何玉润

北京工商大学商学院院长，教授，博士生导师。财政部首批“全国会计学术领军人才”入选者，财政部内部控制标准委员会咨询专家

提要：在当下的中国经济环境中，企业建立健全有效的内部控制体系，其战略价值已远超传统的财务报告保障范畴，成为确保企业经营合法合规的基石、保障资产安全完整的关键防线、提升财务信息质量与可靠性的核心支撑。

AI 阅评

本文阐述了中国企业内部控制的发展脉络与实践价值，立足本土特色，清晰梳理了从《企业内部控制基本规范》到全覆盖监管的制度化进程，文章从风险防控、资产保全、效能提升和公信力构建四重维度，论证内控作为战略性基础设施的意义，为企业持续完善内控体系、监管部门优化政策、学术界深化相关研究提供了理论参考和实践依据。

内部控制作为现代公司治理的基石与保障企业可持续稳健运行的核心机制，其制度化的规范建设对于维护资本市场秩序、提升资源配置效率至关重要。在我国，内部控制从理念引入到体系化规范建设已历经20年的演进。这一进程具有鲜明的中国特色，由政府主管部门自上而下强力推动，并伴随着资本市场的发展而不断深化。

2006年，国务院国资委主导的中央企业全面建设风险管理体系，标志着风险管理与内部控制理念在大型国企层面的正式导入。2008年，财政部等五部门发布了《企业内部控制基本规范》（以下简称《基本规范》）及配套指引，构建了与国际接轨且具有中国特色的内控框架，要求主板上市公司建立并披露内控自评报告及审计报告，显著提升了内控的规范性和透明度。随着我国多层次资本市场体系的不断完善，内控规范体系的适用范围也实现了渐进式拓展。自2024年起，在沪深北证券交易所上市板块全面实施统一的内部控制规范体系，标志着中国资本市场内控监管实现了全覆盖，对各类上市主体提出了更高、更一致的内控合规要求。

在当下的中国经济环境中，企业建立健全有效的内部控制体系，其战略价值已远超传统的财务报告保障范畴，成为确保企业经营合法合规的基石、保障资产安全完整的关键防线、提升财务信息质量与可靠性的核心支撑。

企业实施内部控制的重大意义：理论重构与中国实践

在中国特色社会主义市场经济体制下，内部控制已超越传统的财务保障功能，演化为支撑企业高质量发展的战略性基础设施。从实践层面来看，截至2024年4月30日，共有5151家上市公司披露了年度内部控制评价报告，占披露年度报告的A股上市公司数量的96.3%。从理论层面来看，中国特色的内部控制体系通过风险防控与合规管理、资产安全与资源优化、运营效率与战略协同、企业透明度与公信力建构四重路径，创造了兼具制度优势与实践效能的管理范式。

1.风险防控与合规管理

合规是企业生存发展的底线，内控制度通过系统化的流程设计和监督机制，帮助企业识别、评估和应对各类风险，确保企业经营活动符合国家法律法规和行业规范。我国内部控制体系构建了法规内嵌式防控机制，《基本规范》将“合理保证企业经营管理合法合规”列为首要目标，通过制度刚性与动态调整的结合，实现风险防控与法律遵循的有机统一。

2.资产安全与资源优化

与COSO内部控制整合框架所确立的内部控制三项目标（运营效果与效率、财务报告可靠性和合规性），以及企业风险管理框架所包含的四项目标（在上述三项目标基础上增加战略目标）相比，《基本规范》展现出其独特性，将“资产安全”明确纳入内部控制的核心目标体系。此目标的设立，并非仅仅是技术层面的制度设计，而是深刻植根于我国以公有制为主体基本经济制度的现实土壤，目的在于保障“全民所有”资产不发生重大流失的政治性要求与制度性诉求。为实现资产安全的目标，除了不相容职务分离、资产限制接近等传统的控制手段，通过“三重一大”决策程序、资产追溯机制，以及闲置资产盘活专项治理等手段，有效防止资产的流失或滥用，提高资产的安全性和完整性。

3.提升运营效率与战略目标实现

内控制度通过标准化流程和持续流程优化，推动企业高效运行。基于《基本规范》的战略目标导向，我国企业创新性地发展出动态适配型内控，建立“战略—风险—控制”三维矩阵，动态更新风险控制点，同步实施流程再造，实现内部控制活动的优化调整，通过突破传统风控与效率对立的困境，兼顾长远规划与即时需求，科学设计实现风险防控与业务流程高效运行的统一，从而支持企业战略目标的实现。

