應用控制(ApplicationControls)——為了確保信息處理的完整性和準確性而設計的,在應用軟件中的程序及相關的人工程序。
自動化控制(AutomatedControls)——大部分或全部通過信息技術來執(zhí)行的
控制活動(例如,在計算機軟件中設定的自動化控制功能;其與“人工控制”相對)。
董事會(Board)-------個主體的治理機構。對公司是董事會或監(jiān)事會;對非營利組織是受托管理委員會;對政府機構是主管委員會或行政官員委員會;對合伙制企業(yè)是合伙人;對小企業(yè)是所有者。
類別(Category)——內部控制的三個目標分組之一,類別包括運營、報告、合規(guī)。
合規(guī)(Compliance)——遵守主體所適用的法律法規(guī)及規(guī)章來執(zhí)行。
要素(Component)——內部控制的五要素之一。內部控制五要素包括:控制環(huán)境、風險評估、控制活動、信息與溝通以及監(jiān)督活動。
控制(Control)——(1)名詞(例如存在一項控制),屬于內部控制的一項政策或程序。控制存在于五要素的每一個要素之中。(2)動詞(例如控制),建立或實施一項對原則產生影響的政策或程序。
控制活動(ControlActivity)——通過政策和程序所確立的行動,旨在協助確保管理層關于降低目標實現的風險的方針已經落實。
控制缺陷(Contro丨Deficiency)----是內部控制缺陷的同義詞??刂迫毕菀部梢员幻枋鰹橐粋€與特定的控制或控制活動相關的缺陷。
COSO-----全國虛假財務報告委員會下屬的發(fā)起人委員會(CommitteeofSponsoringOrganizationsoftheTreadwayCommission)。COSO是由五個私立組織聯合發(fā)起的,旨在通過開發(fā)組織風險管理、內部控制及防范舞弊欺詐的框架體系和指引來提供領導思想。
設計(Design)——(1)意圖:正如內部控制定義中所使用的,內部控制體系的設計為目標的實現提供合理保證。當意圖得以實現,內部控制體系可以被視為是有效的。
(2)計劃:一個系統被期望的工作方式,與實際工作方式相對應。
發(fā)現性控制(DetectiveControl)----在業(yè)務開始后、最終目標達成前用來
發(fā)現意外的事件或結果的控制(其與“預防性控制”相對)。
有效的內部控制(EffectiveInterna丨Control)——有效的內部控制體系為主體
實現目標提供了合理的保證。它需要內部控制五要素的每個要素及相關的原則存在并持續(xù)運行,同時內部控制五要素共同運行。
實施(Effected)——運用設計和維護好的內部控制體系。
主體(Entity)——為某個特定目的而建立的任何規(guī)模的法人主體或管理運營模式。一個法人主體可以是一個商業(yè)企業(yè)、非營利組織、政府機構或學術機構。管理運營模式可以根據產品或服務類別、分部、業(yè)務單元,結合地理區(qū)域市場進行進一步細分或整合。
組織層面(Entity-level)——主體的較高層面,獨立且區(qū)別于包括下屬單位、分部、業(yè)務單元和職能部門主體的其他部分。
主體范圍(Entity-wide)——貫穿于整個主體的活動,通常與主體范圍的控制有關。
道德價值觀(EthicalValues)——能夠使決策者作出合理行為的道德價值觀。這些道德價值觀應該基于對正確事項的理解,并可能超出法律的范疇。
財務報表(FinancialStatements)典型示例為:資產負債表、利潤表、所有者權益變動表、現金流量表和財務報表附注。
固有局限性(InherentLimitations)——所有內部控制體系的局限性。局限性與以下內容有關:內部控制的前提條件,組織控制范圍之外的外部事件,人為判斷的有限性,可能發(fā)生失效的現實,管理層凌駕或串通的可能性。
固有風險(InherentRisk)——在管理層沒有采取任何措施來改變風險的可能性或影響的情況下,影響主體目標實現的風險。
誠信(Integrity)——合乎良好道德準則的品質或狀態(tài);正直、誠實和真誠;做正確的事情、承認并遵從一套道德價值觀和期望的意愿。
