欧美内部控制监管实践及对中国的启示:法律视角,本文主要内容关键词为:中国论文,内部控制论文,视角论文,启示论文,欧美论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
中图分类号:DF436 文献标识码:A 文章编号:1008-2972(2012)0113-07
一、引言及文献述评
二十一世纪最初十年横扫欧美的一系列公司丑闻重挫公众对公司及资本市场的信心,为了重拾公众信心,各国政府及监管部门纷纷采取举措,或出台新的法律法规,或对原有法律法规进行修订,但均围绕公司治理这个中心主题。与上世纪九十年代掀起公司治理热潮所不同的是,当今讨论的焦点已从先前诸如董事会规模和构成等公司治理的结构性问题转移到内部控制这一公司治理的实质性问题上来,因为公司治理不仅要加强问责制,还应为公司创造价值,[1]而公司的成功及董事会、经理层对受托责任的履行均离不开内部控制对公司面临各种风险的控制和消除。[2]由于近十年来全球不同国家都从公司治理高度强调内部控制,使得与内部控制有关的监管规定比以往任何时候都更为复杂。[3]随着中国《企业内部控制基本规范》(以下简称内控基本规范)的颁布,其实施问题即成为国内外各界关注的焦点。虽然在2010年内控配套指引发布会上各监管部门都表态将内控基本规范及配套指引的执行纳入日常监管之列,但不可否认迄今为止其事实上是“单立独行”的制度,其推行和实施尚缺乏相应的法理依据。[4]“设法推动在现有的法律法规体系中补充、调整和完善内部控制相关条款,并将其作为企业等单位的普适性要求”已列入财政部《会计改革与发展“十二五”规划纲要》。因此,如何借鉴国外关于内部控制的监管要求尤其是立法方面的经验为完善中国相关的法律制度提供相应建议已成为中国理论界和实务界不可回避的现实课题。
中国内部控制理论研究只是兴起于近几年,内控法律方面的研究则极少。[5]有学者指出内部控制制度的实施离不开法律法规的支持,中国现有内控法律规范层次低、内容分散且主要围绕会计问题展开,这严重制约了中国内控制度的进一步推广和实施。[6]内控基本规范并未明确规定管理层在内部控制制度实施方面的法律责任。[7]学者认为要有效推行内部控制法制化就必须着手解决内部控制执行的法律认定问题,否则管理者可以毫无法律风险地将内部控制执行上的机会主义动机转变成现实的机会主义行为。[8]如上所述,理论界已开始关注内部控制的立法及其法律责任问题,但对其立法的宽度、深度及可能面临的问题尚未有明确答案。美国、欧盟不仅是当今世界上最重要的经济体,也是与中国贸易关系最为重要和频繁的两大经济体,因此,分析和比较美国及欧盟两大经济体对内部控制的立法或监管要求必将对中国具有重要的借鉴意义。
二、公司治理层面内部控制的法律渊源和难题
人们对内部控制概念的理解和运用最早大多限于会计和审计领域,[9]1992年COSO报告的面世本应扭转人们认识的上述误区,但由于Treadway委员会成员构成的背景及美国相关法律对企业内部控制的要求大多限于与会计信息有关,因而内部控制的会计与审计烙印一直没有抚平,直至全球第一个公司治理准则英国Cadbury报告(1992)颁布,内部控制才得以登上公司治理的“大雅之堂”。该准则明确指出健全的内部控制是落实公司治理各项制度的基础,并要求董事会对公司内部控制有效性全面负责。但公司治理准则终究是引导性而非法律强制性要求,因而从法律层面对公司治理层次的内部控制进行要求一直没有找到显性依据。
