公司治理和内部控制报告

公司治理和内部控制报告卡德伯利报告卡德伯利报告认为，有效的内部控制是公司有效管理的一个重要方面。因此建议董事们应发表一个声明，对公司内部控制的有效性进行详细描述，同时规定审计委员会应对公司的内部控制声明进行复核。该报告还认为，内部审计有助于确保内部控制的有效性，内部审计的日常监督是内部控制的整体组成部分。卡德伯利报告在许多方面开创了英国公司治理历史的先河，它明确要求建立审计委员会，强调内部审计的日常监督是内部控制的整体组成部分。一、卡德伯利报告卡德伯利报告从财务角度研究公司治理，同时将内部控制置于公司治理的框架之下。其实，1985年“公司法”S.221条款就规定，董事对公司保持充分的会计记录负责，为满足上述要求，在现实中董事必须建立公司财务管理方面的内部控制制度，包括设计程序使舞弊风险最小化。也就是说，1985年的“公司法”已经对董事确保适当的内部控制制度提出了含蓄的要求。卡德伯利报告进一步认为，有效的内部控制是公司有效管理的一个重要方面。因此建议董事们应发表一个声明，对公司内部控制的有效性进行详细描述，外部审计师对其声明进行复核(review和报告，同时规定在董事会认) 可声明之前，审计委员会应对公司的内部控制声明进行复核。该报告还认为，内部审计有助于确保内部控制的有效性，内部审计的日常监督是内部控制的整体组成部分，会计师职业应在以下方面起到领导作用:?(1)开发用以评估有效性的一整套标准;?(2)开发董事会报告形式的具体指南;?(3)开发审计师用以相关审计程序和报告格式的具体指南。卡德伯利报告在许多方面开创了英国公司治理历史的先河，它明确要求建立审计委员会、实行独立董事制度，同时将内部控制作为公司治理的组成部分。尽管报告尚存在许多局限性，但它所确认的公司治理的许多原则一直沿用至今二、哈姆佩尔报告哈姆佩尔报告将内部控制的目的定位于保护资产的安全、保持正确的财务会计记录、保证公司内部使用和向外部提供的财务信息的可靠性，同时鼓励董事对内部控制的各个方面进行复核，包括确保高效经营、遵守法律法规方面的控制。哈姆佩尔报告认为，很难将财务控制与其他控制区分开来，并坚信董事及管理人员对控制的各个方面进行复核具有重要意义，内部控制不应仅局限于公司治理的财务方面。该报告全面赞同卡德伯利报告将内部控制视为有效管理的重要方面的观点，并认为董事会应该对内部控制进行复核以强调相关控制目标，这些目标包括对企业风险评估和反映、财务管理、遵守法律法规、保护资产安全以及使舞弊风险最小化等方面。尽管哈姆佩尔报告所提出的准则，将公司治理向前推进了一步，但并未满足普遍的要求，其主要的批评意见集中于该报告的内容缺乏新意、委员会主要由既得利益者组成、有关原则难以付诸实施、责任不够明确等。当时贸易与工业部的负责人玛格丽特·贝凯特就认为，报告在受托责任与透明度方面仍有不足。三、特恩布尔报告卡德伯利报告和哈姆佩尔报告都程度不同地对公司内部控制提出了要求，作为集大成者的综合准则在“最佳实务准则(Best?Practice?Code)”中对内部控制提出了综合性和原则性的规定。尽管综合准则要求公司董事会应建立健全内部控制，但是该准则并未就如何构建“健全的内部控制”提供详细的指南。因此，英格兰和威尔士特许会计师协会(ICAEW)与伦敦证券交易所达成一致，为上市公司执行准则中与内部控制相关的要求提供具体指南。1999年ICAEW组成的以尼格尔·特恩布尔(Nigel?Turnbull为主)席的十人工作小组公布了《内部控制：综合准则董事指南》，即特恩布尔报告。作为指导企业构建内部控制的指南，该报告的意义在于，它为公司及董事会提供了具体的、颇具可行性的内部控制指引。其主要内容是：董事会对公司的内部控制负责，应制定正确的内部控制政策，并寻求日常的保证，使内部控制系统有效发挥作用，还应进一步确认内部控制在风险管理方面是有效的。在决定内部控制政策，并在此基础上评估特定环境下内部控制的构成时，董事会应对以下问题进行深入思考：(1)公司面临风险的性质和程度;(2)公司可承受风险的程度和类型;(3)风险发生的可能性;(4)公司减少事故的能力及对已发生风险的影响;(5)实施特殊风险控制的成本，以及从相关风险管理中获取的利益。