内部控制能够帮助主体实现重要目标，并维持与提高绩效。《内部控制———
整合框架》（以下简称“本框架”） 能够使管理层更有效且高效地建立一个能够
适应业务及经营环境变化的内部控制体系，将风险降至可接受水平，以帮助他们
更好地进行决策和治理。
设计并实施一个有效的内部控制体系具有非常大的挑战性，使这一内部控制
体系每天保持有效且高效的运行也是非常艰难的。新兴的和急剧变革的商业模
式、对技术的应用和依赖程度的不断增加、日益增加的监管要求和细致审查、不
断扩大的全球化趋势及其他挑战，都要求内部控制体系能更灵活地应对业务、运
营和监管环境的变化。
一个有效的内部控制体系不仅需要严格遵守政策和程序，还需要运用判断。
管理层和董事会①运用判断来确定所需控制的程度；管理层和其他人员每天都会
运用判断在主体内选择、开展和实施控制；管理层和内部审计人员则运用判断来
监督和评估内部控制体系的有效性。
通过对内部控制体系构成部分的理解，以及对有效运用内部控制的时机的洞
悉，本框架可协助管理层、董事会、外部利益相关方以及其他与组织相关方履行
其内部控制职责，而不仅只是为了满足规定要求。
本框架为管理层和董事会提供了：
? 无论主体属于何种行业，具有何种法律架构，处于组织、业务单元或职
能部门的何种层面，都能将内部控制应用于任何类型主体的一种方法。
? 一种具备灵活性并允许在控制的设计、实施和执行中运用判断的基于原
则的方法，并且原则可应用于组织、业务单元或职能部门中的任何层面。
? 对于有效的内部控制体系的要求，包括对于要素和原则是如何存在并持
续运行的，以及各要素如何以整合的方式共同运行的考量。
? 一种识别和分析风险以及制定管理风险应对措施的方法，以确保将风险
降至可接受的水平，同时更大程度地关注反舞弊措施。
? 一个能够将内部控制的应用从财务报告扩展至其他报告形式及运营、合
规目标的契机。
? 一个能够消除无效、冗余和低效率控制的契机，这些控制在降低风险以
保证主体目标的实现方面提供的价值极小。
对于主体的外部利益相关方和其他与组织相关方而言，运用本框架会提高：
? 董事会监督内部控制体系的信心。
? 主体实现其目标的信心。
３
① 框架采用“董事会” 来描述治理结构， 包括董事会、受托董事会、一般合伙人、所有者及监事
会。
内部控制———整合框架（２０１３）
? 组织识别、分析和应对风险及业务、经营环境变化的能力的信心。
? 对有效的内部控制体系的要求的理解。
? 对管理层可以通过运用判断来消除无效、冗余及低效率控制的理解。
内部控制并非一个连续的过程，而是一个动态且整合的过程。本框架适用于
所有类型主体，包括大、中、小型主体，营利和非营利主体，以及政府机构。然
而每个组织所选择的内部控制实施方式可能均有所不同。例如，一个较小型主体
的内部控制体系可能不太正式且结构化程度较低，但仍然具备有效的内部控制。
本内容摘要的其余部分提供了对内部控制的一个概述，包括其定义、目标类
别、必备要素及相关原则的描述，以及有效内部控制体系的要求。另外本内容摘
要还包括对于局限性的讨论，即为何一个完美无缺的内部控制体系是不存在的。
最后，本内容摘要为各方组织和人士提供了在使用本框架时的一些考虑因素。
４
第一部分　内容摘要
内部控制的定义
内部控制的定义如下：
内部控制是一个由主体的董事会、管理层和其他员工实施的，旨在为实现运
营、报告和合规目标提供合理保证的过程。
这个定义强调内部控制是：
? 旨在实现目标———这些相互独立但又互有重叠的目标类别包括运营、报
告和合规。
? 一个持续不断的过程———此过程包括持续的任务和活动，是达到目的的
手段，而非目的本身。
? 由人来实施———不仅仅是单纯的政策、流程手册、系统和表单，而且包
括组织中各层级人员以及他们所实施的可能影响内部控制的行动。
? 可以提供合理保证———向组织的高级管理层和董事会提供合理保证，但
