本文通过比较萨班斯法案和英国、香港和上海、深圳证券交易所四家交易所内部控制规则，进一步理解合规型内控的内容和要求，并通过分析国资委《中央企业全面风险管理指引》，来探讨国资委内部控制标准的基本要素。

1．萨班斯法案和各证卷交易所内部控制规则的分析
　　针对安然、世通、施乐等大企业为代表的财务舞弊丑闻，2002年美国国会出台了《2002年公众公司会计改革和投资者保护法案》，又被称作《2002年萨班斯—奥克斯利法案》（简称萨班斯法案）。该法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。其中涉及上市公司内部控制的条款包括404、302、103及201条款，以及906条款，形成了一个即有具体规定又有强制力的财务报告合规体系，见图3。
 

　　著名的404条款对内控体系提出了三项法规性要求：1) 公司管理层应对建立和维护内部控制系统及相应控制程序的充分有效性负责; 2) 公司管理层应在最近财政年度末对内部控制体系及控制程序的有效性进行评价，并披露所有重要内控缺陷; 3) 担任公司年报审计的会计公司应当对于内部控制体系进行测试和评价。
　　404条款的执行通过302、103及201条款具体化，并通过906条款则对违规的对主要管理人员CEO和CFO产生法律约束力。906条款规定：(1) CEO和CFO在明知公司向证交委申报的包括财务报表的定期报告有不真实的财务信息的情况下仍签署书面声明，将被处以可高达100万美元罚款和上至10年的监禁；(2)如果属于“蓄意欺诈”性质的提供虚假财务报告，将被处以可高达500万美元罚款和上至20年的监禁。值得注意的是906条款对“蓄意欺诈”民事和刑事惩罚采用了与持枪抢劫的最高刑罚相同的罪罚。为了实施萨班斯法案，美国证券交易委员会(SEC)已经对于内控审计做出了更为细致的规定，如《审计标准2号》。
　　萨班斯法案是美国立法机构规范资本市场的重要举措，因为任何财务欺诈都是以投资者最初蒙受巨大损失为代价，严重损害社会公平；同时，资本市场的龙蛇混杂将大大影响资本市场的效率，进而影响社会经济的发展。很多人担心萨班斯法案实施的会大大增加上市公司“合规成本”，从而影响公司的业绩。然而，基于CRA International的调查，美国大型上市企业（指市值7亿美元以上的企业）404条款开始实施第一年的平均成本为851万美元。但第二年的实施成本由于企业和审计公司经验的积累、IT和文档体系的完善和第三方服务的减少而明显降低，平均值为477万美元。实施成本约占大型企业年收入的0.1%，尽管对于小企业而言，该成本则相对有些偏高。法案实施以来大部分公司并未因为披露了自己内部控制的缺陷而受到明显影响，一些公司的股价甚至不降反升。评估或审计出的显著/重大内控缺陷数量已经从第一年的平均5.0个下降为第二年的2.5个。缺陷主要来自信息系统、核心业务流程、财务报告流程和税务，53%的缺陷存在于日常的流程之中。
　　受萨班斯法案的影响，加强上市企业内部控制正在形成一种国际趋势，2002年以后，英国、香港和上海、深圳证券交易所，均先后出台了类似的对上市企业内部控制的规定。表格2从五个主要方面比较了萨班斯与四家交易所对内部控制要求的主要差别。
 

