一、内部牵制（Internal Check）

虽然，内部控制的实践可以追溯到公元前3000多年前的美索不达米亚文化时期，但是在古代，社会生产力处于手工劳动阶段，技术水平低，交通、通讯不便，人与人之间社会联系的成本高、有效性低。经济组织和社会活动一般以家庭为基本单位进行，规模小，结构简单。因此，那时的管理基本上是建立在个人观察、判断和直观基础上的传统经验管理。尽管管理思想源远流长，但没有形成系统的管理理论，也不可能提出内部控制的概念。到了15世纪，资本主义得到了初步发展，复式记账法的出现推动了管理和内部控制的发展，以账目间的相互核对为主要内容、实施职能分离的内部牵制开始得到广泛的应用。

工业革命后，机器劳动取代手工劳动使社会生产力取得了飞跃发展，新的经济组织——工厂制度普遍建立，组织规模扩大，内部结构复杂。组织运作所要求的连续性、规范性、精确性使管理难度空前增大，管理成本人为上升，大量工厂的经营不善和破产倒闭使传统的经验管理遇到了挑战，改进管理、降低组织活动的成本成为当务之急。于是以小瓦特、欧文、亚当•斯密、巴贝奇等人为代表，开始真正重视组织管理理论的研究，从此生产计划、技术和劳动分工、设备的合理使用、劳资关系等成为管理者的研究专题，管理思想从经验直觉进入了较系统的研究。但在此之后，尽管工厂制度及其管理经验从英国推广到其他国家，但由于缺乏持续的技术和组织创新动力，因此管理理论没有很大的进展，这种情况直到美国铁路企业出现后才开始改变。铁路企业的组织管理创新成为后来制造业企业组织管理创新的基础。企业管理理论的进一步发展和完善形成了涉及组织结构、职责分配、业务程序、内部审计等许多方面的控制体系。但是，尽管“内部控制在这期间已在管理实践中完成了其主体内容的塑造过程，但其各项构成要素和控制措施只是散见在企业各项管理制度、惯例和实务中”，管理者并没有从理论上进行总结，也没有提出内部控制的概念。

R.H.蒙哥马利在1912年出版的《审计——理论与实践》一书中指出，所谓内部牵制是指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度。也就是一名员工与另一名员工必须是相互控制、相互稽核的。柯氏会计辞典认为内部牵制是“为提供有效的组织和经营，并防止错误和其他非法业务发生而制定的业务流程，其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行交叉检查或交叉控制”。内部牵制隐含两个假设：两个或两个以上的人或部门无意识地犯同样错误的可能性很小；两个或两个以上的人或部门有意识的串通舞弊的可能性大大低于单独一个人或部门舞弊的可能性。它要求在企业经营管理中凡涉及财产物资和货币资金的收付、结算及其登记工作，应当由两个或两个以上的员工来处理，以便彼此牵制，查错防弊。从内容上看，它主要包括四项职能：

（一）实物牵制，例如把保险柜的钥匙交给两个以上的工作人员，不同时使用两把以上的钥匙，保险柜就打不开；

（二）物理牵制，例如仓库的门不按正确程序操作就打不开，甚至会自动报警；

（三）分权牵制，例如把每项业务都分别由不同的人或部门去处理，以预防错误和舞弊的发生；

（四）簿记牵制，例如定期将明细账与总账进行核对。

在我国财政部2001年6月印发的《内部会计控制规范》中就规定了五种不相容职务：授权批准、业务经办、会计记录、财产保管、稽核，要求合理设计会计及相关工作岗位，明确职责权限，形成相互制衡机制。人们对内部牵制的理解基本上已经达成共识，在现代内部控制理论和实务中，它仍占有很基础的地位，成为内部控制设计的一个指导原则。

可以说在审计介入内部控制理论的研究之前，作为现代内部控制雏形的内部牵制制度，主要目的就是查错防弊，控制的主要形式是通过人员之间职能的牵制实现对财产物资和货币资金的控制。它是基于企业经营管理的需要，在当时生产规模较小和管理理论比较原始的条件下，通过总结以往的经验在实践的基础上逐渐形成的。所以，内部控制的最初发展并不是为审计服务的，它完全是从管理的角度出发的，而且，在这个时期，从一定意义上说，管理和控制是两个基本等效的槪念，它们在含义上是基本一致的。

