白 华

内容提要：论及内部控制，可谓言必称COSO。但事实上，COSO内部控制系统存在根本缺陷，它并非真正的系统，而只是一套方法。按照该方法，只能提出应对风险的控制活动和监督活动，而无法使这些活动构成一个系统。扬弃COSO范式，势在必行。管控融合论认为，管理与控制融为一体，在管理中付诸实施的都是控制活动和监督活动，只有针对这些活动所构建的系统才是真正的内部控制系统。内部控制系统由决策环、环节环和活动环构成，但只有活动环是形之于外的。活动环由控制基础、控制技术、业务活动和监督活动等四个要素构成。

一、引 言

美国反虚假财务报告委员会的发起组织委员会（下称COSO）是研究内部控制的权威机构，COSO于1992年发布、2013年修订的《内部控制——整合框架》被业界奉为圭臬。于是，在内部控制研究领域似乎有一个基本约定，那就是，COSO（1992、2013）提出的内部控制系统，是研究前提，而不是研究对象。但事实上，COSO内部控制系统并非真正的系统，而只是一套方法。因此，在实践中，各类组织都无法按照COSO框架构建起内部控制系统。不少上市公司迫于监管压力，不得已依样画瓢建立起所谓的内部控制系统，但却因为难以与公司原有的内部控制系统相容，而名存实亡。因此，有必要扬弃COSO范式，构建新的内部控制系统。

本文将先指出COSO内部控制系统存在的缺陷及其根源，再提出管控融合论作为理论基础，最后重构内部控制系统。

二、COSO内部控制系统的缺陷及其根源

通过考察COSO内部控制系统各构成要素之间的相互关系，可以揭示其存在的根本缺陷，但缺陷却不仅仅在于COSO自身，而是有着深层次原因。

（一）COSO内部控制系统的缺陷

COSO（1992、2013）提出内部控制系统由五要素构成，即控制环境、风险评估、控制活动、信息与沟通、监督活动，并描述了这些要素之间的关系。

COSO（1992）指出：“控制环境提供了员工开展活动和履行控制责任的氛围。它是其他构成要素的基础。在这个环境内，管理层评估实现特定目标的风险。实施控制活动是为了有助于确保管理层应对风险的指令得以贯彻执行。同时，相关信息被获取并在组织内沟通。整个过程都受到监控①COSO.Internal Control—Integrated Framework.1992：17。。”这段话在COSO（2013）中虽没有完整的表述，但也散见于文中。

同时，COSO（1992②COSO.Internal Control—Integrated Framework.1992：18。、2013③COSO.Internal Control—Integrated Framework（Framework and Appendices）.2013：6。）均有一段大致相同的表述：“风险评估不仅仅影响控制环境和控制活动，还需要重新考虑信息与沟通或监督活动。因此，内部控制不是一个要素仅仅影响下一个要素的线性过程，它是一个各要素之间相互影响的整合过程。”

结合这两段话，一般会认为，COSO构建了一个内部控制系统，它是一个有机整体。但其实COSO只是给出了一个确定控制活动和监督活动的方法。可将这套方法的运用过程描述如下：在“控制环境”的基础上，通过“信息与沟通”和“风险评估”的多方向往复运动，来制订和实施“控制活动”及“监督活动”。

这套方法是作用于控制对象之上的，作用的结果是提出了控制活动和监督活动。如果一个组织要构建内部控制系统，那么，只能针对这些控制活动和监督活动才有可能建设和实施。

不少非上市公司在了解COSO内部控制理论之前，都已有内部控制系统在运行。尚不知有COSO，自然也不可能按照要素来建设。但是，只要一家公司因拟上市而需要按照五个要素来建设内部控制系统，马上就面临一个问题：这一系统如何与公司原有的内部控制系统相容？

构建方法和作用对象各要建成一个内部控制系统，两个内部控制系统要在一个公司并存，如果这样，内部控制如何融入企业管理之中？所以，在实践中，就出现了内部控制建设流于形式、内部控制手册束之高阁的情况。这就是COSO内部控制系统面临的困境。

