三 中国内部控制框架的演进与最新框架分析

（一）中国内部控制框架的演进

中国现代内部控制法规与准则的发展，大致经历了三个阶段。

1．审计视角的内部控制规范：1996年以前

这一阶段主要是从在审计中如何评价和测试被审计单位内部控制的视角来制定与内部控制相关的审计规范。1986年，财政部颁布的《会计基础工作规范》首次对内部控制做了明确规定。1996年12月，中国注册会计师协会颁布实施了《独立审计具体准则第9号——内部控制与审计风险》，对内部控制及其构成要素以及在评价中应注意的问题进行了阐述。这有助于规范注册会计师对内部控制的研究与评价，提高审计效率和效果。

2．会计视角的内部控制规范：1997～2007年

这一阶段主要是从确保资产的安全完整和财务报告的真实可靠视角来制定内部控制规范。该阶段的内部控制规范大致可分为五类，主要是由财政部门、证券监督管理部门、行业监管机构、审计行业组织等制定的有关法律、法规、指引。

第一类，由财政部颁布的适用于所有企业的内部控制基础性规范。1999年颁布的《会计法》是我国第一部体现内部会计控制的法律，该法律明确提出，各单位应当建立、健全本单位内部会计监督制度。财政部2001～2004年先后发布了一个基本规范和9个具体规范。

第二类，由上市公司监管机构发布的有关规则。如中国证监会于2001年发布了《公司发行证券公司信息披露编报规则》；深圳证券交易所和上海证券交易于2006年分别出台了各自的《上市公司内部控制指引》。

第三类，各行业监管机构发布的相关文件。如中国人民银行颁布了《加强金融机构内部控制的指导原则》（1997）、《商业银行内部控制指引》（2002）；中国保险监督管理委员会制定了《保险公司内部控制制度建设指导原则》（1999）、《保险中介机构内部控制指引（试行）》（2005）、《寿险公司内部控制评价办法（试行）》（2006）、《保险公司风险管理指引（试行）》（2007）等；中国银监会颁布的《信托投资公司内部控制指引》（1999）、《商业银行内部控制评价试行办法》（2004）和《商业银行内部控制指引》（2007）等；中国证监会发布的《证券投资基金公司内部控制指导意见》（2002）和《证券公司内部控制指引》（2003）。这些内部控制规范适用于某一个特定的行业，具有行业特性。

第四类，国资委针对中央企业颁布的内部控制框架指引。主要是2006年，国务院国有资产监督管理委员会出台了《中央企业全面风险管理指引》和2013年发布的《中央企业应急管理暂行办法》等。《中央企业全面风险管理指引》（2006）对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述，并对贯彻落实提出了明确要求。这标志着内部控制规范体系从内部控制向风险管理转型。该指引对国有企业内部控制和风险管理的建设发挥了重要作用。在财政部等五部委发布了《企业内部控制基本规范》及其应用指引后，虽然该指引的主要内容和核心思想也被纳入企业内部控制规范中，但其对国有企业风险管理仍然具有指导作用。

第五类，审计组织发布的相关审计规范，主要用于指导审计师对被审计单位内部控制进行评价，以决定实质性测试的性质、时间安排和范围。如中国注册会计师协会于2006年发布的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》，审计署2003年发布自2004年2月实施的《审计机关审计重要性与审计风险评价准则》，以及中国内部审计协会2003年发布的《内部审计具体准则第5号——内部控制审计》。后两个准则目前已被修订。

3．管理视角的内部控制规范：2008年至今

这一阶段则是从提升整个企业管理水平、促进企业健康快速发展视角来制定内部控制规范。2008年5月，财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》，自2010年1月1日起实施。《企业内部控制基本规范》的颁布，标志着由各自行业主管部门单独发布内部控制规范发展为联合发布，实现了我国企业内部控制规范建设的统一，是我国企业内部控制规范建设史上的一大里程碑。2010年4月，五部委又联合发布了《企业内部控制配套指引》，包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，连同《企业内部控制基本规范》（2008），标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系已经建成。

（二）中国最新企业内部控制框架分析

我国目前最新的企业内部控制框架为财政部、证监会、审计署、银监会、保监会于2008年5月联合发布的《企业内部控制基本规范》，以及2010年4月联合发布的《企业内部控制配套指引》（包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》）（下文简称中国企业内部控制框架）。（见图2-3）

（1）内部控制的定义

在这一企业内部控制规范框架中，内部控制被定义为：“由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。”

（2）内部控制的五大目标

建立健全内部控制，旨在实现五大目标，即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略。

（3）内部控制的五大原则

企业在建立和实施内部控制应遵循五大原则，即全面性、重要性、制衡性、适应性、成本效益。

（4）内部控制的五大要素

企业建立和实施内部控制，需要考虑五大要素，即内部环境、风险评估、控制活动、信息与沟通、内部监督。

（5）内部控制的主线与重点领域

当前已经针对高风险业务和领域制定了相应的内部控制引用指引，分为内部控制环境类、控制活动类和控制手段类，涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。其中，内部控制环境类包括组织架构、发展战略、人力资源、社会责任、企业文化等，即企业整体层面的内部控制；控制活动类包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等，即业务层面的内部控制；控制手段类包括全面预算、合同管理、内部信息传递、信息系统等，既对业务层面内部控制产生影响，也对企业整体层面内部控制产生影响。这在事实上确认了我国企业内部控制的主线是企业整体层面和业务层面，也确认了企业内部控制的重点领域。

2．先进性和适用性分析

我国企业内部控制体系具有先进性与实用性。①率先将“促进企业适应发展战略”作为内部控制目标之一，将内部控制与战略协调起来，理念先进。②由基本规范与应用指引构成，体现了原则性与应用性相结合，指导实务与运用的理念。③将企业法人治理、风险管理寓于风险控制框架中，将三者融于一体。④注重建立反舞弊机制、突发重大事件应急处理机制。⑤经过实践应用，已被证明适合我国国情，得到了各类大中型企业的重视和认可。