二、内部控制制度（Internal Control）

随着人们逐渐认识到内部控制在企业管理中所起到的重要作用，它逐渐引起了管理人员和审计人员的关注。尽管注册会计师审计起源于16世纪的意大利，但是，直到19世纪末，审计人员在改进审计方法的探索中，才开始了对内部控制的研究。他们从本行业的需要出发，把内部控制从企业管理活动中抽象出来，赋予新的含义，并从实践上升为理论。

1934年美国《证券交易法》，首先提出了“内部会计控制”（Internal accounting control system）的概念，指出：证券发行人应设计并维护一套能为下列目的提供合理保证的内部会计控制系统：（一）交易依据管理部门的一般和特殊授权执行；（二）交易的记录必须满足GAAP或其他适当标准编制财务报表和落实资产责任的需要；（三）接触资产必须经过管理部门的一般和特殊授权；（四）按适当时间间隔，将财产的账面记录与实物资产进行对比，并对差异采取适当的补救措施。

1936年美国会计师协会在《独立注册会计师对财务报表的审查》公告中，首次提出审计师在制定审计程序时，应审查企业的内部牵制和控制，并且从财务审计的角度把内部控制定义为“保护公司现金和其他资产，检查簿记事务的准确性，而在公司内部采用的手段和方法”。

1949年美国会计师协会所属审计程序委员会在其专门报告《内部控制：协调制度的要素及其对管理和独立公共会计师的重要性》中首先对内部控制下了一个被认为比较权威的定义：“内部控制包括组织的计划和企业为了保护资产，检查会计数据的准确性和可靠性，提高经营效率，以及促使遵循既定的管理方针等所采用的所有方法和措施。”该报告是从企业经营管理的角度来定位内部控制的，内容不局限于与会计和财务部门直接有关的控制，还包括预算控制、成本控制、定期报告、统计分析、培训计划和内部审计以及技术与其他领域的经营活动，比较客观的从理论上给出了内部控制的内涵。这个定义得到了公司经理们的普遍赞同，也就是说审计界给出的内部控制定义从当时管理者的角度来说也是适用的。

众所周知，审计界提出内部控制概念的目的是为了满足财务审计的需要，与管理人员对内部控制的理解和要求是不可能一致的，因此，他们认为1949年的定义内容过于广泛，超出了审计人员评价被审计单位内部控制所应承担的职责。迫于这种压力，为了满足财务审计人员在审计中对内部控制进行检查的业务需要，AICPA所属的审计程序委员会1953年10月颁布了《审计程序说明》第19号，对内部控制定义做了正式修改，把内部控制分为会计控制和管理控制：

（一）会计控制

会计控制“由组织计划和所有保护资产、保护会计记录可靠性或与此相关的方法和程序构成。会计控制包括授权与批准制度；记账、编制财务报表、保管财务资产等职务的分离；财产的实物控制以及内部审计等控制。”

（二）管理控制

管理控制“由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接相关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的关系，包括统计分析.时动分析、经营报告、雇员培训计划和质量控制等。”1963年，审计程序委员会在《审计程序公告第33号》的结论是：独立审计师应主要检查会计控制。会计控制一般对财务记录产生直接的、重要的影响，审计人员必须对它做出评价。管理控制通常只对财务记录产生间接的影响，因此，审计人员可以不对其作评价。但是，如果审计人员认为，某些管理控制对财务记录的可靠性产生重要的影响，那么他要视情况对它们进行评价。

第一次修正后的定义，大大缩小了注册会计师的责任范围，但对于“会计控制”要“保护资产和保证财务记录可靠性”仍然会发生误解，即“决策过程中的任何程序和记录都可以包括在会计控制的保护资产概念中”。为了避免这种宽泛的解释，进一步明确注册会计师在审计中的对评价内部控制的责任，1972年美国注册会计师协会（AICPA）对会计控制又提出并通过了一个较为严格的定义：“会计控制是组织计划和所有与下面直接有关的方法和程序：1.保护资产，即在业务处理和资产处置过程中，保护资产遭过失错误、故意致错或舞弊造成的损失；2.保证对外界报告的财务资料的可靠性。

