国内外上市公司内部控制信息披露的比较研究

蔡丛光

一、美国上市公司内部控制信息披露的演变轨迹

1978年，美国审计师责任委员会（Cohen委员会）建议管理当局应提供报告确认管理当局对财务报告的责任，并要求这一报告应当反映管理当局对公司会计系统及其控制的评估。其后，美国注册会计师协会（AICPA）的内部会计控制特别顾问委员会采纳了这一概念。

1979年，美国证券交易委员会(SEC)提出《管理当局内部控制的报告》（Statement of Management on Internal Accounting Control），建议要求提供内部控制报告并要求审计人员加以审核。但是，由于许多人反对，SEC最后只得收回该项建议。

1987年，美国反对虚假财务报告委员会（Treadway委员会）要求所有的上市公司都应在其年度报告中提供内部控制报告，内部控制报告需承认管理当局对财务报告和内部控制的责任，讨论这些责任的履行情况，并提供管理当局对内部控制有效性的评估。

1988年，SEC提出一份名为《管理当局责任的报告》的建议，要求上市公司评估其内部控制结构并将结果报告给公众。1989年，美国国家审计总署（GAO）建议管理当局和审计人员报告内部控制，但最后未形成最终提案。

1990年，美国众议院通过了强制要求公开上市公司提供内部控制报告的立法提案，但在参议院未能通过，该建议没有成为一项法律。1991年颁布的联邦存款保险改进法（FDICIA）中有一条款要求资产在5亿美元以上的大银行提供内部控制报告，并要求经过审计人员的验证。

2001年，美国发生了安然事件，随后，又爆发了世通、施乐、南方保健、在线时代华纳等一连串会计舞弊事件。2002年7月30日，美国总统布什签署了《萨班斯——奥克斯利法案》(Sarbanes-Oxley Act of 2002)。该法案对会计行业监管、完善公司治理、加强公司的责任、加大会计舞弊处罚力度等做了一系列的改革，该法案对于内部控制信息披露方面的规定主要是：（1）强制要求上市公司披露内部控制信息。该法案的第404节（a）规定，SEC应当制定规则，要求根据1934年证券交易法中第13节（a）或第15节（d）递交年报的公司，其年度报告中应包含一份内部控制报告。内部控制报告应当阐明管理当局为建立和维护内部控制的结构流程，并对财务报告的内部控制结构和程序的有效性进行评估。（2）内部控制信息的披露需要注册会计师出具验证报告。该法案的第404节（b）规定，为上市公司编制或者签发审计报告的会计师事务所应当对管理当局的内部控制自我评估报告进行测试并出具报告。（3）强化了上市公司关键管理人员对公司内部控制的责任。公司的CEO、CFO或承担类似职能的人必须在每一份签署或提交的年度报告上签字，说明内部控制是否存在重大缺陷，存在缺陷情况下相应的补救措施和期后事项，任何涉及管理当局或其他对发行人内部控制起重要作用的相关人员的舞弊情况及相应措施。

为了实施SOX第404节的要求，经过SEC和PCAOB的认可，COSO1992框架成为各种规模的公司评价和报告其内部控制的主要框架。

二、英国上市公司内部控制信息披露制度演进

20世纪80年代以来，英国的Guinness、Barlow Clowes、Levitt集团、Maxwell、BBCCI等声誉很好的公司相继破产和出现丑闻，会计能力和道德、公司财务报告的标准和透明程度等引起了社会公众的关注。1991年5月由财务报告理事会（FRC）、伦敦股票交易所（LSE）及会计职业界共同组成了一个委员会，就如何改善公司治理和提高财务报告质量展开研究，委员会于1992年12月发布研究报告《公司治理的财务方面》（即Cadbury报告），该报告首次明确内部控制是有效公司治理的重要组成部分，将内部控制上升到公司治理的高度。报告建议会计职业界及企业界的代表共同协作：开发用以评价财务报告内部控制有效性的一整套标准和审计师用以审核的具体指南；开发董事会报告公司治理状况的具体指南。

