审计培训-6-内控机制的比较培训.docx

内部控制的比较 近些年，审计师、管理者、会计师以及立法者都加强了对内部控制的关注。近几年相继公布的5篇报告就是他们多年努力的结果，这些报告对内部控制作了定义、评估、报告及改善。这些报告为：信息系统审计和控制基金（ISACF）公布的“对信息及相关技术的控制目标（COBIT）”，内部审计师研究基金（IIARF）公布的“系统可审计性和控制（SAC）”，美国反欺骗性财务报告委员会（COSO）公布的“内部控制——整合的框架”，以及美国注册会计师协会在财务报表审计中对内部控制结构的考虑，即审计标准公告第55号（SAS55）以及后来对SAS55的修正，审计标准公告78号（SAS78）。 COBIT报告（1996）是一个框架，为经营过程的所有者提供了一个工具，以便他们能有效的履行信息系统的控制责任。SAC报告（1991，修正于1994）在信息系统和技术的控制和审计方面为内部审计师提供了帮助。COSO报告（1992）在如何评价、报告和改善内部控制方面对管理层做出了建议。SAS55 (1988b) 和SAS78 (1995)在内部控制对规划和实施某个组织的财务审计的影响方面为外部审计师提出了操作指南。 由于不同的实体公布的文献针对的是其自身群体的特定需要，这就可能在内容上存在不一致。虽然这样，每篇文献注重于内部控制，并且每个群体，如内部审计师、管理者、外部审计师都为建立或评价内部控制投入了大量时间和精力。因而，比较在这些文献中提出的内部控制概念对于这三个群体的成员来说是有兴趣的事。 五篇文献的比较显示出他们都以早先的文献为基础。COBIT报告合并COSO和SAC报告中的部分内容。它对内部控制的定义取自COSO报告，对信息技术控制目标的定义取自SAC报告。SAC报告所体现的内部控制概念来自于SAS55，COSO报告所使用的内部控制概念来自于SAS55和SAC报告，并且SAS78对SAS55修正反映了COSO报告对内部控制概念的贡献。特别是，SAS78反映了Winters and Guy (1992)调和COSO报告和SAS55中的内部控制概念的要求。 本文概述了四篇文献（将SAS55/78合并），并比较了每篇文献中的内部控制概念。以下的表格指出了主要提示的问题。 Comparison of Control Concepts COBIT SAC COSO SASs 55/78 主要群体 管理者、用户、信息系统审计师 内部审计师 管理者 外部审计师 内部控制被认为是： 过程的集合，包括政策、程序、实践和组织的结构 过程、子系统和人员的集合 过程 过程 组织的内部控制目标是 有效果和效率的经营、保密性、信息的完整性和可利用性、可靠的财务报告、遵循法律和法规。 有效率和效果的经营、可靠的财务报告、遵循法律和法规 经营的效果和效率、可靠的财务报告、遵循法律和法规 可靠的财务报告， 经营的效果和效 率、遵循法律和法 规 范围的组成 范围： 规划和组织；发现和实施；传送和支持；监测 组成： 控制环境手册和自动的系统控制程序 组成: 控制环境；风险管理；控制活动；信息和沟通；监测 组成： 控制环境；风险评估；控制活动；信息和沟通；监测 注重于 信息技术 信息技术 整个组织 财务报告 内部控制评价的有效性 一段时期 一段时期 某个时点 一段时期 内部控制系统的责任 管理者 管理者 管理者 管理者 大小 4篇文献，187页 12个模块，1193页 4卷，353页 两篇文献，63页 文献的概述 COBIT:信息和相关技术的控制目标 ISACF最近开发的技术与相关技术控制目标可以充当一般应用程序、信息系统安全和信息技术控制实践的框架。这个COBIT框架允许管理层为信息技术环境的安全和控制实践定基准，允许信息技术服务的用户确信存在充分的安全和控制，允许审计师对内部控制作具体化的意见，并允许审计师商量信息技术和控制方面的事情。 提供这个框架的主要动因是能够为贯穿于整个产业范围内的信息技术控制开发清楚的政策和良好的实践。 