内部控制，是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。

（一）内部控制的发展与演变

内部控制的发展是一个逐步演变的过程，大致包含五个阶段：内部牵制、内部控制制度、内部控制结构、内部控制整体框架、风险管理框架。董事会对于确保适当的内部控制得以实施负有最终责任。

自20世纪80年代以来，内部控制理论有了新的发展，人们对内部控制的研究重点逐步从一般含义转向具体内容。1998年美国注册会计师协会颁布的《企业准则公告第55号》中，内部控制结构取代了内部控制制度。目前，内部控制发展成熟阶段的成果是COSO于1992年9月发布的《内部控制—整合框架》，并于1994年增补的内部控制框架，它是内部控制发展史上的里程碑。

（二）COSO内部控制框架的主要内容

1．内部控制系统的内涵

内部控制系统包括企业的政策、程序、任务、行为，使企业能够对与实现企业目标的有关重大业务、经营、财务、法规及其他风险做出适当的反应，促进企业的运营效益和效率。内部控制系统阐述内部控制是一个实现目标的程序和方法，只提供合理保证，要由企业全体人员参与。

2．内部控制系统的五大要素

（1）控制环境。控制环境包括人员的道德观与胜任能力、董事会提供的知识和管理效率，为内部控制的其他方面提供运作框架。控制环境是由管理层所定的基调、管理哲学、管理风格、授权方式、组织和培养员工的方式以及董事会对执行内部控制的决心所决定的。

（2）风险评估。包括设立目标，识别与上述目标相关的风险，估计被识别风险的后果和可能性，针对风险的结果，考虑适当的控制活动。

（3）控制活动。控制活动指为确保管理层指示得以执行与削弱风险的政策（做什么）和程序（如何做）。它们有助于保证采取必要措施来管理风险以实现企业目标。控制活动贯穿于企业的所有层次和部门，它们包括一系列不同的活动，如批准、授权、查证、核对、复核经营业绩、资产保护以及职责分工等。

（4）信息与沟通。信息必须以一种能使人们行使各自职能的形式和时限被识别、掌握和沟通。信息系统不仅处理内部资料，而且还处理形成企业决策和外部报告所必需的外部事件、行为和条件的信息。有效的交流还必须广泛地进行，涉及机构的各个方面。顾客、供应商、监管者和股东这样的外界之间也必须有有效的沟通。

（5）监督。一个评估系统在一定时期运行质量的过程，通过持续的监控行为、独立的评估或两者的结合来实现。持续的监控行为发生在经营的过程中，它包括日常管理和监管行为，独立评估的范围和频率主要依赖于风险评估和持续监控程序的有效性。内部控制的缺陷应自下而上进行报告，重要事项应报知高层管理人员和董事会。