COSO內(nèi)部控制框架不是唯一的內(nèi)部控制框架，其他類似框架中最著名的是加拿大注冊會計(jì)師公會所屬的控制基準(zhǔn)委員會COCO，于1995年11月發(fā)行《控制指導(dǎo)綱要》。COSO提出了—種更精簡、更具動態(tài)，使用更多管理術(shù)語的內(nèi)部控制基本架構(gòu)�！　』�本簡介　　COCO報(bào)告從四個方面：目的、承諾、能力、監(jiān)督與學(xué)習(xí)，提出20項(xiàng)控制基準(zhǔn)�！　〉�是COSO內(nèi)部控制框架是美國證券交易委員會唯一推薦使用的內(nèi)部控制框架，同時(shí)《薩班斯法案》第 404 條款的「最終細(xì)則」也明確表明 COSO內(nèi)部控制框架可以作為評估企業(yè)內(nèi)部控制的標(biāo)準(zhǔn)。作為紐約證交所上市的公司，需要按照法案要求，引進(jìn)COSO內(nèi)部控制框架，整合現(xiàn)有內(nèi)部控制，滿足法案的要求�！　�COSO內(nèi)部控制框架認(rèn)為，內(nèi)部控制系統(tǒng)是由控制環(huán)境、風(fēng)險(xiǎn)評估、內(nèi)控活動、信息與溝通、監(jiān)督五要素組成，它們?nèi)�決于管理層經(jīng)營企業(yè)的方式，并融入管理過程本身，其相互關(guān)系可以用其模型表示。　　組成關(guān)系　　控制環(huán)境　　控制環(huán)境是所有其他組成要素的基礎(chǔ)，包括了以下要素：　　1) 誠信和道德價(jià)值觀；　　2) 致力于提高員工工作能力及促進(jìn)員工職業(yè)發(fā)展的承諾；3) 董事會和審計(jì)委員會。包括的因素有董事會與審計(jì)委員會與管理者之間的獨(dú)立性，成員的經(jīng)驗(yàn)和身份，參與和監(jiān)督活動的程度，行為的適當(dāng)性；4) 管理層的理念和經(jīng)營風(fēng)格；　　5) 組織結(jié)構(gòu)。包括了定義授權(quán)和責(zé)任的關(guān)鍵領(lǐng)域以及建立適當(dāng)?shù)膱?bào)告流程；6) 權(quán)限及職責(zé)分配。經(jīng)營活動的權(quán)限和權(quán)責(zé)分配以及建立報(bào)告關(guān)系和授權(quán)協(xié)議。它包括了以下幾點(diǎn)：　　a) 被激勵主動發(fā)現(xiàn)問題并解決問題以及被授予權(quán)限的程度；b) 也描述適當(dāng)?shù)慕?jīng)營實(shí)踐，關(guān)鍵人員的知識和經(jīng)驗(yàn)，提供給執(zhí)行責(zé)任的資源政策；c) 確保所有人理解公司目標(biāo)。每個人知道他的行為與目標(biāo)實(shí)現(xiàn)的關(guān)聯(lián)和貢獻(xiàn)的重要程度�！　�7) 人力資源政策及程序�！　★L(fēng)險(xiǎn)評估　　首先，風(fēng)險(xiǎn)評估的前提條件是設(shè)立目標(biāo)。只有先確立了目標(biāo)，管理層才能針對目標(biāo)確定風(fēng)險(xiǎn)并采取必要的行動來管理風(fēng)險(xiǎn)。設(shè)立目標(biāo)是管理過程重要的一部分。盡管其并非內(nèi)部控制要素，但它是內(nèi)部控制得以實(shí)施的先決條件。　　其次，識別與上述目標(biāo)相關(guān)的風(fēng)險(xiǎn)�！　≡俅�，評估上述被識別風(fēng)險(xiǎn)的后果和可能性。