【摘要】 从企业内、外部监管机制、企业会计责任制度以及处罚力度方面对中美企业内控监管规范进行比较分析，指出中国应当规范企业监管主体职责，明确监管对象主体责任；规范细化中国的会计责任制度，使规定更为具体，更具有可操作性；完善中国信息披露制度，增加重大情况披露、以及披露信息的实时性规定，使之精细化；强化中国行政指导和法律责任方面的执法力度。

【中文关键词】 萨班斯法；企业内部控制基本规范；网络安全法；美国证券交易委员会

美国《2002年公众公司会计改革与投资者保护法案》是《萨班斯法案》的前身，因由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，也被称为《2002年萨班斯—奥克斯利法案》[1]萨班斯法案涉及的范围很广，包括企业的管理、会计师职业道德的约束、证券交易行为的制约等方面，并以此为出发点提出了相应的法律监管机制[2]。以及严格的处罚机制因此，具有深层次、宽领域法律约束之称的萨班斯法案成为了世界经济大危机时期最具影响力的上市公司法案，并一直延续至今{1}。金融业甚至有人声称，《萨班斯法案》与巴塞尔新资本协议、国际会计准则一样是国际金融法领域面临的三大挑战之一。自此，各国纷纷紧锣密鼓筹划各自的企业内部控制和风险管理规范。

2008年6月28日，我国财政部、证监会等多个管辖部门共同起草并发布了《企业内部控制基本规范》(以下简称《基本规范》)，首次完成了企业内部监测从有到无里程碑式的跨越。这是我国与国际接轨的又一力作，被业内人士称之为具有中国特色的“萨班斯法”。《基本规范》明确了企业的内部监管系统，形成了具有中国特色的企业内部监测体系；借鉴美国《萨班斯法案》的精髓，迎合中国企业的发展态度，对于企业的未来运作营造了一个良好的发展环境。目前，WarmaCiy勒索病毒[3]席卷全球，超过150个国家至少30万名用户中招，造成损失达80亿美元(约合人民币550亿元)，暴露出我国企业在网络安全风险内部控制方面的轻视和不足。虽然我国已经采取了各种方式阻碍了病毒事态的蔓延速度，但还是存在很多隐患，也给我国网络用户带来巨大的风险。

2016年11月7日，《中华人民共和国网络安全法》(以下简称《网络安全法》)由第十二届全国人民代表大会常务委员会第二十四次会议通过，标志着企业需要借助网络安全技术管理和法律措施，应对信息技术应用的普遍化导致的业务风险、科技风险与法律风险相互结合、渗透的复杂问题——即解决普遍网络环境引入和放大的内控风险问题，和借助于信息和网络技术解决传统内控风险问题。特别是《网络安全法》第三十八条提到：“对于关键基础信息的操作和管理者来说，维护信息的基本安全，防止信息的不正当泄露是尤为也是必需应该注意到的问题，这就要求管理者每年至少进行一次网络信息安

全的预测和评估，并及时做好上报和反馈，从而保障信息的绝对封闭和安全。”[4]该条款与萨班斯法案404条款已经非常接近——内部控制报告应包括以下内容：(1)公司的管理人员有义务对公司内部所监管的财务报告进行整理和细化，并有组织的将其完备和优化；(2)这里面包括管理人员在年度财务总结时对内部所监管的财务报告进行可预见性的分析和整理^对于受托上市公司的审计员来说，必须遵照会计监督委员会制定的相关法律法规对公司内部的财务展开测试和评价，并出具评价报告。这些都是建立和围绕核心业务、关键系统(基础设施)的系统化、体系化建设工程，需要企业在建立内部控制规范时必须充分考虑“顶层设计”；在具体落地和实施上，也允许根据差异分析进行本地化改造的考量。以欧盟成员国的德国立法为例的外部强制性审计规定中，联邦信息安全局(BSI)的要求是对关键基础设施每两年一次安全审计[5]。

面对全球性的年度强制评估立法趋势，借助自动化评估实现对萨班斯法案的符合已经成为企业的共识，Cobit系列即为符合404条款的事实标准。同样，我国在分析差异的过程中，也应充分考虑与网络安全立法的相互融合，合理设定过渡期，逐步建全完成从内部审核到外部审计，从随机评估到年度评估的过程。

