1.2　中国内部控制制度的现实进展

1.2.1　起步阶段

改革开放初期，我国一度经历了内部控制的空白期。然而，中国股市的众多财务舞弊案，给广大投资者和新生的资本市场投下了令人痛心的阴霾。如何有效治理公司舞弊，维持企业有效运营，保护广大投资者的利益和保障资本市场的健康发展，已经成为影响中国经济持续发展的问题。西方发达资本市场国家的经济发展也并非一帆风顺，安然、世通会计丑闻就是很好的例证。国外的监管者和理论界将目光投向了内部控制，并取得了一定成效，其理论成果和实践经验都为我国内部控制制度的形成提供了有益借鉴。20世纪90年代以来，在借鉴其他国家和经济组织内部控制规范的基础上，我国内部控制规章制度从无到有，取得了迅猛发展。

1985年1月，我国颁布了《中华人民共和国会计法》（简称《会计法》），要求会计机构内部应当建立稽核制度，并规定出纳人员不得兼管稽核，以及会计档案保管和收入、费用、债权债务账目的登记工作。《会计法》对会计稽核所作出的规定是我国首次在法律文件上对内部牵制提出的明确要求。1999年颁布的新《会计法》，则是我国第一部体现内部会计控制要求的法律，该法将企业（单位）内部控制制度当作保障会计信息“真实和完整”的基本手段之一。《会计法》将会计监督写入法律当中，在我国内部控制制度建设历程中是一次重大的突破，也是当时我国对内部控制的最高法律规范。但因为是“会计法”，规范的内容难免局限于内部会计控制的要求，没有涉及内部控制的全部内容。

关于内部会计控制的法规，除了新《会计法》这样的法律，还包括一些行政部门颁布的规范。例如，财政部于1996年6月颁发了《会计基础工作规范》，对会计基础工作的管理、会计机构和会计人员、会计人员职业道德、会计核算、会计监督、单位内部会计管理制度建设等问题作出了全面规范。其中对会计监督的要求，可以算作我国早期的企业内部控制制度。

1996年12月，中国注册会计师协会发布了第二批《中国注册会计师独立审计准则》，其中《独立审计具体准则第8号——错误与舞弊》要求被审计单位建立内部控制；《独立审计具体准则第9号——内部控制与审计风险》对内部控制的定义和内容都作了具体规定，并要求注册会计师从制度基础审计的角度审查企业的内部控制，进行企业内部控制评价。《独立审计实务公告第2号——管理建议书》中指出，“注册会计师对审计过程中发现的内部控制重大缺陷应当告知被审计单位管理当局，必要时，可出具管理建议书”。《中国注册会计师独立审计准则》中有关内部控制的描述和要求，既是注册会计师执业基准的一部分，又是企业内部控制工作的推动力，这种间接推动力提高了我国企业对内部控制的关注程度，促进了我国企业内部控制制度的初步建设。

1997年5月，我国专门针对内部控制的第一个行政规定出台。中国人民银行颁布了《加强金融机构内部控制的指导原则》4，要求金融机构建立健全内部控制运行机制。金融机构的内部控制指导原则先于非金融行业的内部控制要求出台，向金融机构发出了这样的信号：中国对金融机构内部控制的要求要高于对非金融企业的要求。该指导原则对金融机构内部控制的建设意义重大，为我国金融机构的内部控制制度的建设和发展奠定了基础。

2000年11月，证监会发布了《公开发行证券公司信息披露编报规则》，其中《公开发行证券公司信息披露编报规则第7号——商业银行年度报告内容与格式特别规定》5和《公开发行证券公司信息披露编报规则第8号——证券公司年度报告内容与格式特别规定》，要求公开发行证券的商业银行、保险公司、证券公司建立健全内部控制制度，并在招股说明书正文中说明内部控制制度的完整性、合理性和有效性。

