马民虎 张旺:中美企业内控监管规范的差异性分析

选择字号:   本文共阅读 101 次 更新时间:2018-10-12 00:54:16

进入专题: 企业内控监管规范  

马民虎   张旺  

   【摘要】 从企业内、外部监管机制、企业会计责任制度以及处罚力度方面对中美企业内控监管规范进行比较分析,指出中国应当规范企业监管主体职责,明确监管对象主体责任;规范细化中国的会计责任制度,使规定更为具体,更具有可操作性;完善中国信息披露制度,增加重大情况披露、以及披露信息的实时性规定,使之精细化;强化中国行政指导和法律责任方面的执法力度。

   【中文关键词】 萨班斯法;企业内部控制基本规范;网络安全法;美国证券交易委员会

  

   美国《2002年公众公司会计改革与投资者保护法案》是《萨班斯法案》的前身,因由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,也被称为《2002年萨班斯—奥克斯利法案》[1]萨班斯法案涉及的范围很广,包括企业的管理、会计师职业道德的约束、证券交易行为的制约等方面,并以此为出发点提出了相应的法律监管机制[2]。以及严格的处罚机制因此,具有深层次、宽领域法律约束之称的萨班斯法案成为了世界经济大危机时期最具影响力的上市公司法案,并一直延续至今{1}。金融业甚至有人声称,《萨班斯法案》与巴塞尔新资本协议、国际会计准则一样是国际金融法领域面临的三大挑战之一。自此,各国纷纷紧锣密鼓筹划各自的企业内部控制和风险管理规范。

   2008年6月28日,我国财政部、证监会等多个管辖部门共同起草并发布了《企业内部控制基本规范》(以下简称《基本规范》),首次完成了企业内部监测从有到无里程碑式的跨越。这是我国与国际接轨的又一力作,被业内人士称之为具有中国特色的“萨班斯法”。《基本规范》明确了企业的内部监管系统,形成了具有中国特色的企业内部监测体系;借鉴美国《萨班斯法案》的精髓,迎合中国企业的发展态度,对于企业的未来运作营造了一个良好的发展环境。目前,WarmaCiy勒索病毒[3]席卷全球,超过150个国家至少30万名用户中招,造成损失达80亿美元(约合人民币550亿元),暴露出我国企业在网络安全风险内部控制方面的轻视和不足。虽然我国已经采取了各种方式阻碍了病毒事态的蔓延速度,但还是存在很多隐患,也给我国网络用户带来巨大的风险。

   2016年11月7日,《中华人民共和国网络安全法》(以下简称《网络安全法》)由第十二届全国人民代表大会常务委员会第二十四次会议通过,标志着企业需要借助网络安全技术管理和法律措施,应对信息技术应用的普遍化导致的业务风险、科技风险与法律风险相互结合、渗透的复杂问题——即解决普遍网络环境引入和放大的内控风险问题,和借助于信息和网络技术解决传统内控风险问题。特别是《网络安全法》第三十八条提到:“对于关键基础信息的操作和管理者来说,维护信息的基本安全,防止信息的不正当泄露是尤为也是必需应该注意到的问题,这就要求管理者每年至少进行一次网络信息安

   全的预测和评估,并及时做好上报和反馈,从而保障信息的绝对封闭和安全。”[4]该条款与萨班斯法案404条款已经非常接近——内部控制报告应包括以下内容:(1)公司的管理人员有义务对公司内部所监管的财务报告进行整理和细化,并有组织的将其完备和优化;(2)这里面包括管理人员在年度财务总结时对内部所监管的财务报告进行可预见性的分析和整理^对于受托上市公司的审计员来说,必须遵照会计监督委员会制定的相关法律法规对公司内部的财务展开测试和评价,并出具评价报告。这些都是建立和围绕核心业务、关键系统(基础设施)的系统化、体系化建设工程,需要企业在建立内部控制规范时必须充分考虑“顶层设计”;在具体落地和实施上,也允许根据差异分析进行本地化改造的考量。以欧盟成员国的德国立法为例的外部强制性审计规定中,联邦信息安全局(BSI)的要求是对关键基础设施每两年一次安全审计[5]。

