一、國企內控的困局

與范式轉變的必要性

當前，我國經濟已進入高質量發展新階段，防范化解重大風險對維護國家經濟安全穩定至關重要。國有企業作為國民經濟的支柱，其經營穩健性、資產安全性與風險管控能力直接關乎國家經濟安全與整體經濟健康。從企業自身發展視角看，構建實質有效的風險防控體系是提升核心競爭力和實現可持續價值創造的迫切需求。在復雜多變的市場環境中，傳統粗放式增長模式難以為繼，國有企業亟需轉向依靠創新驅動、效率提升和精細管理的集約式發展路徑。實質有效的風控體系能夠顯著降低經營不確定性，保護經營成果，優化資源配置效率，為創新轉型和長期增長創造穩定有利的環境，最終轉化為企業的可持續競爭優勢與發展動能。

然而，我國國有企業內部控制（以下簡稱內控）體系建設在制度覆蓋層面雖已取得顯著進展，但實際運行效能卻深陷“形式合規”困局。筆者基于深圳市迪博技術有限公司編制發布的《中國上市公司內部控制白皮書（2025）》，進一步對1087家國有控股上市企業內部控制情況進行分析，發現國有控股企業上市公司內控規范體系建設呈現出“形式合規”與“實質有效”顯著背離的特征，主要表現在以下三個方面。

一是內控有效性認定與公司治理合規水平相背離：樣本公司中受監管立案調查或處罰的比例為10.03%，但內控自評認定為非整體有效的公司僅0.46%，內控審計出具非標準意見的公司占比僅1.01%。二是內控有效性與實際經營成效割裂：高達99.54%的公司內控評價為整體有效，但未能實現年度經營目標的公司占比22.91%，發生投資損失的公司為21.44%。三是缺陷治理疲軟與執行失效并存：資金活動、關聯交易、財務報告等領域缺陷呈現高發、固化態勢，近50%的重大重要缺陷未得到有效整改。

這種困局本質上是內控機制與真實風險管理需求之間的結構性錯位，屬于“形式與實質脫節”，導致內控體系難以發揮實質性的風險制衡作用，極大削弱了其防護價值。主要原因在于組織架構層級復雜與信息流轉阻滯，“信息孤島”與“管理斷層”制約了集團管控的穿透力，導致風險信息在傳遞過程中衰減、扭曲，協同機制受阻，集團總部難以全面、真實掌握子企業運營狀況，監控存在盲區，管控意圖在傳導中被稀釋，風險管控難以實現真正穿透。更嚴峻的是，基于形式合規構建的內控體系在面對日益復雜的內部運營風險與外部挑戰時，其滯后性與脆弱性逐漸凸顯，尤其對跨業務、跨層級、跨周期的風險傳導及重大突發風險事件，缺乏有效的聯防聯控機制與韌性。

因此，推動國有企業內部控制體系從“形式合規”向“實質風控”轉變，不僅是響應日益嚴格的監管要求，更是契合國家戰略部署與國有企業發展內在規律的必然選擇。

二、穿透式監管理念

在國企監管中的應用深化

目前，穿透式監管已被視為破解國有企業“形式合規”困局、驅動其內控體系向“實質風控”范式轉變的核心引擎。2016年，國務院辦公廳印發的《互聯網金融風險專項整治工作實施方案》首次明確提出“穿透式”監管方法，要求“根據業務實質明確責任”。

2024年以來，國家層面及國有資產監管部門密集強調穿透式監管的重要性并推動其應用深化。2024年9月，《旗幟》刊發國務院國資委黨委署名文章《推動國資國企改革展現新氣象取得新突破》，提出“加快國資國企在線監管系統建設和實用化水平提升，對于‘三重一大’等重大事項，探索推進穿透式監管”；11月，國務院副總理張國清在地方國企改革和監管工作視頻會議上指出，要堅持問題導向，強化覆蓋全級次子企業的穿透式監管，較真碰硬解決制約國企高質量發展的突出問題，有效防范化解風險隱患；12月，國務院國資委召開中央企業負責人會議，強調推動中國特色現代企業制度落深落實，深化企業三項制度改革，以穿透式監管為抓手完善監管體系。2025年1月，《求是》雜志刊發國務院國資委黨委文章《進一步深化國資國企改革 為中國式現代化提供堅實戰略支撐》，提出“在‘三重一大’等重點領域探索推進穿透式監管”；同月，國資委黨委書記、主任張玉卓在調研時強調“切實加強全級次穿透式監管，不斷提升集團管控能力和管理運營水平”；2月，國務院國資委召開地方國資委負責人會議，要求加強對重點領域、重點問題的監管，探索實施穿透式監管，努力做到向下看清各級、一級管住一級，不斷提升國資監督有效性；3月，國務院國資委黨委在《求是》雜志發文《堅定不移做強做優做大國有資本和國有企業》，提出“推動完善監督體系，探索推進智能化穿透式監管，實現‘放得活’與‘管得住’有機統一”。