执行风险控制政策是管理层的职责，在履行其职责的过程中，管理层应确认、评价公司所面临的风险，并执行董事会所设计、运行的内部控制政策。公司员工有义务将内部控制作为实现其责任目标的组成部分，他们应集体具备必要的知识、技能、信息和授权，以建立、运行和监督公司内部控制系统。这要求对公司及其目标，所处的产业和市场以及面临的风险有深入的理解。合理的内部控制要素包括政策、程序、任务、行为以及公司的其他方面，这些要素结合在一起，对影响公司目标实现的重大的商业性、业务性、财务性和遵循性风险做出正确反应，以提高公司经营的效率和效果。其中包括避免资产的不当使用、损失或舞弊，并保证已对负债进行了确认和管理。公司的内部控制应反映组织结构在内的控制环境，包括：(1)控制活动;(2)信息和沟通程序;(3)持续性监督程序。特恩布尔报告指出了健全的内部控制所应具备的基本特征：(1)它根植于公司的经营之中，形成公司文化的一部分。换言之，它不仅仅是为了取悦监管者而进行的年度例行检查;?(2)针对公司面临的不断变化的风险，具有快速反应的能力;?(3)具有对管理中存在的缺陷或失败进行快速报告的能力，并且能及时地采取纠正措施。对内部控制有效性进行复核是董事会职责的必备部分。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应限定对内部控制复核的过程，包括一年中复核的范围、收到报告的频率以及年度评估的程序等，这也将为公司年报和记录中的内部控制声明提供适当的支持。内部控制发展的若干趋势一、对内部控制有效性进行报告的要求日趋减弱卡德伯利报告建议，董事应就内部控制的有效性进行报告，并要求审计师对董事会报告进行复核。由此产生了一系列问题，其中之一就是审计师应向谁进行报告、是否应将其复核报告公开。在向社会公众提供公开报告方面，有效性要求使董事会和审计师均感到很困惑，因为那将意味着内部控制将为避免错误或舞弊提供“绝对保证”，而事实上没有一个内部控制系统能够完全避免人为错误。如果由于非故意原因导致错误陈述或遗漏，董事或审计师将因为其确认的有效性而承担法律责任.Power(1997)的研究发现，当内部控制及其有效性的概念仍处于模糊状态时，董事会及会计师均不愿做出这样的声明。与卡德伯利报告形成鲜明对比的是，哈姆佩尔报告鼓励而非要求董事就内部控制的有效性作出判断，并对卡德伯利准则中的第4.5条款进行了修改，将原来的“董事应就公司内部控制的有效性进行报告”，修改为“董事应对公司内部控制进行报告”，删除了“有效性”一词。哈姆佩尔报告建议，在董事会报告中明确董事在内部控制方面的责任，说明内部控制仅能为避免重大的错误或遗漏提供“合理”保证，描述公司为提供有效的财务控制而建立的主要程序，并确认董事已经就系统的有效性进行了复核。哈姆佩尔报告认为，审计师不必向社会公众公布其对董事会报告的审查结果。这样做会在董事会与审计师之间建立更为有效的沟通渠道，使得最佳实务在报告的范围和性质方面不断进步。而特恩布尔报告则规定，董事会应对公司内部控制的有效性进行复核，总结进行复核所使用的程序，并在年度报告或记录中披露用于解决内部控制重大问题的方法和过程，董事会至少还应披露用于确认、评估和管理重要风险的持续性监督程序。特恩布尔报告还鼓励董事会在年报中提供额外的信息，以帮助信息使用者理解公司的风险管理程序和内部控制。由此可见，英国对有关公司内部控制的报告和披露方面的要求并未放松，但对内部控制有效性进行报告的规定却日趋减弱。二、内部控制与风险管理的融合日趋紧密表一概括了英国内部控制范围的演化过程和发展趋势。卡德伯利报告和拉特曼报告对内部控制的要求主要限于财务控制，而财务控制的主要功能在于保护资产的安全、保持正确的财务会计记录以及确保公司内部使用和向外部提供的财务信息的可靠性。哈姆佩尔报告则向前推进了一步，认为很难将财务控制与其他控制区分开来，鼓励董事对有效经营、遵守法律法规等方面进行复核，从而大大扩大了内部控制的范围。特恩布尔报告再次扩大了内部控制的范围，将其与风险管理联系起来。内部控制与风险管理的结合很早就引发了人们的关注，但两者的关系仍无普遍认可的观点。