【作　　者】
王光远（博士生导师） 陈 骏（副教授）

【作者单位】
（厦门大学管理学院 厦门 361005）

【摘　　要】

      【摘要】企业内部控制监管的有效性很大程度上取决于监管制度的合理性与可行性。回顾美国企业内部控制监管制度的变迁，俨然呈现出一部“监管”与“反监管”的斗争史，政府管制的“有形之手”与市场机制的“无形之手”之间的最佳边界，成为各利益集团的争论焦点。我国对企业内部控制实施监管已近十年，但正式监管体系的形成才短短数年，因此通过全面梳理中美两国内部控制监管制度发展历程，将有助于加深对制度规范的制定和预期效果的理解，并为改善内部控制监管有效性提供政策依据。
【关键词】内部控制监管   信息披露   萨奥法案

近年来在财政部和证监会等监管机构的推动下，企业内部控制监管制度发生了重大变革，促进了我国上市公司内部控制建设与信息披露制度的完善。从基本要求看，中美两国内部控制监管制度有较大的相似性，但两国制度背景存在显著差异，势必导致制度规范的实施效果会有很大不同。本文将通过对两国内部控制监管制度发展历程的全面梳理与评述，以加深对制度规范的制定与预期效果的理解，并为未来的内部控制监管制度完善提供参考性意见。
一、美国企业内部控制监管制度的演化历程
美国内部控制的监管历史可分为三个时期：第一个时期（1974 ~ 1977），社会公众开始揭露企业海外贿赂，这导致了FCPA（1977）的颁布实施，对公众公司提出了有限的会计和内部控制要求。第二个时期（1978 ~ 1988），公众公司积极抵制SEC实施的反贿赂和内部控制强制监管的条款，最终产生了FCPA修正法案（1988），该法案显著减少了管理层将会承担的违反FCPA的刑事责任。第三个时期（1989 ~ 2004），危机频发促成了强制性内部控制法规，包括1991年针对美国储蓄与贷款行业的《联邦存款保险公司改进法案（FDICIA）》，和2002年适用所有美国公众公司的SOX法案。
1. 有限范围的内部控制管制阶段（1974 ~ 1977）。20世纪70年代初期美国爆发的“水门事件”，引发了美国各界对非法政治捐款和洗钱活动的广泛调查，SEC于1976年5月发布了一份题为《企业的可疑与非法支付行为》的调查报告，该报告披露“400余家公司承认它们在海外存在非法或可疑的支付行为，曾向外国政府官员、政客和政治团体支付高达30亿美元的巨款。款项用途包罗万象，从贿赂外国高官以达到非法目的，到支付保证某些政府工作人员基本办公的所谓‘方便费用’等。这些公司中的117家甚至跻身美国《财富》杂志500强企业”。这份报告在美国社会引起轰动，舆论认为美国公司行贿的对象虽然是外国政府，但其行为违背了美国公众的期望与道德价值观，使公众丧失了对美国引以为傲的自由市场体系的信心。但SEC调查发现，“近半的美国公司首席执行官却认为，海外贿赂并没错，因为贿金将使其更容易吸引和留住合同”。国会辩论的结果认为，市场经济的内涵在于通过自由竞争提供最优价格和最佳质量的产品或服务，而贿赂恰恰扭曲了资源的最优配置，破坏了市场的正常运转。这正是美国政府通过单方面立法约束本国公司和个人进行海外贿赂的关键原因。
当时对采取何种形式管制海外贿赂也存在极大争议：国会主张认定海外贿赂行为为非法行为，应追究相关人员的法律责任；行政部门基于外交原因仅要求公司和个人定期披露即可；SEC建议从保护投资者的角度出发，通过立法要求相关公司建立有效的内部会计控制（SEC，1976）。考虑到定期披露的成本过高且威慑力不足，国会和SEC的建议获得了更广泛的赞同和支持，并最终于1977年正式颁布了FCPA，其中一项重要内容是关于内部控制的规定，即要求证券发行人应设计和维护一个内部会计控制系统，以合理提供保证财务交易被适当记录、财务报表的编制遵循公认会计原则。FCPA的颁布成了企业内部控制监管的开端，它强调了公司管理层维持有效内部会计控制的责任，但由于缺乏强制性的内部控制评估和报告，公司无须对外披露其内部流程，因而并未根本性地改变公司的内部控制状况。