1972年，美国注册会计师协会《审计程序说明》的制定者，循着不同的路线进行研究和讨论，对管理控制和会计控制进行了重新定义。

1.会计控制

会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成。会计控制旨在保证：经济业务的执行符合管理部门的一般授权或特殊授权的要求；经济业务的记录必须有利于按照一般公认会计原则或其他有关标准编制财务报表，落实资产责任；只有在得到管理部门批准的情况下，才能接触资产；按照适当的间隔期限，将资产的账面记录与实物资产进行对比，一经发现差异，应采取相应的补救措施。

2.管理控制

管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。这种授权活动是管理部门的职责，它直接与管理部门执行该组织的经营目标有关，是对经济业务进行会计控制的起点。

注册计师在开展其审计工作时所运用的会计控制概念，是一种纯技术的、专业化的、适用范围具有严格规定性的、防护色彩很浓的概念，这种以会计控制为主的定义，虽为独立审计界认可，却屡屡遭到管理人员代言人的攻击。他们指出，这些定义把精力过多地放在纠错防弊上，过于消极和狭窄。凯罗鲁斯先生对于代表独立审计界观点的《特别咨询委员会关于内部会计控制的报告》，只表示有保留地同意。他认为，该报告对内部会计控制范围的讨论受现存审计文献的影响太大。凯罗鲁斯主张，内部控制范围和目标应予以扩展，以便它们更能够适应管理部门的需要。他极力主张，审计准则委员会所纳入“内部会计控制环境”的某些因素应该是设计合理、运行有效的内部会计控制系统不可分割的一个组成部分。

这些因素包括：（1）组织计划；（2）责任的确定和授权；（3）预算程序和预算控制，（4）员工雇用计划和财务人员培训计划；（5）保证所有参与经济业务授权、记录、保护资产、报告财务信息的职员保持较高的行为道德水准的方法和措施。从管理人员（和其它有关第三方）的角度来看，会计控制和管理控制之间的区别并不大，甚至根本没有区别。特别是那些置身于企业经营活动的人们，他们很难接受这种区分。1980年3月在“内部审计师协会”代表大会的发言中，凯罗鲁斯先生把美国注册会计师协会在1958年将1949年的内部控制定义区分为会计控制和管理控制的行为描绘为“将美玉击成了碎片”。他声称，在这块美玉完全修复以前——我们不可能有一个对管理人员有用、为管理人员理解的内部控制定义。

与1949年的定义相比，这些定义过于消极，仅仅从财务审计的角度出发，范围过于狭窄，把过多的精力和目标放在了查错防弊上，人为地限制了内部控制理论和实践的发展。1977年开始生效的《反国外贿赂法》也采纳了审计中内部控制的含义，其广义的目标是保护财产和记录的可靠性，其具体的目标包括交易的授权、交易的记录、资产接触控制、资产数量和记录比较的会计责任，从法律法规的角度支持了这种内部控制的定位。最终的结果就是审计角度的内部控制与管理者期望的内部控制之间的差距越来越大。

三、内部控制结构（Internal Control Structure）

从克雷特对安荣事件（Graig Vs Anyon，1925，第一起针对注册会计师责任的诉讼）开始，注册会计师涉嫌的案件虽然成千上万，但真正进入诉讼爆炸时期，却是在20世纪60年代以后，这不能仅仅解释为一种巧合。从财务审计实务的需要出发，为了减轻实务中注册会计师审计时评价内部控制的责任，审计界把内部控制的定义限制在一个较小的范围内，从表面上看来是减轻了审计师的责任和工作量，但是，从另一个角度来说，它恰恰增加了审计风险。因为，把内部控制的范围定的很小，从审计师角度来看，只要这个范围的业务活动没有问题，就可以根据审计准则实施审计，范围以外的可以不予考虑，等于自己主观上给审计责任划了一个较小的“圈”。但是，审计师是要面对广大投资者的，广大投资者划的“圈”却要大得多，从广大投资者的角度来看，审计并不能仅仅是一种鉴证历史的行为。这种主观认识（进一步来说是利益）上的矛盾导致审计的期望差越来越大。从20世纪60年代以来，大量公司倒闭或陷入财务困难所引发的审计诉讼爆炸就可以证实这一点，而且，很多案例的判决结果也有力地支持了“深口袋”理论。

