尹 波(教授),宋 君,王 磊(副教授),尹 超
理论上说,证券投资基金对于改善证券市场格局、优化上市公司治理结构起到了重要作用,然而现实中证券投资基金未能充分发挥其预期效应,反而给资本市场的健康发展带来困惑。究其原因,这既与市场环境和外部监管有关,也与证券投资基金内部控制有关。为规范市场,以证监会为代表的各部门和组织加大了对证券投资基金行业的监管力度,先后颁布《证券投资基金法》和《证券投资基金公司内部控制指导意见》等法律法规。需要指出的是,这些内部控制法律规范,如《证券投资基金管理公司内部控制指导意见》(2002)颁布时的情形与现在有较大的变化,尽管《证券投资基金法》在2015年进行了修订,但总体而言,证券投资基金内部控制理论和规范需要结合当前国情和行业情况,进行系统规范和完善,而现有相关研究很少涉及。
十九大报告指出,我国经济已由高速增长阶段转向高质量发展阶段。围绕服务实体经济、防控风险和深化改革,证券基金仍然是金融体系中的一个短板,完善基金公司内部控制规范建设、提高证券基金供给体系质量是当前一项重要且紧迫的任务。有鉴于此,本文以习近平总书记中国特色社会主义理论为指导,通过对企业内部控制理论的系统梳理,明确证券投资基金公司内部控制规范的技术构成和社会属性,提出完善我国证券投资基金内部控制规范的逻辑思路、技术框架和要素内容,为新时代证券基金管理质量品牌的提升提供理论和管理参考。
1.技术属性。美国COSO企业风险管理整合框架将内部控制嵌入企业风险管理框架;引入风险容量和风险容限概念,将风险评估细化为目标制定、事项识别、风险评估和风险管理环节[1]。董月超[2]提出内部控制是一个动态的风险管理过程。刘霄仑[3]认为COSO内部控制框架的核心是风险管理而不是企业目标的实现。李维安和戴文涛[4]从内部控制和风险管理的概念入手,指出风险管理和内部控制是两个同义的概念。谢志华[5]则认为内部控制和风险管理是两种不同视角的语义表达。本文认为内部控制和风险管理作为管理活动,内部控制的核心是预期目标和达成目标的风险之间的平衡,即从风险管理角度而言,内部控制即风险管理,但风险管理整合框架和内部控制整合框架可大可小。COSO企业风险管理整合框架(2003)包含了内部控制,COSO内部控制整合框架(2013)也包含了企业风险管理。2013年,COSO发布《内部控制—整合框架》(2013)。目前,COSO整合框架是运用最为广泛的框架模型。
2.社会属性。COSO内部控制整合框架(2013)指出内部控制应嵌入组织和社会背景中。樊行健和肖光红[6]通过对内部控制演变过程的纵向分析和对美国、加拿大、英国等国内部控制的横向比较,认为企业内部控制是内生于管理需要的企业管理活动,既有技术性又有社会性。
相比西方国家的研究,20世纪我国学者和业界主要关注的是内部牵制和内部会计控制。2000年后,关于内部控制的文献大量出现。2000~2010年期间,内部控制相关研究文献共计236篇,涉及内部控制文献介绍、概念界定、相关理论、公司治理和战略管理、控制环境、内部控制制度和执行、评价和信息披露、审计、信息化和其他10个类别共38个子类[7]。价值导向的内部控制框架由控制环境、目标与预算、风险识别与应对、控制程序和方法、信息及沟通、绩效评价与激励、监控7要素构成[8]。内部控制包括与企业治理控制(与所有权相对应)、企业管理控制(与经营权相联系)和企业作业控制(与岗位职责相联系)三个层次,治理层面控制是内部控制的最高层级[9]。控制结构包括制衡关系和监督关系,制衡关系是平等的双向牵制和制衡,监督关系是单向的上级对下级的控制[5]。王海兵等[10]在深入分析人和内部控制系统之间相互关系的基础上,提出人本内部控制的概念,建立了以企业社会责任管理为核心的人本内部控制战略框架。王竹泉和隋敏[11]基于人性假设、传统文化、我国历史和企业管理理论的综合分析,构建了内部控制“企业文化+控制结构”的二元理论。
在企业内部控制基本框架领域,当前运用最为广泛的是COSO内部控制整合框架(2013)。有鉴于此,本文以COSO内部控制整合框架(2013)为分析框架,在17条原则(principle)对应的要素内容上,综合上述法律法规,对不同法律规范中的某项条款进行归纳整理,对可能有不同阐述的条款,整理过程遵循法律、条例、规范和指引优先次序,即按照新法规优先旧法规、行业职能监管部门优先同级其他监管部门的次序,形成相关内容的最大公约集合,尝试构建一个我国证券投资基金公司内部控制整合框架,如下图所示。