一、中美监管机构的差异性分析

(一)外部控制监管机构

1.美国外部控制监管机构

美国外部监管机构在一般情况下，可进行两大方向的划分。首先是监管机制，以国家为单位、以法律形式授权为核心，例如，美国证券交易委员会(SEC-the U. S. Securities and Exchange Commis- sion)、各自治州管辖的监管机构等；其次是以各企业为单位、以高度自治的形式成立的证券交易管理机构{2}。美国萨班斯法案明确指出，以外务名义成立的独立公司，受会计监管委员会的监察和引导，旨在作为独立上市外务公司处理会计相关事务及注册{3}。

美国证券与交易委员会(简称SEC)，属于在美国联邦政府中最高的监管机构，主要监管证券投资和交易活动，涉及到投资人、上市公司、自律性监管机构和证券商等对象{2}。SEC并不隶属于联邦政府，而是直接隶属于国会，独立于政府等国家机关，具有极高的权威性。它集准立法权、执法权、准司法权于一身。其五名成员中四名委员多均分为两党，不具备执行与兼职业务的权利，且无法参与到证券交易活动之中；一名委员会主席由总统任命，任命对象通常为执政党员；委员会独立行使职能，不受总统干涉。SEC的主要职能是维护美国证券的正常交易，依照宪法的规定引导证券交易合法，安全的运行，开始对证券交易商进行实质性监管。

美国外部控制监管机构的优点具体表现为，第一，证券交易监管委员会兼有立法、执法、准司法权。这种集中且强大的证券监管职能，使国家对证券市场实行统一集中的监管，从而确保法律监管的能动性，保障正常交易的平稳运作。其次，证券交易的下属监管机制可以有效地运用相关职能发挥自身的法律约束作用，为证券市场创造良好的外部条件。因此，监管机构不能够实际参与到证券业务之中。第三，明确证券监管职能的目的在于实现保护投资人的合法利益，故证券交易管理委员会的主要业务活动是保证及时披露证券市场的相关信息，以采取预防性措施为日常职责，规避、抑制证券市场存在的不法行为。因此，证券交易监管委员会行使证券监管职责的目的，就是为了保证证券市场行为主体从事证券活动的合法性。

缺点具体表现为，第一，由于国家监管职能过于强大，因而导致了对自律性组织的自律监管职能的压制。各种自律性组织在国家的监督、指导下，只拥有较少的自治权，这在一定程度上限制了其自身作用的充分发挥。第二，证券监管职能行使的主体主要是联邦及各州的证券交易委员会，由于其自身的性质导致其监管无法及时跟上证券市场的快速发展和变化，往往使证券监管职能行使方式僵化，阻碍了证券监管职能效率的发挥。

2.中国外部控制监管机构

《中华人民共和国证券法》在20世纪末颁布。新体制诞生的同时，证监会成为国家最高监管机构，决策、执行职能随之融合。我国现行的证券监督管理体制无论是在操作执行方面，还是在立宪明文方面都全权受制于部门监管，所属权利均归国务院证券监督管理机构所有。证监会作为我国集中统一的监管机构，其监管职能主要包括：(1)证券市场规章及规则的制定权；(2)证券市场审批权和核准权，权限范围过大；(3)对市场行为和市场主体的监督权；(4)对违法违规行为的调查权和处理权。

中国外部控制监管机构存在的问题：(1)证监会的监管职能等同于行政管理职能，其法律属性存在误区。首先，证券监督过程中管制色彩浓厚。无论是产品的内包装还是外包装，以及产品的研发上市，企业都无法摆脱从国有资产保值增值到政府主导重组的命运，处处渗透着政府管制的血液，自主调节的能力十分薄弱{5}。其次，证券监管过程强调国家本位，忽视证券市场与整个经济发展的互动协调关系。(2)证监会监管职能权限过大。由政府创设、主导、发展是我国证券市场的基本特色，证监会作为高度统一的证券监督管理机构，除了要负责规章制度的制定、对违法行为的监管外，还负担着发展证券市场的责任，这是美国证券监管机构不必承担的责任。(3)证监会监管职能行使方式不当。行政干预过度，法律功能弱化，证券监管职能履行任意性强。(4)证监会监管职能制约缺位。高度集中统一的证券监管体制极容易产生监管俘获、监管寻租以及监管时滞问题，我国对于证券监管职能尚无行之有效的监督制约机制。

