企业内控规范实施机制的新制度经济学分析,本文主要内容关键词为:经济学论文,内控论文,机制论文,制度论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、引言
自20世纪90年代至今的近二十年间,缘于频发的公司失败及舞弊案引起的巨大负面效应,内部控制受到全球各界广泛关注。许多国家和地区都先后颁布内部控制及风险管理框架或指引①。但就在美国如火如荼实施SOX法案、COSO推出内控新框架——全面风险管理框架(ERM)期间,美国却又爆发了危及全球的金融危机,这使得人们不得不对内控框架本身所能产生的作用产生疑虑。问题的根源在于,任何一项没有实施机制的制度只能是制度的纸质复本,实施机制才是制度功效得以实现的关键。目前,全球不同国家和地区对所颁布的内控框架采用了并不完全相同的实施机制,有的通过公司治理准则或证交所上市规则等非法律或非政府机构实施,有的通过法律或政府监管机构直接实施,有的并没有正式实施机制。
为迎接世界经济竞争的挑战,促进企业夯实内控基础,在借鉴国际已有先进成果的基础上,充分考虑中国企业面临的实际问题,我国财政部等五部委于2008年颁布《内部控制基本规范》,并将于2011年起从上至下、逐步全面推进施行。对此,理论界和实务界肯定和否定的声音并存:一种是欢呼和赞同,认为中国终于有了中国版“SOX”法案;另一种则是疑虑和担忧,疑虑的是是否有必要如此广泛地用政府力量推行内控规范,担忧的是如何能防止内控规范的实施流于形式。
国内现有内部控制研究文献主要有两类,一类是围绕内部控制本质、概念框架及其发展问题展开(阎达五、杨有红,2001;杨雄胜,2005、2006;谢志华,2007、2009),另一类是围绕内控信息披露及其问题展开的实证研究(李明辉等,2003;蔡吉甫,2005;杨雄胜等,2007;杨有红等,2008、2009),而较少有文献涉及内控规范实施问题的研究,甚或大都隐含假定实施机制是完全的。但事实并非如此,上述实证研究文献表明中国证监会内控信息披露监管政策并没有得到很好的执行。当前如此全面、系统地由上至下推行实施内控规范,不仅在我国,甚至国际上都还没有先例。因此,在中国现有制度背景下究竟应采用什么样的实施机制才能有助于促进企业内部控制制度的建立和健全,才能以符合成本效益的原则推进内控规范的实施,实施机制与内控规范及非正式内控之间究竟存在什么样的关系,完整的内控实施机制应具备哪些要素,是当前我国各界所面临的、急需回答的理论和实践问题。本文试图运用新制度经济学理论构建一个分析框架,对上述问题予以解释和回答。
除第一部分引言外,本文以下部分是这样安排的:第二部分构建内控规范实施机制的理论分析框架;第三部分是理论分析框架的历史印证;第四部分是对我国现有内控规范实施机制的评析和思考。
二、内控规范实施机制理论分析框架的构建
为建立具有一般指导意义的内控规范实施机制的分析框架,并用以分析在我国制度环境下应采取何种内控实施机制,不同实施机制将会产生什么样的效应,本文试图借鉴新制度经济学理论建立一个分析框架。为便于推演和说明,本文首先对相关基本概念进行界定,在此基础上再构建基本分析模型,并提出相应命题。
(一)基本概念的界定
按照新制度经济学理论,任何一项完整的制度都应该包括正式制度、非正式制度及其实施机制(诺思,1990),制度功能的发挥有赖于这三者之间的有机配合。结合本研究主题,对以下基本概念分别进行界定。
1.正式内控制度:是指有正式机构以书面文件形式颁布的内部控制规范、框架、指引及与内部控制相关的要求和规定②(用F表示)。
2.非正式内控制度:是指在没有正式机构要求或正式内控文本颁布的情况下,企业自身的内控意识、惯例等的综合体。本文用ψ表示非正式内控制度水平,
、
分别表示非正式内控制度水平高、低两种情形。
3.实施机制:是指针对正式内控制度的实施机制,包括对执行或违反正式内控制度的行为主体以各种形式予以奖励或惩处,从而使其得以实施的条件和手段的总称。具有明确的、可执行的奖惩机制是实施机制的核心(用e表示)。
4.正式内控制度的效果:是指颁布正式内控制度所要达到的预期目标和结果(用Q表示)。
(二)分析模型的构建