COBIT方案的已完成部分提供了一个可执行的摘要，为信息技术的控制提供了一个框架，提供了控制目标的一览表以及审计操作指南集（控制目标和审计操作指南要参考框架）。 这个项目的未来阶段将为管理层提供自我评估操作指南以及通过吸收其他的已辨识的全球性的控制标准，来识别新的或适时的控制目标。另外，还要添加控制操作指南以及辨识关键的业绩指标。 定义: COBIT 对控制的定义适应来自COSO的要求：即政策、程序和组织结构的设计是对经营目标可以实现以及意外事件能得到预防或检查和纠正提出合理的保证。 COBIT对信息技术控制目标的定义适应了SAC的要求： 即通过在特定的信息技术活动中实施控制程序，完成所要求的结果和目标的陈述。 COBIT强调了与经营过程有关的信息技术控制的作用和影响。这篇文献列出了独立于信息技术控制目标的平台和应用。 信息技术资源: COBIT将信息技术资源归为数据、应用系统、技术、设施和人力。数据得到了最广意义的定义，它不仅包括 编号、正文和日期，而且包括图形和声音。应用程序可理解为人工程序和编程程序的总和。 技术是指硬件、操作系统、网络设备等。设施是用于房间和支持信息系统的资源。人力是针对个人的技能以及计划、组织、取得、传送、支持和监控信息系统和服务的能力。 必要条件: 为了满足经营目标，COBIT参考的信息要符合一定的标准，并将嵌入于现存的参考模型的原则合并在三个概括的分类中：即质量、受托人责任和安全。为评价信息技术资源良好了达到了经营要求，从这三个概括要求中，报告提取出7个交叉重叠的分类标准，它们是信息的有效性、效率、保密性、完整性、适用性、遵循性和可靠性。 过程和范围:在对信息技术管理实践的信息技术基础设施库（ITIL）分析的基础上，英国的COBIT报告将信息技术过程分为四类，它们是（1）规划和组织，（2）取得和实施，（3）传送和支持，以及（4）监测。这个自然的分类过程证实了组织结构的责任范围，并遵循了在任何信息技术环境下应用于信息技术处理的管理周期或生命周期。这份报告举例说明了信息技术资源和四个信息技术过程范围的关系，并列出了在四个范围内的32个单个的过程。 COBIT为经营过程所有者提出了控制的框架。管理层被完全赋予对经营过程的所有责任和权力正日渐增多。COBIT 包任内部控制和信息技术控制目标的定义、四个过程范围以及32个高水平的控制陈述，271个控制目标。 框架: COBIT的框架为特定的信息技术过程提供了高水平的控制表述。这个框架识别了满足于控制表述的经营需要，识别了由程序管理的信息技术资源，说明了启动控制并列出了应用控制目标。 SAC 报告 SAC报告定义了内部控制的系统，描述了它的组成部分，提供了控制的七个分类，描述了控制目标和风险，并定义了内部审计师的作用。这份报告提供了使用、管理和保护信息技术资源的操作指南，并讨论了终端用户计算机、远程通信和新兴技术的影响。 定义: SAC报告将内部控制的系统定义为：过程、功能、活动、子系统和共同工作的小组或有意识的分离人员的集合，以确保目的和目标的有效实现。 这份报告强调了电脑化的信息系统对内部控制系统的作用和影响，并强调需要评估风险、考虑成本和利益、将控制建于系统中，而非在系统实施后再对它们进行控制。 组成部分: 内部控制的系统由三个部分组成：控制环境、人工和自动的系统、控制程序。控制环境包括组织结构、控制框架、政策和程序以及外部的影响。自动的系统由系统和应用软件组成。SAC讨论了与终端用户与部门系统有关的控制风险，但没有描述也没有定义人工系统。控制程程序包括一般控制、应用控制和弥补控制。 分类: SAC 对信息系统的内部控制提出了五个分类方案： (1) 预防性、检查性和纠正性控制，(2) 随意的和非随意的控制，(3) 自愿的和强制的控制，(4) 人工的和自动的控制，以及(5) 应用和一般控制。这些方案注重于控制在何时进行，是否能被绕过、是谁强加了控制需要，控制如何实施以及在软件的何处实施控制。 