國內外上市公司內部控制信息披露的比較研究

蔡叢光

一、美國上市公司內部控制信息披露的演變軌跡

1978年，美國審計師責任委員會（Cohen委員會）建議管理當局應提供報告確認管理當局對財務報告的責任，并要求這一報告應當反映管理當局對公司會計系統及其控制的評估。其后，美國注冊會計師協會（AICPA）的內部會計控制特別顧問委員會采納了這一概念。

1979年，美國證券交易委員會(SEC)提出《管理當局內部控制的報告》（Statement of Management on Internal Accounting Control），建議要求提供內部控制報告并要求審計人員加以審核。但是，由于許多人反對，SEC最后只得收回該項建議。

1987年，美國反對虛假財務報告委員會（Treadway委員會）要求所有的上市公司都應在其年度報告中提供內部控制報告，內部控制報告需承認管理當局對財務報告和內部控制的責任，討論這些責任的履行情況，并提供管理當局對內部控制有效性的評估。

1988年，SEC提出一份名為《管理當局責任的報告》的建議，要求上市公司評估其內部控制結構并將結果報告給公眾。1989年，美國國家審計總署（GAO）建議管理當局和審計人員報告內部控制，但最后未形成最終提案。

1990年，美國眾議院通過了強制要求公開上市公司提供內部控制報告的立法提案，但在參議院未能通過，該建議沒有成為一項法律。1991年頒布的聯邦存款保險改進法（FDICIA）中有一條款要求資產在5億美元以上的大銀行提供內部控制報告，并要求經過審計人員的驗證。

2001年，美國發生了安然事件，隨后，又爆發了世通、施樂、南方保健、在線時代華納等一連串會計舞弊事件。2002年7月30日，美國總統布什簽署了《薩班斯——奧克斯利法案》(Sarbanes-Oxley Act of 2002)。該法案對會計行業監管、完善公司治理、加強公司的責任、加大會計舞弊處罰力度等做了一系列的改革，該法案對于內部控制信息披露方面的規定主要是：（1）強制要求上市公司披露內部控制信息。該法案的第404節（a）規定，SEC應當制定規則，要求根據1934年證券交易法中第13節（a）或第15節（d）遞交年報的公司，其年度報告中應包含一份內部控制報告。內部控制報告應當闡明管理當局為建立和維護內部控制的結構流程，并對財務報告的內部控制結構和程序的有效性進行評估。（2）內部控制信息的披露需要注冊會計師出具驗證報告。該法案的第404節（b）規定，為上市公司編制或者簽發審計報告的會計師事務所應當對管理當局的內部控制自我評估報告進行測試并出具報告。（3）強化了上市公司關鍵管理人員對公司內部控制的責任。公司的CEO、CFO或承擔類似職能的人必須在每一份簽署或提交的年度報告上簽字，說明內部控制是否存在重大缺陷，存在缺陷情況下相應的補救措施和期后事項，任何涉及管理當局或其他對發行人內部控制起重要作用的相關人員的舞弊情況及相應措施。

為了實施SOX第404節的要求，經過SEC和PCAOB的認可，COSO1992框架成為各種規模的公司評價和報告其內部控制的主要框架。

二、英國上市公司內部控制信息披露制度演進

20世紀80年代以來，英國的Guinness、Barlow Clowes、Levitt集團、Maxwell、BBCCI等聲譽很好的公司相繼破產和出現丑聞，會計能力和道德、公司財務報告的標準和透明程度等引起了社會公眾的關注。1991年5月由財務報告理事會（FRC）、倫敦股票交易所（LSE）及會計職業界共同組成了一個委員會，就如何改善公司治理和提高財務報告質量展開研究，委員會于1992年12月發布研究報告《公司治理的財務方面》（即Cadbury報告），該報告首次明確內部控制是有效公司治理的重要組成部分，將內部控制上升到公司治理的高度。報告建議會計職業界及企業界的代表共同協作：開發用以評價財務報告內部控制有效性的一整套標準和審計師用以審核的具體指南；開發董事會報告公司治理狀況的具體指南。

1994年下半年，Rutteman報告問世，該報告仍延續Cadbury報告中強調公司治理的財務方面及內部財務控制，建議董事披露建立有效內部控制的關鍵程序，并聲明他們已經對公司內部財務控制制度進行了仔細的檢查。

