（TreadwayCommission，即反欺詐財務(wù)報告全國委員會，NationalCommissiononFraudulentFinancialReporting）下屬的發(fā)起人委員會（CommitteeofSponsoringOrganizations）的簡稱。特雷德韋委員會由美國注冊會計師協(xié)會（AICPA）、美國會計學(xué)會（AAA）、國際財務(wù)經(jīng)理協(xié)會（FEI）、內(nèi)部審計師協(xié)會（IIA）和管理會計師協(xié)會（IMA）等5個組織于1985年發(fā)起成立。1987年，特雷德韋委員會發(fā)布一份報告，建議其發(fā)起組織共同協(xié)作，整合各種內(nèi)部控制的概念和定義。1992年，COSO發(fā)布了著名的《內(nèi)部控制──整合框架》（InternalControl──IntegratedFramework），成為內(nèi)部控制領(lǐng)域最為權(quán)威的文獻之一。之后，由于安然事件和安達信事件的影響，美國國會出臺了《薩班斯──奧克斯利法案》，法案對美國《1933年證券法》、《1934年證券交易法》做了不少修改，并在會計職業(yè)監(jiān)督、公司治理、證券市場監(jiān)督等方面做出了許多的規(guī)定。為滿足新形勢發(fā)展的需要，2003年7月，

發(fā)布了《企業(yè)風(fēng)險管理──整合框架（征求意見稿）》，經(jīng)過一年多的意見反饋、研究和修改，于2004年9月發(fā)布了最終的文本。

企業(yè)整體框架將內(nèi)部控制定義為：“一個由企業(yè)的董事會、管理層和其他人員實現(xiàn)的過程，旨在為下列目標提供合理保證，

第一，財務(wù)報告的可靠性；

第二，經(jīng)營效果和效率；

第三，符合適的法律和法規(guī)?！?/p>

而企業(yè)風(fēng)險管理框架發(fā)展為：“企業(yè)風(fēng)險管理就是一個過程，它由一個主體的董事會、管理當(dāng)局和其他人員實施，應(yīng)用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風(fēng)險以使其在該主體的風(fēng)險容量之內(nèi)，并為主體目的實現(xiàn)提供合理保證?！?/p>

在企業(yè)整體框架下，企業(yè)內(nèi)部控制的目標在于確保財務(wù)報告的可靠性、確保企業(yè)經(jīng)營效果和效率、確保企業(yè)法律和法規(guī)的貫徹執(zhí)行。

而企業(yè)風(fēng)險管理框架將企業(yè)內(nèi)部控制目標設(shè)定為：戰(zhàn)略目標──高層次目標，與使命相關(guān)聯(lián)并支撐其使命；經(jīng)營目標──有效和高效率地利用其資源；報告目標──確保報告的有效性；合規(guī)目標──符合適用的法律和法規(guī)。

企業(yè)控制結(jié)構(gòu)分為五部分：控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通和監(jiān)督與評價。

企業(yè)風(fēng)險管理的構(gòu)成要素包括：內(nèi)部環(huán)境、目標設(shè)定、事項識別、風(fēng)險評估、風(fēng)險應(yīng)對、控制活動等。

（1）內(nèi)部環(huán)境。內(nèi)部環(huán)境包括組織的基調(diào)，它為主體的人員如何認識和對待風(fēng)險設(shè)定了基礎(chǔ)，包括風(fēng)險管理理念和風(fēng)險容量、誠信和道德價值觀，以及他們所處的經(jīng)營環(huán)境。

（2）目標設(shè)定。必須先有目標，管理當(dāng)局才能識別影響目標實現(xiàn)的潛在事項。企業(yè)風(fēng)險管理確保管理當(dāng)局采取適當(dāng)?shù)某绦蛉ピO(shè)定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風(fēng)險容量相符。

（3）事項識別。必須識別影響主體目標實現(xiàn)的內(nèi)部和外部事項，區(qū)分風(fēng)險和機會，使機會能夠被反饋到管理當(dāng)局的戰(zhàn)略或目標制訂過程中。

（4）風(fēng)險評估。通過考慮風(fēng)險的可能性和影響對其加以分析，并以此作為決定如何進行管理的依據(jù)。風(fēng)險評估應(yīng)立足于固有風(fēng)險和剩余風(fēng)險。

（5）風(fēng)險應(yīng)對。管理當(dāng)局選擇風(fēng)險應(yīng)對──回避、承受、降低或者分擔(dān)風(fēng)險──采取一系列行動以便把風(fēng)險控制在主體的風(fēng)險容限和風(fēng)險容量以內(nèi)。

（6）控制活動。制訂和執(zhí)行政策與程序以幫助確保風(fēng)險應(yīng)對得以有效實施。

（7）信息與溝通。相關(guān)的信息以確保員工履行其職責(zé)的方式和時機予以識別、獲取和溝通。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。