1994年下半年，Rutteman报告问世，该报告仍延续Cadbury报告中强调公司治理的财务方面及内部财务控制，建议董事披露建立有效内部控制的关键程序，并声明他们已经对公司内部财务控制制度进行了仔细的检查。

1998年1月，Hampel报告出台，明确内部控制不应仅局限于公司治理的财务方面，董事及管理人员对控制的各个方面（包括财务控制、经营控制、遵循性控制等方面）进行复核评价具有重要意义。

1998年6月，伦敦股票交易所颁布了《联合准则》，将Cadbury报告、Rutteman报告、Hampel报告的工作统一起来，提出了优秀公司治理的原则及最佳实践的规则，其中，有三条款专门明确内部控制问题：一是规定董事会应保持一个健全的内控体系，以保护股东的投资和公司的资产；二是至少每年对内控的有效性评估一次，并向股东报告；三是没有设立内部审计职能的公司应随时评估公司各方面对内部审计工作的需求。此外，LSE的“上市规则”中对披露内部控制情况作了以下规定：上市公司在年报中要报告执行内部控制制度的情况，如果没有建立健全内部控制或部分建立了内部控制，要说明详细原因。

1999年9月，以Turnbull为主席的委员会发布了《内部控制—董事关于联合准则的指引》（即Turnbull报告），该报告对英国现有的公司内部控制体系进行了总结，并给出一个明确的公司内部控制框架，使得公司和董事会可以在此框架基础上形成自己的内控体系模式，该框架不具有法律强制力，而是指导性的。2003修订的《联合准则》及2005年修订的报告确定，上市公司董事会在年报中以叙述的方式描述内部控制情况，没有规定内部控制报告的统一的格式和内容，审计师只对董事会的内部控制声明进行审查，并不需要对公司内部控制系统的有效性出具报告，即采取“遵循或解释”的准自愿或半强制方式。

2004年，英国财务报告理事会成立了Flint委员会，对《Turnbull报告》的执行情况进行了调查和检验，调查显示，绝大多数被访者认为内部控制在提高企业管理水平，降低风险，提高效益方面取得成功，实现了预定目标。有一部分小企业反映执行内部控制制度管理成本增加。因此，委员会对《Turnbull报告》只进行一些微调：一是进一步强调要求将内部控制嵌入公司业务流程的各个环节和程序，而不能与公司其他基础制度分离而单独存在；二是在处理好披露内部控制与保守商业秘密的关系的前提下，要求董事会在年报中披露已经或正在采取的弥补检查过程中发现的内部控制重大缺陷的措施；三是要求在年报中增加信息量以帮助股东了解公司风险管理过程。财务报告理事会吸收委员会提出的改进建议形成了新的内部控制指引——《Flint报告》。报告于2006年1月1日开始生效，对英国上市公司的内部控制构建和运行发挥指导性作用。

三、法国上市公司内部控制信息披露制度演进

法国于2003年8月1日颁布了《金融安全法》（《金融安全法》是商法的一部分），明确了所有公司（上市的或没有上市的）和其他法律主体（如果他们进行了登记）对内部控制的责任，主要包括以下内容：（1）董事会主席应当在其年度报告中披露公司治理情况及相应的内部控制程序（作为董事会或监事会报告的内容）；（2）公司应当在其年度报告附录中附外部审计师出具的对本公司与财务信息的编制和处理相关的内部控制程序的说明；（3）金融监管局每年应当根据各上市公司按照上述（1）、（2）披露的情况编写内部控制报告建议书。金融监管局每年编写的内部控制报告建议书，由于是在对当年上市公司内部控制披露情况进行总结的基础上提出的改进意见和建议，因此，虽然不属于法规规定，但也构成上市公司改进内部控制报告的要求之一。2005年7月，《商法修正案》将这一规定的适用范围限定于上市公司。

