內(nèi)部控制無(wú)法回避IT控制的挑戰(zhàn)

　　處于信息時(shí)代的企業(yè)，業(yè)務(wù)經(jīng)營(yíng)活動(dòng)、各種數(shù)據(jù)傳遞以及財(cái)務(wù)報(bào)告的產(chǎn)生與傳遞越來(lái)越多地依賴IT系統(tǒng)的自動(dòng)化處理。自動(dòng)化過(guò)程給企業(yè)帶來(lái)效率的同時(shí)也帶來(lái)控制風(fēng)險(xiǎn)。為了防范這些風(fēng)險(xiǎn)，現(xiàn)代企業(yè)的內(nèi)部控制體系亟需包含基于IT系統(tǒng)的內(nèi)部控制政策與程序。

　　在PCAOB（美國(guó)公眾會(huì)計(jì)監(jiān)管委員會(huì)）審計(jì)標(biāo)準(zhǔn)Ⅱ中也特別指出，IT控制設(shè)計(jì)很重要，不可低估控制設(shè)計(jì)在整個(gè)IT控制環(huán)境中的重要性，并強(qiáng)調(diào)IT控制能有力地支持整個(gè)內(nèi)部控制環(huán)境。該標(biāo)準(zhǔn)又進(jìn)一步指出：公司整體內(nèi)部控制系統(tǒng)的有效性依賴于“其他控制是否有效”（指的是控制環(huán)境或IT一般控制的有效性）。 因此，理解IT控制與IT控制體系設(shè)計(jì)的相關(guān)理念，成為企業(yè)必備的重要能力。

　　首先，我們定義IT控制是由期望達(dá)到的（IT控制目標(biāo)）和達(dá)到這些目標(biāo)的方法（控制程序）構(gòu)成。IT控制目標(biāo)是指通過(guò)對(duì)具體的IT活動(dòng)實(shí)施控制程序，以達(dá)到期望結(jié)果或目的的總體描述�？梢�(jiàn)，事實(shí)上，有效的IT控制設(shè)計(jì)與實(shí)施指明了一個(gè)組織將信息技術(shù)條件下的風(fēng)險(xiǎn)降至可接受水平的途徑。這里IT風(fēng)險(xiǎn)指的是IT使企業(yè)不能實(shí)現(xiàn)其經(jīng)營(yíng)目標(biāo)的風(fēng)險(xiǎn)。

　　然后，我們從人員職責(zé)、IT控制的構(gòu)成和IT控制對(duì)象這三個(gè)角度來(lái)理解IT控制的外延：

　　1.從人員職責(zé)角度看：首先是以下三類人員的職責(zé)：

　　管理層——主要職責(zé)是確保控制存在并有效運(yùn)行，為運(yùn)營(yíng)目標(biāo)和控制目標(biāo)的實(shí)現(xiàn)提供合理保證；

　　低層管理者與員工——主要職責(zé)是執(zhí)行控制；

　　審計(jì)師——主要職責(zé)是對(duì)控制的正確性進(jìn)行評(píng)估、提供改進(jìn)建議及保證聲明。

　　2.從IT控制的構(gòu)成角度看：IT控制包括IT控制環(huán)境、IT一般控制、IT應(yīng)用控制。

　　3.從IT控制對(duì)象與范圍看：IT控制對(duì)象包括企業(yè)IT生命周期的所有流程。

　　實(shí)現(xiàn)IT控制，中國(guó)企業(yè)需要應(yīng)對(duì)三大挑戰(zhàn)

　　國(guó)內(nèi)企業(yè)信息化建設(shè)速度越來(lái)越快，信息化水平越來(lái)越高，業(yè)務(wù)與財(cái)務(wù)報(bào)告流程對(duì)IT的依賴程度也隨之越來(lái)越高。對(duì)大多數(shù)企業(yè)而言，運(yùn)用整合的ERP系統(tǒng)，或綜合運(yùn)用各種經(jīng)營(yíng)管理、財(cái)務(wù)管理方面的軟件，已經(jīng)成為財(cái)務(wù)報(bào)告系統(tǒng)強(qiáng)有力的支持。