我国的外部监管操作由政府全权负责，虽然权威性明显，但对企业的内部调节存在诸多局限，长此以往，很有可能导致企业发展和运营管理层面的落后。为此，我们可以吸收美国市场监督法案的长处，放宽企业自主监管的政策，给予他们自给自足的能力，从而提升企业的内部调控质量。

(二)内部控制监管机构

1.美国内部控制监管机构

美国《萨班斯法案》的核心是内部控制，这对于公司内部的调控和管理是非常严格的，且不可逾越法律道德和公司行为标准的范畴。法案规定，企业必须将公司内部的分析标准进行最细致的区分，一方面企业自身的管理要有法可依，具备相应的管理系统；另一方面，公司的结构要清晰，目标要明确，并在高管部门形成审计委员组织，分工明确，企业内部要团结，并努力达成具有企业特色的测评体系{6}。首先，强调公司管理层充分有效的责任，要求公司建立相应管理体系，并保障企业内部监测的有效实施；其次，管理部门要进行实时的财务分析和评价，从而确保企业收支的合理控制和管理，遵循审计、会计相关法律法规，定期向上级做出汇报和反馈。《萨班斯法案》代表了美国资本市场一流的信息披露和公司治理标准。

2.中国内部控制监管机构

我国《企业内部控制基本规范》在内部控制监管机制方面是基于财务会计的角度提出的，是对财务会计风险进行内部控制时应当实现的目标与遵循的原则。我国的会计审计法案也只是微观的对企业的内部财务提出了限制，并未能从根本上解决公司管理人员追究财务责任的问题。另外，我国《网络安全法》建立了关键信息基础设施安全保护制度，对企业提高了准入门槛和运行安全能力要求。如何落实网络安全法要求，实现网络安全保护，确保产品和运营的合规性和安全性，是我国企业面临的一大难题。近年来，我国企业对于网络会计的控制环境也开始变得复杂与困难，内部的控制所牵扯到的范围也一直在不断的提升，主要体现在会计信息的被泄露风险、网络系统的被攻击风险和内部牵制面临失效风险三个方面。目前，我国只有在会计信息安全、网络系统控制、内部牵制，以及会计档案管理等多个方面积极对财务软件采取加密的技术形式，使其能够对内部控制的相关制度予以完善。只有这样，企业才可以获得非常好的预防网络会计在进行内部控制过程中所产生的风险，并且能够在很大的程度上真正的将网络会计本身的特点以及优势发挥出来{7}。

《中央企业全面风险管理指引》第40条规定，具备条件的企业，董事会可以下设风险管理委员会。目前，我国企业风险管理中通常的做法是将风险按照部门进行划分，分别由各个职能部门负责，最后由总经理统筹，而不再在董事会下设单独的风险管理委员会进行统筹决策，出具风险管理年度报告。一方面，总经理在业务上更加熟悉；另一方面，可以避免设置一个单独的委员会在人员配置上给公司造成的负担。但是，总经理或分管副总经理由于其职责和法律方面的能力所限，很难从根本上掌控法律风险管理的全过程。国务院国资委在公布的《中央企业全面风险管理指引》中也指出：“如果公司的董事长身兼两职，即总经理和董事长两个身份，那就意味着他不具备成为风险管理组织人的条件。”

对于外在环境的风险评估，企业应该注意到以下几个方面：公司管理人员是否以廉洁自律、公正的行业道德来约束自身行为；管理人员投身工作的热情是否浓厚；企业的未来发展走向和公司的理念；部门分工的是否合理，人员安排是否合理，人才调控和管理是否集中{8}。

二、中美会计责任制度的差异性分析

(一)会计责任法律规范体系的差异

1.法律规范的效力

美国的萨班斯法案是美国国会通过的属于强制性法律规范，具有强制执行力。由会计审计部门所递交出来的有关年度和季度的重大声明都必须在公司财务报告中体现出来。公司与其他不存在合并意向的企业但却对财务的未来收支有很强的关联作用时，也应在财务报告中体现出来。美国证券与交易委员会的职责在于阻止违法乱纪的证券行为，并对违反法律法规的交易进行勒令制止。拥有要求公司高级财务管理人员对职业道德规范予以遵循的权利，公司不得为董事、或是高层管理人员提供贷款。该机构还享有绝对的知情权，公司管理者在对公司股票实行交易之后，应立即告知sec{3}。