1998年1月，Hampel報告出臺，明確內部控制不應僅局限于公司治理的財務方面，董事及管理人員對控制的各個方面（包括財務控制、經營控制、遵循性控制等方面）進行復核評價具有重要意義。

1998年6月，倫敦股票交易所頒布了《聯合準則》，將Cadbury報告、Rutteman報告、Hampel報告的工作統一起來，提出了優秀公司治理的原則及最佳實踐的規則，其中，有三條款專門明確內部控制問題：一是規定董事會應保持一個健全的內控體系，以保護股東的投資和公司的資產；二是至少每年對內控的有效性評估一次，并向股東報告；三是沒有設立內部審計職能的公司應隨時評估公司各方面對內部審計工作的需求。此外，LSE的“上市規則”中對披露內部控制情況作了以下規定：上市公司在年報中要報告執行內部控制制度的情況，如果沒有建立健全內部控制或部分建立了內部控制，要說明詳細原因。

1999年9月，以Turnbull為主席的委員會發布了《內部控制—董事關于聯合準則的指引》（即Turnbull報告），該報告對英國現有的公司內部控制體系進行了總結，并給出一個明確的公司內部控制框架，使得公司和董事會可以在此框架基礎上形成自己的內控體系模式，該框架不具有法律強制力，而是指導性的。2003修訂的《聯合準則》及2005年修訂的報告確定，上市公司董事會在年報中以敘述的方式描述內部控制情況，沒有規定內部控制報告的統一的格式和內容，審計師只對董事會的內部控制聲明進行審查，并不需要對公司內部控制系統的有效性出具報告，即采取“遵循或解釋”的準自愿或半強制方式。

2004年，英國財務報告理事會成立了Flint委員會，對《Turnbull報告》的執行情況進行了調查和檢驗，調查顯示，絕大多數被訪者認為內部控制在提高企業管理水平，降低風險，提高效益方面取得成功，實現了預定目標。有一部分小企業反映執行內部控制制度管理成本增加。因此，委員會對《Turnbull報告》只進行一些微調：一是進一步強調要求將內部控制嵌入公司業務流程的各個環節和程序，而不能與公司其他基礎制度分離而單獨存在；二是在處理好披露內部控制與保守商業秘密的關系的前提下，要求董事會在年報中披露已經或正在采取的彌補檢查過程中發現的內部控制重大缺陷的措施；三是要求在年報中增加信息量以幫助股東了解公司風險管理過程。財務報告理事會吸收委員會提出的改進建議形成了新的內部控制指引——《Flint報告》。報告于2006年1月1日開始生效，對英國上市公司的內部控制構建和運行發揮指導性作用。

三、法國上市公司內部控制信息披露制度演進

法國于2003年8月1日頒布了《金融安全法》（《金融安全法》是商法的一部分），明確了所有公司（上市的或沒有上市的）和其他法律主體（如果他們進行了登記）對內部控制的責任，主要包括以下內容：（1）董事會主席應當在其年度報告中披露公司治理情況及相應的內部控制程序（作為董事會或監事會報告的內容）；（2）公司應當在其年度報告附錄中附外部審計師出具的對本公司與財務信息的編制和處理相關的內部控制程序的說明；（3）金融監管局每年應當根據各上市公司按照上述（1）、（2）披露的情況編寫內部控制報告建議書。金融監管局每年編寫的內部控制報告建議書，由于是在對當年上市公司內部控制披露情況進行總結的基礎上提出的改進意見和建議，因此，雖然不屬于法規規定，但也構成上市公司改進內部控制報告的要求之一。2005年7月，《商法修正案》將這一規定的適用范圍限定于上市公司。

法國2005年1月組建內部控制指引工作組，研究起草內部控制指引框架。2007年1月22日指引框架發布，該框架包括四部分內容：一是簡介，二是內部控制的一般原則，三是與財務信息的編制和處理相關的內部控制程序應用指南，四是附錄。重點在第三部分。框架給出的內部控制系統由五部分組成：權責分明的組織架構系統、內部信息發布系統、風險確認與分析系統、恰當地控制運營過程及減少相關風險的活動、對內部控制程序的持續監督檢查系統。

