好书推荐 | 中文版系列之(六)控制
2025-08-15
06
控制
舞弊意识测试——问题6
在评估控制措施时,你应当始终问两个根本性问题。这两个问题是什么?
这个问题的两部分答案将在本节末尾详细给出。简而言之,前半部分与控制措施的设计有效性有关,后半部分则与控制措施的运行效率有关。
评估一项控制措施时应始终问的两个根本性问题是:
第一,该控制措施的设计是否有效?这个问题直接针对设计有效性。这里的关键参考点始终是风险。风险驱动控制措施,而非相反,且控制措施应与风险相匹配。这里有一个简单而有力的经验法则——风险越大,针对该风险的控制措施就需要越有力。显然,我的许多学员在担任企业经理时,并没有提出这个问题。这是一个重要的疏漏,因为正如我们所见,风险是动态的,它一直在变化。而控制措施则并非如此动态,它们往往是静态的,锚定在过去。所有组织都会形成自己的工作模式和方法,员工也会习惯这些常规做法。我曾与许多客户合作过,他们的控制措施、制度和程序年复一年基本保持不变,而其业务中的风险可能已发生显著变化。这就造成了控制缺口,所有组织在这些缺口中都面临着危险。董事和经理面临的挑战之一是确保业务高效且有效地运行。要实现这一点,组织的资源、员工的时间和精力必须投向业务中最重要的领域。换句话说,需要采取与风险相匹配的方法。除非频繁且系统地提出关于控制设计的问题,否则这一点无法实现。这一点非常重要。
该控制措施的运行是否高效?这个问题指向运行效率。也就是说,董事和经理需要确保该控制措施在实践中的实际运行方式与其在理论上的预期运行方式完全一致,即符合控制设计。重要的是要明白,仅仅因为控制措施和程序写在手册中,并不一定意味着员工会完全(甚至根本)遵守这些书面指示。正如我们所见,我课程上的几乎所有学员都意识到这个问题的重要性,但他们在实践中真的会提出这个问题吗?嗯,我有时会表示怀疑,因为并非所有组织都有内部审计部门,而内部审计师是最有可能开展这类工作的人。当然,内部审计并非获取控制措施实际有效运行的保证的唯一途径——管理评审在这里非常重要,尤其是在较小的组织中。但肯定需要进行一些检查,不能简单地假定控制措施运行高效。此外,为了确保检查有意义,检查工作应由独立于被审查流程的人员进行。因此,尽管知道大多数经理和董事都意识到这个问题的重要性是令人鼓舞的,但为了能对这个问题给出肯定的答案,整个组织仍需要持续进行监控和评审工作。
我在实践中见过许多控制体系设计不佳或运行不当的例子——有时两者兼具。当控制失效未被及时发现时,无论是否与舞弊相关,往往都会给企业带来严重后果。
内部控制是一个术语,用于描述组织为实现其公开声明的业务目标而采用的各种计划、方法和程序。就本书而言,重要的是要注意,内部控制通常被视为保护资产、防范和识别舞弊、错误、浪费、滥用及管理不善的第一道防线。然而,管理层也会利用内部控制来实现其他各项重要目标:建立秩序和效率;确保董事会的政策得到遵守;确保记录的完整性和准确性;以及确保遵守法律和所有相关法规。
组织采用的控制措施有多种不同类型。例如:政策和程序;授权级别;职责分离;对账;关键绩效指标;物理安全与系统访问控制;招聘与离职流程;内部审计;管理评审;培训与发展;道德章程与行为准则等等。其中一些控制措施有不同的用途,许多控制措施的运作方式也不同,因此,了解控制措施的一些关键特征会有所帮助。
内部控制结构
在从事咨询工作时,我常常发现,与我交谈的一些非财务经理对其所在组织的内部控制结构并不清楚。有时,甚至财务经理似乎对内部控制也存在错误认知。这可能会产生问题,尤其是如果这表明整个组织的控制意识淡薄的话。如果确实如此,那么包括舞弊风险在内的许多风险都将因此增加。
广阔视角
第一个信息是强调从广阔视角看待内部控制结构的重要性。控制概念并非局限于组织的控制手册、成文的系统说明和控制措施集,或是书面的政策和程序。内部控制源于组织的文化特征,正是这些文化特征为手册和政策提供了整体背景和环境。董事和经理必须意识到这一点,并能够从控制角度评估组织文化的关键方面。在评估内部控制是否可能有效的时候,应始终考虑以下三个问题领域:
第一,组织对胜任能力、对员工培训和发展的投入程度如何?经理和员工是否具备做好本职工作的适当技能和培训?
