为适应萨班斯奥克斯利法案404条款中对小企业的要求，COSO委员会在其最近的指南中提出有效内部控制的原则和实例。该指南以“关于财务报告的内部控制：对小型公众公司的指导意见”为题，强调了内部控制的业务功能和成本效益原则，这些原则适用于所有组织。
该指南共包括三部分，每一部分都有明确的目的。第一部分为管理层和董事会提供了执行概要，第二部分介绍了实用指导意见，并列举了小企业的实际例子，第三部分提供了一些评估工具以帮助管理层实施和评估财务报告内部控制。
指南指出，保持有效内部控制是一个持续的综合的过程，当风险和过程发生变化时，控制也必须适时地做出调整。而有效的内部控制包括管理层的理解、设计、实施和监控，并且应当被视为一项重要的业务功能，财务报告内部控制的目标是提供可信的财务报告。管理层关于内部控制有效性的年度评价必须大部分建立在对内部控制有效性的监控上。此外，指南提出了选择一种控制方式时应考虑的三个因素：降低风险至一种可接受的水平、成本效益原则、满足COSO内部控制整体框架五个组成部分中的一个或更多。
指南提出了关于有效内部控制的二十条基本原则，包括风险评估、控制环境、控制活动、信息与沟通、监控五个部分，并阐述了每一条原则的特性，这些原则直接援引了COSO的内部控制框架。指南尽管列举了很多小企业的例子，但这些原则同样适用于所有组织，不论规模大小、公众公司或非公众公司，也适用于政府和非盈利组织。
内部控制文件为实施控制提供了一种指引，而在实施控制的过程中可以为新人员的培训提供基础，并且可以提供证明它们已经有效运行的证据。所有的控制及其实施都需要一些文件，当管理层和审计师需要测试内部控制的有效性时，文件必须更加正式。此外，指南有助于外部审计师对财务报告内部控制的有效性进行评估，指南应支持管理层和审计师从一种“打勾选择”的方法转变到对组织目标实现的关注。
最后，指南指出，实施有效的财务报告内部控制仅仅是通往成功和长远发展的一步，企业应当将内部控制过程和一种更加全面的企业风险管理的过程相融合，实现更广泛的战略报告目标。
（孙志梅整理自《Journal of Accountancy》, March 2007，作者: Rittenberg, Martens and Landes.）