合规风险的针对公司组织的合规风险

1992年Treadway委员会经过多年研究,针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括,发布《内部控制一整体框架》(InternaControl-IntegratedFramework)报告,即通称的COSO报告。该报告第一部分是概括;第二部分是定义框架,完整定义内部控制,描述它的组成部分,为公司管理层、董事会和其他人员提供评价其内部控制系统的规则;第三部分是对外部团体的报告;是为报告编制报表中的内部控制的团体提供指南的补充文件;第四部分是评价工具,提供用以评价内部控制系统的有用材料。

COSO报告提出内部控制是用以促进效率,减少资产损失风险,帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标:经营的效率和效果(基本经济目标,包括绩效、利润目标和资源、安全),财务报告的可靠性(与对外公布的财务报表编制相关的,包括中期报告、合并财务报表中选取的数据的可靠性)和符合相应的法律法规。

根据萨班斯法案第404节条款以及美国证券交易委员会(SEC)的相应实施标准,要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。2004年3月9日,PCAOB发布了其第2号审计标准:“与财务报表审计相关的针对财务报告的内部控制的审计”,并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》(也称“COSO内部控制框架”)。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。

2001年底发生的安然事件等一系列财务丑闻,暴露了美国核查体系的严重缺陷,而上述核查体系原本是用来保护公众公司的股东、养老金受益人和雇员的利益,并保护美国公众对资本市场的稳定、公正的信心的,安然等一系列事件无疑严重动摇了公众对会计师行业的信心。针对上述公司失败事件,美国国会在2002年出台了《萨班斯-奥克斯利法案》,该法案为公众公司的外部审计师们创建了一个广泛的、新的监督体制,并将对财务报告的内部控制作为关注的具体内容。国会不仅要求管理层报告公司对财务报告的内部控制,而且要求外部审计师证实管理层报告的准确性。

在中国,2010年4月26日,财政部、证监会、审计署、银监会、保监会等五部委刚刚联合并发布了《企业内部控制配套指引》 。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。

为确保企业内控规范体系平稳顺利实施,财政部等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。

这一套控制规范被称为中国的“萨班斯法案”,自正式实施之日起,执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。注册会计师发现在内部控制审计过程中注意到的企业非财务报告内部控制重大缺陷,应当提示投资者、债权人和其他利益相关者关注。

这些法案的推出,让公众公司面临新的合规监管要求。合规管理部门需要在公司的内部控制和治理流程中,保证企业的经营行为能够与法律、法规、政策、最佳范例或服务水平协定保持一致。而若在经营中不符合必要的标准,公司可能将面临被罚款、要求赔偿等风险,降低公司价值,影响声誉及商业机会。 有效的合规管理有助于企业应对不确定性、风险和机会,有助于保护和增加股东价值,降低未预期损失和声誉损失的可能性。

合规管理制度建设、合规咨询、合规审查、合规检查、合规监测、法律法规追踪、合规报告、反洗钱、投诉举报处理、监管配合、信息隔离墙(监视清单与限制清单)、合规文化建设、合规信息系统建设、合规考核、合规问责等。而国际金融组织对合规的定义是:

一、合规(英文即compliance) :使公司经营活动与法律、管治及内部规则保持一致;

二、与目标连用,具体指必须致力于遵守企业主体所适用的法律法规。 合规管理中讲的“合规”可以细分为三个层次:

一、规制,即遵守公司总部所在国和经营所在国的相关法律法规和行业准则;

二、规则,即遵守公司内部规章制度,包括企业价值观、商业行为准则;

三、规范,即遵守公司内部的规范流程,包括职业道德规范。强化合规管理,就要从这三个层次上探索创新。

在这三个层次中,遵守法律法规及行业准则对企业来说是必须满足的硬性要求。“萨班斯法案”、“COSO内部控制框架”以及国内的“企业内部控制配套指引”均对企业合规做了严格要求。

为了确保实现以上三个层次的合规管理,企业需要在自身的内控以及对经销商、供应商及其他第三方合作伙伴的合规审核方面加强管理,以适应政策监管的复杂环境和不确定性,从而降低企业可能遭受的财务及声誉损失。 由于合规管理的目标之一是需要面对政策监管进行自证清白,因此企业无论是在选择新的合作伙伴,还是在管理现有供应商、经销商、其他第三方合作伙伴或开展企业内控工作时,往往需要引入能给出独立审核建议的专业风险管理机构作为独立第三方来协助管理。而与第三方机构合作已成为国际上较通用的合规管理方式。

例如,在美国,邓白氏是全球历史最悠久的商业信息服务机构,也是现今美国企业征信领域的巨头。这家公司给企业提供的风险管理服务中就包括合规服务。资料显示,庞大的全球商业数据库是其核心竞争力。D&B的全球商业数据库是全世界最大的企业信用数据库,覆盖逾2.4亿家企业。这得益于其悠久的历史和全球化的发展战略,公司在19世纪后期便开始在澳大利亚、墨西哥等国设立分支机构。公司数据来源渠道广泛,包括当地商事登记部门、黄页、报纸和出版物、官方公报、互联网、银行和法庭,还通过拜访和访谈形式收集相关信息。

在中国,随着2013年葛兰素史克中国行贿事件被揭露,合规管理在国内尤其是在跨国企业中得到了空前的重视,特别在医药行业的影响力尤为广泛和持久。因此,外资背景的风险管理机构在中国的合规管理业务逐渐成为了热门。还拿邓白氏举例,他们在中国的子公司华夏邓白氏在2013年葛兰素史克事件(简称GSK事件)发生之前就已经在为许多外资企业提供合规报告,而GSK事件发生后,华夏邓白氏利用其母公司邓白氏在全球的数据库网络,提供的合规服务更是将核查范围覆盖到了国内外,不仅国内媒体及诉讼信息基本上都能查到,同时还能查询美国、英国、澳大利亚、欧盟、联合国安理会等多个国家及国际组织发布的制裁名单、政治敏感人物(PEP)等信息。许多外资企业都在通过邓白氏的合规报告来调查他们的供应商、经销商等第三方的合规情况。

除了通过合规报告调查合作伙伴的合规性,企业往往还会采取的方法之一就是对重点对象进行合规尽职调查,比如制度规章对标、流程评估优化等。另外,对于经销商管理中常常会出现的返利补偿金问题,以及对于医药企业而言经常会做的会议赞助活动中涉及到的合规管理问题,企业通常都需要通过第三方风险管理机构来提供专门的审核服务并出具独立意见,从而帮助企业监管内外部的合规问题。