本书对COSO报告如何运用于各种强制的内部控制提供了清晰的指导，并且其重要性还表现在其严格的框架体系使公司的执行官和领导者将内部控制职能转化为有价值的战略工具，这在平衡公司各种力量以及提高业绩方面更为突出。本书清晰解释了COSO报告的复杂内容，对遵守COSO报告要求的既定技术做出了描述，为内部控制对业务流程的监督提供了详尽的理由，为如何更为有效率地开展内部控制提供了专家建议，并列出了大量可用的内部控制文献。

简明目录：

1.概述/第2章内部控制概念透视/3.内部控制的历史/4.商业道德和道德标准/5.COSO框架/6.超越COSO：其他框架/7.内部控制：一种管理方法/8.内部控制的监督过程/9.内部控制的监督问题/10.内部控制报告//附录A记录内部控制评估的相关问题/附录B精选的参考资料

[美] Steven J.Root著 付涛 卢远瞩 黄翠竹 译

序言

1992年，Treadway委员会下属的发起组织委员会（COSO）框架的概要一开始就声明：“高级执行官们长期以来一直在谋求更好地控制其所治理的企业。”对COSO这个由会计师及会计学术界专业人士组成的五个专业协会发起成立的机构来说，这项声明是非同寻常的。会计职业是由证券交易委员会推动的，多年以来一直在争取完成一项不可能完成的任务，即分离内部控制中那些与用于反映精确记录、保障资产和制定可信赖的财务报表（即会计控制）的会计程序相联系的方面。但是，现在的这项声明看来是认为控制和治理公司同样重要。而高级执行官们通常只在无力维持财务秩序时才对会计控制感兴趣。

内部控制是否应该处于和治理公司同样重要的位置呢？治理一个公司要求首席执行官（CEO）具有强有力的领导能力，要求公司有一个能够激励所有层次的管理层制定和执行战略计划来实现的目标，这些目标可以保持和提升公司的核心竞争力并获得更大的竞争优势。反过来，CEO的领导能力和公司目标的实现能给股东和其他利益相关者带来持续的正回报。股东乐于看到他们所持有的股票随着时间不断升值，这并不是什么新观点。美国式资本主义正在得到世界上日益扩展的政治文明和商业模型的双重承认，其基础正是股东的这种兴趣。在这点上，新近出现的一种现象是股东对毫无民主可言的公司治理正在产生影响。随着拥有数以十亿计投资资本的大机构投资者的迅速增多，原来谨小慎微的独立董事正在发生改变。他们不再是依附于CEO们的橡皮图章了。他们越来越多地成为公司业绩的关键评估人。美国电话电报公司（AT&T）、通用汽车（General Motors）、美国国际商用机器公司(IBM)、伊士曼柯达（Eastman Kodak）、苹果电脑（Apple Computer）等家喻户晓的公司发生的情况表明，如果公司业绩差，CEO和其他高级管理人员就会受到影响。当股东的利益受到损害时，董事会再也不能消极等待、无动于衷了。

COSO框架是否已经意识到这种改变，并在何种程度意识到在公司治理层面所发生的这种改变及其重要性，这一点是不清楚的。清楚的是，尽管COSO框架最初的声明存在某种希望，但是，COSO还是没有改变会计师对财务报告控制及其阻止财务报告舞弊的重要性的过分关注。从独立会计职业的优势来看，阻止财务报告舞弊正是实现商业目标的必要条件。举例来说，COSO框架有选择地从其内部控制准则中消除了诸如机构层面上的目标设定、战略计划和风险管理等重大的公司治理活动。

