十年前，COSO报告①在世界范围内为内部控制提供了比较一致的概念解释和评价标准，对提升内部控制研究和运用水准，对增强企业风险防范能力，产生了积极影响。COSO报告不仅在美国被广泛运用，在世界许多地方也被视为模板。时至今日，世界又发生了很大变化。特别是进入新世纪后，继网络泡沫和新经济遭挫之后，美国社会又出现“安然”、“施乐”和“世通”等特大恶性企业欺诈案件。这些欺诈案件虽然在具体操作手法上有高有低，但几乎与20世纪30年代臭名昭著的麦肯希罗宾逊（McKesson＆Robbins）案件采用了同样的作案手段，即：通过关联交易、高估资产或隐瞒负债，操纵利润。惊恐之余，重新研究和诠释COSO报告，对于分析和规避恶性财务欺诈，对于完善内部控制研究和健全企业内部控制，具有重要的现实意义。

一、COSO报告的现实意义

COSO报告是在美国金融风险加剧，财务欺诈抬头，社会各界对内部控制和独立审计师寄予厚望的“危难”时刻，由五个职业会计团体联合并潜心研究近4年左右的时间才诞生的。COSO报告中蕴涵了许多崭新的理念和思想。这些理念和思想，不仅对过去，而且对现在甚至未来的企业管理、财会工作和独立审计都有着重要影响。笔者认为主要有以下几个方面：

●准确定位内部控制基本目标。COSO报告指出内部控制本身不是目的，而是实现目标的手段。内部控制目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险②。用中国话来说就是为企业的经营和管理工作“保驾护航”。

●提出三类目标、五项构成要素概念。COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。这些概念的提出，为评价内部控制系统提供了一套完整的标准，使COSO报告在理论和实际应用两个方面都较原来的内部控制学说有一个质的飞跃。

●提出内部控制是“过程③”，并由控制环境、风险评估、控制活动、信息与沟通和监测活动五项要素构成。五项控制要素不是内部控制过程中先后顺序上的一道道工序，而是一个多方向交叉的多维的反复的过程。COSO报告突出了内部控制过程中的复杂性和各控制要素之间有机的多维的联系与影响。

●强调“人”的重要性。COSO报告指出人和环境是推动企业发展的引擎④。内部控制是由人来设计和实施的，企业中的每位员工都受内部控制的影响，并通过自身的工作影响着他人的工作和整个内部控制系统。所以，要求所有员工都应清楚他们在企业、在内部控制系统中的位置和角色，并协调一致，才能推进内部控制的有效运转。

●认识到董事会在内部控制中的作用。COSO认为董事会与公司内部控制之间是有联系的，企业中一些行为需要董事会批准或授权。一个客观、能动和富有调查精神的董事会，能够及时发现并修正公司经理班子逾越内部控制的行炉⑤。

●强调内部控制系统系是“内置于”（builtin）企业经营和管理过程中的一项基础设施（infrastructure），与管理活动的计划、执行和监控职能交织融合在一起，不是后天添加物（builton）⑥。同时内控系统应有应对不断变化的客观世界的机制。

二、COSO报告之缺陷

COSO报告是以职业会计师为主体队伍的研究成果，应用的现实特别是面对美国财务危机的现状，显示COSO报告在控制能力上的差距。COSO报告中主要值得商榷的问题有：

●没有充分认识到董事会对内部控制系统的至关重要性。虽然COSO报告把董事会与内部控制联系起来，但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权，基本上把内部控制限定在CEO之下，而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。这好比设计一幢大厦，只看到了地上部分，忽视了地下基础。

●COSO提倡的反映内部控制运行状态的“管理报告”的信息含量和可信性值得怀疑。首先，从正常逻辑上考虑，如果一个企业的内部控制存在问题，企业能够如实地公示社会吗？第二，管理报告对内部控制的评价只是基于某一时点状况而言的。根据COSO报告，企业不需披露在此时点之前存在的但已被发现和更正的内部控制缺陷⑦。第三，报告的范围仅限于与财务报告有关的内部控制，而财务报告只是经营结果的反映。笔者认为内部控制系统的评估和持续监测是绝对必需的，但COSO建议的这种评估和披露方式容易误导投资者。