第二,整个组织的监督质量如何?部门主管、团队领导和直线经理在多大程度上能够管理、激励和管控其下属?
第三,组织在多大程度上致力于规范员工行为,使其与企业价值观保持一致?是否向组织内的所有员工明确说明了始终遵守行为准则和/或道德章程的重要性?
避免消极态度
我的第二个重要信息是鼓励董事和经理采取行动,消除员工可能对控制措施存在的任何消极情绪。例如,我有时会听到这样的观点:控制措施本质上是官僚主义的,或者它们 “碍事”,或者它们 “阻碍我完成工作”。这种观点是无益且误导人的。无论是在公共部门还是私营部门工作的大多数人,每天都在执行控制措施并与控制结构打交道,往往甚至没有意识到这一点。
试想一个假设的例子:一位在零售企业供应链部门工作的女性。一天开始时,她会用密码登录电脑;上午的某个时候,处理新订单时,她会参考授权供应商名单来采购商品和服务;她会与同事参加各种会议,例如审查潜在新供应商名单,检查他们是否符合加入授权供应商名单的标准;她会在一天中的不同阶段签署发票;她会将高价值发票交给老板签字,因为这些超出了她的授权范围;一天结束时,她会像往常一样整理好办公桌,然后关掉电脑回家。所有这些任务既是她日常工作的一部分,也是内部控制活动。
因此,我总是试图强调保持对控制措施持积极态度的重要性,尤其是在与非财务或非审计背景的人合作时。内部控制结构只是看待业务的另一种方式,一种侧重于以正确方式做正确事情的视角。
做出承诺
控制措施是业务的重要组成部分,正如我们将在本书其余部分看到的,有些控制措施在舞弊风险管理中尤为重要。要使控制措施有效,就需要投入,这不仅是资金的投入,还包括组织中每个人(从高层开始)为使其发挥作用而采取的坚定行动。
我采访阿德里安时,他就这方面发表了一些有趣的见解。他拥有合规领域的背景,在国际企业工作方面经验丰富。我曾问他:“最有效的反舞弊控制措施是什么?” 他给出了一个有力的答案,尽管并非我所预期的那样:
你需要完全的透明度和良好的组织架构,让各项工作成为常规,管理者无需下令就能推进,没人会质疑为什么要做这些事。你需要营造一种文化,让人们明白,向他们询问事情是出于特定目的,而不是因为不信任他们之类的原因。一旦有了这种接受度,人们就会开始遵循,这会成为他们行为的一部分。因此,你能采取的最有效的控制措施是改变人们的行为。尤其要避免指责文化——指责文化毫无用处。
无论你在这类事情上投入多少钱,除非你真正相信自己所做的事,否则都不会有任何效果。你必须真正相信,而这同样要从高层做起。如果高层真的想了解情况,如果他们了解风险是什么以及希望我如何应对,那么问题就在于投入了。这不仅仅是控制措施方面的投入。你需要有合适的人才,他们需要得到适当的激励和回报,所以这不仅仅是具体的程序问题,因为程序的效果取决于执行程序的人,所以你需要超越这一点,全面考虑。如果没有合适的人才,程序就不会得到遵循;如果高层不传达那种强烈的情感和信念,就不会有任何进展。我的意思是,我们谈论的是鼓舞人心的管理,这在大型组织中很难实现。但你能做的是确保有合适的人不断按下正确的按钮,然后你就会开始培养、营造这种文化意识。一旦这种文化形成,各项工作最终就会步入正轨,这时你就需要投入时间和金钱来建立 “双重保障” 式的控制措施。这些可能是软件,也可能是为处于特定把关岗位的人员制定的程序步骤,以确保舞弊之类的事情不会发生,确保职能的独立性等等。这不仅仅是金钱,更是情感上的投入。
阿德里安提出,组织中的人(尤其是高层)需要有情感上的投入,也就是那种创造积极、严谨文化的意愿,这一观点非常敏锐,所有董事和经理都应该意识到这一点。
惯例与做法
尊重良好做法和程序、培养渗透整个组织的控制意识的重要性,通过对比缺乏这种意识时可能产生的不良工作行为,能得到最佳体现。这些行为通常被称为 “惯例与做法”,是随着时间推移逐渐形成的,并未作为正式程序记录在任何地方,当然也不是经董事会批准的政策。然而,管理层允许这些行为持续存在,久而久之,它们就成了公认的做法,成了多年来传给新员工的惯例。可以说,它们成了 “工作福利”。
