【正文】 正的內部控制缺陷。“管理報告”的信息含量和可信性值得懷疑。雖然COSO報告把董事會與內部控制聯(lián)系起來，但它的這種聯(lián)系僅僅局限于企業(yè)有一些事情需要董事會審批或授權，基本上把內部控制限定在CEO之下，而對董事會更為重要的作用和董事會與CEO之間的聯(lián)系和制衡關注不夠。[編輯本段] COSO報告的局限性COSO報告是以職業(yè)會計師為主體隊伍的研究成果，應用的現(xiàn)實特別是面對美國財務危機的現(xiàn)狀，顯示COSO報告在控制能力上的差距?！皟戎糜凇保╞uilt in）企業(yè)經營和管理過程中的一項基礎設施（infrastructure），與管理活動的計劃、執(zhí)行和監(jiān)控職能交織融合在一起，不是后天添加物（built on）。COSO認為董事會與公司內部控制之間是有聯(lián)系的，企業(yè)中一些行為需要董事會批準或授權。所以，要求所有員工都應清楚他們在企業(yè)、在內部控制系統(tǒng)中的位置和角色，并協(xié)調一致，才能推進內部控制的有效運轉。COSO報告指出人和環(huán)境是推動企業(yè)發(fā)展的引擎。COSO報告突出了內部控制過程中的復雜性和各控制要素之間有機的多維的聯(lián)系與影響?！斑^程”，并由控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)測活動五項要素構成。COSO把內部控制細分為經營效率與效果、財務報告可靠和遵紀守法三類子目標和控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)測活動五項構成要素。用中國話來說就是為企業(yè)的經營和管理工作“保駕護航”。COSO報告指出內部控制本身不是目的，而是實現(xiàn)目標的手段。這些理念和思想，不僅對過去，而且對現(xiàn)在甚至未來的企業(yè)管理、財會工作和獨立審計都有著重要影響。[編輯本段] COSO報告的現(xiàn)實意義COSO報告是在美國金融風險加劇，財務欺詐抬頭，社會各界對內部控制和獨立審計師寄予厚望的“危難”時刻，由五個職業(yè)會計團體聯(lián)合并潛心研究近4年左右的時間才誕生的。（5）外部人員。（3）內部審計師：內審對評價控制系統(tǒng)的有效性具有重要作用，對公司的治理結構行使者監(jiān)管的職能。（2）董事會：管理層對董事會負責，由董事會設計治理結構，指導監(jiān)管的進行。[編輯本段] COSO報告中內部控制的職責（l）管理層：CEO最終負責整個控制系統(tǒng)。不同評價的范圍和步驟取決于風險的評估和執(zhí)行中的監(jiān)控程序的有效性。所有人員都要理解自己在控制系統(tǒng)中所處的位置，以及相互的關系；必須認真對待控制賦予自己的責任，同時也必須同外部團體如客戶、供貨商、監(jiān)管機構和股東進行有效的溝通。（information and munication）信息系統(tǒng)產生各種報告，包括經營、財務、守規(guī)等方面，使得對經營的控制成為可能。（control activities）是幫助執(zhí)行管理指令的政策和程序。（risk assessment）是確認和分析實現(xiàn)目標過程中的相關風險，是形成管理何種風險的依據(jù)。[編輯本段] COSO報告中內部控制的組成（Control environment）它包括組織人員的誠實、倫理價值和能力；管理層哲學和經營模式；管理層分配權限和責任、組織、發(fā)展員工的方式；董事會提供的關注和方向。COSO報告提出內部控制是用以促進效率，減少資產損失風險，幫助保證財務報告的可靠性和對法律法規(guī)的遵從。1992年Treadway委員會經過多年研究，針對公司行政總裁、其他高級執(zhí)行官、董事、立法部門和監(jiān)管部門的內部控制進行高度概括，發(fā)布《內部控制一整體框架》（Interna Control－Integrated Framework）報告，即通稱的COSO報告。SEC對該標準的認同等于從另外一個側面承認了1992年COSO公布的《內部控制—綜合框架》（也稱“COSO內部控制框架”）。根據(jù)薩班斯法案第404節(jié)條款以及美國證券交易委員會（SEC）的相應實施標準，要求公眾公司的管理層評估和報告公司最近年度的財務報告的內部控制的有效性。→在內部控制整合框架五個要素的基礎上，COSO企業(yè)風險管理的構成要素增加到八個：（1）內部環(huán)境；（2）目標設定：（3）事項識別；（4）風險評估；（5）風險應對；（6）控制活動；（7）信息與溝通；（8）監(jiān)控?！