六个维度深度解读《2026年中央企业内部控制建设与监督工作通知》

3月13日，国务院国资委办公厅印发《2026年中央企业内部控制建设与监督工作通知》（国资厅监督〔2026〕15号）（以下简称为2026年内控通知），就全面推进适应穿透式监管需要的内控体系建设，有效提升穿透监管能力，做好2026年央企内部控制体系建设与监督工作进行了部署。
2026年内控通知是2019年101号文以来，连续7年关于央企内控体系建设与监督工作的政策文件，本次内控体系建设与监督的主基调，仍是“穿透式监管”，只不过升级为笔者认为的“更严更实的穿透式监管体系”了。
与2025年内控通知相比，2026年文件在政策延续性上做的非常好，但不再满足于提出“以穿透式监管为主线”的工作方向，而是要求系统性地构建穿透式监管体系的四梁八柱。
对于法务合规内控从业者而言，准确理解这份文件的核心要点，把握其中的新要求、新变化、新工具，是做好2026年内控风控工作的前提。
本文从六个维度，对该份文件进行深度解读。
01  顶层设计升级：从“穿透式监管”到“穿透式监管体系”
2026年内控通知显著变化之一，是将“穿透式监管体系”作为贯穿全文的一个核心概念，并赋予其完整的体系化内涵。
文件开篇即明确要求“落实穿透式监管体系在体制机制、监管系统、监督追责、制度体系等四方面建设要求”。
这四方面构成了穿透式监管体系的完整框架：体制机制解决“谁来管、怎么管”的治理问题，监管系统解决“用什么管”的技术问题，监督追责解决“管不好怎么办”的责任问题，制度体系解决“依据什么管”的规则问题。【题外话：这个框架，非常符合笔者所提出的“治理风险与合规（GRC）”的架构原理】
值得注意的是，文件首次提及《国务院国资委关于加强中央企业穿透式监管的指导意见（试行）》（国资发监督规〔2026〕2号），这是穿透式监管领域的首份专门性指导文件。
这两份文件同时出台，表明“穿透式监管”已从内控体系的一个工作主线，上升为国资监管的独立工作领域。
本维度对内控风控实务工作者的启示如下：2026年内控体系建设主线——以穿透式监管体系建设统领各项工作。内控职能部门在制定年度工作计划、配置资源、推动项目时，应围绕“穿透式监管体系建设”这一核心展开，而非将其作为众多任务中的一项。
02  治理责任压实：纳入董事会的议事日程
2026通知明确提出“董事会要将穿透式监管体系建设纳入议事日程”。这一表述与2025年的“董事会加快推进穿透式监管体系建设”形成了很明显的对比，即在治理层面董事会就“穿透式监管体系建设”必须立即启动起来。
“纳入议事日程”不会是一句空话，而是有实质的治理要求的。它代表着：一，董事会需要定期研究穿透式监管体系建设工作，而不是年底象征性听一次汇报；二，董事会需要审议穿透式监管体系建设的重大事项，包括体系建设方案、年度推进计划、重大缺陷整改等；三，董事会需要对穿透式监管体系建设成效负有责任，体系建设的质量必须纳入董事会履职评价。
文件同时要求董事会“系统评估集团公司穿透监管能力和水平，针对监管系统存在的层级壁垒、数据孤岛、监管盲区等重大缺陷，切实采取务实有效改进措施”。这进一步明确了董事会的工作抓手——先评估、后改进，评估要系统，改进要务实。
本维度对实务工作者的启示包括内控部门应当主动向董事会汇报穿透式监管体系建设的必要性、紧迫性和建设路径，推动董事会形成正式决议等。
同时，要协助董事会完成穿透监管能力的系统性评估，将评估报告作为董事会决策的依据。这项工作宜早不宜迟，因为2026年4月30日前报送的2025年度内控体系工作报告中，就需要体现相关内容。
03  技术路径明确：“四全”目标与“五自动”闭环
2026年内控通知在技术路径上的要求，比以往任何一份内控文件都更为具体、更具操作性。个人认为，这与监管部门和多数企业近一年感觉到的AI迅猛发展及呈现出的良好效果是密不可分的。
文件提出“利用2年左右时间，以‘全级次覆盖、全业务在线、全系统联通、全要素监管’为目标”，对集团公司科研生产系统、经营管理系统等进行内控缺陷评估，重点测试企业信息系统的穿透性。
这“四全”目标是穿透式监管体系建设的核心指标，也是未来2年央企内控工作的硬任务。
“四全”目标的内涵如下：
全级次覆盖：从集团总部到各级子企业，穿透所有法人层级，不留盲区；
全业务在线：所有核心业务均在线上运行，实现业务流、资金流、信息流的三流合一；
全系统联通：各业务系统、管理系统之间数据贯通，消除信息孤岛；
全要素监管：对产权、投资、财务、资金、薪酬分配、金融、采购与供应链、军品业务、合同、境外等10个重点领域实现全面监管。
通知同时还提出了“五自动”的监督闭环要求：“数据自动采集、模型自动分析、风险自动预警、核查自动派单、整改自动跟踪”。
这“五自动”构成了穿透式监管体系运行的完整链条，从数据采集到整改跟踪，实现全过程自动化、可追溯。
这是比上述所说“四全目标”还要“硬核”的要求，甚至是整个风险内控管理的理想状态，个人觉得其实现难度不可谓不小。