   面对全球性的年度强制评估立法趋势,借助自动化评估实现对萨班斯法案的符合已经成为企业的共识,Cobit系列即为符合404条款的事实标准。同样,我国在分析差异的过程中,也应充分考虑与网络安全立法的相互融合,合理设定过渡期,逐步建全完成从内部审核到外部审计,从随机评估到年度评估的过程。

  

一、中美监管机构的差异性分析


   (一)外部控制监管机构

   1.美国外部控制监管机构

   美国外部监管机构在一般情况下,可进行两大方向的划分。首先是监管机制,以国家为单位、以法律形式授权为核心,例如,美国证券交易委员会(SEC-the U. S. Securities and Exchange Commis- sion)、各自治州管辖的监管机构等;其次是以各企业为单位、以高度自治的形式成立的证券交易管理机构{2}。美国萨班斯法案明确指出,以外务名义成立的独立公司,受会计监管委员会的监察和引导,旨在作为独立上市外务公司处理会计相关事务及注册{3}。

   美国证券与交易委员会(简称SEC),属于在美国联邦政府中最高的监管机构,主要监管证券投资和交易活动,涉及到投资人、上市公司、自律性监管机构和证券商等对象{2}。SEC并不隶属于联邦政府,而是直接隶属于国会,独立于政府等国家机关,具有极高的权威性。它集准立法权、执法权、准司法权于一身。其五名成员中四名委员多均分为两党,不具备执行与兼职业务的权利,且无法参与到证券交易活动之中;一名委员会主席由总统任命,任命对象通常为执政党员;委员会独立行使职能,不受总统干涉。SEC的主要职能是维护美国证券的正常交易,依照宪法的规定引导证券交易合法,安全的运行,开始对证券交易商进行实质性监管。

   美国外部控制监管机构的优点具体表现为,第一,证券交易监管委员会兼有立法、执法、准司法权。这种集中且强大的证券监管职能,使国家对证券市场实行统一集中的监管,从而确保法律监管的能动性,保障正常交易的平稳运作。其次,证券交易的下属监管机制可以有效地运用相关职能发挥自身的法律约束作用,为证券市场创造良好的外部条件。因此,监管机构不能够实际参与到证券业务之中。第三,明确证券监管职能的目的在于实现保护投资人的合法利益,故证券交易管理委员会的主要业务活动是保证及时披露证券市场的相关信息,以采取预防性措施为日常职责,规避、抑制证券市场存在的不法行为。因此,证券交易监管委员会行使证券监管职责的目的,就是为了保证证券市场行为主体从事证券活动的合法性。

   缺点具体表现为,第一,由于国家监管职能过于强大,因而导致了对自律性组织的自律监管职能的压制。各种自律性组织在国家的监督、指导下,只拥有较少的自治权,这在一定程度上限制了其自身作用的充分发挥。第二,证券监管职能行使的主体主要是联邦及各州的证券交易委员会,由于其自身的性质导致其监管无法及时跟上证券市场的快速发展和变化,往往使证券监管职能行使方式僵化,阻碍了证券监管职能效率的发挥。

   2.中国外部控制监管机构

   《中华人民共和国证券法》在20世纪末颁布。新体制诞生的同时,证监会成为国家最高监管机构,决策、执行职能随之融合。我国现行的证券监督管理体制无论是在操作执行方面,还是在立宪明文方面都全权受制于部门监管,所属权利均归国务院证券监督管理机构所有。证监会作为我国集中统一的监管机构,其监管职能主要包括:(1)证券市场规章及规则的制定权;(2)证券市场审批权和核准权,权限范围过大;(3)对市场行为和市场主体的监督权;(4)对违法违规行为的调查权和处理权。