我国证券投资项目公司内部控制整合框架逻辑构成图
《企业内部控制基本规范》及其相关文件和《证券投资基金管理公司内部控制指导意见》及其相关文件,从概念和业务层面对证券投资基金公司内部控制进行了规定和阐述,具有鲜明的社会属性。
1.企业内部控制基本规范。我国现行企业内部控制法规体系包括法律、条例、规范和指引四个层面。法律是由全国人大及其常委会制定的,效力最高,其名称通常是《XX法》。条例、规定和办法等是国家最高行政机关国务院制定的规范性文件,行政法规的效力仅次于国家法律。地方立法机关、国务院各部委等制定的地方法律和部门规制,尽管其名称通常也是《XX条例》《XX办法》《XX规定》,但其效力更低,属于执行法律或国务院文件的事项,只在其权限范围或地域范围内施行。条例与规定和办法相比,主要特点是所涉及的事项性质更重要、范围更宽、内容概括度更高、有效时间和空间范围更广阔、稳定性更强,只有国务院有权使用。办法与规定相比,所涉及事项性质相对较轻,针对性更强,内容也更详尽和具体,更具可操作性。规定介于条例和办法之间。当各项法规发生冲突时,上位法效力大于下位法,新法优于旧法,特别法优于一般法。法律和国务院制定的规范性文件属于严格法的范畴,而地方立法机关和国务院各部委等制定的条例、办法、规定、准则和指导意见等属于广义法的范畴。
将现有的内部控制相关法律法规区分为严格法层面和广义法层面。在广义法层面,按照约束力的大小,区分为规定办法层面和规范指引层面。涉及内部控制的国家法律主要有:1994年颁布的《审计法》、1999年颁布的《会计法》、2013年颁布的《公司法》。涉及内部控制的行政条例主要有:《总会计师条例》(1990)、《企业财务会计报告条例》(2000)、《审计法实施条例》(2010)等。涉及内部控制的准则规范主要有:《内部会计控制规范(试行)》(2001)、《企业财务通则》(2006)、《审计署关于内部审计工作的规定》(2003)、《企业内部控制基本规范》(2008)、《国家审计准则》(2010)等。涉及内部控制的指引解释主要有:《企业内部控制配套指引》(2010),包括《企业内部控制应用指引》(2010)、《企业内部控制评价指引》(2010)和《企业内部控制审计指引》(2010)、《企业内部控制规范体系实施中相关问题解释第1号》(2012)和《企业内部控制规范体系实施中相关问题解释第 2号》(2012)等。在银行、保险、证券等领域以及国资委系统,有更具体的内部控制法律规范等[12]。具体内容如表1所示。
这些法律规范从会计、财务和审计等视角,从原则、规定、指引和解释等层面对企业内部控制体系进行了构建和阐述,涉及控制环境、公司治理、组织文化、业务流程等要素,其中2008年5月财政部会同证监会、审计署、银监会、保监会制定的《企业内部控制基本规范》是企业内部控制建设与实施遵循的基本原则和总体要求。2010年4月发布的《企业内部控制配套指引》是对《企业内部控制基本规范》的补充和说明。《企业内部控制规范体系实施中相关问题解释第1号》(2012)和《企业内部控制规范体系实施中相关问题解释第 2号》(2012)对前述两个文件在执行中出现的反馈问题给予了更明确具体的解释,这些共同构成了一个以企业内部控制为核心的完整的规范体系。
表1 企业内部控制法规体系
2.证券投资基金公司内部控制基本规范。作为内部控制的一般法律规范,企业内部控制规范同样适用于证券投资基金公司,对于具有国资背景的证券投资基金公司,国资系统内部控制规范同样适用。除此之外,与证券投资基金公司内部控制相关的行业法律法规有《证券投资基金法》(2015年修订)、《证券投资基金管理公司管理办法》(2012)、《证券投资基金管理公司内部控制指导意见》(2002)、《证券投资基金行业高级管理人员任职管理办法》(2004)等,具体内容如表2所示。
这些法律规范从会计、财务和审计等视角,从原则、规定、指引和解释等层面对证券投资基金公司内部控制体系构建提供了框架、方法和流程,涉及基金公司内部治理、高级管理人员任职规范、督察长管理办法、基金发行和募集、投资、交易、信息披露、基金公司年报格式等各个方面,其中2015年修订的《证券投资基金法》、《证券投资基金管理公司管理办法》(2012)和《证券投资基金管理公司内部控制指导意见》(2002)构成了一个以证券投资基金公司内部控制为核心的完整的法律规范体系。伴随企业内部控制理论的发展和证券投资基金行业的快速发展,2002年颁布的《证券投资基金管理公司内部控制指导意见》有些与当前实际脱节,亟需进一步完善更新。
