《内控实施意见》和之前发布的关于内控、风险和合规管理的相关文件是否存在冲突

一般认为，合规管理与内控均是现代企业治理的重要工具手段，两者并非同一，但却有相互交叉，所以在实践中不少企业才会产生困惑，二者之间到底如何区分，界限到底在哪。而风险管理则是位于二者之上的大概念，企业面临的风险既包括合规风险，也包括内控风险，还有其他经营性的风险等，是个内涵非常丰富且会不断发展变化的概念。《风险管理指引》也非常明确，其“所称企业风险，指未来的不确定性对企业实现其经营目标的影响”，显然是对企业风险采取了广义概念。故《风险管理指引》在内容方面是个更上位、更宏观的文件，《内控实施意见》和《合规管理指引》更像是根目录下的子目录，都不应当也不可能与之相矛盾，更不能替代。或许有人认为，《内控实施意见》和《合规管理指引》中的上位法渊源都没有列《风险管理指引》，是否意味二者与其是平行关系，但笔者认为，上述三个文件对外从法律效力来看同属部门规章，从立法技术看，的确没有A规章直接表明援引B规章作为其上位法渊源的，但只是从法律位阶效力看是平行的，并不当然意味着规章对应的内容就一定是平行的。因此，《内控实施意见》与《风险管理指引》不冲突也无法替代，且二者法律效力相同但内容并不平行。

前文已提到在企业治理实践中合规管理和内控是两个不同的工具，国务院国资委出台《内控实施意见》，完全没有替代《合规管理指引》的意思，相反《内控实施意见》中提出了以优化内控体系来“促合规”的管控目标，且《内控实施意见》以程序性的规则为主，如完善管理制度、加强重要岗位授权管理和权力制衡等，而《合规管理指引》的核心或者说重点则是围绕实体结果导向，如以分条列举的方式对重点领域、重点环节和重点人员如何防范合规风险阐明了最基本的规则和要求。可以说，国务院国资委这两个文件的出台，表明了国有企业治理体系中通过内控发挥其程序功能来促进合规管理的实体防控风险功能的逻辑。但是，必须看到的是两个文件还是有部分内容存在文义上的重叠，如《合规管理指引》中有“加强合规风险应对，针对发现的风险制定预案”，《内控实施意见》在“健全重大风险防控机制”中要“综合评估企业内外部风险水平，有针对性地制定风险应对方案”。如何处理类似问题，笔者认为不应当认为是两文件的重复或者是在治理工具客体上的权力争夺，而应当以法律解释中的体系解释、限缩解释等方法，合理解释相关文字的含义，使得两个文件在类似内容上相协调而非相矛盾、相争执，这是研究、解释两个文件应有的基本立场和出发点。

从内控体系搭建和作为企业法人治理工具的运用，由财政部主导先后制定印发的《企业内部控制基本规范》和《企业内部控制配套指引》，无疑是内控领域的基础性文件，特别是前者，其适用范围是覆盖大中型企业，小企业和其他单位可参照执行，但因为《企业内部控制基本规范》明确了企业搭建运行内控体系的基本五原则和五要素，相当于勾勒并界定了内控体系通用的基础模型，我国企业在建立内控体系时也都无法绕开这份文件。而《企业内部控制配套指引》的出台更是被认为标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成，其因极强的专业性被广泛适用。而国务院国资委出台的《内控实施意见》是针对在我国国有企业中内控体系建立运行的新要求，当然是建立在《企业内部控制基本规范》和《企业内部控制配套指引》之上，至于其新提出的“促合规”的目标要求，并不是颠覆原有内控体系架构的内容，而是内控这项治理工具随着企业发展实践以及国际上公司治理理论的丰富，其定位和价值发生的更新。这既不意味着内控要把合规管理兼并过来伸长其运行触角，也不意味着要超越财政部主导的两个文件而独立发展出一套新的内控体系，这是国有企业在贯彻《内控实施意见》时应特别注意的。

内控体系何谓“以风险管理为导向、合规管理监督为重点”

《内控实施意见》提出建立健全“以风险管理为导向、合规管理监督为重点”的内控体系，这显然不能当做是一句套话，它决定了当前国有企业内控体系优化的导向和重点，就必要仔细分析其内在含义。

前文已述，风险管理是上位概念，内控对应防控的风险只是企业经营发展过程中的一部分。笔者理解，所谓内控风险就是违反内控制度给企业带来的风险，这种风险与合规风险存在明显不同，值得我们特别注意：