控制目标和风险: 风险包括舞弊、差错、经营中断以及无效率的和无效果的使用资源。控制目标减少了这些风险并确保了信息完整性、安全性和合规性。信息完整性由输入、处理、输出和软件质量控制来保证；安全性测评包括数据、实物和程序安全控制；合规性控制确保了对法律和法规、会计和审计标准以及内部政策和程序的相符。 内部审计师的作用： 内部审计师的职责包括确保内部控制系统的恰当性、数据的可靠性以及组织资源的有效使用。内部审计师也关注, 预防和检查舞弊，并与外部审计师协调活动。在审计过程中，将审计与信息系统技巧整合以及了解信息技术的影响，对于内部审计师来说是非常必要的。现在，这些专业人员实施了财务审计、经营审计和信息系统审计。 COSO 报告 COSO报告定义了内部控制，描述了它的组成，并提供了标准措施，使控制系统得以评价。这份报告对内部控制公开报告提供了操作指南，并为管理层、审计师和其他人员提供了用于评价内部控制系统的资料。这份报告的两个主要目标是： (1) 建立能服务于许多不同的当事人的共同的定义，以及 (2) 提供一个组织能评估其控制系统和确定如何改善控制系统的标准措施。 定义: COSO报告对内部控制的定义是：受组织的董事会、管理层和其他人员影响的一个过程，内部控制的设计为以下类别的目标得以实现提供了合理的保证： · 经营的效果的和效率； · 财务报告的可靠性； · 遵循适用的法律和法规。 这份报告强调了内部控制系统是管理的工具，但不能替代管理；并且控制应建立在经营活动当中，而非经营活动之上。尽管这份报告将内部控制定义为一个过程，但它建议对某个时点的内部控制的有效性作评价。 组成部分: 内部控制系统包含五个相关的组成：(1) 控制环境， (2) 风险评估，(3) 控制活动，(4) 信息和沟通，以及(5)监测。控制环境为其他组成部分提供了基础。它包含诸如管理的哲学和经营风格、人力资源政策和程序、雇员的正直性和道德价值、组织结构以及董事会的关注和领导等因素。COSO报告为评价每一个因素提供了操作指南。例如，管理的哲学和经营风格可通过检查管理层所接受的经营风险的性质、管理层与下属相互作用的次数、管理层对财务报告的态度等来评估。 风险评估包含风险识别和风险分析。风险识别包含检查诸如技术开发、竞争和经济变化等外部因素，以及诸如人员质量、组织活动的性质和信息系统处理的特征等内部因素。风险分析涉及风险重要性的评价、风险发生可能性的评估，并要考虑如何管理风险。 控制活动包含了能确保雇员执行管理层指令的政策和程序。控制活动包括控制系统的审核、实物控制、职务分离和信息系统控制。对信息系统的控制包括一般控制和应用控制。一般控制由存取、软件和系统开发组成。应用控制是那些在进入系统时就能预防差错的控制，或是检查和纠正存在于系统中的差错的控制。 组织取得恰当的信息并在内部沟通信息。对信息系统的识别、掌握并报告财务和经营信息对控制组织的活动是有用的。在组织内部，职员必须取得使他们能理解自身在内部控制系统作用的信息，认真地履行其内部控制的责任。如有必要，向高层管理者报告问题。在组织以外，个人和组织对支持的或得到的商品或服务必须取得组织不再容忍不适当活动的信息。 管理层通过检查定期的控制活动所形成的结果以及实施特定的评价来监测控制系统。定期的控制活动包括将实物资产与所记录的数据相比较、培训研讨会以及外部审计师和内部审计师的检查。特定的评价在范围和次数上是不定的。定期控制活动期发现的缺陷要经常向负有责任的监督人员报告；特定评估期间找出的缺陷要正常地与组织的高层沟通。 其他的概念: COSO报告关注内部控制系统和作用的局限以及当事人影响系统的责任。局限性包括不完美的人员判断、对指令的误解、差错、管理层越权、共谋以及成本和收益的考虑。 这份COSO报告将缺陷定义为“内部控制系统内的值得注意的情况”。 缺陷应报告给对活动负有责任的人员以及报告给至少在某个层次上超出了个人责任的管理人员。. 如果五个组成部分在经营、财务报告和合规性方面者存在且有效地履行，则可以判断这个控制系统是有效的。 