2001年底發生的安然事件等一系列財務丑聞，暴露了美國核查體系的嚴重缺陷，而上述核查體系原本是用來保護公眾公司的股東、養老金受益人和雇員的利益，并保護美國公眾對資本市場的穩定、公正的信心的，安然等一系列事件無疑嚴重動搖了公眾對會計師行業的信心。針對上述公司失敗事件，美國國會在2002年出臺了《薩班斯—奧克斯利法案》，該法案為公眾公司的外部審計師們創建了一個廣泛的、新的監督體制，并將對財務報告的內部控制作為關注的具體內容。國會不僅要求管理層報告公司對財務報告的內部控制，而且要求外部審計師證實管理層報告的準確性。可以說，上述事件又一次讓內部控制成為關注的焦點。

    對法案相關條款的回應

    2002年7月發布的《薩班斯—奧克斯利法案》第404節（a），以及美國證券交易委員會（SEC）的相應實施標準，要求公眾公司的管理層評估和報告公司最近年度的財務報告的內部控制的有效性。第404節還要求公司的外部審計師對管理層的評估意見出具“證明”，也就是說，向股東和公眾提供一個信賴管理層對公司財務報告的內部控制描述的獨立理由。法案的第404節以及103節，指導公眾公司會計監督委員會（PCAOB）制定用以管理外部審計師的證實工作，并就管理層對內部控制的有效性的評估進行報告的行業標準。

    2004年3月9日，PCAOB發布了其第2號審計標準：“與財務報表審計相關的針對財務報告的內部控制的審計”，并于6月18日經SEC批準。該標準關注對財務報告的內部控制的審計工作，以及這項工作與財務報表審計的關系問題。這項綜合的審計會產生兩份審計意見：一份針對財務報告的內部控制，另一份針對財務報表。對內部控制的審計涉及以下內容：評價管理層用于開展其內部控制有效性評估的過程 ； 評價內部控制設計和運轉的效果 ； 形成對財務報告的內部控制是否有效的意見。

    該標準的出臺，將對構成有效公司治理基石的董事會、管理層、外部審計師與內部審計師產生深遠的影響。正如PCAOB主席William J. McDonough所稱，“該標準是委員會采用的最為重要、意義最為深遠的審計標準。過去，內部控制僅是管理者考慮的事情，而現在審計師們要對內部控制進行詳細的測試和檢查。這一過程將對投資者起到重要的保護作用，因為穩固的內部控制是抵御不當行為的頭道防護線，是最為有效地威懾舞弊的防范措施”。

    此外，SEC對該標準的認同等于從另外一個側面承認了1992年發起人組織委員會（COSO）下屬的杜德威委員會公布的《內部控制—綜合框架》（也稱COSO框架）。這也表明COSO框架已正式成為內部控制的標準。這是COSO的重大勝利，是COSO每個成員機構多年的不懈努力使這個框架獲得了更大程度的認可。

    第2號審計標準有關內部控制的規定

    第2號審計標準依據COSO制定的內部控制框架制訂，在“管理層用于開展其評估的框架”一節中，明確管理層要依據一個適宜且公認的由專家群體遵照應有的程序制定的控制框架，來評估公司財務報告內部控制的有效性。在美國，為管理層的評估目標提供的適宜框架就是COSO框架。當然，其他國家也公布了一些適宜的框架，如加拿大的COCO框架等。標準還指出，盡管不同的框架可能沒有精確的含有與COSO一樣的組成要素，但他們所含有的組成部分涵蓋了COSO的所有常規主題。因此，如果管理層運用了區別于COSO的適宜框架時，審計師應以合理的方式運用2號審計標準中的概念和方針。

    標準認為，COSO框架能確認出內部控制的三大主要目標，即運營的效率和效果，財務報告的可靠性，以及遵守適用的法律和規章。而COSO以往對財務報告的內部控制觀點不包含運營目標和合規性目標。不過，這兩個目標與財務報表的表達與披露直接相關，有必要含在財務報告的內部控制中。而這三大目標都會對財務報告產生重大的影響，是關于財務報告的內部控制的組成部分。此外，標準將控制環境、風險評估、控制活動、信息和溝通、監控作為框架的五大組成要素，服務于上述三大目標。

    當然，PCAOB也敏感地意識到，為遵循第404節和第2號審計標準的要求所需的成本，會強加到很多公司（尤其是中小型公司）身上，同時也預見到美國公司在遵循第404節要求的頭一年要承受巨額的成本。畢竟，按COSO框架設計和實施內部控制框架是需要投入的，公司內部的審計部門對內部控制的整體評估（不限于對財務報告的內部控制），以及外部審計師按標準規定對財務報告的內部控制和財務報表審計都需要大額的費用。盡管內部控制的性質和程度很大程度上取決于公司的規模和復雜程度，但多數公司的前期成本投入是在所難免的。只不過大型復雜化的國際性公司很可能需要廣泛的綜合性內部控制系統，而一些小公司或業務較為單一的公司，因其高層管理團隊的道德行為和核心價值平時就與內部、外部當事人進行互動，可能會減少對精心設計的內部控制系統的需要。PCAOB預計，審計師會運用合理的專業判斷來決定對內部控制的審計程度，并開展那些必要的測試來確定公司內部控制的有效性。

    不過，相對于以往各行其是的內部控制評估標準來說，PCAOB的工作對于規范化的內部控制設計、實施、監督、評估與不斷改進是有重大進步意義的，它使許多美國公司的各層管理者能在一個統一的框架內有效履行其內部控制的職責，并為會計師行業對內部控制的評估提供了一個基礎。更為重要的是，該標準將力促公司建立有效的內部控制監督體系，這為有效的公司治理奠定了良好的基礎。畢竟，內部控制監督過程需要審計委員會、高層管理者、外部審計師和內部審計師的共同參與。