（二）COSO内部控制系统存在缺陷的根本原因

面临如此困境的COSO内部控制系统之所以能在世界范围内被广泛认可，是因为该系统看似融合了决策理论学派的决策过程、管理过程学派的管理职能体系，以及迈克尔·波特的价值链，但深究起来却漏洞百出。

1.误读了决策理论学派的决策过程

COSO所述的这套方法源于决策理论学派。诺贝尔经济学奖得主赫伯特·西蒙认为“管理就是决策”④赫伯特·A·西蒙：《管理决策新科学》，李柱流、汤俊澄等译，北京：中国社会科学出版社，1982：33。。并将决策制订过程描述为“第一阶段：情报活动（探查环境，寻求要求决策的条件）。第二阶段：设计活动（创造、制订和分析可能采取的行动方案）。第三阶段：抉择活动（从可资利用的方案中选出一个特别行动方案）。第四阶段：审查活动（对过去的决策进行评价）⑤赫伯特·A·西蒙：《管理决策新科学》，李柱流、汤俊澄等译，北京：中国社会科学出版社，1982：34。。

如果将西蒙的决策制订过程与COSO的内部控制要素一一对应。那么，决策的第一阶段情报活动，就是信息与沟通；第二阶段设计活动和第三阶段抉择活动，就是风险评估和控制活动；第四阶段审查活动，就是监督活动。这一过程中虽然没有控制环境可直接对应，但其实它是包含在内的。巴纳德就指出：“管理决策的直接环境主要是组织本身的内部环境①C·I·巴纳德：《经理人员的职能》，孙耀君等译，中国社会科学出版社，1997：166。。”他认为，管理决策中是将内部环境作为战略因素（制约因素）来考虑的②C·I·巴纳德：《经理人员的职能》，孙耀君等译，中国社会科学出版社，1997：159。。可见，二者可完全对应起来。

所不同的是，西蒙认为决策是诸阶段交织的过程。他说：“一般来说，‘情报活动’先于‘设计活动’又先于抉择活动。然而阶段循环较之所提示的序列要复杂得多……。例如设计阶段可能需要新的情报活动；而任何阶段中的问题又会产生出若干次要问题，这些次要问题又有各自的情报、设计和抉择的各个阶段。也就是大圈套小圈，小圈之中还有圈③赫伯特·A·西蒙：《管理决策新科学》，李柱流、汤俊澄等译，北京：中国社会科学出版社，1982：36。。”

这段话在前引COSO（1992、2013）的一段话中似曾相识。但显然，COSO说的和做的完全不同，机械地理解管理决策过程，构建了一个本不该存在的内部控制系统。

问题是，一个明显误读管理决策过程的内部控制系统，为何被业界广泛认可？原来，COSO的理论基础并非只有决策理论学派，还有亨利·法约尔以来建立的管理过程学派。

2.囿于管理过程学派之缺陷

在COSO（1992、2013）中，隐隐约约能看到一条主线在其中发挥作用，那就是管理过程学派的管理职能体系。

COSO（1992）指出：“在组织中的各个单元或职能之内，或者跨单元或职能而实施的经营过程，都是通过计划、执行和监督等基本的管理过程来加以管理的。内部控制是这些过程的一部分，与其整合在一起。它使这些过程得以推行，并对其实施和持续的关联性进行监督。它是管理的工具，而不是管理的替代品④COSO.Internal Control—Integrated Framework.1992：14。。”

而管理过程学派正是认为管理是一个过程。亨利·法约尔于1916年在《工业管理与一般管理》中提出管理过程由计划、组织、指挥、协调、控制等职能构成，管理工作要先做计划，然后通过组织、指挥、协调加以实施，最后根据实施情况进行反馈控制⑤H·法约尔：《工业管理与一般管理》，周安华等译，北京：中国社会科学出版社，1982：119-122。。孔茨和韦里克（1993）进一步提出，管理过程由计划、组织、领导、人事和控制等五要素构成，并将其排列成一个管理职能体系，通过信息与沟通来联系内外部环境，将组织的各种投入转化为产出⑥哈罗德·孔茨，海因茨·韦里克：《管理学（第9版）》，郝国华等译，北京：经济科学出版社，1993：17。。这是以亨利·法约尔和哈罗德·孔茨为代表的管理过程学派的核心观点。对比COSO的五要素和管理过程学派的五项职能，似乎没有一一对应关系。但是，如果把管理过程学派的五项职能重新组合，将“组织、人事、领导”合称为“控制环境”，将“计划”职能中所要求的通过收集信息来识别与评估风险称为“风险评估”，将“控制”职能分解为“控制活动”和“监督活动”，再加上“信息与沟通”，则管理职能体系就翻版为COSO内部控制系统。