（8）監(jiān)控。對企業(yè)風(fēng)險控制進行全面監(jiān)控，必要時加以修正。監(jiān)控可以通過持續(xù)的管理活動、個別評價或兩者結(jié)合起來完成。COSO報告的內(nèi)容由整體框架到風(fēng)險管理體現(xiàn)了人們對企業(yè)內(nèi)部控制認識的深化，它表明由于企業(yè)經(jīng)營環(huán)境的變化，促使人們必須通過企業(yè)內(nèi)部控制制度的建設(shè)，來識別企業(yè)經(jīng)營中所面臨的風(fēng)險、采取應(yīng)對風(fēng)險的措施、提高企業(yè)抵御風(fēng)險的能力，為實現(xiàn)企業(yè)發(fā)展戰(zhàn)略服務(wù)。

Coso報告對于企業(yè)內(nèi)部控制的作用時值得肯定的，但是，coso報告的局限性也尤為突出。

首先，報告的范圍更多是限于與財務(wù)報告有關(guān)的內(nèi)部控制，而財務(wù)報告只是經(jīng)營結(jié)果的反映。COSO報告中的“合理保證”、“成本效益”等詞語，基本上是從會計上直接移植過來的，到底什么算是“合理保證”，如何做到“成本效益配比”，在實踐中恐怕很難界定。

其次，內(nèi)部控制系統(tǒng)以會計與審計為核心，控制實施與業(yè)務(wù)平臺和業(yè)務(wù)拓展存在一定距離，防范風(fēng)險的措施是被動的。

再次，COSO一方面指出內(nèi)部控制與經(jīng)營管理的功能交織在一起，是內(nèi)置于企業(yè)經(jīng)營活動之中的，另一方面卻把目標設(shè)定、戰(zhàn)略規(guī)劃、核心競爭力培育等重大經(jīng)營管理活動排斥在內(nèi)部控制系統(tǒng)之外。

最后，評價內(nèi)部控制有效性的標準過于主觀，內(nèi)部控制有效性有賴于對內(nèi)部控制三類目標或五個控制要素的實現(xiàn)，評價標準基本上都是主觀判斷。

擴展閱讀：中國內(nèi)部控制體系建設(shè)

2008年，在前期國家各部委和部門發(fā)布的內(nèi)部控制文件的基礎(chǔ)上，中國財政部參考了COSO的5要素內(nèi)控框架，經(jīng)過幾年的調(diào)研起草，聯(lián)合證監(jiān)會、銀監(jiān)會、保監(jiān)會、審計署等5部委發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》。2010年，又出臺了18項具體業(yè)務(wù)的《企業(yè)內(nèi)部控制應(yīng)用指引》和《企業(yè)內(nèi)部控制評價指引》及《企業(yè)內(nèi)部控制審計指引》，標志著中國企業(yè)內(nèi)部控制進入標準化、常態(tài)化的發(fā)展階段，我們也將這套文件稱作中國版薩班斯（C-SOX）。其實，財政部在正式出臺這些文件之前就發(fā)布過不止一版征求意見稿。

2010年內(nèi)部控制體系文件發(fā)布后，由于境內(nèi)外同時上市的企業(yè)在赴海外上市時，經(jīng)歷過一次內(nèi)部控制的審核歷練，所以這些企業(yè)被作為第一批按照中國模式要求建立內(nèi)部控制體系，并逐年擴展到國內(nèi)主板上市公司和非上市大中型企業(yè)。

2010年后，在中國執(zhí)業(yè)的會計師事務(wù)所及相關(guān)咨詢公司迎來了一波由于內(nèi)部控制監(jiān)管要求推動的業(yè)務(wù)增長期。2012年，財政部和國務(wù)院國資委聯(lián)合發(fā)文，推動中央企業(yè)用兩年時間建立覆蓋全集團的內(nèi)部控制體系。2014年，財政部又出臺了《行政事業(yè)單位內(nèi)部控制規(guī)范》，要求所有黨政機關(guān)和事業(yè)單位建立健全內(nèi)部控制體系。至此，中國的內(nèi)部控制體系建設(shè)全面鋪開。

1、2013年COSO內(nèi)部控制框架的更新

時隔20年后，COSO對其第一版發(fā)布的具有國際影響力的內(nèi)部控制框架進行了更新。針對原有5要素的立方體框架沒有做根本性調(diào)整，只是對更新文件采用了國際通行的要素加原則的書寫方式，詳述了企業(yè)內(nèi)部控制的5個要素20個原則以及82個關(guān)注點。