一是违反内控制度不一定会导致负面结果。在合规管理领域，企业违反合规要求，必然要受到监管部门的处罚或者声誉直接受损，比如，企业有商业贿赂行为，就违反出口管制的行为等等。但违反内控规则不一定，比如《内控实施意见》提到了要“要在投资并购、改革改制重组等重大经营事项决策前开展专项风险评估”，如果没有开展风险评估，是不是企业一定会发生经营性损失的结果，答案是不一定，有可能发生也会有可能不发生。

二是完全遵守了内控要求也不一定不出外部风险。近年来在实践中不乏类似案件，个别国有企业通过“代采”或“托盘”形式开展煤炭、钢铁贸易（也称之为融资性贸易），最后因合作方资金链断裂或者故意诈骗，导致巨额国有资产损失。在回溯这些案例时，当时企业都有符合内部全部规则的决策程序文件，甚至有风险评估和应对预案（签订、履行合同之处相关行业的前景很好），但最终还是出险。因此，有时企业行为遵守了内控要求，“很多决策事项从流程和程序上是看不出太大问题的，但还需要能够从商业实质性、交易真实性和风险可控性等方面入手，看到违规的内容与实质。”②

但是，同样要注意的是，违反内控制度和违反合规管理的“恶果”都会从外部作用于企业法人本身，这是二者风险上的相似点。合规管理中，企业违反了投资国环保的规定，整个企业受到处罚甚至被收回土地，出险的负面结果直接作用于企业作为法人这个主体。内控管理体系中，违反内控规则的行为虽然看起来是企业内部运行的错误，却不会阻却其在企业外部正常发生效力。如，A企业董事长超越公司章程或股东会授权作出与股东会决议不符的意思表示，就与B企业缔结股权转让合同，这里当然违反一系列内控方面的规则，但是企业在外部，“对其意思表示真实性的判断应依据商事外观原则，即由相对人通过公布于外部的信息来判断其信用程度和内心真意，而不是深入公司内部进行调查”③，故不能据此否定其与B企业（善意第三人）的股权转让合同效力，即企业内部该怎么追责是一回事，可对A企业这个法人在市场上所作出的这个行为不发生否定作用。

基于上述分析，笔者认为，内控虽然对企业外部风险的抵御具有一定局限性，但却依然往往能在诸多环节，决定企业的生死线。比如，“高质量的内部控制有助于预防和及时发现控股股东‘掏空’上市公司的关联交易行为， 保全上市公司的资金，避免公司因资金占用或‘掏空’而被迫放弃好的投资项目，从而抑制投资不足。”④因此，我们应当科学运用内控这个工具，理性的优化内控体系：首先，“以风险管理为导向”中的风险管理应当做限缩解释。内控不能也不可能泛指企业经营过程中的一切风险，它体系的内在逻辑是不可能覆盖全面风险管理的，只能以内控作为企业治理工具所可能解决的问题对应的“内控风险”作为导向，不然这句话就会成为空谈。其次，优化内控应当与合规管理相结合。内控重程序，合规重实体，作为市场中的主体，企业的经营发展往往是以结果为导向的，程序在其发挥权力制衡、效率、公开等价值的同时，必须要与实体相结合，帮助企业规避、控制实体风险，所以优化内控要注意和合规管理相结合。再则，完善内控制度要将企业领导人的个人履职风险和企业风险相捆绑。优化内控体系的重要指标之一就是权力制衡，既避免企业主要负责人“一言堂”而任性妄为，也杜绝其他管理人员的越权、滥权，通过程序的不可逾越让法人内部有序、规范运转。对于国有企业而言，高风险的目标人群显然是企业主要负责人，如2018年被查出曝光的北京市供销合作总社原党委书记、理事长高守良案，就存在违反议事规则和“三重一大”制度，将数亿资产以期权投资的名义借给连年亏损的公司等诸多行为，给企业造成巨大损失。所以，内控制度的完善要抓住主要矛盾，注意将企业领导人的个人履职风险和企业利益相捆绑，自上而下规范控制程序。

笔者认为，这里有两个层次需要递进分析：

第一，什么叫“合规管理监督”。从单纯文义上解释，合规管理监督是一个客体，但笔者认为，所谓“合规管理监督”并不存在，理由在于：首先，从合规管理规范性文件看，《合规管理指引》界定所谓合规管理，是指以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动，从概念到整个文件通篇，都没有合规管理监督这项内容。其次，无论是从《内控实施意见》中“加强重要岗位授权管理和权力制衡”考虑，还是从管理有效性的角度出发，监督与被监督对象应该分别授权，不应在同一工作项下处理，《内控实施意见》中明确的对内控监督检查就是由企业审计部门负责，所以对合规管理开展监督这项工作显然不应出现在合规管理中。再则，即使合规管理中有合规管理监督这一模块，内控以合规管理中的一项内容为其工作重点，这也是无法理解的。因此，基于上述分析，笔者认为，“合规管理监督为重点”应当理解为“对合规管理的监督”为重点，原文之所以那版表述主要是基于与前文“以风险管理为导向”形成对仗。