中国的《企业内部控制基本规范》属于部门规范性文件。该文件本身不具有强制性效力，其内容也主要是指导企业进行内部控制管理。该部门规范性文件的立法目的是通过指导企业建立较为完善的企业内部控制制度，来进行风险的防范与管控。但我国《网络安全法》第21条规定了网络运营者的内化安全体系和执行流程，不仅维护了网络信息的安全，也为网络信息的维护选择了适格的主体。这对我国《基本规范》是一个有益的补充。

2.法律规范的对象

萨班斯法案规范的是公司、审计师主体的行为。凡是列入禁止清单的非审计服务，执行公众公司审计的会计师所辖部门不允许为相关客户进行同类性质的业务安排，即便非审计服务并未被列入禁止清单，也依旧存在公司审计委员会的审批需要。法人企业必须将企业内部的运作和财务基本情况按部就班的对外公开，也就是实时披露。

为企业建立最为权威的内部监督系统，是我国《基本规范》出台的宗旨，且与本国国情相符。会计师事务所的审计的目的主要在于评估公司内部操控的结果。基本的操作流程来以构建企业内部操控体系为基准，对风险进行评估、对风险进行控制及对制度执行情况进行监督。

3.法律规范的内容

美国《萨班斯法案》对于会计师行为有较为明确、细致的规范标准和规范内容。例如，对于被禁止的非审计服务，《萨班斯法案》中被禁止的服务包括：为客户提供的待审计的会计资料与簿记服务、内部审计外包服务、经济人、投资顾问、财务信息系统设计与执行、投资银行，或法律服务以及精算服务等等。

中国《企业内部控制基本规范》没有相关的规定，规定的较为原则和笼统，缺乏义务、责任的条例。《基本规范》第十条提到：从事内部控制审计工作，且接受企业委托的会计事务所，需要依据本规范中的条例、相关准则及配套办法，对企业内部控制进行审计，明确其是否有效，同时出具相应报告。对于会计事务所以及签字的从业者来说，具备担负发表内部控制审计意见的职责，前者不可同时为相同企业提供内部控制审计服务与咨询服务。

(二)会计责任法律规范内容的差异

1.美国会计责任法律规范的内容

美国萨班斯法案通过一系列规定确保会计的独立性。(1)审计业务与非审计业务严格区分；(2)审计人员的独立性；(3)审计合伙人不得超过5年负责对同一家公司的审计业务；(4)审计准则的报告制度；(5)如果注册会计师事务所审计发行证券的公司有现任首席执行官、首席财务主管或首席会计主管(或是任何与他们职位等同的人员)曾被该事务所雇佣并参与了对该公司的审计，那么在前1年内该事务所向该公司提供任何审计业务的行为都是非法的。

2.中国会计责任法律规范的内容

中国会计制度中则从会计制度的完善、会计资格、会计师的职位等方面确保会计的独立性。我国的内部控制基本规范仅针对我国的内部审计准则进行了规范和限制，对于注册会计师的能力要求和职责方向没有固定的要求。就现阶段我国的会计审计体系来看，机制尚不成熟，相关的规定和要求严重不足，且只局限于违纪行为后的处理和分析。如果一味地强调审计人员的独立思维和解决事件的能力，则忽视道德的约束和法律制约的重要性。

从规范的方式不同可以看出，美国会计法律规范主要从“经验”出发，尽量杜绝问题的产生。而中国会计制度则更依赖于制度的构建。这源于深层次文化差异和制度差异。但就操作性而言，美国关于会计制度的规定更为具体，更具有可操作性，而中国会计制度则较为“抽象”，执行的弹性较大，需要更为具体的解释以及规范的细化。

