COSO

根據薩班斯法案第404節條款以及美國證券交易委員會（SEC）的相應實施標準，要求公眾公司的管理層評估和報告公司最近年度的財務報告的內部控制的有效性。2004年3月9日，PCAOB發布了其第2號審計標準：“與財務報表審計相關的針對財務報告的內部控制的審計”，並於6月18日經SEC批准。SEC對該標準的認同等於從另外一個側面承認了1992年COSO公布的《內部控制—綜合框架》（也稱“COSO內部控制框架”）。這也表明COSO框架已正式成為美國上市公司內部控制框架的參照性標準。

1992年Treadway委員會經過多年研究，針對公司行政總裁、其他高級執行官、董事、立法部門和監管部門的內部控制進行高度概括，發布《內部控制一整體框架》（Internal Control－Integrated Framework）報告，即通稱的COSO報告。該報告第一部分是概括；第二部分是定義框架，完整定義內部控制，描述它的組成部分，為公司管理層、董事會和其他人員提供評價其內部控制系統的規則；第三部分是對外部團體的報告；是為報告編制報表中的內部控制的團體提供指南的補充檔案；第四部分是評價工具，提供用以評價內部控制系統的有用材料。

COSO報告提出內部控制是用以促進效率，減少資產損失風險，幫助保證財務報告的可靠性和對法律法規的遵從。COSO報告認為內部控制有如下目標：經營的效率和效果（基本經濟目標，包括績效、利潤目標和資源、安全），財務報告的可靠性（與對外公布的財務報表編制相關的，包括中期報告、合併財務報表中選取的數據的可靠性）和符合相應的法律法規。

多年來,人們在風險管理實踐中逐漸認識到,一個企業內部不同部門或不同業務的風險,有的相互疊加放大,有的相互抵消減少。因此,企業不能僅僅從某項業務、某個部門的角度考慮風險,必須根據風險組合的觀點,從貫穿整個企業的角度看風險。

COSO委員會從2001年起開始進行這方面的研究,在2003年7月完成了《企業風險管理框架》（草案）並公開向業界徵求意見。2004年4月美國COSO委員會在《內部控制整體框架》的基礎上，結合《薩班斯一奧克斯法案》（Sarbanes-Oxley Act）在報告方面的要求，同時吸收各方面風險管理研究成果，頒布了《企業風險管理框架》（Enterprise Risk Management Framework）旨在為各國的企業風險管理提供一個統一術語與概念體系的全面的套用指南。

自1992年美國COSO委員會發布《COSO內部控制整合框架》以來，該框架已在全球獲得廣泛的認可和套用，但是理論界和實務界一直不斷對其提出一些改進建議，強調內部控制整合框架的建立應與企業風險管理相結合。2002年頒布的薩班斯法案也要求上市公司全面關注風險，加強風險管理 ，在客觀上也推動了內部控制整體框架的進一步發展。與此同時，COSO委員會也意識到《內部控制整合框架》自身也存一些問題，如過分注重財務報告，而沒有從企業全局與戰略的高度來關注企業風險。正是基於這種內部和外部的雙重因素，新框架必須出台以適應發展需求。

鉑略諮詢舉辦的Coso管理分享會

2003年7月，美國COSO委員根據薩班斯法案的相關要求，頒布了“企業風險管理整合框架”的討論稿(Draft)，該討論稿是在《內部控制整合框架》的基礎上進行了擴展而得來的，2004年9月正式頒布了《企業風險管理整合框架》（COSO-ERM）。2004版框架發布據今已有十幾年時間，這十幾年間，風險的複雜性發生了重大變化，由於新環境、新技術的不斷演變，新的風險也層出不窮。在此前提下，COSO在2014年啟動了首次對風險管理框架的修訂工作，並於2017年9月發布了最新修訂版《企業風險管理框架》（COSO-ERM）。

