COSO是全國(guó)虛假財(cái)務(wù)報(bào)告委員會(huì)下屬的發(fā)起人委員會(huì)（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文縮寫。根據(jù)薩班斯法案第404節(jié)條款以及美國(guó)證券交易委員會(huì)（SEC）的相應(yīng)實(shí)施標(biāo)準(zhǔn)，要求公眾公司的管理層評(píng)估和報(bào)告公司最近年度的財(cái)務(wù)報(bào)告的內(nèi)部控制的有效性。2004年3月9日，PCAOB發(fā)布了其第2號(hào)審計(jì)標(biāo)準(zhǔn)：“與財(cái)務(wù)報(bào)表審計(jì)相關(guān)的針對(duì)財(cái)務(wù)報(bào)告的內(nèi)部控制的審計(jì)”，并于6月18日經(jīng)SEC批準(zhǔn)。SEC對(duì)該標(biāo)準(zhǔn)的認(rèn)同等于從另外一個(gè)側(cè)面承認(rèn)了1992年COSO公布的《內(nèi)部控制—綜合框架》（也稱“COSO內(nèi)部控制框架”）。這也表明COSO框架已正式成為美國(guó)上市公司內(nèi)部控制框架的參照性標(biāo)準(zhǔn)。

1992年Treadway委員會(huì)經(jīng)過多年研究，針對(duì)公司行政總裁、其他高級(jí)執(zhí)行官、董事、立法部門和監(jiān)管部門的內(nèi)部控制進(jìn)行高度概括，發(fā)布《內(nèi)部控制一整體框架》（Interna Control－Integrated Framework）報(bào)告，即通稱的COSO報(bào)告。該報(bào)告第一部分是概括；第二部分是定義框架，完整定義內(nèi)部控制，描述它的組成部分，為公司管理層、董事會(huì)和其他人員提供評(píng)價(jià)其內(nèi)部控制系統(tǒng)的規(guī)則；第三部分是對(duì)外部團(tuán)體的報(bào)告；是為報(bào)告編制報(bào)表中的內(nèi)部控制的團(tuán)體提供指南的補(bǔ)充文件；第四部分是評(píng)價(jià)工具，提供用以評(píng)價(jià)內(nèi)部控制系統(tǒng)的有用材料。

COSO報(bào)告提出內(nèi)部控制是用以促進(jìn)效率，減少資產(chǎn)損失風(fēng)險(xiǎn)，幫助保證財(cái)務(wù)報(bào)告的可靠性和對(duì)法律法規(guī)的遵從。COSO報(bào)告認(rèn)為內(nèi)部控制有如下目標(biāo)：經(jīng)營(yíng)的效率和效果（基本經(jīng)濟(jì)目標(biāo)，包括績(jī)效、利潤(rùn)目標(biāo)和資源、安全），財(cái)務(wù)報(bào)告的可靠性（與對(duì)外公布的財(cái)務(wù)報(bào)表編制相關(guān)的，包括中期報(bào)告、合并財(cái)務(wù)報(bào)表中選取的數(shù)據(jù)的可靠性）和符合相應(yīng)的法律法規(guī)。

1.控制環(huán)境（Control environment）

它包括組織人員的誠(chéng)實(shí)、倫理價(jià)值和能力；管理層哲學(xué)和經(jīng)營(yíng)模式；管理層分配權(quán)限和責(zé)任、組織、發(fā)展員工的方式；董事會(huì)提供的關(guān)注和方向?？刂骗h(huán)境影響員工的管理意識(shí)，是其他部分的基礎(chǔ)。

2.風(fēng)險(xiǎn)評(píng)估（risk assessment）

是確認(rèn)和分析實(shí)現(xiàn)目標(biāo)過程中的相關(guān)風(fēng)險(xiǎn)，是形成管理何種風(fēng)險(xiǎn)的依據(jù)。它隨經(jīng)濟(jì)、行業(yè)、監(jiān)管和經(jīng)營(yíng)條件而不斷變化，需建立一套機(jī)制來辨認(rèn)和處理相應(yīng)的風(fēng)險(xiǎn)。

3.控制活動(dòng)（control activities）

是幫助執(zhí)行管理指令的政策和程序。它貫穿整個(gè)組織、各種層次和功能，包括各種活動(dòng)如批準(zhǔn)、授權(quán)、證實(shí)、調(diào)整、經(jīng)營(yíng)績(jī)效評(píng)價(jià)、資產(chǎn)保護(hù)和職責(zé)分離等。