由于审计诉讼爆炸导致审计风险增加以及对内部控制研究由一般向具体的深化，AICPA在1988年的第55号审计准则公报《会计报表审计中对内部控制结构的关注》中，用“内部控制结构”取代了“内部控制”，不再区分会计控制和管理控制，而是确立了一种控制结构，指出“企业的内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序”，并指出内部控制结构包括控制环境、会计制度和控制程序三个要素：

（一）控制环境（Control Environment）

指对企业控制的建立和实施有重大影响的一组因素的统称，反映董事会.管理者、业主和其他人员对控制的态度和行为，主要包括管理哲学和经营方式、组织结构、董事会及审计委员会的职能、授权和分配责任的方式、管理控制方法、内部审计、人事政策与实务等；管理者监控和检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计等。

（二）会计系统（Accounting System）

指公司为汇总、分析、分类、记录，报告业务处理的各种方法和记录，包括文件预先编号，业务复核、定期调节等；一个有效的会计制度包括以下内容：鉴定和登记一切合法的经济业务；对各项经济业务适当进行分类，作为编制报表的依据；计量经济业务的价值以使其货币价值能在财务报表中记录；确定经济业务发生的时间，以确保它记录在适当的会计期间；在财务报表中恰当地表述经济业务及有关的揭示内容。

（三）控制程序（Control Procedure）

指为合理保证公司目标实现而建立的政策和程序，它包括适当授权、恰当的职责分离、充分的凭证和记录资产和记录的实物控制、业务的独立检查等。会计系统是内部控制结构的关键因素，也是审计师要直接利用的因素。控制程序是保证内部控制结构有效运行的机制。

内部控制结构概念特别强调了包括管理人员对内控的态度、认识和行为等控制环境的重要作用，认为这些环境因素是实现控制目标的环境保证，要求审计师在评估控制风险时除关注会计系统和控制程序外，应对企业面临的内外环境进行评价。将内部控制环境这一总括性的要素纳入其中，这个定义从内容范围上有所扩大，不但涉及会计控制，而且也包含了更多管理控制的内容，与1953年审计师可以只评价会计控制而可以不评价管理控制的提法大相径庭。但是，内部控制依然被认为是“各种政策和程序”，仍然是作为从企业管理中抽象出来为审计服务的一个工具。

四、内部控制整合框Internal Control-Integrated Framework

1985年，由AICPA、美国审计总署（AAA）、FEI、I队及管理会计师协会（IMA）共同赞助成立了反对虚假财务报告委员会（National Commission On Fraudulent Financial Reporting），即Treadway委员会，该委员会所探讨的问题之一就是舞弊性财务报告产生的原因，其中包括内部控制不健全问题。两年之后，Treadway委员会提出报告，并提出了很多有价值的建议。虽然Tradway委员会未对内部控制提出结论，但它的报告立刻引起了很多组织的回应。基于Treadway委员会的建议，其赞助机构又组成了一个专门研究内部控制问题的委员会[由美国注册会计师协会（AICPA）、国际内部注册会计师协会（IIA）、财务经理协会（FEI）、美国会计学会（AAA）、管理会计学会（IMA）共同组成]，即COSO委员会（Committee of Sponsoring Organizations Of The Treadway Commission）。

1992年，COSO委员会提出了报告《内部控制一整体框架》，该报告被认为是内部控制理论的最新发展和完善。报告认为“内部控制是受董事会、管理当局和其他职员的影响，旨在取得：①经营效果和效率；②财务报告的可靠性；③遵循适当的法律等目标而提供合理保证的一种过程。”“经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。这个过程由组织的某一个单位或部门进行，或由若干个单位或部门共同进行。内部控制是企业经营过程的一部分，与经营过程结合在一起，而不是凌驾于企业的基本活动之上，它使经营达到预期的效果，并监督企业经营过程的持续进行。内部控制只是管理的一种工具，并不能取代管理。”

