内部控制框架的要素及主要特点

1  控制环境（control environment）
任何企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守、价值观和能力等，它们既是构成环境的重要要素，又与环境相互影响、相互作用。环境要素是推动企业发展的引擎，也是其他一切要素的核心。这些环境要素包括：管理者的经营风格和经营理念、董事会与审计委员会、组织结构与权责分派体系、人员的品行与素质、人力资源政策及实务、管理控制方法、外部影响等。

2  风险评估（risk appraisal）
企业必须制定目标，该目标必须和销售、生产、行销、财务等作业相结合。为此，企业也必须设立可辨认、分析和管理相关风险的机制，以了解自身可能面临的各种风险，并适时加以控制和处理。这些风险包括来自企业外部的政治、经济、社会、文化与自然等方面的风险和企业内部的决策失误、执行不力、生产故障等方面的风险。

3  控制活动（control activity）
企业必须制定控制的政策及程序，并予以执行，以帮助管理层保证“为保证其控制目标的实现，其用以辨认并用以处理风险所必须采取的行动业已有效落实”。这些政策和程序包括：交易授权、职责划分、业务流程及操作流程、业务记录、规章制度、独立检查规章制度、控制标准等。

4  信息与沟通（information and communication）
围绕在控制活动周围的是信息和沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需信息，并利用它们进行相应的活动。这种信息反馈的速度、准确性如何，直接影响到内部控制指令的正确性和纠偏措施的准确性。

5  监控（monitoring）
整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。这种监控包括各单位或部门的各级人员定期或不定期对自己执行各项规章制度的检查和内部有关内部控制的专门部门所进行的财务审计和管理审计。
和以前的内部控制理论相比，COSO报告提出了许多新的、有价值的观点 。表现在以下几个方面：
1、明确了对内部控制的责任。COSO报告认为，不仅仅是管理人员、内部审计人员或董事会，组织中的每一个人都对内部控制负有责任。确立这种组织思想有利于将企业的所有员工团结一致，使其主动地维护及改善企业的内部控制，而不是与管理层对立，被动地执行内部控制。
2、强调内部控制应该与企业的经营管理过程相结合。COSO报告认为，经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。这个过程由组织的某一单位或部门进行，或由若干个单位或（及）部门共同进行。内部控制是企业经营过程的一部份，与经营结合在一起，而不是凌驾于企业的基本活动之上，它使经营达到预期的效果，并监督企业经营过程的持续进行。内部控制只是管理的一种工具，并不能取代管理。
3、强调内部控制是一个“动态过程”。内部控制是对企业的整个经营管理活动进行监督与控制的过程，企业的经营活动不停止，企业的内部控制过程也不会停止。企业的内部控制不是一项死的制度或机械的规定，企业的经营管理环境的变化必然要求企业内部控制越来越趋于完善。内部控制是一个发现问题、解决问题、发现新的问题、解决新的循环往复的过程。
4、强调“人”的重要性。COSO报告特别强调，内部控制受企业的董事会、管理阶层及其他企业员工的影响，透过企业之内的人所做的行为及所说的话而完成。企业的目标是由人来制定的，同时也是由人设定的机制来控制的。同时，内部控制也影响着人的行为。
5、强调“软控制”的作用。相对于以前的内部控制理论，COSO报告更加强调“软控制”的作用。比如该报告认为管理者及其他管理阶层的执行者对内部控制的态度、管理者的经营风格、管理哲学、企业文化、内控意识等都是影响内部控制的重要因素。
6、强调风险意识。现代企业时刻面临着各种来自企业内外的风险。COSO报告认为各种组织都面临着各种风险，管理阶层必须密切注意各种风险，并采取适当的措施加以控制。
7、揉合了管理与控制的界限。在COSO报告中，已难以严格区分控制与管理的界限，二者在企业的经营管理活动中已融合在一起了。
8、强调内部控制的分类及目标。COSO报告中单独对内部控制目标进行了解析和阐释。目标是管理过程的一个重要组成部份，虽然它不是内部控制的组成要素，但却是内部控制的先决条件，也是促成内部控制的要件。如果企业的没有目标，那么企业就没有存在的必要，当然内部控制也不复存在。COSO报告将内部控制目标分为三类：与营运有关的目标、与财务报告有关的目标和与法令遵循有关的目标。这样就高度概括了企业控制目标，有利于从不同角度关注企业内部控制的各个方面。
9、明确指出内部控制只能做到“合理”保证。COSO报告认为，不论设计及执行有多么完善，内部控制都只能为管理阶层及董事会提供达成企业目标的合理保证。
10、强调成本与效益原则。COSO报告明确指出，内部控制要建立在成本与效益原则的基础上。内部控制并不是为消除一切可能的滥用职权而不计成本，而是要创造一种为防范滥用职权而投入的成本与滥用职权的累计数额之比呈合理状态的机制。因此，没有不花钱的内部控制，也不存在完美无缺的内部控制。

