2002年爆发了安然事件，安然公司的破产引发资本市场上投资者对上市公司财务报表真实性的恐慌。2003年7月，美国COSO委员会颁布了“企业风险管理整合框架”的讨论稿，并于2004年正式发布《企业风险管理整合框架（COSO-ERM）》。2002年美国国会通过了《萨班斯——奥克斯利法案》，根据该法案第404节条款以及美国证券交易委员会的实施标准，要求管理层确保公司财务报告的有效性，这从侧面表明COSO框架成为美国上市公司内部控制框架的参照性标准。

（二）COSO框架的核心内容

1、COSO框架的目标

COSO框架在内部控制的定义中提到内部控制旨在保证：（1）营运的效率和效果；（2）财务报告的可靠性；（3）相关法律的遵循性。这便明确了COSO框架内部控制的三个目标：

1。合规性：COSO框架在诞生之初就强调要保障企业管理层决策、行政和监管的合法性，同时确保财务报告的合规性。合法合规的企业不仅有利于企业正确及时发现自身所存在的风险问题，同时合法合规的企业运行以及财务披露，保障了金融市场上投资者信息接受的准确性，切实保障投资者利益。论文网

2。运营的效率和效果：标准性的内部控制框架在企业运营中可以降低风险发生的概率，减少企业风险所造成的损失，将企业效益最大化。企业在追求自身效益的时候，标准化的内部控制体系推动企业在产品的生产和销售上增加效率。

3。财务报告的可靠性：财务报告的可靠性对投资者而言是必须的。只有可靠合规的财务披露，才能使得投资者了解企业运行的正确状况，保障投资者的利益。

2、COSO框架的组成要素

在COSO框架中提到标准的内部控制体系是由内控环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们来源于企业管理者的经营活动并融入到企业运行之中。在COSO框架下，内部控制的五个要素和三个目标贯穿在企业各职能部门之中，上到管理层的战略决策下到基础部门的政策执行都在规范合理的要素下有序进行，下面是对组成要素的阐述：

1、内控环境：企业内部控制环境的建设包括自上而下的企业文化的建设。企业高层对内部控制的意识和态度直接影响到员工对风险控制的意识和执行。内部控制的程序需要员工执行，正确的内控意识也影响了企业在运行中合规性的执行和诚信的道德价值观的建设。

2、内控活动：控制活动是贯穿企业内部控制的一根线。控制活动在保障企业管理层指令有效执行的基础上，将企业各部门活动连接起来，包括业务流程的运行以及财务报告的披露。

3、风险评估：识别和分析企业运营中出现的风险是内部控制的基础。辨别风险类型，产生风险的原因，对风险产生的可能性和影响进行合理的预测。根据所评估的结果对风险进行合理的掌控。风险评估是一个事前和事中的控制内容，不仅要求有敏感的风险意识，还要有强有效的风险措施来解决所出现的风险状况。

4、信息与沟通：员工的信息能否顺利传递是保证是否正常运行的基础。顺利的信息沟通，不仅包括自上而下的指令的传达，也包括自下而上以及员工横向的交流。同时，信息与沟通不仅仅局限于企业内部的交流也包含企业对外的信息传达，因此，合规的对外信息传达包括财务报告的披露也是企业所必须建立的。文献综述

5、监督：为了保障企业经营活动合法合规进行和各项制度的稳定施行就必须建立监督机制。上市公司为了保障企业合规运营必须建立内部审计部对企业财务进行定期审计。合理的监督机制可以减少企业内部风险产生的概率，降低企业在风险产生后对风险进行控制的资源的需求量。在COSO框架中，公司的监督不仅局限于内部监管机构和外部政府监督，同时还应包括独立审计机构和投资者金融信息服务机构在内的监督。