现代内部控制框架
企业风险管理(ERM)框架——2004年
企业风险管理框架(“ERM”)4由COSO于2004年发布。这是COSO推出的第二个极具影响力的模型,距其第一个模型(即上文讨论的整合控制框架)发布已有12年。在这项较新的成果中,内部控制被视为风险管理的一个组成部分。因此,自1992年以来,该委员会的关注重点已从内部控制转向更广泛的企业风险管理概念。顾名思义,ERM关注的是每个企业的整体情况,并寻求在企业的所有组成部分(子公司、业务单元及实体层面本身)采用一致的方法。ERM框架强调在制定战略时评估风险的重要性——有效的企业风险管理始于组织高层,并为其使命和目标提供支持。
企业风险管理是一个过程,受实体董事会、管理层和其他人员的影响,应用于战略制定和整个企业,旨在识别可能影响实体的潜在事件,并将风险控制在其风险偏好范围内,为实体目标的实现提供合理保证。
ERM框架是关于战略风险管理的重要成果,在此我们无需详细探讨。它关注与组织实现目标的战略制定相关的更广泛的内外部风险。它将内部控制视为该过程的一部分,因此内部控制结构和程序有助于确保这些目标的实现。ERM框架倡导对内部控制及其有效性的内部评估采用以风险为导向的方法。它对内部控制持广泛的观点,没有走《萨班斯-奥克斯利法案》那种聚焦于财务报告流程相关控制措施的道路。
审计在舞弊防范和识别中的作用
广义而言,审计是一个评估过程。如今有许多不同类型的审计,包括质量审计、能源审计和合规审计。在此,我们关注从反舞弊角度来看最为重要的两种审计:外部审计和内部审计。本章后面将探讨审计委员会的作用,它是许多组织用于监督审计过程并确保审计工作按照审计准则有效开展的机制。
非专业人士通常认为审计会专门查找舞弊,因此在降低舞弊风险方面发挥关键作用。诚然,目标明确的舞弊审计能发挥非常重要的作用,尤其是在遏制人们实施舞弊以及揭露组织内部存在的舞弊阴谋方面。然而,在我看来,董事和经理有时过于依赖传统审计工作来管理舞弊风险。我所说的传统审计特指从大量交易总体中选取少量样本进行测试的工作,总体中的每个项目都有同等的被选中机会。开展这类工作的审计师往往对舞弊风险因素了解甚少,没有专业的舞弊意识或任何调查培训,也没有合适的审计工具。我认为,就有效的反舞弊工作而言,这类传统审计(无论是由外部审计师还是内部审计师开展)根本达不到要求。
外部审计和内部审计是不同的职业,各有独立且不同的职责。根据各自管理机构的规定,两者在打击舞弊方面的定位存在较大差异,但都与公众所认为的审计本质上是 “反舞弊” 活动这一认知有一定差距。
本节将探讨传统审计在防范和识别舞弊方面作为一种控制措施存在的一些局限性,之后再讨论新审计准则所要求的更具主动性的方法。在此之前,我们先审视公众对审计师在打击舞弊中职责的看法,并将其与审计师实际开展的工作进行对比。
认知与现实
第一个因素是公众认知。在街上随机询问一些人,他们是否期望审计师防范和识别舞弊,答案几乎肯定是压倒性的 “是”。大多数人认为进行审计的主要原因之一就是揭露舞弊。如下文所示,这与代表外部审计师和内部审计师的管理机构的认知大相径庭。
第二个因素(或许受第一个因素影响)是,组织内部的许多人也认为审计师应该参与打击舞弊——不仅在理论上,也在实践中。此外,高级管理人员往往也持这种看法,因此过度依赖审计来揭露舞弊。这不仅不现实,而且可能很危险,因为管理人员可能没有意识到,基于传统审计计划的预算实际上很少会有时间用于反舞弊工作。除非特别指示,否则审计师不太可能在舞弊防范和识别工作上花费太多时间。
外部审计