此外，决策理论学派也论及“计划”中需要考虑“风险评估”和“信息与沟通”。决策理论学派的代表人物詹姆斯·马奇就指出，决策者是在一些“结构性因素”的影响下，根据“风险承担倾向”，通过收集信息，而对决策中的风险进行“风险评估”，并采取行动的①詹姆斯G.马奇：《决策是如何产生的》，王元歌、章爱民译，北京：机械工业出版社，2007：57。。

可见，管理过程学派所提出的“管理职能体系”是COSO内部控制系统的直接理论来源之一。COSO可能认为，内部控制系统根植于管理过程学派的土壤之上，应万无一失，但问题就在于此。

管理过程学派没有认识到管理职能是一个有机的整体，而将组织的各项活动都分别归入这些职能之中，并将其整合成一个管理控制系统，该系统被称为管理职能体系。孔茨和韦里克（1993）认为：“主管人员的职能提供组合管理知识的一种有益框架。新设想、研究成果和技术可以很容易地按计划、组织、人事、领导和控制5项分类归纳进去②哈罗德·孔茨、海因茨·韦里克：《管理学（第9版）》，郝国华等译，北京：经济科学出版社，1993：17。。”在该体系中，管理的职能得到系统研究，而各项活动却被分割在不同管理职能中难以构成一个整体。这是一种本末倒置的做法。事实上，只有针对各项活动，如战略、采购、生产、销售等，将其排列有序，才能构成一个管理控制系统。而管理职能体系只是一套方法体系，其发挥作用的方式是将管理职能视为一个有机整体，使其共同作用于各项活动之上，作用的结果是制订出了控制活动。只有针对这些控制活动所构建的系统，才是管理中运行的真正的内部控制系统。

管理过程学派的缺陷直接影响了COSO，COSO也误以为五要素可以构成内部控制系统。

3.误解了波特的价值链

COSO（1992）试图将迈克尔·波特的“价值链”融入其内部控制系统。文中两处注明其引用了波特的观点。一处是在《框架》部分③Treadway委员会发起组织委员会：《内部控制——整合框架》，方红星译，大连：东北财经大学出版社，2008：35。；另一处是在《参考手册》部分④Treadway委员会发起组织委员会：《内部控制——整合框架》，方红星译，大连：东北财经大学出版社，2008：196。。其实，在COSO框架中融入“价值链”是一种本末倒置的做法。COSO没有认识到“价值链”才是真正的内部控制系统，而五要素构成的内部控制系统并非系统。

“价值链”是波特针对活动构建的管理控制系统。波特在《竞争优势》中指出，本书的核心是企业活动基础论。企业是一系列活动的集合。活动是竞争优势的基本单位。活动是企业日常行为的体现，是实在的，能为人所见，且得到妥善管理⑤迈克尔·波特：《竞争优势》，陈丽芳译，北京：中信出版社，2014：XI-XV。。波特的这些论述充分地表明了“企业活动基础论”所研究的是活动层面的问题。而“价值链”也并不是一个简单的链条，而是一个管理控制系统。由于波特强调了活动在战略实施中的重要性，认为活动是连接战略和实施的桥梁，所以，人们往往以为“价值链”只是一个战略实施的工具。其实“价值链”就是一个管理控制系统。波特指出：“活动和价值链说明企业作为一个相互依赖的系统，其组成部分必须保持内在一致⑥迈克尔·波特：《竞争优势》，陈丽芳译，北京：中信出版社，2014：XIII。。”“虽然价值活动是企业竞争优势的基本组成要素，但价值链并非是独立活动的集合，而是这些看似独立的活动所构成的一个系统⑦迈克尔·波特：《竞争优势》，陈丽芳译，北京：中信出版社，2014：40。。”