法國對內部控制的要求有以下特點：一是內部控制報告的簽發人是公司的董事會或監事會主席。二是內部控制報告無固定格式，報告的內容一般包括有關的公司治理情況和有關公司的所有內部控制程序等兩部分。三是內部控制報告是描述性的，不需要對內部控制程序進行評價；四是注冊會計師僅僅披露對與財務信息的編制和處理相關的內部控制程序的說明，不需要對該內部控制程序進行評價。2005年至2006年期間，絕大多數上市公司披露了所采取的內部控制的內容、投入到內部控制的資源、實施內部控制的步驟以及審計人員對內部控制的報告等內容。

四、加拿大上市公司內部控制信息披露制度演進

1994年12月，TSE（多倫多證券交易所）發布了《董事何去何從？提高加拿大公司治理的指南》（簡稱為“Dey報告”），指出，“整合企業的內部控制和管理信息系統”是董事會的5個“主要責任之一”，董事會必須關注內部控制和信息系統。報告對董事會責任的界定提高了內部控制在加拿大上市公司中的重要性，并有助于改善公司的控制環境。

1995年10月，CICA（加拿大特許會計師協會）的控制標準委員會（Criteria of Control Board，CoCo）發布了《控制指南》，提出了控制的三類目標和四個基本要素。三類目標是：經營的效率和效果、內部和外部報告的可靠性、遵守適用的法律、規章及內部政策。基本要素包括：目的、承諾、能力、監督和學習。這四個基本要素通過“行動”連接成一個循環。

1999年，CoCo發布“評估控制指南”，從目的、承諾、能力、監督和學習四個方面描述了形成一份評估報告的10步程序和20個具體標準。

2000年4月，CoCo發布《董事指南—董事會對風險的管理》指出，戰略計劃審查是董事會的責任。

隨著《控制指南》及一系列操作規范的發布，CoCo委員會的內部控制框架顯示出較強的實用性和前瞻性，被越來越多的國內企業認可和采納，同時在國際上的影響也逐漸加強，許多內部控制的文獻將CoCo和COSO的內部控制框架相提并論，認為它們是現代內部控制理論的兩大框架，越來越多的國家將加拿大內部控制規范和內部控制實務作為借鑒對象。

CoCo的報告包括對外報告和對內報告，采用20個具體標準來評估控制的有效性，并與負有責任的人員溝通結果和披露信息。

五、日本上市公司內部控制信息披露制度演進日本自近年來發生活力門等一連串違法事件后，意識到以確保披露制度可靠性為目的的企業內部控制制度并沒有有效地發揮作用。自2004年3月開始起的會計決算，日本將管理層對有價證券記載內容的適當性聲明作為任意制度而采用，要求管理層對財務報告內部控制系統是否能有效發揮作用進行確認。企業會計審議會在2005年1月召開的全體會議上，決定對制定管理層對財務報告內部控制有效性進行評價的標準及注冊會計師審計標準開始進行審議，2005年2月起內部控制專業委員會開始審議工作。2005年12月8日，內部控制專業委員會發布《財務報告內部控制評價與審計準則（案）》，后又于2007年2月15日發布《關于財務報告內部控制評價與審計準則》以及《財務報告內部控制評價與審計實施準則的制定（意見書）》。準則和實施準則適用于自2008年4月1日以后開始的會計年度的財務報告內部控制的評價與審計。2006年發布的《金融商品交易法》規定，上市公司管理層對財務報告內部控制進行評價并由注冊會計師進行審計是一項義務，應該自2008年4月1日開始起的會計年度執行。

六、中國上市公司內部控制信息披露演變軌跡

中國上市公司內部控制信息披露帶有明顯的政府主導的特征，內部控制信息披露體現在招股說明書和年度報告中。

（1）招股說明書中的內部控制信息披露要求

對于非金融類上市公司，境內首次公開發行股票并上市的公司參照證監會發布的“內容與格式準則”第1號《招股說明書》（2006年修訂），其中第六十九條規定，發行人應披露公司管理層對內部控制完整性、合理性及有效性的自我評估意見以及注冊會計師對公司內部控制的鑒證意見。注冊會計師指出公司內部控制存在缺陷的，應予以披露并說明改進措施。“內容與格式準則”第9號《首次公開發行股票并上市申請文件》（2006年修訂）和2006年發布的第10號《上市公司公開發行證券申請文件》，均要求公司按照要求制作申請文件，文件包括注冊會計師關于發行人內部控制制度的鑒證報告。