一旦確定了主要的風(fēng)險(xiǎn)因素，管理層就可以考慮它們的重要程度，并盡可能將這些風(fēng)險(xiǎn)因素與業(yè)務(wù)活動聯(lián)系起來。　　最后，針對風(fēng)險(xiǎn)的結(jié)果，考慮適當(dāng)?shù)目刂苹顒��！　】刂苹顒印　】刂苹顒又笧榇_保管理層指示得以執(zhí)行，削弱風(fēng)險(xiǎn)的政策（做什么）和程序（如何做）。它們有助于保證采取必要措施來管理風(fēng)險(xiǎn)以實(shí)現(xiàn)企業(yè)目標(biāo)。控制活動貫穿于企業(yè)的所有層次和部門。它們包括一系列不同的活動，如批準(zhǔn)、授權(quán)、查證、核對、復(fù)核經(jīng)營業(yè)績、資產(chǎn)保護(hù)以及職責(zé)分工等�！　⌒畔⑴c溝通　　相關(guān)的信息必須以一種能使人們行使各自職能的形式和時(shí)限被識別、掌握和溝通。信息系統(tǒng)不僅處理內(nèi)部資料，而且還處理形成企業(yè)決策和外部報(bào)告所必須的外部事件、行為和條件的信息。有效的交流還必須廣泛的進(jìn)行，涉及機(jī)構(gòu)的各個方面。所有人員都要從高級管理層獲得清楚的信息，他們必須明白各自在內(nèi)部控制制度中的作用，明白個人的行為如何與他人的工作相聯(lián)系。他們必須有自下而上傳遞重要信息的方法。顧客、供應(yīng)商、監(jiān)管者和股東這樣的外界之間也必須有有效的溝通。　　監(jiān)督　　一個評估系統(tǒng)在一定時(shí)期運(yùn)行質(zhì)量的過程。這一過程通過持續(xù)的監(jiān)控行為、獨(dú)立的評估或兩者的結(jié)合來實(shí)現(xiàn)。持續(xù)的監(jiān)控行為發(fā)生在經(jīng)營的過程中。它包括日常管理和監(jiān)管行為。獨(dú)立評估的范圍和頻率主要依賴于風(fēng)險(xiǎn)評估和持續(xù)監(jiān)控程序的有效性。內(nèi)部控制的缺陷應(yīng)自下而上進(jìn)行報(bào)告，重要事項(xiàng)應(yīng)報(bào)知高層管理人員和董事會。　　控制模型　　1、 強(qiáng)調(diào)“軟控制”的功能。相對于以前的內(nèi)部控制而言，框架更加強(qiáng)調(diào)那些屬于管理文化層面的軟性管理因素�！　�2、 強(qiáng)調(diào)內(nèi)部控制應(yīng)與企業(yè)的經(jīng)營管理過程相結(jié)合。框架認(rèn)為，經(jīng)營過程是指通過規(guī)劃、執(zhí)行及監(jiān)督等基本的管理過程對企業(yè)加以管理。內(nèi)部控制是企業(yè)經(jīng)營管理過程的一部分，與經(jīng)營過程結(jié)合在一起，而不是凌駕于企業(yè)的基本活動之上，它使經(jīng)營達(dá)到預(yù)期的效果，并監(jiān)督企業(yè)經(jīng)營過程的持續(xù)進(jìn)行。不過，內(nèi)部控制只是管理的一種工具，并不能取代管理�！　�3、 突出強(qiáng)調(diào)信息系統(tǒng)的作用�？蚣苷J(rèn)為，完備的信息處理系統(tǒng)是實(shí)現(xiàn)內(nèi)部控制目標(biāo)的重要保障，信息系統(tǒng)不僅處理企業(yè)內(nèi)部產(chǎn)生的經(jīng)營信息，而且也處理來自企業(yè)外部的各類經(jīng)濟(jì)、法律或行政信息�！　�4、 明確對內(nèi)部控制的“責(zé)任”。COSO框架第一次明確地闡述了內(nèi)部控制的制定與實(shí)施的責(zé)任問題�？