非绝对保证。
? 与组织的结构相适应———可灵活应用于整个组织或其中一个下属单位、
分部、业务单元或业务流程。
内部控制的定义之所以被设计得很宽泛，是因为它需要体现如何设计、实施
和执行内部控制，以及开展内部控制体系有效性评估这些最为基本的重要概念，
才能为那些不同类别、行业和地区的组织在应用本框架提供基础。
目标
框架列举了三种类别的目标，使组织可以关注于内部控制的不同方面：
? 运营目标———组织运营的效果和效率，包括运营和财务业绩目标、保护
资产以避免损失。
? 报告目标———内外部的财务和非财务报告的可靠性、及时性、透明度，
以及监管者、标准制定机构和组织政策所要求的其他方面。
? 合规目标———遵守组织所适用的法律法规及规章。
内部控制的要素
内部控制由五个不可分割的要素组成。
５
内部控制———整合框架（２０１３）
控制环境
控制环境是一套标准、流程和结构，能够为组织实施内部控制提供基础。董
事会和高级管理层应在高层建立基调，强调内部控制的重要性（包括期望的行为
准则），并应在组织的各个层级强化这种要求。控制环境包括了组织的诚信和道
德价值观；促成董事会行使治理监督职责的各种要素；组织结构以及权力与责任
的分配；吸引、培养和留用人才的程序；用以实现绩效问责的严密的绩效衡量、
激励和奖励机制。控制环境会对整个内部控制体系产生深远的影响。
风险评估
每个主体都面临着来自内、外部的各类风险。风险是指某项事件将发生并对
组织实现其目标产生负面影响的可能性。风险评估应通过动态和反复的过程，以
识别和评估影响组织目标实现的风险。在考虑影响主体目标实现的各个方面风险
时，应与已建立的各项风险容忍度相关联。由此，风险评估为形成如何管理风险
的决策奠定基础。风险评估的先决条件是已建立了各种目标，并联接到主体内不
同的层级。管理层应充分明确运营、报告和合规三大类具体目标，以便识别和评
估与这些目标相关的风险。管理层也应考虑这些目标对于主体的适用性。风险评
估还要求管理层考虑可能导致内部控制失效的外部环境和内部商业模式变化带来
的影响。
控制活动
控制活动是通过政策和程序所确立的行动， 旨在协助确保管理层关于降低
影响目标实现的风险的方针已经落实。在主体的各个层级、业务流程的各个环
节，以及技术环境中都应实施控制活动。控制活动在性质上， 可以是预防性
的，也可以是发现性的； 可能涵盖一系列的人工和自动化控制， 如授权和批
准、核查、对账和企业绩效评估等。不相容职责分离就是典型的应选择和执行
的控制活动。如果不相容职责分离对主体来说难以实施， 管理层应选择并执行
替代性的控制活动。
信息与沟通
信息对于主体履行内部控制责任以促进目标实现而言是非常必要的。管理层
应从内外部来源获取或生成和使用高质量的、相关的信息，以支持内部控制的持
续运行。沟通是提供、共享和获取所需信息的持续和不断重复的过程。内部沟通
是让信息在整个组织内向上、向下和横向传递的手段，它使员工能清晰获得高层
要求其认真履行控制职责的讯息。外部沟通则是双重的：将外部的相关信息引
６
第一部分　内容摘要
入，以及向外部提供信息以回应相关方的要求和期望。
监督活动
主体应通过持续评估、单独评估或者两者的组合，以确认内部控制的五个要
素（包括实现每个要素中原则的控制活动） 是否存在并持续运行。持续评估应
被嵌入主体不同层级的业务流程中，以提供及时的信息。单独评估应定期开展，
其评估范围和频率因风险评估结果、持续评估的有效性以及管理层的其他考虑而
有所不同。主体应依据监管机构、标准制定机构，或管理层和董事会所设定的标
准，对各种发现进行评估，必要时应当向管理层和董事会报告各项缺陷。
７
内部控制———整合框架（２０１３）
目标与要素的关系
目标是主体所致力于实现的；要素是主体实
现目标必不可少的；主体结构包括业务单元、法
人结构和其他结构， 这三者之间具有直接的联
