COSO是全國虛假財務(wù)報告委員會下屬的發(fā)起人委員會（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文縮寫。根據(jù)薩班斯法案第404節(jié)條款以及美國證券交易委員會（SEC）的相應(yīng)實施標(biāo)準(zhǔn)，要求公眾公司的管理層評估和報告公司最近年度的財務(wù)報告的內(nèi)部控制的有效性。2004年3月9日，PCAOB發(fā)布了其第2號審計標(biāo)準(zhǔn)：“與財務(wù)報表審計相關(guān)的針對財務(wù)報告的內(nèi)部控制的審計”，并于6月18日經(jīng)SEC批準(zhǔn)。SEC對該標(biāo)準(zhǔn)的認(rèn)同等于從另外一個側(cè)面承認(rèn)了1992年COSO公布的《內(nèi)部控制—綜合框架》（也稱“COSO內(nèi)部控制框架”）。這也表明COSO框架已正式成為美國上市公司內(nèi)部控制框架的參照性標(biāo)準(zhǔn)。

1992年Treadway委員會經(jīng)過多年研究，針對公司行政總裁、其他高級執(zhí)行官、董事、立法部門和監(jiān)管部門的內(nèi)部控制進行高度概括，發(fā)布《內(nèi)部控制一整體框架》（Interna Control－Integrated Framework）報告，即通稱的COSO報告。該報告第一部分是概括；第二部分是定義框架，完整定義內(nèi)部控制，描述它的組成部分，為公司管理層、董事會和其他人員提供評價其內(nèi)部控制系統(tǒng)的規(guī)則；第三部分是對外部團體的報告；是為報告編制報表中的內(nèi)部控制的團體提供指南的補充文件；第四部分是評價工具，提供用以評價內(nèi)部控制系統(tǒng)的有用材料。

COSO報告提出內(nèi)部控制是用以促進效率，減少資產(chǎn)損失風(fēng)險，幫助保證財務(wù)報告的可靠性和對法律法規(guī)的遵從。COSO報告認(rèn)為內(nèi)部控制有如下目標(biāo)：經(jīng)營的效率和效果（基本經(jīng)濟目標(biāo)，包括績效、利潤目標(biāo)和資源、安全），財務(wù)報告的可靠性（與對外公布的財務(wù)報表編制相關(guān)的，包括中期報告、合并財務(wù)報表中選取的數(shù)據(jù)的可靠性）和符合相應(yīng)的法律法規(guī)。

1.控制環(huán)境（Control environment）

它包括組織人員的誠實、倫理價值和能力；管理層哲學(xué)和經(jīng)營模式；管理層分配權(quán)限和責(zé)任、組織、發(fā)展員工的方式；董事會提供的關(guān)注和方向。控制環(huán)境影響員工的管理意識，是其他部分的基礎(chǔ)。

2.風(fēng)險評估（risk assessment）

是確認(rèn)和分析實現(xiàn)目標(biāo)過程中的相關(guān)風(fēng)險，是形成管理何種風(fēng)險的依據(jù)。它隨經(jīng)濟、行業(yè)、監(jiān)管和經(jīng)營條件而不斷變化，需建立一套機制來辨認(rèn)和處理相應(yīng)的風(fēng)險。

3.控制活動（control activities）

是幫助執(zhí)行管理指令的政策和程序。它貫穿整個組織、各種層次和功能，包括各種活動如批準(zhǔn)、授權(quán)、證實、調(diào)整、經(jīng)營績效評價、資產(chǎn)保護和職責(zé)分離等。

4.信息和交流（information and communication）

信息系統(tǒng)產(chǎn)生各種報告，包括經(jīng)營、財務(wù)、守規(guī)等方面，使得對經(jīng)營的控制成為可能。處理的信息包括內(nèi)部生成的數(shù)據(jù)，也包括可用于經(jīng)營決策的外部事件、活動、狀況的信息和外部報告。所有人員都要理解自己在控制系統(tǒng)中所處的位置，以及相互的關(guān)系；必須認(rèn)真對待控制賦予自己的責(zé)任，同時也必須同外部團體如客戶、供貨商、監(jiān)管機構(gòu)和股東進行有效的溝通。

5.監(jiān)控（monitoring）

監(jiān)控在經(jīng)營過程中進行，通過對正常的管理和控制活動以及員工執(zhí)行職責(zé)過程中的活動進行監(jiān)控，來評價系統(tǒng)運作的質(zhì)量。不同評價的范圍和步驟取決于風(fēng)險的評估和執(zhí)行中的監(jiān)控程序的有效性。對于內(nèi)部控制的缺陷要及時向上級報告，嚴(yán)重的問題要報告到管理層高層和董事會。

