采購內部控制的主要風險點精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的采購內部控制的主要風險點主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：采購內部控制的主要風險點范文

【關鍵詞】 內部控制； 預算管理； 關鍵控制點

一、內部控制與預算管理

2010年4月15日，財政部、證監會、審計署、銀監會、保監會五部委，聯合了《關于印發企業內部控制配套指引的通知》（財會【2010】11號）。《通知》要求，從2012年1月1日起，《企業內部控制配套指引》在上海證券交易所、深圳證券交易所主板上市的公司施行，并擇機在中小板和創業板上市公司施行。頒布《企業內部控制基本規范》和《企業內部控制配套指引》，對全面提升企業經營管理水平和風險防范能力起到重要作用。

內部控制的五大要素與預算管理均有聯系。一是內部環境包括公司治理結構、權責分配、人力資源、企業文化等，這與預算管理的環境一致。良好的內部控制環境有利于預算的編制、執行、監督和績效考核，預算執行情況反映了內部環境的狀況。二是風險評估關注的內部因素和外部因素，不僅影響內部控制，大都直接影響預算管理，有效的預算管理可降低內部控制風險。三是控制活動包含預算控制，其他內部控制措施如不相容職務分離控制、授權批準控制和績效考核控制等也是預算管理的關鍵控制點。四是信息與溝通不僅可以促進內部控制有效運行，同時也可監督預算的執行。預算執行情況是內部控制獲得信息的主要途徑，信息與溝通可以幫助預算管理獲得糾偏信息。五是內部監督適用于內部控制和預算管理。有效的內部監督可以發現內部控制的缺陷和預算管理的薄弱環節，有助于企業加強內部控制和改進預算管理。

在理論界，分別對企業內部控制和預算管理的研究較多；實業界對內部控制和預算管理論實踐成果頗豐。無論從理論界，還是實業界，大都把二者割裂開來，較少關注二者的有機結合。

本文在充分汲取和借鑒有關內部控制學、經濟學、管理學及會計學的理論和方法的基礎上，從內部控制與預算管理的密切關系著手，對企業基于內部控制的預算管理關鍵控制點進行了初步研究，以確保企業有效實施預算管理，實現企業價值最大化。

二、基于內部控制的預算管理關鍵控制點

《企業內部控制應用指南第15號——全面預算》已明確預算管理屬于內部控制范疇。預算管理與內部控制都屬于企業管理方法，都是企業控制風險的重要手段。預算管理是一種能把企業的關鍵問題融合于一體的管理控制方法。企業有效的內部控制機制可促進預算管理實現目標，良好的預算管理是實施內部控制的重要手段。除了內部控制的五大要素與預算管理均有聯系外，內部控制與預算管理在主體、主要內容、目標、主要風險點等方面具有高度相似性。內部控制的重點就是企業的風險點，而預算管理的關鍵控制點來源于內部控制的重點，詳見表1。

從內部控制和預算管理與風險管理的關系可看出，二者在公司治理結構及預算職責、公司戰略規劃、預算文化建設、業務預算、財務預算、專項預算、不相容職務相分離、權責利匹配等方面的要求基本上是相同的，內部控制風險關注的重點也是預算管理的關健控制點。因此，在內部控制實踐中，預算管理的關鍵控制點主要包括：預算管理職責控制、預算編制內容控制、預算編制方法控制、預算編制流程與權限控制、預算調整控制、預算分析與考核控制、監督檢查控制及預算管理文化控制等。關鍵控制點邏輯關系見圖1。

（一）預算職責控制

預算控制基本崗位有：預算編制、預算審批、預算執行和預算考核。預算管理四個崗位應相互分離，不得替代和減少。預算編制：企業財務部門負責公司的預算編制及管理，各子公司財務部負責本單位的預算編制。預算審批：企業董事會負責審定、調整公司及控股子公司預算，報送股東會審批。預算執行：企業總部各部門及子公司均為預算執行主體。考核：企業監察審計部門負責預算執行情況考核。預算職責見表2。

預算管理的職責風險在于人力資源結構不合理、管理不完善和崗位沒有相互牽制。因此，預算職責控制的關鍵點，一是不相容職務相互分離；二是具有相應預算權利的人員承擔相應的預算責任，以確保預算管理控制落實到具體責任人。

（二）預算編制內容控制

年度預算應當編制預算大綱或預算手冊，為編制預算提供指引。單位年度預算方案應當符合本單位發展戰略、經營目標、投資計劃、籌資計劃和其它重大決策。

預算內容主要包括：業務預算、財務預算和專項預算。業務預算主要包括：采購、生產和銷售；財務預算主要包括：編制利潤表、資產負債表和現金流量表，其內容包含資金的籌資、運營、投資和分配，財務費用、管理費用和銷售費用等期間費用，各項成本核算等；專項預算主要包括：研究與開發、資產購置、工程項目、業務外包等。

業務預算中風險主要在于：采購不當導致庫存積壓或短缺或物次價高或資金損失；存貨管理不善導致存貨減值、固定資產和無形資產效能低下導致資產減值；銷售政策不當導致庫存積壓、客戶管理不妥導致壞賬。

財務預算中風險主要在于：籌資不當導致債務危機；投資失誤導致資金損失或成本過高；合同訂立或履行不當導致經濟利益受損；會計報表編制不當導致決策失誤或經營失控。

專門預算中風險主要在于：工程項目決策失誤導致項目失敗、管理不當導致項目建設成本過高；研究開發論證不當導致資源浪費或項目失敗；業務外包管理不當導致成本過高或質量低劣；擔保不當導致債務代償。

預算內容控制關鍵點是納入預算內容規范和齊全，預算事項的依據應充分適當，控制預算的措施應嚴密，以確保預算的完整性和科學性。

第2篇：采購內部控制的主要風險點范文

關鍵詞：技工院校 內部控制 過程 方法

中圖分類號：F234 文獻標識碼：A

文章編號：1004-4914（2015）10-109-02

2012年，財政部《關于印發<行政事業單位內部控制規范（試行）>的通知》，旨在推動、指導行政事業單位進一步完善內部控制，提高內部管理水平，并要求自2014年1月1日起實施。為貫徹落實財政部內部控制建設的要求，進一步提高內部管理水平，規范內部控制，加強廉政風險防控機制建設，廣州市工貿技師學院由財務處牽頭，組織構建“以預算管理為主線，財務管理為核心，資金管理為重點”的學院內部控制體系。筆者結合學院內部控制體系建設的實踐，闡述技工院校內部控制體系建設的過程與方法。

一、調查摸底，確定范圍

學院經濟活動涉及面廣，內容復雜，且面臨著各種風險，確定內部控制建設的范圍是至關重要的，一方面確保學院經濟活動能全面受控，保證內部控制無盲區，無空白點;另一方面正確界定經濟業務內部控制邊界，使各項經濟活動得到有效控制。所以學院經過認真梳理各類重要的經濟活動業務，分析其是否存在重大風險，根據重要性原則確定學院內部控制建設的內容。學院內部控制體系包括單位層面內部控制和業務層面內部控制。單位層面內部控制的主要內容是科學合理地設置組織架構，明確各部門的職責，保證決策權、執行權和監督權的三權分離，制定與學校規模、管理相適應的審批權限，符合規范的會計控制，完善的內部控制信息系統;業務層面內部控制的主要內容包括預算業務控制、收支業務控制、資產管理業務控制（包括固定資產管理控制、貨幣資金控制、教學實習耗材控制等）、采購業務控制、建設項目控制、合同管理業務控制和信息系統管理業務控制，增加具有學校特色的校企合作業務控制和對外培訓業務控制，形成業務控制。

二、評估風險，抓住關鍵

學院在調研基礎上，確定了學院內部控制單位層面和業務層面的內部控制建設框架，并對其進行風險評估。風險評估主要是采用風險清單法識別學校經濟業務的主要風險，對風險發生的可能性和影響程度進行了分析，編寫風險評估報告。

