段和段律师事务所除了为客户提供全面、准确的法律服务和法律咨询，同时也会根据客户的具体需要为其提供及时详细的法律讲座。此文即是陈若剑律师在某一上市公司对其内部员工进行法律授课的相关材料。

 前言：关于《上海证券交易所上市公司内部控制指引》

公司治理的最主要方面是通过公司内部控制机制来实现的，公司的内部控制能力体现了公司治理的水平，建立完善的内部控制机制是良好的公司治理的前提。

中国监管部门此前也曾制定过专门的公司治理方面的法律法规，例如2002年颁布的《上市公司治理准则》等，但是均未落实到具体的公司内部控制机制上来，主要停留在事后监管和问题监管上。但是，现状是：问题出现前流于监管，待问题出现后又处罚不力，造成中国上市公司的内部控制严重失控。

美国《萨班斯法案》（Sarbanes-Oxley Act）（SOX法案）促进了全球对上市公司治理的立法，促进了从外部监管到内部监管、宏观监管到微观监管的转移，将外部监管机制落实到上市公司的日常经营管理之中。中国的上市公司监管立法也随之发生了相应的调整，出台了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》。

2006年6月5日颁布的《上海证券交易所上市公司内部控制指引》，将内部控制纳入广义公司治理的体系，为中国上市公司制定内部控制机制提供了指引，将推动和指导上市公司建立健全内部控制制度，使得我国现行公司治理规则体系更加完整，有利于增加上市公司透明度和提高上市公司质量。

一、上市公司内部控制指引的最新进展

（1）、2006年6月5日《上海证券交易所上市公司内部控制指引》

2006年6月5日，上海证券交易所正式对外发布了《上海证券交易所上市公司内部控制指引》，并要求从2006年7月1日起正式实施。该指引虽然未上升到法律的层面，但是也对上市公司的内部控制提出了具体的要求，并要求在2006年度的年报中要进行相关内部控制的披露，因此刻不容缓。

（2）、2006年7月15日“企业内部控制标准委员会”成立

据最新的消息，就在44家在美上市中国内地企业迎来“萨班斯法案”考验的2006年7月15日，经国务院批准，由财政部牵头发起，证监会、国资委共同参与成立的“企业内部控制标准委员会”正式在北京成立，这预示着我国企业在内部控制方面将迎来一部类似美国萨班斯法案的标准体系。中国财政部副部长王军将亲自担任企业内部控制标准委员会主席，当天同时成立的还有“会计师事务所内部治理指导委员会”。不过，王军并没有透露这些标准体系建立的具体时间表。但是目前许多的上市公司尚未引起重视。据我们了解，关于上述的控制指引的细则也在酝酿之中，不久将会有更为详细的要求出台。

二、上市公司内部控制指引的国际背景

（1）美国“安然事件”

2001年底美国安然公司在一片哗然中轰然倒台，由此引发的“安然事件”至今令许多人记忆犹新。而同年9月份，安然公司的资产负债表上还赫然显示其总资产达618亿美元，这又使得“安然事件”成为美国有史以来规模最大的公司破产案例。此后，公司丑闻不断，规模也“屡创新高”，特别是次年6月的世界通信会计丑闻事件，更是雪上加霜，彻底打击了美国投资者对美国资本市场的信心。这一系列丑闻事件的爆发不仅招致包括安达信等五大会计师事务所在投资者中的“诚信危机”，更引发了世界各国对公司治理模式的新一轮思考。

（2）《萨班斯法案》（Sarbanes-Oxley Act）（SOX法案）

为改变这一局面，美国国会和政府立即公布了《萨班斯法案》（Sarbanes-Oxley Act，简称SOX法案），其目的是加强公司责任，以保护公众公司投资者的利益免受公司高管及相关机构的侵害，正如法案的第一句话所说“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。”

