COSO是全国反对虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文缩写。根据萨班斯法案第404节条款以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。2004年3月9日，PCAOB发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》（也称“COSO内部控制框架”）。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。 

　　1992年Treadway委员会经过多年研究，针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布《内部控制一整体框架》（Interna Control－Integrated Framework）报告，即通称的COSO报告。该报告第一部分是概括；第二部分是定义框架，完整定义内部控制，描述它的组成部分，为公司管理层、董事会和其他人员提供评价其内部控制系统的规则；第三部分是对外部团体的报告；是为报告编制报表中的内部控制的团体提供指南的补充文件；第四部分是评价工具，提供用以评价内部控制系统的有用材料。 

COSO报告提出内部控制是用以促进效率，减少资产损失风险，帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标：经营的效率和效果（基本经济目标，包括绩效、利润目标和资源、安全），财务报告的可靠性（与对外公布的财务报表编制相关的，包括中期报告、合并财务报表中选取的数据的可靠性）和符合相应的法律法规。 

COSO报告中内部控制的组成

1.控制环境（Control environment） 

　　它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。 

　　2.风险评估（risk assessment） 

　　是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。 

　　3.控制活动（control activities） 

　　是帮助执行管理指令的和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。 

　　4.信息和交流（information and communication） 

　　信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。 

　　5.监控（monitoring） 

　　监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。

COSO报告中内部控制的职责

（l）管理层：CEO最终负责整个控制系统。对大公司， CEO可把权限分配给高级经理，并评价其控制活动，然后，高级经理具定控制的程序和人员责任；对小公司，一切可更为直接，由最高经理具体执行。 

　　（2）董事会：管理层对董事会负责，由董事会设计治理结构，指导监管的进行。有效的董事会应掌握有效的上下沟通渠道，设立财务、内部审计等职能，防止管理层超越控制，有意歪曲事实来掩盖管理的缺陷。 

　　（3）内部审计师：内审对评价控制系统的有效性具有重要作用，对公司的治理结构行使者监管的职能。 

　　（4）内部其他人员：明确各自的职责，提供系统所需的信息，实现相应的控制；对经营中出现的问题，对不合法、违规行为有责任与上级沟通。 

　　（5）外部人员。公司的外部人员也有助于控制目标的实现，如外部审计可提供客观的评价，通过财务报表审计直接向管理阶层提供有用信息；另如法律部门、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等也都有助于内部控制的有效执行。

COSO报告的现实意义

COSO报告是在美国金融风险加剧，财务欺诈抬头，社会各界对内部控制和审计师寄予厚望的“危难”时刻，由五个职业会计团体联合并潜心研究近4年左右的时间才诞生的。COSO报告中蕴涵了许多崭新的理念和思想。这些理念和思想，不仅对过去，而且对现在甚至未来的企业管理、财会工作和审计都有着重要影响。主要有以下几个方面： 

　　1.准确定位内部控制基本目标。COSO报告指出内部控制本身不是目的，而是实现目标的手段。内部控制目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险。用中国话来说就是为企业的经营和管理工作“保驾护航”。 

　　2.提出三类目标、五项构成要素概念。COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。这些概念的提出，为评价内部控制系统提供了一套完整的标准，使COSO报告在理论和实际应用两个方面都较原来的内部控制学说有一个质的飞跃。 

　　3.提出内部控制是“过程”，并由控制环境、风险评估、控制活动、信息与沟通和监测活动五项要素构成。五项控制要素不是内部控制过程中先后顺序上的一道道工序，而是一个多方向交叉的的反复的过程。COSO报告突出了内部控制过程中的复杂性和各控制要素之间有机的的联系与影响。 

　　4.强调“人”的重要性。COSO报告指出人和环境是推动企业发展的引擎。内部控制是由人来设计和实施的，企业中的每位员工都受内部控制的影响，并通过自身的工作影响着他人的工作和整个内部控制系统。所以，要求所有员工都应清楚他们在企业、在内部控制系统中的位置和角色，并协调一致，才能推进内部控制的有效运转。 

　　5.认识到董事会在内部控制中的作用。COSO认为董事会与公司内部控制之间是有联系的，企业中一些行为需要董事会批准或授权。一个客观、能动和富有调查精神的董事会，能够及时发现并修正公司经理班子逾越内部控制的行炉。 

　　6.强调内部控制系统系是“内置于”（built in）企业经营和管理过程中的一项基础设施（infrastructure），与管理活动的计划、执行和监控职能交织融合在一起，不是后天添加物（built on）。同时内控系统应有应对不断变化的客观世界的机制。 