一是風險識別。首先設計了風險清單表，列舉了各學校面臨的主要風險，并組織風險評估專家和一線工作人員對風險清單進行討論，確定了單位層面15個風險，業務層面48個風險，學校風險63個。

二是風險分析。根據風險清單所列舉的風險，對各種風險發生的可能性和影響程度進行測試，得出各風險的大小。測試分成三個層次，即校領導、部門負責人和操作者，對不同層次的參與者的測試結果進行平均，得出不同層次參與者的測試結果;最后對三個層次的測試結果進行加權平均，得出各種風險的大小，并繪制成風險圖。

三是風險應對。針對不同風險采取不同的應對策略，可以通過規避、降低、分散和承受等策略對風險進行管理，以降低風險對學校產生的影響，使各種風險得到控制。一般而言，對低風險可以采取承受的策略，對高風險可以采取規避、降低和分散的策略。

三、確定流程，明確措施

業務流程本身就是控制，通過業務流程的設計一是規范業務操作程序;二是保證業務活動受控;三是執行業務流程，保證內部控制有效實施。因此業務流程設計中。

業務流程是業務執行過程中各種活動的有機結合，業務流程可以由主流程、子流程組成，而子流程由業務環節組成，業務環節由各項活動組成。在設計業務流程圖時，首先定義流程圖符號;其次規定統一的畫法。因此，要注意經濟活動之間的銜接、部門之間的銜接，避免設計不合理，而起不到控制作用;要對現狀進行充分的分析，結合學校經濟業務特點和組織架構的設計，設計出具有單位特色的內部控制流程;要注意簡化操作程序，以提高工作效率，降低控制成本。

控制措施是對業務風險所采取的應對措施，控制措施可概括為“5W+H”。即什么樣的經濟業務（what），在什么時點（when），在什么環節（where），由誰執行、誰審批、誰監督（who），以減少風險的發生（why）。

四、編冊，完善制度

經過流程設計，并對不同風險制訂不同的控制措施后，就可以撰冊，并對學校現行的管理制度進行修訂。

一是編寫內部控制手冊。內部控制手冊結構一般包括主要風險、控制目標、流程圖及流程描述、控制矩陣、控制文檔等。主要風險是指具體業務所面臨的風險，可能造成學校利益的受損;主要風險可由一個或若干個風險組成。控制目標指學校每項具體業務的內部控制制度所要求達到的具體目標，確保學校日常教學和管理活動正常運行。流程圖是用圖示表示業務操作程序，也是業務操作控制的一種手段。在業務操作過程中必須嚴格遵循的操作程序，防止舞弊和失控。流程描述是對流程圖的文字描述，以文字描述形式反映業務操作過程。控制矩陣是指將業務過程中所涉及的風險點和對應風險所采取的控制措施，控制文檔和適用的管理制度，以識別控制缺陷的一種矩陣表格。控制文檔是記錄指內部控制過程中形成的各類單據、賬表、合同、協議等記錄，它作為控制證據，能從一定程度上反映內部控制的整個過程。

二是修訂和完善管理制度。對現有制度中與內部控制要求不符的內容、或與內部控制手冊內容不符的內容進行修訂，使內部控制手冊與管理制度一致，保證控制手冊在學校能得到有效的執行;對原有的管理制度中沒有的管理制度進行制訂和完善，確保內部控制落地。因此在內部控制建設過程中修改了19個程序文件，新增了12個制度，修訂了20個制度。

五、內部控制建設中應注意的問題

一是與現有的管理相融合。學校管理涉及到教學管理、學生管理、科研管理、后勤管理;涉及到物資管理、資金管理、信息管理;在多年的管理實踐中積累了豐富的經驗，形成了一套完善的管理制度和辦法。而內部控制重點是經濟活動的管理，是對經濟活動中的風險加以控制，以達到降低風險的目的，保證學校的經濟活動符合國家、部門和學校的管理要求，保證學校各項工作順利開展。內部控制不是在學校管理的基礎上另搞一套管理制度，而是在原有的管理基礎上，梳理業務管理流程，明確責任和權限，采取控制措施，提升管理水平。二是與現有的質量管理體系相融合。目前技師類院校內部控制與ISO質量管理在管理理念、管理方法上有很多相同點，但在管理范圍、側重點卻存在不同，ISO質量管理體系重點關注管理質量的完成，而內部控制體系關注的是風險點的控制。把內部控制體系和ISO質量管理體系有效地融合在一起，既可以降低管理成本，又可以提高工作效率。目前學院已實施了ISO質量管理體系，ISO包括四級文件，其中程序文件、作業指導書和質量記錄與內部控制手冊中的流程控制、控制措施和控制文檔是一致的，因此，內部控制建設與ISO的融合應堅持“優化流程、規范管理、高度融合、持續改進”的原則，實現“四個統一”，即制度統一、流程統一、文檔統一和審核統一。從內控的角度修訂、補充和完善學校相應的管理流程和管理制度、辦法，真正實現與ISO質量管理體系整合，有效避免學校管理“兩張皮”，實現“四個同步”，即同步設計、同步實施、同步改進、同步審核，減少重復工作，降低管理成本，提高工作效率，實現學校的管理目標。

參考文獻：

[1] 財政部.行政事業單位內部控制規范（試行）[Z].2012

[2] 方周文，張慶龍，聶興凱.行政事業單位內部控制規范實施指南[M].上海：立信會計出版社，2013

[3] 陳留平.企業內部控制理論與實務[M].鎮江：江蘇大學出版社，2009

[4] 劉為.健全和完善高校內控制度的思路[J].財務與會計，2014（6）

（作者單位：廣州市工貿技師學院 廣東廣州 510425）

第3篇：采購內部控制的主要風險點范文

【關鍵詞】電商企業；內部控制；阿里巴巴；B2B

一、引言

2011年12月27日，我國各大網站超過一億用戶密碼泄露，用戶注冊信息可以免費下載。誠信問題和認證機制的不完善使虛假銷售或訂貨信息泄露事件頻發，注冊賬戶、私有密碼、信用卡信息等客戶信息被監控和被復制，造成電子結算的安全隱患，計算機病毒和人為的硬件設施破壞導致信息的損壞和丟失，甚至造成網絡系統癱瘓的事件常有發生。隨著電子商務的蓬勃發展，我們有必要加強電子信息化環境下企業內部控制框架的研究，完善內部控制法律法規，促進我國企業內控體系的建設，防范電子貿易的新風險，解決企業的逆向選擇和道德風險等問題。目前，對于電子商務企業的研究主要集中在前端業務銷售面、企業內部或企業間流程面及構架面，電子商務企業的內部控制有效性缺失始終沒有得到解決，沒有形成一個導入網絡對企業內部控制影響的標準，尚未建立一個完整的網絡企業內部控制框架。

二、阿里巴巴B2B公司銷售與收款業務層面的內部控制目標

針對上述風險，銷售與收款業務的內部控制應實現如下目標：1.保障交易款項和信息的安全與完整。貨款是企業實現經濟利益流入的體現，信息是阿里巴巴提供的服務形式，關系著公司的服務質量和品質保障。2.保證銷售業務的合理性和有效性。阿里巴巴應綜合運用內部控制的多種方法，強對市場推廣、訂單處理、信用評估、簽訂合同、客戶服務、開票發貨、貨款結算、賬款回收等控制與管理，確保銷售各環節有序高效。3.提高銷售業務的效益性。阿里巴巴投入大量人力Y源在銷售業務上，因此控制營銷成本，提高銷售審核效率，擴大市場占有率，激活企業現金流量，是內部控制的基本目標。4.客戶關系的維持目標。阿里巴巴企業應加強客服管理，持續及時地為客服排疑解難，對客戶自身業務流程及特點提供有建設性的改進意見。

