疫情後,企業的經營發展或多或少受到了一定的影響,多個基金和項目暴雷,引起立法、執法乃至司法界對企業合規內控制度建設與問責的極大關注,我們需要對企業合規內控制度的問題進行反思,解決現有規範下執行力弱、問責不到位的現狀,把握並提升合規內控和問責的地位。為此,筆者嘗試重點著眼於律師實務角度的研究與實踐,從微觀角度提出風險防控方案、促進提升立法整體水平。
一、疫情後中國商法制度中企業合規內控發展的研究背景
中外法律人士都有一種共識,企業內控是企業健康與可持續發展的「奠基石」、預防風險與舞弊的「防火牆」、邁向資本與證券市場的「通行證」以及接受公眾檢閱的「試金石」。企業內部控制建設與《公司法》設置的董事的經營管理責任緊密,對於董事的內部控制要求伴隨著董事信義義務而明朗化,形成以董事會為核心的內部控制模式。在西方,現代內部控制的理論與實踐已有百年歷史,發展至今,形成了以美國、日本等為代表的西方發達國家,都建立起體現本國特色的企業內部控制規範。其中,2013年美國反虛假財務報告委員會下屬的發起人委員會(The Committee of Sponsoring Organizations of the Treadway Commission,英文縮寫COSO)發布的最新《內部控制整合框架》(簡稱「COSO報告」)已增加「反欺詐與反貪腐」的條款。而在我國,2008年頒發《企業內部控制基本規範》(財會〔2008〕7號)自2009年7月1日起在上市公司範圍內施行、鼓勵非上市的大中型企業執行,2010年制定《企業內部控制配套指引》並自2011年對在境內外同時上市的公司實施,標誌著以基本規範為主、配套指引為輔的內部控制規範體系的初步形成。不僅跨國公司重視企業內控,而且政府部門、非營利機構等亦是如此,甚至在推行民主政治、反腐倡廉的進程中,也倡導內部控制的思想與方法。可以發現,內部控制已經成為或將成為社會經濟生活中最受關注的焦點問題。
一場突如其來的大型公共衛生事件(新型冠狀病毒肺炎疫情)給中國幾乎所有的企業都帶來或多或少的衝擊,企業的各種問題、風險事件層出不窮。其中,因為缺乏有效的內控制度而導致企業關停並轉破的案例、更有些是有了內控制度卻未有效實施所引發的系列性基金暴雷案例不斷發生、還有資本市場暴露出大量企業違規事件——例如控制人違規擔保、董事會權力的失衡而讓企業內部控制體系不得不面臨詰難,眾多問題吸引了包括立法、執法乃至司法界對企業合規內控制度建設與問責的極大關注。在疫情這麼一個突發事件背景之下,儘管我們已處於後疫情時代這一特殊的背景中,企業經營的法律環境卻更加混亂而複雜,企業要持續、健康發展,必須重振和加強對經營風險和法律風險的預防,重新評估企業內控制度的真實作用及其存在價值與執行意義顯得尤為重要。
因此,我們需要對企業合規內控制度所暴露出來的問題進行系統反思與分析,評估公司法律風險以及全方位地控制公司經營發展中的潛在風險,是當下《公司法》和《商法》有關現代企業制度的重要課題,也是企業可持續穩定發展的重要保障。實施有效的法律風險管理,建立有效的內控體系,全面、系統、科學地識別、分析、控制法律風險而不讓其流於形式,已成為當前企業經營發展中一項十分重要、緊迫的工作。
二、關於企業合規內控制度的法律淵源
通常認為,企業合規與內控制度,都是公司治理中的兩個不同角度內容。
(一)合規與內控的內涵
合規(Compliance)的概念最早起源於國外,針對金融領域,後來發展成為企業經營管理制度。我國在1992年的《審計署關於對金融機構貸款合規性審計意見》(署審電字(1992)1號文)中首次提及「合規」一詞。近幾年不斷修訂發展的《證券公司合規管理實施指引》(中證協發〔2017〕208號)、《證券公司與證券公司投資管理基金公司合規管理辦法》(2017年證監會令第133號),以及國有資產監督管理委員會制定的《中央企業合規管理指引》(國資發法規〔2018〕106號)等,重新界定「合規」的內涵。銀保監會、證監會、證券交易所還制定了眾多對金融機構、上市公司的規則指引與規則要求,重申合規的含義。根據上述規定,筆者歸納了合規在中國法上的相關定義如下:合規,主要是指企業及其員工的經營管理行為符合法律法規、監管規定、行業準則和企業章程、規章制度以及國際條約、規則等要求;合規風險,是指企業及其員工因不合規行為,引發法律責任、受到相關處罰、造成經濟或聲譽損失以及其他負面影響的可能性;而合規管理,則是以有效防控合規風險為目的,以企業和員工經營管理行為為對象,開展包括制度制定、風險識別、合規審查、風險應對、責任追究、考核評價、合規培訓等有組織、有計劃的管理活動。由此可見,合規管理與風險預防具有密切聯繫,合規管理的目的在於「風險規避」與「風險治理」,具有事先預防的特殊意義。筆者在律師實務中接觸的企業合規管理,既要包括反欺詐、反腐敗、反賄賂與反壟斷等內容,更要結合企業的內部員工管理制度,令企業運行過程中嚴格遵守各種法律制度、各種規範,從而事先防範和避免相關風險。