2001年12月，证监会发布了《公开发行证券的公司信息披露内容与格式准则第2号——年度报告的内容与格式（修订稿）》6，要求监事会对公司（一般上市公司）是否建立了完善的内部控制制度发表独立意见，若监事会认为内部控制制度完善，则可免于披露。自此，内部控制信息成为企业信息披露的一部分。尽管在这一系列规则中，并未强制要求上市公司在所有情况下都披露内部控制信息，但内部控制信息在企业信息披露中已不再仅是会计监督和会计控制的信息，而是成为与企业风险管理完善程度相关的一个标志。同年1月，证监会发布了《证券公司内部控制指引》，要求所有的证券公司建立和完善内部控制机制和内部控制制度。该指引是对《加强金融机构内部控制的指导原则》的补充，对证券公司建立健全内部控制制度有着重大意义。

2001年1月，替代1996年《中华人民共和国国家审计基本准则》的新审计基本准则发布实施。新审计基本准则从原审计基本准则要求注册会计师从制度基础审计的角度审查企业的内部控制、对企业内部控制进行评价发展到对内部控制制度进行测试，外部审计对企业内部控制制度的测试成为审计的“作业准则”。

2001年6月，财政部发布了《内部会计控制规范——基本规范（试行）》和《内部会计控制规范——货币资金（试行）》，随后又相继发布了《内部会计控制规范——采购与付款（试行）》《内部会计控制规范——销售与收款（试行）》《内部会计控制规范——担保（征求意见稿）》《内部会计控制规范——工程项目（试行）》。这些规范明确了单位建立和完善内部会计控制体系的基本框架和要求，以及货币资金、采购与付款、销售与收款和工程项目等业务层面内部控制的要求。内部会计控制的一系列试行规范虽然以会计控制规范的形式出台，但是其涉及的内容已不仅仅局限在会计领域，而是对采购、生产、销售、投资等诸多方面的内部控制进行了规范，为未来我国内部控制规范体系的形成提供了有益参考。

2002年2月，中国注册会计师协会发布了《内部控制审核指导意见》，该意见对内部控制审核进行了界定，并界定了被审核单位和注册会计师的责任，明确了内部控制审核业务的工作要求。

2002年9月，中国人民银行颁布了多达142条的《商业银行内部控制指引》，对商业银行内部控制的各方面作出了规定，将《加强金融机构内部控制的指导原则》中的内部控制原则加以简化。该指引替代了《加强金融机构内部控制的指导原则》，成为商业银行制定内部控制制度的“基本手册”。

2002年12月，证监会发布了《证券投资基金管理公司内部控制指导意见》，该意见对证券投资基金管理公司建立科学合理、控制严密、运行高效的内部控制体系，制定完善的内部控制制度提供了指导，保证了证券投资基金管理公司诚信、合法、有效地经营，保障了大多数基金持有人的利益。

1.2.2　建设阶段

2002年7月，美国国会出台了《萨班斯法案》。该法案中的404条款明确规定了管理层应承担设立并维持一个专门的内部控制机构的职责，并且要求上市公司必须在年度报告中提供内部控制报告和内部控制评价报告，上市公司管理层和注册会计师都需要评价企业的内部控制系统，注册会计师还要对公司管理层的评估过程及其内部控制系统评估结论进行相应的检查并出具正式意见。《萨班斯法案》不仅加强了对美国资本市场的金融、会计、审计方面的监管，开启了在美上市公司全面建设内部控制的新阶段；同时，它也带动了世界各国的内部控制制度的发展。

我国积极引进和借鉴《萨班斯法案》和1992年COSO发布的《内部控制——整合框架》、2004年COSO发布的《企业风险管理——整合框架》，并在此带动下明显加快了内部控制制度建设的步伐，密集出台了相关的法规和文件，并且逐渐形成了内部控制制度的组织配套和保障机制。

2004年年底和2005年6月，国务院领导就强化我国企业内部控制问题作出重要批示，要求“由财政部牵头，联合有关部委，积极研究制定一套完整公认的企业内部控制指引”。

