2004年，中国首批在美上市公司按塞班斯法案条款运作以来，引发了中国企业内部控制高潮，十七年过去，中国企业在内控运行过程中，问题任层出不穷，我总结了过去十多年中国企业在内部控制工作中取得的成绩、面临的危机和挑战，并对中国经济体制下企业内控有效性进行探索，旨在从以下方面解读内控工作面临的危机和挑战，以及未来内控工作如何破局和变革的方法和途径：

内控1.0时代：内控发展历程和典型特征

当前企业面临的危机与困惑

内控2.0时代：如何从创新推动、资源整合、系统监督三大领域实现变革，释放价值。

我希望借此文章能给内审同仁们在未来进一步提升内部控制的价值和效益提供借鉴和启发。

从2004年中国境外上市公司基于塞班斯法案启动内控建设，到2021年，内部控制在中国企业已经走过来十七年光阴。十七年里中国的内控系统经历了从无到有从起步到相对成熟，如果说过去十多年是中国企业的“内控1.0时代”，未来中国将向着“内控2.0时代”迈进。未来我们将不再为内部控制工作的定位而困惑，而是思考内部控制如何帮助企业完善治理结构、提升管理有效性和资源配置效率，使内部控制成为企业一种真正为企业创造价值的持续改进机制。

一、内控1.0时代：从混乱到规范  

如果我们以实施内部控制的实施范围为标尺，会发现中国企业的“内控1.0时代”走过了三个阶段。

1、 启动探索：在美上市的国内公司

2002年7月26日，针对安然、世通等财务欺诈事件，美国国会出台了《塞班斯法案》，根据塞班斯法案302条款的规定, 公司的CEO和CFO负责建立，维护和评价“与财务报告相关的内部控制和程序”；根据该法案404条款的规定，还需提交一份内部控制报告，且外部审计师必须就管理层对公司财务报告内部控制的评估进行测试和评价，并出具评价报告。为满足塞班斯法案的要求，从2004年开始，以中石油、中移动、华能国际为代表的，在美国上市的国有企业纷纷聘请专业咨询机构，开启了内部控制建设和评价的有益探索；同时，伴随着互联网时代浪潮，在美国上市的搜狐，新浪，百度等互联网企业以及新东方等教育类企业也聘请专业咨询机构，开起来中国内部控制建设与评价之路。当然，这其中也包括像IBM、微软等美国上市公司的中国分支机构。

2、全面开展：国内上市公司

塞班斯法案对不同公司规定了阶梯式的实施时间表，对于在美国上市的中国公司，最早需要披露内控自评报告的时间是2006年7月15日之后第一个财务年度末。中国财政部在这个时点成立了“企业内部控制委员会”，标志中国企业内部控制规范建设正式启动。2008年5月22日，财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制规范》和2010年发布《企业内部控制配套指引》，标志着中国企业内部控制规范基本建成。

根据配套指引要求，自2011年1月1日起，首先在境内外同时上市的公司实施，并逐步推广到其他上交所和深交所的上市公司，并鼓励非上市大中企业执行。2012年，853家实施范围内的上市公司全部披露了2011年内控评价报告和内控审计报告，部份拟上市公司为了满足IPO的合规要求，更早开展了内部控制建设工作，并提交了内部控制评价报告和内部审计报告。

3.纵深推进：中央企业、民营企业及其它企业

2012年，国资委发布《关于加快中央企业内部控制体系有关事项的通知》，要求从2012年起，中央企业全面启动内部控制建设与实施工作，并在2013年5月前向国资委报送内部控制评价报告。由此内部控制进一步推向集团型中央企业。

在上市公司和中央企业实施内部控制的带动下，国内众多企业包括民营企业也开始在企业内部推行内控管理，强化管理的规范化，增强抗风险能力，促进精细化管理，伴随着市场对内部控制理解的日益深入，华为、海尔、联想、万科、双汇、三一、美的等遍布各行各业的民营企业管理层意识到内部控制的重要性，开启民营企业内部控制建设和实施。