2. 抵制内部控制管制的阶段（1978 ~ 1988）。为进一步推进公司对外披露内部控制信息，1979年5月SEC发布了一份征求意见稿，提议强制要求管理层和独立会计师对内部控制进行评估并公开报告，使公司管理层和社会公众能及时关注并弥补内部控制的缺陷。此后的一项调查显示，大多数人反对SEC的提议，超过一半的回应者认为提议的内部控制报告实质上就是遵循FCPA内部控制要求的一份声明，并不能提供充分有意义的额外信息；五分之一以上的回应者认为，FCPA（1977）并未要求内部控制报告，SEC的提议可能违背了国会的意图，甚至有评论者质疑SEC的提议违背了美国宪法中“反对自证有罪（self-incrimination）”的规定（SEC，1980）。在如此激烈的批评声中，SEC撤销了该建议。
1981年初一些利益集团要求修改FCPA，以限制在特定环境下管理层因违背FCPA而承担的刑事责任。一些建议修改的支持者公开表示FCPA损害了美国公司的竞争能力和经济效益。美国审计总署GAO调查了Fortune 1000中的250家企业，其中55%的回应者认为遵循FCPA的会计条款，其成本大于收益，而超过30%的回应者指出反贿赂条款使美国公司失去了其外国业务，许多回应者抱怨企业为此花费了太多不必要的遵循成本（GAO，1981）。GAO在未独立检验的情况下，指出大多数回应者声称其内部控制记录已发生了中等程度或很大程度的改进。GAO最后建议，国会应废除FCPA中会计条款的相关刑事处罚，仅保留已知和故意伪造公司账簿和记录的极端情况。最终国会在举行听证会后接受了GAO的建议，在FCPA修订案（1988）中规定仅对以蓄意伪造账簿记录和掩盖其他不道德行为为目的规避内部控制要求的行为追究刑事责任，而对技术性违规和无意行为不作处罚。
3. 全面强制的内部控制管制阶段（1989至今）。这一阶段美国发生了两次重大的财务报告危机，削弱了自愿性内部控制的基本信念，导致了政府推行强制性要求。首先是20世纪80年代中后期发生的储蓄和贷款危机。从1986年至1995年，超过1 000家银行与储蓄机构倒闭，涉及总资产超过5 000亿美元，这在很大程度地激起了美国民众对联邦存款保险公司命运的担忧。GAO（1989）将这次危机归因于美国解除管制和政府疏于监管，以及储蓄与贷款机构宽松的会计规则、管理层的无能和不佳的内部控制所致。GAO总结认为“强制性的管理层和审计师内部控制报告将会阻止失败的发生”。时任美国审计长的查尔斯· 鲍舍尔（Charles A. Bowsher）指出，由于FCPA未要求公开报告内部控制，因此无法对投资者提供充分的保护，他支持要求管理层和审计师对财务报告内部控制进行报告，并敦促国会通过此类法案。美国国会最终采纳了GAO的建议，于1991年颁布了FDICIA，其中第36条要求资产总额在5亿美元以上的保险储蓄机构的CEO和CFO应该：①签署报告说明管理层对编制财务报告、建立与维护充分财务报告控制和遵循相关法律法规的责任；②每年评估此类内部控制的有效性和对相关法律法规的遵循情况。此外，FDICIA还要求这类机构的独立会计师鉴证管理层在报告中的认定是否真实公允。
FDICIA首次强制性要求管理层和审计师进行内部控制报告，虽仅限于联邦保险储蓄机构，但其重要意义在于，通过强制要求管理层披露内部控制信息能够在一定程度上实现强化管理层责任意识、改善内部控制等预期效果。此后越来越多的管理舞弊案和由此引发的对审计师的诉讼，使公共会计师职业的观点发生了实质转变。1993年AICPA下设的公众监督委员会（POB）提交了一份题为《基于公众利益：困扰会计职业的事项》的报告，指出强制性的评估和报告将会鼓励管理层对内部控制做出重大改进，并使管理层难以实施舞弊，报告最后建议强制要求所有的SEC注册公司都应公开披露其财务报告内部控制是否有效，以及要求独立会计师对管理层的评估公开表示意见。GAO在1996年提交给商务部、众议院和少数党派的一份题为《会计职业：主要事项，进程和关注》的报告中，明确支持POB的建议，但SEC并未认可这项建议。直至21世纪初，爆发了多起举世瞩目的会计丑闻，才强制要求所有美国公众公司进行内部控制评估和报告。
