Rittenberg简介：Rittenberg美国虚假财务报告全国委员会的后援组织委员会或称杜德威小组（下文简称COSO）的主席。Rittenberg是上届IIA业务部的副主席，也是IIA研究基金会的主席，目前是一个位于罗克福德州的能源控制系统生产商的治理委员会和审计委员会的成员。Woodward Governor Co.Rittenberg曾经是全美企业董事联合会蓝带委员会（NACD BLUE Ribbon Commission）报告草拟小组委员会的委员，Rittenberg还参加了美国公共认证会计师委员会（the American Institute of Certified Public Accountants）和美国证券交易委员会（the US Securities and Exchange Commission,下文简称SEC）共同发起的独立准则委员会关于“审计外包对审计独立性影响”的研究。Rittenberg创作了关于审计、风险、内部控制和治理方面的45篇文章和专著。


       美国2002年颁布的萨班斯法案为内部控制的发展指明了一条道路。接着COSO于2004年发布的《企业风险管理整体框架》（下文简称ERM）为企业如何进行风险管理提供了清晰的指南。然而，无论是萨班斯法案还是ERM的施行都不是一帆风顺的，萨班斯法案正被一些商业议员攻击着，关于ERM全世界范围的讨论也变得越来越尖锐和多样化。Rittenberg说：“尽管COSO已经迈出了一大步，但我们仍有很多工作要做。”Rittenberg令人印象深刻的经历将有助于更好的开展工作，帮助萨班斯法案进行无止境的详细审查和可能进行的修改，并推动ERM继续向前发展。Rittenberg坚信，不管公司在前进的道路上有多少艰难险阻，他们都必须义无反顾地去发展、贯彻甚至强制推行详细的制度和程序来确保组织内部需要的与审计相关的信息能及时被获得，确保风险被及时的发现、正确的转嫁和彻底的应对。当《内部审计师》采访Rittenberg的时候，这个信条已深深地烙在他的脑子里。
     《内部审计师》：对于萨班斯法案的遵循成本和所带来效益问题，越来越多的公司表示不满。美国上市公司会计监督委员会（PCAOB）主席William McDonough最近也说第一轮内部控制审计花费过多。您对此有何看法？
     Rittenberg：萨班斯法案的404条款所要花费的成本确实很高，但是带来的效益却被人们明显地低估了。这些效益包括我们对资本市场恢复的信心和显著提高的内部控制。此外，我们都相信404条款的遵循成本将来会降低，我认为在今后的两三年成本和效益会达到较好的平衡，用于建立内部控制系统的费用将会降低，因为这些都会在第一年完成。为了保证内部控制能较好的运行，公司将建立更好的信息系统和监督过程，重点将从管理测试转移到监督过程，监督即将发生的控制缺陷并及时采取正确的措施。内部审计人员将会成为组织提高整个内部控制过程效率的主导者，还可以帮助组织执行不断改进的监督程序。公司需要形成良好的监督机制，只有这样，当内部控制有问题时才能被及时地发现。内部控制不仅被看作一系列要被完成的检测单，更应当被视为一种程序模型。
     《内部审计师》：COSO是支持立法对萨班斯法案进行调整还是支持其他立法强制组织采用改善内部控制的方法？
      Rittenberg：SEC声称：“COSO于1992年发布的《内部控制整体框架》是一个公司判断他们内部控制质量的框架。”所以一直被广泛地关注。我认为这已经被认为是一项切实可行的框架。我个人的意见是我们不再需要任何附加的立法。从COSO的观点说，不管是否有立法强制，我们都希望组织更好地执行他们的内部控制。我们不从任何政治上的立场认为内部控制的提高应当被授权和命令。建立良好内部控制的动力应该是来自于帮助公司有效运行、加强风险管理和提高公司治理效果的愿望。
    《内部审计师》：COSO会进一步发展成为一个准则设置机构吗？
