COSO 内部控制整体框架内部控制整体框架 水门事件后，内部控制理论引起了美国各界的广泛重视。然而，对内部控制的理解分歧 却由来已久，立法者、监管者和商人的不同利益决定了各自不同的立场。90 年代初成立的 COSO(Committee of Sponsoring Organization)，开创性地提出了一套成体系的内部控制整体 框架，这标志内部控制理论发展到新的阶段,赢得了各方的好评。 一、COSO 内部控制整体框架的诞生 1997 年，美国国会通过了反国外贿赂法(FCPA)，在反贿赂条款之外，又规定了与 会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会发布了 报告、结论与建议 。随后，在 1980、1982、1984 年先后颁布了审计准则公告第 30 号、 第 43 号、第 48 号。财务经理人员协会(FEI)发布了美国公司的内部控制：现状 。美国证 券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。 1985 年，由 AICPA、美国审计总署(AAA)、FEI 等机构共同赞助成立了全国舞弊性财务 报告委员会(National Commission On Fraudulent Financial Reporting)，即 treadway 委员会。 Treadway 委员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内部控制 不健全的问题。Treadway 委员会就内部控制问题提出了许多有价值的建议，并倡议建立 一个专门研究内部控制问题的委员会。因此，Treadway 委员会的赞助机构成立了私人性 质的 COSO，其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体 的成员。1992 年，COSO 提出了内部控制整体框架报告，并在 1994 年进行了增补。 二、COSO 内部控制整体框架的内容该报告的核心内容是内部控制的定义、目标和要素。报 告中提出的观点， 超越了内控思想的以往理论棗内部牵制、 内部控制制度和内部控制结构等 理论。 报告认为，内部控制是由董事、管理层及其他人员在公司内进行的，旨在为经营的有效 性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。实际上，内部控制是 为了确保组织的最高层参与到整个机构的运作中， 以实现组织目标。 而所谓的可靠性则指财 务报告的一致性、可比性以及选择适当的会计处理方法。 为 了 实 现 内 部 控 制 的 有 效 性 ， 需 要 下 列 五 个 方 面 的 要 素 支 持 ： 控 制 环 境 (Control environment)、风险评估(Riskassessment)、控制活动(Control activities)、信息与交流 (Information and communication)和监测(Monitoring)。 控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的 关注、指导。其特征是先明确定义机构的目标和政策，再以战略计划和预算过程进行支持； 然后， 清晰定义利于划分职责和汇报路径的组织结构， 确立基于合理年度风险评估的风险接 受政策； 最后， 向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性， 同时， 高级领导层需对文件控制系统作出承诺。 风险评估是在既定的经营目标下分析并减少风险。这一环节是 COSO 内部控制整体框 架的独特之处。虽然，多年来，美国银行一直使用复杂的模型技术(诸如“紧张检验”、 “Monte Carlo 模拟”和“风险价值”法)测算风险，但把风险评估作为要素引入到内控领域，这 还是第一次。 相比之下， 控制活动则是人们较早关注的方面， 它包括确保管理层指令得以实施的政策 和程序：批准、授权；核对会计分录；核实(包括内部控制模型)；检查业绩、风险披露限制； 职责划分、生产安全。制定程序的原则有：避免由“相关人士”组成的集团从头到尾控制某个 操作或交易；“四只眼睛”的原则。 信息与交流是整个内部控制系统的生命线， 为管理层监督各项活动和在必要时采取纠正 措施提供了保证。内控是一个动态的过程，依据环境，制定措施，信息反馈，进行纠错，如 此不断改进。但受成本效益原则的约束，内控实际上是一个无止境的过程。 监测，意在评估内部控制，贯穿于经营活动之中，具有一定的超然独立性。监测的实施 途径可以是内部审计，也可以是内部控制自我评估。前者的实施人是独立的职能部门，而后 者是由管理部门和员工完成的。 内部审计的目的是， 就控制系统的风险和操作情况向管理层 提供独立保证并帮助管理层有效地履行责任。 内部审计是先依据审计章程， 确定审计单位的 独立性及其作用。然后将称职的工作人员分成三个主要单位，分别承担财务、操作和电子数 据处理的工作。再根据机构的主要业务风险编写审计计划，密切和平衡的关注计划、实地工 作、报告以及每次审计的后续工作。最后，就操作系统的运作与管理层执行简明扼要和持续 的沟通。应该让内部审计的结论为人所知。审计委员会监督内部审计的过程，采用外部审计 评估控制系统，就财务报表的真实性和公正性提出意见。 。