因此，COSO内部控制系统看似有着强大的理论支撑，但其实只是空中楼阁。

三、内部控制系统重构的理论基础

虽然COSO的内部控制系统存在根本缺陷，但其试图融合管理过程学派、决策理论学派和波特价值链等管理理论于一体的努力值得肯定和借鉴。沿着这一思路，换一个视角，从活动层面看问题，提出管控融合论，或可实现COSO的愿望。

（一）活动是管理理论的共同依归

管理理论流派和观点众多，被哈罗德·孔茨称为“管理理论的丛林”。但不管这些理论的出发点何在，其最终的归宿一定是活动。本文不拟全面审视管理理论诸流派，仅以与本论直接相关的管理过程学派、决策理论学派和波特价值链为例做出说明。

首先从管理过程学派谈起。亨利·法约尔就是在活动层面讨论管理职能的。他指出，企业的全部活动可以分为六组：技术活动、商业活动、财务活动、安全活动、会计活动和管理活动①H·法约尔：《工业管理与一般管理》，周安华等译，北京：中国社会科学出版社，1982：2。。只不过他认为：“前五组活动我们很熟悉，几句话就足以区分各组的范畴，而管理活动需要更多的说明和解释②H·法约尔：《工业管理与一般管理》，周安华等译，北京：中国社会科学出版社，1982：5。。”所以，他提出，管理的职能就是实行计划、组织、指挥、协调和控制，并逐一对这些要素进行了详细分析。但是，法约尔认为只有控制职能才是控制活动，而其余职能都只是活动，而不是控制活动。因此，他在论及政策时，就认为，组织制定的政策要在计划中得到体现③H·法约尔：《工业管理与一般管理》，周安华等译，北京：中国社会科学出版社，1982：序言。。而COSO（1992④COSO.Internal Control—Integrated Framework.1992：49。、2013⑤COSO.Internal Control—Integrated Framework（Framework and Appendices）.2013：87。）认为，政策和程序都是控制活动。需要指出的是，将控制活动泛化是COSO的贡献，其内部控制五要素均可称为控制活动。显然，法约尔狭义地理解了控制活动，认为只有对计划的执行情况进行监控的反馈控制才是控制活动。他也没有认识到，管理职能不能割裂开来运用，只能被理解为环环相扣的管理环节，并共同作用于管理对象之上。而计划环节中制定的政策，其实也是管理职能诸环节共同发挥作用的结果。这些缺陷也在孔茨和韦里克（1993）的管理职能体系中体现出来，他们在论及政策和程序时，也是在计划环节来讨论，而没有认识到其他职能要发挥作用也要体现为活动⑥哈罗德·孔茨、海因茨·韦里克：《管理学（第9版）》，郝国华等译，北京：经济科学出版社，1993：74-79。。

可见，虽然管理过程学派也是在活动层面讨论组织管理问题，但它没有认识到，管理职能体系所构成的一系列管理环节只是制订控制活动的一套方法。

再看决策理论学派。决策理论学派从重视决策过程走向重视规则。

西蒙（1982）在解释了决策过程的四个阶段后，进一步指出：“在前面的讨论中我忽略了决策制定过程的第四个阶段：即执行决策的任务阶段。我只是随便观察到，保证决策的执行仍然是决策制定活动。因为执行政策和制定更详细的政策就很难加以区分⑦赫伯特·A·西蒙：《管理决策新科学》，李柱流、汤俊澄等译，北京：中国社会科学出版社，1982：37。。”

这表明，西蒙强调的是决策过程，认为执行决策的任务阶段，仍然是在做决策。可以认为，决策过程也只是一套方法。它不仅运用于计划之中，而且运用于执行和监督之中。因此，管理的不同环节要发挥作用都离不开决策方法的运用。

