因为2002年前后被美国SEC(证券交易委员会)唯一推荐使用，COSO(The Committee of Sponsoring Organizations of the Treadway Commission 美国反虚假财务报告委员会)的内控体系得以进入中国。企业建立内部控制体系的目标就是为保证财务数据的真实性，因为财务数据与业务密切相关，所以内部控制覆盖了业务端。

2013年，COSO对内控体系做了调整，将原有的财务报告目标扩展到非财务报告目标（涉及四类报告——内部财务、内部非财务、外部财务以及外部非财务报告）。但内部控制的定义保持未变：是一套由企业的董事会、管理层及其他人员实施的程序，以合理确保有关运营、报告以及合规的目标得以实现。COSO2013将目标拓展至业务，在一点上，趋同于国内（关注业务控制）的内控体系，这让中国内控制度制定者感觉到了荣光——咱政策有前瞻性！

2017年，COSO发布了新版企业风险管理框架，不仅明确内部控制与风险管理各有不同职责，而且在整体构架上做了很大的调整（如图）。COSO这次调整，在国内有两种不同的声音：一种认为是巨大的进步，另一种认为是莫名其妙，属于历史的背叛。 

COSO2017风险管理体系的调整，确实形成了对（包括2013版在内的）COSO内控体系很多理念的自我否定。COSO这次调整与国内现有体系也产生了背离, 所以虽然COSO2017年发布后，2018年，ISO也发布了理念与COSO一致的风险管理体系，但国内未选择跟随。关于风险管理的文件也继续适用2006年的《中央企业全面风险管理指引》，在国资委每年的关于企业业内部控制体系建设与监督工作有关事项的通知里，依然是内控与风险管理一体来提要求的。

做为国有企业，内控体系必须服从国资委要求；作为企业，企业管理必须适应市场发展的趋势、跟得上时代。

所以国有企业的内部控制，除了100%遵照国资委要求按时提交各种报告报表之外，可以考虑适应时代发展需要，让内部控制从业务的对立面、控制者，转换升级为企业通过科学合理授权、高效及时行权，激发企业活力的制度保障者：

1、任何业务活动都应有相应的业务流程，流程要完整系统地反映业务的本质；

2、建立明确的业务授权机制），根据业务性质及业务流程，对处于业务流程中各个岗位上的责任人，明确其在流程中的职权，形成各个岗位的业务职权清单。3、建立制度，明确每个人都要承担流程对应的责任、都要遵守流程的制约。

企业业务部门的责任是建立匹配自己业务本质的流程，并以激活业务最大活力为目标，提出岗位权力配置设想，业务岗位职权（权限）清单。经公司批准后，发布并遵照实施。内控评价部门依然关注流程的有效性、流程执行的充分性等，但可以通过与业务绩效结合来评估业务授权体系的合理性（如何调整更有利于激发活力，控制风险）。内控管理部门则重点关注：

1.是否所有的业务都有了结构化的流程指导？

2.是否所有在流程上的业务岗位都有明确的授权及业务岗位职权（权限）清单？

3.各岗位上的授权是否有利于激发活力、有无存在超越权限或不履行权力的情况?

总结起来，要让内部控制成为提升企业活力的制度保障者，遵循的原则大体是：业务须有匹配流程、流程必须有合理授权、流程必须经过评估、授权必须得到监控，流程须根据业务持续改进，授权须根据评估及时调整。来源：综合互联网，仅代表作者个人观点。

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。