   中国外部控制监管机构存在的问题:(1)证监会的监管职能等同于行政管理职能,其法律属性存在误区。首先,证券监督过程中管制色彩浓厚。无论是产品的内包装还是外包装,以及产品的研发上市,企业都无法摆脱从国有资产保值增值到政府主导重组的命运,处处渗透着政府管制的血液,自主调节的能力十分薄弱{5}。其次,证券监管过程强调国家本位,忽视证券市场与整个经济发展的互动协调关系。(2)证监会监管职能权限过大。由政府创设、主导、发展是我国证券市场的基本特色,证监会作为高度统一的证券监督管理机构,除了要负责规章制度的制定、对违法行为的监管外,还负担着发展证券市场的责任,这是美国证券监管机构不必承担的责任。(3)证监会监管职能行使方式不当。行政干预过度,法律功能弱化,证券监管职能履行任意性强。(4)证监会监管职能制约缺位。高度集中统一的证券监管体制极容易产生监管俘获、监管寻租以及监管时滞问题,我国对于证券监管职能尚无行之有效的监督制约机制。

   我国的外部监管操作由政府全权负责,虽然权威性明显,但对企业的内部调节存在诸多局限,长此以往,很有可能导致企业发展和运营管理层面的落后。为此,我们可以吸收美国市场监督法案的长处,放宽企业自主监管的政策,给予他们自给自足的能力,从而提升企业的内部调控质量。

   (二)内部控制监管机构

   1.美国内部控制监管机构

   美国《萨班斯法案》的核心是内部控制,这对于公司内部的调控和管理是非常严格的,且不可逾越法律道德和公司行为标准的范畴。法案规定,企业必须将公司内部的分析标准进行最细致的区分,一方面企业自身的管理要有法可依,具备相应的管理系统;另一方面,公司的结构要清晰,目标要明确,并在高管部门形成审计委员组织,分工明确,企业内部要团结,并努力达成具有企业特色的测评体系{6}。首先,强调公司管理层充分有效的责任,要求公司建立相应管理体系,并保障企业内部监测的有效实施;其次,管理部门要进行实时的财务分析和评价,从而确保企业收支的合理控制和管理,遵循审计、会计相关法律法规,定期向上级做出汇报和反馈。《萨班斯法案》代表了美国资本市场一流的信息披露和公司治理标准。

   2.中国内部控制监管机构

   我国《企业内部控制基本规范》在内部控制监管机制方面是基于财务会计的角度提出的,是对财务会计风险进行内部控制时应当实现的目标与遵循的原则。我国的会计审计法案也只是微观的对企业的内部财务提出了限制,并未能从根本上解决公司管理人员追究财务责任的问题。另外,我国《网络安全法》建立了关键信息基础设施安全保护制度,对企业提高了准入门槛和运行安全能力要求。如何落实网络安全法要求,实现网络安全保护,确保产品和运营的合规性和安全性,是我国企业面临的一大难题。近年来,我国企业对于网络会计的控制环境也开始变得复杂与困难,内部的控制所牵扯到的范围也一直在不断的提升,主要体现在会计信息的被泄露风险、网络系统的被攻击风险和内部牵制面临失效风险三个方面。目前,我国只有在会计信息安全、网络系统控制、内部牵制,以及会计档案管理等多个方面积极对财务软件采取加密的技术形式,使其能够对内部控制的相关制度予以完善。只有这样,企业才可以获得非常好的预防网络会计在进行内部控制过程中所产生的风险,并且能够在很大的程度上真正的将网络会计本身的特点以及优势发挥出来{7}。

《中央企业全面风险管理指引》第40条规定,具备条件的企业,董事会可以下设风险管理委员会。目前,我国企业风险管理中通常的做法是将风险按照部门进行划分,分别由各个职能部门负责,最后由总经理统筹,而不再在董事会下设单独的风险管理委员会进行统筹决策,出具风险管理年度报告。一方面,总经理在业务上更加熟悉;另一方面,可以避免设置一个单独的委员会在人员配置上给公司造成的负担。但是,总经理或分管副总经理由于其职责和法律方面的能力所限,(点击此处阅读下一页)

    进入专题: 企业内控监管规范  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 经济法学
本文链接:http://www.aisixiang.com/data/112776.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2018 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号 京公网安备11010602120014号.
易康网