(三)不同的信息披露追责

1.美国的信息披露

美国的《萨班斯法案》明确对信息披露做出了要求：(1)公司资产状况精确性的要求；(2)公司资产负债表之外的重大情况；(3)各种利益冲突情况；(4)同管理层和主要股东业务有竞合的业务情况；(5)高层管理人才要将道德准则作为执行公务的基本；(6)随时要求审计委员对财务分析员的身份信息进行备案；随时更新审计委员会财务专家的信息情况；(7)公司财务实时透明。

《萨班斯法案》要求公司不得以误导的方式任意编制模拟信息，对于企业来说，无论是表内还是表外的财务一经变动，或是发生重大影响，都必须及时予以披露。SEC除了正常的责业监督之外，对于一些表外实时交易同样有权过问，并相应的作出处理和谋划。《萨班斯法案》将公司管理者股权变更和证券转换协议的转换期由10个月降至2个月，以便于信息的及时披露。《萨班斯法案》明确规定，企业的年终财务报告表要包括明细和评估两大方面，并由会计事务所对所服务的公司提交评估结果和检验报告。除此之外，企业内部的财务审计一定要在财务专家的协助下配合完成，且公司有义务对外公开财务专家的身份和个人信息情况{1}。

2.中国的信息披露

我国《企业内部控制基本规范》没有在信息披露方面作出具体的规定，只是简单地对财务报告的内容提出了要求，认为财务分析报告有义务汇报公司的经营状况和财务营业份额。我国证券市场发展初期，就开始重视信息披露制度的建设，现今已初步形成了以《证券法》为核心，围绕相关法律法规，明文规定的法律章程，以深层次，宽领域的企业信息透明化的法规体系作为基础结构共同服务企业的内部财务管理。我国于2006年先后发布了上市企业的内部控制指引，认为上市公司需要在每年的年报中，对自身内部控制评价报告进行披露，尤其是有关内部控制缺陷的内容，至今因受到时间、成本等因素影响，沪深两所以及证监会尚未对此规定予以强制执行{9}。我国《基本规范》第3条指出：“企业内部的财务监督，对于高管和下属成员一视同仁，目的是不放过每一个细节，不放过每一道程序，将监管真正落实到日常工作中去。从而使得企业的经营更加的健康、更加的合乎法律的标准，并在一定程度上确保了企业财政的透明和安全，推动企业运行的速率和发展，促进企业实现发展战略。”我国《网络安全法》中

规定：作为网络运营者，不可毁损、篡改、或是泄露自身收集到的个人信息；不得在收集者未同意的前提下，将个人信息提供给他人，除非是无法识别、且处理后依旧无法复原的信息。对于网络运营者来说，需要通过技术等有效措施，保证收集个人信息的安全性，避免信息的丢失、泄露以及损坏。若是出现上述情况，必须及时实行补救措施，并在告知用户的同时，报告于有关部门。另外，法案中还提到：具备网络安全监管职责的工作人员与部门，必须保证履行职责中获取到的商业秘密、个人隐私和信息，不得提供给他人、或是兜售。

从中美会计信息披露责任比较，我们可以看出，美国信息披露的精确性要求、重大情况披露、以及披露信息的实时性规定的都比较详尽与规范。而我国信息披露的内容要求不规范，信息的实时性也缺乏明确的要求。

三、中美企业监管处罚力度的差异性分析

(一)美国企业监管的处罚力度

美国《萨班斯法案》对违法违规行为进行了最有效的制裁。(1)规定一切企业证券交易故意隐瞒和欺诈的恶劣行为都必须受到严重的法律制裁，行为严重者处有期徒刑25年；扣除资产个人罚金高达500万余美元，企业罚金高达2500万美元；除此之外，法案将对一切伪造，撕毁相关财务及市场信息文件的行为做出严厉的判决，对于蓄意阻挠国家办事处查案，办案的行为视为犯罪，并判处有期徒刑20年；(2)由会计事务所管理和审交证券财务的报告通常至少要留5个年限；如若做出违反这一规定的行为，法案有权对其判处20年的有期徒刑；(3)企业的高层管理人员以及财务专家共同递交的财务报告和评价结果必须是真实可信的，否则处以50万美元的罚款或5年限的监禁判决；(4)有关证券交易的诉讼已由原来的违法判决之日起3年改为5年{10}，起诉证券欺诈犯罪的诉讼时效原来是从被发现之日起1年，现在延长到2年；(5)对敢于检举公司财务欺诈的公司员工采取保护措施，并对其特别损失进行一定的经济补偿，并承担其由此产生的律师费。

