三、内部控制内容

COSO《内部控制整合框架》把内部控制划分为五个相互关联的要素，分别是控制环境、风险评估、控制活动、信息与沟通、监控。每个要素均承载三个目标：经营目标、财务报告目标、合规性目标。这五个要素贯穿于机构的各业务单位和各个层面的业务活动。

（一）控制环境

控制环境是内部控制体系的基础，是有效实施内部控制的有力保障。控制环境的情况决定了整个机构高层管理者的态度与基调，同时也自上而下地影响了整个机构的内部控制意识，包括最基层员工的内部控制意识。

控制环境包括以下内容：诚信与道德价值观；致力于提高员工工作能力及促进员工发展的承诺；管理层的理念与风格；组织架构与职责分配；人力资源政策及程序；监管部门（董事会、审计委员会）的参与。

（二）风险评估

风险评估是识别及分析影响公司实现目标的风险的过程，是风险管理的基础。由于经济、行业、监管环境和公司的运营状况在不断地发生变化，管理层必须识别和应对各种变化，选择、采取相关的措施化解或者积极进行管理，或者根据情况去承受。在实际操作中，需要明确在重要会计科目、披露事项和相关财务报表认定中产生重大错报的风险。

（三）控制活动

控制活动是确保管理层的指令得到贯彻执行的必要措施，存在于整个机构内的所有级别和职能部门，包括批准、授权、查证、核对、经营业绩评价、资产保全措施及分工活动等。控制活动又可以分为预防性控制、检查性控制、人工控制、计算机控制、管理层控制等类型。

（四）信息与沟通

信息系统包括有关运营、报告、合规性的信息报告，这些信息帮助企业管理层及普通员工经营和掌握整个公司，由于传递信息必须有渠道，所以使得员工能够通过信息渠道各司其职。信息与沟通主要是两个方面：一是有一套能够支持信息确认、获取信息交流的系统；二是公司各个层面对相关信息进行有效地沟通并将其传达给相关的外部。

（五）监控

监控是指对内部控制体系有效性进行评估的持续过程，包括持续监控、定期监控和缺陷报告。持续监控是指建立内部控制体系维护与管理制度，保证内部控制体系有效运行，建立内部控制测试标准，持续监控内部控制体系的问题。定期监控是指公司审计或者风险管理部门定期对内部控制系统进行审核的工作。缺陷报告是指制定缺陷确认标准，向相关管理人员和董事会上报内部控制缺陷，并采取改进措施。

内部控制的目标与要素之间是相互联系的，目标是企业需要力争达到的结果，而要素说明了企业在力争实现目标的过程中，如何才能达到最终的目标。一方面，五个要素缺一不可，都必须存在并有效运行，以使企业的内部控制有效率；另一方面，五个要素都必须完全融入企业经营活动中，以使要素有效地发挥作用并使企业达到目标。