2011年12月，美国科索委员会（COSO）发布了新版内控框架的征求意见稿，面向全球公开征求意见。2013年5月，COSO正式发布新内控框架。

一、新COSO内控框架的主要变化

　 　 新COSO内控框架共包括4部分内容：一是内容摘要，对新框架进行高度总结，包括内部控制的定义、目标、原则、内部控制的有效性和局限性等，使用对象为首席执行官和其他高级管理层、董事会成员和监管者。二是框架内容和附录，包括内部控制的组成部分及相关的原则和关注点，并为各级管理层在设计、实施内部控制和评估其有效性方面提供了指导。三是评估内部控制系统有效性的解释性工具，为管理层在应用框架特别是评估有效性方面提供了模板和行动方案。四是外部财务报告内部控制：方案和示例摘要，在准备外部财务报告过程中为应用框架中的要素和原则提供了实际的方案和示例。

　 　 新COSO内控框架在内部控制的定义、内部控制五要素、评估内控体系有效性的标准等方面与旧框架保持了一致。与旧框架相比，新框架的变化主要表现在以下几个方面：细化了内控框架的结构内容。新框架最显著的变化是在旧框架的基础上，提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则组合起来就构成了内部控制的标准，适用于所有的组织。每一项总体原则又由代表其重要特征的多个关注点所支持。这些关注点旨在为管理层提供具体的指引，协助其设计、实施和执行内控，以及评估相关原则是否存在和发挥效用。每个关注点都与17个原则中的某个原则相对应，而每一项原则也都与五要素中的某个要素相对应。

　 　 扩大了报告目标的范畴。新内控框架在报告对象和报告内容两个维度上对报告目标进行了扩展。在报告对象上，既要面向外部投资者、债权人和监管部门，确保报告符合有关监管要求；又要面向董事会和经理层，满足企业经营管理决策的需要。

　 　 在报告内容上，除了包括传统的财务报告，还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。归纳起来，新COSO内控框架共有四类报告目标：内部财务报告、内部非财务报告、外部财务报告以及外部非财务报告。新框架对报告目标的扩展与我国内控规范体系中对报告范畴的有关规定基本相同。

　 　 强调管理层判断的使用。新COSO框架对五要素的分解不是按照子要素来进行的，而是作为“原则”来呈现的，即强调“基于原则”的内控实施和管理层判断的使用。新框架并未要求对17项原则及其关注点进行单独评估以确定其是否存在或有效。管理层可以自由判断新框架所提供关注点的合适度或相关度，然后根据企业的具体情况，来选择和考虑与某一特定原则密切相关的关注点。可以说，在这一点上，COSO新框架吸取了《萨班斯法案》通过以后旧框架实施成本高的教训，使内控实施更加灵活，同时节省了实施成本。

　 　 强化公司治理的理念。新框架包括了更多公司治理中有关董事会及其下属专门委员会的内容，强调董事会的监督对内部控制有效性的重要作用。这与我国《企业内部控制基本规范》及《组织架构》应用指引中有关公司治理的规定相一致。

　 　 增加了反舞弊与反腐败的内容。与旧框架相比，新框架包含了更多关于舞弊与欺诈的内容，并且把管理层评估舞弊风险作为内部控制的17项总体原则之一，重点加以阐述。这与我国内部控制规范体系在反腐败工作中的重要作用不谋而合。

　 　 充分考虑了不同商业模式和组织结构的内部控制。随着经济全球化的发展、技术的不断进步和人才竞争的加剧，近年来企业的商业模式和组织结构发生了巨大变化，企业在运营过程中更多地使用第三方提供的产品或服务，管理层更加关注包括供应商和客户在内的价值链管理。

　 　 为此，新框架专门分析了不同商业模式和组织结构下内部控制的有效性问题。

　 　 总之，新框架并没有改变旧框架关于内部控制的基本概念和核心内容，而是对旧框架的某些概念和指引进行更新和改进，以期反映近年来企业经营环境的演变、监管机构的要求和其他利益相关者的期望。

二、新COSO内控框架的应用前景广阔

　 　 COSO将于2014年12月15日用新内控框架替代1992年版的内控框架。COSO认为，旧框架中的重要概念和原则是基本合理的，并且被市场广泛接受，因此，在过渡期内应该允许旧框架正常使用。但是，在过渡期间，企业在为外部报告目标而运用COSO内控框架时，需要明确披露其使用的是1992年版本还是2013年版本。COSO鼓励企业在可行的情况下，尽快将内部控制程序及相关文件转换成2013年版的新框架。为此，COSO还在其网站上公布了一个新旧框架转换实施方案，供使用者参考。