　　隨著薩班斯法案的出臺(tái)，財(cái)務(wù)報(bào)告的內(nèi)部控制幾乎離不開(kāi)IT控制，即使業(yè)務(wù)層面的管理控制也是IT支撐環(huán)境下的控制。但是，信息技術(shù)是一把雙刃劍，其潛在風(fēng)險(xiǎn)也越來(lái)越大，企業(yè)在建立有效的IT控制，以保證財(cái)務(wù)報(bào)告的有效性方面正面臨著巨大的挑戰(zhàn)。

　　但是，目前國(guó)內(nèi)企業(yè)的內(nèi)部控制體系多為傳統(tǒng)的會(huì)計(jì)控制及管理控制，對(duì)IT控制缺少系統(tǒng)的考慮，企業(yè)的IT控制面臨三大挑戰(zhàn)。

　　挑戰(zhàn)之一：CIO缺乏內(nèi)部控制理論與實(shí)踐。

　　以薩班斯法案的要求來(lái)說(shuō)明，404條款的遵照?qǐng)?zhí)行有四個(gè)階段：1.公司應(yīng)制定內(nèi)部控制詳細(xì)目錄，確定內(nèi)部控制是否足夠，然后將這些控制與諸如COSO之類的內(nèi)部控制框架進(jìn)行對(duì)照； 2.公司被要求記錄控制措施評(píng)估方式，以及未來(lái)將用來(lái)彌補(bǔ)控制缺陷的政策和流程（如果有的話）； 3.公司必須進(jìn)行測(cè)試工作，以確保控制措施和補(bǔ)救手段起到預(yù)期作用； 4.管理層必須將前述三個(gè)階段的各項(xiàng)活動(dòng)情況匯總成一份正式的評(píng)估報(bào)告。

　　法案的要求使很多人認(rèn)為，IT專業(yè)人士應(yīng)該對(duì)其負(fù)責(zé)的IT系統(tǒng)所產(chǎn)生的信息質(zhì)量及完整性負(fù)責(zé)，但問(wèn)題在于，大多數(shù)IT專業(yè)人士對(duì)復(fù)雜的內(nèi)部控制并不精通或了解，因此難負(fù)其責(zé)。盡管不能說(shuō)IT人員沒(méi)有參與風(fēng)險(xiǎn)管理，但至少IT管理層沒(méi)有按照管理層或?qū)徲?jì)師所要求的形式進(jìn)行正式的、規(guī)范化的風(fēng)險(xiǎn)管理。CIO（首席信息官）們現(xiàn)在到了不得不補(bǔ)課的時(shí)候了，當(dāng)務(wù)之急是補(bǔ)充有關(guān)內(nèi)部控制方面的知識(shí)，理解企業(yè)所制定的SOX遵循計(jì)劃，才能專門針對(duì)IT控制擬定一個(gè)遵循執(zhí)行計(jì)劃，并把這個(gè)計(jì)劃與總體的SOX遵循計(jì)劃相整合。

　　挑戰(zhàn)之二：缺乏系統(tǒng)的IT控制體系

　　事實(shí)上，每個(gè)企業(yè)或多或少都有一些IT控制制度，很多企業(yè)錯(cuò)誤地把這些靜態(tài)的控制制度等同于控制體系。現(xiàn)在越來(lái)越多的人認(rèn)識(shí)到，我們需要的是“發(fā)現(xiàn)問(wèn)題，解決問(wèn)題；發(fā)現(xiàn)新問(wèn)題，解決新問(wèn)題”的持續(xù)改進(jìn)體系。同時(shí)鑒于第一點(diǎn)原因，這些制度基本是由技術(shù)管理者制定，他們?nèi)狈σ?guī)范化風(fēng)險(xiǎn)管理的經(jīng)驗(yàn)，這些IT控制制度可能不太規(guī)范且不成體系，控制程序也不夠完善。IT控制制度一般存在于系統(tǒng)安全和變更管理等一般控制領(lǐng)域，缺乏從公司透明度角度出發(fā)、結(jié)合支持業(yè)務(wù)戰(zhàn)略和業(yè)務(wù)流程的完整內(nèi)部控制體系。