三、阿里巴巴B2B公司銷售與收款業務的流程設計

阿里巴巴集團的主要業務是為企業和商戶搭建一個電子商務平臺，解決企業之間、企業和消費者之間的信息不對稱，買方和賣方通過注冊成為會員，通過阿里巴巴第三方認證機制即可在阿里巴巴的網站上自由交易。由于阿里巴巴集團是一家典型的服務類企業，并且網上進行支付結算存在著較大的安全隱患，本文以阿里巴巴旗艦店B2B公司的銷售與收款循環為例提出內部控制的實施方案。阿里巴巴B2B的主要業務收入來自國際交易市場和中國交易市場。國際交易市場的營業收入由金牌供應商會籍的銷售、增值服務銷售（如關鍵詞搜索、櫥窗推薦等）、向賣家及買家收取的交易費以及其他全面出口相關業務構成。中國交易市場的銷售收入包括中國誠信通會員收入、增值服務收入、廣告收入、以及供應鏈服務收入（如物流、產品質量認證和監控等）。阿里巴巴B2B主要業務的銷售流程如圖3-1所示：

（一）決策與審批階段

中小企業通過注冊可以成為阿里巴巴B2B在線用戶，買家只要通過注冊即能進行交易，賣家需要先補充姓名、手機號碼、公司名稱、工商注冊號、經營模式、企業類型、主營產品、經營地址等聯系信息，同時添加注冊資本、公司注冊地、成立年份、法定代表人、開戶銀行、賬號等詳細信息，才能具備供應產品信息的條件。VIP批發的賣家則必須是誠信通會員，還有不少企業為了增加自身誠信度，提高業務詢盤率和訂單數，申請成為誠信通會員。第三方認證是與中德公司和中誠信等專業認證公司進行合作，以此確保公司注冊名稱、地址、申請人姓名、所在部門和職位的信息準確無誤。證書及榮譽是指商家應上傳稅務登記證、經營許可類證書、營業執照等基本營業證書，以及組織結構代碼證、專業證書、質量信得過產品等榮譽證書。阿里巴巴活動記錄是會員在阿里巴巴平臺信息、提交訂單、進行交易等一系列活動的記錄，注冊時間和誠信通會員時間越長，商戶的誠信度會成比例增加。資信參考人是指網商列舉的能證明該企業信用狀況的參考人或合作伙伴，通常可以是政府部門、供應商、銷售商、行業協會等。會員評價是網商的交易對象為自身提交的評價打分，也是誠信通會員具備的特權，通常評論信息必須公開，不得匿名提交，得到客戶的好評可以加2分。

（二）簽訂合同與收款階段

阿里巴巴B2B的銷售部門由兩名或兩名以上分支機構的銷售人員就銷售價格、會員服務功能、收款方式等具體問題分別與客戶進行溝通，并就溝通事項要做好詳細記錄，客戶在網上選擇需要的服務套餐。如“中國誠信通”目前提供兩種服務，一種基礎服務套餐可以提供企業信用特權、市場優先特權和會員成長特權等，價格為1688元/年；另一種套餐附加提供搜索引擎優化服務2.0以及生意參謀2.0等業務，標價為3688元/年。客戶閱讀阿里巴巴服務協議，并在是否已閱讀一欄打鉤，確認訂單并進行交易結算。企業就其主營業務收入基本不存在賒賬銷售，因而其應收賬款主要為與關聯公司或聯營企業的交易產生，阿里巴巴會在3-7個工作日內完成認證工作，如果通過，則交易達成，如未能通過認證，客戶需修改和補充個人或企業誠信資料，客戶在修改誠信信息之后仍未能通過審核，客戶可以申請退款，但是認證和再次認證的費用須從中扣除。

（三）提供服務與核對記錄階段

阿里巴巴自客戶賬戶生效之日起，為客戶添加一枚官方誠信認證徽章，并為其提供會員用戶專項特權。這些商鋪將得到360度專業數據分析、賣家搜索產品時優先展示和報價、各類增值服務使用權、以及企業信用特權等。阿里巴巴在為會員提供服務的同時，應當實時更新會員的誠信檔案，重視并及時處理客戶的投訴報告，權限以上的問題應向管理層申請授權或者提交上級職能部門處理。銷售部門應做好銷售與收款各環節的相關記錄，設置銷售臺賬，并附上客戶誠信檔案、銷售合同、客戶簽收回執等單據，及時反映各項業務銷售的開單、認證、收款情況，并指定專人對銷售合同執行情況進行定期跟蹤審閱。一般而言，阿里巴巴的會員收入不存在銷售退回的情形，除非會員企業通過決議或由法院判令解散，或會員被第三方多次投訴，阿里巴巴單方提出解除本合同，合同即刻解除，會員可憑借銷售發票原件及退款申請書申請退還未履行部分的合同價款至會員名下的指定賬號。

四、阿里巴巴B2B公司銷售與付款業務的各環節風險及管控

（一）決策與審批階段的主要風險及其控制措施

決策與審批是銷售與收款業務的起點，主要工作如上述流程所述，重點對申請人的誠信資料和風險水平進行調查和評估。這一階段的主要風險、關鍵控制點、控制目標及控制措施如表4-1所示。

（二）簽訂合同與收款階段的主要風險及其控制措施

銷售合同是辦理銷售業務的依據，確定購銷雙方的權利、義務和責任的載體，收款則直接影響著企業的財務狀況，這一階段的根本控制目標是確保合同簽訂程序合規、合同內容合法，保證足額安全地收取款項。這一階段的主要風險及控制措施如表4-2所示。

（三）服務與核對記錄階段的主要風險及其控制措施

服務是阿里巴巴的利潤源泉，記錄核對是為了提高服務質量和品質的保障措施，企業為提供更優更全的服務，應重視和強化該階段的內部控制，主要風險及控制措施如表4-3所示。

總之，銷售與收款環節是阿里巴巴企業重要的流程之一，其提供的網絡虛擬服務和電子結算支付手段是區別于傳統銷售業務的主要特征。在新業務模式的驅動下，業務流程進行重新改造，以上文三個階段的業務環節為軸線，全面梳理主要風險點和關鍵控制點。阿里巴巴企業風險主要以誠信風險為主，包括人員勝任能力等經營風險、制度設計缺陷等制度風險、會計作賬不規范等財務風險以及技術風險等。在控制目標主導下，我們對這些具體的風險和控制點，提出有效可行的控制措施來規避風險，從而實現企業的可持續發展。

五、結論

電子商務企業應當根據自身所處行業的交互性、電子化和靈活性等特點重新梳理銷售與收入、采購與支付、投資與籌資等業務流程，設計科學高效的管理流程。提高風險管理意識，建立風險管理制度，加大人力資源培育，在企業內部貫徹誠信正直的核心價值觀，從治理層、管理層到部門職工實現真正的知行合一。借助信息技術平臺提高風險管控能力，把通信技術融入到風險識別、分析、評估和應對的各個方面，有效地對經營的全過程進行風險控制。

參考文獻：

[1]韓洪靈，郭燕敏，陳漢文.《內部控制監督要素之應用性發展-基于風險導向的理論模型及其借鑒》，《會計研究》，2009年第8期.

[2]胡崗嵐，盧向華.《電子商務生態系統及其協調機制研究──以阿里巴巴集團為例》，《軟科學》，2009第5期.

[3]梁麗瑾，房卉.《基于COBIT的企業信息化內部控制績效評價》，《經濟問題》，2012年第2期.