內部控制(internal control,簡稱「內控」)則更多的是一個財務會計上的概念,最早是在1912年由R.H.蒙可馬利在其出版的《審計——理論與實踐》一書中提出。1988年美國註冊會計師協會(American Institute of Certified Public Accountants,英文縮寫「AICPA」)發布的《審計準則公告第55號》中以「內部控制結構」代替「內部控制」。COSO報告則指出:內部控制是一個過程,受企業董事會、管理當局和其他員工影響,旨在保證財務報告的可靠性、經營的效果和效率以及現行法規的遵循。我國在財會〔2008〕7號文中給出了全面定義與範圍:內部控制,是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略。而內部控制按其控制的目的不同,可分為會計控制和管理控制。筆者從律師實務角度的研究側重於管理控制,以達到保證經營方針、決策的貫徹執行,促進經營活動經濟性、效率性、效果性以及經營目標實現有關的控制。
因此,筆者認為,商法制度下的企業合規重點在於事先預防,而內控則更強調運行的過程,現有內控審計制度的存在,則更能說明此點意義。但無論如何,兩者都是相互影響、相輔相成的公司治理的核心內容,對金融機構和大中型企業而言,更是如此。
(二)我國商法制度下合規內控制度的起源與價值
1、我國合規內控立法
綜合上述對合規、內控定義的研究發現,我國真正對企業合規內控制制度的相關研究和立法可以追溯從20世紀90年代開始的。當時我國經濟正隨時改革開放而不斷發展、並受國外內控制度的理論影響,我國自1993年起先後出臺了包括《公司法》在內的諸多法律、法規、規章和規範性法律文件,對金融機構合規、大型企業內控制度的建立、原則、目標等方面都做出了相應的規定。我國的合規內控立法大致分為三個階段:
(1)第一階段——起步階段
眾所周知,由於我國的公司治理制度相對於國外發達國家建立發展較晚,第一部《公司法》直到1993年底才誕生、1994年7月正式實施,也使得我國企業合規內控制度的發展也相對晚於西方國家。
而早在1992年1月6日審計署發布的署審電字(1992)1號文《關於對金融機構貸款合規性審計意見》中第一條就已經將合規與內控牢牢結合起來——通過對貸款合規性審計,審查貸款管理與發放過程中存在的漏洞與問題,並提出健全內部控制制度的建議,促進其加強廉政建設,提高隊伍素質。1992年底審計署、中國人民銀行發布的《對金融機構貸款合規性審計的實施方案》第一條審計的目的則更加明確為:通過對金融機構貸款管理與運用是否合規的審計、揭露在貸款管理與運用中存在的主要漏洞與問題,促進其加強信貸管理,完善內部控制制度,加強廉政建設,提高資金運用效率。
1996年財政部頒布的《獨立審計具體準則第9號一內部控制和審計風險》中對內部控制定義為「審計單位為了保證業務活動的有效進行,保護資產的安全和完整,防止、發現、糾正錯誤與舞弊,保證會計資料的真實、合法、完整而制定和實施的政策與程序」。人民銀行、外管局、教委、交通部等部委也從會計審計角度紛紛出臺了規範性文件,內部控制主要包括控制環境、會計系統和控制系統。1999年由全國人民代表大會常務委員會修訂通過並於2000年7月1日實施的《中華人民共和國會計法》,是我國第一部體現內部控制要求的法律。它明確規定了公司內部會計控制的要求:「會計機構、會計人員依照本法規定進行會計核算,實行會計監督」,「各單位應當建立、健全本單位內部會計監督制度」。2001年財政部頒布的《內部會計控制規範—基本規範》是當時我國內部控制領域內最具權威的內控制度標準,也是上市公司進行內部控制實踐的重要依據。但上述標準仍局限在內部會計控制領域,內容範圍過於狹窄,體系不夠完整,距離涵蓋上市公司全面經營戰略和管理過程的全方位、高視角的內部控制系統的管理要求還有相當差距。
而在當時國際內控制度已經發展經歷了內控制度階段、內部控制結構階段以及內部控制整體框架階段,更從財務控制、財務控制與管理控制相結合,發展到內部控制與風險管理相融合的全面控制階段,內部控制範圍已經範圍不斷擴大,早已超出了會計控制的範圍。因此,當時中國的內控制度與國際內控制度相比存在一定的差距。
(2)第二階段——逐步發展階段