     Rittenberg：COSO已经为风险和内部控制的发展提供了坚实的概念框架，SEC把COSO模型视作一个标准。我们在遵循成本效益的情况下把概念框架应用于组织的短期目标已经实现，现在正在为一些规模较小的公司建立一套指南。我认为我们不会在这个操作框架之外扩大发展。
     《内部审计师》：你们有对COSO框架进行修订的计划吗？
       Rittenberg：我想提醒大家注意，这是一个框架，它已经被时间检测为一个可理解的、能提高组织各方面内部控制的重要框架。迄今为止，这个框架还没有出现任何问题，但是我们已经把注意力更多的放在审计和报告要求上。因此，我们没有任何对COSO框架进行修订的计划，我们还是致力于提供更多的实务指南以增强这个框架，内部控制框架比会计框架要宽泛的多，它包括治理的有效性、合规性和资产安全性；我们还可以根据环境的变化，增加一些新的案例充实框架的内容。
     《内部审计师》：可以说一下COSO框架在公司的各个领域是怎样被操作的吗？COSO又是怎样变成IT审计的框架的？
      Rittenberg：COSO是一个宽泛的框架，它可以应用于公司的各个方面，包括IT方面。如果你遵照COSO框架考虑IT领域，首先应当通过IT程序确定管理的质量；确定管理层是否有适当的信息去识别问题和采取正确的行动；确定IT管理层是否有能力去识别风险和完善与这些风险相对应的内部控制；确定人力资源制度是否有很显著的特点，是否体现优秀的特征和组织行为操守。然后审计执行人员将识别与IT运行相关的风险，比如程序的安全性、准入和退出。例如，没有授权进入数据库和应用软件就会给企业带来很大的风险，这些风险会导致不正确的信息处理，资产的安全性受威胁和数据的不恰当使用。再下一步就是确定能把上述风险降到可接受水平的控制程序。一旦这种内部控制被实现和进行测试，就会形成一种信息和沟通系统，这种系统会在内部控制失效或程序不在内部控制范围时发出信号。组织必须形成监督系统，为发现新风险提供反馈，然后给这些新风险以额外的内部控制。请记住，尽管一些审计人员和管理人员倾向于每个过程都能对应有详细的指南，但这必须是一个综合的持续过程。
      当然也有其他的办法帮助组织识别所有的风险。举例来说，从IT审计和内部控制部门得到的与IT相关的内部控制目标就是一个从目标开始的非常详细的办法。这些目标从另外一个角度来确保组织识别风险，执行识别与IT相关风险目标的内部控制。我们的目标不应该是决定哪种框架是可供选择执行的，而是应该确保被运用的框架和方法是能普遍接受的。由IT审计人员使用的框架是内在可靠的、完善的。
     《内部审计师》：COSO最近组织和参与了几次 “关于小企业遵循萨班斯法案问题”的圆桌会议，这几次会议有没有产生一些切实可行的建议或意见？
       Rittenberg：我们很想获得关于理解和应用COSO模型是否存在问题的反馈，也想获得公司在哪些地方需要更多使用内部控制指南的反馈。参会者所说的“确信你们是在做一件很正确的事情”给我们留下了深刻的印象。参会者用积极的态度来看待我们的工作，这使我们感到欣慰，同时，也带来了不小的压力。
      参会者告诉我们，COSO主要是负责内部控制报告，而FASB主要是负责财务报告。他们关心的两个问题是忽视管理的风险以及以风险为基础的内部控制评价的必要性，这表明有些事情并不受小公司的欢迎，例如内部控制的规范化问题。其实内部控制的规范化并不应该表现为官僚主义和无效率，而在公司范围内内部控制应该体现为可见的、可理解的、更好沟通的，不正式的内部控制是不被接受的，在通向良好内部控制的道路上没有任何捷径。为便于小公司开展内部控制建设，我们正致力于出台针对小公司的内部控制操作指南。

    《内部审计师》：关于小公司的内部控制操作指南的出台，你能给内部审计人员大概说明一下吗？
      Rittenberg：小公司的内部控制操作指南所要说的是当小公司想要上市时所必须承担的责任。在现在的环境下，一个重要的任务就是要设计、执行、报告财务报告内部控制的有效性。这项指南将解释良好的内部控制的基本原理，还会举例说明公司怎样在合理的成本开支范围内达到控制目标。尽管如此，每家公司都有责任决定哪些控制会导致最有利的结果。