2005年10月，国务院批转了证监会发布的《关于提高上市公司质量的意见》，要求上市公司对内部控制制度的完整性、合理性及其实施的有效性进行定期检查和评估，同时要通过外部审计对公司的内部控制制度以及公司的自我评估报告进行核实评价，并披露相关信息。

2006年1月，保监会发布了《寿险公司内部控制评价办法（试行）》，并在附件中提供了《寿险公司内部控制评估表——法人机构》和《寿险公司内部控制评估表——分支机构》。此评价办法对寿险公司的内部控制评价作出了详尽的要求，并对内部控制缺陷作出了定义。

2006年2月，财政部发布了《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》，对内部控制的内涵和要素作出了详细的说明。

2006年6月，上海证券交易所发布了《上海证券交易所上市公司内部控制指引》；同年9月，深圳证券交易所也发布了《深圳证券交易所上市公司内部控制指引》。两项指引对上市公司内部控制的框架、专项风险内部控制、内部控制工作的检查监督、信息披露等多项内容进行了界定，对上市公司保证企业内部控制制度的完整性、合理性和有效性进行了规定。

2006年6月，国资委发布了《中央企业全面风险管理指引》，对中央企业开展全面风险管理的目标、原则、流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进，以及风险管理文化和风险管理信息系统等方面进行指导，并就企业对此指引的实施提出了明确要求。

2006年7月，受国务院委托，由财政部牵头，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了具有广泛代表性的企业内部控制标准委员会，秘书处设在财政部会计司，由时任财政部副部长王军任委员会主席，时任财政部会计司司长刘玉廷任秘书长。该委员会旨在研究制定“具有统一性、公认性和科学性的企业内部控制规范体系”。中国注册会计师协会也发起成立了会计师事务所内部治理指导委员会。在监管部门、大中型企业、行业组织和科研院所等机构领导和专家的积极参与和大力支持下，我国企业内部控制标准体系的机制保障和组织配套业已形成。

1.2.3　完善阶段

2008年，金融危机在全球蔓延，但我国并未因世界经济局势的动荡而放慢完善企业内部控制制度体系的步伐。

2008年5月22日，财政部会同证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》（简称“基本规范”），要求自2009年7月1日起在上市公司范围内施行，并且鼓励非上市大中型企业执行基本规范。基本规范要求：执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。基本规范既融合了国外相关内部控制制度的经验，又结合了我国的实际，具有我国自身的特色，标志着企业内部控制规范体系建设取得重大突破。

2010年4月15日，财政部会同证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》（简称“配套指引”），自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所的主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行；鼓励非上市大中型企业提前执行。《企业内部控制配套指引》连同之前发布的《企业内部控制基本规范》共同构成了我国企业内部控制规范体系。

配套指引由《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》组成。18项应用指引不仅包括有关业务活动控制的实务指南，而且增加了对内部环境、风险评估、信息与沟通、内部监督等控制要素的操作性指引，涵盖了企业的组织架构、发展战略、人力资源、社会责任、企业文化等方面的内部控制，规范了企业的资金活动、采购业务、资产管理、销售业务、工程项目、担保业务、业务外包、合同管理等具体业务中内部控制的应用，还指导了企业财务报告、内部信息传递和信息系统等方面的内部控制行为。《企业内部控制评价指引》对企业内部控制评价的内容、程序，内部控制缺陷的认定和内部控制评价报告都进行了清晰的阐述，为企业内部控制评价提供了详尽的依据。《企业内部控制审计指引》对注册会计师执行企业内部控制审计业务进行了规范，并给出了内部控制审计报告的参考格式，使我国注册会计师对企业内部控制进行审计时有章可循。

《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》的发布标志着“以规范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、层次分明、衔接有序、方法科学、体系完备”的我国企业内部控制规范体系基本建成。