表2 证券投资基金内部控制法规体系
3.规范整合。通过前述分析,可以得出证券投资基金公司内部控制规范主要由两个规范体系构成,一个是《企业内部控制基本规范》及其相关文件,另外一个是《证券投资基金管理公司内部控制指导意见》及其相关文件。两个规范文件体系从概念和业务层面对证券投资基金公司内部控制进行了规定和阐述。由于《企业内部控制基本规范》和《证券投资基金管理公司内部控制指导意见》是这两个法规体系的框架文件,通过对比这两个内部控制指导文件,可以从框架、目标和要素对证券投资基金公司内部控制规范进行更完整和深入的认识。
首先指出的,是3D的局限性。3D的局限性,有狭义与广义之分。从狭义上(单号)说,它只能在十个数内出号的,即0123456789,它有天大的本事,也出不到第十一位去。从广义上(单选和组选)说,它只能在“000”到“999”这一千个数内出号,永远出不了第一千零一个。即豹子(三个号相同)10个,组三(两个号相同)90个,组六(三个号不同)900个。
从文件名称、发布时间、实施时间、适用对象、内控定义、内控目标、内控要素、内控内容对《企业内部控制基本规范》和《证券投资基金管理公司内部控制指导意见》进行比较分析。容易看出,对于内控目的、内控定义、内控目标和内控要素,尽管《企业内部控制基本规范》和《证券投资基金管理公司内部控制指导意见》的表述有所不同,但其基本语义是一样或类似的,主要差别就是内控内容。《企业内部控制基本规范》从企业管理一般属性出发,内控内容包括组织架构、发展战略、人力资源、社会责任、企业文化、资金活动(筹集、投资和运营)、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统、内部控制评价和内部控制审计等,具有一般性;而《证券投资基金管理公司内部控制指导意见》主要关注具有证券投资基金行业特点的内控内容,如投资管理业务控制(涉及研究业务、投资决策业务、交易业务)、信息披露、信息技术系统、会计系统、监察稽核等,具有针对性。两者相互补充,形成更系统和更完整的理论和实践指导。
《企业内部控制基本规范》和《证券投资基金管理公司内部控制指导意见》均以内部环境(或控制环境)、风险评估、控制活动、信息与沟通、内部监督为要素结构,由于两者导向不同,其在内部环境、风险评估、控制活动、信息与沟通和内部监督要素的内容和要求上既有共同之处,也有很多差异,通过比较和整合,可以拓展和细化证券投资基金公司内部控制理论和规范。
结合前文分析,提出我国证券投资基金公司内部控制整合框架,具体分为公司层面和业务层面。公司层面从控制环境、风险评估、控制活动、信息与沟通、内部监督等五要素按照17个原则分别进行评价,汇总评价结果,形成对五大要素的评价结论,并汇总五要素评估结果,对内部控制整体有效性进行评价。
1.控制环境。由于我国证券投资基金公司内部控制环境与企业内部控制环境基本类似,限于篇幅,证券投资基金公司内部控制原则1~原则5从略。
2.风险评估。
原则6:设定清晰明确的目标,以识别和评估相关风险。①确保经营管理合法合规。②受托资产安全,财务报告和相关信息真实、准确、完整。③不断提高经营效率,促进公司实现发展战略。
原则7:对风险进行全范围识别和分析,并以此为基础来决定应如何管理风险。①风险识别应当覆盖公司各个业务环节,涵盖所有风险类型,包括市场风险、信用风险、流动性风险、操作风险、合规风险、声誉风险和子公司管控风险等。②准确识别内部风险(人力资源因素、管理因素、创新因素、财务因素、安全环保因素等)和外部风险(经济因素、法律因素、社会因素、科技因素、自然因素等),确定相应的风险承受度。③确定关注重点和优先控制的风险。④结合风险承受度,权衡风险与收益,确定风险应对策略。⑤综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。⑥在风险识别过程中,对业务流程进行梳理和评估,并对业务流程中的主要风险点实施相应的控制措施,明确相应的控制人员,不断完善业务流程。⑦建立清晰的风险事件登记制度和风险应对考评管理制度,明确风险事件的等级、责任追究机制和跟踪整改要求。
原则8:在评估影响目标实现的风险时,应考虑潜在舞弊行为。①防范员工利用内幕信息或其他非公开信息牟利,防范商业贿赂。②通过制度流程、系统监控、核查检查等控制措施加强员工管理。