仔细审视一下西方发达国家的公司法时就会发现,公司治理角度的内部控制要求早有其法理依据。由董事会来运行公司是各国公司法中规定的法定模式,但期望董事实际管理公司日常事务并不现实,尤其是在拥有几十亿资产的特大型及全球化公司中,董事会只是在制定公司全面战略和监督非董事经营层事务执行这个相当宽泛意义上管理公司,董事会将其拥有的权力进行授权就成为必然。[10]“董事应管理公司事务;行使与公司业务任何目的有关的公司一切权力。但其可以任命相应的人成为公司的代理人,并将其所拥有的权力全部授予该代理人,而保留聘任和解雇管理层及雇员的权力,并对管理层进行监督和惩戒。监督管理是一个支持性和充分注意的过程,其包括对公司业务行为的监督,由对建立适当合规方案、向员工通告该方案、方案维护程序等控制环节构成”。[3]美国商业公司法律对董事会作用的传统表述是“公司的业务和事务应当由董事会来管理”,但《特拉华州普通商业公司法》及1984年《示范公司法》及其后许多其他州的法律都修订了对董事职责的基本表述:“公司的一切权力应当由董事会行使或在董事会的授权下行使,公司的业务和事务应当依照董事会的指导进行管理,并由董事会监督。”这表明董事将实际管理的权力授予了执行事务的高级管理层,但其需要受到董事会的总体监督和指导。[11]在董事将公司业务和事务的实际运行授予管理层运行的情况下,董事会的责任限于对上述运行的监督,强调董事的监督作用就非常重要。由此可见,公司治理角度的内部控制确有其法理依据和基础。但同时我们也面临着这样的困境,虽然董事会监督公司业务是强制性要求,但各国公司法却没有清晰地解决以下问题:董事会如何遵守监督义务,如何才能达到履行上述监督义务的目标。[3]这正是从法律角度对公司内部控制进行规范和要求遇到的颇为棘手的问题。
三、美国内部控制的法律监管实践及变迁
最早从法律层次对公司内部控制进行明确要求的国家当属美国,可追溯至1933年《证券法》,其中S-X规则要求外部审计师在确定必要审计范围时必须对内控制度的充分性予以适当考虑,此时对内控的法定要求是间接的,且主要是审计导向的,范围非常有限。1977年《反国外贿赂法》(FCPA)首次以立法形式对企业内部会计控制进行直接要求,企业若达不到FCPA所规定的内部会计控制要求将被视为违法,会面临刑事和民事责任。美国证券交易委员会(SEC)对发行金融工具并引起民事禁令行动的公司进行调查并向司法部提起诉讼,处罚的量刑遵从1991年生效的量刑指南(其后经过多次修订),该指南规定若组织建有能防范和侦查违法违纪行为的有效方案(内控程序和方案)可大大减轻组织的潜在罚款,随后法院判例给何为恰当的内部控制制度提供了有益见解。如果董事一直未能保证建立一个值得信赖的信息与报告系统,则违反了注意义务。[11]2005年特拉华州法院对迪斯尼公司高管的判例也使董事受托责任范围扩大,大法官William Chandler在坚持商业判断规则有效的同时,强调董事对公司良好业绩诚信的重要性,并指出董事和高管被期望要充分理解最佳做法以确保商业决策是在鉴于被广泛公认的公司治理标准下作出的。该判例表明公司董事、高管在公司内部控制和风险管理方面是否尽职将成为审查其履行受托责任的标准。[12]
除了上述法律及法官判例对公司内部控制提出直接或间接要求外,SEC也强调充分披露管理层风险评估的重要性,1982年管理层讨论和分析(以下简称MD&A)303条被增加到监管规则招股章程S-K中。这些要求迫使管理层评估公司可能面临的所有风险和威胁,并在MD&A公告中对之予以说明。MD&A应主要集中于其知晓的可能使得所报告的财务信息对将来经营结果或财务状况变得不可预测的重大事项和不确定性。管理层尤其要解决那些可能影响公司流动性、资本资源、经营结果、表外事项安排、合同关系的不确定性和事项。尽管此时法律法规对内部控制的要求从以会计为基础的方法转向以公司及证券为基础的方法,但与内部控制有关的问题几乎仍仅由会计原则及与之相关的文献解决。2002年SOX法案后,面对如潮的批评声(主要是针对302、404条款),SEC考虑将风险因素的披露扩大到定期报告10-K及10-Q,风险因素披露已经适用于S-K,而在10-K及10-Q中讨论这些因素应突出为投资者和金融分析师所关注的主要风险问题。