4.信息和交流（information and communication）

信息系統(tǒng)產(chǎn)生各種報(bào)告，包括經(jīng)營(yíng)、財(cái)務(wù)、守規(guī)等方面，使得對(duì)經(jīng)營(yíng)的控制成為可能。處理的信息包括內(nèi)部生成的數(shù)據(jù)，也包括可用于經(jīng)營(yíng)決策的外部事件、活動(dòng)、狀況的信息和外部報(bào)告。所有人員都要理解自己在控制系統(tǒng)中所處的位置，以及相互的關(guān)系；必須認(rèn)真對(duì)待控制賦予自己的責(zé)任，同時(shí)也必須同外部團(tuán)體如客戶、供貨商、監(jiān)管機(jī)構(gòu)和股東進(jìn)行有效的溝通。

5.監(jiān)控（monitoring）

監(jiān)控在經(jīng)營(yíng)過程中進(jìn)行，通過對(duì)正常的管理和控制活動(dòng)以及員工執(zhí)行職責(zé)過程中的活動(dòng)進(jìn)行監(jiān)控，來評(píng)價(jià)系統(tǒng)運(yùn)作的質(zhì)量。不同評(píng)價(jià)的范圍和步驟取決于風(fēng)險(xiǎn)的評(píng)估和執(zhí)行中的監(jiān)控程序的有效性。對(duì)于內(nèi)部控制的缺陷要及時(shí)向上級(jí)報(bào)告，嚴(yán)重的問題要報(bào)告到管理層高層和董事會(huì)。

（l）管理層：CEO最終負(fù)責(zé)整個(gè)控制系統(tǒng)。對(duì)大公司， CEO可把權(quán)限分配給高級(jí)經(jīng)理，并評(píng)價(jià)其控制活動(dòng)，然后，高級(jí)經(jīng)理具體制定控制的程序和人員責(zé)任；對(duì)小公司，一切可更為直接，由最高經(jīng)理具體執(zhí)行。

（2）董事會(huì)：管理層對(duì)董事會(huì)負(fù)責(zé)，由董事會(huì)設(shè)計(jì)治理結(jié)構(gòu)，指導(dǎo)監(jiān)管的進(jìn)行。有效的董事會(huì)應(yīng)掌握有效的上下溝通渠道，設(shè)立財(cái)務(wù)、內(nèi)部審計(jì)等職能，防止管理層超越控制，有意歪曲事實(shí)來掩蓋管理的缺陷。

（3）內(nèi)部審計(jì)師：內(nèi)審對(duì)評(píng)價(jià)控制系統(tǒng)的有效性具有重要作用，對(duì)公司的治理結(jié)構(gòu)行使者監(jiān)管的職能。

（4）內(nèi)部其他人員：明確各自的職責(zé)，提供系統(tǒng)所需的信息，實(shí)現(xiàn)相應(yīng)的控制；對(duì)經(jīng)營(yíng)中出現(xiàn)的問題，對(duì)不合法、違規(guī)行為有責(zé)任與上級(jí)溝通。

（5）外部人員。公司的外部人員也有助于控制目標(biāo)的實(shí)現(xiàn)，如外部審計(jì)可提供客觀獨(dú)立的評(píng)價(jià)，通過財(cái)務(wù)報(bào)表審計(jì)直接向管理階層提供有用信息；另如法律部門、監(jiān)管部門、客戶、其他往來單位、財(cái)務(wù)分析師、信用評(píng)級(jí)公司、新聞媒體等也都有助于內(nèi)部控制的有效執(zhí)行。

COSO報(bào)告是在美國(guó)金融風(fēng)險(xiǎn)加劇，財(cái)務(wù)欺詐抬頭，社會(huì)各界對(duì)內(nèi)部控制和獨(dú)立審計(jì)師寄予厚望的“危難”時(shí)刻，由五個(gè)職業(yè)會(huì)計(jì)團(tuán)體聯(lián)合并潛心研究近4年左右的時(shí)間才誕生的。COSO報(bào)告中蘊(yùn)涵了許多嶄新的理念和思想。這些理念和思想，不僅對(duì)過去，而且對(duì)現(xiàn)在甚至未來的企業(yè)管理、財(cái)會(huì)工作和獨(dú)立審計(jì)都有著重要影響。主要有以下幾個(gè)方面：