COSO报告的局限性

COSO报告是以职业会计师为主体队伍的研究成果，应用的现实特别是面对美国财务危机的现状，显示COSO报告在控制能力上的差距。COSO报告中主要值得商榷的问题有： 

　　1.没有充分认识到董事会对内部控制系统的至关重要性。虽然COSO报告把董事会与内部控制联系起来，但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权，基本上把内部控制限定在CEO之下，而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。这好比设计一幢大厦，只看到了地上部分，忽视了地下基础。 

　　2.COSO提倡的反映内部控制运行状态的“管理报告”的信息含量和可信性值得怀疑。首先，从正常逻辑上考虑，如果一个企业的内部控制存在问题，企业能够如实地公示社会吗？第二，管理报告对内部控制的评价只是基于某一时点状况而言的。根据COSO报告，企业不需披露在此时点之前存在的但已被发现和更正的内部控制缺陷。第三，报告的范围仅限于与财务报告有关的内部控制，而财务报告只是经营结果的反映。笔者认为内部控制系统的评估和持续监测是绝对必需的，但COSO建议的这种评估和披露方式容易误导投资者。 

　　3.COSO报告中的“合理保证”、“成本效益”等词语，基本上是从会计上直接移植过来的，对于规避注册会计师法律责任是有好处的。但对社会用户来说，增添了许多猜疑和无奈。到底什么算是“合理保证”，如何做到“成本效益配比”，在实践中恐怕很难说清楚。内部控制评价应通过提高评价标准和评价过程的客观性和透明度增加科学性。 

　　4.把企业经营和管理中一些重要职能排斥在内部控制触角之外。COSO一方面指出内部控制与管理各功能（计划、执行和监控）交织在一起，是内置于企业经营活动之中的。另一方面却把目标设定、战略规划、核心竞争力培育、风险评估和管理等重要经营和管理活动排斥在内部控制系统之外。 

　　5.基本目标与分类子目标之间存在差异。根据COSO报告，内部控制基本目标是促使企业实现经营目标，并减少经营过程中的风险，其中既涉及了企业生存，也关注了企业发展。发展和战略规划问题是企业所有问题的根本。而三类子目标，基本上都属于维持企业当期经营的范畴，着眼点在于企业生存，没有站在企业战略高度关注未来发展。另外，COSO报告将内部控制基本目标细分为三类特定目标的方法值得商榷。这种分类方法的缺陷在其与GAO就保护资产安全内部控制之讨论中，就表现出来了。COSO认为，保护资产安全内部控制属于经营效果效率目标的范畴，已经包括在经营效果效率内部控制之中，而GAO认为保护资产安全内部控制涉及到资产价值真实性的问题，对财务报告可靠性有重大影响，应该包括在财务报告内部控制之中。COSO也在报告中承认三类目标有时是重叠的。 

　　6.评价内部控制有效性标准过于主观。根据COSO报告，内部控制有效性有赖于对内部控制三类目标或五个控制要素的实现程度。但评价标准基本上都是主观判断。其实，一个企业内部控制是否有效完全可以通过它客观的市场业绩体现出来，例如企业市场价值，客户满意度，持续获利能力增长情况等。 

　　7.内部控制系统中会计与审计的色彩太重，考虑企业现存的和微观的或规避风险的事情多，与业务平台和业务拓展关系不大，防范风险也是被动的，缺乏能动性。所以，至今还有许多公司认为内部控制只是财务主管和财会人员的事情。

COSO报告对我国企业的启示

企业是多重契约关系的组合，而股东会与董事会、董事会与经理班子之间的委托代理关系是其中最基本的契约关系，因此企业内部控制中的“内部”就应从组建法人治理结构开始。建立健全董事会功能是企业最根本的内部控制。“安然”、“施乐”和“世通”特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。同时，由于企业与外部关系人的经济联系和契约关系，在现代企业中发挥着越来越重要的作用，企业内部控制中的“内部”有时还要延伸至企业法律边界以外，将审计师、供应商资源、客户信用与需求和监管纳入企业内部控制系统。“控制”与“反控制”是一对永恒的矛盾，企业内部控制的目的是追求企业持续“得到控制”，确保企业各类契约关系持续而有序地运行，确保企业有一个好的战略目标和管理团队，并按照既定目标持续高效地发展和增值，为企业各类契约当事人发现并创造价值。企业内部控制是企业与生俱来的，它内置于企业经营和管理过程之中，并与之紧密联系、水融，是同一事物的不同层面，不可割舍。 