409条款要求每个发行者都必须以快速、现行基础向公众实时披露与其财务状况或经营相关的重大变化信息,只要是对保护投资者和公众利益必须或有用的。301条款与406条款一起要求公司建立一个更为正式的机制以报告和处理业务过程中的内部缺陷。SOX法案不仅要求SEC、PCAOB等监管者为公司和审计师提供额外的指南,还对公司实施治理和控制措施的框架进行重新评估。2005年《示范商事公司法》(MBCA)明确设定了董事会监督责任的范围,包括:(1)经营业绩和计划;(2)公司面临或可能暴露的主要风险;(3)高管的业绩和薪酬;(4)促进公司遵守法律和道德行为的政策和做法;(5)公司财务报表的编制;(6)公司内部控制的有效性;(7)向董事提供充分、及时信息的安排;(8)董事会及其委员会的构成,考虑独董的重要作用。MBCA 8.01(c)(6)还扩大了董事会的责任,要求有内部控制落实到位以便为可靠的财务报告、经营效率和效果、遵守适用的法律法规提供合理保证。MBCA 8.31提出董事责任不能豁免的情形:董事没有集中精力持续监督公司业务和事务,或当特定事实和应提醒董事予以合理关注的重大情况发生时,董事没有通过适当问询予以及时关注。董事在监督和监察方面的注意义务的现行标准大部分来自1996年Caremark判决案例,SOX法案后特拉华高等法院在Stone v.Ritter案例及Saito v.McCall案例的判决进一步肯定了Caremark判决案中确认的董事在公司合规方案方面的职责标准,“董事必须作出善意的努力来建立一整套程序以使公司利益免受员工不当行为之侵害,如果董事一直未能保证建立一个值得信赖的信息和报告,则违反了注意义务。”[3]
尽管SEC和PCAOB围绕财务报告内部控制(ICFR)监管的主线没有变,但其所作出的调整和协调突显了监管者对内部控制程序采取过程导向和风险导向方法的意愿。通过上述分析,我们不难发现SOX对公司内部控制的影响远非仅限于人们所熟知的404、302条款,其还促使美国联邦量刑指南及MBCA的修订及各州公司诉讼案件判决标准发生变化,这些都无一例外地提高了董事履行注意义务的标准,并将内部控制的外延实现由审计、会计基础到财务报告基础再到公司治理基础的拓展。这正是对传统公司法缺陷所作的必要修正,著名公司治理专家罗伊指出股东的代理成本涉及两个基本问题:偷窃行为和管理失误,传统公司法对减少第一种行为是有所作为的,而对减少第二种行为却很少涉及,虽然在美国现代商业史上的Smith v.Van Gorkom案中法官曾抨击管理者错误行为,并判决无冲突的管理者也应对错误管理负有责任,但很快被州立法机关推翻。[13]看来,上述历史正在被改写。
四、欧盟内部控制的法律监管实践
在过去相当长一段时间里,欧盟仅强调适当的公司披露规则而忽视管理层对报告及内部控制框架可靠性签署的要求,作为对一系列大公司丑闻的反应,欧盟近来在公司法、会计法和审计法等领域都变得异常活跃,近几年内连续发布了一系列直接或间接影响上市公司内部控制组织的各种规则的指令和建议,其中证券和公司法领域的三个指令和一项建议,均直接与公司内部控制要求有关。