一系列政策動向標志著國有企業監管邏輯正經歷從側重“形式合規”向強調“實質管控”的深刻轉變，對國有企業內控體系的建設標準與運行效能提出了新的更高要求。

三、穿透式監管的核心內涵、

要素與運行機制

（一）穿透式監管的核心內涵

穿透式監管的核心訴求在于克服傳統監管的表層化、碎片化和滯后性弊端，其本質內涵可凝練為四個關鍵原則：真實、透明、穿透和及時。

真實性是穿透式監管的基石，要求任何監管判斷和決策都必須建立在真實信息的基礎之上。監管者與被監管單位要杜絕虛假記載、誤導性陳述和重大遺漏，確保信息真實可靠。監管者需穿透復雜的報表結構和組織形式，驗證底層數據的準確性、交易背景的真實性及風險狀況的客觀性。

透明性強調信息的充分性、無隱藏性和可理解性，是消除監管盲區、遏制暗箱操作、提升市場信心的關鍵。透明性要求企業要打破信息壁壘，確保關鍵信息能夠清晰、完整、及時地呈現給監管者，并在必要時向市場進行適當披露。

穿透性是穿透式監管最具標志性的特征和核心手段，堅持“實質重于形式”的審查標準是實現穿透的關鍵。穿透性要求監管者和企業風險管理者能夠突破復雜的組織架構層級、嵌套的交易結構以及金融創新的表象迷霧，直抵經濟活動的實質。其核心是鎖定最終的風險承擔者與受益人，看清底層資產的真實狀況與風險屬性，識別風險的關鍵節點與傳導路徑。

及時性強調風險識別、信息獲取和監管響應的速度與前瞻性。及時性要求企業需建立實時或準實時的信息獲取與風險監測機制，動態跟蹤市場變化、業務發展和風險演化趨勢。將監管干預和風險應對的關口前移，有效彌補傳統監管模式的滯后性缺陷。

穿透式監管要求監管主體和企業風險管理主體要突破多重信息與結構障礙，直達經濟活動的核心實質。其運作邏輯強調“實質重于形式”，核心是通過獲取真實、全面、動態的信息流，精準把握風險本質，實現源頭治理，填補監管“真空”，有效遏制風險的隱匿與擴散。

（二）穿透式監管的核心要素與運作機制

穿透式監管并非一個模糊的概念集合，而是由一系列相互關聯、協同作用的核心要素構成，并通過特定的運作機制實現監管意圖。

1.對象穿透：穿透法人層級，直達最終受益人、底層資產與核心業務。

穿透式監管的首要特征是對象穿透，旨在克服傳統監管存在的“盲區”問題。要求監管者及企業內控主體穿透法人面紗、復雜的投資鏈條和關聯關系網絡，精準鎖定經濟活動的最終受益人、資金流向的最終承擔者、投資項目的底層資產以及業務運營的核心實質。例如，對于國企集團通過多層特殊目的載體進行的投資或融資活動，必須追蹤至最終資金使用方和資產的實際狀況；對于關聯方交易，需深入識別其商業合理性、定價公允性，而非僅停留在形式合規性審查層面。企業穿透式監管的有效運作高度依賴于強大的信息收集與驗證能力，以及相應的技術手段和制度安排，最終目標是準確追溯風險責任的源頭，防止風險被隱匿或被不當轉嫁。