COSO企業風險管理的定義 ：“企業風險管理是一個過程，受企業董事會、管理層和其他員工的影響，包括內部控制及其在戰略和整個公司的套用，旨在為實現經營的效率和效果、財務報告的可靠性以及法規的遵循提供合理保證。”COSO-ERM框架是一個指導性的理論框架，為公司的董事會提供了有關企業所面臨的重要風險，以及如何進行風險管理方面的重要信息。企業風險管理本身是一個由企業董事會、管理層、和其他員工共同參與的，套用於企業戰略制定和企業內部各個層次與部門的，用於識別可能對企業造成潛在影響的事項並在其風險偏好範圍內進行多層面，流程化的企業風險管理過程，它為企業目標實現提供合理保證。

業務部門是要帶領企業高質高效的達成企業的經營目標，將其價值最大化。這個目標是企業的自主性目標，是自己給自己的壓力。它所實現的措施都是積極性的措施，去實現企業的自主性目標，是為了實現要帶領企業有效率的、有效果的達成企業的價值最大化。而內控，更多的是外部強加給我們的，它要求我們企業里的每個人應該使用正確的方法，做該做的事情，而不是不擇手段的用你的智慧和能力去實現企業價值的最大化。從這個意義上說，內控的目標是強制性的，它的措施是防禦性的。

所以COSO（美國反舞弊性財務報告委員會發起組織）的報告裡寫到“再好的內部控制體系，它不能夠把一個劣跡斑斑的或沒有經營智商的管理層變成一個非常有經驗頭腦的能力的管理層”。鉑略諮詢認為它的作用不在於智慧和能力，它的作用在於去完成外界強制要完成的事情，在企業實現主要目標的前提下。它是一種防禦性措施，它所強調的是一種必須做的義務和責任，而不是智慧和能力。

1.控制環境（Control environment）

它包括組織人員的誠實、倫理價值和能力；管理層哲學和經營模式；管理層分配許可權和責任、組織、發展員工的方式；董事會提供的關注和方向。控制環境影響員工的管理意識，是其他部分的基礎。

2.風險評估（risk assessment）

是確認和分析實現目標過程中的相關風險，是形成管理何種風險的依據。它隨經濟、行業、監管和經營條件而不斷變化，需建立一套機制來辨認和處理相應的風險。

3.控制活動（control activities）

是幫助執行管理指令的政策和程式。它貫穿整個組織、各種層次和功能，包括各種活動如批准、授權、證實、調整、經營績效評價、資產保護和職責分離等。

4.信息的溝通與交流（information and communication）

信息系統產生各種報告，包括經營、財務、守規等方面，使得對經營的控制成為可能。處理的信息包括內部生成的數據，也包括可用於經營決策的外部事件、活動、狀況的信息和外部報告。所有人員都要理解自己在控制系統中所處的位置，以及相互的關係；必須認真對待控制賦予自己的責任，同時也必須同外部團體如客戶、供貨商、監管機構和股東進行有效的溝通。

5.對環境的監控（monitoring）

監控在經營過程中進行，通過對正常的管理和控制活動以及員工執行職責過程中的活動進行監控，來評價系統運作的質量。不同評價的範圍和步驟取決於風險的評估和執行中的監控程式的有效性。對於內部控制的缺陷要及時向上級報告，嚴重的問題要報告到管理層高層和董事會。

CEO最終負責整個控制系統。對大公司， CEO可把許可權分配給高級經理，並評價其控制活動，然後，高級經理具體制定控制的程式和人員責任；對小公司，一切可更為直接，由最高經理具體執行。

管理層對董事會負責，由董事會設計治理結構，指導監管的進行。有效的董事會應掌握有效的上下溝通渠道，設立財務、內部審計等職能，防止管理層超越控制，有意歪曲事實來掩蓋管理的缺陷。

內審對評價控制系統的有效性具有重要作用，對公司的治理結構行使者監管的職能。

明確各自的職責，提供系統所需的信息，實現相應的控制；對經營中出現的問題，對不合法、違規行為有責任與上級溝通。

公司的外部人員也有助於控制目標的實現，如外部審計可提供客觀獨立的評價，通過財務報表審計直接向管理階層提供有用信息；另如法律部門、監管部門、客戶、其他往來單位、財務分析師、信用評級公司、新聞媒體等也都有助於內部控制的有效執行。