任何一项完整的制度都由正式制度、非正式制度及其实施特征构成,而且制度实施特征往往与非正式制度之间还存在一定关系,基于这样的认识,我们建立以下分析模型:
Q=Q(F,ψ(e),e) 函数式(1)
且有以下关系:
函数式(1)表明正式内控制度的效果Q是正式内控制度F、非正式内控制度水平Ψ及实施机制e的函数,且e与Ψ之间还存在内在关系:①式表明当F、Ψ既定时,Q会随着e的增强而提高;②式表明在达到一定的临界点后,加强e,Q的增幅是递减的,即加强实施机制对提高制度实施效果是有限度的;③式表示Q是Ψ的增函数,即非正式内控制度水平越高,正式内控制度效果就越好,也就是说非正式内控制度对正式内控制度的效果也发挥着重要作用。
(三)命题的提出和证明
命题1:在一定时期内,无论还是,Q的大小都取决于e的强弱。
为了证明(分析说明)上述命题,可分两种情形进行讨论:
情形1:在时,再分别考察e在以下三种不同水平(零0、弱W、强S)情况下,Q的高低。
(1)e=0的情况下,即根本就不存在正式内控制度的实施机制,F就不可能发挥作用,这时F就是“放在桌上、挂在墙上”的内控规范的纸质复本,正式内控制度的效果Q为零。
(2)e=w(正式内控制度实施机制弱)的情况下,即实施机制不健全,或没有相应的奖惩激励机制,使得F难以完全落到实处,则Q低。
(3)e=s(正式内控制度实施机制强)的情况下,即实施机制健全,且对责任主体都有明确的、可以执行的奖惩激励机制,F就会得到很好的落实,则Q高。
情形2:在时,再分别考察e在以下三种不同水平(零0、弱W、强S)情况下,Q的高低。
(1)e=0的情况下,即根本就不存在正式内控制度的实施机制,F就不可能发挥作用,Q为零。这时,现实中可能会感受到内控制度的效果,但那其实是非正式内控制度Ψ所发挥的作用。
(2)e=w(正式内控制度实施机制弱)的情况下,即实施机制不健全,或没有相应的奖惩激励机制,使得F难以完全落到实处,则Q低。
(3)e=s(正式内控制度实施机制强)的情况下,即实施机制健全,且对责任主体都有明确的、可以执行到位的奖惩激励机制,F就会得到很好的落实,则Q高。
综上所述,无论是在非正式内控制度高还是低的情形下,要使得正式内控制度发挥作用,都取决于e的强弱,命题1得证,说明内控正式制度实施机制的存在、完整性,以及具有明确的、可执行的奖惩机制,对正式内控制度实施效果是至关重要的。
图1 实施机制与实施效果、非正式内控制度之间的关系
三、内控规范实施机制理论分析框架的历史印证
从上述分析框架可知,正式内控制度的效果取决于其是否具有相应的实施机制,而实施机制的强弱则应与其制度环境中的非正式内控制度水平相适应。
自20世纪90年代以来,英、加、澳、欧盟、中国香港等国家和地区将内部控制要求嵌入陆续颁布的公司治理准则,并得到各国证交所上市规则的支持,上市规则要求上市公司对内控规范采取“遵循或解释(comply or explain)”方式实施,该方式被认为较好地实现了法律监管与市场约束的均衡(阿德里安·卡得伯里,2005)。在SOX法案后,有学者就英国是否要采取类似于美国的强制性实施方案进行问卷调查,结果发现被调查对象大多支持现有实施方式,而不赞同采取政府法规管制,他们坚信这样更有助于管理当局对内控指引实质精神的领会和执行(吉尔·所罗门、阿瑞斯·所罗门,2006)。这些国家和地区之所以对内控指引采取非强制实施机制,是因为其公司法中已严格明确了董事、高管在财务报告方面的责任,在有效率的法律制度和司法系统环境下形成了人们对法律的合理预期(韦森,2008),并在长期法治环境下形成了较高的自律传统,而且这种非法律实施机制使得对内部控制的监管要求拓宽到更为广义的方面(缪艳娟,2009)。这也在一定程度上印证了上文分析的
之间的对应关系。