第4篇：采購內部控制的主要風險點范文

［關鍵詞］ERP 內部控制風險

一、引言

初期的內部控制主要是以查錯防弊為目的，重點通過內部牽制對舞弊行為進行監督并且減少錯誤的發生。現代內部控制有了新的含義：內部控制是由一個企業董事會、管理人員和其他職員實施的一個過程，旨在為提高經營活動的效率和效果、確保財務報告的可靠性、促使與可適用的法律相符合提供一種合理的保證。現代內部控制有五個目標：合理保證企業經營管理合法合規、維護資產安全、財務報告及相關信息的真實完整、提高經營效率和效果、促進單位實現發展戰略。現代企業內部控制是通過控制風險、規避風險、提高運行效率為提高企業經濟效益作保障。

ERP即企業資源計劃（Enterprise Resource Planning）。是由美國加特納公司（Gartner Group Inc.）最早提出的一種管理理念。起源于20世紀80年代中期，90年代中期開始在國內被廣泛接受。企業資源計劃系統，是指建立在信息技術基礎上，以系統化的管理思想，為企業決策層及員工提供決策運行手段的管理平臺。其實質是對在企業供應鏈、價值鏈及信息鏈上的所有資源進行統籌規劃和使用。通過實施ERP，企業可以把過去相對獨立的資源，如每個業務部門、業務運營流程、內部信息進行整合，統一協作，提高效率。ERP也是一個對企業內外資源進行有效共享與利用的系統，通過現代信息系統，使企業的全部資源在購、存、產、銷等各個環節得到合理的配置與利用，實現企業競爭力的全面提高。

內部控制的目標基本涵蓋了企業經營活動的全部內容，而ERP是為企業經營目標服務的管理工具，通過ERP系統進行內部控制可以有效降低風險，提高企業經營管理的效率。內部控制中，通過ERP的自動控制取代人工控制，降低人為因素對企業管理操縱，可以進行最大化的信息集成和管理，把特定的內部控制管理要求程序化、自動化和效率化，提高企業內部控制效率。

二、應用ERP系統進行內部控制的優勢和劣勢

1.應用ERP系統進行企業內部控制的優勢

ERP是一種可以提供跨地區、跨部門、甚至跨公司整合實時信息的企業管理信息系統。它在企業資源最優化配置的前提下，整合企業內部主要或所有的經營活動，包括財務會計、管理會計、生產計劃及管理、物料管理、銷售與分銷等，以達到效率化經營的目標。

ERP作為企業信息化建設的核心組成部分，它的優勢不僅僅在于幫助企業建立一套信息化管理系統，更重要的它是當今世界最先進的現代管理思想和方法，通過業務重組、組織重組和管理重組，盡快改變我國企業傳統管理粗放、落后的局面，進而建立一套符合市場經濟體制要求的現代企業管理模式。在國內，越來越多的企業，尤其是規模大和管理層次較高的企業，如聯想、海爾、中石化、長虹、康佳、華為、美的等在近幾年內也大規模實施RRP。

ERP系統使內部控制由人工控制為主變為以自動控制為主。信息傳遞和處理科學、實用、迅速、準確，改變了人工控制主觀、緩慢、易受干擾等缺點，大大減少了風險，提高了企業內部控制的效果。

ERP系統可以實現對企業財務業務的同步管理，有效地進行財務工作的事中管理。ERP系統中一般整合了財務管理模塊，保證了企業業務流和資金流能夠同時記錄，改變了傳統管理時財務信息落后于業務的情況。ERP系統的財務管理模塊可以對企業的財務資產情況進行有效的監控，追溯每筆資金與業務的具體情況，便于管理層實施事前控制和事中控制。以清華大學出版社為例，在銷圖書3000余種，年出版新書1000余種，各級經銷商2000余家。由于企業經營仍以人工為主，出版社的重印及新書主發等工作都是在無序中進行的，缺乏相應的市場信息分析。發行部關于圖書庫存的數據也經常與庫房中的實際庫存數據不一致。據調研，在出版行業目前還沒有開發出成功ERP系統。所以，加快ERP的實施提高企業的信息化管理，改變企業傳統的管理模式，是提高企業競爭力，加快企業發展的必備條件。

2.應用ERP系統進行企業內部控制的局限性

ERP也是內部控制的客體之一，是由主觀的人設計和進行操作的，不可避免地受到人為因素的影響。ERP系統輸出信息的質量由輸入的信息決定，而輸入的信息會受輸入人的影響。

ERP系統是企業管理工具的一種，不能代替所有的管理工具，應用ERP系統進行自動控制時，需要適當的人工控制；ERP前期設計量大，運行復雜，運作和維護成本比較高，要求企業有一批具有相關計算機知識方面的人員進行日常維護。不適合規模較小的企業采用；ERP系統是根據企業實際情況設計的，沒有完全相同的模型，需要根據實際情況進行設計，并根據企業的發展變化而進行相應的改進。

三、企業實施ERP系統的主要風險與防范

1.ERP系統工作環境風險的分析與防范

（1）硬件方面，計算機設備、網絡設備、電源設備的故障都會導致數據丟失等風險，通過購買可靠的設備并加強檢測、檢修與維護。企業應當加強服務器等關鍵信息設備的維護管理，指定專人定期和不定期的對系統硬件環境和本身狀況進行檢查維護，出現問題及時處理。企業還應當完善系統硬件設備異常情況處理制度。發現異常情況，應立即通知有關部門，并按規定的處理程序進行修理維護。規定未經授權，任何人不得接觸關鍵的信息系統設備。

（2）軟件風險方面，主要有ERP系統選擇風險、供應商選擇風險、網絡安全風險。

ERP系統選擇有一定的風險。首先ERP系統的選擇范圍有限ERP系統在中國的應用還不到20年的時間，成熟的ERP軟件比較少，國內可選擇的只有金蝶、用友、浪潮等幾個企業的產品，有限的選擇范圍會使合適軟件選擇困難。

其次，選擇ERP系統要全面評價，參與選擇的人員應包括技術、業務和管理等各方面人員，任一方面選擇人員的缺失都會妨礙對備選軟件進行全面評估。ERP軟件的選擇要有適用性，并且每個企業的經營運行的模式各有不同，比如象出版企業,它有其特殊性，業務流程包括發行管理，編務管理，出版管理，財務管理，人事管理，庫存管理，采購管理等項目， 到目前為止沒有一套完整的ERP軟件流程與之相適應, 這樣就會使ERP軟件運用于企業時可能存在適用性差的情況。因此企業要有明確的選擇目標，根據業務的實際需求選擇ERP軟件，否則ERP的選擇會偏離經營的目標。

ERP系統供應商選擇有一定的風險。ERP系統在設計與實施過程中，企業因技術,人員和經驗的缺乏而無法獨立設計實施一套ERP系統，這就需要選擇一家軟件供應商在技術上和管理上進行協助。初始選擇的ERP系統,因為各個企業的經營模式不同,一般不會與企業的管理實際完全契合，這就要求供應商根據企業的要求對ERP系統進行改進以符合企業的實際，所以供應商的技術實力、售后服務承諾、信譽非常重要。實施過程中，由于ERP系統供應商缺乏技術能力以及實施能力，會給企業ERP項目的實施造成困難, 最終可能導致企業ERP項目的失敗。

ERP系統運行會面臨網絡風險。電腦病毒感染可能使服務器無法正常工作、木馬病毒可能使重要信息流失、黑客入侵可能會竊取機密資料，這些都會影響到企業使用ERP系統的信心。新電腦病毒和木馬層出不窮，在2009年到2010年中，國內的病毒木馬增加了約2000萬種，傳統殺毒軟件及安全技術已經無法應對所有的病毒和木馬。這就要求企業在運行ERP系統時加強網絡安全，綜合利用防火墻，路由器等網絡設備，漏洞掃描，入侵檢測等網管軟件進行網絡監控、采用內容過濾技術阻止各種惡意內容的入侵對于通過網絡傳輸的或關鍵數據，應采取加密措施，保證信息傳遞的安全性，準確性。

防范ERP系統技術風險，企業首先要明確自己的實際需求和經營目的，根據實際需求和經營目的選擇相應的軟件系統以及ERP系統供應商，企業引入ERP系統的目的一般有：理順混亂的管理狀態、完善信息管理、提高發展能力；然后選擇合適的軟件與供應商，需要考慮的因素是軟件功能與企業需求的匹配性、價格、軟件升級的空間、供應商的信譽、供應商的技術水平、售后服務與支持等等；針對網絡風險，企業應建立完善的網絡安全預警報告制度，注意各大殺毒軟件公司的計算機病毒疫情，使用網管軟件進行網絡監控、采用內容過濾技術阻止各種惡意內容的入侵。

