一、COSO内部控制体系概要
内部控制的内容，归根结底是由基本要素组成的。这些要素及其构成方式，决定着内部
控制的内容与形式。设计内部控制，可以根据企业特征和需求（例如企业规模、业务构成、
管理水平等），对内部控制要素加以有机组合。
COSO报告将内部控制定义为：内部控制是一个过程，它受到董事会、管理人员和其
他职员的影响，以期为实现经营的效果和效率、财务报告的可靠性及遵守相关的法律法规提
供合理保证。
早期的内控制度一般只强调两项目标，一是财务报告的可靠性目标，二是合规性目标。COSO
报告在此基础上对企业内部控制的目标进行了完善。
COSO内控制度的首要目标是为了合理确保经营的效果和效率(基本经济目标，包括绩
效、利润目标和资源的安全)。其后才是保证财务报告的可靠性(与对外公布的财务报表编制
相关的，包括中期报告、合并财务报表中选取的数据的可靠性)和遵循相应的法律法规这两
个传统的内控目标。
究其原由，乃是因为任何一个企业管理层的职责，都是要拟订相应目标并通过合理配
置自身的人力、物质资源以达到这些目标。内部控制制度实际上也就是为了满足管理层的这
些需要而制定的。

二．内部控制的组成要素
COSO报告提出，内部控制由五个要素组成的，即控制环境、风险评估、控制活动、
信息与沟通和监控。五要素中，各个要素有其不同的功能，内部控制并非五个要素的简单相
加，而是由这些相互联系、相互制约、相辅相成的要素，按照一定的结构组成的完整的、能
对变化的环境做出反应的系统。控制环境是整个内控系统的基石，支撑和决定着风险评估、
控制活动、信息传递和监督，是建立所有事项的基础；实施风险评估进而管理风险是建立控
制活动的重点；控制活动是内部控制的主要组成部分；信息传递贯穿上下，将整个内控结构
凝聚在一起，是内部控制的实质；监督位于顶端的重要位置，是内控系统的特殊构成要素，
它独立于各项生产经营活动之外，是对其他内部控制的一种再控制。
企业都面临来自内部和外部的不同风险，对这些风险都必须加以评估。风险评估是管理
层识别、分析实现目标过程中所面临的风险，从而制定决定如何管理风险的制度基础。它随
经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。
风险评估的前提条件，是在各个管理层次上制定协调一致的目标。在管理当局找出风险并采
取必要措施之前，首先要确定目标。内部控制在这方面的目标主要是，在整个组织内部制定
协调一致的目标，并找出关键性的成功因素。确定和分析风险的过程是一个持续的过程，它
是有效内部控制的一个关键性因素。
内部控制系统需要监控。监控是由适当的人员，在适当及时的基础下，评估控制的设
计和运作情况的过程。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效
性。
监控活动由持续监控和个别评估组成，它为企业内部控制能持续有效运作提供保证。持续的
监控活动在营运过程中发生，包括例行的管理和监控活动，以及其他员工为履行其职务所采
取的行动。尽管持续监控程序可以有效的评价内部控制体系，但企业有时需要组织个别评估
以直接监视控制系统的有效性，这种做法还可对持续性监控程序加以评估。
COSO报告认为，企业内部每一成员在实施内部控制方面都扮演着一定的角色，对内
部控制也都负有一定的责任，报告也对企业中各层次人员的控制职责做出如下具体设计：
管理层：CEO对整个控制系统负责。
董事会：管理层对董事会负责，由董事会设计治理结构，指导监管的进行。
内部审计师：内部审计对评价控制系统的有效性具有重要作用，对公司的治理结构行使着监
管的职能。
内部其他人员。明确各自的职责，积极主动参与、配合内部控制制度的实施。
外部人员：公司的外部人员也有助于控制目标的实现。而且由于其相对独立于企业的身份，
更具有可靠性。
COSO报告指出:内部控制实际上只能帮助而并不能保证基本经营目标的实现，它存在
很多固有的局限因素，具体如下：
成本限制。内部控制的设计和运行需要耗费人力、物力，这就是它本身的成本。内部控制越
完善，其所需成本就越高。如果这个成本超过企业风险或错误可能造成的损失和浪费的话，
无论此时的内控制度有多么完善，则毫无疑问这样都是不经济的，也是不可取的。
人为错误。无论设计多么完美的内部控制系统，都会因设计人经验和知识水平的限制而有所
缺陷。同时，执行人员的失误，如粗心大意、判断失误、对指令有误解等，也可能会使内部
控制系统发挥不出其应用的作用。
串通舞弊。内部控制的制约机能，是担当不兼容职务的人员相互验证、共同见证的结果。在
实际工作中，如果处于不兼容职务上的有关人员相互串通、相互勾结，就失去了内部控制中
相互制约的基本功能，内部控制也就很难发挥作用了。
计划落后于变化。企业是处在一个无时无刻不在变动的市场中的，但其内部控制制度一