蚣苤赋觯�不僅僅是董事會、管理人員、內(nèi)部審計(jì)人員，組織中的每一個人都對內(nèi)部控制環(huán)節(jié)負(fù)有責(zé)任�！　�5、 強(qiáng)調(diào)內(nèi)部控制的分類和目標(biāo)。目標(biāo)的設(shè)定雖然不是內(nèi)部控制的組成要素，但卻是內(nèi)部控制的先決條件，也是促成內(nèi)部控制的要件�？蚣軐�內(nèi)部控制目標(biāo)分為三類：與營運(yùn)有關(guān)的目標(biāo)、與財(cái)務(wù)報(bào)告有關(guān)的目標(biāo)以及與法令的遵循性有關(guān)的目標(biāo)等。這樣的分類高度概括了企業(yè)控制目標(biāo)，有利于不同的人從不同的視角關(guān)注企業(yè)內(nèi)部控制的不同方面�！　�6、 內(nèi)部控制只能做到“合理”保證�？蚣苷J(rèn)為：不論設(shè)計(jì)及執(zhí)行有多么完善完整，內(nèi)部控制都只能為管理階層及股東達(dá)成企業(yè)經(jīng)營目標(biāo)提供合理保證。而目標(biāo)最終是否達(dá)成，還受內(nèi)部控制本身的限制性制約等條件�！　�COSO內(nèi)部控制框架是一個較為理想的框架，幾乎所有公司的內(nèi)部控制均與之有一定差距，雖然這必然加大企業(yè)負(fù)擔(dān)，但多數(shù)公司希望通過理解和貫徹COSO內(nèi)部控制框架要求，梳理管理流程、規(guī)范管理，來實(shí)現(xiàn)提升整體管理水平的目的�！　】刂圃O(shè)計(jì)　　一般步驟：　　1. 確認(rèn)所要進(jìn)行的內(nèi)控設(shè)計(jì)針對的內(nèi)控目標(biāo)是什么�！　�2. 根據(jù)確認(rèn)的內(nèi)控目標(biāo)，識別公司層面的內(nèi)外部主要風(fēng)險(xiǎn)并進(jìn)行評估。　　3. 通過業(yè)務(wù)流程的全面梳理，鎖定與確認(rèn)的內(nèi)控目標(biāo)相關(guān)的業(yè)務(wù)流程�！　�4. 按照COSO框架提出的控制標(biāo)準(zhǔn)，對確認(rèn)的主要風(fēng)險(xiǎn)提出控制要求，將梳理得出的業(yè)務(wù)流程（風(fēng)險(xiǎn)控制活動）與控制要求進(jìn)行對比分析，提出整改建議�！　�5. 對所確定的業(yè)務(wù)流程進(jìn)行分析，分析確認(rèn)業(yè)務(wù)活動中存在的風(fēng)險(xiǎn)，提出整改建議�！　�6. 各項(xiàng)制度規(guī)章的完善和補(bǔ)充�！　∠旅嫖覀儗τ陲L(fēng)險(xiǎn)評估、控制活動具體設(shè)計(jì)的內(nèi)容再作進(jìn)一步的說明：　　風(fēng)險(xiǎn)評估　　1. 識別風(fēng)險(xiǎn)。風(fēng)險(xiǎn)識別包括了二個層次，企業(yè)層面的風(fēng)險(xiǎn)和業(yè)務(wù)活動的風(fēng)險(xiǎn)。識別風(fēng)險(xiǎn)的具體方法有頭腦風(fēng)暴法、訪談、調(diào)查問卷、流程圖分析、參考其他的風(fēng)險(xiǎn)數(shù)據(jù)庫、經(jīng)驗(yàn)與專業(yè)判斷�！　�2. 評估上述識別出的風(fēng)險(xiǎn)的后果和可能性�！　�3. 描述公司流程。　　1) 制定公司流程總目錄和流程描述的規(guī)范；　　2) 流程具體描述�！　�4. 