21世紀開始由於受到國際社會內控制度的快速發展以及亞洲金融風暴事件的影響,我國更加重視金融機構的內部控制和風險管理。
2001年,中國證監會頒布了《證券公司內部控制指引》(已失效)。2002年9月,中國人民銀行頒布了《商業銀行內部控制指引》(已失效),規定了商業銀行內部控制的概念、目標、內容,對商業銀行的主要業務領域的內部控制提出了具體要求,明確規定內部控制應當包括內部控制環境、風險識別與評估、內部控制措施、信息交流與反饋、監督評價與糾正五大要素。2003年12月15日,中國證券監督管理委員會頒布了修訂後的《證券公司內部控制指引》(已失效),將證券公司內部控制定義為「證券公司為實現經營目標,根據經營環境變化,對證券公司經營與管理過程中的風險進行識別、評價和管理的制度安排、組織體系和控制措施」,並要求證券公司定期評價內部控制的有效性,並根據市場、技術、法律環境的變化適時調整和完善。2004年12月25日,中國銀行業監督管理委員會頒布了《商業銀行內部控制評價試行辦法》(已失效)。這是我國第一個關於內部控制評價的辦法,旨在通過加強對商業銀行內部控制的評價,督促商業銀行進一步完善內部控制體系,從根本上建立風險管理的長效機制,保證商業銀行安全穩健運行。
(3)第三階段——全面發展階段
2005年,全國人大常委會頒布了《中華人民共和國公司法(2005年修訂)》,對1997年公司法作了多處修改,完善了現代公司治理結構,其中某些方面的修改內容對公司內部控制的加強也具有重要意義。新公司法引入了獨立董事制度,規定上市公司設立獨立董事,並規定獨立董事是指與其受聘的上市公司及其主要股東不存在可能妨礙其進行獨立客觀判斷的一切關係的特定董事,從而為改善公司治理、提高監控職能的目的,為實現公司價值與股東利益的最大化提供了制度保證,具備積極意義。此外,公司法新增了董事等高級管理人員的責任。例如,新公司法第150條規定:董事、監事、髙級管理人員執行公司職務時違反法律、行政法規或者公司章程的規定,給公司造成損害的,應當承擔賠償責任;第152條規定:董事、高級管理人員有本法第一百五十條規定的情形的,有限責任公司的股東、股份有限公司連續一百八十日以上單獨或者合計持有公司百分之一以上股份的股東,可以書面請求監事會或者不設監事會的有限責任公司的監事向人民法院提起訴;監事有本法第一百五十條規定的情形的,前述股東可以書面請求董事會或者不設董事會的有限責任公司的執行董事向人民法院提起訴訟,從而明確了公司高管的勤勉義務。
2007年,中國證監會頒布了《關於開展加強上市公司治理專項活動有關事項的通知》(現行有效),並於2008年頒布了《深入推進上市公司治理專項活動有關事項公告》(現行有效)。兩部法規都對上市公司的內控制度做出了相關要求,並從內部控制的定義、內部控制的原則以及內部控制的目標等方面進行了具體規定。除了加強對上市公司內部控制要求以外,2006年,國務院國有資產監督管理委員會發布了《中央企業全面風險管理指引》(現行有效)。這份指引強調,企業全面風險管理是一項十分重要的工作,關係到國有資產保值增值和企業持續、健康、穩定發展。中央企業應當根據自身實際情況貫徹該項指引,以進一步提高企業管理水平,增強企業競爭力,促進企業穩步發展。因此,在這一階段,我國的內控制度開始逐步加速,首先加強了對金融機構、上市公司以及中央企業的內部控制要求,但還未將內部控制要求全面鋪開。2008年,財政部、證監會、審計署、銀監會、保監會聯合印發了財會〔2008〕7號文,提出了企業內部控制的五個要素:內部環境、風險評估、控制活動、信息與溝通以及內部監督,開啟了我國內控制度建設的篇章。2010年4月,財政部、證監會、審計署、銀監會和保監會又聯合發布了《企業內部控制配套指引》(財會[2010]11號),包括《企業內部控制應用指引》《企業內部控制評價指引》和《企業內部控制審計指引》在內三個指引文件,標誌著融合國際先進經驗、結合中國實際的企業內部控制規範體系基本建成。
而與此同時,在《公司法》之後,《商業銀行合規風險管理指引》(銀監發〔2006〕76號)、《商業銀行合規風險管理指引》(銀監發〔2006〕76號)、《證券公司合規管理試行規定》(證監會公告[2008]30號》等逐步規範推行,合規管理與內控制度平行發展。
近年來,隨著中國企業逐步做大做強,企業本身的運營以及所面臨的市場環境都越來越複雜。此外,市場經濟的發展和企業環境的變化,越來越多的企業開始意識到全面風險管理的重要性,社會各界對於制定統一的內部控制標準的需求也越來越強烈。屬於公司法商法制度中平行發展的合規管理與內控制度該何去何從呢?
