COSO內部控製框架是三維的。內部控製的目標（第一維）是合理確保經營的效率和效果、財務報告的可靠性以及對法律的遵循。內部控製由控製環境、風險評估、控製活動、信息和溝通及監控五個元素（第二維）構成，五個元素間相輔相成，聯係緊密，且必須共同發揮作用才能為企業目標實現提供合理保證。此外，對於企業內的任何業務單位或經營活動（第三維），同樣也需要五個元素共同作用，方能達到該業務單位或經營活動的相關目標。

（一）控製環境

控製環境提供企業紀律與架構，塑造企業文化和正確的價值觀，並影響企業員工的控製意識和工作能力，是所有其他內部控製組成要素的基礎。控製環境的因素具體包括：正直守德的價值取向、對員工勝任能力的關注、董事會或審計委員會、管理哲學和經營風格、公司組織結構、職權和職責的分配、人力資源政策及實務等。

（二）風險評價

每個企業都麵臨來自內部和外部的不同風險，這些風險都必須加以評價，以找出有效的應對方法。評價風險的先決條件是製定目標。風險評價就是分析和識別威脅所定目標實現的風險。經濟、法律及管理的環境等內外部因素不斷變化，企業主動地發現和處理由於情況變化所帶來的風險是很有必要的。

（三）控製活動

控製活動是確保管理層的指令得以執行的政策及程序，是管理層識別和評估風險後，對控製這些風險所實行的針對性措施。政策通常回答必須做什麼，而程序則回答具體應該怎樣做的問題。控製活動包括授權審批、核對關鍵績效指標、資產安全控製及職責分離等各種類型。企業控製活動又可以分為人工控製和信息係統控製兩大類。控製活動是各控製要素中數量最多的一類，因此企業控製活動的設計必須進行成本和收益的權衡。此外，控製活動應盡可能用書麵方式予以規定和溝通。

（四）信息與溝通

內部控製的全過程都需要高質量的信息以及順暢的溝通。高質量信息具有內容相關、正確、提供及時以及便於獲取等特征。在現代企業中，信息係統的廣泛應用正是為了提高信息質量。同時，高質量的信息還應能夠以適當的形式及時、準確地溝通至信息需求者。企業不僅應當致力於提升內部溝通的有效性，以便控製責任人能夠履行其職責，還應關注與企業外部的溝通問題。外部溝通（如客戶、供應商、審計師等）有助於管理層建立企業目標，向外傳遞企業理念和工作標準，並從外部了解內部控製的運行狀況。

（五）監控

內部控製係統需要監控。監控是由適當的人員，在適當及時的基礎下，評價控製的設計和運作情況的過程。這一活動由持續監督、個別評價所組成，其可確保企業內部控製能持續有效地運作。持續監督活動在營運過程中發生，它包括例行的管理和監督活動，以及其他員工為履行其職責所采取的行動。盡管持續監督程序可以有效地評價內部控製體係，但企業有時需要組織例外評價（即個別評價）以直接監視控製係統的有效性。這種做法更可評價持續性監督程序。評價的範圍和頻率，視風險的大小及控製的重要性而定。

四、CPA了解內部控製的目的

CPA了解被審計單位的內部控製，可以達到以下目標：

（1）確認可能發生的潛在錯報的種類及導致錯報發生的因素。

（2）充分了解會計係統以確認被審計單位的憑證、報告和其他可能取得的信息，以便決定在審計測試中將運用什麼數據。

（3）選擇一種高效、有力的審計方法。如果注冊會計師通過了解和測試被審計單位的內部控製，認為其內部控製設計基本完善且能夠有效地執行，進而可以確定采取範圍較小或分析性複核程序來測試賬戶餘額。

CPA對內部控製的了解，可以從兩方麵進行：一是了解每一控製要素的政策的程序的設計；二是這些政策和程序是否已得到執行，如果注冊會計師要依賴審計單位的內部控製進行審計的話，那麼，應該考慮內部控製的有效性或者是否存在重大缺陷。

五、內部控製的固有限製

我國許多企業，尤其是民營企業在較短的時間內經曆了由小到大的快速成長期。對於小型公司而言，創建者的個人控製往往非常有效。優秀的管理者能夠牢牢把握企業的方向，準確掌握企業信息，並且通過集中控製，進行高效的決策和執行，排除前進道路上的各種阻礙。然而，隨著企業規模和經營複雜性的不斷增加，個人控製可能會變得越來越力不從心。權責的不對等、工作程序的不統一以及管理製度的嚴重漏洞等，導致各種錯誤、舞弊事件紛紛出現。這時，仍然將內部控製視為增加成本、阻礙管理效率的管理活動，而未將其視為實現企業目標的保證，則可能導致嚴重的後果甚至經營失敗。

內部控製是企業最高管理層為達到其經營的目的而設計和建立的。但是，最嚴格的內部控製也有其本身的固有限製。注冊會計師在確定內部控製的可信賴程序時，應當保持應有的謹慎，充分關注內部控製的以下固有限製：

1.內部控製的設計和運行受製於成本與效益原則。一個控製措施的建立與施行，要考慮成本效果，如果建立某項控製程序的花費太多，就可能與所要達到的效果不相稱。成本必須小於效益，這是任何理性的經營活動都必須遵循的法則。內部控製的設計和運行當然也不例外。由於管理當局在設計、執行內部控製時，必然要權衡強化內部控製的利弊得失，必然要顧及設計和運行成本，沒有一種內部控製是完美無缺的。

2.內部控製一般僅針對常規業務活動而設計的，可能不適用於特殊的、非常規的業務活動。因此，大多數控製措施是針對預期會發生的那些事項，而並非針對非經常發生的事項。

3.即使是設計完善的內部控製，也可能因執行人員的粗心大意、精力分散、判斷失誤以及對指令的誤解而失效，這是不言而喻的，不論內部控製設計得多完善，最終還是靠人去執行，而執行過程中難免要出錯。

4.內部控製可能因有關人員相互勾結、內外串通而失效。譬如，執行不相容職務的會計和出納相互勾結、采購人員與供貨單位串通一氣，都可能導致舞弊現象，使內部控製喪失查錯防弊的能力。

5.內部控製可能因執行人員濫用職權或屈從於外部壓力而失效。例如，高級管理人員可能置內部控製規章於不顧，將自己的行為淩駕於內部控製之上。又如，政企不分，行政幹預可能導致股份有限公司的董事會、監事會形同虛設，使其喪失控製職能。

6.內部控製可能因經營環境、業務性質的改變而削弱或失敗。內部控製是針對特定的環境、業務性質而設計的，內部控製的改變一般滯後於經營環境和業務性質的變遷。當業務環境和業務性質發生重大變化後，舊的內部控製可能不再適用，而新的內部控製尚未產生，這時，內部控製要麼被削弱，要麼已失效。

以會計控製為例，雖然良好的會計控製對防止發生詐騙、舞弊和保證會計數據的可靠性起很大的作用，但也必須認識到，任何內部控製製度包括會計控製在內，有其固有的極限。從過去某些發生舞弊的案件中顯示，內部控製不能有效地阻止高級管理部門進行詐騙和舞弊。如果是在沒有外部監督和有效的內部審計的情況下，高層管理部門更可以任意駕馭內部控製製度，或相互串通舞弊。

基於上述原因，注冊會計師在確定內部控製的可信賴程度時，應當保持應有的謹慎，充分關注內部控製的固有限製。

六、內部控製與現代審計的關係