1.3 我国内部控制与企业风险管理的发展

2001年12月，安然公司突然申请破产保护，此后美国上市公司和证券市场丑闻不断，特别是2002年6月的世界通信公司会计丑闻事件，彻底打击了投资者对美国资本市场的信心。这些公司的财务舞弊案，在很大程度上是内部控制失灵所导致的，为此美国国会于2002年7月通过了《萨班斯—奥克斯利法案》，以此对美国上市公司的内部控制进行监控，以免上市公司陷入危机。在该法案的推动下，国际社会对内部控制和风险管理的认识显著提高，掀起了内部控制建设与评价的高潮，相当多的跨国公司花费巨资完善内部控制机制。我国越来越多的企业也意识到，企业内部控制是提高企业运营效率、保障企业依法经营和会计信息真实可靠、促进企业实现战略目标的活动，是现代企业制度的根本要求，是企业各项管理工作的基础，也是企业提高管理水平和防范风险的一种有效机制。企业要实现健康可持续发展，就必须不断完善内部控制体系，通过制度规避风险，以机制控制风险，以责任降低风险。我国监管当局也充分意识到加强内部控制和企业风险管理建设的重要性。

2003年12月，证监会修订发布《证券公司内部控制指引》。其目的是引导证券公司规范经营，完善证券公司内部控制机制，增强证券公司的自我约束能力，推动证券公司现代企业制度建设，防范和化解金融风险。

2006年6月，证监会发布《证券公司融资融券业务试点内部控制指引》。其目的是指导证券公司建立健全融资融券业务试点的内部控制机制，防范与融资、融券业务有关的各类风险。

2006年原银监会发布了《银行业金融机构信息系统风险管理指引》。其目的是有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、持续、稳健运行。

2006年6月，上证交易所发布了《上海证券交易所上市公司内部控制指引》。该指引要求上市公司应自2006年起在年度报告中披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见。

2006年6月，国资委发布了《中央企业全面风险管理指引》。其目的是指导中央企业开展全面风险管理工作，进一步提高企业管理水平，增强企业竞争力，促进企业稳步发展。

2006年9月，深交所发布了《深圳证券交易所上市公司内部控制指引》。其目的是加强上市公司内部控制，促进上市公司规范动作和健康发展，保护投资者合法权益。该指引要求上市公司应当在2007年6月30日之前，建立健全公司内部控制制度。

2007年5月，原银监会发布了《商业银行操作风险管理指引》。该指引的目的是进一步加强商业银行的操作风险管理，推动商业银行完善公司治理结构，提升风险管理能力。

2007年7月，原银监会发布《商业银行内部控制指引》。该指引首次提出要对内部控制进行全流程评价，将内部控制体系的五项要素有机地联系在一起。

2008年6月，财政部、证监会、审计署、原银监会、原保监会联合发布了《企业内部控制基本规范》（以下简称《基本规范》）。该规范融合了COSO风险管理的先进经验，又具有中国特色，被世人赞誉为“中国版的萨班斯法案”。该规范自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行该规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。该规范有助于提高企业经营管理水平和提升企业风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益。其标志着我国企业内部控制规范体系建设取得重大突破。

2009年，原银监会发布《商业银行信息科技风险管理指引》。该指引的出台，有助于加强商业银行信息科技风险管理，进一步推动我国银行业信息科技风险管理向更高水平迈进。