基本简介
COSO报告从四个方面：目的、承诺、能力、监督与学习，提出
20项控制基准。
但是COSO内部控制框
架是美国证券交易委员会唯一推荐使用的内部控制框架，同时《萨班
斯法案》第404条款的「最终细则」也明确表明COSO内部控制
框架可以作为评估企业内部控制的标准。作为纽约证交所上市的公司，
需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，
满足法案的要求。
COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示。
f组成关系
控制环境控制环境是所有其他组成要素的基础，包括了以下要素：1诚信和道德价值观；2致力于提高员工工作能力及促进员工职业发展的承诺；
3董事会和审计委员会。包括的因素有董事会与审计委员会与管理者之间的独立性，成员的经验和身份，参与和监督活动的程度，行为的适当性；
4管理层的理念和经营风格；5组织结构。包括了定义授权和责任的关键领域以及建立适当的报告流程；6权限及职责分配。经营活动的权限和权责分配以及建立报告关系和授权协议。它包括了以下几点：a被激励主动发现问题并解决问题以及被授予权限的程度；
fb也描述适当的经营实践，关键人员的知识和经验，提供给执行责任的资源政策；
c确保所有人理解公司目标。每个人知道他的行为与目标实现的关联和贡献的重要程度。
7人力资源政策及程序。
风险评估
首先，风险评估的前提条件是设立目标。只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。设立目标是管理过程重要的一部分。尽管其并非内部控制要素，但它是内部控制得以实施的先决条件。
其次，识别与上述目标相关的风险。再次，评估上述被识别风险的后果和可能性。一旦确定了主要的风险因素，管理层就可以考虑它们的重要程度，并尽可能将这些风险因素与业务活动联系起来。最后，针对风险的结果，考虑适当的控制活动。
控制活动
控制活动指为确保管理层指示得以执行，削弱风险的政策（做什么）和程序（如何做）。它们有助于保证采取必要措施来管理风险以实现企业目标。控制活动贯穿于企业的所有层次和部门。它们包括一
f系列不同的活动，如批准、授权、查证、核对、复核经营业绩、资产保护以及职责分工等。
信息与沟通相关的信息必须以一种能使人们行使各自职能的形式和时限被
识别、掌握和沟通。信息系r