三 中國內部控制框架的演進與最新框架分析

（一）中國內部控制框架的演進

中國現代內部控制法規與準則的發展，大致經歷了三個階段。

1．審計視角的內部控制規范：1996年以前

這一階段主要是從在審計中如何評價和測試被審計單位內部控制的視角來制定與內部控制相關的審計規范。1986年，財政部頒布的《會計基礎工作規范》首次對內部控制做了明確規定。1996年12月，中國注冊會計師協會頒布實施了《獨立審計具體準則第9號——內部控制與審計風險》，對內部控制及其構成要素以及在評價中應注意的問題進行了闡述。這有助于規范注冊會計師對內部控制的研究與評價，提高審計效率和效果。

2．會計視角的內部控制規范：1997～2007年

這一階段主要是從確保資產的安全完整和財務報告的真實可靠視角來制定內部控制規范。該階段的內部控制規范大致可分為五類，主要是由財政部門、證券監督管理部門、行業監管機構、審計行業組織等制定的有關法律、法規、指引。

第一類，由財政部頒布的適用于所有企業的內部控制基礎性規范。1999年頒布的《會計法》是我國第一部體現內部會計控制的法律，該法律明確提出，各單位應當建立、健全本單位內部會計監督制度。財政部2001～2004年先后發布了一個基本規范和9個具體規范。

第二類，由上市公司監管機構發布的有關規則。如中國證監會于2001年發布了《公司發行證券公司信息披露編報規則》；深圳證券交易所和上海證券交易于2006年分別出臺了各自的《上市公司內部控制指引》。

第三類，各行業監管機構發布的相關文件。如中國人民銀行頒布了《加強金融機構內部控制的指導原則》（1997）、《商業銀行內部控制指引》（2002）；中國保險監督管理委員會制定了《保險公司內部控制制度建設指導原則》（1999）、《保險中介機構內部控制指引（試行）》（2005）、《壽險公司內部控制評價辦法（試行）》（2006）、《保險公司風險管理指引（試行）》（2007）等；中國銀監會頒布的《信托投資公司內部控制指引》（1999）、《商業銀行內部控制評價試行辦法》（2004）和《商業銀行內部控制指引》（2007）等；中國證監會發布的《證券投資基金公司內部控制指導意見》（2002）和《證券公司內部控制指引》（2003）。這些內部控制規范適用于某一個特定的行業，具有行業特性。

第四類，國資委針對中央企業頒布的內部控制框架指引。主要是2006年，國務院國有資產監督管理委員會出臺了《中央企業全面風險管理指引》和2013年發布的《中央企業應急管理暫行辦法》等。《中央企業全面風險管理指引》（2006）對中央企業開展全面風險管理工作的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理文化、風險管理信息系統等方面進行了詳細闡述，并對貫徹落實提出了明確要求。這標志著內部控制規范體系從內部控制向風險管理轉型。該指引對國有企業內部控制和風險管理的建設發揮了重要作用。在財政部等五部委發布了《企業內部控制基本規范》及其應用指引后，雖然該指引的主要內容和核心思想也被納入企業內部控制規范中，但其對國有企業風險管理仍然具有指導作用。

第五類，審計組織發布的相關審計規范，主要用于指導審計師對被審計單位內部控制進行評價，以決定實質性測試的性質、時間安排和范圍。如中國注冊會計師協會于2006年發布的《中國注冊會計師審計準則第1211號——了解被審計單位及其環境并評估重大錯報風險》，審計署2003年發布自2004年2月實施的《審計機關審計重要性與審計風險評價準則》，以及中國內部審計協會2003年發布的《內部審計具體準則第5號——內部控制審計》。后兩個準則目前已被修訂。

3．管理視角的內部控制規范：2008年至今

這一階段則是從提升整個企業管理水平、促進企業健康快速發展視角來制定內部控制規范。2008年5月，財政部、證監會、審計署、銀監會、保監會聯合發布的《企業內部控制基本規范》，自2010年1月1日起實施。《企業內部控制基本規范》的頒布，標志著由各自行業主管部門單獨發布內部控制規范發展為聯合發布，實現了我國企業內部控制規范建設的統一，是我國企業內部控制規范建設史上的一大里程碑。2010年4月，五部委又聯合發布了《企業內部控制配套指引》，包括18項《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》，連同《企業內部控制基本規范》（2008），標志著適應我國企業實際情況、融合國際先進經驗的中國企業內部控制規范體系已經建成。

（二）中國最新企業內部控制框架分析

我國目前最新的企業內部控制框架為財政部、證監會、審計署、銀監會、保監會于2008年5月聯合發布的《企業內部控制基本規范》，以及2010年4月聯合發布的《企業內部控制配套指引》（包括18項《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》）（下文簡稱中國企業內部控制框架）。（見圖2-3）

（1）內部控制的定義

在這一企業內部控制規范框架中，內部控制被定義為：“由企業董事會、監事會、經理層和全體員工共同實施的、旨在實現控制目標的過程。”

（2）內部控制的五大目標

建立健全內部控制，旨在實現五大目標，即合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整、提高經營效率和效果、促進企業實現發展戰略。

（3）內部控制的五大原則

企業在建立和實施內部控制應遵循五大原則，即全面性、重要性、制衡性、適應性、成本效益。

（4）內部控制的五大要素

企業建立和實施內部控制，需要考慮五大要素，即內部環境、風險評估、控制活動、信息與溝通、內部監督。

（5）內部控制的主線與重點領域

當前已經針對高風險業務和領域制定了相應的內部控制引用指引，分為內部控制環境類、控制活動類和控制手段類，涵蓋了企業資金流、實物流、人力流和信息流等各項業務和事項。其中，內部控制環境類包括組織架構、發展戰略、人力資源、社會責任、企業文化等，即企業整體層面的內部控制；控制活動類包括資金活動、采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包、財務報告等，即業務層面的內部控制；控制手段類包括全面預算、合同管理、內部信息傳遞、信息系統等，既對業務層面內部控制產生影響，也對企業整體層面內部控制產生影響。這在事實上確認了我國企業內部控制的主線是企業整體層面和業務層面，也確認了企業內部控制的重點領域。

2．先進性和適用性分析

我國企業內部控制體系具有先進性與實用性。①率先將“促進企業適應發展戰略”作為內部控制目標之一，將內部控制與戰略協調起來，理念先進。②由基本規范與應用指引構成，體現了原則性與應用性相結合，指導實務與運用的理念。③將企業法人治理、風險管理寓于風險控制框架中，將三者融于一體。④注重建立反舞弊機制、突發重大事件應急處理機制。⑤經過實踐應用，已被證明適合我國國情，得到了各類大中型企業的重視和認可。