　　挑戰(zhàn)之三：現(xiàn)有IT控制體系不具有可審計(jì)性

　　薩班斯法案相關(guān)的條款要求上市公司必須有足夠的證據(jù)證明內(nèi)部控制的有效性，這就要求企業(yè)必須有完善的內(nèi)部控制流程及審計(jì)軌跡，在控制發(fā)揮作用的同時(shí)生成相應(yīng)的文檔記錄，以便在對(duì)內(nèi)部控制設(shè)計(jì)及運(yùn)行的有效性進(jìn)行評(píng)價(jià)時(shí)有足夠的證據(jù)。

　　我國(guó)企業(yè)的IT控制程序設(shè)計(jì)及運(yùn)行不具備可審計(jì)性。盡管很多企業(yè)有龐雜的規(guī)章制度，但該體系的完整性、有效性以及遵照?qǐng)?zhí)行情況缺少評(píng)價(jià)，或沒(méi)有證據(jù)進(jìn)行評(píng)價(jià)。

　　因此，我們構(gòu)建IT控制系統(tǒng)時(shí)必須從全局著眼，借鑒國(guó)際內(nèi)部控制框架及國(guó)際最佳實(shí)踐經(jīng)驗(yàn)，構(gòu)建一套系統(tǒng)化、標(biāo)準(zhǔn)化、可審計(jì)、可持續(xù)改進(jìn)的IT控制體系。

　　構(gòu)建有效而持續(xù)的IT控制需要正確的理念、適合的內(nèi)控框架和評(píng)估機(jī)制

　　對(duì)于企業(yè)，我們認(rèn)為在構(gòu)建IT控制體系時(shí)，需要從三個(gè)層面來(lái)考慮才能保證IT控制的有效性和持續(xù)性。為了更好地說(shuō)明，筆者將以如何設(shè)計(jì)符合薩班斯法案要求的內(nèi)部控制為例，來(lái)展示構(gòu)建IT控制體系的主要思路，以供參考。

　　1. 要認(rèn)識(shí)到構(gòu)建IT控制體系是一個(gè)循序漸進(jìn)的過(guò)程

　　SEC管制條款內(nèi)容復(fù)雜，為了滿足薩班斯法案的要求，大多數(shù)企業(yè)需要調(diào)整其員工觀念和企業(yè)文化，通常也需要對(duì)IT系統(tǒng)及其處理流程作一些改進(jìn)。改進(jìn)的內(nèi)容包括控制設(shè)計(jì)、控制文件、控制文件的保留，以及IT控制的評(píng)估等方面。這是一個(gè)循序漸進(jìn)的過(guò)程，不能將原有的一切推倒重來(lái)。鑒于在美上市的中國(guó)企業(yè)多為國(guó)有企業(yè)，這些企業(yè)的規(guī)章制度普遍較為健全，所以對(duì)于它們而言，更為重要的是如何根據(jù)內(nèi)部控制的理念和原則，結(jié)合企業(yè)的實(shí)際情況，對(duì)不符合薩班斯法案404條款的各項(xiàng)差距進(jìn)行分析、彌補(bǔ)、測(cè)試和改進(jìn)。這項(xiàng)工作的順利開(kāi)展需要企業(yè)人員具備相應(yīng)的理論知識(shí)和實(shí)踐經(jīng)驗(yàn)，因此，IT控制和風(fēng)險(xiǎn)管理培訓(xùn)就成為貫穿始終、必不可少的一項(xiàng)重要工作。