由于中國在推行2008及2010年財政部發(fā)布的內(nèi)部控制框架，所以盡管財政部引進并組織翻譯了COSO2013年的更新文件，在中國企業(yè)界并沒有引起更多的關(guān)注。財政部也解釋稱在起草中國內(nèi)控文件時，新版COSO內(nèi)控框架的更新內(nèi)容已在考慮范圍之內(nèi)，因此中國的內(nèi)部控制文件無需更新。

2、東西方對內(nèi)部控制體系的理解差異

根據(jù)這么多年協(xié)助企業(yè)實施中外企業(yè)內(nèi)部控制框架的經(jīng)驗，結(jié)合自己的思考，我們來分析下中國的內(nèi)部控制體系和西方的內(nèi)部控制體系到底有什么差異？

首先，我們通過上篇和這篇文章的講解，我們能夠看得出來，西方內(nèi)部控制的發(fā)展歷程，從牽制到財務(wù)、審計到控制，從安然事件到薩班斯法案，有一個顯著的特點，這些要求就是為了使企業(yè)達到內(nèi)部控制設(shè)計時的一個最基本的目標-財務(wù)報告目標。企業(yè)建立內(nèi)部控制的體系首先保證財務(wù)數(shù)據(jù)的真實性和可靠性，但是財務(wù)數(shù)據(jù)是否真實可靠，不僅僅和財務(wù)部門相關(guān)，很多有價值的數(shù)據(jù)都是在運營中生成，和業(yè)務(wù)緊密相關(guān)。從這點出發(fā)，內(nèi)部控制又向業(yè)務(wù)端進行了延伸，所以在執(zhí)行薩班斯內(nèi)部控制項目時，雖然有些內(nèi)容是與運營和合規(guī)目標相關(guān)，但也是以財務(wù)的視角進行的審視。

從西方的投資者角度而言，財務(wù)報告可以說是其判斷一個企業(yè)是否具有投資價值的最重要的依據(jù)材料，所以監(jiān)管機構(gòu)必須以一種強制要求的形式使企業(yè)保持有效的內(nèi)部控制來更好的保護投資者。對于監(jiān)管機構(gòu)來說，這就是最核心的目的。所以，對于一個美國上市企業(yè)，事務(wù)所要給出內(nèi)部控制是否有效的結(jié)論，需要按照財務(wù)報表劃定范圍，對重要的業(yè)務(wù)循環(huán)進行大量的抽樣測試，合理保證從業(yè)務(wù)端到會計科目的數(shù)字是準確可靠的。

而中國的內(nèi)部控制體系，與西方不同的是，我們投入了大量的精力，發(fā)布了十幾項具體的業(yè)務(wù)內(nèi)部控制指引，雖然我們采用的是比COSO更全面的五目標體系，但實際執(zhí)行的過程中，我們的目標定位從財務(wù)報告目標轉(zhuǎn)向了具體業(yè)務(wù)控制。

坦白講，這樣的一個變化是有利有弊，從我們分析安然的案例看，導(dǎo)致安然破產(chǎn)的根本原因是業(yè)務(wù)風(fēng)險控制出了問題，而后通過會計造假進行的掩蓋，這樣來看，財務(wù)報告的真實可靠并不代表業(yè)務(wù)風(fēng)險控制的好。所以中國的內(nèi)控體系從財務(wù)報告轉(zhuǎn)向業(yè)務(wù)，應(yīng)該是更接近風(fēng)險的本源，這是有利的一面。

不利的一面是什么呢？前些年西方的內(nèi)部控制體系推行過程中，為了達到財務(wù)報告真實可靠的目標，積累了一套最佳實踐，所有的工作都是沖著這個目標來的。現(xiàn)在我們的目標轉(zhuǎn)向了業(yè)務(wù)控制，目前并沒有一套成熟的最佳實踐明確的告知，在各個業(yè)務(wù)角度來看，怎么叫好？怎么叫不好？怎么評價？怎么審計？怎么叫合規(guī)？工作量到底有多大？在這些問題沒有被明確的定義之前，企業(yè)搭建一個內(nèi)部控制體系的靈活度會非常大。反應(yīng)的直接一點，這些不確定性會造成咨詢機構(gòu)在市場上亂開價、亂競爭的現(xiàn)象。前些年，國內(nèi)的一些海外上市的公司需要花費上千萬完成內(nèi)部控制體系的建設(shè)，而這幾年，國內(nèi)的上市公司甚至花幾萬都能有機構(gòu)愿意協(xié)助，就是上面提到的這些原因。其實這些，并不利于企業(yè)內(nèi)部控制體系的真正落地和發(fā)展，妨礙了企業(yè)真正掌握和理解這套體系的價值和精髓所在。

文章版權(quán)歸作者所有， 部分圖文源于網(wǎng)絡(luò)，已標注作者信息，部分無法查明作者及首發(fā)來源，僅供學(xué)習(xí)研究之用，如涉版權(quán)，后臺聯(lián)系刪除。