SAS55和SAS78: 审计标准公告 SAS55和SAS78定义了内部控制，描述了它的组成，并提供了在规划和实施财务报表审计时，影响控制的操作指南。 定义： SAS78取代了SAS55中内部控制结构的定义，除了强调财务报告目标的可靠性以外，其他的都采用了COSO报告中的内部控制定义。也就是说，SAS78将内部控制定义为：受组织的董事会、管理层、和其他人影响的一个过程，并且内部控制的设计是为实现以下类别目标提供合理的保证： a. 财务报告的可靠性； b. 有效果和有效率的经营，以及 c. 遵循适用的法律和法规。 尽管SAS78在内部控制的定义中保留了经营性和合规性目标，但SAS55和SAS78注重于影响组织的财务报告可靠性检查的控制。 组成部分：SAS78将SAS55中内部控制结构三个要素（控制环境、会计系统和控制程序）替代为COSO报告中所提示的 内部控制系统的五个组成部分（控制环境、风险评估、控制活动、信息和沟通及以监测）。 影响： SAS55和SAS78 要求外部审计师实施程序，在计划审计时对五个组成部分要充分的了解。也就是说，外部审计师必须了解组织的政策和程序的设计以及这个设计是否适当的运行。由于外部审计师要对一定时期的财务报表发表意见，故他们会对整个期间的影响财务信息的取得和处理的控制有兴趣。外部审计师必须向审计委员会报告任何重大的影响财务报告的内部控制缺陷(SAS 60, AICPA, 1988a)。在他们做审慎判断时，也可以与组织沟通其他的控制事件，比如，改善应收账款系统的机会。 比较COBIT, SAC, COSO and SASs 55/78 COBIT, SAC, COSO 和SAS55/78的报告定义了内部控制，描述了内部控制的组成并提供了评价工具。SAC, COSO和SAS 55/78也建议了报告内部控制问题的方法。此外，COBIT提供了一个综合的框架，使内部控制问题的分析和沟通更为容易。这部分内容将每篇文献所作出的努力与这个领域的每部分作了比较。 定义 尽管五个内部控制定义包含了一些基本概念，但它们的测重点在某些地方是不同的。COBIT认为内部控制是一个包含了政策、程序、以及能支持经营过程和目标的实践与组织结构的过程。SAC的内部控制是一个系统，比如说，内部控制是功能、子系统、人员和他们的相互关系的集合。COSO 强调内部控制是一个过程，比如说，内部控制应是正在进行的经营活动的整合部分。尽管SAS55/78使用了COSO的相同定义，但它们强调财务报告目标的可靠性。 人员是内部控制系统的一部分。COBIT将人员(人员被定义为职员技能，计划、组织、取得、传送、支持和监测信息系统和服务的意识和能力)归为由各种信息技术程序所管理的主要的资源部分。在这些文献公布进程中，人员的参与已变得非常明确。SAC明确地将人员认明为内部控制系统的组成部分。COSO和SAS55/78注意到参与到内部控制的人员有董事会成员、管理层或其他的组织人员。 这些文献都赞同管理层对建立、保持和监测内部控制系统负有责任。 由于合理的保证与内部控制有关系，四篇文篇都强调了合理的保证这个概念。内部控制不能保证组织可以实现它的目标或甚至继续工作。内部控制的设计是对有关目标的实现为管理层提供合理的保证。这些文献也承认内部控制的所固有的局限性，并且由于要考虑成本/收益问题，并不是所有的内部控制都要实施。固有的局限性会造成内部控制不如所计划的那样有效。 为描述内部控制，这些文献都假定组织为其经营已建立了目标。COBIT设定的前提是经营过程能够支持这些目标。反过来说， 这些过程又是由使用信息技术资源而得到的信息所支持的。经营过程所需要的信息仅在提供了恰当的控制措施后才能实现。SAC陈述道，应有效的实现组织的目标，并强调这些目标应转变为可测评的目标。COSO将控制目标分为经营性目标、财务报告目标和合规性目标。尽管SAC和COSO都认为目标与这三个分类有关，但SAS 55/78 将他们的注意力主要地限制在财务报告目标上。 