4.增强企业透明度与公信力

内部控制要求“确保信息在企业内部、企业与外部之间进行有效沟通”。一方面，内控制度通过信息与沟通机制，确保企业内外部信息的及时传递与反馈，提升企业透明度。另一方面，通过信息技术促进信息集成与共享，增强投资者和监管机构的信任。

我国企业内控建设的系统性成效

中国特色企业内部控制已从合规性要求升级为企业治理现代化的战略引擎。基于《基本规范》框架的全面实施，企业在风险防控、运营效能、治理结构及市场竞争力等方面取得突破性进展，体现了制度优势与技术赋能的深度融合。

1.企业风险防控能力显著提升

在风险管控环节，内部控制最为重要的就是事前控制，即通过识别可能存在的风险并实施有效的管控决策，提升企业风险韧性。如央企全面建立风险清单管理机制，实现风险预警智能化，2023年高风险业务预警响应时效缩短至48小时内，风险事件同比下降37%（国务院国资委，2024）。

2.管理效率与合规性增强

在管理效率层面，有效的内控通过梳理和优化业务流程、明确职责分工、建立授权审批机制，以及引入信息化手段，显著减少了管理冗余和运营掣肘。内控建设后决策链条更加清晰、信息传递效率提升、资源调配更加精准，降低运营成本的同时缩短了关键业务处理周期。

在合规性层面，通过建立健全合规风险评估、控制活动、信息与沟通及监督机制，企业识别和防范合规风险的能力显著增强。具体表现为：违规操作、财务舞弊事件的发生率下降；内部审计和外部监管检查发现的问题数量减少；因不合规行为导致的行政处罚、法律诉讼和声誉损失风险得到有效控制。

3.企业治理结构优化

我国现行的公司治理结构，核心监督机制主要依托于法定的董事会与监事会框架。然而，股权高度集中的现象普遍存在，导致大股东往往能够对董事会和监事会施加决定性影响，使得大股东侵害中小股东利益的事件时有发生。另一方面，国有企业“所有者缺位”问题则引发了另一类治理困境，即所有权与经营权的过度分离加剧了信息不对称，显著放大了代理成本。

为系统性应对上述具有中国特色的治理挑战，基于长期的理论探索与实践经验积累，我国逐步发展并强化了公司治理与内部控制深度融合的机制。其核心创新体现为两点：其一，将党组织依法依规嵌入公司治理结构，构建了独特的“党的领导与公司治理有机融合”框架，旨在通过党组织在重大决策、选人用人、监督保障等方面发挥领导作用，提升治理效能并制衡内部人控制；其二，建立了更为明确的“三权制衡”责任体系，即规定董事长为公司信息披露的第一责任人，董事会秘书负责信息披露工作的具体统筹与执行，并将责任追究机制延伸覆盖至公司管理层。

4.投资者信心与市场竞争力提升

企业高质量的内部控制体系，通过提升信息可靠性与透明度，有效缓解了资本市场中的信息不对称问题，成为增强投资者信心与企业核心竞争力的关键制度安排。此外，内控质量的市场认可度直接外化为资本配置偏好，在外资持股比例方面内控评级AA级企业较B级企业平均高5.2个百分点，而在债务融资成本方面AA级企业较B级企业低1.8%（中证指数，2025）。

我国企业内控建设存在的结构性矛盾与系统性挑战

我国企业内部控制建设虽在制度框架层面取得显著进展，但其深层次矛盾与系统性挑战制约着内控效能的实质性发挥。这些问题不仅体现为执行层面的断裂，更折射出治理理念、文化基因与技术适配等宏观层面的结构性失衡。

1.制度悬浮与执行异化

多数企业已建立书面内控制度，但中小企业普遍存在“为合规而合规”的倾向，制度沦为应付监管的装饰品。究其原因主要存在以下情况：一方面是权力文化对规则的消解问题，高度集权企业中，管理层常凌驾于内控之上，“一言堂”现象导致分权制衡机制形同虚设，甚至出现“领导突破控制”的主动违规行为；另一方面是成本导向下的控制虚化，为压缩人力成本，关键岗位未实现职责分离（如出纳兼任会计），导致企业舞弊事件频发。