2.ERP系統管理中的主要風險與防范

現代企業內部控制系統作為系統化的信息集成系統，其建立和實施應按照信息系統的專業化方法來進行，同時，應確保系統的安全和穩定，以保證企業內部控制系統的有效運行，實現企業內部控制的目標。

ERP系統管理中的主要風險有流程重組方面，由于ERP實行的是流程化的管理，會打破以前的條塊分割，減少或合并流程中重復的、不增值的環節，導致企業組織結構的改變。業務流程重組前，難以先驗性地進行科學性和可行性的全面評估，所以會面臨一定的風險。從業務流程重組的科學性方面的風險來說，業務流程重組是否能夠給企業帶來成本、質量、服務和效率的大幅改進。從業務流程重組的可行性方面的風險來說，流程重組涉及到員工的崗位和職權的變化，員工是否能夠接受這些變革。其次ERP系統在設計運行中關鍵控制點設置不當,沒有起到不相容職務分離, 業務重復或職能重疊的問題. 例如企業銷售與收款業務的控制中，訂單中客戶可能使用虛假信息；合同的簽定人與審核人不分；賒銷政策設置不科學；信息錄入風險，訂單、合同錄入失誤；未經授權人員進入ERP系統篡改信息；銷售折扣與折讓未經授權人員的審批；清賬不及時影響顧客的信用額度，進而影響到企業銷售活動等。因此軟件設計開發風險可能會給企業帶來較大的損失。例如現在出版企業大都是實行賒銷政策，在ERP發行系統設計中如存在賒銷政策設置不科學，企業的銷售款無法收回的漏洞，那將會給企業帶來巨大的

損失。

要降低ERP系統管理中的主要風險，首先要爭取高層領導對項目的支持，確保流程重組中出現的問題能夠得到及時解決，一般來說員工對于變革普遍會呈現抵制的心態，所以領導從上到下推行是必要的；要明確目標流程，通過ESEIA方法（清除、簡化、填補、整合、自動化）設計出科學的目標流程；企業應當重視系統流程中的控制點，在前期開發中明確各個生產經營過程中的風險點和控制點，將生產管理業務流程,關鍵控制點和處理規則嵌入系統程序,實現手工環境下難以實現的控制功能.通過學習與參與，提高員工實施ERP系統的積極性；制定科學的規范管理方法，對員工行為、ERP實施控制、目標設計，流程管理、數據管理進行規范，使ERP系統能夠安全，有效的行使，確實提高企業的管理水平，提高競

爭力。

ERP是一種利用先進信息技術進行管理和控制的工具，通過最大化的信息集成，把特定的管理要求固化和自動化，從而降低企業風險，提高企業經營能力。現代企業需要借助于ERP建立高效的內部控制體系，提高風險管理水平，減小企業經營管理過程中遇到的各類風險。

ERP信息系統在企業實施中首先，應建立ERP系統的正確應用理念，認識到ERP系統是將系統、信息流程及控制融為一體的管理控制模式，是一種以系統作為為企業管理控制的平臺，以信息的有效監控為手段的現代企業管理控制工具。其次，應用ERP系統時，要將企業的各項資源信息化，使得企業中的各項資源能夠有效的共享和合理的利用。另外，要對ERP系統端口輸入的各項信息進行整理和分析，在企業的經營生產流程中進行有效的傳遞。最后，ERP系統的開發，要根據企業具體情況，盡力將企業的每個業務流程都融入到信息系統中，大量的人為工作由ERP系統所取而代之，實現企業管理主要工作的系統化和自動化。

參考文獻：

第5篇：采購內部控制的主要風險點范文

2008年財政部、證監會、銀監會等相關部門聯合頒布了《企業內部控制基本規范》，明確規定上市公司應當實施內部控制自我評價并對外披露自我評價報告。2010年《企業內部控制配套指引》的頒布，為我國企業內部控制評價提供了一個共同的標準，完善了企業內部控制的評價體系。但基本規范只是要求企業在自愿的前提下披露內部控制自我評價報告，從而導致其未能在實踐中發揮出應有的監督促進作用。根據鄭倩及凌邦如對2011年滬市企業內部控制報告披露情況分析發現，在933家企業中，只有427家企業進行了內部控制評價報告披露，其中僅有258家聘請了事務所對其報告進行審計。與國外上升到法律層次的披露要求相比，在自愿層次下，我國企業內部控制自我評價意愿不高，即使對外披露內部控制評價報告，由于未聘請第三方審計進行鑒定，導致其內容的可信度也不高。另一個問題是企業披露的報告其內容和形式基本相似，都為概括性的描述，并未對企業內部流程進行具體的評定，呈現一種形式重于實質的特點。可見，我國多數企業對于內部控制自我評價的重視度不夠，實踐中，企業只是為了滿足外部監督部門的要求，或是為了滿足相關規定的要求而進行的形式化的評價披露，從而導致評價結果流于形式，失去了管理的意義。筆者認為，我國企業關于內部控制的評價，應從管理視角出發，提高對內部控制評價的重視，由被動評價轉為自愿評價，不只是進行概括性的描述評價，而是能夠針對內部流程進行具體的評價，才能滿足企業發展管理的需求，實現內部控制的目標。

二、內部控制自我評價研究回顧

內部控制最早起源于西方國家，相對于起步較晚的國內，國外對于內部控制的相關研究也一直處于前沿，對于如何建立合理的內部控制體系研究也早在上世紀六七十年代開始。1987年控制自我評價（control self-assessment，簡稱CSA）概念的出現，引導國外內部控制評價研究進入一個新的領域。隨著相關法律法規的頒布，內部控制自我評價在國外已形成一套比較完善成熟的方法體系，尤其是CSA已經在美國、加拿大、英國等國家得到了廣泛應用，發展了20多種方法，形成了一套完善的評價流程體系。而我國內部控制研究起步較晚，對于內部控制自我評價的研究還處于初級階段，未形成一套符合我國經濟市場情況的內部控制自我評價方法體系。

（一）我國內部控制研究現狀 目前，我國對于內部控制自我評價的研究，多數是基于傳統的內部審計方式角度進行的。朱衛東（2005）通過神經網絡量化對內部控制的有效性評價進行了量化，以控制現狀為神經網絡的輸入量，以控制綜合評價結果為輸出量，構建了內部控制五要素的評價標準體系。于增彪（2007）從內控評價的設計與審計角度對亞新科安徽子公司內控評價體系的構建和運行進行調查研究，發現內部控制評價的內容設計應該從評價主體和評價目標出發。宋虧霞（2009）從公司治理的角度出發，對影響內部控制評價的因素進行了分析，以此來提醒企業內部控制應該關注的因素。池國華（2010）從管理的視角出發，結合業績評價，建立了一套內部控制評價系統模式，并提出了過程型指標和結果型指標的思想。張兆國（2011）以內部控制目標的實現為導向，建立了依據AHP的內部控制評價標準體系，并利用上市公司所披露的內控信息對其有效性進行了檢驗。吳秋生（2011）提出通過主體內和主體間的內部控制評價整合，實現對財務報表審計目的、自我完善目的等不同目的內部控制評價整合。韓傳模（2012）從管理角度出發，提出引入BSC對內部控制進行自我評價的思想，利用AHP建立了簡易的評價體系。也有學者從行業的角度分析內部控制評價，這類研究以商業銀行居多，主要是因為我國監管部門對金融業上市公司（銀行、證券和保險）的內部控制要求比一般上市公司嚴格，類似研究有陳自力（2005）、李定安（2007）、陳發奮（2007）、王留根（2010）、虞偉健（2011）等。對于CSA的研究，近幾年才逐漸出現，尚處于起步階段。林朝華、唐予華（2003），楊淑娥、戴耀華、樊明武（2006），王棟（2008）等分別對CSA的理論演進框架、CSA包含的方法、實踐需解決的問題等做了理論分析評價。上海市內部審計師協會課題（2009）對上汽集團2008年借助IT系統實踐CSA進行了介紹，并且剖析了其實施成功的因素。