    對COSO框架的進一步思考

    縱觀美國內部控制的發展史，不難看出其發展的每一個過程都與會計職業群體有深厚淵源。自1938年的“麥克森—羅賓斯事件”促使美國注冊會計師協會（AICPA）發布內部控制定義起，到1977年美國國會發布《反國外賄賂法案》，至1992年COSO發布《內部控制—綜合框架》，再到2002年美國國會發布《薩班斯—奧克斯利法案》以及PCAOB發布第2號審計標準，會計執業界都與此有密切關聯。當然，迄今為止集大成者還要屬COSO框架。

    正如前文所述，COSO框架在2004年成為了美國的內部控制標準，這與COSO制定該框架的初衷是吻合的。COSO的綱要部分就聲明公司的高級執行官長期以來一直在謀求更好地控制其所治理的企業。高級執行官對內部控制的興趣恐怕來自有效的內部控制是保證公司資產免受管理層、員工或其他人的違法行為和類似錯誤引起的不利后果的最后屏障這個看似不可動搖的假設。而PCAOB也相信，為獲取可靠的財務報表，機構必須保持內部控制的運轉，以便了解各項記錄的準確性，各項交易和資產的處理的公允反映情況，并對各項交易記錄的充分性提供保證，且收支工作都經管理層和領導者授權。這樣，就能根據一般公認會計原則（GAAP）編制財務報表。內部控制的運轉還能確保上述步驟的運轉，以防止或發現對財務報表產生重大影響的資產的盜用、未經授權使用或處置情形。簡言之，如果公司管理層能證明其對簿記工作實施了適當的內部控制，用于編制準確財務報表的賬簿和記錄是充分的，并遵守了公司資產的使用規則，投資者就會對公司財務報表的可靠性更為信任。

    此外，當今世界另外幾個主流內部控制框架如加拿大的CoCo、英國的Cadbury報告、國際內部審計師協會（IIA）的SAC、信息系統審計與控制協會的（ISACA）的Cobit都與COSO框架緊密相關。中國有關部門制定的內部控制標準，包括證監會發布的“證券公司內部控制指引（2003）”、中國人民銀行發布的“商業銀行內部控制指引（2002）”、中國內部審計協會發布的“內部審計準則——內部控制（2003）”，其核心目標也與COSO框架一脈相承。

    當然，在肯定COSO框架價值的同時，我們也不應忽視一些不同的意見。比如，早在1993年，AICPA下屬的公眾監督委員會（POB）就建議SEC要求在證券交易所登記的公眾公司的管理層在其年度財務報告（向股東發布的年度報告）中包含一份與財務報告有關的公司內部控制系統有效性的報告。這個建議是想將COSO的內部控制標準用于有效性的評價。可當時SEC并沒有采用這個建議。還有，在COSO框架公布不久，美國審計總署（GAO）就曾對該框架的許多方面提出過批評，并指責這個框架有嚴重缺陷，其內部控制定義中缺乏保障資產的概念，還認為這個框架對內部控制重要性的強調不夠，喪失了改善內部控制監督和評估的機會。此外，對COSO框架最具挑戰的來自其本身的概念基礎以及其他非會計執業界制定的標準。COSO框架聲稱，并不是所有的管理責任都是內部控制的組成部分，因而將戰略計劃、目標設定、保持核心競爭力、董事會責任等要素排除在外。而許多公司的經營失敗很多是因經營戰略的失敗，公司不具有效的治理結構，經營業績明顯低于業界平均水平所引起。顯然，COSO框架對這些問題的關注是不夠的，它將注意力集中在如何對外披露與財務報告有關的內部控制止。而PCAOB的第2號標準再一次強化了這個問題。之所以會出臺這樣的標準，我們不難想象。因為每一次公司危機都會使會計師承受巨大壓力，他們力圖讓COSO框架成為公司內部控制的基礎，以此來阻止財務報告的舞弊行為。

    不過，會計執業界的上述制度安排，是否能有效規避其自身的風險呢？或者說，這本身是否就有風險？這是一個值得討論的問題。畢竟，對內部控制的理解是在不斷演進的。隨著人們對內部控制越發熟悉，積累的經驗越多，他們對內部控制的理解就會隨時間而改變，而這或多或少取決于影響和決定內部控制的諸多力量。并且，不同的利益群體對內部控制的觀點存在不同的認識。換句話說，會計行業與非會計行業在關注內部控制的問題上是有重大差別的，如何將會計界的內部控制語言轉換為管理界的內部控制語言，仍是一個需要長期溝通的問題。不管怎樣，內部控制的目標必須和企業謀求生存和價值創造機會的努力相一致。

    總之，無論COSO框架，還是PCAOB的努力，有一點是非常明確的，就是要在企業內部建立一個基本的控制框架，作為管理層評估財務報告內部控制的基準。這也是企業發展到一定程度在管理方面的必然要求，它受公司治理、價值創造、風險和機會、管制、企業文化、技術發展及受托責任等各方面的影響。中國的各類企事業單位也要從COSO的框架中吸收合理的內核，這會有助于機構管理層次的提升，執行能力的到位；中國注冊會計師行業也應從中汲取經驗。畢竟，中國正面臨一個國際化的舞臺，在一些標準、框架的制定上應與全球主流框架保持一致，這樣才有溝通的可能，有平等對話的可能，有進一步發展的可能。