一种观点认为内部控制从属于风险管理的范畴，是风险管理的方式之一。例如Krogstad(1999)就认为内部控制不存在于真空或暗箱之中，而存在于协助组织进行风险管理并提升有效的治理程序之中，McNamee也认为内部控制是企业管理者对企业风险的反应。另一种有代表性的观点是将风险管理纳入内部控制体系，认为控制包含了风险。例如，美国的COSO报告将风险评估视为内部控制的五个要素之一。加拿大CICA的控制委员会则认为“控制应包括对风险的确认和规避”(1999)。经过争论和实践，人们对二者关系的认识不断深化，逐渐认识到将两者关系隔离的分析方法是不可取的，内部控制与风险管理只有相融合，才能实现最佳效果。例如，Blackburn(1999)就认为“风险管理与内部控制仅是人为的分离，而在现实的商业行为中，他们是一体化的”，这种融合极大地推进了内部控制定义的发展。Maijoor(2000)曾指出定义内部控制的困难所在，并进一步认为当前内部控制的研究是零散和不完善的，内部控制在公司治理中的作用并不明显，导致政策建议建立在未经证实的假设之上。特恩布尔报告转向扩张的观念，将内部控制与风险管理合为一体，认为两者是近乎等同的概念。这是英国与公司治理相关的公开文件中，第一次强调内部控制与企业风险的关系。而此前的卡德伯利报告没有明确两者之间的关系，哈姆佩尔报告也仅在内部控制的环境下简单地提及风险管理。特恩布尔报告认为公司经营的目标、内部控制组织和环境处于不断变化之中，作为结果，其面临的风险也在不断变化。一个健全的内部控制依赖于对公司所面临风险性质和程度的全面、综合的评价。因为利润本身部分地作为企业成功冒险的回报，内部控制的目的就是帮助正确地管理和控制风险，而非减少风险。正如该委员会主席尼格尔·特恩布尔所说：“我们致力于制定实务指南，以保证董事会知晓公司所面临的重要风险，并制定相应的程序对风险进行管理，执行的管理层负责通过建立有效的内部控制系统进行风险管理，而董事会作为一个整体对其进行报告。”这种融合避免了对内部控制定义不清的麻烦，使之从传统的内部财务控制的狭窄范围内摆脱出来，扩展至通过战略参与公司价值创造，同时亦标志着风险导向内部控制时代的来临。三、内部审计的角色由监督者逐步转变为控制者内部审计一度曾被定位于“监督者”的角色。卡德伯利报告认为，内部审计是对外部审计的补充，建立内部审计机构对关键控制和程序进行监督是良好公司实务的组成部分，这种日常监督也是公司内部控制整体中的一部分，它有利于保持内部控制系统的有效性。内部控制代表董事会对任何有舞弊可疑性的行为执行调查，为保证其地位的独立性，应使内部审计负责人与审计委员会主席的沟通畅通无阻。哈姆佩尔报告却认为，没有必要对内部审计做出严格的规定，但董事会应经常考虑，是否需要建立独立内部审计机构。特恩布尔报告对内部审计做出了更为详细的指引，认为是否建立内部审计机构不能一概而论，而是取决于公司具体的因素。这些因素包括规模、公司行为的多样性和复杂性、员工的数量以及成本效益方面的考虑。高级管理人员和董事会需要对风险和控制给出客观的保证和建议，一个有效的内部审计部门(或独立第三方)则可以提供这种保证和建议，内部审计亦可以在诸如健康和安全、管制和法律遵守及环境等问题提供保证和建议。特恩布尔报告认为，在决定是否有必要建立单独的内部审计机构这一问题上，董事会应考虑公司行为、市场、组织重构、信息系统和其他外部环境方面因素是否会增加公司所面临的风险。那些未建立内部审计机构的公司，其管理人员应使用其他监督程序，以确保内部控制能正常、按要求运转，董事会有必要对这些程序是否提供足够和客观的保证进行评估。特恩布尔报告还认为，内部审计师的主要作用是"确证和建议"，而不再是以往的“监督和复核”。这一转变赋予内部审计更多的内涵，也推动了英国内部审计职业角色的转变。这一转变也与内部审计师协会(iia将)内部审计定位成增值性审计的想法不谋而合。在风险导向的内部控制下，内部审计计划与公司风险管理策略联系在一起，内部审计利用对当前的风险分析，保证其审计计划与企业的经营计划相一致。正如mcnamee所预言的那样，内部审计师应成为内部战略计划者--一个管理控制的扩展，以确保系统正常运做，实现组织目标，内部审计师应最终脱离狭隘的会计之源。