COSO內(nèi)部控制框架不是唯一的內(nèi)部控制框架，其他類似框架中最著名的是加拿大注冊會計師公會所屬的控制基準(zhǔn)委員會COCO，于1995年11月發(fā)行《控制指導(dǎo)綱要》。COSO提出了—種更精簡、更具動態(tài)，使用更多管理術(shù)語的內(nèi)部控制基本架構(gòu)。

基本簡介

COCO報告從四個方面：目的、承諾、能力、監(jiān)督與學(xué)習(xí)，提出20項控制基準(zhǔn)。

但是COSO內(nèi)部控制框架是美國證券交易委員會唯一推薦使用的內(nèi)部控制框架，同時《薩班斯法案》第 404 條款的「最終細(xì)則」也明確表明 COSO內(nèi)部控制框架可以作為評估企業(yè)內(nèi)部控制的標(biāo)準(zhǔn)。作為紐約證交所上市的公司，需要按照法案要求，引進(jìn)COSO內(nèi)部控制框架，整合現(xiàn)有內(nèi)部控制，滿足法案的要求。

COSO內(nèi)部控制框架認(rèn)為，內(nèi)部控制系統(tǒng)是由控制環(huán)境、風(fēng)險評估、內(nèi)控活動、信息與溝通、監(jiān)督五要素組成，它們?nèi)Q于管理層經(jīng)營企業(yè)的方式，并融入管理過程本身，其相互關(guān)系可以用其模型表示。

組成關(guān)系

控制環(huán)境

控制環(huán)境是所有其他組成要素的基礎(chǔ)，包括了以下要素：

1) 誠信和道德價值觀；

2) 致力于提高員工工作能力及促進(jìn)員工職業(yè)發(fā)展的承諾；3) 董事會和審計委員會。包括的因素有董事會與審計委員會與管理者之間的獨立性，成員的經(jīng)驗和身份，參與和監(jiān)督活動的程度，行為的適當(dāng)性；4) 管理層的理念和經(jīng)營風(fēng)格；

5) 組織結(jié)構(gòu)。包括了定義授權(quán)和責(zé)任的關(guān)鍵領(lǐng)域以及建立適當(dāng)?shù)膱蟾媪鞒蹋?) 權(quán)限及職責(zé)分配。經(jīng)營活動的權(quán)限和權(quán)責(zé)分配以及建立報告關(guān)系和授權(quán)協(xié)議。它包括了以下幾點：

a) 被激勵主動發(fā)現(xiàn)問題并解決問題以及被授予權(quán)限的程度；b) 也描述適當(dāng)?shù)慕?jīng)營實踐，關(guān)鍵人員的知識和經(jīng)驗，提供給執(zhí)行責(zé)任的資源政策；c) 確保所有人理解公司目標(biāo)。每個人知道他的行為與目標(biāo)實現(xiàn)的關(guān)聯(lián)和貢獻(xiàn)的重要程度。

7) 人力資源政策及程序。

風(fēng)險評估

首先，風(fēng)險評估的前提條件是設(shè)立目標(biāo)。只有先確立了目標(biāo)，管理層才能針對目標(biāo)確定風(fēng)險并采取必要的行動來管理風(fēng)險。設(shè)立目標(biāo)是管理過程重要的一部分。盡管其并非內(nèi)部控制要素，但它是內(nèi)部控制得以實施的先決條件。

其次，識別與上述目標(biāo)相關(guān)的風(fēng)險。

再次，評估上述被識別風(fēng)險的后果和可能性。一旦確定了主要的風(fēng)險因素，管理層就可以考慮它們的重要程度，并盡可能將這些風(fēng)險因素與業(yè)務(wù)活動聯(lián)系起來。

最后，針對風(fēng)險的結(jié)果，考慮適當(dāng)?shù)目刂苹顒印?/p>

控制活動

控制活動指為確保管理層指示得以執(zhí)行，削弱風(fēng)險的政策（做什么）和程序（如何做）。它們有助于保證采取必要措施來管理風(fēng)險以實現(xiàn)企業(yè)目標(biāo)?？刂苹顒迂灤┯谄髽I(yè)的所有層次和部門。它們包括一系列不同的活動，如批準(zhǔn)、授權(quán)、查證、核對、復(fù)核經(jīng)營業(yè)績、資產(chǎn)保護(hù)以及職責(zé)分工等。