2001 ~ 2002年间曝光的会计丑闻使GAO坚信由SEC提倡的自我监管系统是无效的，该系统应该被打破（GAO，2002）。但在安然公司发生会计舞弊和破产之后，国会并未立即采取行动，直到世通公司出现更大的舞弊及破产，极大地动摇了投资者对资本市场的信心后，美国国会才于2002年7月紧急通过了自1933年《证券法》和1934年《证券交易法》以来最严格的监管法律——《萨奥法案（SOX）》，其中的第302条款和404条款要求所有美国的公众公司必须评价并发布管理层和独立会计师内部控制报告。此后，SEC（2003）根据SOX第404条款发布了《最终规则：证券交易法规定的定期报告中披露财务报告内部控制的管理层报告和鉴证报告》，该规则要求所有遵循1934年《证券交易法》规定披露定期报告的公司，均应在其年度报告中披露管理层对公司财务报告内部控制的评价报告和审计师的内部控制鉴证报告。至此美国的企业内部控制监管正式进入全面强制阶段。
SOX法案颁布后，亲商利益集团持续地表达了对强制性内部控制评估和报告的反对：SOX法案被仓促地设计，不仅不能防止公司的欺诈和舞弊，还将削弱企业竞争力、降低金融市场的活力和地位；新的治理和内部控制条款给企业带来了过高的成本；监管过于严格，如果SOX法案中的公司治理和内部控制条款被适当缩减，投资者和社会整体利益将得到更好地保护（Powell，2005）。在此背景下，SEC采取了一系列改进措施以降低企业执行SOX法案第404条款的成本，具体包括：发布《管理层内部控制评价概念公告（2006）》，发布COSO（2006）的《较小型公众公司财务报告内部控制指南》，批准PCAOB（2007）发布的《审计准则第5号：与财务报表审计整合的财务报告内部控制审计》。此外，亲商利益团体还说服SEC先后六次延迟了较小型公司遵循内部控制报告要求的日期，直至2010年6月，美国总统奥巴马才签署了《多德·弗兰克华尔街改革和消费者保护法案》，永久性豁免较小型企业遵循SOX法案第404b条款。
4. 总结与评述。美国内部控制监管制度自1977年颁布后遭到各类利益集团的强力抵制，它们以利益受到威胁和遵循成本过高为由，表明政府监管失灵，美国政府不得不放松对企业内部控制的立法管制。然而，各类危机的爆发又再次证明自愿性内部控制实践在大多数情况下是无效的，若没有强制性的内部控制定期评价、独立鉴证和公开报告，将很难证明公司管理层关注并及时纠正了内部控制问题。总体来看，美国内部控制监管的规制历程并非一帆风顺，它是各类利益集团强力抵制和博弈的结果。
监管制度的变迁受到三类因素的主导：首先是各类危机的爆发给内部控制监管提供了特定的时代背景，形成了巨大的市场压力，具体包括20世纪70年代的美国公司在国际贸易中对贿赂行为的默许，破坏了自由市场体系的信念；20世纪80年代美国金融机构对信贷风险的漠视，引发了对金融体系命运的担忧。21世纪的财务丑闻更是动摇了投资者对资本市场的信心。其次是各类职业团体（如AICPA、FEI、ABA）和亲商利益集团的游说与博弈推动内控监管制度的演化。1977年颁布的FCPA曾受到以AICPA为代表的会计职业和以ABA为代表的律师职业的反对，他们担心内部控制管制将使公司成员和注册会计师的行为公之于众，并增加他们的法律责任和诉讼风险。此后由于社会各界对会计职业的质疑和批评，以及不断出现的会计舞弊案，使得AICPA开始转变态度，并在1978年、1993年等多次发布报告公开建议对内部控制实施监管，其观点也得到了FEI的支持。但亲商利益集团则指责FCPA削弱了美国公司在海外市场的竞争力且不符合法律，指责萨奥法案过于严格产生了过高的遵循成本且难以防范公司舞弊，其目的是游说政府放松内部控制监管要求。最后是国会、SEC与其他监督机构（如GAO）的意愿与偏好决定着最终内部控制监管制度的走向。国会和SEC这类立法机构最初为恢复美国公众的支持颁布了FCPA（1997）开启了内部控制监管的序幕，但在利益集团的直接或间接（通过GAO）的游说之下于1988年废除了内部控制的相关刑罚，此后的两次重大危机使得国会和SEC不得不回应GAO的建议，通过立法要求金融机构和其他公众公司披露内部控制信息，以回应投资者的利益保护和社会民众的担忧。二、我国企业内部控制监管规则的制度变迁
