2.內部控製的主體是全體員工，而不僅僅是經理層的控製，更不等於會計控製，上至董事會、經理層，下至普通員工，各部門、各崗位都是風險控製的主體。董事會對內部控製的建立健全和有效性負責。

3.內部控製的目標不僅僅是預防差錯和舞弊，也不僅僅是為財務報告的可靠性，還包括經營目標及合規性目標，預防差錯和發現舞弊包含於這三個目標之內。

4.內部控製隻能提供一種合理保證，員工串通、管理層淩駕、職業判斷、成本效益等可能使控製活動失效。

5.控製活動的對象是風險，而不是普通員工，員工是實施控製活動的主體。

COSO的內部控製整體框架獲得了廣泛認可，美國公共監督委員會（Public Oversight Board，POB）不僅特地為這個報告發表了推薦公告，還建議美國證券交易委員會（Securities and Exchange Commission，SEC）要求上市公司在公司年報中進行內部控製有效性評價，並把該框架設定為評價內部控製有效性的標準。SEC沒有采納將該框架作為內部控製強製性標準的建議，主要原因如下：一是COSO委員會主要由財務、會計、審計領域的人員組成，代表性不夠，在平衡各利益相關方的利益關係上缺少權威性；二是該框架明顯偏向會計、審計視角，內部控製目標過分強調財務報告的可靠性，管理層和其他利益相關方不太願意接受這一點；三是該框架對內部控製的有效性缺少清晰的判斷標準。

三、從內部控製框架到風險管理整合框架

2004年9月，COSO委員會根據SOX法案要求，修訂了原報告內容，發布了《企業風險管理——整合框架》（EnterpriseRisk Management：Integrated Framework，

ERM）。ERM認為風險管理是一個過程，受企業董事會、管理層和其他員工的影響，包括內部控製及其在戰略管理和整個公司活動中的應用，旨在為實現經營的效率和效果、公司報告的可靠性及法規的遵循提供合理保證。風險是對實現目標可能產生影響的各種不確定性因素，可能形成實際結果與預期目標的差異。內部控製是對影響企業目標的眾多不確定因素進行辨別和評估，實施相應的控製活動，以管理和控製這些風險，從而為企業目標的實現提供合理保證的過程。ERM涵蓋了先前的內部控製整體框架，認為內部控製是實現風險管理的手段，是企業風險管理的重要內容，兩者應融為一體，整合為一個完整框架。

ERM具備完整的三維度結構，目標層麵包括戰略目標、經營目標、合規性目標和報告目標；要素層麵包括內部環境、目標設定、事項識別、風險評估、風險應對、控製活動、信息與溝通、監督八要素；結構層麵包括企業整體、業務活動、分支機構和子公司四個方麵。

ERM在內部控製整體框架的基礎上增加了戰略目標和目標設定、事項識別、風險應對三個要素，從而形成一個三維度的整合框架。在目標層麵，ERM認為風險管理的最高目標是幫助企業實現發展戰略，促進企業可持續發展。另外，在報告目標方麵，ERM也拓展了範圍，由財務報告目標擴大到促進公司整個報告可靠性的提高；在要素層麵，ERM突出了風險評估和應對的重要性，從目標設定、事項識別、風險評估和風險應對四個方麵完善了風險管理流程，並定義了風險偏好和風險容忍度兩個概念；在結構層麵，ERM認為風險管理活動貫穿於企業上下和業務始終，上至公司戰略和經營計劃，下至業務單元和職務崗位，是一種全麵風險管理，涉及企業整體、業務單元、附屬企業和子公司四個層麵，需要依靠企業管理係統整體推進。

四、從風險管理整合框架到風險智能管理框架

在經濟全球化背景下，企業生產經營活動的複雜化使得企業風險層出不窮，風險管理變得日益複雜，單靠人工管理風險已變得力不從心。在COSO風險管理整合框架的基礎上，德勤國際會計公司借助現代信息技術，提出風險智能管理框架的新思維。在風險智能管理框架下，人們對風險及風險管理的認識相比傳統的理念發生了很多變化。傳統的風險管理認為風險是需要控製的不利因素，風險管理是一項狹窄的獨立管理職能，主要集中在低層次的業務層麵和職務崗位方麵，以財務控製為主，重點是防範差錯和舞弊，注重風險管理流程和製度，由專職的內部職能部門去完成。而風險智能管理則將風險管理與企業目標及價值創造聯係起來，認為風險管理是一項全麵係統的企業管理職能，是由特定要素構成的完整框架。風險智能管理不僅有科學的管理流程、實用的管理技術、先進的風險衡量工具，還特別注重人力資源、企業文化、正直誠信、核心價值觀等軟環境的建設和培育。風險智能管理不僅能降低企業目標實現的不確定性，而且能夠為企業減少損失，增加價值創造。風險智能管理框架的實施有三個層次九項核心原則。