2.风险意识薄弱与防御能力不足

全面风险管理的前提需要增强企业的风险意识，增强企业抵御风险的韧性，然而量化的风险评估工具仍较为匮乏，导致企业风险识别依赖主观经验，应对策略碎片化，难以建立“识别—分析—应对—监控”的全周期管理体系。此外，随着国际化进程的推进，企业越来越多地面临地缘政治、合规差异、会计准则转换等复合型风险。由于缺乏跨境风险穿透式管理能力，企业的合规成本激增，甚至触发国际诉讼。

3.内外部监督的效率和效果有待提升

企业的监督系统主要分为内部监督和外部监督两部分。其中内部监督多存在独立性与专业性双缺失的问题，企业的内审部门多聚焦财务审计，内控专项审计覆盖率不足。此外，内控自评报告与外部审计结论背离，缺陷信息披露笼统，整改措施缺乏可操作性。外部监督环节则存在监管多头化、监督职能交叉，以及监督协同失效难以形成合力等问题。

4.内部控制技术赋能有待深化

随着我国“大智移云物”（大数据、人工智能、移动互联、云计算、物联网或区块链的集成）的高速发展，内部控制在数字化信息化的赋能下提升了管控的精细度和颗粒度，然而尽管领先企业探索RPA（机器人流程自动化）、风险预警模型等工具，但多数企业仍面临系统与内控逻辑错配的问题，将线下流程简单线上化，未能重构风险控制节点，业务、财务、风控系统割裂（如企业资源计划ERP未对接风控模块）。

基于治理生态重构破解内控问题

基于我国企业内部控制的结构性矛盾，需要构建“制度韧性—智能风控—穿透式监管—技术赋能”四位一体的治理范式，推动内控从合规工具升维为战略能力。

1.强化制度执行与动态优化

制度是内控的基石，其韧性体现在适应性与持续进化能力。企业需超越静态制度设计，构建覆盖“制度设计—刚性执行—多维评估—敏捷反馈—动态优化”的全生命周期闭环管理机制。建立常态化、多维度的制度评估机制。定期开展制度执行有效性检查、风险控制测试及穿行测试，综合运用内部控制自我评价、关键绩效指标偏离分析、审计发现问题聚类等手段，精准识别制度漏洞、执行偏差及潜在风险点。对制度进行动态调整，重点聚焦关键控制点的识别与优化，确保制度设计始终与战略目标保持动态匹配。这一过程体现了制度从“被动响应”到“主动适应”的韧性特征。

2.构筑智能驱动的主动免疫风控体系

数字技术是提升内控效能、实现风险前瞻性管理的核心驱动力。企业应致力于构建“全域感知—智能分析—精准预警—自动响应”的主动免疫型风险智能治理体系，形成全覆盖的风险感知网络，整合内部运营数据与外部生态数据。基于融合数据，构建企业级风险知识图谱，刻画实体间的复杂关联关系。应用机器学习、自然语言处理等人工智能技术，开发风险量化预测模型，实现风险特征的自动识别、模式挖掘与量化评估。

3.构建穿透式监管生态

强化企业内部审计的转型与升级，定期开展内控审计和专项检查。通过审计智能化平台，部署RPA机器人高效执行标准化、规则化的凭证检查、数据比对等基础工作。释放内审人员精力，使其转向更高价值的领域，如深度数据分析、复杂舞弊特征识别、内部控制有效性深度评价、战略风险前瞻性评估等。

构建跨部门监管数据池与协同机制，在企业内部打破部门墙，构建统一的风险与合规数据池，实现风险信息在财务、风控、内审、合规、业务等部门间的实时共享与协同分析。此外，积极探索与监管机构、行业协会、第三方服务机构的监管协同，通过监管信息共享平台、联合检查等方式，实现监管要求与企业内控实践的动态对接，有效消除监管真空，共同维护健康的商业生态。

4.规划与实施内控的数字化转型

内控数字化转型是一项系统性工程，需要统筹规划分步推进。首先，将内控数字化纳入企业整体数字化战略，明确转型愿景、目标、路线图及资源保障，确保内控数字化投入与业务战略和风险偏好相匹配；其次，聚焦数据治理（解决数据质量、标准、安全问题），核心关注系统控制点的线上化和标准化；最后，推进数据中台建设，整合内外部数据，部署风险智能分析模块，并深化审计智能化应用。

内控制度作为企业治理的核心支柱，其建设成效直接影响企业风险防控、运营效率和可持续发展。尽管我国企业在内控实践中取得显著进展，但仍面临执行不到位、技术滞后、监督不足等挑战。未来需通过制度优化、技术赋能、全员参与和外部协同等多维度努力，推动内控制度向更高水平迈进，为高质量发展提供坚实保障。