组成 SAC报告描述了内部控制系统的三个组成部分。COSO报告讨论了内部控制的五个组成部分。SAS78修正了SAS55的内容，其内部控制体现了COSO五个组成部分的内容。COBIT合并了COSO报告中所讨论的五个组成部分， 将注意力集中在信息技术内部控制环境上。COBIT的设计弥补了更为宽泛的经营控制模型（比如COSO）和适用于世界范围的高技术信息系统控制模型间的不足。尽管这些文献可能在它们对控制的态度上显得不同，但进一步的研究揭示出许多相似处。 控制环境: COBIT, SAC, COSO 和SAS78都将控制环境作为一个组成部分，并基本上讨论了这个相同的概念。影响控制环境的因素包括管理层的正直性和道德价值、人员的胜任能力、管理哲学和经营风格、权利和责任的如何安排以及提供给董事会的操作指南。COBIT将控制环境的含义编进所有可采用的控制目标。它将过程分为：规划和组织、取得和实施、传送和支持以及监测。它也在任何一个适当的地方谈起控制环境。SAC将控制环境分为很少的几类，更以信息系统为导向，并且将观念作为控制环境的一部分，而这在其他三篇文献中是作为另一个组成部分来讨论的。多数情况下，内部控制概念的形成是从SAS55(1988)经SAC (1991, 1994)、COSO (1992)、SAS78(1995)，再到COBIT(1996)。COSO和SAS 55/78使用了大量环境概念的分类，因而使控制环境得到了很好的定义。COSO所增加的胜任能力、正直性和组织人员的道德的强调， 在SAS78对SAS55的修正中得到了体现。 信息和沟通系统: COBIT, SAC, COSO和SAS55/78对信息系统的着重点和处理的深度上是不同的。COBIT特有的着重点是为信息技术的安全和控制建立了一个参考性框架。它在信息系统控制和经营目标之间定义了清楚的联系。此外，它对能带给所有的利益当事人以实用性的控制的每个信息技术过程提供了全球性的有效控制目标。 COBIT也提供了一个工具，以便利管理层、用户和审计师之间对有关信息系统控制的沟通。 SAC报告注重于自动的信息系统，这份报告检查了内部控制和系统软件、应用系统以及终端用户和部门的系统间的相互关系。系统软件提供了应用程序所需的操作系统、远程通信、数据管理以及其他的实用程序功能。应用系统包括组织的经营、财务的和操作的系统（如人力资源、应收账款、生产安排等各自的系统）。终端用户和部门的系统服务于特定用户群的需要。SAC报告的大量内容在内部控制方面为以上所有领域提供了操作指南。 COSO报告既讨论了信息问题，又讨论了沟通问题。对信息的讨论中，它复查了获取恰当的内部和外部信息、潜在的战略和整合系统的需要，以及数据质量的需要；对沟通的讨论中，它注重于传达内部控制事件以及收集有竞争性的、经济的和立法机构的信息。SAS78要比其他报告更为简短，它列出了会计系统的大致目标，并概括了COSO的内容。 控制活动: COBIT和SAC报告检查了与组织的自动信息系统有关的控制程序； COSO 和SAS55/78报告讨论了贯穿于整个组织的控制程序和活动。COBIT报告将控制分在32个过程中，这些过程又自然的分在四个范围内，适用于任何信息处理环境。SAC报告为信息系统控制程序使用了五个不同的分类方案。COSO报告和SAS 55/78对信息系统控制程序仅用了一个分类方案。COSO报告对控制活动的讨论强调了由谁实施活动和操作，而非财务报告目标；而且，也强调了用风险评估来整合控制活动的愿望。SAS78将SAS55的控制程序表格替代为COSO报告中有关控制活动的更为简短的表格。与COSO报告相比，SAS55/78对这些控制活动讨论的不多。 风险评估: COSO报告和SAS78将风险评估认同为内部控制的重要组成部分。COBIT报告将信息技术环境内的过程认定为估定风险。这个特定的过程在规划和组织范围内，和这个过程相关的是六个具体的控制目标。尽管风险评估不是SAC报告内部控制系统的明确组成，但报告对风险作了广泛的讨论。