四 公司治理的法律規制

（一）公司治理第一層面的法律規制

公司治理第一層面的法律規制包含三到四個層級。其中，單獨適用于公眾公司的部分，私公司不適用。

（1）法律——效力等級最高。包括《公司法》，廣泛適用于私公司和公眾公司、國有企業；《證券法》，僅適用于公眾公司；以及最高人民法院關于《公司法》《證券法》法律適用的司法解釋［公司法司法解釋（一）、（二）、（三）、（四）附后］。

（2）國務院頒布的行政法規——效力等級次之。如《國務院批轉證監會關于提高上市公司債務意見的通知》《國務院關于進一步促進資本市場發展的若干意見》《國務院關于開展優先股試點的指導意見》《國務院關于全國中小企業股份轉讓系統有關問題的決定》《國務院辦公廳關于進一步完善國有企業法人治理結構的指導意見》等。

（3）證監會頒布的部門規章，以證監會令和公告形式發布，僅適用于公眾公司。如《上市公司章程指引》《上市公司收購管理辦法》《上市公司重大資產重組管理辦法》《上市公司信息披露管理辦法》《上市公司股東大會規則》等。為鼓勵上市公司建立健全法人治理結構，2002年1月7日，中國證監會會同國家經貿委聯合發布《上市公司治理準則》（證監發〔2002〕1號），并于同日實施。

2018年9月30日，中國證監會發布修訂后的《上市公司治理準則》（證監會公告〔2018〕第29號）并同時廢止上述證監發〔2002〕1號文。修訂后的《上市公司治理準則》共十章九十八條，主要修改內容如下。①緊扣新時代主題，體現中國特色公司治理新要求：一是將新發展理念等根本要求貫徹到公司治理中，二是增加上市公司黨建要求，三是服務保障“三大攻堅戰”。②立足投資者結構特點，強化中小投資者合法權益保護：一是突出中小投資者作為股東享有的權利保障，二是加強對控股股東、實際控制人及其關聯方的約束，三是發揮中小投資者保護機構的作用。③借鑒國際經驗，體現公司治理最新發展趨勢：一是增加機構投資者參與公司治理有關規定，二是重視中介機構在公司治理中的積極作用，三是強化董事會審計委員會的職責，四是確立了環境、社會責任和公司治理（ESG）信息披露的基本框架。④結合實踐發展，對新情況、新問題做出規范：一是規范上市公司控制權變動中公司治理相關問題，二是對獨立董事強化職權并規范要求，三是健全上市公司評價與激勵機制，四是完善信息披露要求，增加上市公司透明度。

（4）滬/深證券交易所以及股轉公司發布的適用于公眾公司的規范性文件和要求。如《上海證券交易所股票上市規則》《深圳證券交易所股票上市規則》《上海證券交易所交易規則》《深圳證券交易所交易規則》《上市公司規范運作指引》《控股股東、實際控制人行為指南》《全國中小企業股份轉讓系統業務規則》以及信息披露指引等。交易所的上述規則雖然沒有法律上的效力，但交易規則、信息披露等是公眾公司必須遵守的行為準則，指引類規則對公司有倡導意義，對于規范公眾公司法人治理和提高治理水平有著積極的意義。

上述公司治理第一層面的規制，部分是強制性的，部分是倡導性的，允許公司和股東意思自治。

（二）公司治理第二層面內容的規制

1.《企業內部控制基本規范》

2008年5月22日，財政部依據《公司法》、《證券法》和《會計法》制定《企業內部控制基本規范》（財會〔2008〕7號），自2009年7月1日起在上市公司范圍內施行，鼓勵非上市的大中型企業執行。執行該規范的上市公司，應當對公司內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計。

該文件第三條明確指出大中型企業的內部控制是由企業董事會、監事會、經理層和全體員工共同實施，旨在實現控制目標的過程。內部控制的目標一是合理保證企業經營管理合法合規，二是資產安全，三是財務報告及相關信息真實完整，四是提高經營效率和效果，五是促進企業實現發展戰略。

該文件指出，企業建立與實施內部控制應當遵循的基本原則是全面性、重要性、制衡性、適用性和成本效益。

企業建立與實施有效的內部控制，應當包括下列要素。

（一）內部環境。內部環境是企業實施內部控制的基礎，一般包括治理結構、機構設置與權責分配、內部審計、人力資源政策、企業文化等。

（二）風險評估。風險評估是指企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。

（三）控制活動?？刂苹顒邮侵钙髽I根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。

（四）信息與溝通。信息與溝通是企業及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間進行有效溝通。

（五）內部監督。內部監督是企業對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷，應當及時加以改進。

2.《企業內部控制應用指引》

2010年4月15日，財政部、證監會、銀監會、審計署和保監會依據《企業內部控制基本規范》聯合發布了《企業內部控制應用指引》（共18項內容，又稱“內控18條”），適用于大中型企業和上市公司?！皟瓤?8條”具體包括組織架構、發展戰略、人力資源、社會責任、企業文化、資金活動、采購業務、銷售業務、研究與開發、資產管理、工程內容、擔保業務、業務外包、財務報告、全面預算、合同管理、內部信息傳遞、信息系統18項具體內容。

3.《小企業內部控制基本規范》（試行）

2017年6月29日，財政部依據《公司法》《會計法》《企業內部控制基本規范》制定了《小企業內部控制基本規范》（試行）（財會〔2017〕21號），自2018年1月1日起實施。該文件適用于在中華人民共和國境內依法設立的、尚不具備執行《企業內部控制基本規范》及其配套指引條件的小企業。

小企業一般為私公司，且規模小、所有權與經營權沒有完全分離，因此，在內控目標、內控原則、基本要求以及保證內控目標實現的責任人方面均與大中型企業具有差異：該文件第三條指出小企業的內部控制是指由小企業負責人及全體員工共同實施的、旨在實現控制目標的過程。小企業內部控制的目標有三：一是合理保證小企業經營管理合法合規，二是資金資產安全，三是財務報告信息真實完整可靠。

小企業建立與實施內部控制，應當遵循的基本原則是風險導向原則、適用性原則、實質重于形式原則和成本效益原則。

小企業建立與實施內部控制應當遵循的總體要求如下。

（一）樹立依法經營、誠實守信的意識，制定并實施長遠發展目標和戰略規劃，為內部控制的持續有效運行提供良好環境。

（二）及時識別、評估與實現控制目標相關的內外部風險，并合理確定風險應對策略。

（三）根據風險評估結果，開展相應的控制活動，將風險控制在可承受范圍之內。

（四）及時、準確地收集、傳遞與內部控制相關的信息，并確保其在企業內部、企業與外部之間的有效溝通。

（五）對內部控制的建立與實施情況進行監督檢查，識別內部控制存在的問題并及時督促改進。

（六）形成建立、實施、監督及改進內部控制的管理閉環，并使其持續有效運行。

上述公司治理第二層面的規制都是倡導性的，允許公司和股東意思自治。