在变革的时代，内部审计师应在全面管理中发挥更高价值的功能，这一崭新的定位已经成为内部审计师职业发展的目标，也为内部审计师在组织中占据新的位置提供了机遇。四、内部控制自我评估日益受到重视 内部控制自我评估(cas是公司管理层和员工在专题讨论中，) 共同对内部控制进行的评估(mcnamee，1995)。自我评估是组织监督和评估内部控制系统的主要工具，它将运行和维持内部控制的主要责任赋予公司管理层，同时使员工和内部审计与管理层一道承担对内部控制评估的责任。这使以往由内部审计对控制的充足性及有效性进行独立验证发展到全新的阶段，即通过设计、规划和运行内部控制自我评估程序，由组织整体对管理控制和治理负责。英国一直重视内部控制的自我评估，但卡德伯利报告和哈姆佩尔报告仅要求对内部控制系统进行复核(review。)而在特恩布尔报告中，则第一次使用了评估(assessment的)字眼，报告还用相当大篇幅对内部控制自我评估做出了原则性的规定。特恩布尔报告规定，在给董事会的报告中，管理层应对与其相关的领域中所存在的风险，以及相应的内部控制系统的有效性提供平衡的自我评估。特恩布尔报告认为，在对内部控制进行自我评估时，应特别考虑以下几个问题：(1)自上次评估以来，重要风险的性质和程度所发生的变化，以及公司对这些商业风险和外部环境变化所做出反应的能力。(2)管理层对内部控制系统和风险持续监督的范围和质量，以及内部审计功能和其他保证方式的工作状况如何。(3)就监督的结果与董事会交流的程度和频率，以便在公司内建立起累计评估体系，对内部控制状况及风险管理有效程度加以评估。(4)期间内任一时间所确认的重大控制失败或弱点，及其所导致或可能导致的不可遇见的结果及或有事项的程度，以及对公司财务状况和业绩产生的重大影响。(5)公司公开报告程序的有效性。一旦知道内部控制中所存在的重大失败或弱点，董事会应决定这种失败或弱点是如何产生的，并对内部控制系统的有效性进行重新评估。从上述情况看，尽管报告尚未对评估的程序、方法等做出更为具体的规定，但明显地，对内部控制自我评估的重视程度，是日益加强的。上一页几点启示一、内部控制理论研究定位问题长期以来，我国内部控制理论研究主要集中于会计审计领域，侧重从会计和审计的角度研究内部控制，其研究成果也主要服务于审计方法的应用、审计成本的节约和审计风险的控制。注册会计师职业在审计中采用制度基础审计方法，通过对内部控制的测试，确定审计的重点和风险，进一步修改审计计划，而内部审计师则将内部控制作为监督或评价的重点目标。仅从会计和审计的角度研究内部控制，必然导致视角过于狭窄。1996年财政部颁布的《独立审计具体准则第9号—内部控制和审计风险》，对企业内部控制的定义、目标和局限性等做出了较为全面的阐述，但它所采用的内部控制是英、美等国家所“淘汰”的概念，其作用也仅局限于对注册会计师从事审计业务提供具体指引。2001年财政部颁布的《内部会计控制规范——基本规范(试行)》是目前我国内部控制领域内最具权威的标准，也是上市公司进行内部控制实践所依据标准，但该《规范》仍局限在内部会计控制领域。而英国内部控制的发展，经历了财务控制、财务控制与管理控制相结合、内部控制与风险管理相融合等几个阶段，其范围不断扩大，早已超出了会计控制的范围。2002年1月，中国证监会颁布了我国第一部公司治理准则—《上市公司治理准则》，对公司治理的诸多方面进行了规范，但该准则却并没有涉及内部控制方面的内容，这使得该准则自诞生之日起便带有明显的缺陷。公司治理与内部控制之间应形成良性互动关系，内部控制的发展离不开公司治理的推动，公司治理的优化也离不开有效的内部控制作为保障。我们认为，两者间的关系应该在准则中得到反映，治理准则对内部控制、内部审计亦应作出明确的规定。英国内部控制的发展离不开公司治理的推动，内部控制和内部审计研究均置于公司治理的框架之内，重视从公司治理的角度研究内部控制，把内部控制看作公司治理的有机组成部分。我们认为，应借鉴其英国内部控制研究的经验，加强对内部控制理论的研究，致力于研究内部控制是否对公司治理产生影响、这种影响机制如何发生作用以及公司董事会和管理层如何设计、运行公司内部控制机制等基本理论问题。