COSO報告提出,內部控制是用來促進效率,降低資產損失風險,幫助確保財務報告的可靠性和對法律法規的遵守。COSO報告認為,內部控制有以下目標:經營效率和有效性(基本經濟目標,包括業績、利潤目標、資源和安全)、財務報告的可靠性(與編制公開公布的財務報表有關,包括中期報告和合並財務報表中選取的數據的可靠性)以及符合相應的法律法規。
根據《薩班斯-奧克斯利法案》第404條的規定和美國證券交易委員會(SEC)相應的實施標準,要求上市公司管理層對公司最近壹年財務報告內部控制的有效性進行評估和報告。2004年3月9日,美國公眾公司會計監督委員會發布了其審計準則第2號:《與財務報表審計相關的財務報告內部控制審計》,並於6月18日獲得SEC批準。SEC對該標準的批準相當於對1992公布的COSO《內部控制-綜合框架》(又稱COSO內部控制框架)的又壹認可。這也表明COSO框架已經正式成為美國上市公司內部控制框架的參考標準。
2001年底的安然事件等壹系列金融醜聞暴露了美國核查制度的嚴重缺陷,該制度原本是用來保護公眾公司股東、養老金受益人和員工的利益,保護美國公眾對資本市場穩定和公平的信心。毫無疑問,安然等壹系列事件嚴重動搖了公眾對會計職業的信心。針對上述公司倒閉事件,美國國會於2002年頒布了《薩班斯-奧克斯利法案》,為上市公司的外部審計師創建了壹個廣泛的新的監管體系,並將重點放在財務報告的內部控制上。國會不僅要求管理層報告公司對財務報告的內部控制,還要求外部審計師確認管理層報告的準確性。
在國內,2010年4月26日,財政部、證監會、審計署、銀監會、保監會等五部委剛剛聯合發布了《企業內部控制配套指引》。配套指引包括18企業內部控制應用指引、企業內部控制評價指引、企業內部控制審計指引。與此前發布的《企業內部控制基本規範》壹起,標誌著適應中國企業實際、融合國際先進經驗的中國企業內部控制標準體系基本建立。
為確保企業內部控制規範體系的順利實施,財政部等五部門制定了實施時間表:從2011在境內外上市公司率先實施,從2012 1擴大到上海證券交易所和深圳證券交易所主板。在此基礎上,選擇時機在中小板和創業板上市公司實施;同時,鼓勵非上市大中型企業提前實施。
這套控制規範在中國被稱為“薩班斯-奧克斯利法案”。自正式實施以來,實施內部控制規範體系的企業必須對其內部控制的有效性進行自我評價,披露年度自我評價報告,同時聘請具有證券期貨業務資格的會計師事務所對其財務報告內部控制的有效性進行審計並出具審計報告。註冊會計師應當提醒投資者、債權人和其他利益相關者關註在內部控制審計過程中註意到的企業非財務報告內部控制的重大缺陷。
這些法案的出臺使得上市公司面臨新的合規監管要求。合規管理部門需要確保公司的業務行為能夠符合公司內部控制和治理流程中的法律、法規、政策、最佳實踐或服務水平協議。如果公司在運營中沒有達到必要的標準,可能會面臨被罰款和要求賠償的風險,這將降低公司的價值,影響其聲譽和商業機會。有效的合規管理有助於企業應對不確定性、風險和機遇,保護和增加股東價值,降低意外損失和聲譽損失的可能性。
合規管理體系建設、合規咨詢、合規審查、合規檢查、合規監控、法律法規跟蹤、合規報告、反洗錢、投訴處理、監管合作、信息壁壘(觀察名單和限制名單)、合規文化建設、合規信息系統建設、合規評估、合規問責等。國際金融組織對合規的定義是:
1.合規:使公司的業務活動符合法律、治理和內部規則;
第二,與目標壹起使用,特指需要承諾遵守的適用於企業主體的法律法規。合規管理中的“合規”可以細分為三個層次:
1.監管,即符合公司總部所在國和經營所在國的相關法律法規和行業標準;
二是規則,即遵守公司內部的規章制度,包括企業價值觀和商業行為準則;
第三,規範,即遵守公司內部的規範流程,包括職業道德。加強合規管理,必須從這三個層面進行探索和創新。
在這三個層面中,遵守法律法規和行業標準是對企業的硬性要求。薩班斯-奧克斯利法案、COSO內部控制框架和國內企業內部控制指引都對企業合規性提出了嚴格的要求。
為了保證上述三個層面的合規管理,企業需要在自身內部控制和對經銷商、供應商等第三方合作夥伴的合規審核方面加強管理,以適應政策監管的復雜環境和不確定性,從而減少企業可能遭受的財務和聲譽損失。由於合規管理的目標之壹是在政策監管面前證明自己的清白,因此企業往往需要引入能夠給出獨立審計建議的專業風險管理機構作為獨立的第三方來協助管理,無論是在選擇新的合作夥伴、管理現有的供應商、經銷商等第三方合作夥伴,還是開展內控工作。與第三方機構合作已經成為全球合規管理的普遍方式。
比如在美國,D&B是世界上最古老的商業信息服務機構,也是當今美國企業征信領域的巨頭。本公司向企業提供的風險管理服務包括合規服務。數據顯示,龐大的全球商業數據庫是其核心競爭力。D & ampb的全球商業數據庫是全球最大的企業信用數據庫,覆蓋超過2.4億家企業。得益於悠久的歷史和全球化的發展戰略,公司於19世紀後期開始在澳大利亞、墨西哥等國家設立分支機構。公司數據來源廣泛,包括各地商事登記部門、黃頁、報刊、官方公報、互聯網、銀行、法院等,也通過走訪、訪談等方式收集相關信息。
在中國,隨著2013葛蘭素史克在華行賄事件的曝光,合規管理在中國受到了前所未有的重視,尤其是在跨國企業,尤其是醫藥行業。因此,在華外資風險管理機構的合規管理業務逐漸成為熱門話題。以鄧白為例。他們在中國的子公司華夏鄧白,在2013葛蘭素史克事件之前,已經為很多外資企業提供合規報告。GSK事件後,華夏鄧白利用母公司的全球數據庫網絡提供合規服務,覆蓋國內外核查範圍,不僅國內媒體和訴訟信息基本都能查到,同時還可以查詢美、英、澳、歐盟、聯合國安理會等國家和國際組織發布的制裁名單、政治敏感人物(PEP)等信息。許多外資企業正在通過鄧巴的合規報告調查其供應商、經銷商和其他第三方的合規情況。
除了通過合規報告調查合作夥伴的合規情況,企業經常采取的方法之壹是對重點對象進行合規盡職調查,如對標制度法規、優化流程評估等。此外,公司通常需要提供專門的審計服務,並通過第三方風險管理機構出具獨立意見,幫助其監督內部和外部的合規問題,這往往發生在藥企經常做的會議贊助活動所涉及的經銷商管理和合規管理問題上。