　 　 COSO新框架的发布，将会引起内控评价和内控审计的一系列问题，包括内控评价和审计程序的设计、标准的制定、报告和监督的执行等方面的改变。到目前为止，SEC和PCAOB还没有就是否采用、何时采用、如何采用COSO新框架表态。但是，由于旧框架的重要概念和基本原则已获得市场广泛认可且未做本质性改变，对于那些已经历了多年《萨班斯法案》404条款合规工作的在美上市公司来讲，可以花费较低的转换成本，将企业内控体系从旧框架下转换到新框架下。对于众多参考COSO旧框架制定的世界各国内控标准体系来讲，新框架同样具有参考价值和借鉴意义。

三、跳出财务视角 坚持全面内部控制

　 　 美国、加拿大内控框架体系建设对我国企业内部控制规范体系建设带来以下几点启示：借鉴美国《萨班斯法案》，加强内控法制建设。与美国、加拿大相比，现阶段我国内控法制建设还处于部门规范性文件层面，内控的推动更多的是依靠行政部门的力量，在法律层面上并没有专门对内控的责任、义务加以规定，且相关法律中对与内控有关的处罚措施也较轻。建议在推动修订和完善《会计法》、《注册会计师法》等相关法律法规时，增加有关企业建立健全内控体系的条款，明确企业内控建设和注册会计师内控审计的责任，并借鉴美国《萨班斯法案》，强化对隐瞒内控缺陷、虚假披露内控有效性信息的有关企业和个人的处罚力度。

　 　 跳出财务报告内控的局限，强化全面内控的理念。在我国，内控一直作为财务管理、会计、审计等方向的研究领域，其研究和从业人员多是财务出身，这导致不管是实务还是理论，内控都打上了“财务”的印记。我国有些政府监管部门也一直强调企业仅需关注“财务报告相关内控”即可。事实上，财务报告相关内控只是内控的一个重要组成部分。新COSO内控框架基于公司治理的内控观，将内控目标从外部财务报告目标扩展到内部、外部、财务、非财务4个报告目标，有利于从更加广阔的视角来建设与实施内控体系。这一点与我国企业内控规范体系一直强调的“全面内部控制”的思路相吻合。下一步，我们应当继续坚持并强化“全面内部控制”的理念。

四、 借鉴新COSO内控框架，进一步完善我国内控规范体系。

　 　 新COSO内控框架以原则为导向，能够帮助企业董事会和管理层更有效地开展内控体系建设与实施工作，内控报告目标的扩展也对实施企业提出更高要求。

　 　 可以说，新COSO内控框架与我国内控规范体系在整体架构、基本原则、主要内容、实施要求等方面趋于一致。新COSO内控框架对于完善我国内控规范体系具有重要意义。下一步，我们要在深入研究总结我国内控规范实施工作中取得的成效和存在的问题的基础上，进一步研究完善我国内控规范体系，包括研究制定金融行业内控指引、发挥内控在预防腐败方面的作用、研究小企业实施内控规范体系问题等。

　 　 坚持内控审计制度，不断完善我国内控实施要求。加拿大COCO内控框架逐渐衰退的事实告诉我们，一个结合实际、科学合理的内控实施制度安排，是内控规范体系得到有效贯彻实施的关键所在。下一步，我们应当全面总结当前主板上市公司执行内控规范体系情况，研究企业在实施内控规范体系中反映的各种问题，密切关注美国证监会和美国公众公司会计监督委员会对COSO新框架的采用情况，不断完善我国大中型企业实施内控规范体系的有关政策措施，研究小微企业实施内控规范问题。

　 　 立足我国实际，避免盲目趋同。在国际趋同愈演愈烈的今天，学习借鉴国际内控领域最权威的COSO框架是我国内控发展的必经阶段。然而，各个国家的历史、文化、政治、经济的特殊性，必然导致具体的内控标准有所不同。在我国企业内控规范体系建设实施过程中，一方面要加强对新COSO内控框架的研究，借鉴吸收西方发达国家内控框架的精髓，为我所用；另一方面要结合我国国情和企业实际，制定实施适用于自身的内控规范体系及其实施政策，避免被某些西方国家“牵着鼻子走”。

　 　 加强内控国际交流与合作，做好新COSO内控框架的研究翻译工作。积极开展与其他国家或地区内控规范制定组织、资本市场监管机构的交流与合作，建立定期联系机制，主动参与国际内控标准修订和制定工作。同时，密切跟踪新框架的最新实施情况，积极与COSO委员会联系新框架在中国的翻译出版事宜，组织有关专家和人员，开展对新框架的前期研究、翻译工作，为国内广大内控理论研究者、实务工作者提供重要参考