自然，猖獗的财务报告舞弊在一个依赖于有序金融市场的自由公司系统中是不能容忍的。它是资本积累躯体中的一颗有害的毒瘤，必须用现代商业所有的疗法去医治。从麦克森-罗宾斯（McKesson & Robbins）丑闻发生的那一天开始，股东和其他利益相关者的利益一再成为不谨慎的管理的牺牲品。这种不谨慎的管理，辅之以自满甚至和管理层合谋的董事会，如果没有被其他监督者发现，损失也就不可避免。另一颗更为常见的毒瘤是伴随较差的管理业绩而来的股票价值的下降。无论是战略失误，还是无力保持核心竞争力，抑或是竞争优势的消失，都会导致较差的管理业绩。可是，当公司价值现在下降时，公共养老基金在补偿损失这一点上就显得更加积极。这种积极性包括更多地通过诉讼从董事和管理层那里得到补偿。例如，哥伦比亚/HCA公司这个卫生保健行业巨人的管理层因追求机构层面的目标和战略中的错误行动而受到指控，与此相联系，该公司的董事也被卷入很多诉讼之中。遭到美国联邦调查局（FBI）的拘捕和其他有关公司经营的信息被披露后，市场作出了不利反应，结果使股东们集体遭受了股票价值下降超过60亿美元的损失。公司也成为众多联邦调查和州调查的目标，调查的规模在卫生保健行业是史无前例的。尽管公司的年度报告包括一种COSO推荐使用的管理报告，这种管理报告证明公司的内部控制层面能够合理地保障资产，但这并不能使股东们得到些许慰藉。解决所有的问题需要花掉公司10亿美元以上。由于这一丑闻，公司的许多高级管理人员，包括CEO和总裁，都不得不离开公司。如果哥伦比亚/HCA公司的遭遇可以起到警示作用的话，那么，高级执行官们需要也应该采用比COSO框架提倡的更高的准则，如果他们要保住位置的话，更不用说是增加股本价值了。

在实施对内部控制的内部评估方面，COSO框架的适宜性问题的重要性日益增加。这是由于COSO框架的发起组织促进该框架成为评估内部控制工具的努力颇见成效，越来越多的公司在使用该框架。他们这么做，很大程度上是为了满足会计专家和财务管理人员的要求。会计专家和财务管理人员认为，COSO框架相对于以前的内部控制公告，诸如《外国贿赂行为法案》中的会计控制准则，是一种改善。

当我最初开始考虑写一本有关COSO框架的书的时候，我想写的是如何进一步运用这一框架。同时，它应该为那些打算运用其原则的公司提供更好的指南。毕竟，显而易见，COSO框架中对内部控制标准的表达是不清晰的。它只不过是提供了一个由三个规定的目标组成并辅之以五个内部控制要素的广义定义而已。因此，要帮助别人运用这个框架，有足够的地方可以提供更多的指导。我作为公司财务管理的高级成员和一家《财富》500强企业的首席内部审计师积累的经验，加上主要作为内部审计标准委员会（IASB）成员从事内部审计职业的经验，为我提供了许多思考内部控制标准（COSO和其他标准）以及将这些标准用于评估内部控制是否适用的机会。结果，我发现所要提供的指引要比COSO框架的文件中包含的更为广泛。随着我所从事的研究和调查的深入，我越发感到，COSO框架可能并不是帮助高级执行官判断内部控制充分性的最合适的准则。我开始质疑合理的保证、决定内部控制行动的成本收益概念等内部控制基石的合理性，以及内部控制是否涵盖了大部分（但不是所有的）管理任务。

我认识到，就金融市场的组成和美国经济财富的构成而言，内部控制概念在历史上某一时间的原意与今天大不相同。当我把这一认识加上时，我相信我可以延展出比COSO框架中表述的更好且更有用的内部控制评估，并使它成为良好的公司治理的强项。因此，我改变了方向，写我为什么那样考虑，阐明我的想法会更有效。

长期以来，我相信，只有在组织最高层次的负责监督内部控制的关键人员理解了什么是内部控制、了解了组织中实施的内部控制层次并接受了内部控制固有的风险的时候，才能获得最有效的内部控制的精髓。可是，研究、分析和调查使我得出结论，许多（如果不是大部分）上市公司远远没有最大限度地通过内部控制监督过程来整合内部控制和公司治理目标。换句话说，还有很大的提升空间。

我在研究中还发现，即使是在控制得最好的环境中，内部控制的失败也不可避免。这个发现是我在网上偶然看到混沌理论受到启发而得到的，它也使我得出一个必然的结论：对董事会、高级管理人员、专业会计师和投资大众（可能是最重要的）的教育做得还不够，他们还没有认识到失败的必然性。公众的认识是（许多内部控制专家也这么认为），有能力的管理层可以通过熟练的预防、检查和修正机制来避免失败。可是，混沌理论间接表明，主要的后果来源于对计划的细微偏差和改变的日积月累。我相信，董事会、执行官，财务会计界、商业界对控制的认识必须改变，要接受周期性的人为失败的必然性。一旦接受这种必然性，那么哥伦比亚/HCA公司的高级副总裁和主计长所作的保证的管理报告就没有必要了。也许本书能够加速对这种必然性的接受。