COSO報告是在美國金融風險加劇，財務欺詐抬頭，社會各界對內部控制和獨立審計師寄予厚望的“危難”時刻，由五個職業會計團體聯合併潛心研究近4年左右的時間才誕生的。COSO報告中蘊涵了許多嶄新的理念和思想。這些理念和思想，不僅對過去，而且對現在甚至未來的企業管理、財會工作和獨立審計都有著重要影響。主要有以下幾個方面：

1.準確定位內部控制基本目標。COSO報告指出內部控制本身不是目的，而是實現目標的手段。內部控制目標是幫助企業奔向經營目標、完成使命和減少經營過程中的風險。用中國話來說就是為企業的經營和管理工作“保駕護航”。

2.提出三類目標、五項構成要素概念。COSO把內部控制細分為經營效率與效果、財務報告可靠和遵紀守法三類子目標和控制環境、風險評估、控制活動、信息與溝通和監測活動五項構成要素。這些概念的提出，為評價內部控制系統提供了一套完整的標準，使COSO報告在理論和實際套用兩個方面都較原來的內部控制學說有一個質的飛躍。

3.提出內部控制是“過程”，並由控制環境、風險評估、控制活動、信息與溝通和監測活動五項要素構成。五項控制要素不是內部控制過程中先後順序上的一道道工序，而是一個多方向交叉的多維的反覆的過程。COSO報告突出了內部控制過程中的複雜性和各控制要素之間有機的多維的聯繫與影響。

4.強調“人”的重要性。COSO報告指出人和環境是推動企業發展的引擎。內部控制是由人來設計和實施的，企業中的每位員工都受內部控制的影響，並通過自身的工作影響著他人的工作和整個內部控制系統。所以，要求所有員工都應清楚他們在企業、在內部控制系統中的位置和角色，並協調一致，才能推進內部控制的有效運轉。

5.認識到董事會在內部控制中的作用。COSO認為董事會與公司內部控制之間是有聯繫的，企業中一些行為需要董事會批准或授權。一個客觀、能動和富有調查精神的董事會，能夠及時發現並修正公司經理班子逾越內部控制的行爐。

6.強調內部控制系統系是“內置於”（built in）企業經營和管理過程中的一項基礎設施（infrastructure），與管理活動的計畫、執行和監控職能交織融合在一起，不是後天添加物（built on）。同時內控系統應有應對不斷變化的客觀世界的機制。

COSO報告是以職業會計師為主體隊伍的研究成果，套用的現實特別是面對美國財務危機的現狀，顯示COSO報告在控制能力上的差距。COSO報告中主要值得商榷的問題有：

1.沒有充分認識到董事會對內部控制系統的至關重要性。雖然COSO報告把董事會與內部控制聯繫起來，但它的這種聯繫僅僅局限於企業有一些事情需要董事會審批或授權，基本上把內部控制限定在CEO之下，而對董事會更為重要的作用和董事會與CEO之間的聯繫和制衡關注不夠。這好比設計一幢大廈，只看到了地上部分，忽視了地下基礎。

2.COSO提倡的反映內部控制運行狀態的“管理報告”的信息含量和可信性值得懷疑。首先，從正常邏輯上考慮，如果一個企業的內部控制存在問題，企業能夠如實地公示社會嗎？第二，管理報告對內部控制的評價只是基於某一時點狀況而言的。根據COSO報告，企業不需披露在此時點之前存在的但已被發現和更正的內部控制缺陷。第三，報告的範圍僅限於與財務報告有關的內部控制，而財務報告只是經營結果的反映。筆者認為內部控制系統的評估和持續監測是絕對必需的，但COSO建議的這種評估和披露方式容易誤導投資者。

