[COSO报告_定义

　 定 义

　本章概要：内部控制被定义为一个受企业员工行为影响，用以完成特定目标的过程。这是一个广义的概念，包含了对企业进行控制的各个方面，但却强调将重点放在特定的目标上。内部控制包括五个相互联系的要素，它们都包含在管理层经营企业的方式中。五项要素相互联系，作为评判内控系统是否有效的准则。

　本次研究的主要目的在于协助管理层更好地控制企业行为。但内部控制对不同的人有不同的含义。大量的术语和释义妨碍人们了对内部控制的达成共识。因此一个重要的目标就是将形式各异的内控概念总结成一个总体构架，以确定一个通用的定义和明确各控制要素。本构架是为适应多数观点而设计的，并为企业的内控评价、立法机构的未来举措以及教学研究提供了起点。

　内部控制

　内部控制的定义如下：

　内部控制是一个受到董事会、经理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：

　经营的效果和效率

　财务报告的可靠性

　法律法规的遵循性

　该定义反映了以下基本概念：

　内部控制是一个过程。它是实现目的手段，而非目的本身。

　内部控制受人为影响。它不仅仅是政策手册和图表，而且涉及企业各层次的人员。

　内部控制只能向企业董事会和经理层提供合理的保证，而非绝对的保证。

　内部控制是为了实现三类即相互独立又相互联系的目标。

　有两个理由使我们相信以上内部控制的定义是广泛适用的。第一，我们采访

　的多数经理是这样来看企业内部控制的。实际上，他们常常提及“控制”一词，而且正在“控制”。

　第二，它适用于内部控制的多个子集。不同人可以有不同的侧重点，例如，可以分别侧重于财务报告和法律法规的遵循性。类似的，这一定义对企业某一部门或某一行为的内部控制也适用。

　该定义同时也提供了决定内控有效性的基础，这在后面章节将会讨论到。以上基本定义将在以下小节详细讨论。

　 内部控制是一个过程

　内部控制并非单一的事件或环境，而是针对企业行为的一系列活动。这些活动是潜移默化的，蕴含于管理层的日常经营行为中。

　企业横向和纵向的经营行为都是通过计划、执行和监控这一基本过程进行的。内部控制是与这一过程密不可分的一部分，使之能够良好运行，并监督运行以保持持续的相关性。它是管理层的工具，而非管理的替代品。

　这一定义与很多人不同，他们认为内部控制在企业的运营过程之外，是立法者和监管当局给企业增加的负担。内控系统与企业的运营紧密相连，因基本的商业动机而存在。只有内部控制成为企业内部构架中关键的一部分时，才最为有效。内部控制应该“嵌入” 企业之中，而非“外置”在企业之外。

　“嵌入式”控制直接影响企业实现其目标的能力，并支持企业的质量举措。对质量的要求直接与企业的运营和控制相联系。质量举措已成为企业运营构架的一部分：

　高层管理人员确信质量价值蕴涵于企业的经营方式中。

　确立质量目标与企业的信息收集、分析及其他过程相联系。

　运用对有关竞争活动和客户期望的认知来不断推进质量的提高

　以上质量要素与有效的内控系统要素相重合。实际上，内部控制不仅与质量规划紧密结合，而且对其成功起关键作用。

　 “嵌入式”控制对成本节约和减少反应时滞有重要作用。

　多数企业面临高度的市场竞争和节约成本的需要。在现有的过程上增加新程序必然会增加费用。如果将重点放在当前的运营及其对有效内部控制的影响上，并将内部控制嵌入企业的日常经营中，常能使企业避免不必要的程序和成本。