識別與風(fēng)險(xiǎn)相關(guān)的應(yīng)對流程的風(fēng)險(xiǎn)，并建立風(fēng)險(xiǎn)數(shù)據(jù)庫5. 根據(jù)上述風(fēng)險(xiǎn)評估的結(jié)果，建立持續(xù)的風(fēng)險(xiǎn)評估制度體系控制活動　　1. 以COSO控制框架、公司管理制度、控制理論為依據(jù)，在公司層面上確定“關(guān)鍵控制點(diǎn)和控制要點(diǎn)”�！　�2. 以公司層面“關(guān)鍵控制點(diǎn)和控制要點(diǎn)”為基礎(chǔ)，對應(yīng)識別的重要風(fēng)險(xiǎn)建立關(guān)鍵控制文檔�！　�3. 關(guān)鍵控制與相關(guān)管理制度之間的比對分析�！　≡O(shè)計(jì)原則　　1. 相互牽制原則　　相互牽制原則，是指一項(xiàng)完整的經(jīng)濟(jì)業(yè)務(wù)活動，必須分配給具有互相制約關(guān)系的兩個或兩個以上的部門（或崗位）分別完成。即在橫向關(guān)系上，至少要由彼此獨(dú)立的兩個部門或人員辦理，以使該部門或人員的工作接受另一個部門或人員的檢查和制約；在縱向關(guān)系上，至少要經(jīng)過互不隸屬的兩個或兩個以上的崗位和環(huán)節(jié)，以使下級受上級監(jiān)督，上級受下級牽制。其理論根據(jù)是在相互牽制的關(guān)系下，幾個人發(fā)生同一錯弊而不被發(fā)現(xiàn)的概率，是每個人發(fā)生該項(xiàng)錯弊的概率的連乘積，因而將降低誤差率。不相容職務(wù)相互分離控制有以下幾項(xiàng)內(nèi)容：　　* 授權(quán)批準(zhǔn)職務(wù)與執(zhí)行業(yè)務(wù)職務(wù)相分離；　　* 執(zhí)行業(yè)務(wù)職務(wù)與監(jiān)督審核職務(wù)相分離；　　* 執(zhí)行業(yè)務(wù)職務(wù)與會計(jì)記錄職務(wù)相分離；　　* 財(cái)產(chǎn)保管職務(wù)與會計(jì)記錄職務(wù)相分離；　　* 執(zhí)行業(yè)務(wù)職務(wù)與財(cái)產(chǎn)保管職務(wù)相分離�！　�2. 授權(quán)控制原則　　授權(quán)控制原則，是指企業(yè)單位應(yīng)該根據(jù)各崗位業(yè)務(wù)性質(zhì)和人員要求，相應(yīng)地賦予作業(yè)任務(wù)和職責(zé)權(quán)限，規(guī)定操作規(guī)程和處理手續(xù)，明確紀(jì)律規(guī)則和檢查標(biāo)準(zhǔn)，以使職、責(zé)、權(quán)、利相結(jié)合。崗位工作程式化，要求做到事事有人管，人人有專職，辦事有標(biāo)準(zhǔn)，工作有檢查。授權(quán)體系包括：　　1) 授權(quán)批準(zhǔn)的范圍　　企業(yè)所有的經(jīng)營活動一般都應(yīng)當(dāng)納入授權(quán)批準(zhǔn)的范圍�！　�2) 授權(quán)層次　　授權(quán)應(yīng)當(dāng)是區(qū)別不同情況分層次授權(quán)。根據(jù)經(jīng)濟(jì)活動的重要性水平和金額大小確定不同的授權(quán)批準(zhǔn)層次，有利于保證各種管理層和有關(guān)人員有權(quán)有責(zé)�！　∈跈�(quán)批準(zhǔn)在層次上應(yīng)當(dāng)考慮連續(xù)性，要將可能發(fā)生的情況全面納入授權(quán)批準(zhǔn)體系，避免出現(xiàn)真空地帶。