《内控流程怎么建?以采购流程为例!》由会员分享,可在线阅读,更多相关《内控流程怎么建?以采购流程为例!(5页珍藏版)》请在金锄头文库上搜索。
1、内控流程怎么建?以采购流程为例!内控与全面风险管理体系是一个企业长期开展的重要保障,同样也是企业 开展护航器,与此同时,有效的内控与全面风险管理也是社会经济和谐安 定的重要因素。但是,往往很多人会将内控等同于全面风险管理,到底内 控是不是等同于全面风险管理?一、内部控制与全面风险管理(一)内部控制现代理论界对内部控制的定义各不相同,但被普遍接受的定义是:“企业内 部控制是由企业萤事会、经理层以及其他员工共同实施的,为财务报告的 准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提 供合理保证的过程。在cos。委员会的内部控制管理框架中,把内部控制活动分成五大组 成局部,即:控制环境
2、、风险评估、控制活动、信息与交流和监督评审。(二)全面风险管理全面风险管理框架定义:企业风险管理是一个过程,是由企业的黄事 会、管理层以及其他人员共同实施的,应用于战略制定及企业各个层次的 活动,旨在识别可能影响企业的各种潜在事件,并按照企业的风险偏好管 理风险,为企业目标的实现提供合理的保证。”该框架有三个维度,第一维是企业的目标;第二维是全面风险管理要素; 第三维是企业的各个层级。第一维企业的目标有4个,即战略目标、经营 目标、报告目标和合规目标。第二维全面风险管理要素有8个,即内部环 境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交 流、监控。第三个维度是企业的各个层级,包
3、括整个企业、各职能部门、 各条业务线及下届各子公司。全面风险管理框架三个维度的关系是:全面风险管理的8个要素都是 为企业的四个目标效劳的;企业各个层级都要坚持同样的四个目标;每个 层次都必须从以上8个方面进行风险管理.(三) 内部控制与全面风险管理的联系(1) 全面风险管理涵盖了内部控制。全面风险管理体系框架包括内控作为一个子系统。全面风险管理除包括内 部控制的3个目标之外,还增加了战略目标;全面风险管理的8个要素除 了包括内部控制的全部5个要素之外,还增加了目标设定、事件识别和风 险对策3个要素。从时间先后和内容上来看,全面风险管理是对内部控制 的拓展和延伸。(2) 内部控制是全面风险管理的
4、必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大局部 运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必 要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是国 内外许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业 风险管理体系建立应该到达的根本状态。(3 )风险指的是不确定性”,分为可控和不可控;内部控制是用来降低可 控风险的”手段”,主要以流程为根底,方式大多为事前审批和事后检查; “审计”指的是较高保障水平的”检查”,分很多领域,比方财务、合规、反 洗钱、内控,内控审计为针对内部控制的审计.(四) 内部控制与全面风险管理的差异(1
5、)两者的范畴不一致.内部控制仅是管理的一项职能,主要是通过事 后和过程的控制来实现其自身的目标;而全面风险管理那么贯穿于管理过程 的各个方面,控制的手段不仅表达在事中和事后的控制,更重要的是在事 前制订目标时就充分考虑了风险的存在.而且,在两者所要到达的目标 上,全面风险管理多于内部控制。(2)两者的活动不一致.全面风险管理的一系列具体活动并不都是内部 控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设 定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以 及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的 重要活动,如对风睑的评估和由此实施的控制活动、
6、信息与交流活动和监 督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不员责企业 经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标 和战略方案制定当中的风险进行评估。(3 )两者对风险的定义不一致.风险定义为”对企业的目标产生负面影响 的事件发生的可能性”(将产生正面影响的事件视为时机),将风险与时机 区分开来;(4 )两者对风险的对策不一致.全面风险管理框架引入了风险偏好、风 险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架 在风险度量的根底上,有利于企业的开展战略与风险偏好相一致,增长、 风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策
7、流程等,从而帮助萤事会和高级管理层实现全面风险管理的4工程标。这 些内容都是内部控制框架中没有的,也是其所不能做到的。二、内部控制和全面风险管理在国内的运用(一)国内关于内部控制与全面风险管理的定义目前国内关于内部控制和全面风险管理的正式定义主要是财政部关于印发 企业内部控制标准根本标准和17项具体标准(征求意见稿)的 通知以及国务院国资委发布的中央企业全面风险管理指引中有相关的 表述.财政部关于内部控制标准的通知中对内部控制的定义是:是指由企业 萤事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机 构,以下简称萤事会)、管理层和全体员工共同实施的、旨在合理保证实 现以下根本目标的
8、一系列控制活动:企业战略;经营的效率和效果;财务 报告及管理信息的真实、可靠和完整;资产的平安完整;度循国家法律法 规和有关监管要求。国资委指引中关于全面风险管理的定义是:指企业围绕总体经营目 标,通过在企业管理的各个环节和经营过程中执行风险管理的根本流程, 培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策 略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部 控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。(二)国内关于内部控制和全面风险管理与COSO框架的差异总体上来说,国内关于内部控制和全面风险管理的内容根本参照或遵从了 COSO委员会内部控制
9、管理框架和全面风险管理框架,但结合国 内的实际情况和一些前沿的研究成果,国内对于内部控制和全面风险管理 在各自领域都有不同程度的调整、拓展和延伸.(1)目标纬度:财政部关于内部控制的定义相对COSO委员会对内部控 制定义在实现目标上有所拓展,增加了企业战略目标和资产的平安完整目 标。而在国资委全面风险管理的实现目标增加了确保企业建立针对各项重 大风险发生后的危机处理方案,保护企业不因灾害性风险或人为失误而遭 受重大损失”另外,其他四个目标也与COSO全面风险管理四个目标在 表述上有所差异,使之更适应我国企业经营管理表述习惯或者更具体而易 于理解。从这个角度来说,特别是内部控制实现目标的拓展使得
10、其与全面 风险管理实现目标差异不大。(2 )要素纬度:财政部内部控制通知形式上借鉴了 COSO报告5要 素框架,同时在内容上表达了风险管理8要素框架的实质;国资委全面风 险管理指引中那么没有明确指出是5要素还是8要素,但通过风险管理 根本流程将全面风险管理的一些要素融合到流程中,从实质来说,也表达 的是8要素的COSO全面风险管理框架(3) 层级纬度:财政发布的内部控制通知目前主要以财务报告内部 控制目标为主线所涉及的业务层级有较详细的标准;国资委全面风险管理指引关注范围更广泛,包括战略、财务、市场、运营、法律等方面。 因此,从企业的战略风险依次到经营风险、财务风险,最后到财务报告, 风险管理
11、与内部控制的相对重要性应该各有不同在战略风险方面,风险 管理应该发挥主导作用,内部控制起到配合作用。这一角色逐步逆转,到 财务报告层次,应该是内部控制发挥主导作用,风险管理起到配合作用.(4) 两者关系:国资委全面风险管理指引明确指出内部控制是全面 风险管理体系的组成局部,同时也指出除内部控制外的其他全面风险管理 组成局部。但由于财政部内部控制通知出台较晚,且借鉴了 COSO全 面风险管理框架的内容,使得其内部控制的边界扩大了不少,包括实现目 标和要素都与全面风险管理差异不大0因此,我们理解全面风险管理指 引中提到的内部控制与财政部内部控制已经不可同日而语.从国际国内 开展趋势来看,随着内部控制或风险管理的不断完善和变得更加全面,它 们之间必然相互交叉、融合,直至统一。