在1992年COSO内控框架颁布之前,美国的公共和私营领域对内部控制持续关注,并不断见诸于各种提议的法律、法规、监管政策、职业标准等,1992年COSO内控框架颁布的主要目的就是要统一各方对内部控制的认识。鉴于其对内部控制的宽泛定义,出于对监管无保证、管理层执行成本高和责任增加的担心,该框架自颁布以来一直没有采取正式的实施机制,既没有相应的法律条款,也没有统一的公司治理准则与COSO内控框架的执行责任相对应。这确实可能与美国企业存在着较高的非正式内控制度水平ψ有关,但同时也印证了命题1和命题2:没有实施机制的正式内控制度难以产生其预期效果,也不太可能产生实施机制的累积效应。在COSO1992框架发布4年后,Coopers和Lybrand调查显示只有10%的经理知道该内控框架(IMA,2008)。在COSO1992框架发布15年后,美国管理会计师协会(IMA)调查研究显示仅有13.7%(15.4%)的管理人员、7.5%(11.6%)的内部审计师在SOX颁布前在风险管理和控制实践中很大(中等)程度上应用COSO1992框架(IMA,2008)。
2004年COSO-ERM仍没有直接的正式实施机制,但Matteo Tonello(2007)研究发现特拉华州判例法对董事受托(fiduciary)责任的新解释、联邦惩罚委员会对组织判决指南的改革等一系列法律法规的新发展成为当前促进企业执行ERM的主要动因。根据商业判断规则,除非董事违背受托责任(包括注意义务和忠实义务),其可以不用对糟糕的商业决策承担责任。但2005年8月特拉华州法院对迪斯尼公司高管的判例使得受托责任范围发生了变化,大法官William Chandler在坚持商业判断规则有效的同时,强调董事诚信对公司业绩的重要性,该判例表明公司董事、高管在公司内部控制和风险管理方面是否尽职将成为审查其受托责任履行的标准。2004年11月生效的新《联邦组织判决指南》规定,若组织建立了一个运作良好的、合格的遵循性项目,则对该组织高管的渎职处罚可从宽。SEC也曾于2003年指出主要是出于一些原因的考虑(如SOX404限于财务报告内部控制、CPA审计责任的难以界定等)没有采用广义的内部控制定义,这隐含着其鼓励管理层关注更广义的内部控制,并在整个企业范围内管理风险。同时,纽约股票交易所(NYSE)上市规则也开始委以审计委员会讨论公司风险评估和风险管理方面政策的义务和责任,并明确CEO及其他高管管理风险的职责。
从美国近十几年法律、法规、监管政策及上市规则的发展历程和动向来看,我们不难发现其正式内控制度的实施机制正从无到有、从不健全到健全地逐步建立,而且从SOX法案仅对财务报告内部控制作出要求,到州法院判例、联邦判决指南等对健全广义内部控制进行要求。这无不给我们以启示:(1)实施机制是必须的;(2)实施机制不是单一措施和方法,而是一系列相互支持、相互衔接的法律、法规、监管政策、上市规则等条款的有机结合,其可以针对内部控制的不同方面、采取不同方式进行要求;(3)实施机制必须有明确的、可执行的、具有连续性的奖惩机制和条款,这是实施机制的核心。
四、对我国内控规范实施机制的评析和思考
我国证监会于2001年底即要求非金融上市公司披露内控信息,但研究发现上述监管规定并未得到有效执行,内控信息披露大多流于形式(李明辉等,2003;蔡吉甫,2005;杨雄胜等,2007),究其原因,除了缺乏公认的可据以披露及评价的内控标准以外,缺乏相应的惩处激励机制应是主要原因。迄今为止,尚未有任何一家上市公司因披露内控信息不到位或名不副实而受到证监会任何形式的惩处,在投资者也很少关注内控信息的情况下,出现上述监管政策的执行流于形式的现象实不为奇。
财政部2001年《内部会计控制规范》是应1999年《会计法》强调单位法人代表应对本单位会计工作和会计资料真实性、完整性负责,并应建立健全本单位内部会计监督制度的要求而制定和颁布的。由于在《会计法》中有明确的责任追究及处罚条款,因此,可以说《内部会计控制规范》有明确的实施机制,而且由于内部会计控制大多是已有实践的编纂和提炼,在该规范实施五年后,有调查研究显示,总体而言其得到较好执行(朱锦余等,2008)。
相比于《内部会计控制规范》,2008年颁布的《内控基本规范》至少存在以下不同:一是其涵盖的内容远宽泛于前者,二是其缺乏明确的实施机制。这两者其实是相互关联的,正因为内部控制外延远广于内部会计控制,《会计法》也就难以成为其实施的依据。因而《内部控制基本规范》究竟应采用什么样的实施机制就成为众人瞩目的焦点。从本文第二部分分析框架可以“推论”:(1)要发挥《内控基本规范》的预期作用,必须有相应的实施机制;(2)针对我国当前企业内部控制和风险意识薄弱的现状,必须采取较强的实施机制,否则,制度执行必将流于形式。
