1994年美国COSO《内部控制整合框架》（2002年修订，沿用至今）

在COSO《内部控制整合框架》中，内部控制定义为由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告可靠性、经营效果和效率以及符合使用的法律和法规。

COSO《内部控制整合框架》把内部控制划分为五个相互关联的要素，分别是控制环境、风险评估、控制活动、信息与沟通、监督。每个要素均承载三个目标：经营目标；财务报告目标；合规性目标。见下图：

图  COSO内部控制整合框架

  http://s11/middle/9fdaeb8bt793c5ca4052a&690 

1．内控环境

内控环境是企业的基调、氛围，直接影响企业员工的控制意识。内控环境要素是推动企业发展的发动机，也是其他一切要素的核心，包括员工的诚信、职业道德和工作胜任能力；管理层的经营理念和经营风格；董事会或审计委员会的监管和指导力度；企业的权责分配方法和人力资源政策。可以说其进行的活动是任何企业的核心，是构成内控环境的重要要素，又与环境相互影响、相互作用。

2．风险评估

风险评估是识别、分析相关风险以实现既定目标，是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险，影响企业既定目标的实现。因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险，并适时加以管理。

3．控制活动

控制活动指那些有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

4．信息与沟通

是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递，以便员工履行职责。信息不仅包括内部产生的信息，还包括与企业经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。

5．监督

是对内部控制系统有效性进行评估的过程，可以通过持续性监控、独立评估或两者的结合来实现对内控系统的监控。

内部控制五要素之间的配合和联系，组成了一个完整的系统，可以灵活地随条件变化而变化。但各要素之间并非是一项要素影响下一项要素的顺序过程，任一要素都可以影响其他要素，例如对风险的评估不仅仅影响控制活动，还可能影响信息和沟通、监控行为等。

COSO内部控制框架适用于各类企业，但是中小企业对其应用可能不同于大型企业，中小企业的内部控制可能不及大型企业正式、组织性强，但也可以是有效的。