2.信息穿透：打破數據壁壘，實現全鏈條、全流程、實時動態信息獲取與驗證。

信息穿透是穿透式監管有效運行的“生命線”。傳統內控與監管常受困于“信息孤島”以及數據的碎片化、滯后性。信息穿透致力于打破部門、層級、系統之間的數據壁壘，構建覆蓋企業全鏈條、全流程、實時動態的信息獲取、整合、驗證與共享體系，其核心要求是信息的真實性、完整性、及時性與可追溯性。在運作機制上，一方面，強調數據源頭的標準化與強制報送義務，統一關鍵數據項的定義和統計口徑，要求各級主體規范、按時報送核心信息；另一方面，依托統一的信息平臺和先進的技術工具，實現跨系統、跨層級數據的自動抓取、清洗、整合與交叉驗證，最大限度減少人為干預和篡改空間。信息穿透機制不僅關注信息內容本身，更強調對信息真實性的驗證，通常需要結合現場檢查、非現場監測、第三方印證等多種手段進行核實，確保信息流能夠真實反映業務本質和風險狀況，為監管決策和風險管理提供堅實可靠的數據基石。

3.風險穿透：識別、計量與監控復雜嵌套結構下的真實風險傳導路徑。

穿透式監管的第三個核心要素聚焦于風險穿透，目標是解決風險在復雜的組織結構或業務組合中被掩蓋、扭曲或延遲暴露的問題。風險穿透要求超越對單一風險或表層風險的評估，深入分析風險的真實性質、實際敞口、內在驅動因素，以及在多層級、多業務線、跨周期環境下的傳導路徑與疊加效應。具體包括識別復雜金融工具或業務組合內部的風險分布與關聯性，評估集團內風險轉移的可能性與潛在影響，量化風險事件可能引發的直接損失與連鎖反應（如聲譽風險、流動性風險）。在運作機制上，依賴先進的風險計量模型（如壓力測試、情景分析）、風險圖譜技術以及集團層面的風險聚合與集中度管理能力。要求建立能夠穿透組織結構、有效捕捉風險關聯性的分析框架，對風險進行穿透式的計量、監測和預警，揭示實質性的風險隱患，最終實現對核心風險的精準定位與動態管理。

4.責任穿透：明確并壓實各級主體的風險管理責任。

穿透式監管效力的最終保障在于責任穿透，這是確保各項穿透要求落地的關鍵環節。責任穿透旨在解決大型組織中常見的責任虛化、模糊不清或逐層遞減問題，要求清晰界定并層層壓實風險管理的主體責任，使責任能夠直達最終承擔者。具體包括明確國企集團母公司對全集團風險管理和內控有效性的最終責任；強化董事會及其專門委員會的風險治理和監督職責；清晰界定高級管理層的執行責任；要求各級子公司、業務單元負責人對其管轄范圍內的風險承擔直接管理責任。在運作機制上，主要通過建立責任清單、履職評價、失職問責等制度，并將評價結果與績效考核、薪酬激勵、職務晉升等強掛鉤來實現。其核心是強調“權責對等”，明確責任邊界和追究路徑。發生風險事件或內控失效時，能夠精準追溯責任主體，避免責任消散于組織層級之中，形成強大的威懾力，驅動各級主體切實履行風險管理和內控職責。

四、穿透式監管

對國企內控體系的重構邏輯

（一）目標重構：從滿足監管檢查到主動管理實質風險、創造價值

穿透式監管的引入，并非對國有企業現有內控體系進行簡單的修補或局部強化，而是觸發深層次、系統性的范式重構。其核心邏輯在于穿透式監管理念、要素與機制深刻沖擊并重塑了傳統內控體系的底層設計原則與運行范式，驅動內控體系在多個維度發生根本性轉變。這種重構首先體現在目標重構上。傳統內控目標側重滿足外部監管合規要求和審計檢查，呈現顯著的“合規導向”，其有效性往往以制度文本的完備性和程序執行的符合性為主要衡量標準。穿透式監管則推動內控目標實現躍升：從被動滿足合規要求轉向主動識別、評估和管理實質風險，并將風險管理深度嵌入企業的戰略決策與價值創造過程。這使內控的職能從“成本中心”或“合規負擔”轉變為保障戰略落地、優化資源配置、提升運營效率、維護資產安全，進而成為驅動企業價值創造的戰略性工具和價值賦能者。相應地，內控有效性的衡量標準也從“有無違規”轉向“風險的可控性”及其“對企業戰略實施和價值創造的支撐性”。