2、我國商法制度下合規內控制度對企業的價值
法的價值,是研究我國企業合規內控制度的意義所在,法的價值是以法律制度對人(法人或自然人)所具有的意義。
在社會各界對企業相關配套的公司治理和監督機制的需求日益增加的時代,其對企業合規內控制度體系的要求也越來越高,面對突發的緊急情況也需要企業內控制度的進一步的完善。
新冠疫情對個人的直接致命危害即便已經下降至可控程度,但其作為突發事件,對企業的影響深刻而久遠,外因作為矛盾引發的因素,如果內因客觀存在,那麼,對企業的損害將是巨大的。研究疫情後我國商法制度下合規內控制度、並加以完善,即是法的價值所在,更是歷史的必然。
(三)境內外關於企業合規內控制度的比較分析——以中、美、日及國際慣例為藍本
1、美國的企業合規內控制度
美國的企業合規內控制度主要經歷了三個重要的時間節點,即《反海外賄賂法》的頒布、COSO機構的設立、安然事件後《薩班斯法案》的頒布。
(1)《反海外賄賂法》的頒布
上世紀70年代,美國以及世界其他地區曾爆發了大規模的公司會計欺詐和公司內部控制失效的事件,本世紀初也發生了大量類似事件。早期事件直接促使美國1977年出臺了《反海外賄賂法》(Foreign Corrupt Practice Act,英文縮寫FCPA),促進企業更加重視內部控制概念的運用,FCPA雖然第一次規定了管理層有義務在企業內部保持適當的會計控制系統,但是沒有要求審計人員證實企業是否遵照相關法案的要求來規範其內部控制。在此之後,FCPA雖然歷經1988、1994、1998年三次修改修訂,但修訂也只限於加強和改善其反腐敗條款。
《反海外賄賂法》主要的兩大類條款——反賄賂條款(Anti-bribery provisions)和會計條款對跨國公司的合規管理影響深遠。反賄賂部分規定了向外國官員支」付賄賂的違法性,會計部分強化了對帳簿製作及內部會計的要求。「反賄賂準則」明確規定:第一,禁止向外國官員提供現金或其他貴重物品以獲得或保留業務;第二,禁止向外國官員提供現金或其他貴重物品以求在法律或法規制訂方面獲得額外利益,或其他優惠待遇;第三,禁止向第三方提供現金或其他貴重物品,並且明知其中部分或全部將提供給外國官員以獲得不公平或非法的優惠待遇。FCPA禁止提供款項給第三人,如代理人、分銷商或契約夥伴,並且明知其中部分或全部將提供給外國官員,以對決策產生影響力,幫助美國公司或美國上市公司獲得或保留業務。「明知」是指意識到某種結果的發生是「確定的」,或某種情況的存在或者存在具有「高度可能性」。FCPA並不要求確切知道公司代理人或合伙人的具體行為。有目的地忽視將不能保護公司或個人免遭追訴。因此,員工不能對違反FCPA的活動視而不見。「會計準則」則明確要求公司要建立會計和帳簿控制制度,以防止「賄賂基金」和「帳外帳」的出現。FCPA要求公司製作並完整保存帳簿、帳戶、檔案等準確,以便真實地反映出公司的交易往來和資產處置情況。上述材料應該包括任何直接和間接同外國官員相關聯交易的信息。嚴厲禁止建立任何未披露、未記錄或其他秘密的公司資金或資產,及在公司帳簿和記錄中錄入虛假帳目等行為,以掩蓋用公司的資金或資產進行任何不道德、不適當或不合法的交易。當然,公司其他制度規定的交易和支出需獲得批准的,及遵循其他會計控制和程序的除外。[1]銀行金融機構同樣需要建立此會計和帳簿控制制度,並保存全部會計資料。
而無論是反賄賂條款還是會計條款,均對具有涉美連接點和分支機構的跨國公司年度合規審計工作產生直接影響。
因此,在筆者看來,雖然FCPA屬於內控制度的範疇,但內容與企業合規的研究範疇存在交叉重合。
(2)COSO內部控制框架
1985年,美國反虛假財務報告委員會National Commission of Fraudulent Financial Reporting成立了發起人委員會(COSO),專門研究內部控制問題。1992年,COSO發布內部控制框架,公司可根據該框架審核其內部控制的有效性。最初的COSO內部控制框架定義內部控制為:「內部控制是一個流程,受到一個組織的董事會、管理層以及其他人員的影響,為達成以下戰略目標提供強有力的保障包括運營的效率和效果、財務報告的可靠性、遵守使用法規的法律法規」,認為內部控制的五要素為控制環境、風險評估、控制活動、信息與溝通、監控活動。1992年後,COSO內部控制框架不斷被完善,並且其所提出的內部控制理念也被美國大量公司所採用。
不難看出,COSO將內部控制的最終目的表述為合規——即遵守法律法規。
(3)《薩班斯法案》(Sarbanes-Oxley Act,英文縮寫「SOX」)
安然公司(Enron)原是世界上最大的綜合性天然氣和電力公司之一,在2001年宣告破產之前、2000年披露的營業額高達1010億美元。由於持續多年地精心策劃制度化、系統化的財務造假醜聞被曝光,這個千億資產的公司在2002年破產了。安然事件給美國乃至全世界的資本市場造成了持續深遠的影響,曾經享負盛名的安達信會計師事務所也因牽涉其中而被迫解體倒閉。「安然事件」從此成為了上市公司財務造假和企業欺詐的代名詞。[2]同時,安然事件直接導致了《薩班斯法案》(Sarbanes-Oxley Act,英文縮寫「SOX」)的誕生——美國第一部與內部控制有關的法規。其目的在於增強財務報告審計的規範程度,並且糾正董事會、會計師事務所以及其他實踐活動中出現的問題。
薩班斯法案全稱為《2002年公眾公司會計改革和投資者保護法案》,由參議院銀行委員會主席薩班斯(Paul Sarbanes)和眾議院金融服務委員會(Committee on Financial Services)主席奧克斯利(Mike Oxley)聯合提出,又被稱作《2002年薩班斯-奧克斯利法案》。該法案對美國《1933年證券法》、《1934年證券交易法》做出大幅修訂,在公司治理、會計職業監管、證券市場監管等方面作出了許多新的規定。法案的第一句話就是「遵守證券法律以提高公司披露的準確性和可靠性,從而保護投資者及其他目的。」法案對在美國上市的公司提供了合規性要求,使上市公司不得不考慮控制IT風險在內的各種風險。