但是，只讲决策方法，而不问决策后所采取的控制活动和监督活动，不能解决根本问题。

詹姆斯·马奇正是看到了这一点，开始转而研究规则。他把决策过程所针对的对象从“组织”替换为“组织的规则”。理由是：“组织遵从规则行事，组织中的许多行为由标准的操作程序所规范，这在官僚制与组织行为学研究中是最常见的论点①詹姆斯·G·马奇、约翰·P·奥尔森：《重新发现制度：政治的组织基础》，张伟译，北京：三联书店，2011：20。。”他认为，规则是人类组织的一个基本特征，由调节个体行为以及个体之间互动行为明确和隐含的标准、规章和预期所构成②詹姆斯·马奇、马丁·舒尔茨、周雪光：《规则的动态演变——成文组织规则的变化》，童根兴译.上海：上海人民出版社，2005：5。。规则“包括惯例、程序、协议、职责、策略、组织形式以及技术等……。规则还包括信念、榜样、符号、文化及知识等，这些对职责与惯例起到支持、阐释的作用③詹姆斯·G·马奇、约翰·P·奥尔森：《重新发现制度：政治的组织基础》，张伟译，北京：三联书店，2011：21。。”可以看出，所有引导组织行为的规则都被詹姆斯·马奇涵盖在内。而这些规则，无一例外都是控制活动。它们既可运用于决策制定过程，也可运用于决策后所采取的行动。

巴纳德早就指出，制订决策本身就是一种手段，他甚至认为：“目的本身可能是逻辑思考的结果，可能是某些更广大或更远期目的的一种手段④C·I·巴纳德：《经理人员的职能》，孙耀君等译，中国社会科学出版社，1997：146。。”这里的逻辑思考就是指决策过程。这就说明，巴纳德认为，不仅决策本身是手段，而且决策的前提即组织的目的也是手段。因为目的本身也是通过决策过程而产生的，阶段性目的相对于长远目的而言，也可称之为手段。而为达成目的所采取的行动，也是手段，它们同样需要运用决策过程。这样，手段和目的之间的界限并不那么清晰。受这一思想的启发，西蒙将“过程”解释为由手段和目的组成的链条。认为手段和目的具有相对性，此时为手段彼时为目的，由此构成一个手段—目的链，即一系列控制手段的集合⑤赫伯特A.西蒙：《管理行为》，詹正茂译，北京：机械工业出版社，2004：67-71。。

COSO（1992⑥COSO.Internal Control—Integrated Framework.1992：13。、2013⑦COSO.Internal Control—Integrated Framework（Framework and Appendices）.2013：1。）用“一个过程”来解释内部控制，是否源于西蒙的观点，不得而知。也有可能，COSO的“过程”是指由计划、执行、控制构成的过程，这个过程被具体化为五个要素。但“过程”一说无论来自西蒙还是来自管理过程学派，都是指控制活动。SEC（2003）的《最终规则》第Ⅱ.A.1节中指出，COSO认为内部控制由控制环境、风险评估、控制活动、信息与沟通、监督等要素构成。因此，内部控制的范围扩展到公司各个层级所有类型的政策、计划、程序、流程、系统、活动、功能、项目、举措（initiatives）和行动（endeavors）。SEC对内部控制的表述与马奇对规则的解释异曲同工，几乎所有能描述控制活动的词汇都用上了，唯恐稍有遗漏而不能达意。

由于COSO认为五要素都是控制活动，而西蒙的“过程”和马奇的“规则”也体现为一系列的控制活动，所以，殊途同归。这其实是管理过程学派的管理环节和决策理论学派的决策过程发挥作用后的必然结果，它们一定会共同指向控制活动和监督活动。

由于马奇强调的是规则的产生及其影响因素、规则的动态演变，以及规则所影响的组织行为，而不是规则本身的结构。所以，以马奇为代表的研究也没有构建起管理控制系统。

最后看波特的价值链。波特正是从活动层面来研究管理问题的，其价值链就是一个管理控制系统。但波特的价值链也存在一定的局限性。主要表现在：没有指出“企业活动基础论”的由来；没有指出活动就是控制活动和监督活动；也没有指出“价值链”是企业唯一的管理控制系统，这为COSO内部控制系统留下了存在的空间。