《萨班斯法案》中规定：PCAOB拥有对违反相关法规、本法案者进行调查、制裁和处罚的权利，包括个人与会计师事务所。美国证券与交易委员可对PCAOB的处罚流程加以监督，并减轻、加重、或是修改处罚。PCAOB处罚、制裁会计师事务所与个人的形式大致为：(1)吊销与注销注册，分为永久性与临时性两类；(2)禁止个人执业于会计师事务所；(3)若屡次、故意犯案，可处以相应罚款，单位与自然人分别对应1500万美元以下、75万美元以下；(4)限制个人、或是事务所的职业活动与职能；(5)若为过失行为，可处以自然人10万美元以下的罚款，单位对应200万美元以下罚款；(6)加以谴责；(7)强制要求自然人、或是单位参与相应教育和专业培训；八、其他处罚形式{11}。

《萨班斯法案》三令五申的要求企业管理中的违法乱纪行为，不仅可以防患于未然，对于企业的道德约束和慎重决策，保障消费者和交易者的合法权益同样受用，从而使得市场更具合法性和制度规范性{1}。美国的《萨班斯法案》让我们看到了以法律作为维护社会正义的必然性和可行性。我国的相关法案，依然存在诸多需要完善和修复的缺憾，惩治的力度不够，法律规范的内容不全。这些无疑都在阻碍着中国经济的发展。

(二)中国企业监管的处罚力度

我国的《企业内部控制基本规范》涉及的层面较少。我国《网络安全法》第六章仅规定了对直接负责的主管人员和其他责任人员的行政处罚条款，没有对公司高管层违法行为的约束条款。尽管2005年修订后的我国《证券法》加大了对上市公司高管的约束，2015年《刑法》也对上市公司高管人员从事损害公司利益的行为应负的责任做了补充规定，但在量刑与处罚力度上与美国《萨班斯法案》中的规定相去甚远。

根据2015年《刑法》第161条的规定：“凡是有法律义务承担披露企业财务内部信息的公司，在进行信息隐瞒，伪造和故意欺骗的行为之后，造成社会及投资方利益和精神上面的损失，法律有权对其进行严厉的惩罚，并对案件参与和实施不正当交易的人员处以三年或三年以下的有期徒刑或监禁，并没收处罚资金高于两万小于二十万的资产份额。”[6]

《刑法》的第169条后新增了第169条之一，规定：“作为上市公司的高级管理人员、监事与董事，若是违背公司义务，通过自身职权对上市公司进行操纵，令公司利益遭受严重损失者，处以刑拘、或是有期徒刑，时间不超过三年，同时处以相应罚款；令公司利益遭受重大损失者，处以刑拘、或是有期徒刑的时间在三年以上，七年以下，并处罚金。具体行为：一、向个人、或是其余单位无偿提供服务、商品、资金与其余资产的；二、在条件不公平的前提下，接受、或是提供服务、商品、资金与其余资产的；三、为不具备偿债能力者提供服务、商品、资金与其余资产的；四、为不具备偿债能力者提供担保、或是无理由提供担保的；五、没有正当理由，承担债务、或是放弃债权的；六、通过其他方式对上市公司利润进行损害的。”[7]

我国《刑法》规定：若上市公司高管、或是董事出现损害公司利益的行为，最高处罚量刑为7年，最高罚金为20万，而美国的《萨班斯法案》的最高刑法上限高达25年之久，罚金更是有2500万美元之多，这就难免显现出国内对此类案件处罚较轻的现状，也从侧面烘托了我国缺少对违法犯罪行为的惩治力度与震慑力度。我们必须修改现有立法，在立法中加强对公司高管人员的刑事处罚力度，这也是我们在监督过程中所必需的法律依据和最有效的监管方式。各级监管部门在检查过程中，要有法可依，执法必严，及时将发现线索的可疑案件移交司法机关立案查处，提高监管效率，确保保护投资者的合法权益不受侵犯。