与美国不同，我国企业内部控制监管规则的制定具有明显的行政色彩，是经济与制度环境变化下政府主导的产物。1999年修订后的《会计法》首次以法律的形式对建立健全内部控制提出了原则性的要求。在该法案的指导下，以财政部和证监会为主体颁布了诸多的内部控制规范和信息披露的要求。
1. 以财政部为主颁布的相关内部控制规范与指引。2001年6月起财政部陆续制定并发布了《内部会计控制规范——基本规范》和包括货币资金、采购与付款、销售与收款、工程项目、担保和对外投资在内的6项具体规范，同时还印发了固定资产、存货、筹资、成本费用和预算等内部会计控制规范的征求意见稿。这一系列内部控制规范的发布，在当时全球会计舞弊泛滥，虚假财务报告频现的背景下对促进企业建立健全内部控制，改变我国企业会计信息失真、内部管理混乱的现状具有相当积极的作用。
随着市场经济转轨的深化和企业内外部环境的变化，实务界和理论界均认识到单纯依赖会计控制已难以应对企业面临的风险，会计控制必须向全面控制转变，同时各部门之间关于内部控制的规定也有待进一步协调，以便为实施内部控制自我评价和外部审核提供统一标准。因此，经国务院同意，财政部在2006年7月成立企业内部控制标准委员会，并于2008年6月与证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制基本规范》（简称《规范》）。该《规范》要求上市公司应对本公司内部控制的有效性进行自我评价，披露年度内部控制自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。《规范》的发布标志着我国企业内部控制规范体系建设取得了重大突破，并被业界和媒体称之为中国式的“萨奥法案”。 2010年4月，财政部等五部委又联合颁布了《企业内部控制配套指引》（简称《指引》），该指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，连同此前发布的《企业内部控制基本规范》共同构建了中国企业内部控制规范体系，标志着“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”的适应我国企业实际情况、融合国际先进经验的中国企业内部控制建设与应用体系的基本建成（王军，2010；刘玉廷，2010）。
2. 证监会发布的上市公司内控信息披露准则。最早是2000 年11月证监会发布的《公开发行证券公司信息披露编报规则（第1至6号）》，首次要求公开发行证券的商业银行、保险公司、证券公司在招股说明书正文中披露内部控制制度的完整性、合理性和有效性（以下简称“三性”），并规定三类金融机构应聘请会计师事务所对其内部控制制度及风险管理系统的“三性”进行评价，并以内部控制评价报告的形式作出披露。
此后，2001 年3月证监会颁布的《公开发行证券的公司信息披露内容与格式准则第1 号———招股说明书》将内部控制的披露主体从金融机构逐步拓展到公开发行证券的公司。同年发布的《公开发行证券公司信息披露的内容与格式准则第2号——年度报告的内容与格式（修订）》，又再次将内部控制信息披露的要求从发行新股的公司拓展到所有上市公司。首次要求一般上市公司的监事会在年度报告中应对公司内部控制发表独立的意见。此后，该准则连续经历了2002年、2003年、2004年、2005年四次修订，但其中关于内部控制的规定并未发生重大变化。