　将内部控制嵌入企业的运营构架中，有助于针对新的经营行为采取新的控制措施。这种自动反应增加了企业的敏捷度和竞争力。

　人的因素

　内部控制受到企业董事会、经理层和其他人员的影响。它是通过企业员工的言行才实现的。人们确立企业的目标并将内控系统付诸实施。

　同样，内部控制也影响人们的行为。人们理解、交流和行动的方式并非一成不变，每个人都有独特的背景和才干，具有不同的需求和重点。

　这些现实既对内部控制产生影响也受到其影响。人们必须知道各自的职责和权限。相应的，在不同职责和执行方式之间应有明确的分工和联系，企业的各层目标也是一样。

　企业员工包括董事会、经理层和其他职员。尽管董事被视为实施监管的主要人员，他们也进行工作指导，批准某些交易和政策。因此，董事会也是内部控制的一个重要元素。

　合理性保证

　内部控制，无论设计和执行多么理想，也只能就企业目标的实现向经理层和董事会提供合理的保证。企业目标实现的可能性受到内部控制内在局限的影响：包括人员决策上的失误；建立内部控制需考虑成本效益原则；人为错误和失误带来的内部控制失效。另外，内部控制会因两个或更多人的联合欺诈而失效。最后，经理层具有越过内控系统的权力。

　目标

　每个企业都有自己的使命，确立需实现的目标及相应战略。目标的设立应针对整个企业或企业内特定行为。虽然很多目标只针对特定企业，有一些还是普遍适用的，例如，几乎对所有企业普遍适用的目标是：在企业界和客户层保持良好的声誉，向股东提供可靠的财务报表，以及合法合规经营。

　本报告将目标分为三类：

　经营——关于企业资源利用的效率、效果

　财务报告——关于编制公开财务报表的可靠性

　遵循性——关于法律和法规的遵循性

　这一分类有利于将内部控制的重点放在不同方面。这些既相互独立又

　相互联系的分类体现了不同的需求，也可能是不同管理人员的职责。这一分类还利于区分每类控制的可能结果。

　内控系统可以为实现财务报告的可靠性和法律法规的遵循性目标提供合理的保证。这些目标（很大程度上是外界施加的）的实现有赖于企业内控系统的实施。

　然而，经营目标的实现——如投资回报、市场份额、引进新产品——并非完全在企业控制能力之内。内部控制并不能阻止决策失误和意外事件的发生。只有当管理层及时了解企业向既定目标迈进的程度，内控系统才能为企业目标的实现提供合理的保证。

　要素

　内部控制包括五项相互联系的要素。它们来自管理层经营企业的方式，并融入管理过程本身。这些要素包括：

　控制环境——企业的核心是人——员工的特性，包括诚信、道德和能力——和他们所处的环境。环境是企业发展的基础，也是推动企业发展的引擎。

　风险评估——企业必须了解并应对其面临的风险，设定目标，包括销售、产品、营销、财务和其他行为，使之进入即定轨道运行。还必须确立识别、分析和管理风险的机制。

　图示 1

　内部控制要素

　监控

　控制 行为

　信

　息

　和

　沟

　风险 通 评估

　控制 环境

　 控制环境提供了员工实施(控制)活动和履行控制责任的氛围，是其他控制要素的基础。在此环境内，经理层评估实现特定目标的风险。控制活动是为了确保经理层有关减少风险的措施的顺利实施。同时，与之相关的信息被获取和在组织内部传递。整个过程都得到监控，并随着环境的改变而更新。

　控制活动——必须确立和执行控制政策和程序，以确保那些被管理层认为必要的减少风险的措施得以执行。

　信息和沟通——围绕在控制活动周围的是信息和沟通系统。这些系统有利于企业员工获得及交换与运作、管理和控制企业有关的信息。

　监控——整个控制过程必须得到必要的监控和修订。这样，内控系统才能对环境的变化自动反应。

　内部控制各项要素及其间联系如图示 1。该模型描述了内控系统的运行体制。例如，对风险的评估不仅影响控制行为，还可能强调需要重新考虑信息和沟通，或重新考虑企业监控行为。因此，内部控制并非一项要素影响下一项要素的顺序过程。它是一个几乎任一要素都可以影响其他要素的多方向、相互作用的过程。

　没有两个企业会或应该具有相同的内控系统。公司的内控系统因行业和规模、文化和管理层哲学而不同。因此，尽管企业都需要这几项要素来实施对企业的控制，某一公司的内控系统常常看起来与另一公司的内控系统大相径庭。