二、对内部控制的有效性进行强制性报告有待商榷目前我国上市公司的内部控制实行的是强制性披露制度。虽然这种强制性的信息披露有利于投资者了解上市公司的赞助商链接和投资决策。但是，这种强制性披露要求的合理性仍值得商榷。因为，如果公司或注册会计师在报告中认为上市公司的内部控制是“有效性”的，这就意味着他们做出了某种承诺和保证，且给人绝对承诺和保证的印象。实际上，内部控制所能提供的仅是“合理”保证，而非“绝对”保证，这种绝对的保证很容易将自身置于潜在的诉讼风险之中。正是出于对诉讼风险的担心，英国上市公司的董事及注册会计师才反复游说，最终取消了对“有效性”报告的规定。由于内部控制的涵盖范围很大，涉及到财务会计、经营管理、合法合规等诸多方面，使得任何一起证券市场民事诉讼都有可能牵扯到内部控制。发起人、负有责任的董事、监事以及注册会计师均有可能因对内部控制的“有效性”做出承诺而面临诉讼，而导致巨额的赔偿。因此，要求上市公司或注册会计师对内部控制的有效性进行报告的做法，值得进一步探讨。这是英国内部控制发展给我们的另一个启示。三、风险导向内部审计是内部审计的发展方向随着风险导向内部控制时代的来临，内部审计的工作重点也发生变化，由“控制”转向“风险”。现代内部审计除了关注传统的内部控制之外，更关注有效的风险管理机制和健全的公司治理结构(王光远，2002)。在风险导向内部审计观念下，年度审计计划与公司最高层的风险战略连接在一起，内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致，使用风险管理原则改变审核过程。风险管理成为组织中关键流程，促使内部审计的工作重点不再是测试控制，而是确认风险及测试管理风险的方法，在风险导向的内部审计中，控制仍然重要，但分析、确认、揭示关键性的经营风险，才是内部审计的焦点。目前我国内部审计面临着与内部控制研究相似的问题，即内部审计尚未与公司治理相结合，成为公司治理的有机部分。当前我国企业内部审计主要将大部分精力用于财务数据的真实性、合法性的查证和生产经营的监督，管理审计尚未得到广泛的开展。因此，我们认为应顺应内部审计科学发展的客观规律，在实践中有意识地推动内向型管理审计的发展。从强调确认和测试控制完整性，逐步转向强调确认和测试风险是否得到有效管理，从传统的强调关注风险因素，逐步转向关注情景规划。内向型管理审计的建议应不再仅是强化控制、提高控制效率和效果，而应该是规避风险、转移风险和控制风险，通过风险管理的有效化，提高整体管理效率和效果。与虚像财务报告有关。另外还涉及财务经理、COO（首席经营官）、其他高级副总裁和董事会成员。（2）审计委员会：大多数公司的审计委员会很少开会甚至没有审计委员会。经调查，涉及舞弊的公司的审计委员会一般一年只开一次会，25％的被调查公司没有审计委员会，65％的审计委员会会计工作不称职或没有在主要的会计、财务岗位上的工作经验。（3）董事会：内部人控制现象严重。经调查，60％的董事是内部人或与公司管理层有特殊关系的“灰色”（gray）董事、这些董事和经理拥有近1／3的公司股份，CEO、总裁个人拥有近17％。大约40％的幸事会没有独立的外部董事，（4）裙带关系：在董事、经理以及有显著权利的个人之间的家庭关系很普遍。经调查，近40％的公司提供了有家庭关系的证据，约半数公司的创始人仍是现在在任的CEO，或最初的CEO仍在位，超过20％的公司的管理人员同时拥有不相容职权如CEO与CFO。针对上述的调查结果，研究人员就高级管理层和董事会的控制环境问题提出一些建议：（l）如同COSO报告《内部控制一整体框架》中所强调的，不能过于夸大控制环境的重要性。要控制高级管理人员面临的压力。了解财务报告要求的高级管理人员要指导其他高级管理人员理解财务报告问题，限制过于偏激的报告；董事会成员和审计师要监督防止经理利用财务知识舞弊。（2）对于收入低于5千万美元、审计委员会弱小的公司中出现的舞弊，强调严格的审计委员会工作的重要性，对于更小的公司也同样重要。（3）需要认真考虑小公司是否要象大公司那样强调董事的独立性和专门技能。