欧盟公司法专家高层工作组(简称HLG)在2002年最终研究报告中建议公司在每年的公司治理声明中披露其风险管理系统方面的信息。董事会应集体对该系统负责,审计委员会在监督公司的内部审计程序和风险管理系统方面必须具有举足轻重的作用。2003年欧委会签署HLG的建议,支持公司披露风险管理系统的存在、性质的要求以及审计委员会监督该系统的职责,并强调在公司治理声明中应包含公司是如何建立和保持一个有效内控系统的信息。
透明度指令(2004年)要求公司年报中包括一份对其所面临主要风险和不确定性描述的报告,包含在半年报中的中期管理层报告也必须提供关于本年度剩余6个月内面临的主要风险及不确定性信息。上述要求责成公司至少要建立一套检测风险和不确定性的系统。根据该指令,不确定性必须与风险相区别:风险指可用概率衡量的不良事件,而不确定性更为广义,包括不可描述的结果或事件和由于其非定量性不能用概率评估结果或事件,但指令并没有对何时应被认为是“主要的”提供判断指南。
会计指令(2006年修订)要求在规范市场上交易证券的公司提供年度公司治理声明,该声明必须包括一份与财务报告过程相关的公司内部控制和风险管理系统主要特征的描述。若是合并财务报告,则上述描述范围应是集团公司的内部控制和风险管理系统的主要特征。根据会计指令,以下是应在年度公司治理声明中披露的最低要求:(1)董事会关于财务报告内部控制和风险管理的政策;(2)董事会对财务报告系统内部控制及风险管理关键领域的评估;(3)与以下系统有关的机制,财务报告系统主要风险的识别与文档记录/风险解决机制(如减轻、保险、接受)/监督/与财务报告过程有关的报告系统/足够的人力和物力资源的可用性/员工和管理人员的教育和培训;(4)审计委员会的监督程序;(5)外部审计师的评估。对财务报告内部控制和风险管理系统主要特征的不恰当描述将会导致公司行政、管理及监督团队的集体责任。但会计指令本身并未就此具体条款予以规范。
透明度指令及会计指令主要针对内控与风险管理系统的信息披露问题,而审计指令(2006年修订)主要针对内控及风险管理系统的建立、运行及监督问题,审计指令规定公共利益组织(包括上市公司)必须建立一个审计委员会以监督财务报告过程、监督公司内部控制、内部审计、风险管理系统的有效性。法定审计师必须向审计委员会报告在审计中产生的关键事项,特别是与财务报告过程有关的内部控制重大缺陷。
欧洲公司治理论坛在《风险管理和内部控制声明》中确认了董事会负责监督公司内部控制系统有效性的责任,但其在进行了收益和成本的评估后建议没有必要在欧盟层面引入董事会认证内部控制有效性的法定义务。
此外,欧盟还有一些行业专门规则,如金融行业有金融工具市场指令(简称MiFID),化工行业有化学品注册、评估、许可和限制法规(简称REACH法规),食品行业有178/2002号条例,公共事业行业正在研究专门的遵循方案。许多公司都不仅要遵循普适性的内部控制和风险管理要求,还要遵循这些行业专门规则。这些行业专门规则均要求本行业企业对其生产、经营等各个环节中面临的专门风险建立相应的控制机制,将内部控制和风险管理的要求嵌入到各业务流程的全过程。
除上述欧盟规则外,许多欧洲国家或制定或更新了内部控制的要求,大多嵌入本国公司治理守则。除已为大家所熟知的英国公司治理联合守则外,荷兰公司治理守则(2008)、比利时公司治理守则(2009)等均要求董事会及审计委员会必须确保风险能被评估和管理,并在年报中必须包含内部控制和风险管理声明,必须检讨风险识别及风险管理的内控系统是否存在且发挥作用。法国金融安全法(2008)要求董事会主席必须报告内部控制程序及风险管理系统到位情况。