證監會2003年發布的公開發行證券的公司信息披露編報規則第18號《商業銀行信息披露特別規定》第一章招股說明書、第3號《保險公司招股說明書內容與格式特別規定》（2006年修訂）、2000年發布的第5號《證券公司招股說明書內容與格式特別規定》要求商業銀行、保險公司、證券公司應建立健全內部控制制度，并在招股說明書正文中專設一部分，對其內部控制制度的完整性、合理性和有效性做出說明。相關機構還應委托所聘請的會計師事務所對其內部控制制度及風險管理系統的完整性、合理性和有效性進行評價，提出改進建議，并出具評價報告。評價報告隨招股說明書一并呈報中國證監會。所聘請的會計師事務所指出以上“三性”存在缺陷的，公司應予以披露，并說明準備采取的改進措施。

（2）年度報告的內部控制信息披露要求

2000年12月中國證監會頒布的“公開發行證券的公司信息披露編報規則”第8號《證券公司年度報告內容與格式特別規定》和第18號《商業銀行信息披露特別規定》都要求證券公司、商業銀行在年度報告中應對內部控制制度的完整性、合理性與有效性做出說明。還應委托所聘請的會計師事務所對其內部控制制度，尤其是風險管理系統的完整性、合理性與有效性進行評價，提出改進建議，并出具評價報告。評價報告隨年度報告一并報送中國證監會和證券交易所。所聘請的會計師事務所指出以上“三性”存在嚴重缺陷的，董事會應對此予以說明，監事會應就董事會所作的說明明確表示意見，并分別予以披露。

中國證監會頒布的“公開發行證券的公司信息披露內容與格式準則”第2號《年度報告的內容與格式》（2005年修訂）第39條規定，年度報告中監事會應對“公司決策程序是否合法，是否建立完善的內部控制制度，公司董事、經理執行公司職務時有無違反法律、法規、公司章程或損害公司利益的行為”發表獨立意見。在該準則第64條又作出了如下規定：“在年度報告摘要中，如果監事會認為公司決策程序合法，建立完善的內部控制制度，公司董事、經理執行公司職務時無違反法律、法規、公司章程或損害公司利益的行為，本條可免于披露。”

2006年6月上海證券交易所發布了《上海證券交易所上市公司內部控制指引》（以下簡稱《指引》），要求在該所上市的公司從2006年7月1日起披露內部控制信息。一方面，公司在內部控制的檢查監督中如發現內部控制存在重大缺陷或存在重大風險，應及時向董事會報告，公司董事會應及時向交易所報告。經交易所認定，公司董事會應及時發布公告。公司應在公告中說明內部控制出現缺陷的環節、后果、相關責任追究以及擬采取的補救措施；另一方面，公司董事會應在年度報告披露的同時，披露年度內部控制自我評估報告，并披露會計師事務所對內部控制自我評估報告的核實評價意見。深圳證券交易所也出臺了內容相似的《深圳證券交易所上市公司內部控制指引》，從2007年7月1日起開始實施，并規定，在該所上市的公司應制定公司內部信息和外部信息的管理政策，確保信息能夠準確傳遞，確保董事會、監事會、高級管理人員及內部審計部門及時了解公司及其控股子公司的經營和風險狀況，確保各類風險隱患和內部控制缺陷得到妥善處理。公司內部審計部門如發現公司存在重大異常情況，可能或已經遭受重大損失時，應立即報告公司董事會并抄報監事會。公司董事會應提出切實可行的解決措施，必要時應及時報告該所并公告。公司應于每個會計年度結束后四個月內將內部控制自我評價報告和注冊會計師評價意見報送該所，與公司年度報告同時對外披露。

2008年5月20日中國頒布內部控制規范指出：內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。企業應當將內部控制相關信息在企業內部各管理級次、責任單位、業務環節之間，以及企業與外部投資者、債權人、客戶、供應商、中介機構和監管部門等有關方面之間進行溝通和反饋。信息溝通過程中發現的問題，應當及時報告并加以解決。重要信息應當及時傳遞給董事會、監事會和經理層。

