美国反虚假财务报告委员会下属的发起组织委员会（COSO）于2013年5月14日发布《2013年内部控制——整体框架》及其配套指南。《整体框架》的发布将有助于公司高管在企业运营、法规遵从以及财务报告等方面采用更为严密的内控措施，提升内控的质量。

COSO原《整体框架》发布于1992年，21年的时间过去了，资本市场和商业环境已经发生了天翻地覆的变化，这也要求《整体框架》有所调整。

据了解，新《整体框架》和原版相比，在基本概念、内容和结构，以及内控的定义和五要素、评价内控体系的有效性标准等方面均没有变化，据此，在很多业内人士看来，新《内控框架》对于原版内控不应称为改动，而是一种升级。新《整体框架》相比原版，主要有三大亮点，即更实、更活、更稳。

更实：提供了内控体系建设的原则、要素和工具

新《整体框架》与原版相比，细化了董事会及其下设专业委员会的描述，这只是一般性的改动，而且新《整体框架》里提到了很多案例，以增强从业者对内控体系建设的理解。不过，让专家们更感觉“入眼”的是新《整体框架》的一些实质性变动。

新框架在继承了旧框架对内部控制的基本概念和核心内容的基础上，提供了内控体系建设的原则、要素和工具，具体的变化体现在突出了原则导向，即在原有五要素基础上提出了17个基本原则，在此基础上进一步提炼出82个代表相关原则的主要特征和重点关注点的要素，这是本次修改的亮点，使内控体系的评价更加有据可循。

新框架提供了17条具体的原则，这是新框架比较“实”的地方，因为之前版本的内控框架只有五个要素，更像是一个学术模型，具体要怎么做，并没有非常明确的答案。而这次COSO委员会提到的17条原则都是相对来说更明确的动作，这为企业做内控提供了一套路线图，为企业评价内控提供了一张打分表。

更活：强调企业可有自己的判断

新《整体框架》相对于旧框架，在内控建设和评价中，强调依赖于管理层自身的判断，而不是像原来一样要求严格基于证据。新框架强调董事会、管理层和内审人员拥有“判断力”，这是新框架比较“活”的地方。

“新《整体框架》认为，内控如何实施，如何评价，如何认定有效性，企业可以有自己的判断。这本质上在为内控解套，是新框架的灵魂。”

新版内控强调在内控建设过程中应注重与效率的结合，建议管理层通过判断，去除那些失效、冗余乃至完全无效的控制，提升控制的效率和效果，而非单纯地为了控制而控制。

更稳：强调内控有效性的认定

新框架对于如何确保内控体系的有效性进行了进一步澄清，尤其强调内控五要素中的每一项都会受到其他要素的影响，应视为一个整体来对待，并且描述了不同要素下的控制措施如何影响其它要素下的原则，有助于整合性地看待内控体系和控制措施，而非孤立对待。

新《内控框架》在指出内控的局限性方面比旧框架更加明确，指出了内控在决策和应对外部事件中的局限性。

之前版本的内控框架发布于1992年，那时的内控框架体现了一种前沿的先进的思路。尤其是在我国，随着内部控制规范体系的实施，内控变成了上市公司的底线要求。这种从“前沿”到“底线”的变化，集中体现在上市公司要强制披露自己内控的有效性，并接受审计。那么，是不是审计通过了，上市公司就没风险没问题了呢?实际情况并不是这样，一些风险事件还是发生了。所以，新的内控框架强调了内控对天灾(外部事件)和人祸(人为失误)无能为力。

目前，中国的内控框架借鉴的是COSO发布的原版《整体框架》，既然《整体框架》已得到了修订，势必也会影响到我国企业的内控建设。

我国的内控规范体系在建设之初便参考了全面风险管理的思想，在报告的范围和使用者、将内控五要素整合对待、反欺诈和反舞弊等方面，与新框架不谋而合。

需要认识到，这份新框架是由50%的北美内控从业者和50%的北美以外的内控从业者共同参与制定的，故而这份新框架从出生开始就带有很显著的地域特征，其原则会更有利于该地域的企业和从业者。

我国在参考COSO新框架进行内控规范体系的升级或更新时，应借鉴其原则和要素，结合我国国情，深入汲取我国几年来内控规范体系建设的宝贵经验，审慎接纳，而非全面照搬。

就目前来讲，新《整体框架》可能主要会对在国内外两地上市的公司有影响。

在很多人看来，不少公司把内控体系建成了“花架子”，无法落地实施。其实，诚如新版内控框架指出的，“内控只是一个达到目标的手段，其本身不是目标”。国际上有了新的内控框架，我国将来必然会在内控建设方面有所借鉴，所以，我国内控规范制定机构及企业应尽快熟悉新版内控框架，吸取其有益部分为我所用，更好地提升我国企业的内控建设水平。