（二）管控融合论的提出

根据前面的分析，可将管理工作分成三个不同层面：

第一个层面是针对管理工作的对象所采取的控制活动和监督活动。

第二个层面是针对不同的管理对象开展管理工作时，都要经过的计划、组织、人事、领导、控制等不同环节。

第三个层面是不同环节的管理工作都需要经过的决策过程的几个阶段。

可以看出，决策理论学派强调的是第三个层面的问题，即管理工作中的决策方法。管理过程学派强调的是第二个层面的问题，即管理工作的环节。而波特的价值链强调的是第一个层面的问题。

如果将一个管理工作的过程分为前后两端，那么，前端是将决策方法运用于管理环节，并提出控制要求的过程，而后端是考虑这些要求，并将决策方法运用于制订和实施控制活动和监督活动的过程。这表明，管理工作的三个层面是融为一体的。在管理中我们最终所能看到的只有控制活动和监督活动。正如波特所言，活动是实在的，能为人所见①迈克尔·波特：《竞争优势》，陈丽芳译，北京：中信出版社，2014：XIII。。譬如，对于管理过程学派而言，计划环节发挥作用后，我们看到了行动方案、预算等；组织环节发挥作用后，我们看到了组织结构、职责分工等，它们都是控制活动；再如，对于决策理论学派而言，决策中和决策后采取的手段就是控制活动，对过去决策采取的审查活动就是监督。所以，研究管理环节也好，研究决策过程也罢，最终都体现为控制活动和监督活动。只有在这个层面建立起来的内部控制系统，才是真正的系统。

管控融合论认为，管理就是控制。具体可理解为：其一，控制是管理的外在表现形式。在管理中，我们能看得见的都是控制活动和监督活动。其二，管理职能和控制要素只能作为一个整体共同作用于控制对象之上，作用的结果是提出了控制活动和监督活动。其三，管理过程学派的五个管理职能中的任何一个职能要独立发挥作用，都需要包括该职能在内的五个职能共同发挥作用，最终都要体现为控制活动和监督活动。其四，COSO内部控制五要素中的任何一个要素要发挥作用，都需要包括该要素在内的五个要素共同发挥作用，最终都要体现为控制活动和监督活动。其五，在控制活动和监督活动中，要充分体现五项管理职能或五个控制要素的要求。譬如，预算管理中要有组织机构的设置、人员配备、领导实施，这既是管理职能中的组织、人事和领导的要求，也是控制要素中的控制环境的要求；预算管理中还要有预算的编制、审批、执行、调整、评价、奖惩等具体控制活动和监督活动，这既是管理职能中从计划到控制的要求，也是控制要素中的风险评估、信息与沟通、控制活动和监督活动等控制要素的要求。可谓：管中有控，控中有管；管即是控，控即是管。

四、内部控制系统的构成要素及其相互关系

“管控融合论”认为管理和控制融为一体，管理中形之于外的都是控制活动和监督活动。那么，研究控制活动和监督活动之间的关系，并使之构成一个整体，就成为“管控融合论”的内在要求。从而，管控融合论成为内部控制系统构建的理论基础。

（一）内部控制系统的框架

内部控制系统重构的思路是，综合考虑管理工作三个层面的控制要求，融管理决策过程、管理环节，以及控制活动和监督活动于一体，系统地描述在控制基础上，采取控制技术，对业务活动进行控制，并加以监督的过程。

图1 控制圈

如图1所示。内部控制系统呈现出“控制室”居中，管理环节和决策过程依次环形排列的结构，体现出管理与控制融为一体，并相互影响、和谐共生的格局。由于其形状为圆形，且三个层面的管理工作分属不同的控制圈中，大圈中有小圈，小圈体现了大圈的控制要求，故称之为“控制圈”。“控制圈”的内环形似一个小屋，故称之为“控制室”。