（l）管理層：CEO最終負責(zé)整個控制系統(tǒng)。對大公司， CEO可把權(quán)限分配給高級經(jīng)理，并評價其控制活動，然后，高級經(jīng)理具體制定控制的程序和人員責(zé)任；對小公司，一切可更為直接，由最高經(jīng)理具體執(zhí)行。

（2）董事會：管理層對董事會負責(zé)，由董事會設(shè)計治理結(jié)構(gòu)，指導(dǎo)監(jiān)管的進行。有效的董事會應(yīng)掌握有效的上下溝通渠道，設(shè)立財務(wù)、內(nèi)部審計等職能，防止管理層超越控制，有意歪曲事實來掩蓋管理的缺陷。

（3）內(nèi)部審計師：內(nèi)審對評價控制系統(tǒng)的有效性具有重要作用，對公司的治理結(jié)構(gòu)行使者監(jiān)管的職能。

（4）內(nèi)部其他人員：明確各自的職責(zé)，提供系統(tǒng)所需的信息，實現(xiàn)相應(yīng)的控制；對經(jīng)營中出現(xiàn)的問題，對不合法、違規(guī)行為有責(zé)任與上級溝通。

（5）外部人員。公司的外部人員也有助于控制目標(biāo)的實現(xiàn)，如外部審計可提供客觀獨立的評價，通過財務(wù)報表審計直接向管理階層提供有用信息；另如法律部門、監(jiān)管部門、客戶、其他往來單位、財務(wù)分析師、信用評級公司、新聞媒體等也都有助于內(nèi)部控制的有效執(zhí)行。

COSO報告是在美國金融風(fēng)險加劇，財務(wù)欺詐抬頭，社會各界對內(nèi)部控制和獨立審計師寄予厚望的“危難”時刻，由五個職業(yè)會計團體聯(lián)合并潛心研究近4年左右的時間才誕生的。COSO報告中蘊涵了許多嶄新的理念和思想。這些理念和思想，不僅對過去，而且對現(xiàn)在甚至未來的企業(yè)管理、財會工作和獨立審計都有著重要影響。主要有以下幾個方面：

1.準(zhǔn)確定位內(nèi)部控制基本目標(biāo)。COSO報告指出內(nèi)部控制本身不是目的，而是實現(xiàn)目標(biāo)的手段。內(nèi)部控制目標(biāo)是幫助企業(yè)奔向經(jīng)營目標(biāo)、完成使命和減少經(jīng)營過程中的風(fēng)險。用中國話來說就是為企業(yè)的經(jīng)營和管理工作“保駕護航”。

2.提出三類目標(biāo)、五項構(gòu)成要素概念。COSO把內(nèi)部控制細分為經(jīng)營效率與效果、財務(wù)報告可靠和遵紀(jì)守法三類子目標(biāo)和控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通和監(jiān)測活動五項構(gòu)成要素。這些概念的提出，為評價內(nèi)部控制系統(tǒng)提供了一套完整的標(biāo)準(zhǔn)，使COSO報告在理論和實際應(yīng)用兩個方面都較原來的內(nèi)部控制學(xué)說有一個質(zhì)的飛躍。

3.提出內(nèi)部控制是“過程”，并由控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通和監(jiān)測活動五項要素構(gòu)成。五項控制要素不是內(nèi)部控制過程中先后順序上的一道道工序，而是一個多方向交叉的多維的反復(fù)的過程。COSO報告突出了內(nèi)部控制過程中的復(fù)雜性和各控制要素之間有機的多維的聯(lián)系與影響。

4.強調(diào)“人”的重要性。COSO報告指出人和環(huán)境是推動企業(yè)發(fā)展的引擎。內(nèi)部控制是由人來設(shè)計和實施的，企業(yè)中的每位員工都受內(nèi)部控制的影響，并通過自身的工作影響著他人的工作和整個內(nèi)部控制系統(tǒng)。所以，要求所有員工都應(yīng)清楚他們在企業(yè)、在內(nèi)部控制系統(tǒng)中的位置和角色，并協(xié)調(diào)一致，才能推進內(nèi)部控制的有效運轉(zhuǎn)。

5.認(rèn)識到董事會在內(nèi)部控制中的作用。COSO認(rèn)為董事會與公司內(nèi)部控制之間是有聯(lián)系的，企業(yè)中一些行為需要董事會批準(zhǔn)或授權(quán)。一個客觀、能動和富有調(diào)查精神的董事會，能夠及時發(fā)現(xiàn)并修正公司經(jīng)理班子逾越內(nèi)部控制的行爐。

