◉内部控制指公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率、财务报告的可靠性和遵守适用的法律法规。

◉内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整；提高经营效率和效果；促进企业实现发展战略。

◉国企内控体系构建具有受政治因素影响大、风险管理难度高、责任追究力度大等特点。

◉国企应从制度、治理、执行、监督层面构建内部控制体系。

一、内部控制概述

（一）内部控制的含义

内部控制理论产生于西方，大致经历了内部牵制、内部控制、管理控制、会计控制、内部控制结构以及一体化结构五个阶段。内部控制目前被普遍接受的定义是1994年COSO委员会在《内部控制—整体框架》中提出的：公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率、财务报告的可靠性和遵守适用的法律法规。COSO委员会另外对内部控制进行深入剖析，特别指出：（1）内部控制是一个实现目标的程序及方法，而其本身并非目标。（2）内部控制只提供合理保证，而非绝对保证。（3）内部控制要由企业中各级人员实施与配合。

（二）内部控制的目标

COSO委员会提出企业内部控制的目标是：运营的效益和效率、财务报告的可靠性和遵守适用的法律法规。我国在2008年颁布的《企业内部控制基本规范》中要求企业建立内部控制体系时应符合以下目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整；提高经营效率和效果；促进企业实现发展战略。

（三）内部控制的要素

内部控制包括控制环境、风险评估、控制活动、信息与沟通和监控五大要素。（1）控制环境。控制环境决定了企业的基调，直接影响企业员工的控制意识。（2）风险评估。风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础。

（3）控制活动。控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为体现在整个企业的不同层次和不同部门中，它们包括批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

（4）信息与沟通。公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告，以助于经营和控制企业。信息系统不仅处理内部产生的信息，还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。

（5）监控。内部控制系统需要被监控，即对内部控制系统的有效性进行评估的全过程。

二、内部控制法律规范体系的演变路径

（一）发展方向上：由会计、财务内控向企业整体内控转变

1、会计、财务内控规范

1999修订的《会计法》是我国第一部明确针对企业内部会计控制的法律，是会计控制相关部门规章和行业规范的制定依据。随后为贯彻内部会计控制的实施，财政部于2001年6月颁布了《内部会计控制规范—基本规范（试行）》和《内部会计控制规范—货币资金（试行）》，此后相继颁布了采购与付款、销售与收款、工程项目、担保、对外投资等五项具体内部会计控制试行规范，该类规范以单位内部会计控制为主，同时兼顾与会计相关的其他控制，但较少涉及内部控制环境、与企业管理方面的控制。

2、企业整体内控规范

2008年和2010年，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》及配套指引，对企业各个方面的内部控制进行了详细规定，建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制，要求执行规范的上市公司和非上市大中型企业，对企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计、出具审计报告，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。

（二）发展范围上：由单一领域向各类企业转变

1、金融领域内控规范

2003年以来，国家针对风险较大的金融行业先后修订或颁布了相关法律，《银行业监督管理法》正式引入内部控制术语，其执行不利将受到监管机构的处罚。《商业银行法》明确规定：商业银行应建立、健全本行的风险管理和内部控制制度，并列举了商业银行内部控制应有的行业特殊制度。2006年颁布的《反洗钱法》则要求金融机构建立健全反洗钱内部控制制度；2014年修订的《证券法》明确了将具备完善的风险管理和内部控制制度作为证券公司设立的基本条件。

2、上市公司、国有企业内控规范

2006年，上交所与深交所先后出台证券交易所《上市公司内部控制指引》，《指引》提出了公司董事会应对公司内控制度的建立健全、有效实施和检查监督负责、内部控制自我评估报告由原来的自愿披露转变为强制性披露，并需要披露会计师事务所对内部控制自我评估报告的核实评价意见。此后在规范性文件《中国证券监督管理委员会关于提高上市公司质量的意见》与《首次公开发行股票并上市管理办法》中对上市公司完善内部控制制度提出了明确要求。

2006年国资委正式印发《中央企业全面风险管理指引》，《指引》以全面风险管理作为切入点，分别从风险管理的评估、策略、解决方案、监督改进等多个方面对中央企业开展全面风险管理工作进行了详细阐述。为推动中央企业扎实开展管理提升活动，加快构建内部控制体系，国资委、财政部于2012年发布了《关于加快构建中央企业内部控制体系有关事项的通知》，文件围绕央企内控体系，明确了进一步落实深化内部控制管理的要求。而国资委于2019发布的《关于加强中央企业内部控制体系建设与监督工作的实施意见》则将内控体系定位到中央企业实现强基固本、防范化解重大风险、推动高质量发展、培养世界一流企业的重要高度。新的文件在内控体系建设完成的前提下提出了深化以及加强的要求。