第二，如何理解内控以对合规管理的监督为重点。“在现代公司制下，以保护资产和查弊纠错为内容的内部控制显然不能满足需要，以更新内部控制结构为主体的内部控制机制应运而生,这种内部控制制度,其职责不仅包括保证财产的安全完整，检查会计资料的准确、可靠，还将促进企业贯彻经营方针以及提高经营效率纳入其中。这是公司治理结构对内部控制提出的要求。”⑤财政部牵头的《企业内部控制基本规范》中亦明确，内控的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果、促进企业实现发展战略。可见，内控目标其实是非常丰富的，包含企业管理、财务、经营等多个方面，单一以对合规管理的监督作为内控的重点，显然以偏概全。笔者认为，这里只有将对合规管理的监督放置在风险管理项下才合理，即它不是整个内控体系的重点，而是内控与合规管理的互动中的重点。二者都从不同方面帮助企业控制风险，内控从程序，合规管理从实体，同时内控从对合规管理的监督间接实现督促企业实体合规风险的控制，这也在一定程度上缝合弥补了前文所述内控风险主要作用于企业内部、不实质影响企业法人实体权利的局限性和短板。

内控体系运行过程中是否包括实体价值的判断

前文已述，内控体系主要是从程序价值的角度优化公司治理的，但这并不意味着其完全不会有实体方面的内容，不会与合规管理老死不相往来。虽然从公司管理部门权责明确、控制成本的角度，我们不应在内控与合规管理的设定过程中主动将二者形成工作内容混同，但是基于两类治理工具的基本特性，二者还是会不可避免的在个别模块上出现重叠，即内控体系运行过程中还是必然会包含部分实体价值的内容。笔者认为，这主要（但不限于）包括以下三个方面的内容：

一是外部监管规则的内部转化。《内控实施意见》要求，及时将法律法规等外部监管要求转化为企业内部规章制度，持续完善企业内部管理制度体系，这与《企业内部控制基本规范》内部环境要素及识别外部风险的要求形成呼应。内控体系中的完善管理制度，本身就是对外部监管规则的识别、甄选、吸收，最终将基础的、重要的、适合本企业行业特点的外部规则转化为企业内部规定，这个过程当然不可能将实体性规则排除在外，所以必然与合规管理相关工作形成交叉。如，根据《企业国有资产法》第45条之规定，未经履行出资人职责的机构同意，国有独资公司不得向董事、监事、高级管理人员或者其近亲属所有或者实际控制的企业投资，这显然是具有实体意义的法律规则。国有企业在制定企业内部投资管理专项制度时，往往会吸收这一重要禁止性规定，这既是内控体系完善管理制度的工作，也是合规管理的硬性要求，如果违反，相关主体都要承担法律责任。

二是执行兼具实体和程序意义的监管规则。当某些程序性的规则被赋予了实体意义的效果，则企业按照内控要求履行相应行为时，就具有了外部的实体效力，这样的兼具实体和程序意义的监管规则无疑也是合规管理中要求企业应遵守的法律规定，故在这类问题上内控与合规管理存在交叉重合。如，上市公司的信息披露义务，新《证券法》（2020年3月1日）第八十条规定，发生可能对上市公司、股票在国务院批准的其他全国性证券交易场所交易的公司的股票交易价格产生较大影响的重大事件，投资者尚未得知时，公司应当立即将有关该重大事件的情况向国务院证券监督管理机构和证券交易场所报送临时报告，并予公告，说明事件的起因、目前的状态和可能产生的法律后果。上市公司按照此法律规定对外进行信息披露，既是内控体系对公司经营管理中履行程序性行为的要求，也是合规管理中企业应承担的合规义务。