（二）邊界重構：從關注單體企業表層到覆蓋全集團、全級次、全生態鏈實質

與目標躍升相伴的是內控邊界重構。在層級復雜、業務多元的國企集團中，傳統內控的關注點往往局限于單體法人企業或特定業務流程的表層合規，缺乏對集團內部跨法人、跨層級、跨地域風險關聯與傳導的有效監控，對外部生態鏈關鍵節點的風險聯動管理也明顯不足，容易形成“管控孤島”。穿透式監管打破了這種狹隘的管控邊界，要求內控體系進行全面擴展。縱向上，從母公司穿透至各級子公司、分公司直至項目公司或最小業務單元，實現“全級次”管理；橫向上，覆蓋所有業務板塊、職能部門和關鍵業務流程，并關注不同業務間風險的交叉傳染；深度上，直達最終受益人、底層資產質量、核心交易對手方狀況及業務的真實經濟實質；范圍上，進一步延伸至生態鏈關鍵節點（如重要供應商、大客戶、合作伙伴），構建覆蓋全價值鏈的風險聯防聯控網絡。這種全方位的邊界重構確保內控體系能夠有效捕捉系統性風險，實現對國有資本運營全鏈條風險狀況的有效監控。

（三）動力重構：外部監管壓力內化為持續改進的內生動力

更深層次的重構是內控體系建設和運行的動力重構，即內生驅動力的根本性轉變。傳統內控體系高度依賴外部監管壓力驅動，呈現“要我控”的被動特征，容易導致運動式整改或形式化應對，難以形成長效運行機制。穿透式監管通過其常態化、深入化、精準化的監管方式，將外部監管壓力有效內化為企業強化內控體系、提升風險管理水平的內生需求和持續改進動力。企業需深刻認識到，有效滿足穿透式監管要求已超越合規范疇，成為關乎企業生存發展、市場信譽、治理評價的核心能力。這種內化過程促使企業從“被動合規”轉向“主動風控”，將提升內控有效性和風險管理能力視為內在發展要求，驅動內控體系實現從“外部驅動型”向“自我驅動型”轉變，從而激發企業持續優化內控、提升風控效能的內生動力。

（四）能力重構：對信息科技、數據分析、專業判斷提出更高要求

穿透式監管對支撐內控體系運行的基礎能力提出了革命性要求，驅動能力重構。傳統內控模式對人員技能、技術手段和管理精細度的要求相對有限。而要實現穿透式監管所要求的對象穿透、信息穿透、風險穿透和責任穿透，企業必須具備更高階的能力體系。在信息科技能力方面，需要構建強大的大數據平臺以支撐海量異構數據的采集、處理與分析，廣泛應用人工智能進行風險智能識別與預測，利用區塊鏈技術保障數據真實性與可追溯性；在數據分析能力方面，需培養能夠運用先進模型穿透復雜結構、精準量化風險敞口、提供前瞻性風險洞察的專業分析人才；在專業判斷能力方面，要求風控人員、內審人員乃至業務人員具備穿透表象、把握業務實質和風險邏輯的專業素養與深刻洞察力，作出審慎的風險管理決策；在組織協同能力方面，需打破部門壁壘，建立跨風控、合規、審計、財務、業務等多部門的常態化協同機制，確保穿透式監管要求在各級組織、各業務流程中有效落地。這種全方位的能力躍升是穿透式內控體系得以高效運轉的堅實底座。

五、穿透式監管

在國企關鍵風險領域的應用

穿透式監管的真正價值在于能夠深入企業運營的核心領域，有針對性地強化對關鍵風險節點的內部控制，將“穿透”的要求轉化為具體的管控實踐，從而實質性地提升風險防控效能。

（一）股權與投資穿透：嚴控隱形股東、關聯交易、非主業投資風險

在股權管理與投資活動領域，傳統內控往往聚焦于投資決策程序的合規性及本級財務報表的反映，難以有效應對復雜股權結構背后隱匿的風險。穿透式監管要求內控體系實現股權穿透與投資穿透，即穿透多層法人架構、代持安排或名義持股，精準識別并持續監控投資的最終受益人及其背景、動機與關聯關系，防范利益輸送、違規代持等風險；穿透至投資項目底層資產的實際質量、真實運營狀況、現金流生成能力及核心風險點，審慎評估其商業邏輯的合理性與可持續性。對于非主業、境外或高風險領域的投資，更需強化穿透分析，嚴格審查其與集團戰略的契合度及風險回報的平衡性。內控機制需嵌入投資全生命周期的穿透式跟蹤監控與后評價，及時識別底層項目風險異動并采取干預措施，嚴控國有資產流失與投資失效風險。

