內控的定義

因為各個國家的管理環境不一，不同國家對內控有著不同的認識和理解，對于內控的定義，國內外有多種表述，主要包括：美國COSO委員會的定義、美國上市公司會計監督委員會的定義、英國特恩布爾委員會的定義以及中國《企業內部控制基本規范》中的定義。

內控的第一個正式概念是1949年美國會計師協會（AIA，現在的美國注冊會計師協會，AICPA）的審計程序委員會在“內部控制：一種協調制度要素及其對管理當局和獨立審計人員的重要性”中提出的，具體表述為：“內部控制包括組織機構的設計和企業內部采取的所有相互協調的方法和措施。這些方法和措施都用于保護企業的財產，檢查會計信息的準確性，提高經營效率，推動企業堅持執行既定的管理政策”。

1992年，COSO委員會提出《內部控制——整合框架》，將內部控制定義為：“內部控制是受企業董事會、管理層和其他職員共同作用，為實現經營效率和效果、財務報告的可靠性以及對適用的法律、法規的遵循性等目標提供合理保證的一種過程。”1994年，該委員會又對該框架進行了增補。2013年版COSO框架中對內控的定義是：“內部控制是一套由組織的董事會、管理層和其他員工全員參與的流程，為組織實現運營、財務報告和遵循性目標提供合理保證。”

1996年美國注冊會計師協會發布了《審計準則公告第78號》（SAS 78），全面接受COSO報告的內容。新準則還將內部控制劃分為五大要素，分別是控制環境、風險評估、控制活動、信息與溝通、監督。

此外，美國上市公司會計監督委員會（PCAOB）也從財務報告形成過程的角度對內部控制做出了定義。在英國，特恩布爾委員會為上市公司執行《綜合守則》規定的內部控制原則提供指南，認為內部控制的主要組成部分包括為企業的有效運營創造輔助條件，使企業有能力對阻礙目標實現的重大風險做出反應，另外，還應能確保對內和對外報告的質量，確保法律及企業內部有關業務開展的條例得到遵守。

在我國，財政部、證監會、審計署、銀監會和保監會于2008年聯合發布的《企業內部控制基本規范》將內部控制定義為由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。

《企業內部控制基本規范》在實踐中的應用范圍包括三類企業，第一類是上市公司，其必須實施。第二類是國有企業。按國資委出臺的風險管理指引要求，國有企業要全面貫徹風險管理，而風險管理和內部控制是相通的，最終落腳到內部控制，所以對國有企業來說，內部控制也是必須開展的。第三類是非上市的民營企業，在執行上有較大的自由度。

目前，內控的定義方式有兩種，一種是從控制要素的角度進行闡述，另一種則是從原則的角度進行闡述，并且存在由要素向原則轉變的趨勢。但在現階段，還是采用要素與原則相結合的方式來定義的，原則是要素下的原則。一如2016版風險管理框架雖然放棄了經典的立方體結構，但仍然采用23條原則支撐五大要素（詳情參見第八章內控工具箱的COSO框架）。