公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营

的效益和效率，财务报告的可靠性和遵守适用的法律法规。

1.COSO委员会对内部控制的定义
成立于1985年的COSO (Committee of Sponsoring Organization)委员会为全国

舞弊报告委员会提供支持。该组织包括美国会计协会(American Accounting 
Association)和美国注册会计师协会(American Institute of Certified Public 
Accountants)。现在，COSO委员会负责制订有关大型和小型企业实施内部控制系统的

 

指南。

COSO委员会指出，从风险管理的角度来看，内部控制是必要的。首先，即使实施了

优良的内部控制系统，也不一定能使一个蹩脚的管理者变得出色。此外，由于所有的内部
控制系统仍然面临发生错误或出现差错的危险，因而内部控制系统只能就企业目标的实
现提供合理保证。即使一个企业实施了内部控制，也可能由于故意串通破坏、管理层逾越
监控而失效。还有，大型或小型企业在建立内部控制系统时，均可能存在资源受限的问题。

2.中国《企业内部控制基本规范》对内部控制的定义
财政部、监事会、审计署、银监会和保监会于 2008 年 6 月联合发布的《企业内部控制

基本规范》中指出，内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实
现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报
告及相关信息真实完整，提高经营效率和结果，促进企业实现发展战略。

（二）COSO 内部控制框架的五要素

要素

内容

控制环境

控制环境包括组织人员的道德观和胜任能力；管理哲学和经营风格；

管理层分配权限和责任，组织发展员工的方式；董事会提供的关注和
方向。内部控制环境影响员工的管理意识，是其他控制要素的基础。

风险评估

风险评估是指识别和分析影响目标实现的风险，以此来确定降低和管
理此类风险的依据。它随经济、行业、监管和经营条件而不断变化，需

建立一套机制来辨认和处理相应的风险。

控制活动

控制活动是帮助执行管理层指令的政策和程序。它贯穿整个组织、各种

层次和功能，包括：（1）组织控制；（2）职责划分；（3）调节和

复核；
（4）实物控制；（5）授权和批准；（6）计算和会计；（7）人员控
制；
（8）监督及管理控制。

信息与沟通

信息系统产生各种报告，包括经营、财务、合规等方面信息，使得对经
营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于

经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理
解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控

制赋予自己的责任，同时也必须同外部团体如客户、供应商、监管机构
和股东进行有效的沟通。

监察

监察在经营过程中进行，通过对正常的管理和控制活动以及员工执行

内部控制的目标不仅是为了保证财务报告的可靠性与合规性，而且有助于提高企

业运营的效益和效率。

这五个部分包括：控制环境、风险评估、控制活动、信息与沟通以及监察。