水門事件后，內(nèi)部控制理論引起了美國各界的廣泛重視。然而，對內(nèi)部控制的理解分歧卻由來已久，立法者、監(jiān)管者和商人的不同利益決定了各自不同的立場。90年代初成立的COSO，開創(chuàng)性地提出了一套成體系的內(nèi)部控制整體框架，這標志內(nèi)部控制理論發(fā)展到新的階段,贏得了各方的好評。

　　一、COSO內(nèi)部控制整體框架的誕生

　　1997年，美國國會通過了《反國外賄賂法》(FCPA)，在反賄賂條款之外，又規(guī)定了與會計及內(nèi)部控制有關的條款。美國注冊會計師協(xié)會(AICPA)的審計人員責任委員會發(fā)布了《報告、結論與建議》。隨后，在1980、1982、1984年先后頒布了審計準則公告第30號、第43號、第48號。財務經(jīng)理人員協(xié)會(FEI)發(fā)布了《美國公司的內(nèi)部控制：現(xiàn)狀》。美國證券交易委員會(SEC)則要求上市公司提交其內(nèi)部控制的報告書。

　　1985年，由AICPA、美國審計總署(AAA)、FEI等機構共同贊助成立了全國舞弊性財務報告委員會(National Commission On Fraudulent Financial Reporting)，即tread－way委員會。Tread－way委員會旨在研究舞弊性財務報告產(chǎn)生的原因及其相關領域，其中包括內(nèi)部控制不健全的問題。Tread－way委員會就內(nèi)部控制問題提出了許多有價值的建議，并倡議建立一個專門研究內(nèi)部控制問題的委員會。因此，Tread－way委員會的贊助機構成立了私人性質(zhì)的COSO，其組成人士包括美國會計師學會、內(nèi)部審計師協(xié)會、金融管理學會等專業(yè)團體的成員。1992年，COSO提出了《內(nèi)部控制整體框架》報告，并在1994年進行了增補。

　　二、COSO內(nèi)部控制整體框架的內(nèi)容該報告的核心內(nèi)容是內(nèi)部控制的定義、目標和要素。報告中提出的觀點，超越了內(nèi)控思想的以往理論棗內(nèi)部牽制、內(nèi)部控制制度和內(nèi)部控制結構等理論。

　　報告認為，內(nèi)部控制是由董事、管理層及其他人員在公司內(nèi)進行的，旨在為經(jīng)營的有效性、財務報告的可靠性、適用法律法規(guī)的遵循性提供合理保證的過程。實際上，內(nèi)部控制是為了確保組織的最高層參與到整個機構的運作中，以實現(xiàn)組織目標。而所謂的可靠性則指財務報告的一致性、可比性以及選擇適當?shù)臅嬏幚矸椒ā?br>
　　為了實現(xiàn)內(nèi)部控制的有效性，需要下列五個方面的要素支持：控制環(huán)境(Control environment)、風險評估(Riskassessment)、控制活動(Control activities)、信息與交流(Information and communication)和監(jiān)測(Monitoring)。

　　控制環(huán)境包括最高管理層的完整性、道德觀念、能力、管理哲學、經(jīng)營風格和董事會的關注、指導。其特征是先明確定義機構的目標和政策，再以戰(zhàn)略計劃和預算過程進行支持；然后，清晰定義利于劃分職責和匯報路徑的組織結構，確立基于合理年度風險評估的風險接受政策；最后，向員工澄清有效控制和審計體系的必要性以及執(zhí)行控制要求的重要性，同時，高級領導層需對文件控制系統(tǒng)作出承諾。

　　風險評估是在既定的經(jīng)營目標下分析并減少風險。這一環(huán)節(jié)是COSO內(nèi)部控制整體框架的獨特之處。雖然，多年來，美國銀行一直使用復雜的模型技術(諸如“緊張檢驗”、“Monte Carlo模擬”和“風險價值”法)測算風險，但把風險評估作為要素引入到內(nèi)控領域，這還是第一次。

　　相比之下，控制活動則是人們較早關注的方面，它包括確保管理層指令得以實施的政策和程序：批準、授權；核對會計分錄；核實(包括內(nèi)部控制模型)；檢查業(yè)績、風險披露限制；職責劃分、生產(chǎn)安全。制定程序的原則有：避免由“相關人士”組成的集團從頭到尾控制某個操作或交易；“四只眼睛”的原則。

　　信息與交流是整個內(nèi)部控制系統(tǒng)的生命線，為管理層監(jiān)督各項活動和在必要時采取糾正措施提供了保證。內(nèi)控是一個動態(tài)的過程，依據(jù)環(huán)境，制定措施，信息反饋，進行糾錯，如此不斷改進。但受成本效益原則的約束，內(nèi)控實際上是一個無止境的過程。

　　監(jiān)測，意在評估內(nèi)部控制，貫穿于經(jīng)營活動之中，具有一定的超然獨立性。監(jiān)測的實施途徑可以是內(nèi)部審計，也可以是內(nèi)部控制自我評估。前者的實施人是獨立的職能部門，而后者是由管理部門和員工完成的。內(nèi)部審計的目的是，就控制系統(tǒng)的風險和操作情況向管理層提供獨立保證并幫助管理層有效地履行責任。內(nèi)部審計是先依據(jù)審計章程，確定審計單位的獨立性及其作用。然后將稱職的工作人員分成三個主要單位，分別承擔財務、操作和電子數(shù)據(jù)處理的工作。再根據(jù)機構的主要業(yè)務風險編寫審計計劃，密切和平衡的關注計劃、實地工作、報告以及每次審計的后續(xù)工作。最后，就操作系統(tǒng)的運作與管理層執(zhí)行簡明扼要和持續(xù)的溝通。應該讓內(nèi)部審計的結論為人所知。審計委員會監(jiān)督內(nèi)部審計的過程，采用外部審計評估控制系統(tǒng)，就財務報表的真實性和公正性提出意見。

　　三、COSO內(nèi)部控制整體框架的應用

　　在實務中，COSO內(nèi)部控制整體框架得到了廣泛的應用。1993年5月11日，美國聯(lián)邦存款保險公司(FDIC)董事會批準了“1991聯(lián)邦存款保險公司改進法”第十二條中的內(nèi)容，要求銀行就其內(nèi)部控制情況向FDIC和聯(lián)儲(FRB)等管理機構報告。雖然，主管機構并未要求必須采用COSO內(nèi)部控制整體框架作為報告格式，但卻鼓勵各銀行以COSO框架為依據(jù)。事實上，各銀行自身也有積極性采用，因為使用COSO框架能夠充分展現(xiàn)公司的管理水平，取信于投資者，從而在一定的信息對稱的情況下，提高公司在公眾中的美譽度。

　　國內(nèi)有關內(nèi)部控制的權威規(guī)定主要有兩個：中國人民銀行制定的《加強金融機構內(nèi)部控制的指導原則》(1997年5月)和中國注冊會計師協(xié)會制定的《獨立審計具體準則第9號棗內(nèi)部控制與審計風險》(1997年1月)。兩者在不同程度上都借鑒了COSO內(nèi)部控制整體控制的一些理念。