（三）实施力度上：由点到面的规范体系逐渐建立

在企业内部控制规范体系逐渐建立的过程中，相配套的法律法规也随之进行不断修订。2006年修正的《审计法》规定审计署对中央银行的财务收支、进行审计监督；对国有企业的资产、负债、损益进行审计监督；对国有资本占控股地位或者占主导地位的企业、金融机构的审计监督。2005年修订的《公司法》正式明确了董事、监事、高管对公司的忠实义务和勤勉义务，并明确了董事、高管不得从事的行为。2008年颁布的《企业国有资产法》提出国家出资企业应当依法建立和完善法人治理结构，建立健全内部监督管理和风险控制制度。2011年修订的《刑法》增加了关于董事、高管等的管理责任及追责、处罚条款。《关于加强和改进企业国有资产监督防止国有资产流失的意见》、《中央企业违规经营投资责任追究实施办法(试行)》相继对国有企业内部控制的监督和违规投资责任进行了相应规范。

三、国企内控体系构建的特点

（一）受政治因素影响大

国有企业特殊的社会主体地位决定了其既需要承担社会经济因素风险，也需要承担在生存发展过程中的政治风险。因宏观经济形势、地方政府政策影响，国有企业在经营内容、财务操作、业务流程和管控措施上都要受到相应影响。比如资产管理公司在不同的时间点所从事的工作重点会有所不同，业务领域的调整会直接造成内部控制体系进行相应变动。

（二）风险管理难度高

国有企业的生产要素受政策影响比较大，关系国计民生或具有战略意义的国有企业并非以利润最大化为首要目标，这就造成企业在资金回流、资产负债率、应收账款、资金周转率等财务方面的风险尤为突出，此种情况就要求国有企业在预算、成本控制、资金回收、运营管理等重点领域的风险控制方面加大监管措施及力度。

（三）责任追究力度大

《关于加快构建中央企业内部控制体系有关事项的通知》、《关于加强中央企业内部控制体系建设与监督工作的实施意见》以及其他相关法律法规均重点规定了内部控制重大缺陷的责任追究制度。该项制度不仅明确了企业主要领导人员为内部控制的主要责任人，并在执行内部控制活动过程中将内控效果与履职评估或绩效考核相结合，逐级落实内部控制组织领导责任。

四、国企内控体系构建法律规范的具体安排

（一）制度层面：将法律法规等外部监管要求转化为企业内部规章制度

1、综合管理中的制度建设

综合管理层面的制度主要包括员工工作行为规范、工作会议管理制度、薪酬检查督导制度、董事会议事规则、党总支委员会议事规则、薪酬管理制度、安全管理制度、学习培训制度、新入职员工培养管理办法、业务主管评聘管理办法、招待管理办法等。

2、业务流程和重点领域中的制度建设

业务流程方面应加强重点流程与特殊业务的内部控制，着力抓好资金、投资、采购、基建、销售、产权管理、人力资源管理、质量管理、安全生产等关键业务流程控制，加强境外资产、金融及其衍生业务、重大经济合同和节能减排等特殊业务的内部控制建设，建立重大风险预警与应急机制，制订和落实应急预案。结合内部控制目标，梳理完善管理制度体系，并根据业务发展要求和外部经营环境变化，持续检验和评估管理制度的有效性，建立动态调整与改进机制，防止出现制度缺失和流程缺陷。

在具体制度层面的体现主要包括采购业务流程、结算业务流程、合同管理办法、合同会签管理办法、借阅管理暂行规定、专用章管理办法、供应商管理办法、应收款项管理制度、关于规范职工借款的通知、催收清欠管理办法、内供物资采购管理办法、风险管控管理办法、对外拓展业务管理办法等。

3、党务管理制度

把党的领导融入公司治理的各个环节。党务管理制度主要包括组织工作管理制度、党支部组织生活细则、党费管理制度、廉政谈话制度、信访管理工作制度、政务公开制度、“三重一大”决策制度实施细则、民主接待会及民主恳谈会制度、礼品、礼金登记管理制度等。