2007年证监会发布的《公开发行证券的公司信息披露内容与格式准则第2号——年度报告的内容与格式（2007年修订）》对此前的规定进行了修改，额外增加了一条关于内部控制信息披露的规定，该规定扩大了上市公司对内部控制披露的要求，对于信息披露的责任不再限于监事会而是突出了董事会在内部控制构建和信息披露中的责任，同时将内部控制披露范围明确为“全面内部控制”，具体包括生产经营控制、财务管理控制、信息披露控制等。此外，该准则还首次对有条件的上市公司提出要求披露内部控制自我评价报告和内部控制审计报告。
为落实财政部等五部委关于企业内部控制规范的要求，2012年9月证监会发布的《公开发行证券的公司信息披露内容与格式准则第2号—年度报告的内容与格式（2012年修订）》，专门增设“第七节内部控制”，该规定与《企业内部控制基本规范》及18项配套指引保持一致，明确了上市公司应在年度报告中“强制”披露的内部控制相关内容，强调了董事会应对内部控制承担责任，同时将内部控制的披露范围从“全面内部控制”缩小到“财务报告内部控制”。此外，针对上市公司内控评价信息披露存在的内容格式不统一、缺陷认定标准不恰当、评价结论不客观等问题，2014年证监会与财政部联合发布了《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》，明确了内部控制评价报告的构成要素。
3. 证券监管机构对年度内部控制信息披露的要求。2005年11月国务院批转了证监会《关于提高上市公司质量若干意见的通知》（亦被称为“26条意见”），该通知要求上市公司“对内部控制制度的完整性、合理性及其实施的有效性进行定期的检查和评估，同时要求通过外部审计对公司的内部控制制度以及公司的自我评估报告进行核实评价，并披露相关信息”。为落实该通知的要求，2006年上海和深圳证券交易所分别发布了《上市公司内部控制指引》，要求上市公司董事会在年度报告披露的同时披露相关的内部控制信息，并且鼓励有条件的上市公司单独出具内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。
2006年，上交所最先启动了内部控制信息的强制披露，2007年，证监会和深交所开始全面要求上市公司在年度报告中披露内部控制相关信息，但此时对披露的形式和内容并未做出具体规定。为配合五部委发布的《企业内部控制基本规范》，2008年沪深交易所均对内部控制信息披露提出了更高要求。首先，沪深交易所都明确了内部控制信息强制披露的具体内容，深交所更是以附件的形式加以详细说明；其次，沪深交易所从这一年开始强制要求上市公司披露内部控制自我评价报告，上交所将实施对象限定在“上证公司治理板块”样本公司、发行境外上市外资股的公司及金融类公司，而深交所则对本所的所有上市公司提出要求；最后，两家交易所对于是否聘请审计机构出具核实评价意见仍持鼓励和自愿的态度，但深交所要求内部控制自我评价报告须经董事会审议通过，并由公司监事会和独立董事发表意见。
2010年，证监会发布《关于做好上市公司2010年年度报告及相关工作的公告》，缩小了上市公司披露的内部控制范围，仅要求披露公司的财务报告内部控制相关信息，而对于上市公司披露内部控制自我评价报告和内部控制审计报告仍持鼓励和自愿的态度。此外，深交所对中小企业板和创业板公司提出额外要求，即这些“公司应当至少每两年要求会计师事务所对公司与财务报告相关的内部控制有效性出具一次内部控制审计报告”。
2011年我国正式拉开了企业内部控制规范体系强制实施的序幕。证监会又要求企业内部控制规范体系首先在境内外同时上市和鼓励试点的上市公司中全面执行，即要求这些公司按照《企业内部控制评价指引》和《企业内部控制审计指引》的要求，披露董事会出具的内部控制自我评价报告和注册会计师出具的财务报告内部控制审计报告。同年沪深交易所均对实施内部控制规范体系的各类公司应遵循的不同要求作出了详细说明。2012年企业内部控制规范体系进一步在主板上市公司中推进实施，上交所对各类企业的披露要求与证监会保持一致，而深交所则要求除了证监会规定的公司应披露内部控制自评报告和内部控制审计报告外，其他公司应出具内部控制自评报告，并由监事会、独立董事、保荐机构（如适用）对公司内部控制自我评价报告发表意见。2013年，证监会与沪深交易所延续了此前的规定要求，自此我国企业内部控制强制监管走上了正轨，内部控制相关信息披露的规范和标准也逐步成型，这为今后进一步提高内部控制的监管效果奠定了坚实的基础。