三是对经营行为的规范性约束。内控体系的核心价值之一是对企业经营管理行为的规范，《内控实施意见》的“强化内控体系执行，提高重大风险防控能力”部分，包括重点领域日常管控、重要岗位授权管理和权力制衡以及重大风险防控机制三个方面，也就是从程序机制的角度来规范企业的经营管理行为。相比较而言，2010年《企业内部控制配套指引》中的《企业内部控制应用指引》内容更为全面，包括了组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统等18个方面的模块，《内控实施意见》实际并没有超出前者的射程。从中我们可以看出，内控对企业经营管理行为的规范，实际上非常丰富的，部分是旨在提高企业效率，如内部信息传递、信息系统；部分是旨在促进企业发展战略，如全面预算；部分是为了促进企业创新，如研究与开发，等等。这其中有一些部分规范性约束是与合规管理紧密相关的，如企业内部控制应用指引第12号的担保业务，为防范担保业务风险，就规定了禁止性担保规则，如担保申请人与其他企业存在较大经济纠纷，面临法律诉讼且可能承担较大赔偿责任的，就不能向其提供担保。这当然是内控风险的角度对担保行为作出的约束，但同时也是国资监管规则的要求，如《北京市国有企业担保管理暂行办法》第7条就规定了类似的禁止担保规则。所以，从这个层面而言，内控要求与合规管理也会存在一定重合。

关于风险评估和应对

前文提及《内控实施意见》与《合规管理指引》都有关于风险评估和应对方面的内容，也都要求制定风险应对方案，二者之间是否雷同或者重复。笔者认为，这个问题涉及的不是对法律规则的理解或者监管规则的转化，而是企业实实在在的工作，如果二者完全重复，在内控、合规部门大都分设的情况下，就会给企业带来重复性工作，增加成本负担，引发权责不明。因此，对这个问题，应当从体系解释的角度出发，把两个文件的相关内容解释的相互协调。

《内控实施意见》的有关风险评估和应对主要应当从两个方面来把握：

一是前置性。《内控实施意见》中说的非常明确，要在投资并购、改革改制重组等重大经营事项决策前开展专项风险评估，并将风险评估报告作为重大经营事项决策的必备支撑材料。显然，这是在经营投资项目决策之前就完成的风险评估，在阶段上具有前置性。

二是类型化。《内控实施意见》同时规定，结合内控体系监督评价工作中发现的经营管理缺陷和问题，综合评估企业内外部风险水平，有针对性地制定风险应对方案。这里的风险评估和应对是针对企业经营管理体系上的相关缺陷，且这种缺陷的弥补要滞后于企业外部环境的变化，这时候要开展系统性的风险评估和应对，针对的就是这一类公司治理制度性的短板，具有一定类型化特点。也正是基于这两个特点，“当风险系数越高的时候，设置适当的内部控制措施就越有必要，当风险系数高到一定程度的时候，就必须采取更多的内部控制措施。······可以通过财务风险识别进行风险评估，采取风险控制措施，将企业生产经营各类风险遏制在萌芽状态之中。”⑥当然，实务中也有观点认为，“内控的风险识别与分析，包括企业整体业务层面的风险，也包括单个业务或项目层面的风险，比合规的风险识别与分析要广”⑦，笔者认为无所谓对错，只是该观点虽论述了二者间的整合，但并未进一步解答在企业管理实际工作中如何实际区分应用内控与合规这两项工具，而这恰恰是企业作为实践者最为关心的问题之一。

而《合规管理指引》的有关风险评估和应对也应当从两个方面来把握：

一是业务全过程化。《合规管理指引》要求建立合规风险识别预警机制，及时应对处置合规风险，出现重大合规风险事件要最大限度化解、降低损失。可见，合规管理的风险评估和应对是贯穿于整个业务流程的，包括前置阶段、事中阶段以及出险事后阶段，这和内控所强化的前置性风险评估和应对是不同的。而对于前置阶段的风险评估，内控和合规管理再次出现了交叉，确实不好解决，笔者倾向于的思路是，以评估客体的性质来决定谁来负责评估和制订预案。如何评估的经营管理事项，不涉及外部强监管规则，一般不会触发处罚或品牌声誉负面评价的，一般由内控部门的风险评估和应对方案为主。反之，则以合规管理部门为主。如果是纯经营收益性风险的，合规管理部门应保持谦抑，不涉其中。

二是个性化。基于合规管理中的风险评估和应对是对业务全流程化的覆盖，且合规管理强调建立健全合规审查机制，对每一项重要合同签订、重大项目运营等都要进行实质性的合规审查，这就决定了合规管理中的风险评估和应对是侧重个性化评价的工作。当然，《内控实施意见》所规定的要在投资并购、改革改制重组等重大经营事项决策前开展专项风险评估，也必然带有个性化的内容，但是回到内控重程序性规则、合规管理重实体性规则的基本特征，二者从各自关注的角度进行个性化的风险评估并提出应对预案，似并不必然发生重复性工作，从企业管理角度而言，应该还可接受。