3.COSO報告中的“合理保證”、“成本效益”等詞語，基本上是從會計上直接移植過來的，對於規避註冊會計師法律責任是有好處的。但對社會用戶來說，增添了許多猜疑和無奈。到底什麼算是“合理保證”，如何做到“成本效益配比”，在實踐中恐怕很難說清楚。內部控制評價應通過提高評價標準和評價過程的客觀性和透明度增加科學性。

4.把企業經營和管理中一些重要職能排斥在內部控制觸角之外。COSO一方面指出內部控制與管理各功能（計畫、執行和監控）交織在一起，是內置於企業經營活動之中的。另一方面卻把目標設定、戰略規劃、核心競爭力培育、風險評估和管理等重要經營和管理活動排斥在內部控制系統之外。

5.基本目標與分類子目標之間存在差異。根據COSO報告，內部控制基本目標是促使企業實現經營目標，並減少經營過程中的風險，其中既涉及了企業生存，也關注了企業發展。發展和戰略規劃問題是企業所有問題的根本。而三類子目標，基本上都屬於維持企業當期經營的範疇，著眼點在於企業生存，沒有站在企業戰略高度關注未來發展。另外，COSO報告將內部控制基本目標細分為三類特定目標的方法值得商榷。這種分類方法的缺陷在其與GAO就保護資產安全內部控制之討論中，就表現出來了。COSO認為，保護資產安全內部控制屬於經營效果效率目標的範疇，已經包括在經營效果效率內部控制之中，而GAO認為保護資產安全內部控制涉及到資產價值真實性的問題，對財務報告可靠性有重大影響，應該包括在財務報告內部控制之中。COSO也在報告中承認三類目標有時是重疊的。

6.評價內部控制有效性標準過於主觀。根據COSO報告，內部控制有效性有賴於對內部控制三類目標或五個控制要素的實現程度。但評價標準基本上都是主觀判斷。其實，一個企業內部控制是否有效完全可以通過它客觀的市場業績體現出來，例如企業市場價值，客戶滿意度，持續獲利能力增長情況等。

7.內部控制系統中會計與審計的色彩太重，考慮企業現存的和微觀的或規避風險的事情多，與業務平台和業務拓展關係不大，防範風險也是被動的，缺乏能動性。所以，至今還有許多公司認為內部控制只是財務主管和財會人員的事情。

企業是多重契約關係的組合，而股東會與董事會、董事會與經理班子之間的委託代理關係是其中最基本的契約關係，因此企業內部控制中的“內部”就應從組建法人治理結構開始。建立健全董事會功能是企業最根本的內部控制。“安然”、“施樂”和“世通”特大財務欺詐案件都直接與董事會功能失效和內部人控制泛濫有關。同時，由於企業與外部關係人的經濟聯繫和契約關係，在現代企業中發揮著越來越重要的作用，企業內部控制中的“內部”有時還要延伸至企業法律邊界以外，將獨立審計師、供應商資源、客戶信用與需求和政府監管納入企業內部控制系統。“控制”與“反控制”是一對永恆的矛盾，企業內部控制的目的是追求企業持續“得到控制”，確保企業各類契約關係持續而有序地運行，確保企業有一個好的戰略目標和管理團隊，並按照既定目標持續高效地發展和增值，為企業各類契約當事人發現並創造價值。企業內部控制是企業與生俱來的，它內置於企業經營和管理過程之中，並與之緊密聯繫、水乳交融，是同一事物的不同層面，不可割捨。

企業內部控制應是一個能動的駕御、監測和推動系統，它不僅要關心企業的現實生存，更應關注企業的未來發展；不但重視企業微觀，同時也關心企業巨觀；不只是簡單的規避風險，更著眼於科學風險管理，重視通過業務發展減低風險；不僅要重視現行會計上已確認和計量的資產，更要關注人力資本、管理團隊、核心競爭力、研發能力、客戶資源、企業文化和品牌與商譽等軟性資產在企業發展和控制活動中的重要作用，即在內部控制上要引入“全面資產”概念；不僅注重企業經理班子之下的內部控制，而且特彆強調公司治理結構建設，強調企業法律邊界以外可能對企業生存與發展有重大影響的各類要素。