在许多国家,除了最小型的公司外,法律都要求进行外部审计(通常称为法定审计)。在美国和欧盟,外部审计由注册审计师(通常是独立于被审计组织的第三方会计师事务所)执行,他们向公司所有者提供报告,该报告作为公司年度财务报表的一部分印发,表明审计师对这些财务报表是否大致 “真实公允” 的意见。因此,外部审计是一项重要的治理控制措施。正如我们在第5章中所见,它是良好公司治理的核心组成部分。
以下是外部审计的一些主要特征。
审计包括获取关于财务报表中金额和披露的充分证据,以提供合理保证,确保财务报表不存在重大错报,无论该错报是由舞弊还是错误导致。这包括评估会计政策是否适合该实体的情况、是否得到一贯应用且充分披露;董事作出的重大会计估计是否合理;以及财务报表的整体列报是否恰当。
外部审计的要点
在许多司法管辖区,法律要求除最小型公司(以及大多数公共部门机构)外,所有公司每年都必须接受外部审计。
外部审计通常由专业服务公司的人员执行,因此,从这个显而易见的角度来看,他们独立于被审计的组织。
外部审计现在是一项受到高度监管的活动,一家公司要开展审计业务,需要获得认证,并在相关司法管辖区被认可为“注册审计师”。
外部审计的关注点相对较窄。它们聚焦于组织的财务报表(即年度报告和账目)、财务报告流程相关的控制措施,以及报告和账目中所显示的信息是否按照适用的会计准则和相关公司法进行披露。
外部审计师具有独立性。特别是,他们独立于被审计组织的董事和管理层,这对于良好的公司治理至关重要。董事会和管理层负责每年编制公司的报告和账目,而非审计师。审计师则对其审计意见负责。
所有外部审计都会形成审计报告。审计报告需要包含对财务报表整体的明确意见。因此,它并非事实陈述,而是基于审计过程中收集的证据得出的意见。审计报告的收件人为被审计组织的所有者(就公司而言,收件人为股东),审计师在工作标准方面对所有者负有注意义务。
审计报告不会将财务报表描述为“正确”或“准确”,但在英国及采用这一框架的其他司法管辖区,会使用“真实公允”这一表述。这一区别很重要,它基于重要性这一关键概念。
外部审计的定义并未提及舞弊的防范和识别。相反,该定义强调,审计师需要规划和执行审计工作,以“合理保证”(我们稍后会回到这一表述)识别财务报表中的重大错报。重要性是一个重要的审计概念。在财务报表语境中,它指的是财务报表中不存在(无论是因舞弊还是错误导致的)若更正就会改变报表使用者对财务报表所呈现的组织整体情况的认知的内容,也不存在(同样无论是因舞弊还是错误导致的)此类被遗漏的内容。
审计工作的开展是为了提供“合理保证”,确保财务报表不存在重大错报,但并非提供确定性。商业活动中很少有任何保证。例如,我们已经看到“合理保证”这一表述在COSO制定的控制框架中的重要性。
外部审计师应当发现舞弊吗?
对于外部审计师而言,舞弊是一个有争议的领域。传统上,由于各种法院判决,审计师在舞弊识别责任方面大体上可以采取被动态度。这方面的经典案例是1896年英国的金斯顿棉纺厂案,6当时洛佩斯大法官裁定:
“审计师不必充当侦探,也不必带着怀疑态度或预设存在问题的结论开展工作。审计师是看门狗,而非猎犬。”
尽管1896年似乎已是很久以前,但在20世纪80年代初我参加会计考试时,“是看门狗而非猎犬”这一表述确实被用来描述审计师的责任。
这种被动地位如今已有所改变,原因是2001年那些备受关注的会计丑闻(尤其是美国的安然和世通丑闻)中,外部审计师未能发现舞弊,由此遭到广泛批评。这两家公司均由同一家会计师事务所审计,即安达信。我们已经看到,安达信因这些案件中的刑事定罪以及被认为在履职过程中存在不足而遭受声誉损失,最终导致其业务模式崩溃,付出了惨重代价。针对这些案件引发的对整个会计行业的广泛批评,美国及国际上都发布了新的审计准则。本章后面会讨论这些新准则。
内部审计
内部审计师协会还就内部审计师在舞弊方面的职责规定如下:
内部审计师应具备足够的知识,以识别舞弊的迹象,但并不要求他们具备以防范和识别舞弊为主要职责的人员所拥有的专业知识。