盋OSOERM框架是一個指導性的理論框架，為公司的董事會提供了有關企業(yè)所面臨的重要風險，以及如何進行風險管理方面的重要信息?！?003年7月，美國COSO委員根據(jù)薩班斯法案的相關要求，頒布了“企業(yè)風險管理整合框架”的討論稿(Draft)，該討論稿是在《內部控制整合框架》的基礎上進行了擴展而得來的，2004年9月正式頒布了《企業(yè)風險管理整合框架》（COSOERM），標志COSO委員會最新的內部控制研究成果面世。與此同時，COSO委員會也意識到《內部控制整合框架》自身也存一些問題，如過分注重財務報告，而沒有從企業(yè)全局與戰(zhàn)略的高度來關注企業(yè)風險。→自1992年美國COSO委員會發(fā)布《COSO內部控制整合框架》以來，該框架已在全球獲得廣泛的認可和應用，但理論界和實務界一直不斷對其提出一些改進建議，強調內部控制整合框架的建立應與企業(yè)風險管理相結合?！禖OSO內部控制整合框架》把內部控制劃分為五個相互關聯(lián)的要素，分別是（1）控制環(huán)境；（2）風險評估；（3）控制活動；（4）信息與溝通；（5）監(jiān)控。由于COSO報告提出的內部控制理論和體系集內部控制理論和實踐發(fā)展之大成，成為現(xiàn)代內部控制最具有權威性的框架，因此在業(yè)內倍受推崇，在美國及全球得到廣泛推廣和應用。1992年9月，COSO委員會發(fā)布《內部控制整合框架》（COSOIC），簡稱COSO報告，1994年進行了增補。第一篇：COSO內部控制與企業(yè)風險管理COSO內部控制與企業(yè)風險管理1985年，由美國注冊會計師協(xié)會(AICPA)、美國會計協(xié)會(AAA)、財務經理人協(xié)會(FEI)、內部審計師協(xié)會(IIA)、管理會計師協(xié)會(IMA)聯(lián)合創(chuàng)建了反虛假財務報告委員會（通常稱Treadway委員會），旨在探討財務報告中的舞弊產生的原因，并尋找解決之道。兩年后，基于該委員會的建議，其贊助機構成立COSO（Committee of Sponsoring Organization，COSO）委員會，專門研究內部控制問題。這些成果馬上得到了美國審計署(GAO)的認可，美國注冊會計師協(xié)會（AICPA）也全面接受其內容并于1995年發(fā)布了《審計準則公告第78號》?！凇禖OSO內部控制整合框架》中，內部控制定義為 ：由一個企業(yè)的董事會、管理層和其他人員實現(xiàn)的過程，旨在為下列目標提供合理保證：（1）財務報告的可靠性；（2）經營的效果和效率；（3）符合適用的法律和法規(guī)。每個要素均承載三個目標：（1）經營目標；（2）財務報告目標；（3）合規(guī)性目標。2002年頒布的薩班斯法案也要求上市公司全面關注風險，加強風險管理，在客觀上也推動了內部控制整體框架的進一步發(fā)展。正是基于這種內部和外部的雙重因素，新框架必須出臺以適應發(fā)展需求。→COSO企業(yè)風險管理的定義 ：“企業(yè)風險管理是一個過程，受企業(yè)董事會、管理層和其他員工的影響，包括內部控制及其在戰(zhàn)略和整個公司的應用，旨在為實現(xiàn)經營的效率和效果、財務報告的可靠性以及法規(guī)的遵循提供合理保證。企業(yè)風險管理本身是一個由企業(yè)董事會、管理層、和其他員工共同參與的，應用于企業(yè)戰(zhàn)略制定和企業(yè)內部各個層次與部門的，用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內進行多層面，流程化的企業(yè)風險管理過程，它為企業(yè)目標實現(xiàn)提供合理保證。八個要素相互關聯(lián)，貫穿于企業(yè)風險管理的過程中COSO是全國虛假財務報告委員會下屬的發(fā)起人委員會（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文縮寫。2004年3月9日，PCAOB發(fā)布了其第2號審計標準：“與財務報表審計相關的針對財務報告的內部控制的審計”，并于6月18日經SEC批準。這也表明COSO框架已正式成為美國上市公司內部控制框架的參照性標準。該報告第一部分是概括；第二部分是定義框架，完整定義內部控制，描述它的組成部分，為公司管理層、董事會和其他人員提供評價其內部控制系統(tǒng)的規(guī)則；第三部分是對外部團體的報告；是為報告編制報表中的內部控制的團體提供指南的補充文件；第四部分是評價工具，提供用以評價內部控制系統(tǒng)的有用材料。COSO報告認為內部控制有如下目標：經營的效率和效果（基本經濟目標，包括績效、利潤目標和資源、安全），財務報告的可靠性（與對外公布的財務報表編制相關的，包括中期報告、合并財務報表中選取的數(shù)據(jù)的可靠性）和符合相應的法律法規(guī)?？刂骗h(huán)境影響員工的管理意識，是其他部分的基礎。它隨經濟、行業(yè)、監(jiān)管和經營條件而不斷變化，需建立一套機制來辨認和處理相應的風險。它貫穿整個組織、各種層次和功能，包括各種活動如批準、授權、證實、調整