接受这种不利后果的必然性并不意味着管理层可以不对设计和维持高效的内部控制负责。相反，与COSO相比，本书建议的管理方法给董事会、高级管理人员、内部审计部门和组织的所有员工提出了更大的挑战。这种挑战是一种无情的道德上的追求，是为了股东和其他利益相关者的利益，不断地开发竞争优势，寻求机会。它比COSO防止财务报告舞弊的目标的要求高得多。为适应这种挑战，要求对董事会下属的监督委员会、CEO、其他高级管理人员、内部审计主管及其助理人员之间进行合作、沟通和协调，这在现在的许多组织中还是缺乏的。许多情况下，必须进行角色转换。由于会受到很大的抵制，因而挑战很大，但回报也会很高。尽管不可能完全防止失败，但是，一流的公司能够降低失败的频率和严重性。

在我的职业生涯中，有幸结识了许多有识之士。他们帮助我发展思想，使我能够写成本书。能够结识这些人，一是因为我在财务经理协会（FEI）和内部审计师协会（IIA）等专业协会任职，二是因为我供职于一家最好的私营财务公司。由于人数太多，这里不可能一一列举。而且，一旦列举的话，有可能会在无意中漏掉个别人。在这里，我要向所有愿意和我分享他们的智慧的人表示感谢。

有几个人给予我特别的帮助，因此需要特别提出来。首先，吉姆·维尔逊不但和我分享了他丰富的商业知识，而且在写作技巧方面给了我帮助。其次，纳尔逊·吉伯敏锐的想法改变了本书的许多方面和构思，这种改变很多而且很正确。迪克·沃给了我灵感，并且在Northrup Grumman任财务总监（CFO）期间给我提供了充足的例子，这些例子都是在股票价值的原则得到严格贯彻时完成的。

我也十分感激John Wiley & Sons有限公司的肖克·楚及其助理安·伯鲁勒尔和罗宾·戈德斯坦恩优秀的编辑工作。他们帮助我把本书变得简单易懂。最后，我的妻子简给了我很大鼓励，替我分担了很多家务，使我能有更多的时间花在本书的写作上，在此表示感谢。

1第1章概述

2目标

2讨论

6主要议题

17章节的组织

20商业判断规则

21最后的思考23第2章内部控制概念透视

23目标

23概述

24“内部”的含义

26“控制”的含义

29“内部控制”的含义

31内部控制和混沌理论

33混沌理论对内部控制概念的启示

34内部控制全景

36影响内部控制的力量

51内部控制和不断变化的环境

52结论55第3章内部控制的历史

56目标

57概述

59起源

65会计原则的发展

69审计标准

69麦克森罗宾斯公司

73内部控制的第一个定义

74后来的定义

75外国贿赂行为法案

80Treadway委员会

82内部会计控制概念的弃用

84COSO的回应

87联邦储蓄保险公司改进法案

89会计师的诉讼危机

92全球发展和结论

94衍生产品：另一个丑闻

97教训99第4章商业道德和道德标准

99目标

99概述

104商业道德：它们是什么

106局限性：人性

107过失的起因

108风险和后果

109阻止道德过失

112道德意识

112行为准则

113危机管理

118道德和内部控制

120机会121第5章COSO框架

121目标

122概述

124背景

126方法论

128COSO的内部控制定义

130内部控制的组成部分

132控制环境

134风险评估

140控制活动

144信息和沟通

145监督

148保障资产：一种争论

151其他困难

156结论159第6章超越COSO：其他框架

159目标

159概述

162内部控制准则：加拿大的观点

166鲍尔里治准则

170IASB的内部控制框架

174结论177第7章内部控制：一种管理方法

177目标

178概述

188内部控制管理方法中的要素

225结论

226精选的参考资料227第8章内部控制的监督过程

227目标

227概述

233公司治理的作用

240内部控制监督过程概述

242关键参与者

253需要考虑的方面

257结论

258推荐的指引263第9章内部控制的监督问题

263目标

263概述

265主要成员的职责

284自我评估

287外包

289沟通事宜

291混沌理论的应用295第10章内部控制报告

295目标

296概述

297管理层的外部报告

313改进管理报告的案例

319内部报告

325最终意见327附录A记录内部控制评估的相关问题

345附录B精选的参考资料