（二）資金與融資穿透：監控真實流向，防范債務風險、影子銀行風險

在資金管理與融資活動領域，傳統內控對資金真實流向的監控有限，對集團內資金調劑、對外擔保等復雜情況缺乏深度把握。穿透式監管在此領域的核心應用是資金穿透與融資穿透。內控體系必須能夠穿透各類賬戶和交易通道，有效追蹤資金的最終流向與實際用途，確保資金按規定用途使用，防止挪用或違規占用。針對融資活動，則需穿透復雜的交易結構和通道，識別真實的融資成本、期限結構、增信措施以及最終的風險承擔主體。內控體系需強化對融資合同、擔保合同等法律文件的穿透式審核與持續監控，特別關注可能隱藏的“影子銀行”風險或監管套利行為。通過建立集團統一的資金流監測平臺和全口徑融資臺賬，同步穿透資金流與信息流，實現對償債壓力、流動性風險、融資集中度等問題的有效預警，筑牢資金安全防火墻。

（三）業務與交易穿透：識別業務實質，防范合規風險、操作風險

在日常業務運營與交易執行領域，形式合規的內控常常僅滿足于流程節點的簽批完整，忽視對交易經濟實質和真實風險的深入探究。穿透式監管在此領域的應用聚焦于業務穿透與交易穿透，要求內控超越表面的單據審核，深入分析交易的商業邏輯合理性、定價公允性以及交易對手方的真實狀況與信用風險。對于重大采購、銷售合同、工程承包等關鍵交易，內控需穿透評估合同關鍵條款的公平性與風險分配、驗證成本構成的真實性、監控交易對手方的履約能力并排查潛在的非公允關聯關系。對于關聯交易，必須執行更嚴格的穿透式審查，確保其商業必要性、定價公允性及信息披露的充分性與透明度，防止利益輸送或業績粉飾。此外，需高度關注關鍵業務環節的操作風險點，通過穿透式數據分析與現場核查相結合的方式，驗證控制措施在業務末端的實際落實情況，及時發現并防控流程漏洞、操作風險或舞弊隱患，保障業務開展的合規高效與資產安全。

（四）風險聯防聯控穿透：構建跨部門、跨層級、跨業務的風險協同應對機制

穿透式監管的終極目標是構建風險聯防聯控穿透機制，以有效應對具有系統性特征的風險。傳統風險管控常因條塊分割而效能受限。穿透式監管則強力驅動內控體系打破部門、層級和業務板塊間的界限，建立高效的協同穿透與信息共享機制。這要求在內控框架中明確風險信息的上報路徑、共享規則與響應流程，確保業務前端、風險管理中臺、監督后臺之間能夠無縫銜接、聯動響應。基于穿透獲取的全局性風險信息，內控體系要促進風險管理部門發揮統籌協調作用，對識別出的重大風險或風險傳導鏈條組織跨部門聯合研判、評估并制定協同應對策略。同時，必須將識別的風險點與內控缺陷整改、責任追究機制緊密掛鉤，形成“風險識別—評估—應對—整改—問責”的穿透式閉環管理。這種機制能夠顯著提升企業應對復雜風險的敏捷性與整體有效性，是穿透式監管賦能內控體系實現實質風控范式轉變的集中體現。

穿透式監管以其強大的信息獲取能力、精準的風險識別能力和清晰的責任追溯能力，為內控體系注入了“穿透”基因：促使內控目標從滿足外部檢查轉向主動管理實質風險；推動內控邊界從單體企業表層擴展到覆蓋全集團、全級次、全生態鏈直至底層業務實質；倒逼內控機制從靜態、事后向動態、實時、協同轉變；驅動企業充分利用數字化、智能化技術手段提升內控的精準性、效率和效能。深刻理解穿透式監管對國企內控體系的深層次重構作用，是解鎖內控體系升級、筑牢風險防線的關鍵所在。

文章摘自《中國內部審計》雜志2025年第12期

作者：胡為民

單位：深圳市迪博技術有限公司

編輯：孫哲

目前190000+人已關注我們，您還等什么？