　　2. 要選擇好內(nèi)部控制框架

　　法案并沒(méi)有規(guī)定公司必須選擇什么樣的內(nèi)控框架作為管理層評(píng)價(jià)內(nèi)部控制有效性的依據(jù)， 需要企業(yè)自己選擇。國(guó)際上比較有名的內(nèi)控框架有英國(guó)的Turnbull、美國(guó)的COSO 和加拿大的CoCo ， 它們從不同的角度剖析公司的經(jīng)營(yíng)管理活動(dòng)， 為營(yíng)造良好的內(nèi)控框架提供了一系列政策和建議。PCAOB審計(jì)標(biāo)準(zhǔn)Ⅱ在“管理層用于開(kāi)展其評(píng)估的內(nèi)部控制框架”一節(jié)中，明確管理層要依據(jù)一個(gè)適當(dāng)且公認(rèn)的、由專家遵照應(yīng)有程序制定的控制框架，來(lái)評(píng)估公司財(cái)務(wù)報(bào)告內(nèi)部控制的有效性，SEC也從側(cè)面認(rèn)可COSO框架。COSO 認(rèn)為，內(nèi)部控制是由企業(yè)董事會(huì)、經(jīng)理層和其他員工，為合理保證實(shí)現(xiàn)企業(yè)營(yíng)運(yùn)的效率及效果、財(cái)務(wù)報(bào)告的可靠性及合法合規(guī)等目標(biāo)而實(shí)施的一系列過(guò)程。內(nèi)控框架的構(gòu)成要素包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通、監(jiān)督五個(gè)方面。這套理論得到了包括SEC、公司管理者、投資者、債權(quán)人及專家學(xué)者的普遍認(rèn)可， 國(guó)外許多公司都依據(jù)這個(gè)框架建立了內(nèi)控系統(tǒng)。我國(guó)公司也可以按COSO 建立內(nèi)控框架， 逐步與國(guó)際管理模式接軌。通過(guò)引入COSO 內(nèi)控要素， 形成一個(gè)相互聯(lián)系、綜合作用的控制整體， 使單純的控制活動(dòng)與企業(yè)環(huán)境、管理目標(biāo)及控制風(fēng)險(xiǎn)相結(jié)合， 形成一套不斷改進(jìn)、自我完善的內(nèi)控機(jī)制。

　　盡管COSO正在成為理解和評(píng)價(jià)內(nèi)部控制的全球性框架。但是，COSO不是唯一的控制框架，在有些情形下甚至可能不是最好的或最易于使用的框架，尤其是在COSO框架中沒(méi)有考慮到對(duì)IT控制目標(biāo)和相關(guān)控制活動(dòng)的具體要求。目前，COBIT（信息系統(tǒng)和技術(shù)控制目標(biāo)，Control Objectives for Information and related Technology）正在成為更好地理解信息技術(shù)環(huán)境下內(nèi)部控制的國(guó)際公認(rèn)框架，該框架由美國(guó)IT治理研究所（ITGI）發(fā)布，是一個(gè)IT風(fēng)險(xiǎn)管理與IT控制的綜合性分析框架，由覆蓋信息化生命周期的4個(gè)域、34個(gè)IT控制目標(biāo)、318個(gè)詳細(xì)控制目標(biāo)組成。COBIT也涉及企業(yè)經(jīng)營(yíng)、合法合規(guī)等方面的控制。因此，該框架可作為制定IT控制目標(biāo)、審計(jì)、管理和執(zhí)行方針的依據(jù)。COBIT不是COSO框架的替代品，而是COSO框架的有力補(bǔ)充，這是因?yàn)樵谛畔⒓夹g(shù)條件下，管理層、IT人員、審計(jì)師都需要理解和記錄IT相關(guān)流程、流程中資源利用情況，以及支持這些流程的控制。

　　尤其是那些信息資產(chǎn)密集型或高度依賴于自動(dòng)化處理的企業(yè)，理解和評(píng)估信息技術(shù)條件下的內(nèi)部控制是一項(xiàng)巨大的挑戰(zhàn)，但也是實(shí)現(xiàn)薩班斯合規(guī)性的關(guān)鍵之處。COBIT對(duì)評(píng)估這種環(huán)境下的內(nèi)部控制會(huì)特別有效，COBIT的全部控制目標(biāo)為審計(jì)人員尋求實(shí)施薩班斯法案404條款內(nèi)部控制評(píng)審提供了強(qiáng)大的支持。不過(guò)對(duì)于初涉COBIT框架的人來(lái)說(shuō)，其龐雜體系令人望而卻步，其指南分散在有很多圖表構(gòu)成的多卷本中。并且，COBIT自1996年問(wèn)世以來(lái)，在很長(zhǎng)的一段時(shí)間里，許多審計(jì)人員單純地將COBIT看作是專門的信息系統(tǒng)審計(jì)工具，認(rèn)為它對(duì)其他審計(jì)工作幫助不大。我們認(rèn)為，雖然COBIT的重點(diǎn)仍然在于IT，但是所有的相關(guān)人員包括審計(jì)人員都要研究COBIT框架，并將它作為一款優(yōu)秀的控制框架，用于幫助實(shí)現(xiàn)薩班斯法案的合規(guī)性要求（COSO、COBIT與SOX的對(duì)應(yīng)關(guān)系見(jiàn)圖：略）。