    《内部审计师》：你们的组织有一项最重要的贡献就是推出了ERM，对于把ERM运用到组织的日常经营中，你们有什么计划？
     Rittenberg：当ERM出台的时候，它受到了媒体的广泛关注。我们为此在很多会议上发言，也发表了很多关于ERM的文章。我们相信ERM能帮助提高公司经营情况。然而，考虑到几乎所有的公司在过去的一年里都忙于应付萨班斯法案，我们并没有强力推行ERM。ERM的生命力在于它基本概念的力量，ERM中的概念相互依赖，相互映衬，是一个坚固的整体，会引导组织进行更好的管理。但是，应对风险还有很多的工作要做，很多组织对风险管理并没有综合的规划。我们期望ERM在组织里的运行是渐进式的。很多组织及管理层都已经发现分析战略和保证充分的内部控制对组织很有用。
    《内部审计师》：你们会对ERM的运行开展研究吗？
     Rittenberg：COSO一直鼓励对ERM和执行的研究，美国北卡罗莱纳州立大学风险管理研究中心的建立，保证了ERM的研究得以继续。我们可以从战略上观望COSO的未来，不论风险还是内部控制领域，对指南的需求越来越强烈。我们需要从IIA和所有IIA分支机构中获取他们希望COSO将来怎样定位的信息。
    《内部审计师》：问一个私人的问题，在您担任COSO主席时您优先考虑的事情是什么？当您离任的时候您怎样使“Rittenberg时代”被人们记住？
     Rittenberg：当我第一天获得主席位子的时候，我就为自己定下了目标：
   ·致力于提高对ERM的理解，致力于风险管理和内部控制的研究。
   ·建立一套指南，用以帮助企业以最具成本效益的方式遵循COSO的内部控制框架。
   ·通过对现存模型中信息系统可靠性和监督的理解，帮助组织有效地运用COSO的框架。
   ·把ERM发展成一个提高所有组织管理水平的可靠的方法论。
      在我任期结束以后，我希望通过更好的理解ERM和内部控制，不论大企业还是小企业，不论商业企业还是政府组织或是其他一些组织。通过ERM的执行使组织变得更有效率。如果COSO被视为实现企业良好的治理、风险和内部控制的有效通道，并由此提高企业的绩效，能帮助企业更有效的开展工作，使所有股票持有人受益，我会非常欣慰。
     《内部审计师》：内部审计人员面对的最大挑战是什么？
      Rittenberg：我现在担心的是萨班斯法案运行的压力会使内部审计工作范围变小，从而使内部审计人员放弃在过去可以增加组织价值的许多领域。IIA不得不提醒内部审计人员，内部审计的定义是宽泛的，主要集中在通过更好的公司治理、风险管理和内部控制提高组织的经营能力。这比狭窄的会计和财务报告控制要宽泛得多。我非常高兴的提醒内部审计人员，COSO框架也是宽泛的，覆盖了组织的方方面面。事实上，在财务报告之外，确实有很多内部审计人员可以发现的风险。举例说，IIA研究基金会资助的Southern Methodist大学和Texas大学即将进行的一项研究，是识别在过去几年建立的跨组织关系相联系的风险和内部控制问题。现在很多组织都达成了各种各样的协议，一些是和供应商达成的协议，还有一些是和竞争者达成的协议，这些协议都承担着巨大的风险，内部审计人员和管理层需要去认识这些风险并学会如何控制它们。
     《内部审计师》：管理层和董事会会帮助内部审计人员处理这些越来越宽泛的风险和内部控制吗?或者说他们会成为阻碍吗？
      Rittenberg：董事会和管理层也有普通人的特性，他们对有压力的事情都会有所反应，而现在财务控制和报告的一体化使他们感到了巨大的压力，这些正是他们希望内部审计人员能花时间帮他们减轻压力的地方。我感觉这也会存在一种风险，就是内部审计人员总是按照管理层所要求去工作会使他们的视角集中在管理层最关注的地方，将注意力仅仅局限在财务报告控制上。内部审计人员把注意力放在财务报告控制上比放在公司宽泛的经营风险和内部控制上要容易得多，内部审计人员必须克服这种倾向并确保他们能够为组织带来最大的价值。