本维度对实务工作者的启示如下：内控部门应以“四全”为目标，对现有信息系统进行全面诊断，识别数据采集、横向关联、纵向贯通方面的短板和堵点。同时，以“五自动”为方向，设计具体的业务流程和操作规范，推动和完善风险从发现到处置再到整改销号的全过程闭环管理。
04  工具方法升级：内控监管规则模型与风险“全息画像”
2026年内控通知引入了一系列新的工具方法（甚至是新概念新提法），其中最为值得关注的是“内控监管规则模型”和风险“全息画像”。
文件要求“系统开展内控监管规则模型研究设计和开发工作，全面梳理并细化业务风险场景、违规情形和分级预警阈值”。这意味着，传统的制度条款，应当转化为可计算、可执行的规则模型。
例如，不能仅规定“加强预算执行监督”，而要明确“预算执行偏差超过5%自动触发预警，偏差超过10%自动派单至上一级管理层核查”。
这个理念和提法，虽然一直在风险预警管理系统中有所涉及，但一直被认为是相当前沿和理想的“技术”。像这样明确地被正式文件所要求，可以说是不多见的。
因为这个不仅是管理的方法或管理的技术问题，而是真正的质的升级，达到了本人一直在提倡和探索的“法律+管理+AI”的方法论及工具运用之地步。
风险“全息画像”则是本次通知另一个重要的新提法。
文件要求“常态化筛查形成问题台账和风险‘全息画像’”，并“建立健全标准化、可追溯的自动化分级派单督办机制”。
这个“全息画像”不是过去简单的风险清单，而是整合了财务数据、业务数据、历史风险事件、外部信息等多源数据，形成的对企业风险全貌的立体化刻画。它能够实现风险从“模糊”到“精准”、从“抽样”到“全量”、从“静态”到“动态”的跃升。
根据个人对“全息画像”这个概念的理解，我更愿意相信其是最近软件与咨询行业都在热议的Plantir本体论的另一种提法，至少在方法论和理念上是非常接近的。
关于这部分，本人之前写过《Palantir、本体论与穿透式监管》一文，进行了一些初步的介绍，后面我们再继续深化。
本维度对实务工作者的启示：内控部门需要会同业务部门、信息化部门，对10个重点领域进行逐一梳理，将制度要求、控制措施、风险阈值转化为可计算、可执行的规则模型。同时，建立问题台账和风险画像的常态化更新机制，确保其动态反映企业风险状况。
05  监督评价强化：评价等级与问责机制的刚性挂钩
如本人在《更严更实的“穿透式监管”》一文提到的“四更”，2026年内控通知在监督方面的要求，体现了“更重”的问责导向。
文件明确要求“按照‘控制有效、控制较好、控制较弱、控制失效’确定评价等级，作为资源配置、经营授权、业绩考核、干部任免、奖惩考核等重要参考依据”。这一规定将内控评价结果与企业的核心管理手段直接挂钩，使内控评价不再是“纸面文章”，而是真正影响企业决策和干部任免的“硬约束”。
文件同时提出“对一般缺陷问题精准派单、整改整治，实现‘发现一个问题、完善一批制度、防范一类风险’；对重大违规问题提级查办问责，涉嫌违纪违法问题的，移送纪检监察机构或司法机关查处”。这一要求明确了问题分类处置的原则，一般问题重在制度完善，重大问题必须提级问责。
因此，该维度对实务工作者的启示是：内控部门应主动与人力资源、战略规划、财务等部门协同，建立评价结果共享机制，确保评价等级真正进入干部考核、任免的决策视野。同时，对重大违规问题坚持原则、敢于碰硬，严格按照规定提级查办、移送问责，让内控评价真正“带电”。
06  境外监管加码：境外经营负面清单与内控风险预警专岗
尽管很多央国企的法务合规风控人员跟我表达，对境外业务的穿透式监管其实是非常有难度的。的确是这样的。但2026年通知对境外业务的内控监管，仍提出了更高要求，这是满足“全覆盖”监管思路的必然体现，姑且不论难度。
文件要求“落实‘三个刚性规则’要求，对照《中央企业境外经营负面清单（2025年版）》，涵盖境外企业的人、财、项目、业务，找准境外内控关注重点”。
值得关注的是，文件提出“对资产规模大、管理链条长、监督力度弱、问题易发多发的境外企业，以及1亿美元以上大额投资项目，探索增设内控风险预警专岗”。
这是首次在央企内控文件中提出境外风险预警专岗的要求，表明国资委对境外业务风险的关注已从“体系建设”走向“岗位落实”。这是新提法，且非常具有实用价值。
第六个维度对实务工作者的启示是：境外业务较多的央企，应尽快梳理境外企业和重大投资项目的风险状况，研究设置内控风险预警专岗的可行方案。同时，对照《中央企业境外经营负面清单（2025年版）》进行全面自查，确保境外业务合规运营。
综观以上2026年通知全文，可看到这样的一个脉络：以穿透式监管体系建设为统领，以“四全”目标为指引，以“五自动”闭环为运行机制，以内控监管规则模型为工具，以评价问责为保障手段，最终实现风险防控“由人防向技防、模糊向精准、抽样向全量”的根本转变。
架构很容易建，但执行会非常难。个人感觉，对于内控风控合规从业者来说，2026年将是非常具有挑战性的一年。