1.準(zhǔn)確定位內(nèi)部控制基本目標(biāo)。COSO報(bào)告指出內(nèi)部控制本身不是目的，而是實(shí)現(xiàn)目標(biāo)的手段。內(nèi)部控制目標(biāo)是幫助企業(yè)奔向經(jīng)營(yíng)目標(biāo)、完成使命和減少經(jīng)營(yíng)過程中的風(fēng)險(xiǎn)。用中國(guó)話來說就是為企業(yè)的經(jīng)營(yíng)和管理工作“保駕護(hù)航”。

2.提出三類目標(biāo)、五項(xiàng)構(gòu)成要素概念。COSO把內(nèi)部控制細(xì)分為經(jīng)營(yíng)效率與效果、財(cái)務(wù)報(bào)告可靠和遵紀(jì)守法三類子目標(biāo)和控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通和監(jiān)測(cè)活動(dòng)五項(xiàng)構(gòu)成要素。這些概念的提出，為評(píng)價(jià)內(nèi)部控制系統(tǒng)提供了一套完整的標(biāo)準(zhǔn)，使COSO報(bào)告在理論和實(shí)際應(yīng)用兩個(gè)方面都較原來的內(nèi)部控制學(xué)說有一個(gè)質(zhì)的飛躍。

3.提出內(nèi)部控制是“過程”，并由控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通和監(jiān)測(cè)活動(dòng)五項(xiàng)要素構(gòu)成。五項(xiàng)控制要素不是內(nèi)部控制過程中先后順序上的一道道工序，而是一個(gè)多方向交叉的多維的反復(fù)的過程。COSO報(bào)告突出了內(nèi)部控制過程中的復(fù)雜性和各控制要素之間有機(jī)的多維的聯(lián)系與影響。

4.強(qiáng)調(diào)“人”的重要性。COSO報(bào)告指出人和環(huán)境是推動(dòng)企業(yè)發(fā)展的引擎。內(nèi)部控制是由人來設(shè)計(jì)和實(shí)施的，企業(yè)中的每位員工都受內(nèi)部控制的影響，并通過自身的工作影響著他人的工作和整個(gè)內(nèi)部控制系統(tǒng)。所以，要求所有員工都應(yīng)清楚他們?cè)谄髽I(yè)、在內(nèi)部控制系統(tǒng)中的位置和角色，并協(xié)調(diào)一致，才能推進(jìn)內(nèi)部控制的有效運(yùn)轉(zhuǎn)。

5.認(rèn)識(shí)到董事會(huì)在內(nèi)部控制中的作用。COSO認(rèn)為董事會(huì)與公司內(nèi)部控制之間是有聯(lián)系的，企業(yè)中一些行為需要董事會(huì)批準(zhǔn)或授權(quán)。一個(gè)客觀、能動(dòng)和富有調(diào)查精神的董事會(huì)，能夠及時(shí)發(fā)現(xiàn)并修正公司經(jīng)理班子逾越內(nèi)部控制的行爐。

6.強(qiáng)調(diào)內(nèi)部控制系統(tǒng)系是“內(nèi)置于”（built in）企業(yè)經(jīng)營(yíng)和管理過程中的一項(xiàng)基礎(chǔ)設(shè)施（infrastructure），與管理活動(dòng)的計(jì)劃、執(zhí)行和監(jiān)控職能交織融合在一起，不是后天添加物（built on）。同時(shí)內(nèi)控系統(tǒng)應(yīng)有應(yīng)對(duì)不斷變化的客觀世界的機(jī)制。

COSO報(bào)告是以職業(yè)會(huì)計(jì)師為主體隊(duì)伍的研究成果，應(yīng)用的現(xiàn)實(shí)特別是面對(duì)美國(guó)財(cái)務(wù)危機(jī)的現(xiàn)狀，顯示COSO報(bào)告在控制能力上的差距。COSO報(bào)告中主要值得商榷的問題有：

1.沒有充分認(rèn)識(shí)到董事會(huì)對(duì)內(nèi)部控制系統(tǒng)的至關(guān)重要性。雖然COSO報(bào)告把董事會(huì)與內(nèi)部控制聯(lián)系起來，但它的這種聯(lián)系僅僅局限于企業(yè)有一些事情需要董事會(huì)審批或授權(quán)，基本上把內(nèi)部控制限定在CEO之下，而對(duì)董事會(huì)更為重要的作用和董事會(huì)與CEO之間的聯(lián)系和制衡關(guān)注不夠。這好比設(shè)計(jì)一幢大廈，只看到了地上部分，忽視了地下基礎(chǔ)。