原则9:识别并评估对其内部控制体系可能造成重大影响的改变。①定期回顾已识别的风险,并及时了解和研究新法规、新业务、新产品、新的金融工具等。②结合不同发展阶段和业务拓展情况,进行风险动态评估。
3.控制活动。
原则10:选择并执行影响其目标实现的将风险降至可接受水平的控制活动。①根据内部控制目标,结合风险应对策略,对各种业务和事项实施有效控制,如预算、运营、财产、授权、信息技术、不相容职务分离、绩效考评、重大风险预警和突发事件应急处理、反舞弊控制等活动。②重要业务部门和岗位应当进行物理隔离。③投资和交易、交易和清算、基金会计和公司会计等重要岗位不得有人员的重叠。④制定切实有效的应急应变措施,建立危机处理机制和程序。
原则11:针对信息技术,应选择并执行一般控制活动以支持其目标的实现。①对业务电子化设置保密系统和相应控制机制,并保证计算机系统的可稽性。②信息技术系统投入运行前,应当经过业务、运营、监察稽核等部门的联合验收。③通过严格的授权制度、岗位责任制度、门禁制度、内外网分离等管理措施,确保系统安全运行。
原则12:通过政策和程序来实施控制活动。政策是建立预期,程序将政策付诸行动。①实施全面预算管理制度。明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。②严格制定信息系统的管理制度。③建立运营情况分析制度,经理层应当综合运用各方面信息,定期分析运营情况。④建立和实施绩效考评制度。⑤建立重大风险预警机制和突发事件应急处理机制。⑥严格执行国家会计准则,明确会计处理程序,保证会计资料真实完整。⑦建立财产日常管理制度和定期清查制度。⑧分析、梳理业务流程中所涉及的不相容职务,实施分离措施。⑨根据常规授权和特别授权的规定,进行授权审批控制。
4.信息沟通。
原则13:获取、生成和使用高质量、相关的信息来支持内部控制的持续运行。①通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。②通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。③对内部信息和外部信息进行筛选、核对、整合,提高信息有用性。④利用信息技术促进信息的集成、共享、开发与安全运行。
原则14:在内部对控制目标和责任等必要信息进行沟通,支持内部控制持续运行。①将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间进行沟通和反馈。②重要信息应当及时传递给董事会、监事会和经理层。③建立重要业务处理凭据传递和信息沟通制度。④建立举报投诉制度和举报人保护制度。
原则15:就影响内部控制发挥作用的事项与外部沟通。①维护信息沟通渠道的畅通,建立清晰的报告系统。②与外部沟通和反馈内部控制相关信息。③及时报告发现的问题并加以解决。
5.内部监督。
原则16:选择开展并实施持续单独评估,以确认内部控制的各要素存在并持续运行。①设置督察员和独立监察稽核部门。督察员由董事会聘任,对董事会负责。②对公司内部控制制度的执行情况进行持续的监督,保证内部控制制度的落实。③定期对内部控制的有效性进行自我评价,出具自我评价报告。可聘请有业务资格的会计师事务所进行审计。④定期评价内部控制的有效性,根据市场环境、新的金融工具、新的技术应用和新的法律法规等情况,适时改进。
原则17:评价内部控制缺陷,并及时与责任方沟通,必要时与高级管理层和董事会沟通。①制定内部控制缺陷(设计缺陷和运行缺陷)认定标准。②结合内部监督情况,提出整改方案,及时向董事会、监事会或者经理层报告。
此外,业务层面对各业务流程关键控制点进行评价,通过穿行测试、抽样测试等方法评价其设计及执行的有效性等。业务层面评价用于支撑公司层面评价。限于篇幅从略。
本文重点探讨了企业内部控制的技术属性和社会属性,其在不同国家因制度环境、运行机制和作用方式不同而有区别。尽管受到西方国家特别是美国的影响,但我国内部控制研究仍然需要针对我国的管理实际和管理需要独立展开,具有紧贴国情、注重实效和独立判断的研究价值。
新时代证券投资基金公司内部控制管理需要进一步提升内部控制规范质量。本文以COSO内部控制整合框架(2013)为技术工具,以我国现有企业内部控制制度规范和证券投资基金公司内部控制制度规范互为补充,尝试提出我国证券投资基金公司内部控制规范的整合框架,为相关研究提供技术参考。