要素5：监控
公司要对内部控制系统进行监控，以评估其有效 性 监控分为持续性监控（ongoing monitoring）及 间歇性评估（separate evaluation separate evaluation）两种。 内控薄弱环节要及时得到上报，重大缺陷要汇 报至最高管理层和董事会。
五要素组成内部控制的一体化框架
要素2：风险识别和评价
每个公司面临大量来自于内部和外部的风险，公司必 须对这些风险做出识别。 风险评估的前提是确定公司及各层面的经营目标。（公司 是否有明确的经营目标，目标的设置要合理，相互之间是 否协调） 确定经营目标之后，要识别目标实现过程中公司面临的各 类风险，以及有无应对、控制这些风险的举措和手段。 公司面临着不断变化的环境（经济、产业、监管、经营等 环境），如何识别这些变化所带来的风险，以及相应的应 对措施。
要素1：控制环境（2）
公司的组织结构：公司的组织结构是否合理？这种组织 结构能否提供管理、控制活动所必须的信息流？ 授权：对关键部门负责人的职责是否有清晰描述？关键 部门负责人的能力是否能够胜任其职责？ 人力资源政策：是否有关于雇佣、培训、提升和奖励雇 员的合理政策；是否实施严格的雇员背景调查；对雇员 违反制度的是否有合理纠正措施等。
案例：从COSO框架看亚细亚的内控失效（1）
曾经辉煌的“郑州亚细亚” 1989年5月开业,之后仅用7个月时间就实现销售额9000万元,1990年达 1.86亿元,实现税利1315万元,一年就跨入全国50家大型商场行列。到 1995年,其销售额一直呈增长趋势,1995年达4.8亿元。
1993年起,郑州亚细亚集团： ①以参股的形式投资10亿多元,先后在河南省内建立了四家亚细亚连锁店, 在全国各地建立了很多参股公司 ②遍布全国各地的“仟村百货” ③亚细亚曾取得过多个“全国第一”:全国商场中第一个设立迎宾小姐、 电梯小姐,第一个设立琴台,第一个创立自己的仪仗队,第一个在中央电视 台做广告。 亚细亚以其在经营和管理上创造了一个奇特的现象——“亚细亚现象”。 来自全国30多个省市的近200个大中城市的党政领导,商界要员来到亚细 亚参观学习。
什么是内部控制？
内部控制是由企业董事会、管理层和其他人员实施并保证生 效的一个过程，旨在为下列目标提供合理保证： 1、经营的 效果和效率； 2、财务报告的可靠性；3、遵循适用的法律 和法规。 Internal control is broadly defined as a process, effected by an entity's board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories: Effectiveness and efficiency of operations. Reliability of financial reporting. Compliance with applicable laws and regulations. ——摘自COSO报告
关于内部控制的一些误解
内部控制的完善程度是与规章制度的多少成正比 内控系统的设计还应当包括其他很多内容。而且，员工价值观、职 业道德与胜任能力，以及管理层的表率与监控等方面可能比书面的规章 制度更为重要。再者，即使企业有足够的规章制度，若是在未能充分考 虑其自身特性与需要的情况下抄袭而来，那也无济于事。 内部控制导致大量规章要遵守，一堆表格要填，许多章要盖， 内部控制导致大量规章要遵守，一堆表格要填，许多章要盖，既滋生官 僚作风， 僚作风，又缺乏效率和人性 为了达到内部控制的目标，规章、表格和公章是必要的。它们在特 定情况下可能会影响工作速度，但决不应当把它们与官僚作风、缺乏效 率和缺乏人性等划上等号。如果没有这些东西，可能更缺乏效率，更滋 生官僚作风，更缺乏人性，尤其是在一些庞大的企业集团中。 在内部控制的责任主要由内审部门承担 内部控制需要全体员工的参与，所有部门、员工都负有责任。 巴塞尔委员会：“董事会应当负责：了解主要经营风险，确定这些 风险的可接受水平，并确保高级管理层采取必要步骤识别、衡量、监督 和控制风险；审批组织结构安排；确保高级管理层持续评审内控系统的 有效性。在确保建立并保持充分有效的内控系统方面，董事会负有最终 责任。” 《证券公司内部控制指引》同样明确董事会是最终责任人。
什么是内部控制？
内部控制概念的演变大致可分为四个阶段：
