内控是企业内部的控制活动。企业需要管理好自己。内控就是一套管理方法。这套方法帮助企业达成目标。企业需要保护自己的资产。企业需要保证财务报告正确。企业需要遵守法律法规。内控就是为了这些目的存在的。

人们研究内控已经很久了。早期的研究集中在财务控制。研究人员关心怎么防止员工犯错。他们关心怎么防止员工偷东西。那时侯内控主要是会计和审计人员的工作。他们设计了很多财务核对的方法。这些方法现在还在用。比如一个人管钱另一个人记账。比如定期核对银行账户。这些做法很基础但很重要。

后来企业的规模变大了。业务变得复杂了。只关心财务控制不够了。研究人员开始思考更全面的控制。上个世纪九十年代有了一个重要的框架。这个框架叫做COSO框架。这个框架提出了内控的五个部分。第一个部分是控制环境。控制环境是公司的基础。它包括公司的道德风气。它包括管理层的态度。它包括员工的诚信。控制环境好内控才能好。第二个部分是风险评估。企业必须知道自己面临什么风险。风险可能来自外部。风险可能来自内部。识别风险才能控制风险。第三个部分是控制活动。控制活动是具体的政策和程序。比如授权批准。比如实物管控。比如业绩复核。这些活动直接管理风险。第四个部分是信息与沟通。公司内部需要传递信息。员工需要知道自己的职责。管理层需要了解运营情况。信息通畅控制才有效。第五个部分是监督活动。内控需要被持续检查。需要有人看它是否有效。发现问题就要改正。这五个部分是一个整体。它们一起工作。这个框架影响很大。很多公司都按照它来建立内控。

内控和公司治理有关系。公司治理是关于公司如何被管理。董事会和管理层有责任。他们要对股东负责。好的内控是好的公司治理的一部分。董事会要监督内控的有效性。如果内控不好公司可能出问题。研究人员发现内控好的公司更少出现欺诈。投资者也更信任它们。内控影响公司的声誉。内控也影响公司的长期发展。

法律也对内控提出了要求。美国出台了萨班斯法案。这个法案要求上市公司建立有效的内控。管理层要评估内控的有效性。外部审计师要出具意见。这个法案让内控变得更重要。公司不得不认真对待内控。研究人员研究了这个法案的效果。一些研究发现它增加了公司的合规成本。另一些研究发现它提高了财务报告的质量。法律强制推行了内控标准。

信息技术的发展改变了内控。现在很多流程都在电脑里完成。内控也需要适应这种变化。信息系统本身需要控制。比如访问权限的控制。比如数据备份和恢复。信息技术也让内控更有效率。电脑可以自动进行一些检查。电脑可以生成各种报告。研究人员研究信息技术如何影响内控。他们发现技术是一把双刃剑。技术带来新的风险比如网络安全。技术也提供了新的控制手段。

内控在不同国家有不同情况。中国的企业也重视内控。中国有自己内部规范。这些规范借鉴了国际经验。也考虑了中国的实际情况。研究人员研究中国上市公司的内控。他们发现内控质量在提高。但还有一些问题。比如一些公司内控形式主义。比如一些公司执行力不够。国有企业有国有企业的特点。民营企业有民营企业的难处。研究需要结合具体的环境。

内控的研究方法很多。有的研究用案例方法。他们深入分析一个公司。看它的内控怎么运作。哪里成功哪里失败。这种研究很具体。有的研究用大样本分析。他们收集很多公司的数据。用统计方法找出规律。比如内控好的公司业绩是不是更好。这种研究看普遍情况。两种方法都有用。

内控不是一个静态的东西。它需要随着企业变化而变化。企业战略变了内控要调整。企业进了新的市场内控要跟进。外部环境变了内控也要变。比如现在强调风险管理。内控就和风险管理结合得更紧。企业要应对不确定性。内控要帮助企业适应变化。

小企业也需要内控。小企业资源少。小企业可能觉得内控太麻烦。但小企业同样有风险。小企业的内控可以简单一些。可以抓住关键环节。关键的控制不能少。研究也关注小企业的内控实践。

内控的核心是人。制度要靠人来执行。员工的素质很重要。管理层的重视很重要。如果大家都不在意再好的制度也没用。培训和教育是必要的。企业文化是根本。好的文化让内控自然运转。坏的文化让内控寸步难行。

未来内控研究还会继续。新的商业模式出现需要新的内控思考。全球化带来跨国内控挑战。可持续发展和气候变化相关风险也需要控制。内控的理论和实践会不断丰富。研究要跟上这些发展。

内控是一个实用的领域。它不是为了控制而控制。它的最终目的是帮助企业成功。帮助企业不犯大错误。帮助企业走得更稳更远。理论研究是为了指导实践。实践中的经验又反过来推动理论。这是一个不断循环的过程。文献记录了人们的思考和探索。这些文献是我们进一步研究的基础。