同许多人一样，我研读了Sarbanes-Oxley法案（注1）及其合规性要求的文件。我的第一反应是为自己从事风险管理而荣幸。

　　在过去几年里，我帮助协会建立“管理层自我评价程序”，意识到积极建立这些草案是具有远见卓识的。从这一法案，我看到了内部审计的发展前景，风险控制将会得到充分重视。直到某次谈话才令我从这种乐观情绪中冷静下来。

　　冷静的观点

　　当我与一位财务服务公司的高级经理谈及SOA法案时，他非常平静但是坚定地说：“这不过又是一项法案而已。”我知道他是对的。同许多其他行业一样，财务服务行业处于严格管制中。几年来，银行业必须遵循FDICIA报告制度；保险业必须服从众多的联邦和各州的规定；经纪业则面对着证券交易委员会、证券交易商协会以及联邦和各州的法规。

　　所有这些监管措施的终极目标就是：让公司做正确的事。这位高级经理令我冷静地认识到：仅仅通过简单立法，是无法让管理层做正确的事的，其中也包括营运风险管理。

　　管理者如何看待风险

　　在过去的二十年中，我的职业生涯中有一半时间用来帮助内部审计师拓展更为有效的风险评估方法以及控制评价方法。我的工作处在一个非常独特的位置上，要在高管层和直接业务管理者之间取得平衡。基于对双方的了解，我得出以下结论：

　　直接业务管理者希望用最少的时间和金钱完成工作。他们不会想认为健全的风险控制是达成目标的不可分割的部分。控制是有成本的，并不是每一个人都认同应该付出这部分额外的成本。对业务收入指标和利润指标的追求更加剧了这一局面，管理者在降低成本时便会减少控制。

　　部分忽略了风险控制需求的管理理论错误地将审计职能等同于组织控制。职能部门的名称加强了上述结论。例如，销售部负责销售产品，人资部负责支付员工工资，信息系统部负责建立和维护信息系统。同理推出：审计部负责控制体系。

　　管理层并不总是认同有效的控制体系与降低风险之间的因果关系。管理层撤销基本控制的例子数不胜数。听上去难以置信，是吗？我曾经参与过一个制造型企业的工作流程再造，通过增加控制活动令产品更加适时、完善和精确。在六个星期后，我对该流程做了跟进。当被询问到新流程效果如何时，管理层表示他们计划做些改变以节约费用，特别要缩减那些控制职位。他的理论是：在过去几周，工作已经显著提高，那些控制职位变得多余。同时，大量减少了管理层的监控——因为工作已经做的够好了。

　　基本上，部分管理者不理解控制体系正发挥着管理职能——预防和发现风险。当问题解决后，管理者常常会错误地认为控制职能也可以撤销了，因此取消了监督岗位、控制活动以及监控职能。恰恰因为控制效果良好，这部分管理者错误地相信固有风险已经不存在了。

　　还有，“控制”的含义在管理者和审计师之间有很大的差别。当管理者被告知需要提高控制水平时，往往意味着采用直接的、集权式的管理方式，并且不肯改变。他们坚信应该信任员工，或者雇用不需要监管的精英员工。他们也不理解有效的控制始终与分权式管理和授权体系共存。

　　管理者对风险的容忍程度要高过相应的审计工作。他们的口头禅是：“风险是经营行为的一部分”。这些管理者每天面对风险，以至于习惯处于风险之中。基本上，存在这种观点的原因是因为审计师未能有效地量化风险影响。

　　六种举谏风险管理的方法

　　造成上述差异的原因之一是管理者和审计师采用了不同的思维方式，导致二者分析问题的出发点存在差异。绝大多数管理者，除非出身于内部审计，几乎从未学习过风险管理。想想你们公司的管理职能描述或是领导培训计划吧，几乎都将管理者的角色定位于领导、指导和控制工作，培训的核心几乎都是训练、咨询、面试和评价等等。这些都是重要的课题，但是同样重要的风险评价和控制制度却几乎从未被提及。一个经理人若非在学徒阶段学习这些技能（或者与内部审计轮岗），以后将永无机会。

　　既然我们无法改变管理层现状，我们应该采取可行的方案。作为风险管理和内部审计的专业人员，下面提及的几点技巧将有利于双方达成共识：

　　1. 直截了当地谈论风险管理，用简单的、日常用词来代替审计术语所要表达的信息。应杜绝的用词包括：“职责划分”（听起来象是雇员违规）：“双重监管”等等。

　　2. 明确阐明内控制度运行所必需的基础环境。不要假设管理者都能理解特殊控制制度的目标。让我用实例来说明当管理者不理解基础环境时的后果：在与某个对帐的负责人会见时，了解到该账目已经有八个月没有核对上了。这个负责人告诉我她新近才来，并且只要求核对最近三个月的账目。当我浏览她的近期工作时，发现帐目差异在扩大，同时这个月和上个月的差异金额也有非常大的变动。她的解释是她没有注意到这个变动，由于存在太多未对帐科目，所以要花费大量时间才能找出变动原因。

　　3. 直接分析风险，以及风险发生的原因和状况，而不是仅仅指出违反了哪些控制要求。这一点非常重要，因为我们的目的是帮助管理层加强控制，以便有效地控制风险源头。

　　4. 多了解业务流程，用多种方式表达审计信息。在不熟悉客户经营环境和业务流程时，必须清楚地理解业务的原动力和阻碍所在，才能成为可信的控制评价者和风险管理者。在无法确定时，不妨采用“金钱至上”原则，清楚地了解业务是如何进行以及如何造成损失，包括对营商环境的认识。

　　5. 采用多种有效的方法来描述控制是什么，以及控制如何令管理层获益。我最常用的一句话是——控制就是“检察你的期望”。管理层，特别是高管层，很大程度上依赖于直接报告。当他们被问道“你如何检察你的期望”时，也就是间接地询问了管理层的评价绩效方法以及确保目标实施的方法。

　　6. 分析激励管理层行动的原因，并将之运用到对现有风险和控制环境的预警信息中。如果获知某个经理人具有成本意识，那么审计师应该注重节约成本和有效控制等方面，指出与客户满意度低下、返工以及其他负面因素相关的成本变动趋势。如果经理人注重客户满意度，那么审计师应该指出如何设置控制体系以提供客户服务的前瞻性和一贯性指标。

　　上述这些技巧并不总是奏效的，能够偶尔行之有效已经是我们最好的期望了。风险管理的氛围还有待培养，首先要做的是获得管理层的共识。

　　注1：2002年7月25日通过的Sarbanes-Oxley Act法案， 涵盖了众多方面， 并寻求促进公司职责， 加强信息披露， 提高信息质量和报表透明度的方法。