因此,美國作為判例法國家,已通過三個重要的時間節點和不同的法案演進史,將企業合規與內控制度融為一體,共同推進對公眾公司的公司治理法則。
2、日本的企業合規內控制度
日本的內控制度是成文法國家的典型,其以國家的法律法規為基礎——直接依據《公司法》和《金融商品交易法》的授權而制定。
二戰之後日本效仿美國的政治體制和經濟制度,於20世紀40年代末頒布了《證券交易法》,要求上市公司在上市申請時和每個會計年度末提供經註冊會計師審計後的財務報告,同時還頒布了《註冊會計師法》明確規定註冊會計師應有的權利與義務。
美國安然事件之後,2001年日本也對當時採用的會計、審計制度進行了研究,修訂了原有相關的法律和會計、審計準則,並從2002年起接受了美國的《薩班斯法案》,加強對內部控制理論和實踐的研究。隨著經濟活動的實踐與論證,金融商品交易的擴大,日本國會於2006年通過了日本版「薩班斯法案」——《金融商品交易法》,以此取代原《證券交易法》規範的會計和審計行為,並將對企業內部控制評價及審計的要求列入法律。該法律為實施內部控制報告準則提供了直接的法律依據。與此同時,為適應現代企業經營管理的需要,2005年6月日本法務省將原《商法》中有限責任公司部分和原《商法特例法》內容合併,頒布並實施了《公司法》。《公司法》直接規範上市公司和非上市公司以及大、中、小公司型企業的會計和審計制度。
3、有關國際慣例
提到FCPA與合規,必須提及「行賄黑名單」體系。自上個世紀80年代以來,越來越多的西方國家通過了類似美國的FCPA法規,以打擊本國海外跨國企業的海外賄賂行為。越來越多的國際組織也先後通過各種方式,打擊海外賄賂行為並強調該行為的巨大危害。「行賄黑名單」體系已經被納入到全球的信用管理體系之中,如今己經作為國際上日益重要的合規管理手段。「行賄黑名單」已作為對全球跨國企業以及對各個國家的信用實施評價的標準。
不論是世界銀行的「黑名單」、還是我國最高檢的「國家級行賄人黑名單」,一旦有金融機構上了「黑名單」,都面臨著處罰和業務受限。因此,越來越多的銀行、金融機構從自身發展的角度出發,更加注意在國際業務中的合規與內控管理制度的全面合理性,同時遵守屬地法、與本國法,這也是國際慣例對跨國公司公司治理與經營規則的直接影響和體現。
4、小結
從美國和日本的合規內控制度的修改與發展史可以看出,在2006年之前,中美日在內部控制的概念、目標和要素上還存在巨大差異;而當前,我國內部控制的法規制度和職業標準形成一個較為完整的體系,並逐步從傳統的財務會計領域朝著公司治理、風險防範等企業發展的方向邁進。與國外的立法層級相比,調整我國企業合規內控制度的規範文件在法律效力層級上基本屬於部門規章和規範性文件,這也是我國審計署未將該等立法權整合的結果。
儘管2008年的《企業內部基本規範》及2010年《企業內部控制配套指引》已將我國的內部控制目標概括為:合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整;提高經營效率和效果;促進企業實現發展戰略,並為我國企業進行內部控制建設提供了操作性較強的實務標準、指南和框架。這體現了我國內部控制與國際準則、國際慣例接軌的良好態勢,也充分說明了內部控制是為實現企業經營目標而設計執行的政策和程序,反映了實施內部控制的利益驅動力所在。[3]但是,內控是手段、是為了治理,合規是目的、是為了防範,兩者又怎能嚴格區分拆解呢?
三、疫情後企業合規內部控制的「痛點」
如前文所述,在我國由於企業合規與內控制度是分平行立法與修改發展,被撕裂,因此,在內容、手段、與最終執行層面無法起到良好的效果。尤其是在發生風險事件後,問責與追究效果極其無力。疫情後的種種事件表明,合規的預防效果基本經不起經濟形式下滑的考驗,風險事件發生後,問責不嚴、處置無力,令合規內控表現為一紙空文!
(一)管理層違規經營
疫情後,大量企業因疫情面臨經濟損失,也打亂了其原有的工作節奏,企業面臨著營業收入下降、租金工資等綜合成本壓力,隨之而來的裁員壓力等等。在此種情形下,少數上市公司違反其披露的公司內控制度,進行違規操作——內幕交易、市場操縱、信息披露違規以及高管違規等,層出不窮。
首先是內幕交易違規。內幕交易主要闡述的是洩露內幕信息的行為,在證券市場上各種信息均具有價值,當市場參與者中的某個個體打破市場秩序時,則會出現交易某方利用內部信息從而謀取暴利的情形,這是一種違背公平交易、機會均等規則的交易形式,通常洩露內幕信息會帶來不可估量的利益流失,嚴重違規者應承擔刑事責任。因此無論是利用他人洩露的信息進行交易,還是依靠自己獲得內幕信息進行交易,均應當受到監管部門的處罰。
其次是市場操縱。市場操縱是指操縱股價,使得證券市場中流通股票的價值與實際具有的真實價值不符,導致投資者被蒙蔽了雙眼,依然遵循市場上行業情況判斷是否要購入或售出,因此可能存在低價賣出高價買入的虧損行為。相比較之下,市場操縱者則能夠預先看到市場走向,按照預期計劃進行投資決策,從而謀取暴利。市場操縱會導致證券市場無秩序可言,也違背了公平交易、機會均等的原則,從某種程度上來說,少數人控制了整個證券市場,經濟市場形同虛設,流於形式,所以應嚴厲制止市場操縱的行為。
最後是信息披露違規,是指企業對外披露的信息不真實、不完整。這些違規經營操作若能在完善的企業合規內控制度下,能夠獲得一定程度的避免。
現有痛點是,管理層的這類違約行為,真的只能由受害人主張維權、由監管部門處罰嗎?為何不能在立法層面直接引入企業內部合規管理中的問責機制呢?