40年代前 40年代末至 70年代 内部牵制：实物牵制、机械牵制、体制牵制、簿记牵制 内部控制概念的提出（1949年，美国会计师协会的审计程 组织机构的设计和企业内部采取 序委员会：“内部控制包括组织机构的设计 组织机构的设计 的所有相互协调的方法和措施 相互协调的方法和措施。这些方法和措施都用于保护 相互协调的方法和措施 保护 企业的财产，检查会计信息的准确性 提高经营效率，推动 检查会计信息的准确性，提高经营效率 企业的财产 检查会计信息的准确性 提高经营效率 企业坚持执行既定的管理政策 坚持执行既定的管理政策”） 坚持执行既定的管理政策 1958年10月该委员会发布对内部控制定义重新进行表述， 将内部控制划分为会计控制 管理控制 会计控制和管理控制 会计控制 内部控制结构概念的提出（1988年美国会计师协会首次提 出 ) ，指出“企业的内部控制结构包括为提供取得企业特定 目标的合理保证而建立的各种政策和程序 各种政策和程序”。 各种政策和程序 内部控制结构分为控制环境 会计制度 控制程序 ，不再 控制环境、会计制度 控制环境 会计制度、控制程序 区分会计控制与管理控制 内部控制——一体化框架 ：COSO报告奠定现代内控理论 和实践的基石
要素3：控制行为
指对所确认的风险采取必要的措施，以保证经营目标得以 实现的政策和程序。 控制行为无所不在，贯穿于公司的所有 业务领域和操作环节。可将其归结为以下几类 ： 员从事或隐藏不正常行为。 复核和验证：输入信息管理系统的数据要经过核对，交易结 果要进行及时、完整、正确记录，各种报表要相互复核，异 常和差错要及时得到报告和处理。 实物控制 ：包括实物安全控制、对计算机以及数据资料的接 触予以授权、定期盘点以及将控制数据予以对比。 业绩评价 ：将实际业绩与其他标准，如前期业绩、预算和外 部基准尺度进行比较；将不同系列的数据相联系，如经营数 据和财务数据，对功能或运行业绩进行评价。
内部控制的要素
控制环境 (Control Environment) 风险识别 (Risk Assessment) 控制行为 (Control Activities) 信息和沟通 (Information & Communication) 监控 (Monitoring)
要素1：控制环境（1）
控制环境是内部控制的基础。 诚信和道德观：如有无描述可接受的商业行为、利益冲突、 道德行为标准的行为准则；这些准则是否获得认同和执行 等。 员工的胜任能力：有无详细的岗位说明书；雇员是否能胜 任岗位要求等。 董事会或者审计委员会：是否独立于管理层 ；是否能及 时有效地获取重要信息，是否与公司财务主管、内外审计 人员保持必要的联系等。 管理层的哲学和经营方式： 管理层对风险的态度；高层 经理和部门经理（特别是异地分支机构经理）之间的互动 沟通程度；管理层对会计政策的态度（保守or激进）等。
基础：控制环境
监督
关于COSO报告的简要评价（1）
明确对内部控制的“责任”：不仅仅是管理人员、内部审 计或董事会，组织中的每一个人都对内部控制负有责任 强调内部控制应该与企业的经营管理过程相结合：是企业 经营过程的一部分，与经营过程结合在一起，而不是凌驾 于企业的基本活动之上 强调内部控制是一个“动态过程”：一个发现问题、解决 问题、发现新问题、解决新问题的循环往复的过程 强调“人”的重要性：只有人才可能制定企业的目标，并 设置控制的机制。反过来，内部控制影响着人的行动。 强调“软控制”的作用：管理风格、管理哲学、企业文化、 内控意识等
案例：从COSO框架看亚细亚的内控失效（2）
1.
2.
3.
4.
控制环境失败 经营者品行、操守、价值观: 经营者通过注册公司、关联交易赚取利润。 董事会形同虚设 董事会很少召集董事们就重大决策进行过表决,凡事都由总经理一 人拍板。 人事政策与员工素质 不折不扣的“家天下”：随意用人 任人唯亲 排斥异己 缺乏沟 通和人性化的半军事化管理 产权关系和公司治理 1993年为了上市进行虚拟的股权转让，上市失败后留下后遗症 1995年初,亚细亚的主要股东中原不动产公司董事长易人,新任董 事长认为前任批准的股权转让造成公司资产流失,不予承认,表示股 权纠纷问题不解决就不参加董事会。从此,郑亚集团最高决策机构、 监督机构陷于瘫痪。
审批和授权 职责分离 ：指将各种功能性职责分离，以防止单独作业的雇
要素4：信息和沟通
员工要全面、正确履行职责，必须及时获取相关信息，公司 信息系统应及时、准确提供这些信息。 信息系统提供的信息包括：内部数据（反映公司经营状况） 和外部数据（提供决策支持）。 有效的沟通应该是全方位的沟通：自上而下、自下而上、横 向沟通 管理层须向所有员工传递明确信息：控制责任非同儿戏；所 有员工须理解自己在公司内控体系中的作用，以及和他人工 作之间的关系。 所有员工都要有上报重要信息的渠道。 公司还要建立和客户、供应商、监管者、股东等的有效沟通 渠道。
关于COSO报告的简要评价（2）
强调风险意识 ：所有的企业，不论其规模、结构、性质或产 业是什么，其组织的不同层级都会遭遇风险，管理阶层须密 切注意各层级的风险，并采取必要的管理措施 揉和了管理与控制的界限 ：所有的企业，不论其规模、结构、 性质或产业是什么，其组织的不同层级都会遭遇风险，管理 阶层须密切注意各层级的风险，并采取必要的管理措施 ，管 理和控制的职能与界限已经模糊 明确指出内部控制只能做到“合理”保证 :不论设计及执行 有多么完善，内部控制都只能为管理阶层及董事会提供达成 企业目标的合理保证 成本与效益原则 ：没有不花钱的内部控制，也不存在完美 无缺的内部控制