反观我国现有相关法律、法规,除《会计法》明确单位法人代表的内部会计监督责任外,几乎均未提及公司董事、高管对公司内部控制与风险管理的责任。2006年新《公司法》第148、150条规定公司董事、监事、高管应当对公司负有忠实义务和勤勉义务,若执行公司职务时违反法律、行政法规或者公司章程给公司造成损失的,应当承担赔偿责任,也就是说公司董事、监事、高管只要不违反法律法规,尽到忠实、勤勉义务,就不需再承担其他法律责任,而并未像发达国家那样引入相应的注意义务(duty of care)④。显然,我国公司法对董事、监事、高管义务和责任的规范仍处于最低限,与当今公司面临多变环境及公众对公司期望的日益提高相比尚存在较大差距。证监会2002年颁布的《公司治理准则》第33条指出“董事应根据公司和全体股东的最大利益,忠实、诚信、勤勉地履行职责”,但通篇未提及董事、监事、高管对公司内部控制的责任。从上述分析不难看出,迄今为止,公司内部控制的建立和健全责任在我国既缺乏法律依据,也缺乏公司治理准则层次的非法律约束。
在《内控基本规范》颁布前,上交所、深交所分别颁布了《上市公司内控指引》并分别要求于2006、2007年7月1日起执行,但除《深交所内控指引》第68条明确“公司及其有关人员违反本指引规定,本所将参照《上市规则》有关规定给予处分”外,再无其他责任追究条款。
尽管《内控基本规范》通篇用了68个“应当”字眼,但并未就不执行或违背基本规范的行为做出任何明确的“处罚”条款,这无疑表明其本身缺乏相应的实施机制。在今年4月内控配套指引发布会上,各监管部门都表态将内控规范及其配套指引的执行纳入日常监管范围,这表明各监管部门的监督检查是我国当前内控规范“事实”上的实施机制。但由于其未对遵循、不遵循或遵循不到位内控规范的企业或个人做出明确的激励或处罚条款,因而上述实施机制自其存在之日起就存在先天不足。此外,这种仅借助于监管部门的发动而缺乏相关法规或行政条文的明示的实施机制可能会随着监管部门工作重心的转移而遭忽视或淡忘,面临不具可延续性的风险,这无论对制度执行者还是不执行者都难以形成合理的激励或惩治预期。
综上所述,在我国非正式内控制度水平比较薄弱的情况下,要使得内控规范发挥应有的效果,必须采取强有力的实施机制。但从我国现有实施情况来看,内控规范实施机制是零散的,甚至是残缺不全的,不仅在《公司法》、《公司治理准则》中只字未提董事、监事、高管关于内部控制与风险管理的义务和责任,上交所、深交所2008年新修订的《上市规则》对此也未提及对公司内控及内控信息披露的要求,使得《内控基本规范》成为“单立独行”的制度,而且缘于《内控基本规范》涉及面广,其本身也就难以做出全面、可操作的责任追究条款规定,各监管部门表态将其纳入日常监管之列就成为我国目前内控规范事实上的实施机制,这必须引起我国立法者、监管者、政策制定者的重视和警觉。任何一项制度的颁布和实施都需要制度与制度之间的相互衔接、配套和支持,还需要有对奖惩的清晰传达和理解,并在实践中一以贯之。而对于涉及面如此之广的内控基本规范,必须通过法律及非法律层次分别对内控的不同方面明确责任并有相应的奖惩机制。对此,本文建议从以下方面着手:
首先,完善我国《公司法》中公司董事、监事、高管的“注意义务”条款。新《公司法》虽首次引进勤勉义务和忠实义务条款,但其(包括实施细则)并未对其内涵进行解释,而我国又不是判例法国家,故事实上上述义务难以落实。本文认为注意义务不仅应包括主观上的勤勉,还应包括客观上是否采取相关措施和建立相关程序控制其应该控制的风险,只有将董事、监事、高管在风险管理和控制方面的责任通过“注意义务”得以体现和要求(Michael A.M.Keehner and David R.Koenig,2010),才能适应当前公众对公司及其治理的期望和要求,并应在公司法的法律责任章节中规定与之相对应的责任条款。