内部控制整体框架主要包括以下内容：

（一）控制环境，构成一个单位的氛围，影响内部人员控制其他要素的基础。包括：

1.员工的诚实性和道德观。如有无描述可接受的商业行为、利益冲突、道德行为标准的行为准则；

2.员工的胜任能力。如雇员是否能胜任质量管理要求；

3.董事会或审计委员会。如董事会是否独立于管理层；

4.管理哲学和经营方式。如管理层对人为操纵的或错误的记录的态度；

5.组织结构。如信息是否到达合适的管理阶层；

6.授予权利和责任的方式。关键部门的经理的职责是否有充分规定；

7.人力资源政策和实施。如是否有关于雇佣、培训、提升和奖励雇员的政策。

（二）风险评估，指管理层识别并采取相应行动来管理对经营、财务报告、符合性目标有影响的内部或外部风险，包括风险识别和风险分析。风险识别包括对外部因素（如技术发展、竞争、经济变化）和内部因素（如员工素质、公司活动性质、信息系统处理的特点）进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等。

（三）控制活动，指对所确认的风险采取必要的措施，以保证单位目标得以实现的政策和程序。实践中，控制活动形式多样，可将其归结为以下几类：

1.业绩评价，是指将实际业绩与其他标准，如前期业绩、预算和外部基准尺度进行比较；将不同系列的数据相联系，如经营数据和财务数据，对功能或运行业绩进行评价。这些评价活动对实现企业经营的效果和效率非常有用，但一般与财务报告的可靠性和公允性相关度不高。

2.信息处理，指保证业务在信息系统中正确、完全和经授权处理的活动。信息处理控制可分为两类：一般控制和应用控制。一般控制与信息系统设计和管理有关，如保证软件完整的程序、信息处理时间表、系统文件和数据维护等；应用控制与个别数据在信息系统中处理的方式有关；如保证业务正确性和已授权的程序。

3.实物控制，也称为资产和记录接近控制，这些控制活动包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。实物控制中防止资产被窃的程序与财务报告的可靠性有关，如在编制财务报告时，管理层仅仅依赖于永续存货记录，则存货的接近控制与审计有关。

4.职责分离，指将各种功能性职责分离，以防止单独作业的雇员从事或隐藏不正常行为。一般来说，下面的职责应被分开：业务授权（管理功能）、业务执行（保管职能）、业务记录（会计职能）、对业绩的独立检查（监督职能）。理想状态的职责分离是，没有一个职员负责超过一个的职能。

（四）信息与沟通，指为了使职员能执行其职责，企业必须识别、捕捉、交流外部和内部信息。外部信息包括市场份额.法规要求和客户投诉等信息。内部信息包括会计制度，即由管理当局建立的记录和报告经济业务和事项，维护资产、负债和业主权益的方法和记录。有效的会计制度应是：

1.包括可以确认所有有效业务的方法和记录；

2.序时详细记录业务以便于归类，提供财务报告；

3.采用恰当的货币价值来计量业务；

4.确定业务发生时期以保证业务记录于合理的会计期间，在财务报告中恰当披露业务。

沟通是使员工了解其职责，保持对财务报告的控制。它包括使员工了解在会计制度中他们的工作如何与他人相联系，如何对上级报告例外情况。沟通的方式有政策手册、财务报告手册、备查簿，以及口头交流或管理示例等。

（五）监督，指评价内部控制质量的进程，即对内部控制改革、运行及改进活动评价。包括内部审计和与单位外部人员、团体进行交流。

该报告在1994年进行了修订，在COSO报告第二卷“对外部关系人报告”的修正说明中指出：“防止未经授权而取得、使用或处置资产的内部安全控制是一个为预防或及时发现对财务报告有重大影响的未经授权的资产的取得、使用或处置提供合理保证的过程，上述过程受企业的董事会层及其他人员的影响”。“当董事会和管理阶层能合理的保证，对财务报告有重大影响的未经授权的资产取得、使用或处置能被预防或及时发现时，则这类内部控制可被判断为有效。”1996年，美国注册会计师协会发布《审计准则公告第78号》（SAS78），全面接受COSO报告的内容，并从1997年1月起取代1988年发布的《审计准则公告第55号》（SAS 55）。新准则将内部控制的定义为：“由一个企业的董事长、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效果和效率；符合适用的法律和法规”。(www.daowen.com)