“内控1.0时代”，伴随着国家内控立法的不断完善，企业实施范围不断扩展。我们不难发现中国企业的内部控制具备以下特征：

① 治理和管理层的内控职责

所有的企业都逐步认识 到内部控制的必要性。在企业治理层面，企业认识到内部控制是董事会及其管理层的职责，在各企业与内部控制有关的制度规章中都明确了此类职责，同时在企业开展内部控制工作时，往往领导小组成员也都是由公司董事长或者总经理来担任。在企业运营层面，负责内部控制的部门呈现出“百花齐放、百家争鸣”的特点。各类型企业选择的内部控制负责部门不仅仅有财务部、风险管理部、审计部等传统部门，也涵盖了总经理工作部、企业管理部、法律部、人力资源部等职能部门。

② 内部控制手册

“内控1.0时代”，不论是国有企业还是民营企业，甚至是外资企业，内部控制建设的成果几乎都是一本内部控制手册。在内部控制手册中，各类企业会选择遵循监管机构建议的或要求的内部控制框架，同时结合企业自身的管理框架，形成自己企业的内部控制流程框架，一般都会涵盖重要的业务和流程。具体描述控制活动时，一般从梳理各业务流程的风险开始，明确控制目标，分析提炼出针对具体风险或者控制目标的控制措施，控制措施的编写普遍遵循“5W1H”的通用原则，配合以负责的岗位职责、制度、穿行测试文档等内容。内部控制手册一般都以流程描述、控制矩阵、流程图的方式呈现，以公司董事会/总经理的名义签发。至此，内部控制手册成为了“内控1.0时代”企业内部控制体系建立的重要标志。

3.  内部控制评价

如果说内部控制手册是内部控制建设的标志，那么内部控制评价工作则意味着企业步入了内部控制体系持续运行的阶段。内部控制评价是推动整个内部控制体系成为闭环的重要手段，包含着“定期评价、揭示缺陷、整改完善”等几个重要的关键要素。

“内控1.0时代”，内部控制评价工作因为各类企业面临的监管要求不同，很多会选择不同的部门来承担内部控制评价工作。国有企业普遍根据国资委三道防线的基本要求，对内部控制建设和评价工作进行了适当分离；其他企业为了促进内部控制工作的开展，也选择内部控制建设部门来承担内部控制评价工作。

各类企业也会充分依据自身特点选择适合本企业的内部控制评价工作方式，很多企业会组织本企业成员开展评价工作，同时也有企业选择中介机构来开展评价。使用工具方面，一些企业会采用传统的评价工作底稿， 也有企业会选择调查问卷。最终评价工作会形成内部控制缺陷，推动企业进行缺陷整改和完善，进一步提升企业的基础运营管理。大多数企业管理层意识到内部控制评价是发现企业管理问题的一个好方法，会重视内部控制评价工作所发现的问题，并推动企业进行整改。

二、危机与困境    

（一）内控目标的困惑：战略定位和组织定位危机

1.    内控战略驱动力缺位

在中国现行经济体制下，大部分企业内控是政府主导下的内控，并非企业自发行为，缺乏实现战略目标和管理提升的内在诉求和本源动力。即使是民营企业，老板是内控最大的负责人，老板的重视程度直接决定内控工作的开展情况，但是老板的关注点往往是防下级，防外人，对自己则少控不防。相当多企业从满足披露需求、上级监管要求、老板的关注领域开展内控建设，没有将内控建设与企业战略有机结合起来，没有把内部控制与企业变革有机结合。    “内控战略驱动力缺位”产生的危机主要体现在两个方面：一是无法有效促成战略目标实现。企业要生存， 要发展， 要给股东创造价值， 一定要有战略，许多企业并未将内控作为促进战略实现的核心手段和方式。二是变革力度不足。内控建设必然带来组织架构、权责体系、制度体系等的变革，许多企业未按照业务流程内在规律和流程优化要求执行，未推行相应的组织变革，导致内控建设“新瓶装旧酒，换汤不换药”。过去十年，大部分企业首先关注的是怎么搭建体系和怎么开展内控评价工作，对于战略目标的实现、企业的变革需要更多的思考。