COSO風險管理框架把風險管理的要素分為八個：內部環境、目標制定、事件識別、風險評估、風險反應、控制活動、信息與溝通、監督。

企業的內部環境是其他所有風險管理要素的基礎，為其他要素提供規則和結構。內部環境影響企業戰略和目標的制定、業務活動的組織和風險的識別、評估和執行等等。它還影響企業控制活動的設計和執行、信息和溝通系統以及監控活動。內部環境包含很多內容，包括企業員工的道德觀和勝任能力、人員的培訓、管理者的經營模式、分配許可權和職責的方式等。董事會是內部環境的一個重要組成部分，對其他內部環境的組成內容有重要的影響。而企業的管理者也是內部環境的一部分，其職責是建立企業的風險管理理念、確定企業的風險偏好，營造企業的風險文化，並將企業的風險管理和相關的行動計畫結合起來。

根據企業確定的任務或預期，管理者確定企業的戰略目標，選擇戰略方案，確定相關的子目標並在企業內層層分解和落實，各子目標都應遵循企業的戰略方案並與戰略方案相聯繫。

管理者意識到了不確定性的存在，即管理者不能確切地知道某一事項是否會發生、何時發生或者如果發生其結果如何。作為事項識別的一部分，管理者應考慮會影響事項發生的各種企業內外部的因素。外部因素包括經濟、商業、自然環境、政治、社會和技術因素等，內部因素反映出管理者所做的選擇，包括企業的基礎設施、人員、生產過程和技術等事項。

風險評估可以使企業了解潛在事項如何影響企業目標的實現。管理者應從兩個方面對風險進行評估――風險發生的可能性和影響。

管理者可以制定不同風險反應方案，並在風險容忍度和成本效益原則的前提下，考慮每個方案如何影響事項發生的可能性和事項對企業的影響，並設計和執行風險反應方案。考慮各風險反應方案並選擇和執行一個風險反應方案是企業風險管理不可分割的一部分。有效的風險管理要求管理者選擇一個可以使企業風險發生的可能性和影響都落在風險容忍度範圍之內的風險反應方案。

控制活動是幫助保證風險反應方案得到正確執行的相關政策和程式。控制活動存在於企業的各部分、各個層面和各個部門。控制活動是企業努力實現其商業目標的過程的一部分。通常包括兩個要素：確定應該做什麼的一個政策和影響該政策的一系列過程。

來自於企業內部和外部的相關信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞，以保證企業的員工能夠執行各自的職責。有效的溝通也是廣義上的溝通，包括企業內自上而下、自下而上以及橫向的溝通。有效的溝通還包括將相關的信息與企業外部相關方的有效溝通和交換，如客戶、供應商、行政管理部門和股東等。

對企業風險管理的監控是指評估風險管理要素的內容和運行以及一段時期的執行質量的一個過程。企業可以通過兩種方式對風險管理進行監控――持續監控和個別評估。持續監控和個別評估都是用來保證企業的風險管理在企業內各管理層面和各部門持續得到執行。

這裡借波音公司的例子來說明。

儘管最終我們成功實現了向coso的轉換，過程中卻也遇到了一些阻礙。我們一步步實現這個過程，開始於開發和測試控制評價表格。早期表格結合了由國際內部審計師協會內部審計的專業實踐標準（IIA’s Standards for the Professional Practice of Internal Auditing）發布的COSO控制要素的內部控制目標。但是審計師們卻對關於COSO和標準的術語感到迷惑，問題就產生了。

此外，審計人員對COSO框架的理解不足，沒有統一的評級標準來確保一致性。讓問題更加複雜的是，兩起重大的併購案子——涉及到波音、羅克韋爾和麥道公司，三家企業的審計人員在執行內部審計時各持己見。許多審計人員看不到內部審計評級的任何好處，這更讓人擔心。由於缺少指導，術語混亂，審計人員產生這種感覺也不是沒有道理的。

