第一章 能有多大的改进<br> 人们有许多从风险控制中获得更大的商业价值的机会。风险和控制程序能够增加价值的证据之所以不完整,很可能是因为许多程序的确没有提供价值,但也有可能是因为人们几乎不注意评估或改进它们所提供的价值。<br> 这里有两个例子说明了改进的机会以及机会仍然存在的其他主要原因。这两个例子就一个相似的问题使用两种方法进行对比,以强调改进的空间。<br> 案例1:《萨班斯-奥克斯利法案》与收入保障对比<br> 过去几十年问,风险和控制背后的推动力没有受到重视。人们常常需要的是“保证”--一种舒适的感觉,对损失或仅仅是尴尬的一些预防。最常见的情况是外部需求驱使行动。监管部门要求改进它们,审计师对它们不断予以指责与批评。<br> 当审计师,特别是外部审计师建议改进控制时,通常很少考虑实施或者运行该控制的成本。在面对风险时,审计师希望通过建议执行者做一些事以获得一种“受保护”(covered)的感觉,至少在理论上是这样的。接着就是执行者决定是否值得予以控制,或者执行者附和审计师也仅仅是为了确保其自身免受批评。无论是大型组织还是小型组织都经常会出差错,但是,对于受人关注的执行者来说,若未能执行受人敬重的、独立的专家的建议,可能在这些问题上会使其个人遭受更大的伤害。<br> ……
展开