第二节 我国企业内部控制规范化进程

尽管我国企业内部控制规范化建设起步较晚，但在政府的高度重视和全面支持下，我国企业内部控制规范逐渐形成了一定的体系。

一、内部控制规范初次出现

20世纪90年代后，我国开始实行社会主义市场经济，出台了一系列有关公司规范的法律法规，我国政府开始大力倡导建立健全内部控制。

1996年，中国注册会计师协会发布了《独立审计具体准则第9号——内部控制与审计风险》，明确要求注册会计师在审计过程中必须了解被审计单位的内部控制。随着该准则的出台，注册会计师在之后的审计业务中逐渐将目光覆盖到内部控制层面，包括了解被审计单位内部控制环境、风险评估流程及结果、信息技术风险应对措施、财务报告相关监督活动内容等。作为我国现代历史上第一个与内部控制相关的规定，它的发布为我国现代内部控制建设揭开了新的篇章。

1999年修订的《会计法》，第一次以法律的形式对建立健全内部控制提出原则性要求。财政部根据《会计法》的有关精神，于2001年6月发布了《内部会计控制规范——基本规范》和《内部会计控制规范——货币资金》，明确了单位建立与完善内部会计控制体系的基本框架和要求，以及货币资金内部控制的要求。2002年9月，财政部又发布了《内部会计控制规范——采购与付款》《内部会计控制规范——销售与收款》《内部会计控制规范——担保》等专项规范，对企业内部控制进行了更详细的规范。上述规范的发布也标志着我国内部控制规范建设进入一个更新、更高的境界。

二、内部控制规范的发展

我国政府高度重视内部控制制度建设，在第十届全国人大四次会议上的《政府工作报告》中，指出要“完善公司治理，健全内控机制”。2004年底和2005年6月，国务院连续两次就强化企业内部控制问题做出重要批示。其中，2005年6月，时任国务院总理在财政部、国资委和证监会联合上报的《关于借鉴〈萨班斯法案〉完善我国上市公司内部控制制度的报告》上做出批示，同意“由财政部牵头，联合证监会及国资委，积极研究制定一套完整的公认的企业内部控制指引”。

2006年6月6日，国资委发布了《中央企业全面风险管理指引》，对内部控制、全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等进行了详细阐述，这是我国第一个全面风险管理的指导性文件。2006年7月15日，财政部、国资委、证监会、审计署、银监会、保监会㊀联合发起成立企业内部控制标准委员会，许多监管部门、大型企业、行业组织、中介机构、科研院所的领导和专家学者积极参与，为构建我国企业内部控制标准体系提供了组织和机制保障；与此同时，按照科学民主决策精神，公开选聘了86名咨询专家，组织开展了一系列内部控制科研课题，为构建我国内部控制标准体系提供技术支撑和理论支持。

2008年6月28日，财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制基本规范》，要求自2009年7月1日起在上市公司范围内施行，鼓励非上市的其他大中型企业执行，事实上国有企业必须执行。《企业内部控制基本规范》的发布，标志着我国企业内部控制规范体系建设取得重大突破，有业内人士和媒体甚至称之为中国版的“萨班斯法案”。

三、内部控制规范体系的形成

2010年4月15日，为确保企业内部控制规范体系能够顺利实施、平稳运行，财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制配套指引》。该配套指引包括《企业内部控制应用指引》（18项）、《企业内部控制评价指引》和《企业内部控制审计指引》，要求自2011年1月1日起首先在境内外同时上市的公司中施行；自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司中施行；在此基础上，择机在中小板和创业板上市的公司中施行；同时，鼓励非上市大中型企业提前执行。至此，《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》三项配套指引连同此前发布的《企业内部控制基本规范》，标志着我国企业内部控制规范体系基本建成（见图1-1）。

根据财政部、证监会、审计署、银监会和保监会联合发布的《企业内部控制基本规范》及其配套指引，以及财政部、证监会发布的《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》（财办会〔2012〕30号）要求，在分类分批实施的基础上，我国所有主板上市公司应当在2014年实施企业内部控制规范体系。