（3）SOX法案的主要内容

按照美国国会网站对SOX法案的介绍，该法案从最初于2002年2月14日提交给国会众议院金融服务委员会(Committee on Financial Services)，到7月25日国会参众两院的最终通过，先后有6个版本。最后修订完稿的SOX法案共分11章，第1至第6章主要涉及对会计职业及公司行为的监管，第8至第11章主要是提高对公司高管及白领犯罪的刑事责任。因而，SOX法案的主要内容之一就是明确公司管理层责任、尤其是对股东所承担的受托责任，同时，加大对公司管理层及白领犯罪的刑事责任；另一个重点就是加强对会计职业的监管，提高财务报告的可靠性。其内在逻辑思路是：提高公众公司财务报告及信息披露的及时性与准确性，可以有效地保护公众公司投资者的利益；而强化公司高管的财务报告责任、提供外部审计的独立性等，将有助于提高公司财务报告及信息披露的质量。

（4）SOX 法案的严厉法律责任（最高500万美元罚款和20年监禁）

《SOX法案》对在美上市的企业的监管确实非常严厉，不能通过《SOX法案》的公司轻则被投资人“用脚投票”，股价下跌，重则将被追究刑事责任，甚至从股市上摘牌。而且它对公司的具体负责人的规定也非常严厉——《萨班斯法案》中，针对上市公司首席执行官CEO和首席财务官CFO有两条严格规定:一是要求上市公司CEO和CFO保证向SEC(美国证监会)提交的财务报告真实可靠;另一条是，要求上市公司CEO做出与财务相关的内控有效的声明。如果出现问题，CEO和CFO将为此承担最高至500万美元的罚款和上至20年的监禁刑事责任。这在美国是相当于抢劫罪的相同的刑期，或许美国人认为上市公司欺诈就是抢劫。

（5）应对SOX法案的巨大成本（平均436万美元）

与《萨班斯法案》对上市公司监管的严厉性相对应的则是其规定的琐碎而详细，各上市公司为了完成该法案中的达标任务，支出的人力、物力和时间成本都非常高:根据国际财务执行官组织(Financial Executives International ，FEI)对217家平均年收入为50亿美元的上市公司进行的调查，因为遵循该法案的内控强制规定的平均成本上升了436万美元，而且这一费用是在公司财务报表审计费之外的。预算外的增长主要是因为咨询、软件和其它供应商等外部成本增长了66%，而支付给外部审计者的费用上升了58%。又根据一项针对321家企业的调查结果，每家需要遵守《萨班斯法案》的美国大型企业第一年实施该法案第404款的总成本将超过460万美元，这些成本包括3.5万小时的内部人员投入、130万美元的外部顾问和软件费用以及150美元的额外审计费用。通用电气公司就表示，404条款致使公司在执行内部控制规定上的花费已经高达3000万美元。

由于《萨班斯法案》的严厉性，很多公司即使付出了高昂的成本也很难达标，有调查显示，多达40%的在美国上市的海外公司难以在原定期限达到的要求，而中国公司的状况则更为严重。因为中国公司从计划经济向市场经济转变不久，更习惯以人治而不是法治的方式来管理公司，内部控制非常薄弱，而且极为不科学、不合理。据媒体的报道，中国很多在美上市的IT企业为了赶在7月15日前完成达标，一直都在加班加点、不眠不休地工作，这其中就包括百度和搜狐。

（6）关于SOX法案的法律服务

我们事务所在上市公司的内部控制指引法律服务方面具有一定的经验：

（1）首先，我们曾经和美国的PAUL WEISS等律师事务所共同为美国证交所在中国对美国上市公司的在华子公司进行合规性的调查提供过专项的法律服务；

（2）我们曾就为美国上市公司在华子公司建立内部控制机制提供过文本修改等方面的法律服务。我们对于如何建立上市公司的控制机制具有相当的经验；

（3）我们目前正在为国内的上市公司提供类似的服务。

三、上市公司内部控制指引的国内背景

（1）中国上市公司的内部控制失控严重

自2003年以来,中国上市公司高管的违规、违法事件屡屡曝光,证券市场可谓风波不断。这虽然和公司治理结构的不完善、司法手段相对滞后有关,但更多的应该归咎于上市公司内控机制的严重缺位。内控警钟的频频敲响让我们看到,所谓的上市公司内部控制制度已经扭曲成上市公司"内部人控制制度"。"一言堂"的内控机制,是大多数违规、涉案公司产生问题的根源。