　　企业内部控制应是一个能动的驾御、监测和推动系统，它不仅要关心企业的现实生存，更应关注企业的未来发展；不但重视企业微观，同时也关心企业宏观；不只是简单的规避风险，更着眼于科学风险管理，重视通过业务发展减低风险；不仅要重视现行会计上已确认和计量的资产，更要关注人力资本、管理团队、核心竞争力、研发能力、客户资源、企业文化和品牌与商誉等软性资产在企业发展和控制活动中的重要作用，即在内部控制上要引入“全面资产”概念；不仅注重企业经理班子之下的内部控制，而且特别强调公司治理结构建设，强调企业法律边界以外可能对企业生存与发展有重大影响的各类要素。

从COSO报告看我国内部控制体系的构建

内部控制体系作为生产征管活动的自我调节和自我约束的内在机制，在企业管理系统中具有举足轻重的作用。内部控制体系的建立、健全及实施状况，关系到企业的兴衰成败。如何结合我国的企业实际，建立具有特色的内部控制体系，已成为规范我国企业行为，提高信息质量的当务之急。

　　上个世纪90年代初，由美国注册会计师协会、美国会计学会、财务经理协会等团体参与的“赞助组织委员会”（简称COSO）发布了《内部控制——整体框架》的报告。本文拟通过对COSO报告内部控制整体框架的剖析，探究我国在建立企业内部控制体系过程中应注意的一些。

　　一、COSO内部控制整体框架的内容

　　该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点，超越了以往的内部牵制、内部控制体系和内部控制结构等内部控制思想。

　　报告认为，内部控制是企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式、并与管理的过程相结合。为了实现内部控制的有效性，需要下列五个要素的支持。

　　（1）控制环境。它包括最高管理层的完整性、道德观念、能力、管理、经营风格和董事会的关注、指导。

　　（2）风险评估。这是在既定的经营目标下并减少风险。这一环节是COSO内部控制整体框架的独特之处。

　　（3）控制活动。这是人们较早关注的方面，它包括确保管理层指令得以实施的和程序。

　　（4）信息和沟通。它是整个内部控制系统的生命线，为管理层监督各项活动和在必要时采取纠正措施提供了保证。

　　（5）监督。监督贯穿于整个内部控制过程中，对其进行评估，并具有一定的性。监督的实施途径通常是内部审计。

　　二、借鉴COSO内部控制整体框架的思考

　　在实务中，COSO内部控制整体框架在美国得到了广泛的。

　　我国还未提出类似美国COSO报告的权威性很高的内部控制标准体系。现行具体审计准则第九号“企业内那控制与审计风险”观念还未更新，还停留在内部控制结构阶段。2001年6月22日，财政部以财会[2001]41号文件发布了《内部会计控制规范—一基本规范（试行）》和《内部会计控制规范—一货币资金（试行）》。两个规范作为《会计法》的配套措施，是解决当前一些单位内部管理松弛、控制弱化的重要创举，也是适应我国加入WTO的客观要求。这两个规范的发布实施。对于深入贯彻《会计法》，强化单位内部会计监督，整顿和规范社会主义市场秩序，必将发挥十分重要的促进作用。然而，建立起适应我国经济发股要求的内部控制规范体系仍然是任重而道远。COSO报告对我国内部控制整体框架的建立具有一定的启发和借鉴意义。在构建我国内部控制综合框架时，亦可从以下几方面入手。

　　1.控制环境。包括公司所处的外部环境（经济环境、规定、执法机构、会计准则、外部审计、股东、客户等）和内部机构（董事会及专业委员会、监事会、经理及财务总监、内审机构、子公司和分支机构）。任何企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守、价值观和能力等，他们既显构成环境的重要要素之一，又与环境相互、相互作用。环境要素是推动企业的引擎，也是其它一切要素的核心。

　　2.风险评估。企业必须制定目标，该目标必须和销售、生产、行销、财务等作业相结合。为此，企业也必须设立可辨认、分析和管理相关风险的机制，以了解自身面临的风险，并适时加以处理。控制和风险紧密相连，当企业内外部环境发生变化时，风险最容易发生，因此，企业应特别加强对环境改变时的事务管理。

　　3.控制活动。企业必须制定控制的及程序，并予以执行，以帮助管理阶层保证其控制目标的实现。公司的和程序具体包括为员工建立的行为准则；内部控制标准，包括一般控制、业务流程控制、法律规定、财务报告标准和机处理控制、未达到标准可能出现的风险等；财务管理和标准作业程序，是指为贯彻内部控制标准而建立的具体指导和操作程序。

　　4.信息和沟通。围绕在控制活动周围的是信息与沟通系统。这些系统是企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。一个良好的信息系统应能确保组织中每个人均清楚地知道其所承担的特定职务和责任；业务部门对实现控制目标、落实、确保控制实施负主要责任；财务部门负责辅助完成公司的目标和检查内控程序的履行；与此同时，业务部门与财务部门应相互配合，不断地完善内控系统，并激励在内控方面做出成绩的人员。

