内部控制是保证公司良好运行的基础。国内外大量的公司经营失败案例告诉我们，内部控制是关系企业生死存亡的重大问题。设计一套适合自身的内部控制制度是对企业的基本要求，是内部控制有效运行的前提与基础。因此，明确规范COSO事关重要。目前，在世界范围内影响力最大的内部控制制度标准当属美国COSO发布的《内部控制——整合框架》和《企业风险管理——整合框架》。

（一）1992年COSO报告中的定义

1992年版《内部控制——整合框架》认为，内部控制是由企业的董事会、管理层和其他员工实施的，为经营的效率和效果、财务报告的可靠性以及遵循适用的相关法律法规等目标提供合理保证的过程。

这个定义十分宽泛，包括关于组织如何设计、实施和推进内部控制的一些重要概念，为不同的架构、行业和地理区域的组织提供了操作支持。同时，该定义也决定了内部控制有效性的基础。为了更好地理解这个定义，有必要对这一定义做进一步的说明。

第一，内部控制是一个过程。内部控制是实现目的的手段，而非目的本身。它并非单一的事件或环境，而是针对企业行为的一系列活动。这些活动是潜移默化的，蕴含于管理层的日常经营行为中。同时，内部控制意味着向终点的努力，而非终点本身。它是一个动态的过程，即从整体控制看，包括制度设计、制度执行和制度评价（对制度设计和执行情况的检查）等阶段；从业务控制看，一般应采取事前控制、事中控制和事后控制等措施。(www.daowen.com)

第二，人的因素。内部控制不仅是政策手册和图标，而且受到企业董事会、经理层和其他人员的影响，是通过企业员工的言行实现的。人们确立企业的目标并通过内部控制系统付诸实施；同样，内部控制也影响人们的行为，人们理解、交流和行动的方式并非一成不变，每个人都有独特的背景和才干，具有不同的需求和重点。这些现实既对内部控制产生影响，也受其影响。人们必须知道各自的职责和权限，在不同的职责和执行方式之间应有明确的分工和联系。

（二）我国《企业内部控制基本规范》中的定义

中国《企业内部控制基本规范》形式上沿用COSO 1992年提出的五要素内部控制框架，并在内容上借鉴了COSO 2004年风险管理模型“以风险为导向”的实质，提出以财务报告真实可靠为主、兼顾其他控制目标的内部控制目标体系，初步构建了以控制规范为基础、以评价规范为配套的内部控制标准体系。该规范所定义的内部控制，与COSO所定义的一致，即“内部控制，是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程”。按照基本规范的要求，企业的内部控制工作应由企业董事会、监事会及经理层等发起，这样才能调动全体员工参与到实施过程中来。企业内部控制并不只是内部控制部门的工作，而应该是企业全体员工的职责。并且，内部控制将贯穿企业经营活动的决策、执行和监督的整个过程，覆盖企业各种业务和事项。