与以往的内部控制理论及研究成果相比，COSO报告提出了许多新的、有价值的观点。主要体现在：

1.明确了建立内部控制的“责任”

COSO报告认为，不仅仅是管理人员、内部审计或董事会，组织中的每一个人都对内部控制负有责任。确立这种组织思想有利于将企业的所有员工团结一致，使其主动地维护及改善企业的内部控制，而不是与管理阶层相互对立，被动地执行内部控制。

2.强调内部控制应该与企业的经营管理过程相结合

COSO报告认为，经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。这个过程由组织的某一个单位或部门进行，或由若干个单位或（及）部门共同进行。内部控制是企业经营过程的一部分，与经营过程结合在一起，而不是凌驾于企业的基本活动之上，它使经营达到预期的效果，并监督企业经营过程的持续进行。不过，内部控制只是管理的一种工具，并不能取代管理。

3.强调内部控制是一个“动态过程”

内部控制是对企业的整个经营管理活动进行监督与控制的过程，企业的经营活动是永不停止的，企业的内部控制过程也因此不会停止。企业内部控制不是一项制度或一个机械的规定，企业经营管理环境的变化必然要求企业内部控制越来越趋于完善，内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。

4.强调“人”的重要性

COSO报告特别强调，内部控制受企业的董事会、管理阶层及其他员工影响，透过企业之内的人所做的行为及所说的话而完成。只有人才可能制定企业的目标，并设置控制的机制。反过来，内部控制影响着人的行动。

5.强调“软控制”的作用

相对于以前的内部控制研究成果而言，COSO报告更加强调那些属于精神层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等“软控制”的作用。再完善的企业制度都会有漏洞，仅仅靠企业制度安排还是不行的，应该在强化企业制度安排的同时，还要注重人的问题，因为企业制度是人制定的，而且需要人来执行，人的问题不解决好，再好的企业制度安排，也都无法保证企业高效地稳定发展。

所谓注重人的问题，就是注重对人的价值理念的提升，也就是注重对企业文化的提升。企业文化既不是指企业搞文化活动，也不是指企业搞形象设计，而是指人的价值理念，即人们在价值理念上对企业制度安排及企业发展战略的认同，是人的内在自我约束。正因为企业文化是人的自我内在约束，因而应该在注重作为人的外在约束的制度安排的同时，还要注重从强化人的内在约束上考虑问题。例如，就诚信理念来说，我们不仅仅要强调信守契约的诚信，而且还要强调信息不对条件下的诚信，以及在坚持追求自己利益的同时，还要考虑当事者对方利益的诚信。从美国企业出问题的现象来看，美国企业对于前一种诚信确实是坚持了，但是后两种诚信则恰恰没有坚持。因此，应该注重对企业文化的提升。

企业文化包括三大内容，一是经营性企业文化，即企业在经营活动中所应有的价值理念；二是管理性企业，即企业在管理活动中所应有的价值理念；三是体制性企业文化，即企业在体制运转中所应有的价值理念。我们强调提升企业文化，就是指应该从这三个方面全面地提升企业文化。我国企业文化还仅仅处于起步地位，因而更应该注重对企业文化的提升。我国企业出问题的重要原因，就是因为没有良好的企业文化，例如我国国有企业之所以平均主义的大锅饭严重，就是因为人们没有等级差别理念，即人的能力差别决定了人们的分工差别及收入差别的理念。人们之间的能力差别是很大的，这种巨大的能力差别，当然应该导致人们之间的分工差别和收入差别，因而不能搞平均主义大锅饭。总之，我们应该从美国企业出问题的现象中，看到企业文化提升的重要性，加强对企业的企业文化的建设。

