财务信息或其他管理信息,从而使其不被内控体系发现或组织。




或许您还想看

合规与风控专栏 | 陶光辉:合规管理体系的运行过程——事前、事中与事后

合规与风控专栏 | 陶光辉:合规管理体系的搭建流程:十步法

合规与风控专栏 | 陶光辉:合规管理的基本原理:涵义、价值与要素

陶光辉:国有企业合规管理体系建设指南

陶光辉 :央、国企建立“企业法治中心”的时代要求、框架设计与流程重组

陶光辉:以合规管理为核心的企业法治运行

陶光辉:合规、内控、风险一体化管理体系的构建

陶光辉:DHH法务、合规、内控与风险一体化管理体系 建设服务方案

陶光辉 | 合规四库:合规管理落地清单

陶光辉:企业合规管理的八个基本问题

陶光辉:以风险管理为导向的企业内控与合规

陶光辉:“三三制”企业合规管理指引

陶光辉:如何构建一套完整的企业合规管理体系?


作者简介

陶光辉

德衡律师集团高级合伙人

陶光辉,德衡律师集团高级合伙人、集团合规与企业法治业务中心总监。法学硕士,高级经济师,曾任500强法务总监,获ALB2016中国最佳总法律顾问称号,目前担任“北大全球高端法商人才计划”(PKUGLBE)未来领袖授课专家,大连大学法学院客座教授,中国人民大学企业法治研究所研究员,青岛仲裁委互联网仲裁院副院长等社会职务,出版《公司法务部》、《法务之道》等书籍。陶律师专注国企合规与风控、法治管理等领域,为多家大型央、国企提供合规管理体系方面的培训与讲座,并发表多篇关于企业合规的文章。


手机:18201002170

邮箱:taoguanghui@deheng.com


质控人简介

王琳琳

合伙人

合规与企业法治业务中心执行总监

wanglinlin@deheng.com


合规与企业法治业务中心

  • 陶光辉

    总监

    合规管理,复杂商事争议,投资并购

    更多 》

  • 王琳琳

    执行总监

    企业合规,建设工程与基础设施,复杂商事争议

    更多 》

  • 郝宁

    管理总监

    合规管理,公司,企业法律顾问

    更多 》

  • 张文庆

    副总监

    合规管理,银行专业委委员会,执行专业委员工

    更多 》

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    400-1191-080

鲁公网安备 37020202000804号     山东德衡律师事务所ICP备案号:鲁ICP备05011736号    网站统计