法国2005年1月组建内部控制指引工作组，研究起草内部控制指引框架。2007年1月22日指引框架发布，该框架包括四部分内容：一是简介，二是内部控制的一般原则，三是与财务信息的编制和处理相关的内部控制程序应用指南，四是附录。重点在第三部分。框架给出的内部控制系统由五部分组成：权责分明的组织架构系统、内部信息发布系统、风险确认与分析系统、恰当地控制运营过程及减少相关风险的活动、对内部控制程序的持续监督检查系统。

法国对内部控制的要求有以下特点：一是内部控制报告的签发人是公司的董事会或监事会主席。二是内部控制报告无固定格式，报告的内容一般包括有关的公司治理情况和有关公司的所有内部控制程序等两部分。三是内部控制报告是描述性的，不需要对内部控制程序进行评价；四是注册会计师仅仅披露对与财务信息的编制和处理相关的内部控制程序的说明，不需要对该内部控制程序进行评价。2005年至2006年期间，绝大多数上市公司披露了所采取的内部控制的内容、投入到内部控制的资源、实施内部控制的步骤以及审计人员对内部控制的报告等内容。

四、加拿大上市公司内部控制信息披露制度演进

1994年12月，TSE（多伦多证券交易所）发布了《董事何去何从？提高加拿大公司治理的指南》（简称为“Dey报告”），指出，“整合企业的内部控制和管理信息系统”是董事会的5个“主要责任之一”，董事会必须关注内部控制和信息系统。报告对董事会责任的界定提高了内部控制在加拿大上市公司中的重要性，并有助于改善公司的控制环境。

1995年10月，CICA（加拿大特许会计师协会）的控制标准委员会（Criteria of Control Board，CoCo）发布了《控制指南》，提出了控制的三类目标和四个基本要素。三类目标是：经营的效率和效果、内部和外部报告的可靠性、遵守适用的法律、规章及内部政策。基本要素包括：目的、承诺、能力、监督和学习。这四个基本要素通过“行动”连接成一个循环。

1999年，CoCo发布“评估控制指南”，从目的、承诺、能力、监督和学习四个方面描述了形成一份评估报告的10步程序和20个具体标准。

2000年4月，CoCo发布《董事指南—董事会对风险的管理》指出，战略计划审查是董事会的责任。

随着《控制指南》及一系列操作规范的发布，CoCo委员会的内部控制框架显示出较强的实用性和前瞻性，被越来越多的国内企业认可和采纳，同时在国际上的影响也逐渐加强，许多内部控制的文献将CoCo和COSO的内部控制框架相提并论，认为它们是现代内部控制理论的两大框架，越来越多的国家将加拿大内部控制规范和内部控制实务作为借鉴对象。

CoCo的报告包括对外报告和对内报告，采用20个具体标准来评估控制的有效性，并与负有责任的人员沟通结果和披露信息。

五、日本上市公司内部控制信息披露制度演进日本自近年来发生活力门等一连串违法事件后，意识到以确保披露制度可靠性为目的的企业内部控制制度并没有有效地发挥作用。自2004年3月开始起的会计决算，日本将管理层对有价证券记载内容的适当性声明作为任意制度而采用，要求管理层对财务报告内部控制系统是否能有效发挥作用进行确认。企业会计审议会在2005年1月召开的全体会议上，决定对制定管理层对财务报告内部控制有效性进行评价的标准及注册会计师审计标准开始进行审议，2005年2月起内部控制专业委员会开始审议工作。2005年12月8日，内部控制专业委员会发布《财务报告内部控制评价与审计准则（案）》，后又于2007年2月15日发布《关于财务报告内部控制评价与审计准则》以及《财务报告内部控制评价与审计实施准则的制定（意见书）》。准则和实施准则适用于自2008年4月1日以后开始的会计年度的财务报告内部控制的评价与审计。2006年发布的《金融商品交易法》规定，上市公司管理层对财务报告内部控制进行评价并由注册会计师进行审计是一项义务，应该自2008年4月1日开始起的会计年度执行。