　　整合運(yùn)用COBIT與COSO作為構(gòu)建IT控制的框架，是將兩種國(guó)際公認(rèn)框架進(jìn)行優(yōu)勢(shì)互補(bǔ)。同時(shí)在確定控制點(diǎn)、控制程序、留下相應(yīng)審計(jì)軌跡時(shí)，也可以參考IT運(yùn)營(yíng)、信息安全方面可審計(jì)的國(guó)際標(biāo)準(zhǔn)管理控制體系ISO20000、ISO17799等。

　　3. 建立一套自評(píng)估機(jī)制，確保內(nèi)部控制系統(tǒng)的持續(xù)有效

　　眾所周知， 企業(yè)的發(fā)展階段、和管理狀況以及外部環(huán)境的變化都是決定企業(yè)內(nèi)控體系建立和有效運(yùn)行的前提。任何內(nèi)控體系都只是在一個(gè)特定的歷史階段有效。法案要求管理層每年都要對(duì)內(nèi)部控制有效性做出聲明，這也迫使公司必須建立一套控制自評(píng)估機(jī)制，評(píng)估內(nèi)部控制體系設(shè)計(jì)、執(zhí)行是否有效，以支持管理層的聲明。同時(shí)，自評(píng)估機(jī)制也可以幫助公司發(fā)現(xiàn)控制薄弱區(qū)和控制漏洞，及時(shí)審時(shí)度勢(shì)，彌補(bǔ)內(nèi)控體系的缺陷，確保內(nèi)控體系持續(xù)有效。這也正是薩班斯法案所要求的。

　　控制自我評(píng)估（CSA）是指企業(yè)內(nèi)部為實(shí)現(xiàn)目標(biāo)、控制風(fēng)險(xiǎn)而對(duì)內(nèi)部控制系統(tǒng)的有效性和恰當(dāng)性實(shí)施自我評(píng)估的一種方法。國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）在1996年研究報(bào)告中總結(jié)了CSA的三個(gè)基本特征：關(guān)注業(yè)務(wù)的過(guò)程和控制的成效；由管理部門和職員共同進(jìn)行；用結(jié)構(gòu)化的方法開(kāi)展自我評(píng)估。CSA最早出現(xiàn)在20世紀(jì)80年代末期，但其最主要的發(fā)展是在90年代，特別是在1992年COSO報(bào)告公布之后。COSO報(bào)告首次把內(nèi)部控制從原來(lái)自上而下財(cái)務(wù)模式的平面結(jié)構(gòu)發(fā)展為更全面的企業(yè)整體模式的立體框架。傳統(tǒng)的內(nèi)控評(píng)價(jià)方法只能用來(lái)評(píng)價(jià)諸如財(cái)務(wù)報(bào)告，資產(chǎn)與記錄的接觸、使用與傳遞，授權(quán)授信，崗位分離，數(shù)據(jù)處理與信息傳遞等的“硬控制”。在新的內(nèi)部控制模式下，迫切需要評(píng)價(jià)包括公司治理、高層經(jīng)營(yíng)理念與管理風(fēng)格、職業(yè)道德、誠(chéng)實(shí)品質(zhì)、勝任能力、風(fēng)險(xiǎn)評(píng)估等的“軟控制”。在這種情況下，作為一種既可以用來(lái)評(píng)價(jià)傳統(tǒng)的硬控制，又可以用來(lái)評(píng)價(jià)非正式控制即軟控制的機(jī)制，CSA得到了普遍的信賴。

　　自評(píng)人員首先選擇要評(píng)審的內(nèi)控流程， 然后對(duì)其設(shè)計(jì)的健全、合理性進(jìn)行評(píng)價(jià)， 如果設(shè)計(jì)合理， 則測(cè)試其運(yùn)行的有效性， 最后進(jìn)行綜合設(shè)計(jì)測(cè)試和運(yùn)行測(cè)試， 評(píng)價(jià)內(nèi)控系統(tǒng)設(shè)計(jì)的合理性和運(yùn)行的有效性。如果設(shè)計(jì)測(cè)試結(jié)果為不合理， 則直接進(jìn)行內(nèi)控系統(tǒng)的評(píng)價(jià)， 而不再進(jìn)行運(yùn)行的有效性測(cè)試（見(jiàn)圖：略）。