　　5.监督。整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。这里所指的监督主要包括四个方面：其一是职业道德的约束，公司应成立由董事长、财务总监、首席法律顾问等组成的“职业道德遵行委员会”，负责调查违反行为准则的人员；其二是通过外部审计，检查和确认财务报告的合法性、公允性和一贯性；其三是通过内部审计，对内部各部门的财务、管理、效益进行审计；其四是加强集团对分部的监控和分部的内控状况。

　　三、我国建立内部控制整体框架应注意的问题

　　1、建立我国内部控制体系应结合各个企业的具体情况。

　　从我国实践来看，内部控制体系已与企业经使过程紧密结合。但从特定企业的内部控制体系的完备性、严谨性和缜密性角度来看，还存在许多批漏，很多企业失败的实例都证明了这一点。当前的信息失真、巨额国有资产流失，以及辉煌一时的明星企业的倒闭，无不与内部控制体系失败有着密切的关系。

　　内部控制体系只是为达到特定目标提供合理保证而不是完全保证的体系。因此，制定完善无缺的内部控制体系，无论从成本效益原则，还是从体系本身所特有的刚性，都是难以实现的。但如果能针对特定企业的组织形式、规模大小、企业文化等因素而分别地进行，就可最大限度地研究某一特定类别企业的内部控制体系，以减少由内部控制框架落实到企业时而呈现的渐多不适应，才能建立一套具有特色的企业内部控制体系。

　　同时，内部控制体系不应制定得过于细致，这样不利于管理工作。各企业应根据自己内部控制的目标、战略和管理需要制定适合自己管理情况的内部控制体系。

　　另外，建立我国的内部控制体系，不能脱离中国的国情，要充分考虑到中国传统文化等对企业文化、管理者素质、品行等的。

　　2、企业内部控制体系应渗透于公司治理结构之中。

　　1999年，世界合作与发展组织（OECD）制定的《公司治理原则》中给“公司治理”作了如下的描述：“公司治理是一种据以对工商业公司进行管理和控制的体系。公司治理明确规定公司各个参与者的责任和权利分布，诸如董事会、经理层、股东和其他利害相关者，并且清楚地说明决策公司事务时所应遵循的规则和程序。同时，它还提供一种结构，使之用以设置公司目标，也提供了达到这些目标和监控运营的手段。”

　　内部控制作为由管理当局为履行诸管理目标而建立的一系列规则、和组织实施程序。与公司治理结构是密不可分的。在我国，内部控制外延的拓宽正是由公司治理结构变化所致。在企业体系的公司治理结构下，公司作为自负盈亏、自我完善、自我发展、自我消亡的经济组织，以管理监控为己任的内部控制的目的必须要拓展到保证公司的贯彻和公司管理目标的实现上。公司治理结构是促使内部控制有效运行，保证内部控制功能发挥的前提和基础，是实行内部控制的体系环境；而内部控制在公司治理结构中担当的是内部管理监控系统的角色，最有利于企业受托者实现企业经营管理目标，完成受托责任的一种手段。内部控制框架在公司体系安排中担任内部管理监控的角色，成为公司管理中不可缺少的部分。

　　从COSO委员会的报告中，我们可以发现内部控制是与企业经营过程结合在一起的。因此，研究企业内部控制体系，不

　　能仅从会计入手，应着眼于现代企业制度和法人制度的结合点上。应全面渗透到企业各个层次的组织管理制度，贯穿于公司治理结构的始终。

　　3、应建立上市公司对企业内部控制体系的披露体系

　　现行的《企业会计准则》和《企业会计制度》并没有强制性地要求企业对内部控制体系进行披露，只是要求对一些有助于理解和会计报表的事项在会计报表附注中予以说明。笔者认为，从提高上市公司财务信息披露质量的角度，应该对内部控制体系进行披露，编制企业内部控制报告。

　　内部控制报告是管理当局解除受托责任的一种方式。它可以提高企业管理当局内部控制的意识，企业管理当局对内部控制进行评估并对外报告，可以提高企业财务报告的可靠性，在一定程度上减少舞弊的发生。同时，内部控制报告可以向报表使用者提供单纯的财务报告所不能提供的信息，有助于报表使用者进行决策。此外，它在一定程度上也可以减少注册会计师的工作量。基于上述理由，上市公司提供的内部控制报告对于增进企业内部控制，减少财务报告舞弊现象、促进与注册会计师的交流等方面都起着积极的作用，同时也表明了上市公司管理当局对建立内部控制制度、保障公司财产安全的责任和履行。因此，上市公司应当对其内部控制做出报告，以帮助投资者进行决策。下载本文