系，它们的关系可以用一个立方体来表示。
? 立方体的纵向代表内部控制目标的三种类
别———运营、报告、合规。
? 立方体的横向代表内部控制的五个要素。
? 立方体的第三维层次代表主体结构。
要素和原则
框架详细说明了１７项代表着与要素相关基本概念的原则。由于这些原则是
从各要素中直接得出的，主体可以通过应用所有的原则从而实现有效的内部控
制。所有原则均适用于运营、报告及合规目标。支持各要素的原则列示如下：
控制环境
原则１?组织①应展现对诚信和道德价值的承诺。
原则２?董事会应展现出其独立于管理层，并对内部控制的开展与成效实施
监督。
原则３?管理层为实现目标，应在董事会的监督下确立组织架构、汇报路线、
合理的权力与责任。
原则４?组织应展现出其对吸引、培养和留用符合组织目标要求的人才的
承诺。
原则５?组织为实现目标，应要求员工承担内部控制的相关责任。
风险评估
原则６?组织应设定清晰明确的目标，以识别和评估与目标相关的风险。
原则７?组织应对影响其目标实现的风险进行全范围的识别和分析，并以此
为基础来决定应如何管理风险。
８
① 本框架中的“组织” 一词是董事会、管理层和其他主体人员的统称，在内部控制的定义中也有所
体现。
第一部分　内容摘要
原则８?组织应在评估影响其目标实现的风险时，考虑潜在的舞弊行为。
原则９?组织应识别并评估对其内部控制体系可能造成重大影响的改变。
控制活动
原则１０?组织应该选择并执行那些可以将影响其目标实现的风险降至可接受
水平的控制活动。
原则１１?针对信息技术，组织应选择并执行一般控制活动以支持其目标的
实现。
原则１２?组织应通过政策和程序来实施控制活动。政策是建立预期，程序是
将政策付诸行动。
信息与沟通
原则１３?组织应获取或生成和使用高质量的、相关的信息来支持内部控制的
持续运行。
原则１４?组织应在内部对内部控制目标和责任等必要信息进行沟通，从而支
持内部控制持续运行。
原则１５?组织应就影响内部控制发挥作用的事项，与外部进行沟通。
监督活动
原则１６?组织应选择、开展并实施持续和（或） 单独评估，以确认内部控制
的各要素存在并持续运行。
原则１７?组织应评价内部控制缺陷，并及时与整改责任方沟通，必要时还应
与高级管理层和董事会沟通。
９
内部控制———整合框架（２０１３）
有效的内部控制
本框架阐明了有效内部控制体系的要求。有效的内部控制体系可为主体目标
的实现提供合理的保证，并将影响主体实现其目标的风险降低至可接受的水平，
这些风险可能涉及一种、两种或全部三种目标类别。这就要求：
? 内部控制五个要素中的每个要素以及相关原则必须同时存在并持续运行。
“存在” 是指在内部控制体系的设计和实施以实现特定目标的过程中，应
确定各要素和相关原则存在。“持续运行” 是指在内部控制体系的执行以
实现特定目标的过程中，应确定各要素和相关原则持续存在。
? 五个要素以整合的方式共同运行。“共同运行” 是指确定五个要素共同持
续运行，以将影响目标实现的风险降低至可接受的水平。五个要素作为
一个整合的体系共同运行，不应仅考虑单个要素。各要素是相互依存的，
这是由于彼此间存在大量关联和联系，特别是通过各原则在相关要素内
以及各要素之间互动的方式。
若存在一项重大缺陷，而该缺陷与某要素或相关原则的存在并持续运行相
关，或与各要素未以整合的方式共同运行相关，组织就不能得出其已满足有效内
部控制体系所有要求的结论。
当内部控制体系被确定为有效时，可以就其在主体结构内的应用向高级管理
层和董事会提供如下合理保证：
? 当外部事件对目标的实现不太可能造成重大影响，或组织可以合理地预
测外部事件的性质和发生时间，并将其影响降低到可接受水平时，组织
可以实现运营目标的效果和效率。
? 当外部事件可能对目标实现造成重大影响，且组织不能将其影响降低到
可接受水平时，需要知晓运营目标的效果和效率被控制的程度。
