论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 2 篇帖子 ] 
作者 内容
 文章标题 : 转贴:书好恨少,翻风险导向内部审计-整合框架研究,作者:Nosi
帖子发表于 : 2006-10-22 02:29 
离线
高级用户

注册: 2004-02-26 14:26
最近: 2009-08-20 10:57
拥有: 4,492.30 安全币

奖励: 2984 安全币
在线: 4401 点
帖子: 277
地址: 上海
把评COSO一文作者Nosir的其他几篇和审计相关的文章一起发在这儿,与大家共享之


转贴:书好恨少,翻风险导向内部审计-整合框架研究,作者:Nosir

出处:http://club.esnai.com/club/bbs/userColumn.asp?column=%B6%C1%CA%E9%B1%CA%BC%C7&name=nosir&folderid=4304


难得一见的好书,试评内审新书《风险导向内部审计》

Nosir

上海人讽刺北方人吃蟹,说,“一只蟹只咬两口!”,一脸的不屑,上海人吃蟹的认真劲不让中国画中的工笔画,一笔一划,也象小姐出阁前的化妆,一丝不苟,一脸严肃,称之为“吃蟹教”,并不为过。有些人读书就象上海人吃蟹那么认真那么仔细,我十分佩服,我读书却是上海人所讽刺的北方人吃蟹法,并不细嚼慢咽。一般是先看序言和后记,如果提不起兴趣,这本书就准备上架了,如果尙有兴趣,就看目录,看看有没有我感兴趣的主题,然后直奔这些章节,看完还没打呵欠的话,那就从头开始看。《风险导向内部审计-整合框架研究》是少有的、我每章都看的书。

闲话说毕,言归正传。

按老规矩,先述后评。

书共分六章。按内容大致分成三部分。
第一部分以内审的历史开题,“石破天惊逗秋雨”,闲闲入笔,缓缓道来,把内审分成萌芽阶段、财务导向、业务导向、管理导向和风险导向阶段,这种分类方法总是让我浮想联翩,小时候读政治课,人类社会从原始社会、经封建、资本主义、社会主义到共产主义,也是五阶段。大家都知道,共产主义是人类的最高发展阶段,但不知道风险导向内审是不是内审的最高阶段。如果是,那以后搞内审的人选材的余地可就少了。呵呵。
第二部分是本书的重头戏,正好四章,就按中国古文的四步来说。起,介绍风险导向内审(以下简称RBIA)的基本理论; 承,介绍RBIA和公司治理的关系; 转,介绍RBIA和内部控制的关系; 合,曲终奏雅,来个大团圆,用三把提琴唤出主题-“RBIA整合框架”。
第三部分是中国博士论文的八股套路,结合中国实际讲RBIA对国内内审的启示。中国的博士很辛苦,不写理论和中国的关系,就通不过答辩,不知道怎么有这种稀奇古怪的传统。如果不是写学位论文,有第二部分那四章,就已经首尾俱足,可以自成一体了。作者后记,“博士论文的写作过程是痛苦、郁闷、煎熬的”,大概和这些八股套路不无关系。

评论部分我就不按书的目录顺序了,那按什么顺序呢?答曰:按意识流顺序: ) 和围棋不同,围棋讲究金角银边,而论文要掐头去尾,精华在中间。很好,第二部分既是作者的重点,也是我感兴趣的地方。

按照IIA的定义,内审主要审三个东西:公司治理、风险管理和内部控制。可是这本书只有公司治理和内部控制,难道漏了风险管理?我刚看目录的时候很纳闷,等我看完第四章,谜底才解开。作者把风险管理纳入内控概念,ERM框架,作者阐释为“现代内部控制”。这种分法,虽然说得通,但如果我来写,我会把早期的内部牵制说是“原始风险管理”,呵呵。这主要取决于作者的偏好,和理论好坏无关,看来作者更喜欢“内部控制”这种提法,而我更喜欢“风险管理”这一时髦词。