内部控制框架的要素及主要特点

1  控制环境（control environment）
任何企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守、价值观和能力等，它们既是构成环境的重要要素，又与环境相互影响、相互作用。环境要素是推动企业发展的引擎，也是其他一切要素的核心。这些环境要素包括：管理者的经营风格和经营理念、董事会与审计委员会、组织结构与权责分派体系、人员的品行与素质、人力资源政策及实务、管理控制方法、外部影响等。

2  风险评估（risk appraisal）
企业必须制定目标，该目标必须和销售、生产、行销、财务等作业相结合。为此，企业也必须设立可辨认、分析和管理相关风险的机制，以了解自身可能面临的各种风险，并适时加以控制和处理。这些风险包括来自企业外部的政治、经济、社会、文化与自然等方面的风险和企业内部的决策失误、执行不力、生产故障等方面的风险。

3  控制活动（control activity）
企业必须制定控制的政策及程序，并予以执行，以帮助管理层保证“为保证其控制目标的实现，其用以辨认并用以处理风险所必须采取的行动业已有效落实”。这些政策和程序包括：交易授权、职责划分、业务流程及操作流程、业务记录、规章制度、独立检查规章制度、控制标准等。

4  信息与沟通（information and communication）
围绕在控制活动周围的是信息和沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需信息，并利用它们进行相应的活动。这种信息反馈的速度、准确性如何，直接影响到内部控制指令的正确性和纠偏措施的准确性。

5  监控（monitoring）
整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。这种监控包括各单位或部门的各级人员定期或不定期对自己执行各项规章制度的检查和内部有关内部控制的专门部门所进行的财务审计和管理审计。
和以前的内部控制理论相比，COSO报告提出了许多新的、有价值的观点 。表现在以下几个方面：
1、明确了对内部控制的责任。COSO报告认为，不仅仅是管理人员、内部审计人员或董事会，组织中的每一个人都对内部控制负有责任。确立这种组织思想有利于将企业的所有员工团结一致，使其主动地维护及改善企业的内部控制，而不是与管理层对立，被动地执行内部控制。
2、强调内部控制应该与企业的经营管理过程相结合。COSO报告认为，经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。这个过程由组织的某一单位或部门进行，或由若干个单位或（及）部门共同进行。内部控制是企业经营过程的一部份，与经营结合在一起，而不是凌驾于企业的基本活动之上，它使经营达到预期的效果，并监督企业经营过程的持续进行。内部控制只是管理的一种工具，并不能取代管理。
3、强调内部控制是一个“动态过程”。内部控制是对企业的整个经营管理活动进行监督与控制的过程，企业的经营活动不停止，企业的内部控制过程也不会停止。企业的内部控制不是一项死的制度或机械的规定，企业的经营管理环境的变化必然要求企业内部控制越来越趋于完善。内部控制是一个发现问题、解决问题、发现新的问题、解决新的循环往复的过程。
4、强调“人”的重要性。COSO报告特别强调，内部控制受企业的董事会、管理阶层及其他企业员工的影响，透过企业之内的人所做的行为及所说的话而完成。企业的目标是由人来制定的，同时也是由人设定的机制来控制的。同时，内部控制也影响着人的行为。
5、强调“软控制”的作用。相对于以前的内部控制理论，COSO报告更加强调“软控制”的作用。比如该报告认为管理者及其他管理阶层的执行者对内部控制的态度、管理者的经营风格、管理哲学、企业文化、内控意识等都是影响内部控制的重要因素。
6、强调风险意识。现代企业时刻面临着各种来自企业内外的风险。COSO报告认为各种组织都面临着各种风险，管理阶层必须密切注意各种风险，并采取适当的措施加以控制。
7、揉合了管理与控制的界限。在COSO报告中，已难以严格区分控制与管理的界限，二者在企业的经营管理活动中已融合在一起了。
8、强调内部控制的分类及目标。COSO报告中单独对内部控制目标进行了解析和阐释。目标是管理过程的一个重要组成部份，虽然它不是内部控制的组成要素，但却是内部控制的先决条件，也是促成内部控制的要件。如果企业的没有目标，那么企业就没有存在的必要，当然内部控制也不复存在。COSO报告将内部控制目标分为三类：与营运有关的目标、与财务报告有关的目标和与法令遵循有关的目标。这样就高度概括了企业控制目标，有利于从不同角度关注企业内部控制的各个方面。
9、明确指出内部控制只能做到“合理”保证。COSO报告认为，不论设计及执行有多么完善，内部控制都只能为管理阶层及董事会提供达成企业目标的合理保证。
10、强调成本与效益原则。COSO报告明确指出，内部控制要建立在成本与效益原则的基础上。内部控制并不是为消除一切可能的滥用职权而不计成本，而是要创造一种为防范滥用职权而投入的成本与滥用职权的累计数额之比呈合理状态的机制。因此，没有不花钱的内部控制，也不存在完美无缺的内部控制。