當(dāng)然，應(yīng)當(dāng)允許根據(jù)具體情況的變化，不斷對有關(guān)制度進(jìn)行修正�！　�3) 授權(quán)責(zé)任　　被授權(quán)者應(yīng)能夠明確在履行權(quán)力時(shí)應(yīng)對哪些方面負(fù)責(zé)，避免授權(quán)責(zé)任不清，出現(xiàn)問題又難咎其責(zé)的情況發(fā)生�！　�4) 授權(quán)批準(zhǔn)程序　　企業(yè)的經(jīng)濟(jì)業(yè)務(wù)既涉及企業(yè)與外單位之間資產(chǎn)與勞務(wù)的交換，也包括在企業(yè)內(nèi)部資產(chǎn)和勞務(wù)的轉(zhuǎn)移和使用。因此，每類經(jīng)濟(jì)業(yè)務(wù)都會有一系列內(nèi)部相互聯(lián)系的流轉(zhuǎn)程序。所以，應(yīng)規(guī)定每一類經(jīng)濟(jì)業(yè)務(wù)的審批程序，以便按程序辦理審批，避免越級審批和違規(guī)審批的情況發(fā)生�！　�3. 成本效益原則　　貫徹成本效益原則，即要求在實(shí)行內(nèi)部控制花費(fèi)的成本和由此而產(chǎn)生的經(jīng)濟(jì)效益之間要保持適當(dāng)?shù)谋壤�，�?shí)行內(nèi)部控制所花費(fèi)的代價(jià)不能超過由此而獲得的效益，否則應(yīng)舍棄該控制措施。　　4. 整體結(jié)構(gòu)原則　　企業(yè)內(nèi)部控制系統(tǒng)，必須包括控制環(huán)境、風(fēng)險(xiǎn)評估、控制活動、信息與溝通、監(jiān)督五項(xiàng)要素，并覆蓋各項(xiàng)業(yè)務(wù)和部門。換言之，各項(xiàng)控制要素、各業(yè)務(wù)循環(huán)或部門的子控制系統(tǒng)，必須有機(jī)構(gòu)成企業(yè)內(nèi)部控制的整體架構(gòu)。這就要求，各子系統(tǒng)的具體控制目標(biāo)，必須對應(yīng)整體控制系統(tǒng)的一般目標(biāo)。　　基本原則　　《美國薩班斯—奧克斯利法案（Sarbanes-Oxley Act）》（簡稱SOX）要求上市公司，無論大的還是小的，每年對財(cái)務(wù)報(bào)表內(nèi)部控制的有效性進(jìn)行評估和報(bào)告。幸運(yùn)的是，公司可以依賴一個行業(yè)標(biāo)準(zhǔn)——內(nèi)部控制集成框架，來評估和改進(jìn)其內(nèi)控體系�！　∪珖�反欺詐財(cái)務(wù)報(bào)告（特雷得維）委員會下屬的發(fā)起人委員會（The Committee of Sponsoring Organizations of the Treadway Commission，簡稱COSO）于1992年頒布的這一框架，長期以來作為建立旨在提高效率、降低風(fēng)險(xiǎn)、幫助保證財(cái)務(wù)狀況報(bào)表可信性、遵從法律法規(guī)的內(nèi)部控制的藍(lán)本。由于其全面性、有效性和普遍原則，框架受到世界上很多組織的稱贊并被接受�！　】蚣茴C布之后，財(cái)務(wù)報(bào)表、公司治理和法律環(huán)境發(fā)生了很多變化。薩班斯—奧克斯利法案404條款（SOX 404）是公司財(cái)務(wù)報(bào)表內(nèi)部控制的主要推動。　　COSO的報(bào)告概括了與5個組成部分相關(guān)的26條基本原則，5個組成部分是：（1）控制環(huán)境；（2）風(fēng)險(xiǎn)評估；（3）控制活動；（4）信息與溝通；（5）監(jiān)督。