　　內(nèi)控系統(tǒng)設(shè)計(jì)測(cè)試是指為了確定被審計(jì)單位內(nèi)控政策和程序設(shè)計(jì)合理、恰當(dāng)和完善進(jìn)行的測(cè)試。合理的標(biāo)準(zhǔn)即控制設(shè)計(jì)與目標(biāo)相關(guān)、恰當(dāng)和完善， 能有效保證信息的機(jī)密性、完整性和可用性。運(yùn)行有效性測(cè)試是指為了確定被審計(jì)單位的內(nèi)控政策和程序在實(shí)際工作中是否得到貫徹執(zhí)行， 并發(fā)揮應(yīng)有的作用而進(jìn)行的測(cè)試。執(zhí)行有效的標(biāo)準(zhǔn)即內(nèi)控政策和程序在實(shí)際工作中得到了貫徹執(zhí)行并發(fā)揮了應(yīng)有的作用。

　　為了評(píng)估企業(yè)內(nèi)部控制水平，指導(dǎo)企業(yè)進(jìn)行差距分析并確定改進(jìn)目標(biāo)，建議企業(yè)借鑒成熟度理論，描述企業(yè)IT控制有效性的各種等級(jí)。

　　Level 1 -不可靠級(jí) 不可預(yù)知的環(huán)境，在這種環(huán)境中，控制活動(dòng)沒(méi)有設(shè)計(jì)或不適當(dāng)；

　　Level 2 -不正式級(jí) 控制與披露活動(dòng)已設(shè)計(jì)并適當(dāng)，但沒(méi)有充分記錄。控制更大程度上依賴于人，沒(méi)有正式的控制活動(dòng)培訓(xùn)與溝通；

　　Level 3 -標(biāo)準(zhǔn)級(jí) 控制活動(dòng)已被設(shè)計(jì)并適當(dāng)，控制活動(dòng)已被記錄并在員工之間進(jìn)行了溝通�？刂苹顒�(dòng)的偏離可能不被發(fā)現(xiàn)；

　　Level 4 -監(jiān)控級(jí) 標(biāo)準(zhǔn)化的控制，有定期的有效性測(cè)試并向管理層報(bào)告，有限的利用自動(dòng)化工具支持控制活動(dòng)；

　　Level 5 -優(yōu)化級(jí) 一個(gè)整合的內(nèi)部控制框架和實(shí)時(shí)的管理層監(jiān)控與持續(xù)改善 （全面風(fēng)險(xiǎn)管理），運(yùn)用自動(dòng)化工具支持控制活動(dòng)，也許組織在需要的時(shí)候?qū)�控制活�?dòng)進(jìn)行快速變更。

　　就某個(gè)內(nèi)部控制目標(biāo)而言，一些企業(yè)可能愿意接受等級(jí)不高于3的IT控制�？紤]到薩班斯法案 “外部審計(jì)師應(yīng)就控制出具獨(dú)立的鑒證”這一要求，審計(jì)師對(duì)一些關(guān)鍵控制活動(dòng)的有效性水平不能低于3級(jí)。

　　自評(píng)估的各種控制測(cè)試評(píng)價(jià)，有助于企業(yè)監(jiān)控完善企業(yè)內(nèi)部控制，也有助于管理者對(duì)內(nèi)部控制有效性做出一個(gè)明確的評(píng)定，并最終以報(bào)告書的形式對(duì)外呈現(xiàn)，用以表明IT控制系統(tǒng)總體的可靠性及完整性。控制不是一件簡(jiǎn)單的事情，而是一個(gè)過(guò)程，需要對(duì)其不斷地評(píng)估和改進(jìn)，以符合當(dāng)前經(jīng)營(yíng)的實(shí)際需要。這也必將成為IT部門組織文化的一個(gè)部分。

　　內(nèi)部控制由于成本限制，本身有一定的局限性，只能合理保證實(shí)現(xiàn)企業(yè)的經(jīng)營(yíng)效果、效率，實(shí)現(xiàn)合法合規(guī)目標(biāo)以及財(cái)務(wù)報(bào)告的真實(shí)性。因此構(gòu)建IT控制要在發(fā)現(xiàn)評(píng)估的基礎(chǔ)上，做好風(fēng)險(xiǎn)與控制成本之間的平衡。