2009年,内部审计师协会实施了一项新准则,要求内部审计师在规划工作时正式考虑舞弊因素,具体如下:
内部审计师在制定业务目标时,必须考虑存在重大错误、舞弊、不合规及其他风险的可能性。
内部审计的要点
在大多数司法管辖区,商业组织并无法律要求设立专门的内部审计职能。
大多数内部审计师受雇于其所在的审计组织(但情况并非总是如此,组织可能会选择将部分或全部内部审计工作外包给第三方会计师事务所)。因此,内部审计师有时难以证明自己独立于运营管理者以及首席执行官、首席财务官等高管。内部审计职能的独立性应在审计章程和向审计委员会的报告线路中明确规定——详见下文。
与外部审计不同,内部审计的范围非常广泛。上述定义提到了在风险管理、控制和治理领域开展的工作,暗示了这一点。此外,内部审计师除了开展基本的确认工作外,还能开展内部咨询工作。实际上,业务的所有领域都在其工作范围内。例如,现代“运营”审计在规划过程中,会涵盖与运营的主要商业市场相关的所有活动(生产、销售、售后支持、服务提供等),以及为整个组织的良好运营提供支持的主要辅助部门(采购、人力资源、信息技术等)。
与外部审计一样,内部审计部门要实现其目标并为业务增值,就需要保持独立性。特别是,内部审计师需要独立于组织内的执行管理层和部门主管。实现这一点有两种方式。第一,内部审计的报告线路应指向审计委员会,根据治理最佳实践,该委员会应仅由独立非执行董事组成。关键在于,首席执行官和首席财务官都不应是审计委员会成员。第二,内部审计职能的独立性应在审计章程中予以规定,然后由审计委员会审批。审计章程应以书面形式规定核心原则,即内部审计师可以审查组织内的任何事物,且内部审计负责人有权确定审计计划和工作范围。审计章程还应指明对内部审计部门在舞弊防范和识别工作方面的预期程度,以及分配给这一工作领域的资源。
与外部审计一样,内部审计也会形成报告,这些报告是基于审计过程中发现的证据得出的意见。与外部审计报告不同的是,这些报告供内部使用——通常会提交给接受审计的部门、执行管理层和审计委员会。
内部审计师应当发现舞弊吗?
第一,预算中应包含一些主动性的舞弊审计任务,也就是说,在内部审计计划中预留特定时间,让审计师在业务的高风险领域排查是否存在舞弊;
第二,为内部审计团队提供舞弊识别和调查方面的专业培训,使他们了解“舞弊的迹象”;
第三,能够使用现代舞弊识别工具——特别是计算机辅助审计技术或所谓的“数据挖掘”软件。我们将在第8章探讨舞弊遏制和识别时再回到这一话题。
总结——董事和经理的五个关键学习要点
控制措施是打击舞弊的重要组成部分。在接下来的两章中,我们将详细探讨可用于管理这些风险的各种具体的反舞弊防范和识别控制措施。但在此之前,对于董事和经理而言,在整个组织内建立健全的控制框架方面,有以下几个重要经验值得借鉴。
承诺打造一个透明、注重控制的组织。这既需要资金和资源,若要取得成功,还需要高层的情感投入。
始终保持警惕,了解工作场所正在发生的事情以及长期形成的惯例和做法。如果其中包含不当行为和/或不利于组织成功的行为,就要采取措施制止相关做法并改变员工的行为。
确保控制措施的设计和更新与其所应对的业务中不断变化的风险相匹配。同时,建立监控和审查系统,以确认控制措施确实按照设计方式运行。
了解过去20年中形成的五个控制框架。选择采用最适合自身业务需求的框架,对于中小企业而言,可选择采用其中能为业务带来益处的部分内容。
不要过度依赖传统审计来防范和识别舞弊。相反,要了解新审计准则所要求的更具主动性的方法。确保外部审计师遵守这些要求,并考虑将这种新方法纳入内部审计章程。确保审计委员会既具备胜任能力又保持独立性,同时还要领导有方、积极主动,并准备好在必要时审查和质疑高管的行为。
*本文由ACFE China校对翻译,如需转载,请提前告知。
*本文内容和图片均源自网络,如侵权,请联系工作人员处理。
下一条:暂无