　目标和控制要素之间的关系

　在企业尽力要实现的目标,和代表实现这些目标需要什么的控制要素之间存在直接联系。它们之间的联系可用图示 2 中的三维矩阵表示：

　三类目标——经营，财务报告和遵循性——用垂直柱条表示

　五项要素用行来表示

　内控系统相关的企业行为用第三维表示。

　每行要素都贯穿、针对所有三类目标。图例左下角部分可以作为例子：从企业内、外部而来的财务和非财务数据，作为信息和沟通要素的组成部分，需要被用来有效管理企业运作，编制可靠财务报表和保证企业合法经营。另一例子（未单独列示），用以保证管理层规划、战略和其他指示得以贯彻的内部控制政策和程序的确立和执行——代表了控制活动这一要素——也与所有三类目标有关。

　图示 2

　控制目标和控制要素的关系

　经营 财务报告 合法性

　监控

　信息和沟通

　控制行为

　风险评估

　控制环境

　左上：控制目标和要素之间具有直接联系，目标是企业尽力去实现的，而要素代表实现这些目标需要什么。

　右上：内部控制与整个企业，或企业的任一部门或任一行为相关。

　左下：所有三类目标都需要信息以有效管理企业、编制可靠财务报表及保证合理性。

　右下：所有五项要素对经营目标的实现都适用和重要。

　类似的，所有五项要素与每类目标都有关联。例如，对经营的效果和效率目标，所有五项要素都适用和重要。这在图例 2 的右下角已说明。

　内部控制与整个企业或其中某一部分有关。这一关系用第三维表示，第三维代表附属公司、部门、业务单位、职能单位或诸如购买、生产、营销在内的企业行为。相应的，每个人都可以关注三维矩阵的一个单元。例如，可以考虑矩阵左下方前侧的一个单元，其代表与公司特定部门经营目标相关的控制环境。

　有效性

　不同企业的内控系统在不同的有效性水平上运行。类似的，特定的系统在不同的时期运行，可能具有不同的效果。当内控系统满足以下标准时，我们可以认为它是有效的：

　如果董事会和经理层能够分别合理地保证在每类中任一类内部控制都可视为有效，：

　他们了解企业经营目标可以在多大程度上实现

　对外财务报表的编制是可靠的适用的法律和法规得以遵循

　尽管内部控制是一个过程，其有效性却是过程中某一时点的状态或情况。

　评价某一内控系统是否有效是一种主观判断，判断来自对五项要素是否存在及有效运行的评估。内控系统的有效运行为上述某一或多项目标的实现提供了合理保证。因此，这些要素也是有效内控系统的评价标准。

　尽管所有五项标准都必须满足，但并不意味着在不同企业，各项要素的功能必须完全一致或在同一水平上。在要素间存在某种平衡。由于控制服务于多重目的，服务于目的的在某一要素中的控制也可能体现在其他要素的控制上。另外，控制防范某一特定风险的程度也有所差异，因此，加入附加的控制措施（尽管各自具有有限的影响力）可以带来令人满意的效果。

　所有的要素和准则适用于整个内控系统，或适用于某一或多个分类目标。例如，当考虑到其中一类目标——对财务报告的控制时，所有五项准则都必须被满足以得出对财务报告的控制是有效的这一结论。

　当评判一个内部控制制度是否有效时，应该考虑以下的章节。应该认识到：

　由于内部控制是管理过程的一部分，因此对控制要素的讨论是在管理层如何经营企业这一背景下进行的。但并非管理层的一切行为都是内部控制的元素。例如，确立目标这一管理层重要的职责，就是内部控制的先决条件。类似的，很多管理层的决策和行为不代表内部控制。图例 3 列出了管理层的日常行为，并标出哪些被视作内部控制的要素。（该列示并非对管理层行为方式全面或唯一的归纳）

　讨论的原则适用于所有规模的企业。一些中小型企业对要素的应用可能不同于大企业，但其仍能拥有有效的内部控制。每一章有一部分解释这样的情形。

　每一章包含了“评估”部分，列出了评价控制要素时应考虑的因素。这些因素并非涵盖一切，也不是与每种环境都相关。它们仅提供例证用以开发一个更易理解或更具有针对性的评估模型。

　图例 3

　内部控制和管理过程

　管理行为 内部控制

　公司总体目标制定

　——使命，公司价值描述

　战略规划

　建立控制环境要素 √

　操作层目标制定

　风险识别和分析 √

　风险管理

　实施控制活动 √

　信息甄别、获取和传递 √

　监控 √

　纠正行为