(二)公司治理架構出現漏洞
疫情之下,大量企業面對嚴峻的經濟形勢之下,也暴露出公司治理的漏洞。
1、股權結構不合理
在我國,很多企業都是股權高度集中,並且大都達到絕對控股的層面,即「一股獨大」。這一現象嚴重影響了全體股東表決的意義。全體股東決定的出發點是實現全體股東利益最大化,而大股東則會從自身利益出發進行表決,從而影響決策的正確性,也增加了中小股東參與公司治理的成本,打擊了中小股東對公司治理的積極性。企業合規的依據但是大股東的一言堂,人治蓋過了合規,內控控制的是大股東以外的外人。一旦大股東「失聯」,公司陷入僵局或死局。
2、董事經理職權不清
董事兼任經理有了兩種身份,使得大股東身兼決策權、經營權於一身,在監督機制很薄弱的情況下為大股東提供了控制公司的契機,使總經理和部門經理負責公司經營成為了理論上的可能、實質上的空談。而當董事授權無度,使總經理和部門經理負責公司完成經營而不受限制時,經理層將逐漸架空董事會而實際控制公司,經理與公司所追求的價值目標不一致將成為董事成員與經理的最終矛盾。近年來上海家化、雷氏照明的爭議困局,也展示了收購後董事會與經理層職權不清、價值觀相左後的結果。
3、監事不能真正履行其監督義務
《公司法》通過列舉的形式表述監事的職權,使其在履行其它監督時沒有法律上的依據,而不能有效制止董事和經理的不良行為。監事在知情權上未能給予充分的權利,不足有效的對公司的情況及時有效的了解,其信息是斷續、不完整的,加大了監事成員履行其義務的成本。
因此,《公司法》之後的公司治理制度中,內部監管職權與外部獨立董事權限與履職考核,必須借鑑與引入合規管理中的問責機制,強化考核與監督、落實退出機制與懲罰措施。
4、經理層缺乏激勵和約束機制
公司治理結構中,公司股東大會對公司重大事項行使表決權,企業董事會對股東大會負責行使監督企業的經理層依法履行職責,經理層對企業具體工作實施決議、開展經營和管理企業的生產活動。[4]由於公司經理處於一個奇特的地位,他們既不是公司所有者,也不是利益的最大受益者,在某種層面上,他們就是一個高級打工者。因此,經理通常會在其績效得不到有效反饋時選擇不合作或損害公司的行為。疫情之下,經理層更是很難在沒有動力和壓力的環境下,積極的履行其勤勉和忠誠義務,有些甚至面臨被裁員。此時,對公司治理結構不夠健全、尤其是對經理層缺乏激勵和約束機制的公司而言,如果不能有效的控制所有的經營管理行為,將為核心經營人員違背內控制度、逆向選擇、侵犯公司利益提供機會。
(三)現有的企業合規內控制度流於形式,缺少執行力
完善內控制度是企業管理的必然產物,也是企業合規管理的內部依據(相較於企業外部的法律、法規、規範性文件和國際慣例等)。目前,大多數企業的內控制度存在著嚴重的不完善、不嚴密、不合理,許多內控制度是為了應付一些部門的要求和檢查而敷衍設計的。一些企業雖然制定很多內控制度,但在實際生產經營活動執行的過程中,由於操作人員素質不高、管理層不夠重視等很多方面的原因,使內控制度的執行力大大削減,導致企業一些內控制度形同虛設,不能充分發揮其控制作用。還有一些企業為了應付上級主管部門或監管機構要求或者是滿足企業對外信息披露的需求,表面上制定了一些內控制度,但在生產經營與管理中根本沒有落到實處。
目前,我國合規與內控制度通常以《指引》等規範性文件的形式出臺,其中內部控制雖然規定了企業內控「應該」如何做,但並未明確不這麼做的後果。因此,我國目前內控制度的強制力和執行力都不強,相關規定中也並未明確相應的罰則,企業若不執行,也不會受到相應的懲罰,因此,對企業的經營管理並沒有明顯的強制力。筆者認為,合規管理為何會有教育、警示和預防作用,就是由其明確了問責與後果而產生了威攝力。
(四)企業合規與內控部門定位不準確
在實務中,企業往往偏重生產和銷售工作,以及直接影響利潤的工作,不夠重視中後臺的內部控制管理工作。企業的合規部門和內部控制管理與企業的各項業務息息相關,涉及管理層面的各個領域及各項經營活動,大體上與公司業務有關的各項活動和行為都屬於內部控制的範疇。很多企業在經營管理過程中把內部控制與內部牽制劃等號;一些企業把內部控制的重點大多放在內部監督上;還有一些企業認為內部控制就是加強內部各種制度規範的落實,企業完善內部制度後就相當於加強了內部控制等,並沒有對內部控制有一個正確的認識,可見,我國企業在對內部控制管理的認識還不夠,定位不準確。