信息與溝通

相關(guān)的信息必須以一種能使人們行使各自職能的形式和時限被識別、掌握和溝通。信息系統(tǒng)不僅處理內(nèi)部資料，而且還處理形成企業(yè)決策和外部報告所必須的外部事件、行為和條件的信息。有效的交流還必須廣泛的進(jìn)行，涉及機構(gòu)的各個方面。所有人員都要從高級管理層獲得清楚的信息，他們必須明白各自在內(nèi)部控制制度中的作用，明白個人的行為如何與他人的工作相聯(lián)系。他們必須有自下而上傳遞重要信息的方法。顧客、供應(yīng)商、監(jiān)管者和股東這樣的外界之間也必須有有效的溝通。

監(jiān)督

一個評估系統(tǒng)在一定時期運行質(zhì)量的過程。這一過程通過持續(xù)的監(jiān)控行為、獨立的評估或兩者的結(jié)合來實現(xiàn)。持續(xù)的監(jiān)控行為發(fā)生在經(jīng)營的過程中。它包括日常管理和監(jiān)管行為。獨立評估的范圍和頻率主要依賴于風(fēng)險評估和持續(xù)監(jiān)控程序的有效性。內(nèi)部控制的缺陷應(yīng)自下而上進(jìn)行報告，重要事項應(yīng)報知高層管理人員和董事會。

控制模型

1、 強調(diào)“軟控制”的功能。相對于以前的內(nèi)部控制而言，框架更加強調(diào)那些屬于管理文化層面的軟性管理因素。

2、 強調(diào)內(nèi)部控制應(yīng)與企業(yè)的經(jīng)營管理過程相結(jié)合。框架認(rèn)為，經(jīng)營過程是指通過規(guī)劃、執(zhí)行及監(jiān)督等基本的管理過程對企業(yè)加以管理。內(nèi)部控制是企業(yè)經(jīng)營管理過程的一部分，與經(jīng)營過程結(jié)合在一起，而不是凌駕于企業(yè)的基本活動之上，它使經(jīng)營達(dá)到預(yù)期的效果，并監(jiān)督企業(yè)經(jīng)營過程的持續(xù)進(jìn)行。不過，內(nèi)部控制只是管理的一種工具，并不能取代管理。

3、 突出強調(diào)信息系統(tǒng)的作用。框架認(rèn)為，完備的信息處理系統(tǒng)是實現(xiàn)內(nèi)部控制目標(biāo)的重要保障，信息系統(tǒng)不僅處理企業(yè)內(nèi)部產(chǎn)生的經(jīng)營信息，而且也處理來自企業(yè)外部的各類經(jīng)濟(jì)、法律或行政信息。

4、 明確對內(nèi)部控制的“責(zé)任”。COSO框架第一次明確地闡述了內(nèi)部控制的制定與實施的責(zé)任問題?？蚣苤赋觯粌H僅是董事會、管理人員、內(nèi)部審計人員，組織中的每一個人都對內(nèi)部控制環(huán)節(jié)負(fù)有責(zé)任。

5、 強調(diào)內(nèi)部控制的分類和目標(biāo)。目標(biāo)的設(shè)定雖然不是內(nèi)部控制的組成要素，但卻是內(nèi)部控制的先決條件，也是促成內(nèi)部控制的要件。框架將內(nèi)部控制目標(biāo)分為三類：與營運有關(guān)的目標(biāo)、與財務(wù)報告有關(guān)的目標(biāo)以及與法令的遵循性有關(guān)的目標(biāo)等。這樣的分類高度概括了企業(yè)控制目標(biāo)，有利于不同的人從不同的視角關(guān)注企業(yè)內(nèi)部控制的不同方面。

6、 內(nèi)部控制只能做到“合理”保證。框架認(rèn)為：不論設(shè)計及執(zhí)行有多么完善完整，內(nèi)部控制都只能為管理階層及股東達(dá)成企業(yè)經(jīng)營目標(biāo)提供合理保證。而目標(biāo)最終是否達(dá)成，還受內(nèi)部控制本身的限制性制約等條件。

COSO內(nèi)部控制框架是一個較為理想的框架，幾乎所有公司的內(nèi)部控制均與之有一定差距，雖然這必然加大企業(yè)負(fù)擔(dān)，但多數(shù)公司希望通過理解和貫徹COSO內(nèi)部控制框架要求，梳理管理流程、規(guī)范管理，來實現(xiàn)提升整體管理水平的目的。