（二）治理层面：建立规范的公司治理结构

1、“三会一层”治理架构

科学合理的公司治理结构能够发挥其固有的相互监督、相互制约、相互牵制的功能。根据《公司法》的规定，公司治理结构由股东大会、董事会、经理层和监事会组成。其中股东大会是公司的权力机构；董事会对股东大会负责，是公司的决策机构；经理层对董事会负责，是公司的经营机构；监事会是公司的监督机构，须进一步加强外派监事会建设，这样就形成一个权责明确、协调运转、有效制衡、适合于公司发展要求的治理结构。

二是要实行权责明确、治理科学、激励和约束相结合的内部治理制度，调节所有者、经营者和员工之间的关系，并根据经理层的经营绩效，建立一套行之有效的激励机制，同时还要通过产品市场、资本市场及经理人员市场，建立起相配套的经理约束机制。只有建立起合理的激励与约束机制，使经理人员既享有充分的经营治理权，又能使其尽职尽责地履行对委托人的义务，才能实现企业经济利益的最大化。

由于我国国有企业大多具有国有制企业的性质，一般公司的股东大会职权由国有企业的国有资产监督部门负责。因此，国有企业必须合理配置监事会的工作职责与人员设置，在完善组织结构的过程中，国有企业应合理规划公司董事会和管理层的职权范围，合理选派有能力的人员，避免企业管理者出现权力集中的现象。

2、党组织

把党的领导融入公司治理的各个环节，把企业的党组织内嵌到公司治理的结构之中，明确和落实党组织在公司法人治理结构中的法定地位，发挥国有企业党组织的领导核心和政治核心作用。其优势在于党组织是全民股东的利益代表，党组织融入公司治理能够规范治理结构，完善治理体系；党组织具有强劲的管控能力和执行力，党组织融入公司治理能够提升公司治理能力；党组织能够紧密结合党的路线方针政策，把方向、管大局、保落实，助推国有企业做强做优做大。

（三）执行层面：落实内部控制执行责任制

内部控制重在有效执行，部分国企的内部控制制度并不是根据企业的实际情况制定，而是为了响应监督管理机构的要求，其结果是脱离了现实需求的制度就失去了执行的基础。另外如果企业按照实际需求制定了相应的制度，但不对企业内部控制制度进行检查、考核，内部控制制度就会流于形式、纸上谈兵，管理措施就不能落到实处。所以在制定企业内部控制有关规定时，要明确企业领导者应负的责任并将责任按照层级进行有效分解，这对于推动国企内控制度建设的健康发展十分重要。

建立主要负责人承诺制，有利于明确企业主要负责人对内部控制有效执行负总责，带头执行内部控制，不超越内部控制做决策。逐级进行责任分解，将内部控制执行与管理权限配置、岗位责任落实有机结合，确保每个岗位员工熟知本岗位权限和职责。在此基础上建立重大风险信息沟通与报告路径、责任与处理机制，确保内部控制重大风险信息顺畅沟通和及时应对。另外，还需加强内部控制日常监督检查，加强对同级部门和各级子企业内部控制执行有效性的日常监督检查，确保内部控制有效执行。

（四）监督层面：建立内部控制重大缺陷追究制度

在《关于加快构建中央企业内部控制体系有关事项的通知》中提出要建立内部控制重大缺陷追究制度，内部控制评价和审计结果要与履职评估或绩效考核相结合，逐级落实内部控制组织领导责任。对于因内部控制缺陷造成资产损失的，按照《中央企业资产损失责任追究暂行办法》（国资委令第20号）的有关规定，追究相关责任人的责任；对于在监督检查中发现的重大缺陷，企业在自我评价和审计工作中未充分揭示或未及时报告的，将追究内部控制评价部门和外部中介机构的责任。

《关于加强中央企业内部控制体系建设与监督工作的实施意见》第3条提出将违规经营投资责任追究内容纳入企业内部管理制度中，强化制度执行刚性约束。第16条提出要及时发现并移交违规违纪违法经营投资问题线索，强化监督警示震慑作用。对中央企业存在重大风险隐患、内控缺陷和合规管理等问题失察，或虽发现但没有及时报告、处理，造成重大资产损失或其他严重不良后果的，要严肃追究企业集团的管控责任；对各级子企业未按规定履行内控体系建设职责、未执行或执行不力，以及瞒报、漏报、谎报或迟报重大风险及内控缺陷事件的，坚决追责问责，层层落实内控体系监督责任，有效防止国有资产流失。