? 编制报告，以遵照各项适用的规章及标准，或主体特定的报告目标。
? 组织遵守适用的法律法规、规章及外部标准。
本框架要求在设计、实施和执行内部控制及评估其有效性时，应进行判断。
运用判断可以协助管理层在相关法律法规、规章及标准所限定的范围内更好地作
出内部控制方面的决策，但并不能保证达到完美效果。
内部控制的局限性
本框架认为一个有效的内部控制体系，在为实现主体目标提供合理保证的同
时，其固有的局限性始终存在。内部控制无法防止错误的判断和决策，也无法防
１０
第一部分　内容摘要
止可能导致组织无法实现其运营目标的外部事件。换句话说，即使是一个有效的
内部控制体系也有可能出现失败。造成这些局限性的原因如下：
? 目标设定的适当性是内部控制的先决条件。
? 在决策过程中的人为判断可能造成错误和偏见。
? 因差错等人为过失而导致的内部控制失效。
? 管理层凌驾于内部控制之上。
? 管理层、组织其他人员和（或） 第三方通过串通而规避控制。
? 发生超出组织控制能力的外部事件。
这些局限性妨碍董事会和管理层对实现主体目标获得绝对保证，也就是说，
内部控制仅能提供合理保证而非绝对保证。虽然存在上述固有局限性，但是管理
层在选择、执行及部署内部控制时，应清楚这些限制，并在切合实际的情况下将
这些限制最小化。
内部控制整合框架的使用
如何使用这个报告取决于当事方的不同角色：
? 董事会———董事会应与高级管理层商讨组织内部控制体系的现状，并进
行适当的监督。高级管理层就内部控制情况向董事会负责，同时董事会
应针对其成员如何对内部控制实施监督设定相关的政策和期望。董事会
应被告知如下信息：实现主体目标的各种风险、对内部控制缺陷的评估、
管理层为应对这些风险和缺陷而部署的行动，以及管理层如何评估内部
控制体系的有效性。在必要时，董事会应挑战管理层、提出尖锐的问题，
并从内、外部审计人员或其他渠道获取信息并寻求支持。董事会下设的
委员会通常可以协助董事会行使一些监督的职责。
? 高级管理层———高级管理层应根据本框架对内部控制体系进行评估，并
关注于组织是如何应用１７项原则来支持内部控制要素的。如果曾应用了
１９９２年版框架，管理层在应用本框架时需先了解本框架中的更新内容
（如第二部分“框架和附录” 中附录Ｆ所载），并考虑这些更新对主体内
部控制体系的影响。管理层在初步比较的过程中可考虑使用工具示例，
并将其用于对主体内部控制体系的持续评估中。
? 其他管理层及人员———各级经理或其他人员应对此版本较上一版本的变
动进行查阅，并评估这些变动对主体内部控制体系的影响。此外，他们
也需要考虑如何在本框架的要求下行使其职责，并与更高级别的人员就
如何加强内部控制进行探讨。具体而言，他们应考虑现有的控制是如何
在内部控制五要素中对相关原则产生影响的。
１１
内部控制———整合框架（２０１３）
? 内部审计人员———内部审计人员应对其运用１９９２年版框架的情况进行回
顾，并对内审计划进行审阅。同时，内部审计人员还需要对新版框架中
的变动进行详细审阅，并考虑这些变动对于主体现有内部控制体系相关
的审计计划、评估及其他报告的影响。
? 独立审计人员———在某些司法管辖地区，独立审计人员不仅会审计主体
的财务报表，也会对客户的财务报告相关内部控制的有效性进行审计或
核查。审计人员会参照本框架针对主体的内部控制体系进行评估，并关注
组织如何选择、执行及部署影响内部控制要素相关原则的控制。同管理
层一样，审计人员也可以将工具示例应用于对内部控制体系整体有效性
的评估中。
? 其他专业机构———其他提供运营、报告及合规相关指引的专业机构可将
其制定的标准和指引与本框架进行比较，并在一定程度上通过消除概念
与术语上的分歧来使所有相关方都能够从中受益。
? 教学者———在本框架获得广泛认可的前提下，应将其中的概念和术语纳
入到大学课程中。
１２