控制設(shè)計

一般步驟：

1. 確認(rèn)所要進(jìn)行的內(nèi)控設(shè)計針對的內(nèi)控目標(biāo)是什么。

2. 根據(jù)確認(rèn)的內(nèi)控目標(biāo)，識別公司層面的內(nèi)外部主要風(fēng)險并進(jìn)行評估。

3. 通過業(yè)務(wù)流程的全面梳理，鎖定與確認(rèn)的內(nèi)控目標(biāo)相關(guān)的業(yè)務(wù)流程。

4. 按照COSO框架提出的控制標(biāo)準(zhǔn)，對確認(rèn)的主要風(fēng)險提出控制要求，將梳理得出的業(yè)務(wù)流程（風(fēng)險控制活動）與控制要求進(jìn)行對比分析，提出整改建議。

5. 對所確定的業(yè)務(wù)流程進(jìn)行分析，分析確認(rèn)業(yè)務(wù)活動中存在的風(fēng)險，提出整改建議。

6. 各項制度規(guī)章的完善和補充。

下面我們對于風(fēng)險評估、控制活動具體設(shè)計的內(nèi)容再作進(jìn)一步的說明：

風(fēng)險評估

1. 識別風(fēng)險。風(fēng)險識別包括了二個層次，企業(yè)層面的風(fēng)險和業(yè)務(wù)活動的風(fēng)險。識別風(fēng)險的具體方法有頭腦風(fēng)暴法、訪談、調(diào)查問卷、流程圖分析、參考其他的風(fēng)險數(shù)據(jù)庫、經(jīng)驗與專業(yè)判斷。

2. 評估上述識別出的風(fēng)險的后果和可能性。

3. 描述公司流程。

1) 制定公司流程總目錄和流程描述的規(guī)范；

2) 流程具體描述。

4. 識別與風(fēng)險相關(guān)的應(yīng)對流程的風(fēng)險，并建立風(fēng)險數(shù)據(jù)庫5. 根據(jù)上述風(fēng)險評估的結(jié)果，建立持續(xù)的風(fēng)險評估制度體系控制活動

1. 以COSO控制框架、公司管理制度、控制理論為依據(jù)，在公司層面上確定“關(guān)鍵控制點和控制要點”。

2. 以公司層面“關(guān)鍵控制點和控制要點”為基礎(chǔ)，對應(yīng)識別的重要風(fēng)險建立關(guān)鍵控制文檔。

3. 關(guān)鍵控制與相關(guān)管理制度之間的比對分析。

設(shè)計原則

1. 相互牽制原則

相互牽制原則，是指一項完整的經(jīng)濟(jì)業(yè)務(wù)活動，必須分配給具有互相制約關(guān)系的兩個或兩個以上的部門（或崗位）分別完成。即在橫向關(guān)系上，至少要由彼此獨立的兩個部門或人員辦理，以使該部門或人員的工作接受另一個部門或人員的檢查和制約；在縱向關(guān)系上，至少要經(jīng)過互不隸屬的兩個或兩個以上的崗位和環(huán)節(jié)，以使下級受上級監(jiān)督，上級受下級牽制。其理論根據(jù)是在相互牽制的關(guān)系下，幾個人發(fā)生同一錯弊而不被發(fā)現(xiàn)的概率，是每個人發(fā)生該項錯弊的概率的連乘積，因而將降低誤差率。不相容職務(wù)相互分離控制有以下幾項內(nèi)容：

* 授權(quán)批準(zhǔn)職務(wù)與執(zhí)行業(yè)務(wù)職務(wù)相分離；

* 執(zhí)行業(yè)務(wù)職務(wù)與監(jiān)督審核職務(wù)相分離；

* 執(zhí)行業(yè)務(wù)職務(wù)與會計記錄職務(wù)相分離；

* 財產(chǎn)保管職務(wù)與會計記錄職務(wù)相分離；

* 執(zhí)行業(yè)務(wù)職務(wù)與財產(chǎn)保管職務(wù)相分離。

2. 授權(quán)控制原則

授權(quán)控制原則，是指企業(yè)單位應(yīng)該根據(jù)各崗位業(yè)務(wù)性質(zhì)和人員要求，相應(yīng)地賦予作業(yè)任務(wù)和職責(zé)權(quán)限，規(guī)定操作規(guī)程和處理手續(xù)，明確紀(jì)律規(guī)則和檢查標(biāo)準(zhǔn)，以使職、責(zé)、權(quán)、利相結(jié)合。崗位工作程式化，要求做到事事有人管，人人有專職，辦事有標(biāo)準(zhǔn)，工作有檢查。授權(quán)體系包括：