2.    被“人”随意逾越的内部控制

内部控制的要求在企业无数次被逾越，导致管理问题层出不穷。在中国传统文化影响之下，领导者的“官本位”思想严重，一些领导者利用自己在决策中的核心地位，对于内控要求视若无睹，导致了企业现有控制的失效；同时，一些部门为了追求自身的利益， 出现了团体串通舞弊的问题，更是让控制形同虚设。内部控制到底是应该管人还是应该管事？前一段时间，个别央企被曝出腐败丑闻，这些企业内控建设得非常好，甚至还是业界的标杆，但是总是频繁出事，而且不仅包括公司一把手，还有副总、总会计师等。虽然这些企业已经在海外上市，得到了外部监管机构的认可，  但是仍然发生了内部控制失效的情况，这需要我们进一步思考未来内部控制中“人”的因素。

3. 独立内控部门缺失

只有体制或公司治理真正有效，内控才能配合公司治理机制得到落实。内控做得再好， 上层架构有问题，内控也不能发挥效用，所以内控机构的定位影响内控的执行。在企业治理结构和管理架构中是否成立专门的风险内控委员会及内控部门，是中国企业过去十年来的一大困惑。很多企业没有独立内控 或风险管理部门，而是把内控工作放到审计部、财务部、企业管理部、法律事务部等不同的部门，归属较乱，这种做法削弱了内控本身的定位，严重的时候，内控人员会对其长远的职业规划产生质疑。没有专门的部门设置，也从另一方面证明了企业并未真正意识到内部控制是企业不可或缺的一个要素， 强化内部控制的职能、提高内部控制的地 位，需要切实从组织上予以保障。

（二）内控建设的困惑：内控手册更新、流程优化和信息整合的困境

1. 被遗忘的“内部控制手册”

无数企业轰轰烈烈地开展内部控制体系建设工作后， 咨询机构留下了一叠叠的控制矩阵、流程图、手册。随着企业业务的快速发展，内部控制手册被大家遗忘在企业管理的角落，失去了对业务流程进行控制的本来作用。

2. 加流程控制容易，减流程控制难

内部控制是对公司整体的把握，内部控制部门要比其他专业部门更有系统性和全面性， 但是正是由于全面的内控，也带来了致命的局限：什么都做就相当于什么都不做，什么都管就相当于什么都不管，什么都控就相当于什么都不控。内控脱离业务，被逐步虚化是当前面临的主要困境。

业务部门通过反复的自我检查，对自身流程的设计已经很清楚，因此需在有效性方面做文章，要减流程。企业的外部环境是在变化的，风险点可能已经不存在，因此相关控制也就不需要了。风险管理是根据外部环境的变化而变化的，需要根据环境变化对流程进行调整，为企业提供更多价值，但业务部门看不到流程的简化和效率的提高。

3. 内外部信息失真

不断有实践经验发现，企业运营中有效信息的流转存在着很大的问题。同级部门之间信息不能有效共享，导致各部门之间可能会重复地做一些工作；上下级之间信息不能有效传递，  为公司决策带来了风险。内部控制部门如何充分发挥自身的资源整合优势，获取来自企业全方位、各个业务环节的资源， 通过综合有效的分析，最终得到准确、全面的信息，对企业运营管理提供必要的信息支撑，是未来企业内控面临的重大挑战。

（三）内控评价的困惑：内控有效性以及监督手段的困境

1. 无法全面评价企业内控有效性

美国的内部控制评价只针对与财务报告相关的内部控制进行评价，而中国的内部控制涉及财务报告相关内控和非财务报告相关内控涵盖广，做到面面俱到是非常大的挑战，如何给出客观、公允的评价是未来中国企业内控从规范到卓越阶段值得探讨的问题。

