COSO的上述定义对内部控制的基本概念提供了一些深入的见解,特别是;
(1) 内部控制是一个实现目标的程序及方法,而其本身并非目标;
(2) 内部控制只提供合理保证,而非绝对保证。
内部控制要由企业中各级人员实施与配合。
图8-1 COSO内部控制框架
COSO利用一个三维模型(见图8-1)来描述一个机构内的内部控制系统。该模型在水平方向上分为五层,垂直方向有三个组成部分和跨越第三维的多个椎体。这种模型的结构是5×3×2。但是,它们并不是完全独立的部分,彼此之间是相互连接的,就企业内的内部控制而言,我们将重点考察水平方向上的两层:控制环境和风险评估。
企业的内部控制系统会反映其控制环境,而控制环境包括其组织结构。内部控制系统应嵌入企业运营之中,并成为公司文化的一部分。此外,内部控制系统应能够对由企业内在因素和商业环境的改变所产生的不断变化的业务风险做出反应。而且,内部控制系统亦应包括向管理层及时汇报经确认的任何重大控制失误或不足,及所采取的纠正行动的详细程序。