四、小结

本文通过对中美企业内控监管规范进行比较分析，认为我国应当规范监管主体职责，明确监管对象主体责任。我国《网络安全法》将现行有效的网络安全监管体制法制化，明确了网信部门与其他相关网络监管部门的职责分工。《网络安全法》第8条规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作，国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。这种“1+X”的监管体制，符合当前互联网与现实社会全面融合的特点和我国监管需要。同时，我国应整合信息披露与共享机制，并在行政指导与法律责任方面强化执法力度。

从立法目的来看，我国《企业内部控制基本规范》(简称《基本法规》)和美国《萨班斯法案》是相同的，皆属于控制企业各方、令其规范化的法案，能够对环境与财务报表的准确性加以控制，在规避风险的同时，优化经营效率和水平{9}。然而，从规定内容方面来看，两者并不相同。如我国基本法规《基本规范》在具体内容上仅作了原则性规定，较为宏观，使得企业可以根据自身的不同情况灵活适用。它的适用范围不仅及于上市公司，还包括除上市公司以外的其他大中型企业；没有规定具体的强制实施措施和相应的处罚措施。而美国《萨班斯法案》在内容上的规定则较为严格具体，特别是对处罚条款的规定十分细致，但它的适用范围仅限于美国的上市公司。因此，我国的《基本规范》与美国《萨班斯法案》在企业内、外部监管机制、企业会计责任制度以及处罚力度方面等有着较明显的差异，为了更好地完善我国企业的内控体系，有的放矢的借鉴国外先进经验，有必要对二者之间的差异性进行具体的研究分析，特别是结合我国《网络安全法》的具体规定和配套制度，夯实内部控制制度的建设内容，提升自动化水平，以取长补短。

【注释】 作者简介：马民虎(1958—)，男，陕西西安人，西安交通大学法学院信息安全法律研究中心主任，教授，博士生导师

[1]萨班斯法案引发的思考——《金石证券、军事博客》，详见东方财富网博客。

[2]美国国会保存了SOX法案的所有公开记录。

[3]勒索病毒本身并不是什么新概念，勒索软件Ransomware最早出现在1989年，是由Joseph Popp编写的叫"AIDS Trojan"(艾滋病特洛伊木马)的恶意软件。1996年，哥伦比亚大学和IBM的安全专家撰写了一个叫Cryptovirology的文件，明确概述了勒索软件Ransomware的概念：利用恶意代码干扰中毒者的正常使用，只有交钱才能恢复正常。

[4]中外企业内部控制制度指引手册大全，1251页。

[5]详见http://www. bmi. bund, de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/Entwuif_IT-Sicherheitsgesetz. pdf? blob = publicationFile,2012年3月20日发布。

[6]京师刑事法制网，http://www. criminall,2016年11月15日

[7]京师刑事法制网，http://www. criminall,2016年11月15日

【参考文献】 {1}王棣华，张小苓.美国萨班斯法案与我国内部控制基本规范的比较及启示[J].湖南财政经济学院学报，2011(5)：14-17.

{2}李东方.证券监管法律制度研究[J].2003：45-46.

{3}赵一静.萨班斯法案影响研究[D].武汉：武汉理工大学，2007:28-29.

{4}吴越，马洪雨.证监会与证券交易所监管权配置实证分析[J].社会科学，2008(5)：88-99.

{5}张辉.中国证监会职能的定位：监管与发展[J].郑州航空工业管理学院学报，2008,26(1):96-100.

{6}朱芳芳.论《萨班斯法案》的主要内容及对我国的借鉴意义[J].知识经济，2008(6):10-12.

{7}李玲.浅谈网络会计的内部控制风险与防范[J].财经界(学术版)，2017(2):208.

{8}许一凡.萨班斯法案的剖析与借鉴[D].厦门：厦门大学，2013：13-15.

{9}孙莉.上市公司内部控制缺陷的披露及缺陷程度评价[D].太原：太原理工大学，2016:32-33.

{10}李昆光.美国制度冲击中国管理——萨班斯法案七月大考中国在美上市公司[J].中国总会计师，2006(6):18-22.

{11}刘惠君.中国注册会计师监管模式研究——英美注册会计师管理模式及对我们的启示[J].辽东学院学报(社会科学版)，2005,7(5)：84-87.

【期刊名称】《现代法学》【期刊年份】 2018年 【期号】 4