●COSO报告中的“合理保证”、“成本效益”等词语，基本上是从会计上直接移植过来的，对于规避注册会计师法律责任是有好处的。但对社会用户来说，增添了许多猜疑和无奈。到底什么算是“合理保证”，如何做到“成本效益配比”，在实践中恐怕很难说清楚。内部控制评价应通过提高评价标准和评价过程的客观性和透明度增加科学性。

●把企业经营和管理中一些重要职能排斥在内部控制触角之外。COSO一方面指出内部控制与管理各功能（计划、执行和监控）交织在一起，是内置于企业经营活动之中的。另一方面却把目标设定、战略规划、核心竞争力培育、风险评估和管理等重要经营和管理活动排斥在内部控制系统之外⑧。

●基本目标与分类子目标之间存在差异。根据COSO报告，内部控制基本目标是促使企业实现经营目标，并减少经营过程中的风险，其中既涉及了企业生存，也关注了企业发展。发展和战略规划问题是企业所有问题的根本。而三类子目标，基本上都属于维持企业当期经营的范畴，着眼点在于企业生存，没有站在企业战略高度关注未来发展。另外，COSO报告将内部控制基本目标细分为三类特定目标的方法值得商榷。这种分类方法的缺陷在其与GAO就保护资产安全内部控制之讨论中，就表现出来了。COSO认为，保护资产安全内部控制属于经营效果效率目标的范畴，已经包括在经营效果效率内部控制之中，而GAO认为保护资产安全内部控制涉及到资产价值真实性的问题，对财务报告可靠性有重大影响，应该包括在财务报告内部控制之中。COSO也在报告中承认三类目标有时是重叠的⑨。

●评价内部控制有效性标准过于主观。根据COSO报告，内部控制有效性有赖于对内部控制三类目标或五个控制要素的实现程度。但评价标准基本上都是主观判断。其实，一个企业内部控制是否有效完全可以通过它客观的市场业绩体现出来，例如企业市场价值，客户满意度，持续获利能力增长情况等。

●内部控制系统中会计与审计的色彩太重，考虑企业现存的和微观的或规避风险的事情多，与业务平台和业务拓展关系不大，防范风险也是被动的，缺乏能动性。所以，至今还有许多公司认为内部控制只是财务主管和财会人员的事情。

三、启示

企业是多重契约关系的组合，而股东会与董事会、董事会与经理班子之间的委托关系是其中最基本的契约关系，因此企业内部控制中的“内部”就应从组建法人治理结构开始。建立健全董事会功能是企业最根本的内部控制。“安然”、“施乐”和“世通”特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。同时，由于企业与外部关系人的经济联系和契约关系，在现代企业中发挥着越来越重要的作用，企业内部控制中的“内部”有时还要延伸至企业法律边界以外，将独立审计师、供应商资源、客户信用与需求和政府监管纳入企业内部控制系统。“控制”与“反控制”是一对永恒的矛盾，企业内部控制的目的是追求企业持续“得到控制”，确保企业各类契约关系持续而有序地运行，确保企业有一个好的战略目标和管理团队，并按照既定目标持续高效地发展和增值，为企业各类契约当事人发现并创造价值。企业内部控制是企业与生俱来的，它内置于企业经营和管理过程之中，并与之紧密联系、水乳交融，是同一事物的不同层面，不可割舍。企业内部控制应是一个能动的驾御、监测和推动系统，它不仅要关心企业的现实生存，更应关注企业的未来发展；不但重视企业微观，同时也关心企业宏观；不只是简单的规避风险，更着眼于科学风险管理，重视通过业务发展减低风险；不仅要重视现行会计上已确认和计量的资产，更要关注人力资本、管理团队、核心竞争力、研发能力、客户资源、企业文化和品牌与商誉等软性资产在企业发展和控制活动中的重要作用，即在内部控制上要引入“全面资产”概念；不仅注重企业经理班子之下的内部控制，而且特别强调公司治理结构建设，强调企业法律边界以外可能对企业生存与发展有重大影响的各类要素。