水门事件后，内部控制理论引起了美国各界的广泛重视。然而，对内部控制的理解分歧却由来已久，立法者、监管者和商人的不同利益决定了各自不同的立场。90年代初成立的COSO，开创性地提出了一套成体系的内部控制整体框架，这标志内部控制理论发展到新的阶段,赢得了各方的好评。

　　一、COSO内部控制整体框架的诞生

　　1997年，美国国会通过了《反国外贿赂法》(FCPA)，在反贿赂条款之外，又规定了与会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》。随后，在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。财务经理人员协会(FEI)发布了《美国公司的内部控制：现状》。美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。

　　1985年，由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务报告委员会(National Commission On Fraudulent Financial Reporting)，即tread－way委员会。Tread－way委员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内部控制不健全的问题。Tread－way委员会就内部控制问题提出了许多有价值的建议，并倡议建立一个专门研究内部控制问题的委员会。因此，Tread－way委员会的赞助机构成立了私人性质的COSO，其组*士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。1992年，COSO提出了《内部控制整体框架》报告，并在1994年进行了增补。

　　二、COSO内部控制整体框架的内容

    该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点，超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。

　　报告认为，内部控制是由董事、管理层及其他人员在公司内进行的，旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。实际上，内部控制是为了确保组织的最高层参与到整个机构的运作中，以实现组织目标。而所谓的可靠性则指财务报告的一致性、可比性以及选择适当的会计处理方法。

　　为了实现内部控制的有效性，需要下列五个方面的要素支持：控制环境(Control environment)、风险评估(Riskassessment)、控制活动(Control activities)、信息与交流(Information and communication)和监测(Monitoring)。

    控制环境——控制环境决定了企业的基调，直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架，是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能；管理哲学和运营风格；权责分配方法、人事政策；董事会的经营重点和目标等。

    风险评估——每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接，保持一致。风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化，需要确立一套机制来识别和应对由这些变化带来的风险。

    控制活动——控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险，实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

    信息与交流——公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告，以助于经营和控制企业。信息系统不仅处理内部产生的信息，还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息，认真履行控制职责。员工必须理解自身在整个内控系统中的位置，理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时，与外部诸如客户、供应商、管理当局和股东的之间也需要有效的沟通。

    监控——内部控制系统需要被监控，即对该系统有效性进行评估的全过程。可以通过持续的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续的监控行为发生在企业的日常经营过程中，包括企业的日常管理和监督行为、员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报，性质严重的应上报最高管理层和董事会。

    这五项要素既相互独立又相互联系，形成一个有机统一体，对不断变化的环境自动作出反应。内部控制制度与企业的经营行为紧密相连，因基本的商业动机而存在。内部控制成为企业内部构架的核心部分和基本理念时最为有效。这时内部控制可以支持经营质量和主动的授权，避免不必要的花费，并对环境的变化迅速作出反应。

　　控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。其特征是先明确定义机构的目标和政策，再以战略计划和预算过程进行支持；然后，清晰定义利于划分职责和汇报路径的组织结构，确立基于合理年度风险评估的风险接受政策；最后，向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性，同时，高级领导层需对文件控制系统作出承诺。

　　风险评估是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。虽然，多年来，美国银行一直使用复杂的模型技术(诸如“紧张检验”、“Monte Carlo模拟”和“风险价值”法)测算风险，但把风险评估作为要素引入到内控领域，这还是第一次。

　　相比之下，控制活动则是人们较早关注的方面，它包括确保管理层指令得以实施的政策和程序：批准、授权；核对会计分录；核实(包括内部控制模型)；检查业绩、风险披露限制；职责划分、生产安全。制定程序的原则有：避免由“相关人士”组成的集团从头到尾控制某个操作或交易；“四只眼睛”的原则。

　　信息与交流是整个内部控制系统的生命线，为管理层监督各项活动和在必要时采取纠正措施提供了保证。内控是一个动态的过程，依据环境，制定措施，信息反馈，进行纠错，如此不断改进。但受成本效益原则的约束，内控实际上是一个无止境的过程。

　　监测，意在评估内部控制，贯穿于经营活动之中，具有一定的超然独立性。监测的实施途径可以是内部审计，也可以是内部控制自我评估。前者的实施人是独立的职能部门，而后者是由管理部门和员工完成的。内部审计的目的是，就控制系统的风险和操作情况向管理层提供独立保证并帮助管理层有效地履行责任。内部审计是先依据审计章程，确定审计单位的独立性及其作用。然后将称职的工作人员分成三个主要单位，分别承担财务、操作和电子数据处理的工作。再根据机构的主要业务风险编写审计计划，密切和平衡的关注计划、实地工作、报告以及每次审计的后续工作。最后，就操作系统的运作与管理层执行简明扼要和持续的沟通。应该让内部审计的结论为人所知。审计委员会监督内部审计的过程，采用外部审计评估控制系统，就财务报表的真实性和公正性提出意见。

　　三、COSO内部控制整体框架的应用

　　在实务中，COSO内部控制整体框架得到了广泛的应用。1993年5月11日，美国联邦存款保险公司(FDIC)董事会批准了“1991联邦存款保险公司改进法”第十二条中的内容，要求银行就其内部控制情况向FDIC和联储(FRB)等管理机构报告。虽然，主管机构并未要求必须采用COSO内部控制整体框架作为报告格式，但却鼓励各银行以COSO框架为依据。事实上，各银行自身也有积极性采用，因为使用COSO框架能够充分展现公司的管理水平，取信于投资者，从而在一定的信息对称的情况下，提高公司在公众中的美誉度。

　　国内有关内部控制的权威规定主要有两个：中国人民银行制定的《加强金融机构内部控制的指导原则》(1997年5月)和中国注册会计师协会制定的《独立审计具体准则第9号棗内部控制与审计风险》(1997年1月)。两者在不同程度上都借鉴了COSO内部控制整体控制的一些理念。