2.COSO提倡的反映內(nèi)部控制運(yùn)行狀態(tài)的“管理報(bào)告”的信息含量和可信性值得懷疑。首先，從正常邏輯上考慮，如果一個(gè)企業(yè)的內(nèi)部控制存在問題，企業(yè)能夠如實(shí)地公示社會(huì)嗎？第二，管理報(bào)告對(duì)內(nèi)部控制的評(píng)價(jià)只是基于某一時(shí)點(diǎn)狀況而言的。根據(jù)COSO報(bào)告，企業(yè)不需披露在此時(shí)點(diǎn)之前存在的但已被發(fā)現(xiàn)和更正的內(nèi)部控制缺陷。第三，報(bào)告的范圍僅限于與財(cái)務(wù)報(bào)告有關(guān)的內(nèi)部控制，而財(cái)務(wù)報(bào)告只是經(jīng)營(yíng)結(jié)果的反映。筆者認(rèn)為內(nèi)部控制系統(tǒng)的評(píng)估和持續(xù)監(jiān)測(cè)是絕對(duì)必需的，但COSO建議的這種評(píng)估和披露方式容易誤導(dǎo)投資者。

3.COSO報(bào)告中的“合理保證”、“成本效益”等詞語，基本上是從會(huì)計(jì)上直接移植過來的，對(duì)于規(guī)避注冊(cè)會(huì)計(jì)師法律責(zé)任是有好處的。但對(duì)社會(huì)用戶來說，增添了許多猜疑和無奈。到底什么算是“合理保證”，如何做到“成本效益配比”，在實(shí)踐中恐怕很難說清楚。內(nèi)部控制評(píng)價(jià)應(yīng)通過提高評(píng)價(jià)標(biāo)準(zhǔn)和評(píng)價(jià)過程的客觀性和透明度增加科學(xué)性。

4.把企業(yè)經(jīng)營(yíng)和管理中一些重要職能排斥在內(nèi)部控制觸角之外。COSO一方面指出內(nèi)部控制與管理各功能（計(jì)劃、執(zhí)行和監(jiān)控）交織在一起，是內(nèi)置于企業(yè)經(jīng)營(yíng)活動(dòng)之中的。另一方面卻把目標(biāo)設(shè)定、戰(zhàn)略規(guī)劃、核心競(jìng)爭(zhēng)力培育、風(fēng)險(xiǎn)評(píng)估和管理等重要經(jīng)營(yíng)和管理活動(dòng)排斥在內(nèi)部控制系統(tǒng)之外。

5.基本目標(biāo)與分類子目標(biāo)之間存在差異。根據(jù)COSO報(bào)告，內(nèi)部控制基本目標(biāo)是促使企業(yè)實(shí)現(xiàn)經(jīng)營(yíng)目標(biāo)，并減少經(jīng)營(yíng)過程中的風(fēng)險(xiǎn)，其中既涉及了企業(yè)生存，也關(guān)注了企業(yè)發(fā)展。發(fā)展和戰(zhàn)略規(guī)劃問題是企業(yè)所有問題的根本。而三類子目標(biāo)，基本上都屬于維持企業(yè)當(dāng)期經(jīng)營(yíng)的范疇，著眼點(diǎn)在于企業(yè)生存，沒有站在企業(yè)戰(zhàn)略高度關(guān)注未來發(fā)展。另外，COSO報(bào)告將內(nèi)部控制基本目標(biāo)細(xì)分為三類特定目標(biāo)的方法值得商榷。這種分類方法的缺陷在其與GAO就保護(hù)資產(chǎn)安全內(nèi)部控制之討論中，就表現(xiàn)出來了。COSO認(rèn)為，保護(hù)資產(chǎn)安全內(nèi)部控制屬于經(jīng)營(yíng)效果效率目標(biāo)的范疇，已經(jīng)包括在經(jīng)營(yíng)效果效率內(nèi)部控制之中，而GAO認(rèn)為保護(hù)資產(chǎn)安全內(nèi)部控制涉及到資產(chǎn)價(jià)值真實(shí)性的問題，對(duì)財(cái)務(wù)報(bào)告可靠性有重大影響，應(yīng)該包括在財(cái)務(wù)報(bào)告內(nèi)部控制之中。COSO也在報(bào)告中承認(rèn)三類目標(biāo)有時(shí)是重疊的。