筆者認為,合規的定位應當是要求企業在新產品、新業務誕生之前,先進行閉合測試,預測風險並加以提前防範,同時對企業和人員進行行為管理及風險事件的防控。而內控,則更講求在現有公司治理制度的運行中,不斷修正與完善制度中有關風險防範水平,在實踐中執行包括問責和追責制度,處治不利後果。
四、疫情後中國商法制度中企業合規內控體系的完善
不少企業在疫情中遇到經營困難,很自然會把疫情看作「禍首」,但其實疫情不過是一味「催化劑」、能夠讓企業早已存在的「病」顯露出來的外因而已。市場經濟的規律告訴我們,如果企業有完善的治理機制和內控制度,就會有足夠的抗風險能力、疫情只會造成短期流動性困難、盈利能力下降,疫情過後優勝劣汰後一定會快遞反彈體現成長性;反之,企業則應反思其自身存在的短板與漏洞,有針對性地找到解決方案,加以補齊。然而,近期金融與資本市場上某些上市公司的表現,又受筆者感悟到,疫情後中國商法制度中合規內控體系完善的幾個方向。
(一)完善企業合規內控制度中的問責機制
問責機制(Accountability System)起源於西方民主政治制度,當行政官員被選民選舉出來後,作為行政力量的一部分,其在行政特殊權力的同時,也承擔著被追責的風險。其內在邏輯是「權、責、利相一致」。目前被西方企業廣泛實施在人事管理制度中。
在我國的企業經營管理中,管理層在決策時握有較大的話語權,甚至有時會出現「獨斷專行」的情況,損害企業的利益。實質上形成了企業的管理者們做出的決策由企業全體投資人共同承擔風險和後果的情形。尤其是疫情爆發以來,企業日常經營遇到風險和挑戰,一旦出現違規決策,造成的後果將會十分惡劣,甚至影響到企業的存亡。因此,在企業推行問責機制、劃分責任的同時,亦明確了每個人在企業內部的角色定位,使得企業的內控管理更加科學化、規範化、透明化,極大調動員工的工作積極性。同時也使各級管理人員備感肩負責任的重大,從而更加兢兢業業地努力工作,無論是廠長經理負責制,還是職業經理人都會努力避免失誤的發生、損失的發生、虧損的發生,謀求最大利益。
推行企業問責機制時,可從以下兩方面著手:
第一,企業問責機制的制定。在制定問責機制時,企業應當優先明確工作分工和工作責任,對各崗位作出儘可能完備、細緻的規定,要明不同治理層級之間、正副職之間的責任,以便在實施責任追究時能夠確定相應的責任主體,也讓員工真正領悟自己崗位所負責任的內涵,認識到履行責任的重要性和必要性。與此同時,應當明確企業問責機制的實行機構以及主要負責人,在企業發生需要進行問責的事項後,由企業問責機構及時開始問責程序,盡最大可能挽救企業可能發生的損失。在制定流程方面,應當遵循公開透明原則,鼓勵企業員工參與到問責機制的建設工作中來,積極聽取企業不同崗位、層級員工的建議和意見。在制定完成後,企業應當本著公開透明原則,及時將制定完畢的問責機制進行公示,並邀請員工提出各自的看法,確保企業制定的問責機制真正落實到企業的現實基礎之上,真正為企業健康發展做出貢獻。
第二,企業問責機制的實施。高效實施是制度發揮作用的重要保障。問責機制建立後,企業應當在內控制度框架下,開展相關工作。當發現問責事項後,企業問責機構依照問責機制啟動問責程序,確定問責對象。在問責事件發生後不僅對人進行問責,還要進行制度層面的問責,進而進行制度的改進。企業在推進問責程序時,應當根據重要性原則,確定問責事項。問責的目的在於發現企業合規和內部控制中存在的問題,從而幫助企業更好地發展、保障中小投資者利益。因此,不能不分輕重大小把企業所有問題統統拿出來問責。企業問責機構應當將時間和精力集中在影響企業發展的重大問題之上,諸如重大決策程序執行不力,個人獨斷專行,導致重大決策失誤的,工作失職導致企業重大損失,可能導致安全事故、人員傷亡的重大風險事項等。與此同時,企業問責機構在進行問責時,應當堅持「結果和過程並重」原則。當出現問責事項後,不能僅僅依據結果就對相關員工進行問責。在問責事項發生後,不能僅看事情的後果,還要看員工處理事情過程中的態度和補救措施是否及時、努力和負責,要把這些因素在核定責任時考慮進去。若出現問責事項後,員工積極採取措施,僅最大可能挽救企業損失,那麼其責任自然需要輕一些。若「不分青紅皂白」對員工進行問責,既無法挽救企業損失,亦不利於員工的成長。