据统计,从2003年1月份到2004年底的两年内,先后就有奥园发展、啤酒花等10位上市公司高管"犯事"后外逃,卷走资金或造成资金黑洞总计近百亿元。进入2005年,高管违规问题愈演愈烈,截至3月下旬,已有东北高速、山东巨力、开开实业等10多家上市公司的高管落马。

难道这些事情的发生没有任何先兆?又或者这些高管的行为过于隐蔽,不易发现?显然不是。曾有一位来自监管部门的相关负责人称,"问题的根本在于公司管理层对于经营过程中存在的大量疑点,不闻不问、不理不睬。甚至很多事件曝光后,上市公司仍不积极主动调查核实潜在的深层次的问题。所以说,是内控制度存在的漏洞导致了证券市场一起又一起恶性事件的发生。"

（2）中国监管部门借鉴国际经验

这种内控机制已成摆设的尴尬局面,引起了一线监管部门上海证券交易所的高度重视。自2005年开始,上证所开始着手有关上市公司内控制度指引的编制工作,并在最短的时间内起草完成了《上市公司内部控制制度指引(征求意见稿)》,以全面系统地指导上市公司的内控制度建设，并于2006年6月5日正式颁布。

《指引》借鉴了美国的SOX法案以及国际反虚假财务报告委员会的《企业风险管理------总体框架》的理念,规定了上市公司内部控制制度的目标；规范了上市公司内部控制制度的基本框架。《指引》的出台,旨在帮助上市公司树立"企业风险管理"理念,建立健全内部控制制度,并要求董事会确保内控制度的健全有效。

几乎专业人士都强调了《指引》与美国《SOX法案》的关系。上证所的《指引》与《SOX法案》的要求相吻合。《SOX法案》404条款规定，上市公司在披露年报时，不仅要对内控制度进行自我评价，说明其对公司财务报表可能的影响，如果有缺陷的话应提出如何弥补，同时也要求会计师在进行审计时，对内控制度的完善性，管理层对内部控制的自我评价的客观性和合理性，做出独立的审核和评价。《SOX法案》实施后，注册会计师除了要对公司年报进行审计外，还要对上市公司的内部控制以及公司管理层的内部控制自我评价进行审核和评价，其审计范围在财务报告基础上大大扩展了，增加了大量非财务领域的审计内容，可以给公众投资者以更多的信息。

（3）《指引》要求高于SOX法案？

另外，上证所《指引》在某种程度上，比《SOX法案》404条款的要求更高。404条款主要针对对财务报表产生影响的内部控制制度健全与否，《指引》则对公司内控制度提出全方位的要求，比如战略制定实施、管理的风险等。目标涵盖提高公司经营效果效率、时增强信息披露的可靠性以及公司行为的合法合规三个方面。另一点重大的区别是，《SOX法案》是2002年通过的法案，要求遵循的标准是COSO（美国《反欺诈法案》发起组织委员会）1992年制定的内部控制制度，控制要素共五项。《指引》则是根据COSO2004年制定的企业风险管理的整体框架，内控要素发展到8要素。

最后，该指引和萨班斯法案在达到内控目标方面是一致的，但比萨班斯法案的控制过程更复杂，新增了‘目标设定’、‘风险确认’、‘风险管理策略选择’，相应的要求就比萨班斯法案更高。

但是需要指出的是，虽然该指引要求的内控框架比美国萨班斯法案更高，但是这个指引还没有具体的操作细则出来，也不像萨班斯法案已经上升到法律的高度，也没有严格的法律责任条款，其法律震撼力和威慑力，以及将来的执行力度尚让人不得不产生疑问？