其次,在《刑法》中增设与之相衔接的条款。在不改变现有《刑法》框架的情况下,可在刑法第3章第3节“妨害对公司、企业的管理秩序罪”中增加董事“不作为或失职罪条款”。对公司发生(包括高管及员工行为引发)危及股东价值、利益相关者及公众利益的“重大”风险应追究董事的刑事责任,同时规定免除或减轻董事上述责任的条款,即若有证据表明公司已采取相应防范措施(如建立了内部控制制度,可列举具体措施)则可适当免除责任或减刑。这样既明确了董事对公司风险管理的最终责任,同时也赋予其相应免职条款,体现法律制度的奖惩机制。
再次,完善我国《公司治理准则》,将在《公司法》中对治理层在风险管理和控制方面责任的未尽事宜在其中予以明确。全球最早的公司治理准则英国Cadbury报告(1992)就明确指出董事会必须负责制定风险管理政策并负责监督其整个过程,全美董事协会(NACD)2002年蓝带委员会报告进一步扩展了Cadbury报告中关于风险管理和公司治理方面的建议,认为董事会应对风险管理发挥更为积极、有效的监督作用(Duane Windsor,2010)。而我国现行《公司治理准则》(2002)通篇没有提及董事在内部控制及风险管理方面的责任和义务,这不仅与当前全球公司治理准则的发展趋势不吻合,也难以对我国上市公司董事内部控制和风险管理责任进行明确要求,尤其是在公司法尚未做上述修改之前,董事在这方面的责任就难有落脚点。相比于修改法律,公司治理准则的修订要方便快捷得多,故建议尽快对我国公司治理准则加以修订,突出董事会在内部控制和风险管理方面应有的责任,并在上市规则中明确上市公司应按照公司治理准则xx条披露公司内部控制和风险管理信息。
最后,发挥行业监管部门的监督检查作用。由于公司治理准则及上市规则的规制范围仅限于上市公司,针对我国计划全面推行内控规范的目标,还必须发挥各行业监管部门的监督检查作用。对此,可充分借鉴现有保监会、银监会对寿险公司、商业银行内部控制评估的监督检查经验,出台行业监督检查办法。一方面建立可供参照执行的定量和定性相结合的内部控制评估表,另一方面内部控制年度自我评估报告由法人代表签字后报送对应的监管机构⑤,除定期在行业内部交流外,监管部门应根据风险大小对企业内部控制进行抽查并实施独立评价,将独立评价结果与其报送自评报告进行对照,对两者结果存在较大不一致的或弄虚作假的视情节轻重予以相应处罚,而对做得好的单位不仅给予负责人嘉奖(包括物质和非物质的),也可给予单位信贷优惠或在信用评级时予以加分和提升。只有在上述不同层次实施机制的相互支持和配合下,在一段时期的持续强实施后,其累计效应——提升企业内控意识和水平才可能显现。
注释:
① 由于内部控制与风险管理的目标及其包括的要素相同,已颁布的指南或框架有的直接将两者并列或交互使用,故本文对两者也不作严格区分。
② 按照该定义,我国财政部颁布的《内部会计控制基本规范》(2001)、财政部等五部委颁布的《内部控制基本规范》(2008)、美国COSO颁布的《内部控制整合框架》(1992)及其后颁布的《全面风险管理框架》(2004)、英国的财务报告委员会(FRC)颁布的《Turnbull报告》(1999、2005)、加拿大CoCo颁布的《控制指引》(1995)、香港会计师公会颁布的《内部控制与风险管理——一个基本框架》(2005)等均属于正式内控制度,以下简称正式内控制度或内控规范。
③ 但实施机制(特征)也仅能加以不完全的控制(North,2005,P141)。
④ 注意义务包括能力责任(duty of skill)和勤勉责任(duty of diligence),见曾宛如著《董事忠实义务之内涵及适用疑义,公司管理与资本市场法制专论(一)》,2002年,台北学林出版社。
⑤ 而不仅仅随同年报公开披露,因为毕竟公开披露的内控信息比较粗略,不便于监管部门监督检查使用,且公司担心公开披露详细内部控制信息(尤其是不太健全的内控信息)会对公司产生负面影响,故应在年度终了一定时间内向监管部门报送较为详细的内控评估报告。
标签:法律论文; 内部控制论文; 风险管理论文; 内部会计控制规范论文; 企业内部控制评价指引论文; 企业内部控制配套指引论文; 企业内部控制与风险管理论文; 内控管理论文; 规范分析论文; 法律规则论文; 风险内控论文; 企业责任论文; 上市要求论文;