6.强调风险意识

COSO报告指出，所有的企业，不论其规模、结构、性质或产业是什么，其组织的不同层级都会遭遇风险，管理阶层须密切注意各层级的风险，并采取必要的管理措施。

7.糅合了管理与控制的界限

在COSO报告中，控制已不再是管理的一部分，管理和控制的职能与界限已经模糊。

8.强调内部控制的分类及目标

COSO报告将内部控制目标分为三类：与营运有关的目标、与财务报告有关的目标以及与法令的遵循性有关的目标等。这样的分类高度概括了企业控制目标，有利于不同的人从不同的视角关注企业内部控制的不同方面。

9.明确指出内部控制只能做到“合理”保证

COSO报告认为：不论设计及执行有多么完善，内部控制都只能为管理阶层及董事会提供达成企业目标的合理保证。而目标达成的可能性，尚受内部控制之先天条件所限制。

10.明确指出内部控制应当符合成本与效益原则

内部控制并不是要消除任何滥用职权的可能性，而是要创造一种为防范滥用职权而投入的成本与滥用职权的累计数额之比呈合理状态（即经济原则）的机制。

COSO报告把内部控制视为企业经营过程的组成部分，是管理的一种工具，是一种提供合理保证的过程，这与内部控制结构中“各种政策和程序”的提法相比有了一定的进步。从其具体内容来看，内部控制整体框架中包括了控制环境、风险评估、控制活动、信息和沟通、监督五个部分，如果详细的分析一下其具体内容，我们就会发现内部控制的内容已经涵盖了企业经营管理的很多方面，而且从整体上来看，已经形成一个系统，再把内部控制视为管理的一种工具，实在有些勉强和不协调。

五、内部控制系统的框架（Framework for the Internal Control Systems in Banking Organisations）

巴塞尔银行监管委员会1998年9月在其报告《银行组织内部控制系统的框架》中提出了内部控制框架的目标和任务以及内部控制程序的主要构成要素。

（一）内部控制框架的目标及作用

内部控制是由董事会，高级管理层及所有职员参与的过程。它不是指在某一特定时点执行的程序或政策，而是指银行内部在各方面持续操作的过程。董事会和高级管理层负责建立适当的文化以促进有效的内部控制程序，并且监控其持续有效性。而且，组织里的每个人必须参与这个过程。内部控制的主要目的有以下几个：

1.行为的效率和效力（绩效目标）；

2.金融和管理信息的可靠性、完整性和及时性（信息目标）；

3.遵守适合的法律和规则（遵守目标）；

内部控制的绩效目标是指银行使用其资产和其他资源的效力和效率以及保护银行免遭损失。内部控制程序致力于确保组织的职员高效、完整地实现目标，不存在无意识和额外的消耗或者把其他利益（如职工，卖主或消费者的利益）置于银行的利益之前。信息目标是指编制银行组织决策所需要的及时、可靠和相关的报告。他们同时要提交可靠的年度报表、其他财务报告书及相关财务状况的披露，以及向股东、监督人和其他外部团体所做的报告。经理、董事会、股东和监督者所获得的信息应是十分可靠和完全的，以便根据这些信息做出决策。可靠性是与财务报表相关的，指的是编制公允呈报的、基于公认与明确定义的会计原则和规则的报表。遵循目标确保所有银行业务都遵守适合的法律与规则、监督要求和组织的政策与规程。为了保护银行的特权和名誉，这个目标必须实现。

（二）内部控制程序的主要构成要素

内部控制程序，从历史观点上说，是为了减少欺诈、盗用和过失行为发生的机制，现在已变得更广泛，涉及到银行组织面临的各种风险。目前已经公认一个健全的内部控制程序对银行实现既定目标的能力以及维持经济生存的能力非常重要。

内部控制由五个相关要素组成：

1.管理监督和控制文化

（1）董事会

原则1：董事会应当有责任批准和定时审核银行的全部商业策略和重要的政策；了解银行经营中的主要风险，为这些风险设定可以接受的水平，确保高级管理层采取必要的措施来识别，计量、监督和控制这些风险；批准组织结构，确保高级管理层对内部控制系统的有效性进行适时监督。董事会对确保充分、有效内部控制系统的建立和维持负最终责任。