控制圈由环环相扣的三个“控制环”构成。这三个“控制环”分别表示了管理工作三个层面的控制要求。

1.决策环

外环为“决策环”，体现了管理工作中决策过程的要求，这是管理工作第三个层面的控制要求。“决策环”中的构成要素为三个：情报活动、设计活动和抉择活动。这些要素源于决策理论学派所提出的决策过程中的四个阶段。由于第四个阶段审查活动也要运用前三个阶段方可实施，所以不需将其列入其中。“决策环”描述的是一套决策方法。这套方法在作用于第一、二两个层面的管理工作时，是一个多方向往复运动的过程。同时，在作用于其自身时，也是一个同样的过程。譬如，情报活动中，也要有情报活动、设计活动和抉择活动共同发挥作用。可见，“决策环”是一个有机的整体，不可割裂开来分别建设。“决策环”中的各构成要素均被称为活动，这是表明各要素开展工作时，都要运用控制活动和监督活动。也就是说，形之于外的都是活动。不能认为这些活动可以构成一个控制系统，只能说这些活动共同发挥作用所提出的控制要求，会在控制活动和监督活动构成的管理控制系统中体现出来。

2.环节环

中环为“环节环”，体现了管理工作中管理环节的要求，这是管理工作第二个层面的控制要求。“环节环”中的构成要素为五个：计划、组织、人事、领导和控制。这些要素源于管理过程学派所提出的管理职能体系中的五项职能。“环节环”描述的是一系列管理环节。这些管理环节环环相扣，共同作用于管理工作的对象之上。管理对象可分为两类，一类是组织整体；一类是具体业务活动。这就是为何有公司层面控制和业务层面控制之分的原因之所在。管理诸环节针对这两个层面发挥作用时，都是作为一个整体共同发挥作用的。针对组织整体的管理工作需要五个要素，同样，针对业务层面的管理工作也需要五个要素。不能认为某几个要素是公司层面控制，而另几个要素是业务层面控制。也不能认为五个要素可以构成一个管理控制系统，只能认为这五个要素共同发挥作用后，所提出的管理要求，会在控制活动和监督活动构成的管理控制系统中体现出来。我国财政部发布的《行政事业单位内部控制规范（试行）》令人耳目一新。新意主要体现在以下几点：其一，不是按照要素，而是分两个层面来进行规范；其二，将内部控制要素作为一个整体来理解，使之针对具体的控制对象来发挥作用，而不是将要素割裂开来；其三，单位层面控制（即公司层面控制）和业务层面控制一样，都是先评估风险再制订控制活动，而不是只有业务层面控制才需如此；其四，相关规定均就两个层面控制的建设中所需开展的具体工作做出规定，而不是针对要素，指导性强；其五；为我国内部控制规范的制订探索了新的思路。

3.活动环

内环为“活动环”。体现了管理工作中控制活动和监督活动的要求，这是管理工作第一个层面的控制要求。把内环称为“活动环”是狭义的说法。其实，“决策环”和“环节环”都是“活动”，都要有活动在其中发挥作用，只不过作用的结果都体现在狭义的“活动环”上。“活动环”中的构成要素为四个：控制基础、控制技术、业务活动、监督活动。这些要素是第二、三两个层面的控制要求最终落地的具体体现。这些要素的选择参考了COSO的内部控制系统和波特的价值链。

（1）控制基础

控制基础是指内部控制系统的基础性控制要素，是其他要素的基础。包括六个构成因素：组织文化、制度、战略、组织结构、权责分配、人力资源管理。它是管理工作的不同环节作用于组织整体层面所提出的控制要求的具体体现。

组织文化是领导环节的要求。“企业文化理论之父”埃德加·沙因指出，深入地研究文化和领导力，我们会看到它们是同一枚硬币的正反两面……。领导力和文化这两个概念是交织在一起的（埃德加·沙因，2011）①埃德加·沙因：《组织文化与领导力》，马红宇、王斌等译，北京：中国人民大学出版社，2011：8-9。。可见，沙因认为“企业文化”与“领导力”难分彼此。

文化的培育离不开制度建设。组织文化是组织成员在长期的制度约束下逐渐形成的共同的价值观念、思维习惯和行为方式。所以，组织需要建立和实施一整套相互协调配合的管理制度体系。内部控制系统中所涉及的各个要素都可以通过制度来规范。而组织文化一旦形成就会对内部控制系统中的其他要素及其构成因素产生深远影响。