由于小公司的权利比较集中，有一个严谨的董事会监督功能也许也很重要。（4）由于独立的审计委员会的效果可能被其所获得的信息的质量、范围所限制，要有效行使监督职能，审计委员会就需获取可靠的财务和非财务信息及行业的标准数据，对此，董事会和审计委员会应相互合作以获取和其他信息提供者提供的相关、可靠信息。（5）投资者应意识到由家庭关系或个人集权所可能带来的复杂问题。COSO报告概述COSO是全国虚假财务报告委员会下属的发起人委员会（TheCommitteeofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting）的英文缩写。根据萨班斯法案第404节条款以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。2004年3月9日，PCAOB发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》（也称“COSO内部控制框架”）。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。1992年Treadway委员会经过多年研究，针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布《内部控制一整体框架》（InternaControl－IntegratedFramework）报告，即通称的COSO报告。该报告第一部分是概括；第二部分是定义框架，完整定义内部控制，描述它的组成部分，为公司管理层、董事会和其他人员提供评价其内部控制系统的规则；第三部分是对外部团体的报告；是为报告编制报表中的内部控制的团体提供指南的补充文件；第四部分是评价工具，提供用以评价内部控制系统的有用材料。COSO报告提出内部控制是用以促进效率，减少资产损失风险，帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标：经营的效率和效果（基本经济目标，包括绩效、利润目标和资源、安全），财务报告的可靠性（与对外公布的财务报表编制相关的，包括中期报告、合并财务报表中选取的数据的可靠性）和符合相应的法律法规。[编辑]COSO报告中内部控制的组成1.控制环境（Controlenvironment）它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。2.风险评估（riskassessment）是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。3.控制活动（controlactivities）是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。4.信息和交流（informationandcommunication）信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。5.监控（monitoring）监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。[编辑]COSO报告中内部控制的职责（l）管理层：CEO最终负责整个控制系统。对大公司，CEO可把权限分配给高级经理，并评价其控制活动，然后，高级经理具体制定控制的程序和人员责任；对小公司，一切可更为直接，由最高经理具体执行。（2）董事会：管理层对董事会负责，由董事会设计治理结构，指导监管的进行。有效的董事会应掌握有效的上下沟通渠道，设立财务、内部审计等职能，防止管理层超越控制，有意歪曲事实来掩盖管理的缺陷。（3）内部审计师：内审对评价控制系统的有效性具有重要作用，对公司的治理结构行使者监管的职能。内部其他人员：明确各自的职责，提供系统所需的信息，实现相应的控制；对经营中出现的问题，对不合法、违规行为有责任与上级沟通。外部人员。公司的外部人员也有助于控制目标的实现，如外部审计可提供客观独立的评价，通过财务报表审计直接向管理阶层提供有用信息；另如法律部门、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等也都有助于内部控制的有效执行。