七、內部控制信息披露的比較與啟示

根據上面對一些國家內部控制信息披露的變遷分析，不同國家由于資本市場發展時間、發展理念、制度背景和文化理念不一樣，內部控制信息披露也存在差別。首先是在內部控制的概念上，美國、英國和日本采用狹義的內部控制概念，即指財務報告內部控制，法國、加拿大和中國的內部控制是指包含公司治理在內的廣義內部控制。在披露意愿上，美國、法國、加拿大、日本和中國都規定需要強制披露，英國則采用半強制披露。在披露原則上，美國、加拿大、日本和中國采用規則導向，英國和法國采用原則導向。

在美國、英國等發達的資本市場中，監管機構對上市公司內部控制信息披露制定了相應的規范，但這些規范的內容各不相同。從2011年1月起，全國69家（截至2010年年底）境內外同時上市的公司正式執行中國企業內控規范體系；同時，205家A股公司也自愿參與實施內控規范體系的試點工作，首批執行和試點內控規范體系的公司總數達到274家。為更好地推動內部控制信息披露的工作：

一是建議國家財政部門會同證券、審計、銀行、保險、國資以及工信等監管部門積極開展內控規范體系宣傳培訓，密切跟蹤上市公司執行和試點情況，適時進行政策咨詢和業務指導，讓全國企業投入到內控規范體系的建設上，增強全員內控意識，建設先進的內控文化，并按照內部控制規范的要求及時披露內部控制信息。

二是會計師事務所和注冊會計師要加強內部控制學習，建立健全內部控制審計質量控制標準，嚴格審計程序，將內部控制有效性評價作為注冊會計師審計的一項重要內容。

［1］財政部會計司赴美國考察團.美國會計國際趨同.注冊會計師監管和內部控制考察報告[J].會計研究.2007（8）

［2］財政部會計司考察團.英國和法國企業內部控制考察報告[J].會計研究.2007（9）

［3］陳關亭、張少華.論上市公司內部控制的披露及其審核[J].審計研究，2003（6）

［4］蔣順才，劉學輝，劉迎新.上市公司信息披露[M].清華大學出版社.2004.3（1）

［5］李明輝.淺談上市公司內部控制報告[J].審計研究.2001（3）

［6］李明輝，何海，馬夕奎.我國上市公司內部控制信息披露狀況的分析[J].審計研究.2003（1）

［7］李明輝，何海，馬夕奎，唐雨華.上市公司內部控制信息的披露與改進[J].上海會計.2003（4）：9－12

［8］劉秋明.我國上市公司內部控制信息披露的問題及改進.證券市場導報.2002（6)：38－43

［9］劉曉峰，劉曉光.我國股市中機構投資者的投資行為分析[J].廣西社會科學.2004（4）:48－50

［10］美國會計師協會（IMA）發布.張先治等譯.財務報告內部控制與風險管理[M]，東北財經大學出版社.2008.1（1）

［11］馬倩.上市公司內部控制信息的披露：論內部控制報告及其影響[J].商業研究.2003（15）

［12］倪慧萍.上市銀行內控信息披露狀況研究[J].南京審計學院學報.2006（2）

［13］繆艷娟.英美上市公司內控信息披露制度對我國的啟示[J].會計研究.2007（9）

［14］日本企業會計審議會發布.李玉環譯.日本內部控制評價與審計準則[M].東北財經大學出版社.2007.10（1）

［15］盛偉、劉國：淺析我國上市公司的內部控制信息披露[J].價值工程.2004（8）：97－99

［16］吳水澎，陳漢文，邵賢弟.企業內部控制理論的發展與啟示[J].會計研究.2000（5）：2－8

［17］張丹璧.加快上市步伐的國有商業銀行內部控制的風險防范[J].中國審計.2005（1）

［18］張宜霞，舒惠好.內部控制國際比較研究[M].中國財政經濟出版社.2006（1）

［19］鄭石橋.內部控制實證研究[M].經濟科學出版社.2006（1）

［20］周勤業，王嘯.美國內部控制信息披露的發展及其借鑒[J].會計研究.2005（2）：24－31