第三,特別情況從嚴問責。重大風險事件或刑事案件發生後,需要嚴格落實責任追究,堅持「雙線」問責,有責必追、追責必嚴。發現涉嫌違法犯罪的,及時移送監察機關、司法機關處理,積極配合有關部門查清犯罪事實,不得以紀律處分或者解除勞動合同代替刑事責任追究。應建立健全案件整改跟蹤督辦機制,通過實時跟蹤、定期督辦、適時通報等管理督辦措施,有效督促業務部門和案發機構做好案件整改工作。審計部門對案件整改的有效性開展獨立驗證。現實中,案後整改與問責往往被刻意忽視,畢竟兔死狗烹的心理影響著大多數金融從業人員。因此,就企業合規內控制度而言,可以結合監管機構最近兩年從嚴問責的要求,對特別情況從嚴問責,作為內控制度新內容發布。
(二)「預防」+「執行」的雙向企業合規管理措施
目前,企業所制定的合規內控制度普遍流於形式,其實際的執行力存在較大的問題,沒有做到「違法必究,執法必嚴」。因此,企業應當完善內控制度,預防內部可能出現的風險事件,增強內控制度的執行力,以企業內部守則、規範或制度的形式明確內部各層級的合規責任,使責任具體化。
一方面應當建立合規的防範體系。所謂防範,是指針對可能的合規風險所採取的預防性措施。防範體系通常由以下四個要素構成:一是及時有效的風險評估,定期和不定期地對公司運營過程中存在的合規風險進行識別和評估;二是基於合規風險的盡職調查,由合規部門針對合規風險,進行調查和研究,提交合規風險報告,並研究制定和實施降低風險的措施;三是合規培訓和教育,針對敏感位置的員工進行有針對性的合規培訓和教育,針對全體員工則進行全員性的合規培訓,以幫助員工了解法律法規和內部規章制度的最新變化,傳達高層關於合規的最新政策和措施;四是持續的溝通和指導,合規部門應與管理層和員工進行持續不斷的溝通,幫助其了解處理合規風險的方法和經驗,解答有關合規管理的疑問和難題,將誠信和合規理念融於員工的思維之中,形成一種合規文化。
另一方面,建立合規監控體系,明確管理層及員工的職責,加強監管執行力。一是合規控制管理,企業的每個高管和每個員工在其職責範圍內,應對每一項業務活動是否存在違規行為,進行可持續的控制管理;二是審計與內部控制,公司審計部門應與合規部門分離,從而對公司運營過程是否存在違規行為進行雙重審查;三是投訴機制,全體員工應有機會並能便利地向合規部門進行投訴,以便反映公司運營中存在的違規行為,這種投訴應得到及時高效的處理,並使投訴者受到保護;四是報告機制,公司合規部門應定期和不定期地就公司合規體系的實施狀況以及相關的合規風險,向高級管理層乃至董事會進行報告,以便使後者能迅速及時地了解合規體系的實施狀況。
(三)明確企業合規與內控制度的定位
目前,仍然有許多人對內控制度存在錯誤理解,認為內控制度僅僅與企業中某些人的工作相關,或將內控制度的實施與日常工作完全分離。事實上,內部控制體系的建設不僅是內部控制體系建設人員的職能,更是內部控制體系所涉及的每一崗位、每位員工均應明確的職責。因此,建立對內控制度的正確認識,明確企業合規內部控制的定位,理解內部控制體系的實質涵義並掌握必要的風險控制知識,樹立正確的內部控制企業文化對內控制度的有效實施是非常重要的。只有當公司全體員工都正確理解合規與內部控制的含義,增強合規與內部控制意識,才能保證內部控制相關立法的貫徹實施,從而達到內控制度有效實施的最終目的。
五、結語
面對疫情這一突發事件,企業合規內控制度不斷受到挑戰,在此背景下,暴露出現有的企業合規與內控制度的「痛點」及問題。雖然建立、完善內控制度需要投入成本,但隨著企業規模的不斷擴大,面對的內部、外部環境也日益複雜,建議完善我國現有公司法商法制度中有關企業合規內控的制度研究則顯得必不可少,特別是對於金融機構、上市公司和大型國企而言,合規管理與內控制度是相互依存、密切影響的,將兩者撕裂、分別研究立法的現狀亟需改變。因此,要求建立完善企業內控制度和法人治理結構、將企業的合規與內控責任明確到管理層中的具體成員,同時,有權的立法機關通過修訂和完善相關法律強制性規定、突出違法必究,執法必嚴的原則,明確企業管理層的內部控制責任以及具體罰則,以立法的形式加強和提升問責機制的法律位階和效力,才能最終推動有效加強合規與內控的執行,避免出現違規操作、治理結構漏洞等問題,提高企業的綜合發展水平和抗風險能力,防止發生系統性風險。
注釋:
[1] 王煒.中國企業海外商業賄賂治理研究[D].復旦大學,2012.
[2]肖光紅.企業內部控制基本理論問題研究[D].西南財經大學,2014.
[3]韓旗.從法律角度看企業內部控制[D].復旦大學,2012.
[4]周煒煒,劉薇.企業內部控制基本理論問題研究[J].現代商業,2018(33):96-98.
(作者:鄒夢涵、包潔,錦天城律師事務所)
【責任編輯 劉耀堂】