2. 缺乏专精，整改乏力

通过内部控制的建设、运行和评价，企业开展了“自我体检”，不但识别了企业管理现状，   也有效甄别了管控薄弱、管控缺失事项。综合分析各类企业十年来内控发现的缺陷或者问题，不难发现，同一个内控缺陷出现的频率相当之高，更有甚者，几乎每年内控发现的缺陷都在重复。内控问题变成了老生常谈，内控问题整改乏力，甚至对其放任自流。

对于内控部门来说，重复出现的缺陷就是关注重点。内控应当覆盖企业所有业务和事项， 所有岗位和人， 贯穿企业的决策、执行、监督全过程，体现全面性。在全面控制的基础上，内控还要体现重要性，关注重要业务事项和高危岗位，关注高风险领域，体现关键性。内控落地的有效措施不在多，关键在于精、在于执行。如何能够把关键控制措施落实，高危岗位监督到位，将内控价值释放出来，是未来衡量企业内控监控水平的重要标志。

三、内控2.0时代：从规范到卓越      

回顾“内控1.0时代”，内控从上市公司逐步扩展到国企、民企的范畴，从乱局到规范，同时也伴随着危机和困境，从最初的火热到热情的减弱。

冷静思考过去的十六年，对于“内控2.0时代”的未来，我认为中国企业需要推动内控从规范走向卓越，走出内控发展的迷茫之地，通过内控变革化解内控危机，承担更加重要和关键的责任。

1.    推动企业战略目标的实现

随着公司面临的外部环境不断变化，  全球性“ 风险社会的到来”以及业务发展的飞速，正确的战略设定和执行尤为重要，缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势， 丧失发展机遇和动力，发展战略过于激进， 脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。未来企业很多问题并不是战略制定的问题，而是战略执行的问题。内控本身的要求以及内部控制所接触业务的全面性，使得内部控制成为保证公司战略执行力的重要手段，而内部控制部门将成为承担推动企业战略目标实现的最为合适的部门。

2.    推动企业变革和创新激情

一般企业没有管理创新的部门，内控的定位是全方面、各职能的管理，因此内控部门天然地可以帮助董事会和管理层关注企业的发展，也可以作为推进管理创新的手段。控制活动本身就是企业关键管理手段的概括总 结，内部控制评价可以有效评估企业每个关键管理手段的有效性，以内控评价带动企业的自我诊断，结合与行业标杆企业的对标， 评估企业的成长潜力，从而找到企业管理创新的着力点。内控通过体检和活力诊断的工作机制，找准企业发展的短板，借鉴先进经验，促进企业的持续创新，实现企业的自我快速提升，点燃企业的发展激情，推动企业的活力迸发。

一方面内部控制的本质是控制人，另外一方面，随着公司规模的不断扩张和组织的日益复杂， 为实现治理结构科学决策， 良性运行，组织结构清晰适当，权力和职责明确， 成立独立的内控（风险）部门尤为关键。独立的内控（风险）部门应该成为公司治理的重要职能，   应将其纳入公司的治理体系当中。董事会把企业的经营权授于管理者，管理层把日常活动授权给企业员工，这一层层的授权实际上就是代理，而这种代理需要独立的内控（风险）部门做支撑，协助董事会对人实现控制。

独立的内控（风险）部门和集团管控密不可分，一个集团很难只用一种模式，特别是现在多元化、差异化的集团内部如何管控，管控的出发点应基于内控。如果下级企业内控强，那么集团可以更多地放权；如果下级企业内控弱，那么集团管控就要加强。集团管的是底线、红线，需要把更多的经营权下放给经营单位，让他们敢于决策，贴近市场。

3.    基于风险整合的“内控手册”