六、中国上市公司内部控制信息披露演变轨迹

中国上市公司内部控制信息披露带有明显的政府主导的特征，内部控制信息披露体现在招股说明书和年度报告中。

（1）招股说明书中的内部控制信息披露要求

对于非金融类上市公司，境内首次公开发行股票并上市的公司参照证监会发布的“内容与格式准则”第1号《招股说明书》（2006年修订），其中第六十九条规定，发行人应披露公司管理层对内部控制完整性、合理性及有效性的自我评估意见以及注册会计师对公司内部控制的鉴证意见。注册会计师指出公司内部控制存在缺陷的，应予以披露并说明改进措施。“内容与格式准则”第9号《首次公开发行股票并上市申请文件》（2006年修订）和2006年发布的第10号《上市公司公开发行证券申请文件》，均要求公司按照要求制作申请文件，文件包括注册会计师关于发行人内部控制制度的鉴证报告。

证监会2003年发布的公开发行证券的公司信息披露编报规则第18号《商业银行信息披露特别规定》第一章招股说明书、第3号《保险公司招股说明书内容与格式特别规定》（2006年修订）、2000年发布的第5号《证券公司招股说明书内容与格式特别规定》要求商业银行、保险公司、证券公司应建立健全内部控制制度，并在招股说明书正文中专设一部分，对其内部控制制度的完整性、合理性和有效性做出说明。相关机构还应委托所聘请的会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价，提出改进建议，并出具评价报告。评价报告随招股说明书一并呈报中国证监会。所聘请的会计师事务所指出以上“三性”存在缺陷的，公司应予以披露，并说明准备采取的改进措施。

（2）年度报告的内部控制信息披露要求

2000年12月中国证监会颁布的“公开发行证券的公司信息披露编报规则”第8号《证券公司年度报告内容与格式特别规定》和第18号《商业银行信息披露特别规定》都要求证券公司、商业银行在年度报告中应对内部控制制度的完整性、合理性与有效性做出说明。还应委托所聘请的会计师事务所对其内部控制制度，尤其是风险管理系统的完整性、合理性与有效性进行评价，提出改进建议，并出具评价报告。评价报告随年度报告一并报送中国证监会和证券交易所。所聘请的会计师事务所指出以上“三性”存在严重缺陷的，董事会应对此予以说明，监事会应就董事会所作的说明明确表示意见，并分别予以披露。

中国证监会颁布的“公开发行证券的公司信息披露内容与格式准则”第2号《年度报告的内容与格式》（2005年修订）第39条规定，年度报告中监事会应对“公司决策程序是否合法，是否建立完善的内部控制制度，公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为”发表独立意见。在该准则第64条又作出了如下规定：“在年度报告摘要中，如果监事会认为公司决策程序合法，建立完善的内部控制制度，公司董事、经理执行公司职务时无违反法律、法规、公司章程或损害公司利益的行为，本条可免于披露。”

2006年6月上海证券交易所发布了《上海证券交易所上市公司内部控制指引》（以下简称《指引》），要求在该所上市的公司从2006年7月1日起披露内部控制信息。一方面，公司在内部控制的检查监督中如发现内部控制存在重大缺陷或存在重大风险，应及时向董事会报告，公司董事会应及时向交易所报告。经交易所认定，公司董事会应及时发布公告。公司应在公告中说明内部控制出现缺陷的环节、后果、相关责任追究以及拟采取的补救措施；另一方面，公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。深圳证券交易所也出台了内容相似的《深圳证券交易所上市公司内部控制指引》，从2007年7月1日起开始实施，并规定，在该所上市的公司应制定公司内部信息和外部信息的管理政策，确保信息能够准确传递，确保董事会、监事会、高级管理人员及内部审计部门及时了解公司及其控股子公司的经营和风险状况，确保各类风险隐患和内部控制缺陷得到妥善处理。公司内部审计部门如发现公司存在重大异常情况，可能或已经遭受重大损失时，应立即报告公司董事会并抄报监事会。公司董事会应提出切实可行的解决措施，必要时应及时报告该所并公告。公司应于每个会计年度结束后四个月内将内部控制自我评价报告和注册会计师评价意见报送该所，与公司年度报告同时对外披露。