（二）我國內部控制研究的不足 （1）對于內部控制評價體系的構建，指標體系不夠詳細，降低了研究成果的實踐性。對于內部控制評價體系的構建，多數研究只是籠統的提出從控制環境、風險評估、控制活動、信息與溝通、監督五方面，結合風險管理來對內部控制進行評價，并未給出詳細具體的指標，未能給企業的實踐應用提供一個可供參考的模板，使得研究成果不能很好的應用到實踐中。雖然韓傳模提出從管理角度出發，引入BSC的體系構建，但在指標設計上還是未給出具體的指標；另外，維度的劃分也有待斟酌。（2）目前的體系只關注對制度設計和執行有效性的評價，而忽略了對執行結果的評價。內部控制執行結果，可以反映其目標的實現程度，而現有的體系基本忽略了其對評價的作用，導致評價體系不夠完善，無法及時發現薄弱環節的存在。（3）現有的內部控制自我評價體系，基本上是基于傳統的內部審計方式下的內部控制自我評價。

鑒于此，筆者在以往文獻的基礎上引入BSC的思想，同時構建結果型指標體系，對CSA的實施框架進行構建說明。

三、基于BSC的結果型指標體系設計

內部控制和公司治理是不可分割的兩部分，企業在經營過程中，應該將內部控制作為企業管理的一個有效手段，對于內部控制的評價應該視同于企業管理績效的評價，只不過評價的對象是內部控制的有效性。筆者引入BSC，從管理的角度出發，對內部控制進行評價。嘗試建立基于BSC模式下的結果型評價指標體系，完善內部控制評價體系。根據BSC的基本框架和控制自我評價需要，將整個體系劃分為財務維度、內部流程維度、學習和成長維度以及外部利益相關者維度。

（一）財務維度 該維度各個評價項目指標的選取如下：（1）資金管理需要注意的風險包括籌資決策不當可能引起的負債危機或導致企業籌資資本過高、投資決策不當導致資金利用效率低、資金管理調度不合理導致運營不暢。所以，可以選取的指標有：資產負債率、流動比率、籌資計劃完成率、籌資成本控制率、投資利潤率（靜態）、貨幣資金管理的賬實相符度。（2）資產管理需要注意的風險包括存貨積壓與存貨短缺帶來的損失、固定資產管理更新不善帶來的損失、無形資產核心技術落后或所屬權不清等問題帶來的損失。所以，選取相關的指標有：凈資產收益率、流動資產周轉率、總資產周轉率、凈資產增長率、存貨周轉率（次數）、設備故障率。（3）全面預算需要注意的風險包括預算編制不健全導致盲目經營、預算不合理導致難以實現或資源浪費、考核不嚴導致管理流于形式，可以用費用降低率來定量衡量是否造成資源浪費，如：管理費用率下降率、銷售費用率、綜合成本費用率。（4）財務報告需要注意的風險包括違反國家統一準則帶來企業聲譽受損、出具虛假報告、報告利用不合理。可以用出具標準審計意見的次數來定量評價財務報告的真實性。

（二）內部流程維度 該維度指標選取如下：（1）采購業務需要注意的風險包括采購不當造成的庫存積壓及存貨短缺所導致的損失、供應商管理不當導致采購價格過高、驗收環節不當導致的損失。可以用購入不合格率、材料采購成本降低率、庫存短貨率、庫存積壓率來定量評價。（2）工程項目需要注意的風險包括立項可行性研究不當導致的損失、工程物資造價過高帶來的損失、竣工驗收不嚴帶來的損失等。可以從竣工準時率、施工事故發生次數、工程返工次數、全員勞動生產率、項目成本控制度等方面來定量評價。（3）擔保業務需要注意的風險包括對擔保申請人的資質調查不足帶來的損失、對被擔保人經營監控不善帶來的損失、舞弊帶來的損失。所以，用擔保牽連次數，即因擔保被牽連入訴訟等的次數來定量評價。（4）內部信息傳遞與溝通需要注意的風險包括內部信息傳遞不當帶來的損失、信息系統開發維護不當帶來的損失。可用出錯率來評估內部信息傳遞與溝通，如信息內容出錯率、信息系統事故次數、信息系統維護頻率、信息系統的先進性。（5）銷售業務需要注意的風險包括銷售政策和決策不當帶來的損失、客戶信用評價不當導致貨款回收不力等帶來的損失。可以用市場占有率、銷售回款率、銷售收入增長率、銷售計劃完成率等指標來評價。（6）合同管理需要注意的風險包括合同訂立不當造成的損失、合同履行或監控不當帶來的損失、合同糾紛處理不當帶來的損失。所以用企業牽涉入合同糾紛的次數來衡量合同管理。（7）外包業務需要注意的風險包括承包商選擇不當帶來的損失、業務外包監控不嚴造成的損失、可能存在舞弊導致相關人員涉案的風險。可以選取外包環節（如研發、資信調查、可行性研究、委托加工等）出錯率來衡量，如外包環節出錯率、承包商違約率。

（三）學習與成長維度 該維度指標選取如下：（1）人力資源需要關注的風險包括人力資源結構不合理帶來的損失、激勵約束等機制不合理導致人才流失帶來的損失等。可以選取的指標有：關鍵人才流失率、關鍵人才增長率、員工自然流動率、安全生產教育培訓投入、員工獲取資質率。（2）社會責任需要關注的風險包括安全投入不夠導致安全事故帶來的損失、環境保護不夠帶來的環境污染、員工權益保護不足帶來的損失等。可以選取的相關指標有：安全投入率、環保投入率、公益投入率、員工辭退率、生產安全事故損失率、客戶投訴率。（3）發展戰略主要風險是戰略制定不夠合理導致企業經營脫離軌道，造成經營困難。可以選取費用和利潤目標完成度來衡量其合理性。（4）組織結構主要風險是結構不合理導致企業運行效率低，甚至經營失敗。可以用事務處理效率來衡量結構是否合理。（5）企業文化主要風險是缺少積極向上的文化，不能夠團結員工，導致企業經營困難。所以，用員工出席、舞弊事件發生率等衡量企業文化環境。

（四）外部利益相關者維度 外部利益相關者維度是通過對企業與其利益相關者之間的交易活動進行評價，從結果上側面反映企業在該方面的內部控制是否有效。所以，該維度評議指標可以從對各個利益相關者的評價指標中選取。具體而言，供應商指標包括供應商交貨延遲率、供應商產品次品率、供應商一次交檢合格率，零售商指標如貨款準時回收率，顧客指標如退貨率、投訴率、客戶保有率，投資者指標如投資新增率，分包商指標如竣工準時率、施工事故率。

四、基于BSC的內部控制自我評價應用

內部控制自我評價目前主要有兩種方式：傳統的內部審計方式和CSA。CSA在西方國家已經發展較為成熟完善，形成了20多種方法，而在國內，多數企業對于內部控制的評價還是傳統的內部審計方式。CSA相對于傳統的內部審計方式來說，是一種全員參與的更加全面的評價，可以提高所有員工的內部控制意識，有助于所有員工更好的理解和承擔對有效的內部控制和風險管理的責任和義務。另一方面，由于是全員參與的評價，將評價范圍擴大，有助于及時發現風險，進行改善，從而提高整個企業的內部控制自覺性，改善企業的控制環境，更好地保障企業內部控制有效運行，為企業經營發展提供可靠保障。與傳統內部審計方式相比，CSA是一種更加有效的有利于企業管理的內部控制評價方式，為CSA的實施建立一個應用框架。

