（全文共2096字，预计阅读时间8分钟）

其实内部控制的发展史，远远不止这不到百年的时间，可以说源远流长。俗话说有人的地方就有江湖，那么有风险发生可能性的地方，就有内部控制的存在。比如，走楼梯有从旁边摔下去的可能，那么肯定就会加上护栏；传递信件内容可能泄露，于是最初的信件在封口处浇上朱漆并按上钦印。古代皇帝居于深宫，将帅带兵于外，皇帝要调动兵马的时候怎么保证他的命令不会被假冒篡改而真实传达给将领呢？聪明的皇帝发明了虎符，将令符一剖为二，一半交带兵将领，一半由皇帝保管，调动兵马时即使人持往兵营，两半相互吻合方可调动。“符合”一词即由此而来，意即虎符可以吻合。这可能是最早的内部控制制度，虎符之“符合”性验证也代表了内部控制基本控制活动的神髓，现代内控框架下的种种控制活动无非是虎符的变化罢了。或有人不以为然，慢慢道来。

企业经营，业务运转，必然有其流程，业务的“水流”流经不同的人或部门形成一个个节点（假使这个业务流有形的话，它应该很像竹子），对于正常和真实的业务，节点之间所记录的业务信息应该是一致的。比如采购业务，首先询价或招标，确定供应商签订合同，然后收货、支付货款、验货入库、开具发票。那么，询价的发出和收到的报价应该具有关联性或一致性，可以验证；合同的标的与所收到的货物应该一致，收到的货物与支付的货款以及开出的发票应该一致，付款流程中批准支付的金额和实际支付的金额应该一致。凡是应该具有这种一致性和关联性的节点，就可以验证被“剖”开来的两方或多方之间信息的符合性。既然虎符分别由皇帝和将领持有，那么业务节点上需要验证这种符合性的地方也需要像两半虎符一样分开，由不同的人负责，比如批准与付款不能是同一人、采购与付款也不能是同一个，如果都是同一个人那就失去了验证的意义。这就是不相容性原则。扩而广之，企业运转的不同系统之间，也具有可以符合性验证的特性，比如业务系统和会计系统的验证，像对账、盘点等。

内部控制活动的设计，基本上都是沿着业务流程中可以进行符合性验证的节点来设计的。即便由“五要素”（内部环境、风险评估、控制活动、信息与沟通、内部监督）搭建成的现代内部控制的框架， 也是以控制活动为根骨，其余的要素主要是搭建了控制活动能够更为有效运行背景，最终还是要落实到具体的控制活动上面。

当企业内部流程产生的信息需要对外报出的时候，产生了注册会计师等中立的机构（人员），需要他们来鉴证这个内部流程所输出的结果以增加其可信度，即外部审计，因而可以将外部审计视为内部控制系统的延伸。注册会计师的执业准则首要强调一个“独立性”，要求注册会计师独立于他所要鉴证的对象，但是尴尬的是，按照全世界通行的模式，注册会计师们的费用就是从他所鉴证的对象收取的。“拿人手短，吃人嘴软”是一个亘古以来很朴素的道理，而中介服务是市场化运作的，大家都想争取这个客户，在这种情形下我们很难想象一个普通的具有人类情感的注册会计师怎么一面拿着服务费一面保持独立性，简直是强人所难。迫于法律法规和监管的威慑，大家只好尽量不要碰到悬在头上的达摩克利斯之剑罢了，君不见，那些爆雷的上市公司出事前年年披露这标准无保留意见的审计报告！或许有一种模式可以做到真正的独立，即要做鉴证的企业向一个专门的组织或基金缴纳费用，由该组织指定或竞选负责该项业务的中介机构，如此将鉴证行为与收费之间设立一道藩篱，应该要好得多。

独立董事的机制其实也与此类似，由上市公司向独立董事付费，怎么期望这位独立董事能够独立于此上市公司呢？

最后说说内控这个制度本身。内控只能在有限的程度和范围上防范风险，或者说只能在最高决策层以下的层面上防范风险，最高决策层本身的风险是很难通过一个“内控”来解决的。而且，经济学理性人的假设在资本的逐利性上面展现得淋漓尽致，当一个公司的股东整体由于逐利的特性而做出一些高风险的决策的时候，内控基本上是无能为力的。远的不说，近的如长生生物，还有波音公司在737-MAX8飞机上危险的做法，都不是哪家的内控发挥了作用的例证，似乎也没有多少由于内控而避免了最高决策层犯错的例子。而像万达和京东等大型企业的内审查出来的舞弊案，才是内控真正发挥作用的地方。

只有把内部控制体系、公司治理结构、外部的监管三者联通组成一个有机的体系，才能最大程度的规范公司的运作和防范风险。