　　从表2中，我们能够发现，最主要的差别来自不同的监管定位和权限，萨班斯法案是美国国会规范整个资本市场和市场参与者的最高法案，通常它只提出梗概性合规要求，而没有对公司内控系统要素和内容做具体规定；美国证卷监管委员会有责任制订具体要求或实施细则，美国所有的证卷交易所应依法执行。同时，由于是国会法案，萨班斯具有对违规公司的主要管理人员CEO、CFO进行严厉的民事和刑事惩罚的权力。英、港、沪、深四家交易所不是立法和行业监管机构，尽管它们有对在本所上市的公司的监管责任，但它们只能通过“上市守则”来对上市公司董事会提出财务报告合规性要求，无法象萨班斯一样具有很高的强制性。另外，为了促使上市公司提高经营效率，它们也参照COSO框架的八大要素提出了基本内控体系内容。
　　萨班斯和英、港、沪、深四家交易所内控规则的基本共同点是它们均要求上市公司在发布财务年报时，同时提供内控有效性评价报告，并披露内部控制的设计或执行中所有重大缺陷。这一要求非常重要，如果没有具体的报告要求，就不能对照检查，对上市公司产生约束力，导致内控要求流于形式。有所不同的是，萨班斯规定公司的主要管理人员CEO、CFO对企业内控有效性评价报告负责，而英国的《公司治理联合准则》和香港联交所《企业管治常规守则》则要求董事会对内控有效性检讨和披露负责，上交所《内部控制指引》和深交所《内部控制指引》则只要求董事会对内控进行检查指导并审阅和报告，并且公司应确定专门职能部门负责内部控制的日常监督工作。总的来说，尽管国内的这两个指引在内控体系的要求上参照COSO的八大要素做了规定，并根据中国企业情况增加了一些专项问题，但具体责任人并不突出，可能会影响实施效果。

2．国资委《中央企业全面风险管理指引》的分析
　　国资委作为国有企业的出资人，在国有企业内部控制标准应不同于上述市场监管机构的合规性内控要求。作为业主代表，国资委应更加重视所辖企业的管理型内控和全面风险管理，制定内控标准以促使企业经营的有效性和风险管理，确保国有企业的保值增值和价值最大化。因此，国资委于2006年中出台了《中央企业全面风险管理指引》，该《指引》超越了合规型内控的要求，将内控问题提升到全面风险管理的高度。该《指引》对企业风险管理的要求比较全面和具体，不仅关注内部风险，也关注外部风险；除了要求以外，还提供了参考的工具、方法和建议，例如信息收集的内容、定量和定性的风险分析工具等。
　　然而，与萨班斯和英、港、沪、深四家交易所内控规则相比，该《指引》没有明确要求提交正式定期报告，进行检查考核，并将结果纳入对企业及其领导人的绩效考核规定。另外，在责任归属方面，其他规则都要求具体的责任人或者董事会对内控体系及有效性负责，国资委的要求是董事会督导实施；在约束力方面，其他规则都是强制董事会对内控体系实施定期评价并报告，国资委的要求自由度更大一些，“中央企业根据自身实际情况贯彻执行本《指引》”；在外部审计要求方面，其他规则都需要外部审计师对公司的内控有效性进行监督和改进，国资委仅要求“企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验”；在内控体系要素方面，其他规则采用了COSO 1997年“企业内部控制——整体框架”的五大内控要素，国资委采用了2004COSO“企业风险管理——整体框架” 的八大内控要素，有所不同的是，COSO提出企业在设定目标的时候就要考虑相应的风险和自身的风险偏好，而国资委仅要求企业将风险控制在总体目标相适应的范围内。
　　当前国资委正在酝酿出台《中央企业内部控制管理办法》和《中央企业内部控制评估管理办法》，国有企业内控标准有望进一步完善，对国有企业提出超越合规型内控的要求，促使企业经营的有效性和风险管理，确保国有企业的保值增值和价值最大化。

　　汇韬科索企业咨询（北京）有限公司（www.gscoso.com）是国内知名企业管理咨询公司之一，咨询团队来自于国内知名企业管理咨询公司、全球四大会计师事务所以及国际知名行业研究机构，服务于跨国公司、中央企业、混合所有制等各类型企业，开展落地、合规的咨询服务和企业内部培训，具有丰富相关经验。欢迎与我们联系沟通，我们将免费提供专业、可行的咨询建议。
　　风险导向内部控制网（www.china-rmic.com）由汇韬科索联合多家咨询机构、会计师事务所、学术团体共同发起创办，专注于风险管理与内部控制，汇聚各方专长，注重理论与实践相结合，积极推动风险管理与内部控制在国内各行业各领域的实践与提升。本网主要为访问者提供线上、线下免费专业资料，内部控制体系与风险管理体系的有效性自我评测，以及无偿专业诊断咨询服务。
【联系方式】
电话：010-68827610
电子邮箱：gsc@gscoso.com
咨询QQ：421183643
地址：北京市石景山区实兴大街科技园3号楼8层