通過同員工一起建立共識，包括管理方向，詳細的書面指導、員工培訓和後續驗證研討會，這些問題才得以解決。開設了培訓講習班，講解COSO的性質、目的和方法。在講習班上還展現了審計方法的修訂方案，這樣可以保證套用的一致性。基於COSO的評級標準也提供給審計人員，指導他們如何報告內部控制情況。為了保證目標一致，推出了新的內控政策和程式。整個公司標註化COSO套用，強調管理責任的實現。

此外，高層管理部門的支持是至關重要的。沒有他們的支持，許多典型的障礙都會出現阻止COSO的實施。高層管理部門的支持包括：

· 日常審計交流備忘錄，套用COSO框架追蹤及報告整個公司內部控制情況的必要性。

· 高級管理援助，積極參與COSO培訓課程，支持COSO模式以及員工的轉入。

· 審計主管使用控制評級指標來準備控制環境評估。

· COSO指導的項目管理支持，包括通過檢查來保證審計過程中COSO標準的適當套用。

所有努力的一個好處就是提交到審計委員會的公司內部控制現狀的報告狀況有所改善。由於我們已經按照COSO原則改造了公司的審計過程，公司董事和高層管理部門就可以快速知道在COSO評級系統的評測下公司內部控制的效果。

在標準審計過程中使用COSO框架對其他方面也很有幫助。最明顯的，我們相信，只要堅持每一個審計環節都依照COSO目標，項目的效率和效果肯定會整體提高的。我們的政策要求，COSO五要素必須覆蓋每一個審計過程，這有效的改善了我們審計工作的有效性，特別是對於在舊審計系統下沒有解決的那些案子。

另一個關鍵好處是新波音公司內部審計通用框架的採用，專注於COSO可以幫助新聯合的三個公司形成統一的內部控制概念。但是審計工作的可靠性和可比性卻取決於繼續遵守規定辦法，操作不一致肯定會帶來潛在風險。同行審查和正在進行的監測有助於減少這種可能性。

建立以COSO為基礎的審計並不簡單。但是願意嘗試的人會得到回報——更全面的審計覆蓋和更先進的管理報告。

1、1985年，coso成立。

2、1987年，coso提出整合內控的概念。

3、1987—1992年，coso提出IC（內部控制整體框架）框架。

4、1994年，coso對IC框架進行修訂。

5、2003年9月，coso提出ERM（企業內部風險管理整合框架）框架草稿。

6、2004年10月，coso發布ERM框架。

7、2017年9月，coso發布最新修訂版ERM框架。

1985年，由美國註冊會計師協會(AICPA)、美國會計協會(AAA)、財務經理人協會(FEI)、內部審計師協會(IIA)、管理會計師協會(IMA)聯合創建了反虛假財務報告委員會（通常稱Treadway委員會），旨在探討財務報告中的舞弊產生的原因，並尋找解決之道。兩年後，基於該委員會的建議，其贊助機構成立COSO（Committee of Sponsoring Organization，COSO）委員會，專門研究內部控制問題。1992年9月，COSO委員會發布《內部控制整合框架》（COSO-IC），簡稱COSO報告，1994年進行了增補。這些成果馬上得到了美國審計署(GAO)的認可，美國註冊會計師協會（AICPA）也全面接受其內容並於1995年發布了《審計準則公告第78號》。由於COSO報告提出的內部控制理論和體系集內部控制理論和實踐發展之大成，成為現代內部控制最具有權威性的框架，因此在業內倍受推崇，在美國及全球得到廣泛推廣和套用。

→在《COSO內部控制整合框架》中，內部控制定義為 ：由一個企業的董事會、管理層和其他人員實現的過程，旨在為下列目標提供合理保證：（1）財務報告的可靠性；（2）經營的效果和效率；（3）符合適用的法律和法規。《COSO內部控制整合框架》把內部控制劃分為五個相互關聯的要素，分別是（1）控制環境；（2）風險評估；（3）控制活動；（4）信息與溝通；（5）監控。每個要素均承載三個目標：（1）經營目標；（2）財務報告目標；（3）合規性目標。