2021年2月，财政部与证监会组织专家工作组对沪深两市上市公司公开披露的2019年度内部控制报告进行了系统分析，分析对象共计3794家，并以专家工作组名义发布《上市公司2019年执行企业内部控制规范体系情况蓝皮书》。该蓝皮书显示，2019年度共有3642家上市公司披露了内部控制评价报告，总体披露占比95.99%，其中3513家内部控制评价结论为“整体有效”，占比96.46%；共有2827家上市公司披露了内部控制审计报告，占比74.51%，其中2677家审计意见为“标准无保留意见”，占比94.69%。总体来看，企业内部控制规范体系在上市公司范围内实施情况良好。当然，部分上市公司仍存在披露内容要素不完整，披露信息不一致，内部控制缺陷整改不到位，内部控制缺陷标准缺失或不恰当等问题。

四、内部控制规范体系的完善

财政部、银保监会等部门近年来针对国内重点管控行业发布了一系列的内部控制操作指南。2010年8月10日，保监会发布了《保险公司内部控制基本准则》，以加强保险公司内部控制建设，提高保险公司风险防范能力和经营管理水平，促进保险公司合规、稳健、有效经营；2013年12月28日，财政部出台了《石油石化行业内部控制操作指南》，指引不同规模、不同产业链中的石油石化行业企业，开展企业内部控制体系的建立、实施、评价与改进工作；2014年9月12日，银监会发布了《商业银行内部控制指引》，促进商业银行建立和健全内部控制，有效防范风险，保障银行体系安全稳健运行；2014年12月23日，财政部出台了《电力行业内部控制操作指南》，供电网企业、发电企业、电力建设企业、电力设计企业和其他辅助性电力企业在开展内部控制体系的建立、实施、评价与改进工作中参考使用。

2019年10月，国务院国资委发布了《关于加强中央企业内部控制体系建设与监督工作的实施意见》，文件开宗明义阐释了目的，即充分发挥内部控制体系对中央企业强基固本作用，进一步提升中央企业防范化解重大风险能力，并在文件第一部分明确提出实现优化内控体系的目标是“强内控、防风险、促合规”。

银保监会2021年6月2日发布了《银行保险机构公司治理准则》（银保监发〔2021〕14号，以下简称《治理准则》）。《治理准则》第十章第二节是“内部控制”，指出银行保险机构董事会应当持续关注本公司内部控制状况，建立良好的内部控制文化……银行保险机构应当建立健全内部控制制度体系，对各项业务活动和管理活动制定全面、系统、规范的制度，并定期进行评估。紧接着在6月7日，关于“内控合规管理建设年”活动的17号文正式发布，提出了“内控体系更加健全、内控效能持续提升、合规意识更加牢固、合规文化持续厚植”的建设目标，明确了保险机构建立内控合规体系的十大工作要点。这两个监管文件尽管目的不同，但均进一步明确了保险机构在加强内部控制中的主体责任，强调了良好的内部控制在公司治理和合规管理中的重要性。

2021年10月，国务院国资委发布《关于进一步深化法治央企建设的意见》（以下简称《意见》），着力健全领导责任体系、依法治理体系、规章制度体系、合规管理体系、工作组织体系，持续提升法治工作引领支撑能力、风险管控能力、涉外保障能力、主动维权能力和数字化管理能力，不断深化治理完善、经营合规、管理规范、守法诚信的法治央企建设，为加快建设世界一流企业筑牢坚实的法治基础。《意见》还规定了央企要加强构建集法律、合规、内控、风险管理于一体的协同运作机制，加强统筹协调，提高管理效能，推动合规要求向各级子企业延伸，加大基层单位特别是涉外机构合规管理力度，到2025年中央企业基本建立全面覆盖、有效运行的合规管理体系。

2022年3月2日，国务院国资委印发《关于中央企业加快建设世界一流财务管理体系的指导意见》，确定了中央企业加快建设世界一流财务管理体系的目标，同时也吹响了更换新一代智能财务管理系统的号角。5年左右央企整体财务管理水平明显跃上新台阶，10～15年绝大多数央企建成与世界一流企业相适应的世界一流财务管理体系。推动四个变革，即推动财务管理理念变革、组织变革、机制变革、功能手段变革，系统阐述新时期中央企业财务管理工作的底层逻辑，这是推进财务管理转型升级的“思想开关”和理论基础。完善五大体系，即全面预算、合规风控、财务数字化、财务管理能力评价、财务人才队伍建设体系，这是支撑财务管理职能落地、实现财务管理体系有效运行的根本保障，也是推进财务管理转型升级的主线和重点。

由此可见，企业内部控制越来越受到重视，理解并运用好内部控制，对于强化企业内部监督、及时有效应对风险有着重要意义。