6.評(píng)價(jià)內(nèi)部控制有效性標(biāo)準(zhǔn)過于主觀。根據(jù)COSO報(bào)告，內(nèi)部控制有效性有賴于對(duì)內(nèi)部控制三類目標(biāo)或五個(gè)控制要素的實(shí)現(xiàn)程度。但評(píng)價(jià)標(biāo)準(zhǔn)基本上都是主觀判斷。其實(shí)，一個(gè)企業(yè)內(nèi)部控制是否有效完全可以通過它客觀的市場(chǎng)業(yè)績(jī)體現(xiàn)出來，例如企業(yè)市場(chǎng)價(jià)值，客戶滿意度，持續(xù)獲利能力增長(zhǎng)情況等。

7.內(nèi)部控制系統(tǒng)中會(huì)計(jì)與審計(jì)的色彩太重，考慮企業(yè)現(xiàn)存的和微觀的或規(guī)避風(fēng)險(xiǎn)的事情多，與業(yè)務(wù)平臺(tái)和業(yè)務(wù)拓展關(guān)系不大，防范風(fēng)險(xiǎn)也是被動(dòng)的，缺乏能動(dòng)性。所以，至今還有許多公司認(rèn)為內(nèi)部控制只是財(cái)務(wù)主管和財(cái)會(huì)人員的事情。

企業(yè)是多重契約關(guān)系的組合，而股東會(huì)與董事會(huì)、董事會(huì)與經(jīng)理班子之間的委托代理關(guān)系是其中最基本的契約關(guān)系，因此企業(yè)內(nèi)部控制中的“內(nèi)部”就應(yīng)從組建法人治理結(jié)構(gòu)開始。建立健全董事會(huì)功能是企業(yè)最根本的內(nèi)部控制?！鞍踩弧?、“施樂”和“世通”特大財(cái)務(wù)欺詐案件都直接與董事會(huì)功能失效和內(nèi)部人控制泛濫有關(guān)。同時(shí)，由于企業(yè)與外部關(guān)系人的經(jīng)濟(jì)聯(lián)系和契約關(guān)系，在現(xiàn)代企業(yè)中發(fā)揮著越來越重要的作用，企業(yè)內(nèi)部控制中的“內(nèi)部”有時(shí)還要延伸至企業(yè)法律邊界以外，將獨(dú)立審計(jì)師、供應(yīng)商資源、客戶信用與需求和政府監(jiān)管納入企業(yè)內(nèi)部控制系統(tǒng)?！翱刂啤迸c“反控制”是一對(duì)永恒的矛盾，企業(yè)內(nèi)部控制的目的是追求企業(yè)持續(xù)“得到控制”，確保企業(yè)各類契約關(guān)系持續(xù)而有序地運(yùn)行，確保企業(yè)有一個(gè)好的戰(zhàn)略目標(biāo)和管理團(tuán)隊(duì)，并按照既定目標(biāo)持續(xù)高效地發(fā)展和增值，為企業(yè)各類契約當(dāng)事人發(fā)現(xiàn)并創(chuàng)造價(jià)值。企業(yè)內(nèi)部控制是企業(yè)與生俱來的，它內(nèi)置于企業(yè)經(jīng)營(yíng)和管理過程之中，并與之緊密聯(lián)系、水乳交融，是同一事物的不同層面，不可割舍。

企業(yè)內(nèi)部控制應(yīng)是一個(gè)能動(dòng)的駕御、監(jiān)測(cè)和推動(dòng)系統(tǒng)，它不僅要關(guān)心企業(yè)的現(xiàn)實(shí)生存，更應(yīng)關(guān)注企業(yè)的未來發(fā)展；不但重視企業(yè)微觀，同時(shí)也關(guān)心企業(yè)宏觀；不只是簡(jiǎn)單的規(guī)避風(fēng)險(xiǎn)，更著眼于科學(xué)風(fēng)險(xiǎn)管理，重視通過業(yè)務(wù)發(fā)展減低風(fēng)險(xiǎn)；不僅要重視現(xiàn)行會(huì)計(jì)上已確認(rèn)和計(jì)量的資產(chǎn)，更要關(guān)注人力資本、管理團(tuán)隊(duì)、核心競(jìng)爭(zhēng)力、研發(fā)能力、客戶資源、企業(yè)文化和品牌與商譽(yù)等軟性資產(chǎn)在企業(yè)發(fā)展和控制活動(dòng)中的重要作用，即在內(nèi)部控制上要引入“全面資產(chǎn)”概念；不僅注重企業(yè)經(jīng)理班子之下的內(nèi)部控制，而且特別強(qiáng)調(diào)公司治理結(jié)構(gòu)建設(shè)，強(qiáng)調(diào)企業(yè)法律邊界以外可能對(duì)企業(yè)生存與發(fā)展有重大影響的各類要素。