薩班斯·奧克萊法案將人們的目光鎖定在了內(nèi)部控制的主題上。但是，ACCA卻認為，薩班斯o奧克萊法案關注的焦點過于狹隘。由于薩班斯o奧克萊法案與美國證券交易委員會的關系，它僅僅只是關注財務報告有關的內(nèi)部控制，以及美國證券交易委員會所要求的信息領域的內(nèi)部控制。

　　ACCA支持用以原則為基礎的方法來評估內(nèi)部控制。ACCA認為薩班斯o奧克萊法案過于依靠原則和規(guī)則，并不能有效地杜絕類似安然、世通以及帕馬拉特的公司財務丑聞的再度發(fā)生。ACCA回顧了英國在1999年發(fā)布的關于內(nèi)部控制的特溫布爾報告，該報告類似薩班斯o奧克萊法案，是英國發(fā)布的標志性報告，囊括了對組織戰(zhàn)略、財務和操作風險的廣泛分析。ACCA回顧該報告的目的是，為了使該報告持續(xù)有效地確保英國能堅持以原則為基礎的控制方法。

　　薩班斯o奧克萊法案對內(nèi)部控制評估的定義使得各公司不得不掙扎于繁重的填表打勾工作中，且評估的范圍只局限在他們操作的一個很小領域內(nèi)，并沒有完全涵蓋其操作領域。在一個對美國上市公司所進行的調(diào)查中發(fā)現(xiàn)，薩班斯o奧克萊法案對于內(nèi)部控制的要求，使得各公司平均增加了12，000小時的內(nèi)部工作量和2，000，000美元的花費。此外，薩班斯o奧克萊法案并不能將更廣泛內(nèi)部控制和相關風險管理過程所帶來的好處表現(xiàn)出來。

　　ACCA則認為，一個目前來說最好的全面內(nèi)部控制方法是“控制和風險自測”（Control and Risk Self Assessment - CRSA）。ACCA目前正領導著控制和風險自測論壇，這是英國的業(yè)內(nèi)人士組織的一個專業(yè)網(wǎng)絡?？刂坪惋L險自測，在此被定義為“一個簡便易行的自測流程，用以幫助組織內(nèi)的個人和團隊來對公司治理的效率進行評估，對企業(yè)內(nèi)進行的風險管理控制進行評估，以致達成企業(yè)目標”。

　　控制和風險自測有許多可行的辦法，其中最核心的就是以團隊的方式進行小組討論，分析企業(yè)目標，找出并評估可能的風險，最后得出相應的對策?？刂坪惋L險控制的作用多種多樣，除可以評估內(nèi)部控制以外，還可以改進團隊作業(yè)和溝通，幫助團隊達成目標。它還可以用來評估組織內(nèi)部控制中的個人因素，比如職業(yè)道德，這項個人因素用其他的辦法很難測評準確。

　　控制和風險自測論壇的組織者之一，保羅o馬科斯稱：“內(nèi)部控制既可以是正式的，也可以是非正式的。正式控制包括程序記錄、責任分離、授權(quán)控制。這些都可以通過傳統(tǒng)的內(nèi)部和外部審計辦法來評估。非正式控制包括文化、團隊作業(yè)、承諾、職業(yè)道德和溝通。

　　最重要的是，主要的公司治理失敗案例都是無效的非正式控制導致的，而非無效的正式控制造成的。不幸的是，傳統(tǒng)的審計辦法和績效管理技巧，幾乎不能評估非正式控制的各項內(nèi)容。這正是控制和風險自測發(fā)揮所長的最佳領域。

　　控制的最高級別是董事會的治理職能；其次是高級管理層；第三則是用來控制行為的管理系統(tǒng)，比如財務報告系統(tǒng)。或許還有更多更細的級別，但都是位于管理系統(tǒng)這一層之下的。許多公司在控制的最低層，就是管理系統(tǒng)這一層迷失了自我，對瑣碎的管理細節(jié)投入太多的關注，卻太少考慮高級管理層和董事會自身的控制，而這兩層才是內(nèi)部控制的最關鍵部分。有觀點稱，公司正式發(fā)布的政策和程序只是描繪了管理層的要求；而一個公司的文化決定了什么事件將會在公司發(fā)生，亦決定了那些原則將會被遵守，哪些將會被扭曲，哪些將會被忽略。內(nèi)部控制的有效程度不可能超越創(chuàng)造內(nèi)部控制制度，執(zhí)行內(nèi)部控制要求，監(jiān)督內(nèi)部控制實施的人的道德價值觀。

　　如果考慮到評估一個組織內(nèi)的道德價值觀問題，控制和風險自測流程就是唯一最有效的辦法了。如果控制和風險自測流程在安然、世通、帕馬拉特等公司中得到實施的話，相應的財務丑聞就不會發(fā)生了。而他們的公司文化也不可能在一個倡導控制和風險自測的組織中存在。

　　當一個組織或者團隊可以評估非正式控制的內(nèi)容，評估極有可能是主觀的。這并不會削弱評估的價值，但是許多經(jīng)理人，審計師對沒能得到具體數(shù)字的評估過程總是感到不太舒服。而評估的主觀性也可能導致在為審計委員會出具擔保意見時遇到麻煩。評估的主觀性將對評估的有效性產(chǎn)生質(zhì)疑，而目前為止，還是沒有對“有效性”得出一個明確的共識。這其實時一個相對的概念，并且沒有一套完備的打分機制存在，也沒有可以將一個公司，或者一個團隊可以與其他公司或團隊進行比較的完備過程存在。英國的公司已經(jīng)認識到了“內(nèi)部控制的有效性”是一個知易行難的頭疼問題。早在1992年，吉百利爵士就已經(jīng)提出了這個問題，但是后來他說，他對特溫布爾報告中采取的方法感到滿意，特溫布爾報告中提示說：各公司董事會應該匯報評估的過程，而不是簡單的對評估有效性作出的“是”或者“不是”的判斷。薩班斯o奧克萊法案卻忽略了英國在此問題上的經(jīng)驗。組織內(nèi)部控制的有效性需要進行評估，同時，組織外部報告的內(nèi)容也有所爭議。比如，對公眾報告內(nèi)部控制的不足，一定會傷害到組織的生存能力。

　　重要的是，不論是董事會、團隊還是企業(yè)都需要學習和改進。對“控制是否有效”這個問題只能得出“是”或者“不是”的簡單結(jié)論的控制流程，都不能改進內(nèi)部控制，反而會招致自滿。幾乎所有的公司的內(nèi)部控制都在不斷改進中前行。這個前行的過程與最后要達到的目的地一樣重要，因為是這個過程逐步帶來了改進和學習。財務管理經(jīng)理人和審計委員會需要放開心胸接受新的方法來確保內(nèi)部控制的有效。在討論會中學習就是一個不錯的辦法，因為這其中包含了大量豐富的定性而不是定量的信息?？刂坪惋L險自測有希望成為不僅是最有效的評估有效性和風險管理的工具，還可能成為影響策略的有力方法。因此，控制和風險自測將會比以往得到更多的重視。

　　正保會計網(wǎng)校感謝“ACCA廣州代表處”供稿

　　作者：保羅•莫克西 ACCA公司治理和風險管理總監(jiān) 

　　譯者：陳瑩 ACCA廣州代表處 傳訊主任

　　Email: scarlett.chen@accaglobal.com