五、欧美内部控制监管差异及原因分析
尽管初衷是相同的,但美国与欧盟对内部控制的监管实践存在较大差异。美国从早先的FCPA对公司内部会计控制进行要求,到SOX法案对公司财务报告内部控制的要求,到联邦量刑指南对组织合规性内部控制的“间接”要求,再到MBCA及公司审判案例对董事在合规性和经营业绩方面内部控制责任的渐进要求,一方面体现了美国对证券市场监管的惯有思路,另一方面也体现了美国监管各方对为全球诟病条款的一种适时修正,及其不同法律文本之间的相互衔接、补充和促进。
相比较而言,欧洲国家采取的监管方法更为原则,针对的内部控制概念也更为广义。欧洲国家对公司内部控制的监管主要从欧盟及各成员国两个层面进行。欧盟层面主要通过三个指令及相关行业要求进行规范,其性质属于法律法规,对公司具有强制约束力。各成员国主要通过公司治理准则进行要求,因为欧盟各国公司治理准则大多采取“遵循或披露”的实施方式,借助“披露”发挥市场约束力,其强制性弱于法律法规。
欧盟指令的性质虽与美国SOX法案、MBCA等相似,但其对公司内部控制的要求存在较大差异。首先,欧盟指令要求公司对外报告主要集中于一般风险和不确定性、内部控制的弱点及财务报告系统的主要特征而非结论性的评价结果。其次,欧盟范围内虽确认了董事会负责监督公司内部控制有效性的责任,但并没有引入董事会认证内部控制有效性的法律义务,因为界定“有效性”很难,[1]若要求董事会认证并对外报告内部控制有效性将可能导致制度理论的分离性结果。[14]再次,最终责任主体不同。美国框架将公司内控最终责任归于CEO、CFO等,而欧盟框架则将内控最终责任归于董事会。
欧美对公司内部控制的监管要求之所以存在上述差异,本文分析认为,除了制度形成过程中存在的路径依赖外,很可能与股权集中度不同有关。对于分散化的股东而言,代理成本涉及偷窃行为和管理失误两个基本方面,而公司法往往难以解决管理失误。但当股权集中并存在控股股东时,其承受着比管理者更多由于自身决策失误所带来的损失,故可将其直接内化。控股股东在公司内部还扮演着双重角色:偷窃其他中小股东的利益,同时也监督着管理层。[13]因此,股权集中度较高的国家通过法律形式来解决代理成本的内在需求较低。家族式企业和投资机构的紧密所有权形式目前仍是欧洲国家的主流,[13]因而美国所采取的全副武装式的改革(SOX达到巅峰)可能并不适合欧洲,实际上可能在很多股权集中的体系中都不能很好地发挥作用。[15]欧美股权集中度的上述差异也是导致公司内控最终法律责任主体不同的主要原因之一。[14]而欧盟之所以要以指令形式对公司内控及风险管理进行规范和要求,本文认为可用制度理论的“同构观”予以解释。[16]
六、完善中国内部控制法律监管的建议
当今中国社会和经济活动越来越多地融入国际,只有按照国际社会的共同标准行事才能尽可能缩小与国际社会的期望差距,并赢得其合理性席位。内控基本规范及配套指引的发布标志着中国企业内控规范体系已基本建成,并得到国际社会高度赞誉。但其迄今仍是事实上“单立独行”的制度,这可能与中国相关法律在新近修订时《企业内控基本规范》尚未颁布有关,故上述法律极少涉及内部控制的要求。我们必须未雨绸缪,思考如何在上述法律的新一轮修订中嵌入内部控制要求,一方面要将内控规范的实施上升到法律高度,另一方面要使得中国法与法之间相互衔接、协调和支持。
《会计法》是中国公认的引发内控责任的第一部法律,但其主要针对内部会计监督,且较少涉及会计信息的报告环节。限于《会计法》规范的特定领域,应围绕《会计法》的目标——保证各类单位会计资料的真实、完整,要求各单位就会计资料生成的各个环节(包括报告)建立健全内部控制制度,并建立相应的责任追究条款,即就狭义内部控制(或财务报告内部控制)进行规范和要求。
