COSO報告是以職業會計師為主體隊伍的研究成果，應用的現實特別是面對美國財務危機的現狀，顯示COSO報告在控制能力上的差距。COSO報告中主要值得商榷的問題有：

1.沒有充分認識到董事會對內部控制系統的至關重要性。雖然COSO報告把董事會與內部控制聯絡起來，但它的這種聯絡僅僅侷限於企業有一些事情需要董事會審批或授權，基本上把內部控制限定在CEO之下，而對董事會更為重要的作用和董事會與CEO之間的聯絡和制衡關注不夠。這好比設計一幢大廈，只看到了地上部分，忽視了地下基礎。

2.COSO提倡的反映內部控制執行狀態的“管理報告”的資訊含量和可信性值得懷疑。首先，從正常邏輯上考慮，如果一個企業的內部控制存在問題，企業能夠如實地公示社會嗎？第二，管理報告對內部控制的評價只是基於某一時點狀況而言的。根據COSO報告，企業不需披露在此時點之前存在的但已被發現和更正的內部控制缺陷。第三，報告的範圍僅限於與財務報告有關的內部控制，而財務報告只是經營結果的反映。筆者認為內部控制系統的評估和持續監測是絕對必需的，但COSO建議的這種評估和披露方式容易誤導投資者。

3.COSO報告中的“合理保證”、“成本效益”等詞語，基本上是從會計上直接移植過來的，對於規避註冊會計師法律責任是有好處的。但對社會使用者來說，增添了許多猜疑和無奈。到底什麼算是“合理保證”，如何做到“成本效益配比”，在實踐中恐怕很難說清楚。內部控制評價應透過提高評價標準和評價過程的客觀性和透明度增加科學性。

4.把企業經營和管理中一些重要職能排斥在內部控制觸角之外。COSO一方面指出內部控制與管理各功能（計劃、執行和監控）交織在一起，是內置於企業經營活動之中的。另一方面卻把目標設定、戰略規劃、核心競爭力培育、風險評估和管理等重要經營和管理活動排斥在內部控制系統之外。

5.基本目標與分類子目標之間存在差異。根據COSO報告，內部控制基本目標是促使企業實現經營目標，並減少經營過程中的風險，其中既涉及了企業生存，也關注了企業發展。發展和戰略規劃問題是企業所有問題的根本。而三類子目標，基本上都屬於維持企業當期經營的範疇，著眼點在於企業生存，沒有站在企業戰略高度關注未來發展。另外，COSO報告將內部控制基本目標細分為三類特定目標的方法值得商榷。這種分類方法的缺陷在其與GAO就保護資產安全內部控制之討論中，就表現出來了。COSO認為，保護資產安全內部控制屬於經營效果效率目標的範疇，已經包括在經營效果效率內部控制之中，而GAO認為保護資產安全內部控制涉及到資產價值真實性的問題，對財務報告可靠性有重大影響，應該包括在財務報告內部控制之中。COSO也在報告中承認三類目標有時是重疊的。

7.內部控制系統中會計與審計的色彩太重，考慮企業現存的和微觀的或規避風險的事情多，與業務平臺和業務拓展關係不大，防範風險也是被動的，缺乏能動性。所以，至今還有許多公司認為內部控制只是財務主管和財會人員的事情。