SAS55/78将风险归为固有风险、控制风险和检查风险。外部审计师要了解、测试和评估财务报表中与重大误报的风险有关系的控制，比如，与未完成财务报告目标的风险有关的控制。由于外部审计师不能直接地改变内部控制，他们调整了可接受的检查风险以应对控制风险的评估。 COBIT在深度上关注了在信息技术环境中的风险评估的几个组成部分。它们包括经营风险评估、风险评估方法、风险识别、风险测评、风险行动计划和风险接受。它直接地处理了诸如技术性、安全性、持续性和调整性风险等信息技术的风险类别。此外，它不仅针对全球性视角的风险，也针对特定系统视角的风险。 在SAC和COSO报告中表述的风险概念是相似的。除了没有满足财务报告目标的风险之外，SAC和COSO报告针对没有满足遵循性目标的风险，特别是针对没有满足经营目标的风险。COSO报告讨论了将外部的和内部的风险 认同到整个组织中去以及个人的活动中去，也考虑到管理层对风险的分析：估计了风险的重要性、评估风险发生的可能性以及考虑如何管理风险。SAC报告检查了自动信息系统的风险，对信息系统风险提供了详细的分析，并且探究了每种风险如何得以减轻。SAC和COSO报告强调了成本/收益考虑，相互关联的整体目标和控制的需要，风险识别和评估的持续的性质以及管理层调整组织的内部控制系统的能力。 SAS 55/78很少提到经营风险和遵循性风险。外部审计师了解、测试和评估了财务报表中与重大误报的风险有关的控制。比如，与未实现财务报告目标的风险有关的控制。SAS 55/78公告将风险归为固有风险、检查风险和控制风险。由于外部审计师不能直接地改变内部控制，他们要调整可接受的检查风险以应对他们对控制风险的评估。 监测:与COBIT, COSO和SAS55/78相比， SAC报告没有明确地将监测作为内部控制系统的组成部分。上述报告都指出管理层对确保控制适当地持续运行负有责任。COBIT报告针对管理层监测所有信息技术过程的责任以及管理层取得控制的独立的鉴证的需要。它将监测归为符合管理循环的范围内。SAC报告认识到内部审计师选择 信息技术区域的责任，这个区域使独立的检查产生最大的利益，并且认识到内部审计师为取得持续的遵循性和有效性的证据而测试控制的责任。由于内部控制的发展应该并确实超越了时间限制，COSO认识到管理层需要监测整个的内部控制系统，这个系统直达建立于控制系统自身的持续活动以及由专门的活动或范围所指导的特有的评价。 尽管SAC和COSO报告对监测有相同的（内部的）看法，但COSO报告用宽泛的术语讨论了监测活动，而SAC报告讨论了应由组织的自动信息系统实施的特定的监测活动。COBIT报告用一个相象的，但更深入的方式定义了信息技术职能内的专门的监测要求和责任。SAS 55,后修正为SAS78, 提出了以COSO报告为主的简洁版，强调了财务报告目标。某些由外部审计师进行的监测意味着审计师使用了以前审计所取得的知识这样的假定。 报告内部控制问题 作为一个框架，COBIT报告对专门的信息技术过程提出了控制和控制目标的定义。与COSO报告相似，COBIT对内部控制问题的报告被假定为对负有责任的经营过程所有者提供了各种来源的信息，从控制自我评估到外部审计检查，都能使用COBIT报告的框架。 SAC报告指出内部审计师要对适当的控制的存在性以及这些控制是否按所设计的运行负有评价的责任。 内部审计师向管理层或审计委员会提交财务审计、经营审计以及信息系统审计的结果。他们应清楚地说明所提议变化的成本与效益，以弥补内部控制系统的缺陷。 COSO报告讨论了管理层如何收集和散布有关内部控制缺陷的信息。管理层可以通过内部控制系统本身生成的报告中、由管理层或内部审计师实施的评价中以及与诸如客户、管制者或外部审计师等外部当事人的沟通中得知内部控制的缺陷。管理层想要任何有关缺陷的信息，它们影响到组织实现其经营的、财务报告或合规性目标能力。COSO报告建议组织的员工直接向监督者或至少不对问题负直接责任的管理层报告缺陷。