（2）高级管理者

原则2：高级管理层应当有责任执行董事会批准的战略和政策；制定措施来识别、计量、监督和控制银行业务所引发的风险；维持一个能够清晰分配责任、权力和报告关系的组织结构；确保委托责任的有效完成；设定适当的内部控制措施；监督内部控制系统的充分性和有效性。

（3）控制文化

原则3：董事会和高级管理层有责任倡导高水平的伦理道德和正直诚实的标准，在组织内部建立一种文化，强调并向所有层次员工展示内部控制的重要性。银行系统里的所有员工需要了解他们自己在内部控制程序中的作用，并全力投入其中。

2.风险识别和评估

原则4：一个有效的内部控制系统要识别和持续的评估那些能够对实现银行的目标产生反面影响的重大风险。这种评估应当涵盖银行和整个的银行组织所面对的所有风险（如信用风险，国家和转移风险，市场风险，利率风险，流动性风险，经营风险，法律风险和声誉风险）。需要对内部控制做出修订以适当的致力于任何新的或以前没有控制到的风险。

3.控制活动和职责分离

原则5：控制活动应当是银行日常活动的一个组成部分。一个有效的内部控制系统要求建立一个适当的控制结构，在企业的每一层次定义出控制活动。这些控制措施包括：高水平的复核；对不同部门或部分的适当的活动控制；实物控制；检查是否遵守了披露限制以及没有遵守的后续措施；批准和授权制度；确认和协调制度。

原则6：有效的内部控制系统要求建立适当的职责分离，没有给员工分配相冲突的职责。应当识别存在潜在利益冲突的领域，使之最小化，并进行谨慎的、独立的监督。

4.信息与沟通

原则7：一个有效的内部控制系统不但需要与决策有关的事项和环境的外部市场信息，也需要充分的、全面的内部财务、经营和遵循情况的数据。信息应当可靠、及时、可以取得，并且以一致的形式提供。

原则8：一个有效的内部控制系统要求银行所有的重要活动具有可靠的信息系统。这些系统，包括那些拥有和使用电子形式数据的系统，必须是安全的，进行了独立的监控，并且得到了充分的应对意外事故安排的支持。

原则9：一个有效的内部控制系统需要有效的沟通渠道，以确保所有的员工充分的理解和遵守影响他们职责和义务的政策和程序，其他相关信息也要同时到达适当的人员。

5.监督活动与纠正缺陷

原则10：应当在持续的基础上监控银行内部控制的整体有效性。重大风险的监控不仅是业务政策和内部审计的定期评价，也是银行日常活动的一个组成部分。

原则11：内部控制系统应当有一个有效的、全面的内部审计，它应当由独立操作、适当培训和有能力胜任的员工执行。内部审计职能部门，作为内部控制系统监控的组成部分，应当直接向董事会或它的审计委员会和高级管理层报告。

原则12：内部控制缺陷，无论是被业务政策、内部审计发现，还是被其他控制员工发现，应当及时地向适当的管理层报告，并迅速采取措施处理。重大的内部控制缺陷应当向高级管理层和董事会报告。

（三）监管当局对内部控制系统的评价

原则13：监管者应当要求所有的银行，无论其规模大小，应当建立一个与其性质、复杂程度和借贷活动固有的风险相一致的内部控制系统，并且对银行环境和条件的变化做出反应。如果监管者确认某一银行的内部控制系统对其特定的风险状况来说是不充分或无效的（比如，没有涵盖本文献中的所有原则），他们应当采取适当的行动。

六、SEC的财务报告内部控制

美国证券交易委员会（SEC）2003年6月提出了财务报告内部控制的概念。财务报告内部控制是指由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的，受到公司的董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计原则提高合理保证的控制程序。

财务报告内部控制的具体控制政策和程序主要包括：

（一）保持详细程度合理的会计记录，准确公允地反映资产的交易和处置情况；

（二）为下列事项提供合理保证：公司对发生的交易进行必要的记录，从而使财务报表的编制满足公认会计原则的要求；公司所有的收支活动经过公司管理层和董事会的授权；

（三）为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证，这种未经授权的取得、使用和处置资产的行为可能对财务报表产生重要影响。