内控的定义

因为各个国家的管理环境不一，不同国家对内控有着不同的认识和理解，对于内控的定义，国内外有多种表述，主要包括：美国COSO委员会的定义、美国上市公司会计监督委员会的定义、英国特恩布尔委员会的定义以及中国《企业内部控制基本规范》中的定义。

内控的第一个正式概念是1949年美国会计师协会（AIA，现在的美国注册会计师协会，AICPA）的审计程序委员会在“内部控制：一种协调制度要素及其对管理当局和独立审计人员的重要性”中提出的，具体表述为：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策”。

1992年，COSO委员会提出《内部控制——整合框架》，将内部控制定义为：“内部控制是受企业董事会、管理层和其他职员共同作用，为实现经营效率和效果、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。”1994年，该委员会又对该框架进行了增补。2013年版COSO框架中对内控的定义是：“内部控制是一套由组织的董事会、管理层和其他员工全员参与的流程，为组织实现运营、财务报告和遵循性目标提供合理保证。”

1996年美国注册会计师协会发布了《审计准则公告第78号》（SAS 78），全面接受COSO报告的内容。新准则还将内部控制划分为五大要素，分别是控制环境、风险评估、控制活动、信息与沟通、监督。

此外，美国上市公司会计监督委员会（PCAOB）也从财务报告形成过程的角度对内部控制做出了定义。在英国，特恩布尔委员会为上市公司执行《综合守则》规定的内部控制原则提供指南，认为内部控制的主要组成部分包括为企业的有效运营创造辅助条件，使企业有能力对阻碍目标实现的重大风险做出反应，另外，还应能确保对内和对外报告的质量，确保法律及企业内部有关业务开展的条例得到遵守。

在我国，财政部、证监会、审计署、银监会和保监会于2008年联合发布的《企业内部控制基本规范》将内部控制定义为由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

《企业内部控制基本规范》在实践中的应用范围包括三类企业，第一类是上市公司，其必须实施。第二类是国有企业。按国资委出台的风险管理指引要求，国有企业要全面贯彻风险管理，而风险管理和内部控制是相通的，最终落脚到内部控制，所以对国有企业来说，内部控制也是必须开展的。第三类是非上市的民营企业，在执行上有较大的自由度。

目前，内控的定义方式有两种，一种是从控制要素的角度进行阐述，另一种则是从原则的角度进行阐述，并且存在由要素向原则转变的趋势。但在现阶段，还是采用要素与原则相结合的方式来定义的，原则是要素下的原则。一如2016版风险管理框架虽然放弃了经典的立方体结构，但仍然采用23条原则支撑五大要素（详情参见第八章内控工具箱的COSO框架）。