6.強調(diào)內(nèi)部控制系統(tǒng)系是“內(nèi)置于”（built in）企業(yè)經(jīng)營和管理過程中的一項基礎(chǔ)設(shè)施（infrastructure），與管理活動的計劃、執(zhí)行和監(jiān)控職能交織融合在一起，不是后天添加物（built on）。同時內(nèi)控系統(tǒng)應(yīng)有應(yīng)對不斷變化的客觀世界的機制。

COSO報告是以職業(yè)會計師為主體隊伍的研究成果，應(yīng)用的現(xiàn)實特別是面對美國財務(wù)危機的現(xiàn)狀，顯示COSO報告在控制能力上的差距。COSO報告中主要值得商榷的問題有：

1.沒有充分認(rèn)識到董事會對內(nèi)部控制系統(tǒng)的至關(guān)重要性。雖然COSO報告把董事會與內(nèi)部控制聯(lián)系起來，但它的這種聯(lián)系僅僅局限于企業(yè)有一些事情需要董事會審批或授權(quán)，基本上把內(nèi)部控制限定在CEO之下，而對董事會更為重要的作用和董事會與CEO之間的聯(lián)系和制衡關(guān)注不夠。這好比設(shè)計一幢大廈，只看到了地上部分，忽視了地下基礎(chǔ)。

2.COSO提倡的反映內(nèi)部控制運行狀態(tài)的“管理報告”的信息含量和可信性值得懷疑。首先，從正常邏輯上考慮，如果一個企業(yè)的內(nèi)部控制存在問題，企業(yè)能夠如實地公示社會嗎？第二，管理報告對內(nèi)部控制的評價只是基于某一時點狀況而言的。根據(jù)COSO報告，企業(yè)不需披露在此時點之前存在的但已被發(fā)現(xiàn)和更正的內(nèi)部控制缺陷。第三，報告的范圍僅限于與財務(wù)報告有關(guān)的內(nèi)部控制，而財務(wù)報告只是經(jīng)營結(jié)果的反映。筆者認(rèn)為內(nèi)部控制系統(tǒng)的評估和持續(xù)監(jiān)測是絕對必需的，但COSO建議的這種評估和披露方式容易誤導(dǎo)投資者。

3.COSO報告中的“合理保證”、“成本效益”等詞語，基本上是從會計上直接移植過來的，對于規(guī)避注冊會計師法律責(zé)任是有好處的。但對社會用戶來說，增添了許多猜疑和無奈。到底什么算是“合理保證”，如何做到“成本效益配比”，在實踐中恐怕很難說清楚。內(nèi)部控制評價應(yīng)通過提高評價標(biāo)準(zhǔn)和評價過程的客觀性和透明度增加科學(xué)性。

4.把企業(yè)經(jīng)營和管理中一些重要職能排斥在內(nèi)部控制觸角之外。COSO一方面指出內(nèi)部控制與管理各功能（計劃、執(zhí)行和監(jiān)控）交織在一起，是內(nèi)置于企業(yè)經(jīng)營活動之中的。另一方面卻把目標(biāo)設(shè)定、戰(zhàn)略規(guī)劃、核心競爭力培育、風(fēng)險評估和管理等重要經(jīng)營和管理活動排斥在內(nèi)部控制系統(tǒng)之外。

5.基本目標(biāo)與分類子目標(biāo)之間存在差異。根據(jù)COSO報告，內(nèi)部控制基本目標(biāo)是促使企業(yè)實現(xiàn)經(jīng)營目標(biāo)，并減少經(jīng)營過程中的風(fēng)險，其中既涉及了企業(yè)生存，也關(guān)注了企業(yè)發(fā)展。發(fā)展和戰(zhàn)略規(guī)劃問題是企業(yè)所有問題的根本。而三類子目標(biāo)，基本上都屬于維持企業(yè)當(dāng)期經(jīng)營的范疇，著眼點在于企業(yè)生存，沒有站在企業(yè)戰(zhàn)略高度關(guān)注未來發(fā)展。另外，COSO報告將內(nèi)部控制基本目標(biāo)細分為三類特定目標(biāo)的方法值得商榷。這種分類方法的缺陷在其與GAO就保護資產(chǎn)安全內(nèi)部控制之討論中，就表現(xiàn)出來了。COSO認(rèn)為，保護資產(chǎn)安全內(nèi)部控制屬于經(jīng)營效果效率目標(biāo)的范疇，已經(jīng)包括在經(jīng)營效果效率內(nèi)部控制之中，而GAO認(rèn)為保護資產(chǎn)安全內(nèi)部控制涉及到資產(chǎn)價值真實性的問題，對財務(wù)報告可靠性有重大影響，應(yīng)該包括在財務(wù)報告內(nèi)部控制之中。COSO也在報告中承認(rèn)三類目標(biāo)有時是重疊的。