1) 授權(quán)批準(zhǔn)的范圍

企業(yè)所有的經(jīng)營活動一般都應(yīng)當(dāng)納入授權(quán)批準(zhǔn)的范圍。

2) 授權(quán)層次

授權(quán)應(yīng)當(dāng)是區(qū)別不同情況分層次授權(quán)。根據(jù)經(jīng)濟(jì)活動的重要性水平和金額大小確定不同的授權(quán)批準(zhǔn)層次，有利于保證各種管理層和有關(guān)人員有權(quán)有責(zé)。

授權(quán)批準(zhǔn)在層次上應(yīng)當(dāng)考慮連續(xù)性，要將可能發(fā)生的情況全面納入授權(quán)批準(zhǔn)體系，避免出現(xiàn)真空地帶。當(dāng)然，應(yīng)當(dāng)允許根據(jù)具體情況的變化，不斷對有關(guān)制度進(jìn)行修正。

3) 授權(quán)責(zé)任

被授權(quán)者應(yīng)能夠明確在履行權(quán)力時應(yīng)對哪些方面負(fù)責(zé)，避免授權(quán)責(zé)任不清，出現(xiàn)問題又難咎其責(zé)的情況發(fā)生。

4) 授權(quán)批準(zhǔn)程序

企業(yè)的經(jīng)濟(jì)業(yè)務(wù)既涉及企業(yè)與外單位之間資產(chǎn)與勞務(wù)的交換，也包括在企業(yè)內(nèi)部資產(chǎn)和勞務(wù)的轉(zhuǎn)移和使用。因此，每類經(jīng)濟(jì)業(yè)務(wù)都會有一系列內(nèi)部相互聯(lián)系的流轉(zhuǎn)程序。所以，應(yīng)規(guī)定每一類經(jīng)濟(jì)業(yè)務(wù)的審批程序，以便按程序辦理審批，避免越級審批和違規(guī)審批的情況發(fā)生。

3. 成本效益原則

貫徹成本效益原則，即要求在實行內(nèi)部控制花費的成本和由此而產(chǎn)生的經(jīng)濟(jì)效益之間要保持適當(dāng)?shù)谋壤?，實行?nèi)部控制所花費的代價不能超過由此而獲得的效益，否則應(yīng)舍棄該控制措施。

4. 整體結(jié)構(gòu)原則

企業(yè)內(nèi)部控制系統(tǒng)，必須包括控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)督五項要素，并覆蓋各項業(yè)務(wù)和部門。換言之，各項控制要素、各業(yè)務(wù)循環(huán)或部門的子控制系統(tǒng)，必須有機構(gòu)成企業(yè)內(nèi)部控制的整體架構(gòu)。這就要求，各子系統(tǒng)的具體控制目標(biāo)，必須對應(yīng)整體控制系統(tǒng)的一般目標(biāo)。

基本原則

《美國薩班斯—奧克斯利法案（Sarbanes-Oxley Act）》（簡稱SOX）要求上市公司，無論大的還是小的，每年對財務(wù)報表內(nèi)部控制的有效性進(jìn)行評估和報告。幸運的是，公司可以依賴一個行業(yè)標(biāo)準(zhǔn)——內(nèi)部控制集成框架，來評估和改進(jìn)其內(nèi)控體系。

全國反欺詐財務(wù)報告（特雷得維）委員會下屬的發(fā)起人委員會（The Committee of Sponsoring Organizations of the Treadway Commission，簡稱COSO）于1992年頒布的這一框架，長期以來作為建立旨在提高效率、降低風(fēng)險、幫助保證財務(wù)狀況報表可信性、遵從法律法規(guī)的內(nèi)部控制的藍(lán)本。由于其全面性、有效性和普遍原則，框架受到世界上很多組織的稱贊并被接受。

框架頒布之后，財務(wù)報表、公司治理和法律環(huán)境發(fā)生了很多變化。薩班斯—奧克斯利法案404條款（SOX 404）是公司財務(wù)報表內(nèi)部控制的主要推動。

COSO的報告概括了與5個組成部分相關(guān)的26條基本原則，5個組成部分是：（1）控制環(huán)境；（2）風(fēng)險評估；（3）控制活動；（4）信息與溝通；（5）監(jiān)督。