2008年5月20日中国颁布内部控制规范指出：内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。

七、内部控制信息披露的比较与启示

根据上面对一些国家内部控制信息披露的变迁分析，不同国家由于资本市场发展时间、发展理念、制度背景和文化理念不一样，内部控制信息披露也存在差别。首先是在内部控制的概念上，美国、英国和日本采用狭义的内部控制概念，即指财务报告内部控制，法国、加拿大和中国的内部控制是指包含公司治理在内的广义内部控制。在披露意愿上，美国、法国、加拿大、日本和中国都规定需要强制披露，英国则采用半强制披露。在披露原则上，美国、加拿大、日本和中国采用规则导向，英国和法国采用原则导向。

在美国、英国等发达的资本市场中，监管机构对上市公司内部控制信息披露制定了相应的规范，但这些规范的内容各不相同。从2011年1月起，全国69家（截至2010年年底）境内外同时上市的公司正式执行中国企业内控规范体系；同时，205家A股公司也自愿参与实施内控规范体系的试点工作，首批执行和试点内控规范体系的公司总数达到274家。为更好地推动内部控制信息披露的工作：

一是建议国家财政部门会同证券、审计、银行、保险、国资以及工信等监管部门积极开展内控规范体系宣传培训，密切跟踪上市公司执行和试点情况，适时进行政策咨询和业务指导，让全国企业投入到内控规范体系的建设上，增强全员内控意识，建设先进的内控文化，并按照内部控制规范的要求及时披露内部控制信息。

二是会计师事务所和注册会计师要加强内部控制学习，建立健全内部控制审计质量控制标准，严格审计程序，将内部控制有效性评价作为注册会计师审计的一项重要内容。

［1］财政部会计司赴美国考察团.美国会计国际趋同.注册会计师监管和内部控制考察报告[J].会计研究.2007（8）

［2］财政部会计司考察团.英国和法国企业内部控制考察报告[J].会计研究.2007（9）

［3］陈关亭、张少华.论上市公司内部控制的披露及其审核[J].审计研究，2003（6）

［4］蒋顺才，刘学辉，刘迎新.上市公司信息披露[M].清华大学出版社.2004.3（1）

［5］李明辉.浅谈上市公司内部控制报告[J].审计研究.2001（3）

［6］李明辉，何海，马夕奎.我国上市公司内部控制信息披露状况的分析[J].审计研究.2003（1）

［7］李明辉，何海，马夕奎，唐雨华.上市公司内部控制信息的披露与改进[J].上海会计.2003（4）：9－12

［8］刘秋明.我国上市公司内部控制信息披露的问题及改进.证券市场导报.2002（6)：38－43

［9］刘晓峰，刘晓光.我国股市中机构投资者的投资行为分析[J].广西社会科学.2004（4）:48－50

［10］美国会计师协会（IMA）发布.张先治等译.财务报告内部控制与风险管理[M]，东北财经大学出版社.2008.1（1）

［11］马倩.上市公司内部控制信息的披露：论内部控制报告及其影响[J].商业研究.2003（15）

［12］倪慧萍.上市银行内控信息披露状况研究[J].南京审计学院学报.2006（2）

［13］缪艳娟.英美上市公司内控信息披露制度对我国的启示[J].会计研究.2007（9）

［14］日本企业会计审议会发布.李玉环译.日本内部控制评价与审计准则[M].东北财经大学出版社.2007.10（1）

［15］盛伟、刘国：浅析我国上市公司的内部控制信息披露[J].价值工程.2004（8）：97－99

［16］吴水澎，陈汉文，邵贤弟.企业内部控制理论的发展与启示[J].会计研究.2000（5）：2－8

［17］张丹璧.加快上市步伐的国有商业银行内部控制的风险防范[J].中国审计.2005（1）

［18］张宜霞，舒惠好.内部控制国际比较研究[M].中国财政经济出版社.2006（1）

［19］郑石桥.内部控制实证研究[M].经济科学出版社.2006（1）

［20］周勤业，王啸.美国内部控制信息披露的发展及其借鉴[J].会计研究.2005（2）：24－31