AICPA：组织内部采用的、保证资产安全性、复核会计数据的准确性和可靠性、提高运营效率、促进管理政策的贯彻和实施为目的的计划，以及配套的方法和措施。

COSO：内部控制是一个流程，有一个实体的董事会、管理层和其他员工实施，旨在为实现运营、报告和合规目标提供合理的保证。

控制系统：解决特定风险的控制措施，是实现消除或者将风险降低到最小的业务目标的总体方法和程序。

局限性：不能确保企业成功，也无法保证企业生存；能够确保财务报告的可靠性和合规性，是合理保证，不是绝对保证。

前提：强调持续改进

制定计划、执行计划、检查结果、整改（纠正行动）

保证产品的质量、相关服务符合组织的期望值，满足预算和交付日期的预期要求。

两个PDCA环，执行业务流程的循环（做事）和控制审核程序的循环（检查）。

执行工作和检查工作

检查工作确定这项工作被正确的执行

风险：发生不利事件的概率

控制：消除风险或降到最小的方法、技术、措施。

组织控制；控制环境；管理控制；行政管理控制

内部控制的责任：最终责任是最高管理层。

公司执行管理层和信息技术部门负责控制环境；职能管理部门负责系统控制和交易处理控制；外部审计师和内部审计师负责检查内部控制的有效性。

角色：管理层、财务主管、董事会、审计委员会、薪酬委员会、财务委员会、提名委员会、内部审计师、员工、外部审计、立法者和监督者、法律合规人员、外包服务提供商。

首席执行官（负责整个内部控制系统）

恢复信任：制定公司治理章程、更多与股东沟通、董事的选择、董事会成员资格、避免利益冲突和独立性标准、董事会及其委员会的运作、非执行主席职位的设立、薪酬惯例上的限制、股权补偿计划、会计披露事项、道德和法律合规计划等。

改进内部控制评估：缺乏广泛的内部控制概念，重点回答某些特定的问题，不是把内部控制作为一个流程来进行评估。

组织的运营方式：信息沟通和监控。

包括组织计划和保护资产；财务记录的可靠性有关的程序和记录。财务记录和财务报表。

目标：授权、记录、使用资产、资产问责制

一级控制环境（管理控制），面对执行管理层（董事会）

二级系统控制（流程控制）：单独的应用系统管理方面的控制措施，面对中层管理层（部门经理）。

三级产品服务控制（交易处理控制）：监督单独的业务处理的控制措施。面对工作人员。

业务活动开展需要有益于有效控制的环境：包括组织架构、不相容职责分离、管理层参与控制活动、对合规性行为进行奖励等制度。

强调：缺乏有效的控制环境，人们无法信赖系统控制和交易处理控制的有效性。