公司的业务管理也是控制，业务管理很重要的内容就是计划、组织、协调、指挥、控制。“内控手册”的控制与业务部门的控制是不一样的，把内控从原来的业务管理中独立出来，肯定有它的不同，这个不同就是基于风险整合的考量。风险是不确定的，怎样用内控来控制不确定的风险，是一个矛盾的问题。风险是变化的，控制是相对稳定的。在管理里面存在多个风险，一个风险的原因是另一个风险的结果， 错综复杂，  相互交织。基于风险整合的内控应融入业务部门的日常管理中，但要注意尺度的控制和相对独立。内控人员应基于风险整合的内控手册， 承担敲边鼓的职能，发现问题就敲一下，若发现执行不好可以多敲，若执行得较好，点到为止即可，以免因为内部管控的要求影响业务正常运作的有效性。内控需要注意尺度的控制，内控过严，可能影响业务发展。

4.    基于价值整合的流程优化和效率提升

从企业组织机构日渐复杂开始，部门之间的壁垒就日益凸现，  虽然可以通过矩阵式管理、项目制管理等方式来降低这些壁垒，但是由于业务流程涉及不同专业，需要被割裂开来，需要有专门的人员从更为整体的角度来对流程进行整合和优化。内控通过协调组织跨部门的讨论、深入分析公司面临的新情况，帮助建立一种跨部门的直接帮助一把手推进综合问题解决的工作机制。内部控制通过跨部门的企业管理体检，寻找出企业管理中制度、流程不能有效落地的原因，识别业务流程之间存在的脱节环节，来促使企业更为有效地运行。

5.    基于信息整合的大数据规划

在信息高速发展的当前，能否及时掌握充分的信息，直接决定着企业的发展方向和发展质量。完全依赖于手工方式的内部控制已经较难跟上大数据时代的信息传递步伐，不能满足内外部信息质量的要求。信息传递不及时、不完整、不准确、不对等的情况比比皆是，滞后的信息、数据传输将大大制约内控的实际效果，亦会影响内控价值的展现。为此，业务信息化建设和内控信息化建设已经不能只停留于口号阶段，而应即刻提上日程进行充分规划并组织实施，  确保信息的及时、准确传递，  满足大数据时代的信息需求。

6． 到岗位的自我监督体系

内部控制不是一贯的自上而下，而应在建设至一定程度时基于风险导向自下而上地进行内控设计，开展基于岗位风险的内部控制。中国企业在进行内控建设时多采用自上而下的开展模式，充分体现了内控建设的一把手特性。但对于管控层级多、管理线条长的大型集团性企业，为了实现内部控制与企业的生产、经营的紧密关联，切实规避内控与制度“两张皮”现象，充分体现内控对企业效益提升的实效性，则需在内控建设至一定阶段时实施内部控制的岗位推送，自管理的最小单元出发，以岗位风险识别和内控建设为出发点，“自下而上”与“自上而下”相结合地进行内控体系建设，实现内控与经营管理的无缝对接。有些企业也“自下而上”从岗位出发， 建立起适合企业本身的三道防线，第一道防线是业务人员，风险管理和内控最重要的一环；第二道防线是企业的初中级管理者，对企业的文化传承起到承上启下非常重要的作用，如果他们没有做好示范作用，内控就做不好；第三道防线是企业的高级管理者以及内控评价、内部审计人员。

7.  内部控制的专精发展，推动运营提升

在经历了十年的内控探索，中国企业的内部控制建设已经具备一定的规模。在此基础上，  为进一步推动内控提高企业效率和效益，内控建设应在企业管理的重点领域做专做精，进一步深化和提升，在全面覆盖的基础上实现重点领域的重点管控。对内管理方面，紧抓重大决策、重大项目和大额资金管理三大“专精”领域；对外控制方面，深化客户管理、供应商管理和渠道管理三大“专精”领域。以六大“专精”领域为抓手，推进内控效果的最大化。

经历了“内控1.0时代”十年的摸爬滚打，中国企业付出了成长的代价，也收获了成长的喜悦。在未来的“内控2.0时代”，我认为企业需要审慎地找准内控定位，及时调整内控步伐，实现价值释放。