（一）明確評價目標 無論是傳統的內部審計方法，還是CSA，內部控制自我評價的最終目標都是評價內部控制的有效性，包括：（1）制度設計的有效性。內部控制制度設計的有效性是內部控制執行有效性的前提，是實現內部控制有效性的必要條件。內部控制的建設是從制度的設計開始的，制度的設計是執行的前提條件，設計有效的內部控制制度能夠為執行的有效奠定良好的基礎，一個健全有效的內部控制必須建立在制度設計有效的基礎之上，否則，無論執行再有效也是徒勞。（2）執行的有效性。在制度設計有效的前提下，執行的有效性是保證企業內部控制有效性的另一個必要條件。執行的有效性評價貫穿企業整個營運期間，并不是靜止于某一點的有效性，是一個動態的有效性目標。（3）考慮成本效益原則。企業在保證內部控制有效的前提下，要盡可能降低內部控制的運行成本并做到簡單易行，內部控制的設計要與企業自身的規模、所處行業性質等相符，不能單純地為實現某一項目標而特意增加很多崗位，只要在有限崗位下能夠實現控制目標即可，不必拘泥于形式。

（二）明確評價主體 傳統的內部審計，評價主體主要是內部審計人員，CSA作為一項全員參與的評價方法，評價主體自然轉換為企業全部員工，包括管理層和其他員工。在內部審計的引導下，由管理層及員工評估風險，由各部門分析控制架構，進行自評，提出意見，最后由評價小組提出最終的評價報告。

（三）明確評價標準 隨著我國內部控制的發展，2008年頒布的《企業內部控制基本規范》和2010年頒布的《企業內部控制配套指引》，尤其是配套指引中的《企業內部控制評價指引》，是我國企業進行內部控制評價的基本準繩和最佳標準。在實際中，企業可以結合自身的控制目標、內部控制的風險點和控制措施等，明確具體的評價標準。

（四）組建評價小組 在CSA中，評價小組主要作用是引導全體員工參與并進行內部控制的評價。在對內部審計人員和各部門管理人員深入了解的基礎上，選取適當的人員組成評價小組。評價小組應確保內部審計人員和各個部門相關人員都包含在內。

（五）實施評價 雖然CSA現有方法有20多種，但總體上可分為專題討論會法、問卷調查法和管理層分析法。各種方法并不是相互獨立的，企業可以根據需要，將幾種方法結合使用。本文將選取專題討論會和問卷調查法，對如何利用所構建的指標體系進行評價做出簡略說明。以專題討論會法為例，其實施評價的過程一般如下：（1）針對企業的控制環境、風險評估、控制活動、信息與溝通、監督，結合每個部門的具體業務，設計調查問卷，由各個部門的所有員工，包括一般人員和管理人員，對其進行評價打分。（2）由評價小組根據企業評價期內的實際情況，對結果型指標體系中的各項指標值進行計算。根據計算結果，以及由評價小組協議商定的得分標準，給出每一項的得分。（3）選取適當的方法，對評分結果進行處理，找出風險存在點。目前對于各個指標評價結果的數學處理方法較常見的是AHP，管理熵的提出也為內部控制評價提供了一個新的思路。當然，企業可以根據自身實際情況，選擇適合自身的評價方法進行評價。（4）根據發現的風險薄弱項目，召開專題討論會。根據出現風險薄弱環節的項目，在評價小組的引導下，召集相關部門的員工進行專題研討，收集征詢改善方案等。需要注意的是出現薄弱環節的部門，參與的員工應盡量包含各個層次的員工，而不僅僅是管理層。（5）評價小組根據征集的意見，制定初步的修改意見表，并在薄弱環節部門公示，征詢意見，進行最后的完善，形成最終的改善意見。

（六）出具報告 根據評價和討論的結果，評價小組出具內部控制自我評價報告，報告基本內容應包括此次評價的范圍、評價過程中發現的問題、評價結果、對評價結果的說明以及對改善意見的說明等。企業可以根據自身具體情況以及管理層要求，增加相應的說明項目。

（七）改善計劃 改善計劃是內部控制自我評價的必然結果，針對提出的改善建議，管理層需要采取相應的措施去解決出現的問題，何時采用什么樣的措施去改進是改善計劃需要做出的說明。只有改善計劃付諸實現，此次的內部控制才算真正意義上的結束。

五、結論

內部控制自我評價體系一旦在企業形成，企業可以針對自身的控制自我評價形式設計成相應的信息系統，來完成整個評價過程。如，通過設置權限，可以使相關部門只對于自身部門相關的項目進行評估，最后評分結果也是由程序通過設計好的算法計算得出。所以，一旦形成固定的信息程序系統，控制自我評價過程只需通過企業內部信息網絡便可完成，從而節約時間和人力。設計成固定系統后，企業可以實現對于內部控制的實時監控，從而及時發現內部控制的薄弱環節進行改進，保證企業的健康有效運營。隨著我國內部控制的發展，從管理視角出發的控制自我評價將逐漸被多數企業所接受，如何設計適合我國經濟市場環境的CSA框架，提高內部控制評價結果的客觀性將是未來研究的方向之一。

[本文系中央高校基本科研業務費專項資金資助項目（編號：N120406004）階段性研究成果]

參考文獻：

[1]吳秋生、楊瑞平：《內部控制評價整合研究》，《會計研究》2011年第9期。

[2]池國華：《基于管理視角的企業內部控制評價系統模式》，《會計研究》2010年第10期。

[3]于增彪、王競達、瞿衛菁：《企業內部控制評價體系的構建》，《審計研究》2007年第3期。

[4]上海市內部審計師協會課題組：《企業內部控制自我評估研究——基于上汽集團借助IT系統平臺的CSA實踐》，《審計研究》2009年第6期。

[5]張兆國、張旺峰、楊清香：《目標導向下的內部控制評價體系構建及實證檢驗》，《南開管理評論》2011年第1期。

[6]鄭倩：《滬市2011年內部控制自我評價報告信息披露分析》，《中國證券期貨》2013年第1期。

[7]虞偉健：《基于定量數學模型的商業銀行內部控制評價研究》，《財會通訊》（綜合·中）2011年第1期。

[8]宋虧霞：《公司治理視角下內部控制評價標準體系的構建》，《財會通訊》（學術）2009年第10期。

[9]王留根：《商業銀行內部控制評價標準體系構建》，《財會通訊》（理財）2009年第7期。

[10]凌邦如、楊倩萍：《上市公司2011 年內部控制評價報告分析》，《時代金融》2013年第1期。

[11]朱衛東、李永志、何秀余：《基于BP神經網絡的企業內部控制體系評價研究》，《運籌與管理》2005年第4期。

[12]陳自力、李尊衛：《離差最大法在商業銀行內部控制評價中的應用》，《重慶大學學報》2005年第10期。

[13]李定安、周娜：《商業銀行內部控制狀況的模糊綜合評價方法》，《金融論壇》2007年第1期。

[14]陳發奮：《淺議商業銀行的內部控制評價》，《上海金融》2007年第6期。

[15]林朝華、唐予華：《CSA：內部控制系統評價的新觀念與新方法》，《上海會計》2003年第1期。

第6篇：采購內部控制的主要風險點范文

一、引言

在日益激烈的市場競爭中，企業的生產經營過程面臨著各種各樣的風險，因對風險認識不足、控制不當不斷導致一些企業陷入困境甚至倒閉。如何識別、度量和應對風險就成為企業最難解決的問題。企業要識別出其所面臨的風險，就必須進行風險評估。

以股票市場為主體的多層次資本市場體系，經過20多年的發展，已成為我國經濟發展的重要動力。隨著股票市場的發展，上市公司數量不斷增加，目前已達到2 500多家，其在經濟中的領導地位也不容忽視。股票市場是高風險市場，為了加強上市公司的風險防范意識，規范上市公司的經營管理活動，2008年以來財政部等五部委聯合了《企業內部控制基本規范》及其配套指引，作為上市公司建立內部控制體系的指導性文件框架。我國的內部控制體系是以風險評估為核心導向，其中包含風險識別、風險評估、風險防范和風險控制，并且風險評估是整個內控體系的關鍵。上市公司實施內部控制首先面臨的問題就是風險評估，這也是上市公司實施內部控制工作的切入點和起點。

