中美内部控制信息披露历程及启示

中美内部控制信息披露历程及启示

【摘要】内部控制信息披露有利于提高公司经营管理水平及风险防范能力，减少财务舞弊的发生，能提供更多信息帮助投资者决策，减少投资风险。本文梳理了中美内部控制信息披露历程，分析了我国内部控制信息披露现状，提出了完善我国内部控制信息披露的建议。

【关键词】内部控制信息披露上市公司

一、美国内部控制信息披露制度的发展历程

美国内部控制信息披露经历了自愿披露和强制披露两个阶段。2002年《萨班斯—奥克斯利法案》（简称SOX法案）出台前，美国内部控制信息披露处于自愿披露的阶段。

1933年的《证券法》和1934年的《证券交易法》构建了美国证券市场信息披露的基本框架，《证券交易法》首先提出“内部会计控制”概念。1949年美国审计程序委员会（CAP）下属的内部控制专门委员会，发表了题为《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告，首次对内部控制做出权威定义。1977年，美国国会颁布了《反海外贿赂行为法》（FCPA），除反贿赂条款外，还包含了要求公司管理层加强会计内部控制的条款。1978年，美国注册会计师协会下属的柯恩委员会（Cohen Commission）提出报告，建议公司管理层在披露财务报告时提交一份内部控制的评价报告，且该报告需由独立的审计师进行审计。1979年，美国证券交易委员会（SEC）提议上市公司管理层提供内部控制报告并经审计，但该提案被否决。

1987年，全美反舞弊财务报告委员会（Treadway 委员会）建议上市公司管理层和审计委员会应在年度报告中描述内部控制活动、评估内部控制的有效性。1988年，SEC建议要求上市公司评估其内部控制结构并公布评估结果，但未被采纳。1989年，美国国家审计总署（GAO）建议管理当局和审计人员报告内部控制，也未能通过。1991年，众议院通过一项法案，强制上市公司披露内部控制报告及外部审计师的鉴证报告，但在参议院没有获得通过。随后几年美国很多会计机构一直建议披露内部控制报告，但始终未形成正式的规定。1991年美国《联邦存款保险改进法》中有一条款要求，资产超过5亿美元的银行提供内部控制报告，且需由审计师鉴证，是美国最早的有关强制披露内部控制信息的法规。

1992年9月，COSO发布《内部控制—整合框架》，1994年进行了修订，2004年发布了《企业风险管理—整合框架》。COSO内部控制框架的出现是内部控制发展史上的一个里程碑，是目前世界范围内影响最大、应用最广泛的一个标准。COSO重新定义了内部控制，提出了内控的三目标五要素及内控建设和评价的指导性建议。目前，在美国，COSO《内部控制一整合框架》是SEC和PCAOB推荐使用的内部控制评价标准。

2001年，安然、世通、施乐等公司财务丑闻相继爆发，内部控制问题受到空前重视，为此，2002年7月30日，美国国会通过了《萨班斯—奥克斯利法案》。法案的第103、302和404条款，强制公司披露管理层声明、对财务报告内部控制有效性的评价、出具内部控制报告并对其进行审计，并赋予严厉的法律责任。至此，美国真正进入内部控制信息强制披露阶段。2002年10月，SEC响应SOX 法案404条款，发布了第33-8138号提案，并于2003年6月发布《最终规则：管理层的财务报告内部控制报告和交易法案定期报告中披露的确认》（简称《最终规则》）。根据该规则，上市公司（不包括投资公司）披露的年报中应包括一份管理当局关于公司财务报告内部控制的报告。2007年6月，SEC通过了新指南第33-8810号《管理层的财务报告内部控制报告指引》，对财务报告内部控制的管理层报告进行了规范。PCAOB也陆续颁布和修订《内部控制审计准则》，为审计人员进行内部控制审计提供了依据。

在美国内部控制信息披露的发展历程中，具有重大意义的SOX 法案将公司的内部控制信息置于公众的监督下，以期减少或防止公司关键人物凌驾于内部控制之上进行徇私舞弊。至此，美国内部控制信息披露进入了强制性阶段。

二、我国内部控制信息披露制度的发展历程

我国内部控制及内部控制信息披露的研究起步较晚，直至20世纪80年代才开始对内部控制进行探索和研究，但很长一段时间内并未出台正式的文件对其进行定义，人们对内部控制的认识不深。到了90年代中后期，上市公司财务欺诈案不断爆发、国有资产严重流失、贪污腐败盛行，我国迫切需要尽快建立适合我国国情的内部控制体系，有关部门相继制定并颁布了许多有关内部控制的法规和文件，迄今为止已有几十部。这些法规和文件出自很多不同的政府部门，财政部、证监会和证券交易所、银监会和中国人民银行、保监会、国资委等分别从不同的角度对不同性质的行业内部控制进行了规范。财政部和上海、深圳证券交易所出台的规定适用范围更广。