4. 总结与评述。通过对我国财政部和证券监管机构颁布的内部控制监管规则的梳理，不难发现我国内部控制监管制度的发展历程可归纳为三个阶段：自愿实践阶段（2006年以前），半强制阶段（2006年至2010年）和全面强制阶段（2011年以后）。2006年之前证券监管机构仅要求上市公司在年报中披露内部控制的“三性”并由监事会对此发表独立意见。自2006年沪深交易所分别发布并实施了本所的《上市公司内部控制指引》后，我国对企业内部控制的监管要求才逐步迈入强制阶段，相关准则明确规定了上市公司应在年报中披露的内控信息并强调董事会的责任，而后沪深交所开始强制要求本所全部或部分上市公司开展内部控制自我评估并公开报告。随着《企业内部控制基本规范》及《企业内部控制配套指引》的颁布实施，财政部和证监会等部委自2011年起从主板上市公司开始逐步全面推行内部控制信息披露的要求，包括内部控制自我评估报告和财务报告内控审计报告。
总体来看，我国企业内部控制监管制度的演化历程是由财政部和证监会主导完成，在监管制度推行过程中，监管层数次推迟执行时间和变更实施对象的范围，足以体现了其对制度实施效果的审慎态度。
三、中美企业内部控制监管制度演化比较与启示
我国对企业内部控制实施监管的历史并不长，制度渊源肇始于美国的相关监管法规，通过对中美两国内部控制监管规则的梳理，我们可以作以下总结。
1. 企业内部控制监管制度的制定机构不同。美国企业内部控制监管制度是通过国会和SEC颁布内部控制相关法律的方式实施，具有相当高的权威性和一致性。而我国的内部控制监管制度则“政出多门”，各类监管机构都针对其监管对象发布了相应的内部控制监管规则。除财政部和证监会外，国资委于2006年发布了《中央企业全面风险管理指引》，银监会于2007年发布了《商业银行内部控制指引》，保监会于2010年发布了《人身保险公司全面风险管理实施指引》等。由于部门之间缺乏相互协调，常常导致制度规则的分歧和矛盾，也增加了企业的遵循成本。比如，财政部和证监会曾对内部控制监管的对象究竟是“全面内部控制”还是“财务报告内部控制”发生争论，财政部的《企业内部控制基本规范》中明确采纳了“全面内部控制”并在其发布的相关解释中清晰表明内部控制评价并不局限于财务报告内部控制；而证监会则明确将上市公司披露的内部控制范围限定为“财务报告内部控制”，直到2014年初两大监管机构才达成一致，将监管对象的范围统一为“财务报告内部控制”。
2. 企业内部控制监管制度的制定过程不同。美国企业内部控制监管制度的变迁，是国会、证券监管机构、职业团体以及其他利益集团博弈的结果，国会和SEC通过组织各种听证会应对社会公众的压力、职业团体通过发布各类调查报告争取立法的支持、利益集团则通过游说各级政府机构以维持其市场竞争地位、降低规则遵循成本，这些利益相关者期望通过影响内部控制监管规则的制定过程，试图谋取自己所代表群体的利益最大化。这种制度博弈的过程有助于解决监管双方的信息不对成，优化内部控制监管对资源配置的效率，1988年FCPA法案的修订和2010年SOX法案的豁免遵循便是明证。
我国内部控制监管规则的制定并未经历类似的博弈过程，规则很大程度上只是监管层的一厢情愿，被监管者往往“上有政策、下有对策”，监管效果便可想而知。
3. 企业内部控制监管制度的法律效力不同。政府监管通常以颁布某种法规规章的形式对被监管者的行为加以约束，从立法层次和约束效力看，由高至低一般依次为法律、法规、规章和规范性文件。美国对企业内部控制的监管始终是从法律层面上提出要求。反观我国对企业内部控制监管的要求，主要是以财政部或证监会为主发布的规范性文件，缺乏对遵循者的法律约束和对高管层个人的刑事追责，这势必将影响内部控制监管规则的预期实施效果。