6.評價內(nèi)部控制有效性標(biāo)準(zhǔn)過于主觀。根據(jù)COSO報告，內(nèi)部控制有效性有賴于對內(nèi)部控制三類目標(biāo)或五個控制要素的實現(xiàn)程度。但評價標(biāo)準(zhǔn)基本上都是主觀判斷。其實，一個企業(yè)內(nèi)部控制是否有效完全可以通過它客觀的市場業(yè)績體現(xiàn)出來，例如企業(yè)市場價值，客戶滿意度，持續(xù)獲利能力增長情況等。

7.內(nèi)部控制系統(tǒng)中會計與審計的色彩太重，考慮企業(yè)現(xiàn)存的和微觀的或規(guī)避風(fēng)險的事情多，與業(yè)務(wù)平臺和業(yè)務(wù)拓展關(guān)系不大，防范風(fēng)險也是被動的，缺乏能動性。所以，至今還有許多公司認(rèn)為內(nèi)部控制只是財務(wù)主管和財會人員的事情。

企業(yè)是多重契約關(guān)系的組合，而股東會與董事會、董事會與經(jīng)理班子之間的委托代理關(guān)系是其中最基本的契約關(guān)系，因此企業(yè)內(nèi)部控制中的“內(nèi)部”就應(yīng)從組建法人治理結(jié)構(gòu)開始。建立健全董事會功能是企業(yè)最根本的內(nèi)部控制?！鞍踩弧?、“施樂”和“世通”特大財務(wù)欺詐案件都直接與董事會功能失效和內(nèi)部人控制泛濫有關(guān)。同時，由于企業(yè)與外部關(guān)系人的經(jīng)濟聯(lián)系和契約關(guān)系，在現(xiàn)代企業(yè)中發(fā)揮著越來越重要的作用，企業(yè)內(nèi)部控制中的“內(nèi)部”有時還要延伸至企業(yè)法律邊界以外，將獨立審計師、供應(yīng)商資源、客戶信用與需求和政府監(jiān)管納入企業(yè)內(nèi)部控制系統(tǒng)?！翱刂啤迸c“反控制”是一對永恒的矛盾，企業(yè)內(nèi)部控制的目的是追求企業(yè)持續(xù)“得到控制”，確保企業(yè)各類契約關(guān)系持續(xù)而有序地運行，確保企業(yè)有一個好的戰(zhàn)略目標(biāo)和管理團隊，并按照既定目標(biāo)持續(xù)高效地發(fā)展和增值，為企業(yè)各類契約當(dāng)事人發(fā)現(xiàn)并創(chuàng)造價值。企業(yè)內(nèi)部控制是企業(yè)與生俱來的，它內(nèi)置于企業(yè)經(jīng)營和管理過程之中，并與之緊密聯(lián)系、水乳交融，是同一事物的不同層面，不可割舍。

企業(yè)內(nèi)部控制應(yīng)是一個能動的駕御、監(jiān)測和推動系統(tǒng)，它不僅要關(guān)心企業(yè)的現(xiàn)實生存，更應(yīng)關(guān)注企業(yè)的未來發(fā)展；不但重視企業(yè)微觀，同時也關(guān)心企業(yè)宏觀；不只是簡單的規(guī)避風(fēng)險，更著眼于科學(xué)風(fēng)險管理，重視通過業(yè)務(wù)發(fā)展減低風(fēng)險；不僅要重視現(xiàn)行會計上已確認(rèn)和計量的資產(chǎn)，更要關(guān)注人力資本、管理團隊、核心競爭力、研發(fā)能力、客戶資源、企業(yè)文化和品牌與商譽等軟性資產(chǎn)在企業(yè)發(fā)展和控制活動中的重要作用，即在內(nèi)部控制上要引入“全面資產(chǎn)”概念；不僅注重企業(yè)經(jīng)理班子之下的內(nèi)部控制，而且特別強調(diào)公司治理結(jié)構(gòu)建設(shè)，強調(diào)企業(yè)法律邊界以外可能對企業(yè)生存與發(fā)展有重大影響的各類要素。