[编辑]COSO报告的现实意义COSO报告是在美国金融风险加剧，财务欺诈抬头，社会各界对内部控制和独立审计师寄予厚望的“危难”时刻，由五个职业会计团体联合并潜心研究近4年左右的时间才诞生的。COSO报告中蕴涵了许多崭新的理念和思想。这些理念和思想，不仅对过去，而且对现在甚至未来的企业管理、财会工作和独立审计都有着重要影响。主要有以下几个方面：1.准确定位内部控制基本目标。COSO报告指出内部控制本身不是目的，而是实现目标的手段。内部控制目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险。用中国话来说就是为企业的经营和管理工作“保驾护航”。2.提出三类目标、五项构成要素概念。COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。这些概念的提出，为评价内部控制系统提供了一套完整的标准，使COSO报告在理论和实际应用两个方面都较原来的内部控制学说有一个质的飞跃。3.提出内部控制是“过程”，并由控制环境、风险评估、控制活动、信息与沟通和监测活动五项要素构成。五项控制要素不是内部控制过程中先后顺序上的一道道工序，而是一个多方向交叉的多维的反复的过程。COSO报告突出了内部控制过程中的复杂性和各控制要素之间有机的多维的联系与影响。4.强调“人”的重要性。COSO报告指出人和环境是推动企业发展的引擎。内部控制是由人来设计和实施的，企业中的每位员工都受内部控制的影响，并通过自身的工作影响着他人的工作和整个内部控制系统。所以，要求所有员工都应清楚他们在企业、在内部控制系统中的位置和角色，并协调一致，才能推进内部控制的有效运转。5.认识到董事会在内部控制中的作用。COSO认为董事会与公司内部控制之间是有联系的，企业中一些行为需要董事会批准或授权。一个客观、能动和富有调查精神的董事会，能够及时发现并修正公司经理班子逾越内部控制的行炉。6.强调内部控制系统系是“内置于”（builtin）企业经营和管理过程中的一项基础设施（infrastructure），与管理活动的计划、执行和监控职能交织融合在一起，不是后天添加物（builton）。同时内控系统应有应对不断变化的客观世界的机制。[编辑]COSO报告的局限性COSO报告是以职业会计师为主体队伍的研究成果，应用的现实特别是面对美国财务危机的现状，显示COSO报告在控制能力上的差距。COSO报告中主要值得商榷的问题有：1.没有充分认识到董事会对内部控制系统的至关重要性。虽然COSO报告把董事会与内部控制联系起来，但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权，基本上把内部控制限定在CEO之下，而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。这好比设计一幢大厦，只看到了地上部分，忽视了地下基础。2.COSO提倡的反映内部控制运行状态的“管理报告”的信息含量和可信性值得怀疑。首先，从正常逻辑上考虑，如果一个企业的内部控制存在问题，企业能够如实地公示社会吗？第二，管理报告对内部控制的评价只是基于某一时点状况而言的。根据COSO报告，企业不需披露在此时点之前存在的但已被发现和更正的内部控制缺陷。第三，报告的范围仅限于与财务报告有关的内部控制，而财务报告只是经营结果的反映。笔者认为内部控制系统的评估和持续监测是绝对必需的，但COSO建议的这种评估和披露方式容易误导投资者。3.COSO报告中的“合理保证”、“成本效益”等词语，基本上是从会计上直接移植过来的，对于规避注册会计师法律责任是有好处的。但对社会用户来说，增添了许多猜疑和无奈。到底什么算是“合理保证”，如何做到“成本效益配比”，在实践中恐怕很难说清楚。内部控制评价应通过提高评价标准和评价过程的客观性和透明度增加科学性。4.把企业经营和管理中一些重要职能排斥在内部控制触角之外。COSO一方面指出内部控制与管理各功能（计划、