4. 企业内部控制监管制度演化的经济背景不同。美国的内部控制监管制度是为应对各种危机而颁布实施的，20世纪70年代的海外贿赂事件，推动了1977年FCPA法案的颁布；20世纪80年代储蓄和贷款危机，催生了1991年FDICIA法案的实施；21世纪初相继曝光的安然、世通等美国大公司的财务丑闻，则导致了2002年SOX法案的出台。
危机的发生有助于对企业开展“风险警示教育”，相对而言，我国的企业内部控制规范则是在宏观经济形势整体向好的背景之下而出台的，难以培养和树立企业风险防范与重视内部控制的意识。德勤在2013年发布的一份题为《“分类分批”，如何全面实施内部控制》的调查报告中指出，30%的上市公司受访者和44%的非上市公司受访者明确表明内部控制规范的实施仅为了表面上满足监管的要求，企业管理水平并未显著提高。由此可见，对内部控制重要性的认知不能仅依赖规范的强制推行，更重要的是对企业居安思危意识的培养。
5. 企业内部控制监管制度演化的路径差异。美国对企业内部控制监管的核心自始至终都是围绕着内部会计控制或财务报告内部控制展开，FCPA法案要求管理层维持合理的会计记录以及相应的内部会计控制； FDICIA法案要求管理层对财务报告内部控制承担责任并评估和披露其有效性；SOX法案则要求定期披露财务报告内部控制的管理层报告和鉴证报告。制度演化争论的焦点最初集中在是否需要管理层和独立会计师对内部控制进行评估并公开报告，1985年以后各方利益集团基本达成了共识；但是否应对所有公众公司提出相同要求仍各执一词，FDICIA法案首先规定资产总额在5亿美元以上的金融机构遵循内部控制报告的要求，SOX法案的颁布将实施范围推广到所有美国注册的公众公司，但受到亲商利益集团的强烈反对，而将实施时间一次次推迟，并最终于2010年豁免了较小型公众公司披露财务报告内部控制审计报告。
我国内部控制监管规则的实施时间也因种种原因一再推迟，从最初的2009年7月再到2010年1月，最终才在2011年1月开始首先在境内外同时上市的公司实行；考虑到内部控制规范执行的成本较高，实施范围也从最初的所有上市公司，改为所有主板上市公司，而实施时间表直至2012年8月财政部发布的《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》方才最终确定。证监会在2010年之前的准则也要求披露“全面内部控制”，但在此后则明确将强制性内部控制信息披露的范围缩小为“财务报告内部控制”。
6. 内部控制信息披露的配套监管制度不同。中美两国对企业内部控制的监管都是通过信息披露的方式实施，要求监管对象定期披露内部控制的管理层自我评价报告和审计师的鉴证报告。但两国的法治背景却截然不同，美国针对虚假信息披露有严格的法律规范和健全的监督体系。美国的《证券法》和《证券交易法》奠定了公众公司证券信息披露的法律基础，SEC的成立则弥补了监管实践中的诸多不足，其规则制订权可解决法规出台周期长和欺诈手段更新的问题、其调查执行权和裁定权可避免诉讼程序周期长的问题，及时对虚假陈述行为实施行政或民事制裁；还可对虚假陈述行为提起刑事诉讼和民事赔偿诉讼。此外美国的集体诉讼制度也有利于投资者通过诉讼途径维护其合法权益，对虚假陈述和欺诈行为加以严厉惩罚。
相比而言，我国对虚假信息披露的监督，缺少有效的立法支持且查处与惩罚力度明显不足，在当前内部控制信息披露的要求缺乏严格且统一标准的情况下，更加难以对信息披露中的虚假陈述或隐瞒实情的行为加以约束。
【注】本文系教育部高等学校博士点专项科研基金（自然科学类）项目（编号：20090121110034）的阶段性学术成果，同时本文也得到江苏省“青蓝工程”（苏教师［2012］39号）的资助。
主要参考文献
1. Shapiro B, Matson D. Strategies of resistance to internal control regulation. Accounting, Organizations and Society, 2008；33
2. 刘玉廷.全面提升企业经营管理水平的重要举措——《企业内部控制配套指引》解读.会计研究，2010；5