內部控制(InternalControl)——是由主體的董事會、管理層和其他員工實施的,旨在為實現運營、報告和合規(guī)目標提供合理保證的過程。
內部控制缺陷(InternalControlDeficiency)——指與一個或多個要素和原則相關,可能會導致主體偏離控制目標的缺點。
重大缺陷(MajorDeficiency)——項或多項內部控制缺陷,•的組合,可能會導致主體嚴重偏離控制目標。
管理層干預(ManagementIntervention)——管理層出于合法目的偏離既定的政
策和程序的行為。管理層干預對處理非重復或非標準的交易或事件是必要的,否則可能導致不恰當地處理。
管理層凌駕(ManagementOverride)——管理層出于非法目的而逾越既定的政策或程序,以獲取個人利益、粉飾主體業(yè)績狀況或合規(guī)情況。
管理流程(ManagementProcess)——管理層為了經營主體所采取的一系列行動。內部控制體系是整合的管理流程的一部分。
人工控制(ManualControls)——通過人工而非信息技術實施控制(與“自動化控制”對應)。
共同運行(OperatingTogether)——確定五要素共同持續(xù)運行,以將影響目標實現的風險降低至可接受的水平。
運營(Operations)——與“目標”和“控制”連用:致力于主體運營的效率和效果,包括業(yè)績和盈利目標以及資產安全。
組織(Organization)——人員,包括董事會、高級管理層和其他人員。
政策(Policy)——管理層或董事會成員對如何進行有效控制作出的聲明。該聲
明可以文件的形式呈現,也可以在溝通中明確地指出或者在行動和決定中體現。政策是執(zhí)行程序的依據。
存在并持續(xù)運行(PresentandFunctioning)-----適用于內部控制要素和原貝IJ。“存在”是指在內部控制體系的設計和實施以實現特定目標的過程中,應確定各要素和相關原則存在。“持續(xù)運行”是指在內部控制體系的執(zhí)行以實現特定目標的過程中,應確定各要素和相關原則持續(xù)存在。
預防性控制(PreventiveControl)-----在業(yè)務開始時應用以避免意外事件或結果的控制(其與“發(fā)現性控制”相對)。
程序(Procedure)-----執(zhí)行政策的行動。
合理保班(ReasonableAssurance)------無論內部控制設計和執(zhí)行得如何完善,也無法保證一個主體目標的必然實現。這是因為所有內部控制體系都存在固有局限性。
相關原則(RelevantPrinciple)——內部控制原則體現了與內部控制要素相關的基本概念。在某些特殊行業(yè),或某種經營狀況和某種監(jiān)管情況下,管理層可以決定某個內部控制原則與內部控制要素無關。
剩余風險(Residua丨Risk)——在管理層建立并采取風險應對措施之后所剩余的影響目標實現的風險。
風險(Risk)——事件發(fā)生并對目標實現產生負面影響的可能性。
風險應對(RiskResponse)——接受、規(guī)避、降低或分擔風險的決策。
風險容忍度(RiskTolerance)——相對于目標實現而言所能接受的偏離程度。
高級管理層(SeniorManagement)——首席執(zhí)行官或同級別的組織領導者和高級管理層團隊。
利益相關方(Stakeholders)——受到主體影響的相關各方,例如股東、社區(qū)、員工、客戶和供應商。
技術(Technology)——在計算機上運行的應用軟件、生產控制系統等。信息
技術一般控制(TechnologyGeneralControls)--------確保信息技術能夠
持續(xù)和有效運行的控制活動。主要包括以下方面:信息技術基礎設施、安全管理和
信息技術的引進、開發(fā)和維護。信息技術一般控制的替代術語包括“一般計算機控制”和“信息技術控制”。
交易控制(TransactionControls)----在主體的業(yè)務流程中,能直接支持降低交易處理風險行為的控制活動。交易控制可以是人工控制或自動化控制,以實現信息處理完整性、準確性和有效性的目標。