战略是计划环节的控制要求；组织结构和权责分配是组织环节的控制要求；人力资源管理是人事环节的控制要求。组织结构与发展战略密切相关。自小艾尔弗雷德·钱德勒提出战略决定组织结构的著名论断以来，结合战略来研究组织结构成为业界共识。而组织结构的变化又要求对权责分配做出新的安排，相应地，人员结构和人事政策也要做出调整。因此，控制基础中的六个构成因素相互影响。

（2）控制技术

控制技术是指控制活动和监督活动发挥作用所借助的具有创新性的控制方法。控制技术按照是否使用计算机技术进行控制可分为：人工控制技术和自动控制技术。

控制技术按照影响范围可分为两类。一类是影响组织整体层面控制的控制技术，如，战略管理工具（五力模型、平衡计分卡）、全面预算管理、管理信息系统等。一类是影响业务层面控制的控制技术，如，采购中使用的经济订货量模型；销售中使用的客户信用管理技术；生产中使用的工时和动作研究技术；财务管理中使用的财务共享中心、财务报表分析、本量利分析技术等。

一个组织的核心竞争力主要体现在控制技术的运用上。控制技术也是一个组织所建立的管理控制系统不同于其他组织的重要标志。

（3）业务活动

业务活动是指针对具体业务采取的控制活动。它是决策过程和管理环节共同作用于组织的具体业务所提出的控制要求的具体体现。这里的业务活动涵盖财务活动，因为财务与业务是无法绝然分离的，人们也经常将其结合起来表述，如采购与付款、销售与收款等。所以，不妨仅用业务活动来说明。业务活动类的控制活动包括：设计、采购、生产、仓储、销售、资产管理、在建工程、质量管理、财务活动等管理对象单一、可按流程处理的活动。可借鉴波特的价值链将业务与财务活动排列有序，以揭示其内在联系。

（4）监督活动

监督活动是指对内部控制系统中的其他要素进行再控制的控制要素。它是决策过程的审查阶段和管理环节中的控制环节所提出的控制要求的具体体现。

（二）内部控制系统各构成要素之间的关系

内部控制系统中各构成要素之间相互影响，并形成一个有机整体。

1.外环作用于中环和内环

作用路径有三个：其一，外环通过中环作用于内环。外环的决策过程先作用于管理环节，再将其控制要求在控制活动和监督活动中体现出来。其二，外环直接作用于内环。外环的决策过程直接作用于内环的控制活动和监督活动。在各管理环节的控制要求落地和实施的过程中，需要有决策过程。其三，外环作用于自身。外环的决策过程也可作用于其自身的不同阶段。

2.中环作用于外环和内环

作用路径有三个：其一，中环作用于外环。外环的决策过程发挥作用时，决策过程不同阶段的活动都需要通过计划、组织、人事、领导、控制等环节进行。其二，中环作用于内环。内环中的具体业务开展时，都要通过计划、组织、人事、领导、控制等环节进行。其三，中环作用于自身。中环的管理环节也可作用于自身的不同环节。如计划之中也要有计划、组织、领导、人事、控制。

3.内环是被作用的对象

内环集中体现了外环和中环的控制要求。同时也对外环和中环有反作用，要求决策方法和管理环节不断完善。

4.内环各构成要素之间的关系

“控制室”中各要素均用虚线而不是实线隔开，以表示其相互渗透、相互影响的关系。控制基础和监督活动均影响其他控制要素。控制基础、业务活动和监督活动均要运用控制技术。业务活动居于“控制室”的中间，控制基础、控制技术和监督活动共同作用于业务活动之上。以销售业务为例，业务活动要体现组织文化、发展战略的要求，要有销售管理制度，要有销售的组织结构、职责分工和人事政策；要有销售管理的技术，如预算管理、信息系统管理、客户信用管理、账龄分析等；要有对销售工作的监督。所以，内部控制系统是一个有机整体。

至此，管控融合论下的内部控制系统得以重构。