四、上市公司内部控制指引的中国法律背景和渊源

上证所出台《指引》，不仅是对国际先进制度的借鉴，也是国内自身相关法律法规体系的延续。早在三年前中国证监会关于上市公司首次发行新股的相关管理办法中已经提出了关于内控制度的要求。不仅拟发行公司要提交有关内部控制的自我评价报告，而且也要求注册会计师对此报告要做评估。当然，这一要求当时还局限于首发公司。中注协当时也出台了相应的准则，规定了对内部控制报告的审核意见的四种类型，即无保留意见、保留意见、不发表意见和否定意见。所以《指引》也是我们原有做法的扩展和强化，原先我们在执行范围、力度和宣传上都还不够。

据有关业内人士介绍,之前我国一些监管部门在长期的实践中也总结出不少内部控制管理方面的方法和措施。如财政部的《加强内控制度建设基本规范》、人民银行的《商业银行内部控制指引》、中国证监会的《证券公司内部控制指引》等等。但这些指引有的是针对某一行业的,有的则是针对某一具体问题的。像上证所此次针对分属于不同行业上市公司编制出台的内部控制《指引》,以前从来没有过。

目前，证监会《证券公司内部控制指引》（2001）和《证券投资基金管理公司内部控制指导意见》（2002），财政部《内部会计控制规范——基本规范（试行）》（2001）和《内部会计控制规范——货币资金（试行）》（2001），中国人民银行《商业银行内部控制指引》（2002）等，虽然已经出台，但却没有针对上市公司的内部控制指引或规范。这就导致无论是建立还是评价上市公司内部控制，都缺乏统一的依据。因此，建议由证监会负责制定各类上市公司的内部控制指引或规范，作为有关方面建立及评价内部控制的标准。

（1）1997年中国人民银行印发《加强金融机构内部控制的指导原则》

如前所述，2006年7月15日，由财政部发起成立的“企业内部控制标准委员会”被认为是“中国版萨班斯法案”出台的前兆，但中国对内控的关注早从1997年中国人民银行印发《加强金融机构内部控制的指导原则》就开始了。

（2）财政部的《加强内控制度建设基本规范》、人民银行的《商业银行内部控制指引》、中国证监会的《证券公司内部控制指引》等规定

相比美国萨班斯法案近20多年的出台过程，中国内部控制制度体系的发展，时间点集中在2005年10月以后，此后高密度的法规出台，在全球实属罕见。

（3）2005年10月《关于提高上市公司质量意见》

2005年10月，中国证监会出台《关于提高上市公司质量意见》，随后，2005年10月19日，国务院对该意见进行批转。这是国务院首次就上市公司工作批转发布文件，速度之快也让业界感受到高层对此的重视。

（4）2006年5月12日《上市公司内部控制指引》征求意见稿

在上述文件思想指导下，2006年5月12日，深圳证券交易所发布公开征求《上市公司内部控制指引》意见的通知，从全国范围内为建立内控制度体系征询意见，拉开了中国上市公司内部控制体系制度建设的序幕。

（5）2006年5月17日《首次公开发行股票并上市管理办法》
一周之后，2006年5月17日，中国证券监督管理委员会发布第32号令——《首次公开发行股票并上市管理办法》。该办法第29条规定“发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告”。这是中国首次对上市公司内部控制提出具体的要求。

（6）2006年6月5日《上海证券交易所上市公司内部控制指引》 

今年6月5日，上海证券交易所出台了《上海证券交易所上市公司内部控制指引》。 

（7）2006年6月6日《中央企业全面风险管理指引》

今年6月6日，国务院国资委也发布了“关于印发《中央企业全面风险管理指引》的通知”

（8）2006年7月15日企业内部控制标准委员会成立

7月15日，财政部选择美国萨班斯法案对中国在美上市企业生效的日子，发起成立了“企业内部控制标准委员会”；中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。这些都标志着中国内部控制体系已经走到了最关键的时期。（未完待续）