对于敏感信息的报告，要有单独的沟通渠道。 SAS55/78注重于内部控制和规划财务报表审计间的关系。SAS60，也即对审计中特别提到的内部控制结构的沟通 （后在SAS78的附录C中修正），为外部审计师在财务审计期间发现的内部控制问题的报告提供了指南。SAS60要求审计师向审计委员会报告影响组织财务报告能力的重大缺陷。审计师也可向管理层报告其他的问题或改进机会。 时段与时点 COBIT报告是一个模型框架，对于是否评价某个时点或某段时期的内部控制，取决于检查者的偏好。 尽管SAC报告没有明确地表明是否应评价某个时点或某段时期内部控制的有效性，但可以发现它更支持某段时期的评价。例如， SAC报告谈到了要确保财务的和操作数据的可靠性，描述了将嵌入式审计模块用于持续地监测和分析交易，并建议便用变量控制以确保应用程序和系统软件的稳定性。 尽管COSO报告强调内部控制是一个过程，但报告说明内部控制的有效性是在某个时点的状态或情况。如果内部控制缺陷在报告期得到了纠正，COSO认可管理层向外部当事人描述内部控制是有效的报告。 SAS55/78说明外部审计师应评价审计期间应用的内部控制的一致性。标准告诫审计师要对用仅属于某个时点的控制进行补充测试， 以提供控制在整个审计期间有效性的证据。 工具 COBIT报告为它所定义的所有32个过程提供了明确的指南。这个指南的控制目标多过250个。它进一步对所有取决于自身需求的用户提供指导性的帮助，根据信息技术过程、控制的信息标准或信息技术资源实施控制目标的组织和分类。 SAC报告提供了贯穿于12个模块的自动信息系统的开发、实施和操作所需控制的详细指南。特别是，许多模块所包含的风险和控制部分与那个模块所讨论的主题有关系。 COSO报告向读者提供了可用于评价内部控制系统的工具。整篇内容致力于用于检查控制的建议表格以及对已完成表格的示例。 尽管SAS55/78本身没有提出用于控制评价的表格或工具，但在财务报表审计中考虑到了内部控制结构，并提供了审计指南。 审计指南为理解对三类不同规模和性质的公司的内部控制和控制风险的评估提供了广泛的例子。此外，审计指南的制定者详细讨论了内部控制的评价和与之有关系的文献。. 结论 内部和外部的压力促使会计和管理专业不断的开发和改进内部控制的概念。本文概括和比较了来自于COBIT, SAC, COSO和SAS 55/78等几篇重要报告及公告。 COBIT报告将全球有效的控制目标收集起来，将它们纳入组织的过程和范围内，并将信息与经营需要相联系。SAC报告提供了有关在内部控制系统上的信息技术的不同方面的效果的详细的操作指南。 COSO报告提出了内部控制的公用的概念，强调内部控制有助于组织实现有效果和效率的经营、可靠的财务报告以及遵循适用的法律和法规。 这篇报告提供了评估控制系统、公开报告内部控制以及实施控制系统评估的操作指南。SAS55,后修正为SAS78,采用了COSO报告中内部控制的五个组成部分，讨论了在计划和实施财务报表审计时组织的内部控制的影响，关注了内部控制和控制风险间的关系。 COBIT, COSO, SAC和SAS 55/78在内部控制的概念上有许多相同之处；确实，后期的文献是建立在早期开发的内部控制的概念上。这些文献的不同之处在于所针对的群体、目标以及所提供指南的详细程度。尽管其他当事人会发现每篇文献都是有用的，但 COBIT报告指向三个不同的群体：管理层、用户和信息系统审计师；SAC报告主要针对内部审计师；COSO报告针对管理层和董事会；SAS55/78针对外部审计师。. COBIT报告仅注重于支持经营目标的信息技术的控制。SAC报告强调信息技术，COSO报告提供了宽泛的、组织层次的视点，SAS55/78注重于财务报表审计。SAC和COSO报告相互独立。SAS55/78是标准的一部分。四篇文献相互补充和支持。SAC, COSO和SAS 55/78对于相互间的主要群体、立法者、利害相关者以及其他有兴趣理解或改善内部控制的人来说是有用的。