本书澄清了内审界很多模糊的概念,这些概念用的人多,但说得明白的人少。如风险(P51),作者分成广义风险和狭义风险,狭义风险是损失的可能,广义风险是偏离目标的可能。此外,作者还给风险正名,把风险从混乱的概念中拯救出来,明确风险同时意味着危险和机会。(COSO ERM中也是这种观点)“风险导向内部审计所关注的风险就是广义的风险”(P52)。国内很多人说风险的时候,其实是从负面的角度、从狭义的角度说风险,而忽视了风险同时蕴含正面的属性。
为什么风险同时可能是正面的呢?很多人可能有这样的疑问。风险的定义是目标的偏离,难道没有达到目标是我们所希望看到的?如果没有达到目标是好事,为什么还要制定目标?这些问题相信困绕着很多人。我这里举一例子,说明风险为什么不都是坏事。就以伟哥为例,辉瑞公司的初衷并不是治疗性机能障碍,而是心血管疾病,以这一目标来衡量,伟哥实际是偏离了既定目标,可正是因为偏离了初始目标,对企业来说,却带来一个全新的市场。伟哥这样的例子,在实际生活中还很多,3M公司的“post-it”(即时贴)也是同样的情况。
遗憾的是,作者并没有在风险这一起点直追下去,(COSO的ERM框架也有同样的毛病)。如果风险有正有负,那么,控制也应该有正有负才对。传统的控制都是意在纠偏,即当业务偏离目标的时候,采取措施回到既定目标上来。不管是Sawyer的内审教材,还是Anthony的《管理控制系统》(我在内审版上传过此书的电子版),对控制的定义都是遵循这种传统思路。
按照风险两面特征,正确的逻辑应该是,当偏离既定目标对企业造成危害的时候,运用传统的控制手段纠偏,而当偏离既定目标给企业带来新的机会的时候,应该有控制措施保证这种偏离继续下去,这样才能实现公司价值最大化的目标。
我不久前在内审版推荐的Robert Simons的《控制》正好弥补了传统控制的片面性。Robert Simons把控制按照属性分成阴阳两类,拈出四种控制杠杆,其中的交互式控制系统就是对风险的正面进行管理的控制措施。

书中对风险导向内部审计和注册会计师所说的“风险基础审计”所做的区别(P54-P55)也精当之极。由于这两者都是审计,又都是风险为本的,所以谈论的人经常把两者混在一锅煮,而不管两者貌同心异。作者十分正确地指出,两者“风险性质不同”,RBIA的风险是企业的风险,而CPA所说的风险是审计风险。此外,两者“关注风险的目的不同”。CPA关注审计风险的目的局限于审计本身的目标,而内审考虑风险的目的在于增加价值,实现企业目标。这种大是大非的原则问题,不可不察也。列位看官,内外有别,虽然都有审计两字,但一忠一奸,不可不辨。

至于书中的理论体系部分,我倒没什么兴趣。不是书中的理论体系建得不好,而是,我觉得理论体系是唬人的东西,理论体系可以满足人的虚荣心,却无裨于实务,完美的理论体系从来都是不完美的实践指南。领导中国革命走向胜利的不是海归的布尔什维克,而是不懂洋文甚至普通话也说不清楚的毛润之。正如钱黙存所说:“许多严密周全的哲学系统经不起历史的推排消蚀,在整体上都已垮塌了,但是它们的一些个别见解还为后世所采取而流传。好比庞大的建筑物已遭破坏,住不得人也唬不得人了,而构成它的一些木石砖瓦仍然不失为可利用的材料。往往整个理论系统剩下来的有价值的东西只是一些片段思想。”


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-19 09:30 
离线
新手

注册: 2009-03-18 15:46
最近: 2011-05-25 10:11
拥有: 45.00 安全币

奖励: 0 安全币
在线: 91 点
帖子: 13
地址: 中国上海
感谢分享!


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 2 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012