1996年，财政部发布《独立审计具体准则第9号—内部控制与审计风险》，首次提出了内部控制概念，并要求注册会计师应当审查企业内部控制制度。1999年，新修订的《中华人民共和国会计法》明确要求各单位应当建立、健全本单位内部会计监督制度。2001年6月至2004年8月，财政部陆续发布了《内部会计控制规范—基本规范（试行）》和货币资金、销售与收款、采购与付款、工程项目、担保、对外投资内部会计控制规范（试行）的通知。这些规范主要针对内部会计控制，但尚未形成一个完整的体系。

2006年7月，财政部会同有关部门成立了企业内部控制标准委员会，专门研究内部控制的有关问题。2008年6月28日，财政部会同证监会、审计署、银监会和保监会（五部委）发布了《企业内部控制基本规范》，该规范要求上市公司对内部控制的有效性进行自我评价，披露评价报告且该报告需经注册会计师审计。2010年4月26日，该五部委又联合发布了《企业内部控制配套指引》，制定了实施时间表。该指引要求上市公司必须评价企业内控执行是否有效，发布自我评价报告，还应聘请会计师事务所对公司内控执行是否有效进行审计，发表独

立审计意见，出具审计报告。五部委发布的内控基本规范和配套指引，明确提出了内部控制信息披露要求。2002年9月18日，中国人民银行发布了《商业银行内部控制指引》，以促进商业银行建立和健全内部控制体系，防范金融风险。2004年8月20日，银监会发布《商业银行内部控制评价试行办法》（2007年7月进行了修订），该办法规定了评价的目标、原则、内容，评价程序和方法，评价的组织和实施等。

证监会和证券交易所也陆续出台了相关规定。

1999年12月8日，证监会颁布的《公开发行股票公司信息披露的内容与格式第2号（年度报告的内容与格式）》中，首次对内部控制信息披露提出了要求，要求上市公司在监事会报告中对内部控制的有效性发表独立意见。2000年11月2日，证监会颁布了《公开发行证券公司信息披露编报规则第1—6号》，对金融类上市公司（商业银行、保险公司、证券公司）内部控制信息披露提出要求。该规定要求上述公司在招股说明书正文中专设一部分对内部控制的三性（完整性、合理性、有效性）进行说明，评价内部控制有效性，并委托会计师事务所对其内部控制制度及风险管理系统进行评价，并以内部控制评价报告的形式进行报告，报呈证监会。若会计师事务所指出三性存在缺陷，公司应予披露，并说明拟采取的改进措施，不存在缺陷则免于披露。2001年1月，证监会发布《证券公司内部控制指引》，对证券公司内部控制的目标、原则、基本要求和主要内容等做出了规定。2001年3 月15 日发布了《公开发行证券的公司信息披露内容与格式准则第1号—招股说明书》，将自我评价意见的责任主体定为公司管理层，这与之前规定的责任主体为监事会相冲突。2001年4月10日发布的《上市公司发行新股招股说明书》对发行人的内部控制制度评价做出了规定。2001年10月发布的《关于做好证券公司内部控制评审工作的通知》，要求证券公司根据指引的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审，提交内部控制评审报告。

2006年6月5日，上交所发布了《上海证券交易所上市公司内部控制指引》，对上市公司内部控制的自我评价及评价报告的内容和披露做出了规定，但未对所有上市公司起到强制作用。2006年9月28日，深交所发布了《深圳证券交易所上市公司内部控制指引》，明确规定监事会和独立董事应对内部控制自我评价报告发表意见。《深指引》将注册会计师的审核对象确定为与财务报告或会计信息质量有关的内部控制，较《上指引》审计范围进一步缩小。2007年修订的《公开发行证券公司信息披露的内容与格式准则第2号—年度报告的内容与格式》鼓励央企控股的、金融类及其他有条件的上市公司披露董事会出具的、经审计的公司内部控制自我评价报告。

保监会、国务院及国资委、中国内部审计协会等部门和机构分别发布过针对保险公司、上市公司内部控制信息披露及内部控制审计的规定。

总体来说，我国内部控制信息披露也经历了自愿到强制两个阶段。2006年上交所和深交所的《内控指引》发布之前，我国内部控制信息披露处于自愿披露阶段。建议上市公司建立和完善内部控制，可以披露内部控制信息，内控良好时