尽管《审计法》主要是规范国家审计的,但为了在全社会树立并加强内控观念,并确保法与法之间的相互衔接,应要求凡属于国家审计范畴的被审计单位(包括各级政府机关、企事业单位及相关建设项目、社会捐赠基金等)均应建立健全内控制度,并要求其法定代表人(或第一责任人)对内控有效性负责并定期向相应审计机关报送内控自评报告。同时,要求审计机关将在审计过程中发现的内控缺陷形成报告并对其提出相应改进建议。在现行责任条款中可增加“责令按照相应内控规范建立健全内控制度”条款。这样在《审计法》中嵌入内部控制的法律要求,既为中国政府机关、行政事业单位及其他非营利组织(简称非企业)建立健全内控制度提供法律依据,也为“十二五”期间建设非企业内控规范提供强有力的外部推动力。
《证券法》是为了“规范证券发行和交易行为,保护投资者的合法权益,维护社会经济秩序和社会公共利益……”,其中,保护投资者的合法权益是核心,而其主要通过要求证券公开发行须通过证监会的核准程序来达到,但现行《证券法》对公开发行证券的公司,无论在信息披露,还是实质性审查上均未提及其在内部控制和风险管理方面的要求。本文认为应要求那些公开发行证券的公司在IPO公告及今后的年度报告中应包括公司内部控制和风险管理系统状况的描述及自评报告,证监会对这类公司的实质性审查也应包括对其内部控制和风险管理系统方面的审查。
《公司法》首次正式明确了董事、监事、高管对公司的忠实义务和勤勉义务,并明确了董事、高管不得从事的行为,却没有进一步规定勤勉义务的审查标准,这必然导致司法执行上的困难,这不能说不是一种缺憾。本文认为应借鉴国外关于“注意义务”的内涵及审查标准,将董事及高管在建立健全公司内控制度方面的责任予以明确,作为其履行注意义务的重要方面进行审查。
此外,经反复修改并于2011年2月颁布的《刑法》增加了关于董事、高管等的管理责任及追究和处罚条款,可见中国法律界已经认识到公共利益组织代理人应对其“偷盗”及“管理失误”后果承担应有的法律责任,这是问责制及责任追究在中国立法上的巨大进步。但遗憾的是该法对何为“严重不负责任”、“违背忠实义务”没有清晰界定,这可能使得该条款难以真正落实到位。因此,本文建议,一方面可在《公司法》中借鉴美国MBCA做法明确上述不同责任人的内控和风险管理责任,另一方面可借鉴美国联邦量刑指南,制定类似于此的法规或指南,规定“若组织建有能防范风险和侦查违法违纪行为的内部控制”可视作是“负责任”的,以使《刑法》上述条款得以落实。
综上所述,本文将上述不同法律对内部控制规范的对象、环节和内容简要总结如下表(表1)。究竟如何系统地、在相应法律法规规章及公司治理守则中设置内部控制和风险管理的职责和要求,尚需理论界和实务界,尤其是法律界人士深入细致研究,期待更多同仁对之予以关注。
《刑法》并不单独对内部控制进行规范和要求,而是就《公司法》等法律中董事、监事、高管等“违背忠实义务和勤勉义务”及国家公职人员“严重不负责任”情况下进行惩处,从而间接对内部控制责任进行要求。
标签:内部控制论文; 财务报告论文; 企业内部控制评价指引论文; 企业内部控制与风险管理论文; 行政事业单位内部控制规范论文; 风险管理体系论文; 内控体系建设论文; 会计与审计论文; 公司治理理论论文; 内控管理论文; 会计规范论文; 审计计划论文; 内部控制缺陷论文; 审计报告论文; 法律论文; 有效市场论文; 审计方法论文; 管理审计论文; 风险内控论文; 审计目的论文;