風險評估是上市公司對篩選出的主要風險組織公司的管理層、各職能部門負責人以及業務骨干進行風險識別、系統分析，確定相應的風險應對策略；也是上市公司實施內部控制工作、構建內部控制體系的關鍵和基礎。這就要求上市公司在進行內部控制的風險評估時，既要識別、分析和關注阻礙實現內部控制目標的風險（純粹風險），更要善于發現對實現內部控制目標具有促進作用的風險（機會風險），結合公司經營管理狀況科學分析風險、制定切合公司經營管理實際的風險應對策略，達到分散、弱化以至化解風險的目標，實現上市公司整體價值的提升。

由于風險的不確定性以及風險評估過程復雜且不易操作，風險評估就成為上市公司內部控制實施成功與否的關鍵，如何進行風險評估就成為一個難點。本文結合上市公司實施內部控制的實踐，對風險評估操作過程中的難點進行探討，以期對上市公司的風險評估工作提供參考。

二、上市公司內部控制風險評估的操作解析

在實施、建立內部控制體系的工作實踐中，上市公司的風險評估應重點圍繞公司經營管理的主要環節進行，通常應將銷售、采購、生產和財務等經營管理活動的主要環節作為開展風險評估工作的重點和總綱，在重點和總綱的統領下，抓住各個環節的關鍵控制點，即實施內部控制工作過程中的風險點。尤為重要的是，在初始風險評估時，對風險環節和關鍵控制點的把握宜粗不宜細。若開始時對風險環節和關鍵控制點要求的過細、過于完美，風險評估工作可能會陷于繁瑣細微的事務性工作而難以進行下去，甚至導致上市公司風險評估工作的整體失敗。因此，進行風險評估時，首先需要建立上市公司內部控制風險評估工作的總體框架，確立風險評估工作的整體思路；其次，充實和完善風險評估內容：一方面結合內部控制工作的深入不斷補充、豐富，另一方面應隨著上市公司業務發展和外部環境的變化定期、持續改進、完善，為實施內部控制、構建內部控制體系工作創造有利的條件。

由于上市公司所處行業不同、發展階段及經營環境的差異，加之風險不易識別、量化，所以上市公司在進行內部控制風險評估時應特別注意與本公司經營管理活動的有機結合，切忌為了風險評估而進行評估的形式主義。具體進行風險評估時，主要從以下方面來進行：

（一）設定風險評估和風險控制目標的難點

進行風險評估前，上市公司應先設定風險評估和風險控制的目標，這是進行風險評估的必備條件，也是風險評估的標準。只有明確了風險評估和風險控制目標，才能有針對性、有標準的搜集、整理和取舍相關的風險信息和數據，才能對已顯現的和潛在的風險進行識別、篩選、整理和歸納。

風險評估和風險控制的目標設定，主要根據證監會的監管要求來進行。依據《企業內部控制基本規范》及配套指引的要求，設定風險評估目標通常從公司經營戰略、經營目標、報告目標、資產安全目標和經營合規目標等方面來考慮。首先，經營戰略比較宏觀，在風險評估中不宜定性操作和定量把握。由于大多數員工只是把經營戰略作為公司發展的美好愿景和長遠奮斗目標，只有公司的高層管理核心人員對其有比較深入的理解和領悟，因此，上市公司的經營戰略在風險評估目標中所占比例通常不能太大。其次，經營目標和報告目標是公司日常經營管理活動的指導，最容易被公司經營管理層和廣大員工理解和感知，也比較具體且易于量化和識別，因此，風險評估目標和風險控制目標多從這兩方面來考慮和提煉。最后，上市公司只要依法經營，按照規章制度和流程去運作和管理，即可保證經營合規目標和資產安全目標的實現，因而對上市公司風險評估和控制目標的設定，就轉化為對公司規章制度和運作流程風險控制目標和風險評估目標的設定，實務中更易把握和操作。

（二）收集風險信息的難點和途徑

風險信息收集的主要是與上市公司相關的內外部風險信息。風險信息收集的質量關系到整個風險評估的結果。

從收集影響公司經營外圍環境信息的實踐來看，上市公司通常對這方面的信息比較困惑：一方面是公司經營外部環境信息的涵蓋范圍比較廣，不易確定應由哪些部門牽頭組織和具體實施，并且各部門在收集信息過程中很難把握相關信息對公司經營管理有無影響及影響大小，結果導致收集信息時無所適從，最終難以確定應該收集哪些信息。另一方面，由于日常經營活動多限于具體的事務性工作，上市公司很難準確把握和獲得與經營管理活動相匹配的外部環境信息。在收集風險信息時，上市公司應注重外部經營環境與實際經營管理工作的結合、與內部控制關鍵點和風險點的結合，并在這些交集中尋找切入點和信息點。

上市公司收集影響經營的內部環境信息時，應主要考慮經營戰略、經營目標、報告目標、資產安全目標和經營合規目標，并結合各部門的工作職責、制度和工作流程、業務流程，立足于日常的經營管理工作，考慮可能影響經營管理目標實現的內部信息和條件，來收集相關的內部風險信息。

（三）識別經營風險

風險識別是風險評估的重要環節，識別風險更多的是憑借識別者的判斷能力、經驗積累和識別方法。風險識別是把收集到的風險信息通過對公司高層管理人員、中層管理骨干和基層業務骨干的問卷調查、測試、訪談等方式，經過比較、歸類、提煉、組合等方法，并充分考慮國家各部委對內部控制風險評估的具體要求來進行的。風險有多種表現形式，經營風險是風險識別的重點，主要包括核心風險、業務風險和工作風險。

核心風險的識別，主要應從公司的經營目標出發，圍繞戰略核心，從公司整體及其職能部門層面、經營管理現狀層面等方面進行綜合考慮，主要通過對公司高層管理人員的問卷調查、訪談等方式，整理出公司的核心風險，這是上市公司高層管理者最關注的風險。

業務風險的識別，主要應從銷售、采購、生產、財務等主要業務環節的風險入手，通過對制度、流程的穿行測試及中層管理骨干和基層業務骨干的問卷調查、測試，識別出最主要的業務風險環節和關鍵控制點，然后再通過穿行測試來檢驗主要風險環節和關鍵控制點的收集和查找是否全面，并對測試過程中發現疏漏的風險點和控制點予以補充和完善。

工作風險的識別，主要是通過適用性測試來進行，在適用性測試過程中，識別出主要的風險環節和關鍵控制點，并予以補充和完善。

從上市公司識別經營風險的實踐來看，主板上市公司至少應梳理出100種以上的風險，才可能比較全面的涵蓋上市公司面臨的風險。

（四）進行風險評估

風險評估是對上市公司經營管理活動中可能存在的各種風險進行分析和估量，其結果關系到風險應對策略的制定。由于風險的錯綜復雜，要比較客觀和全面地反映和衡量上市公司的整體風險，需將各種風險評估方法綜合使用。

具體來講，風險評估主要通過多次循環問卷調查的形式開展，并且應經過至少兩輪多次的循環驗證，同時要求時間間隔在兩周以上，最終使管理層對風險的認知和理解逐步趨于一致。在風險評估過程中，上市公司應根據自身的經營特點，考慮公司所處的發展階段，采用定性與定量相結合的方法構建其風險評估體系。

1.確定風險評估的范圍及參與主體

由于風險存在于上市公司經營管理活動的各個環節，因而，上市公司風險評估應涵蓋其主要的生產經營管理活動，各主要職能部門和業務部門就成為參與主體，上市公司高層管理人員、職能部門負責人、主要業務部門負責人和業務骨干人員是主要參與者。

2.確定風險評估的評分標準

風險評估的評分標準是風險評估過程中定性與定量方法銜接的紐帶和橋梁，也是風險評估的難點和重點。實務中，風險評估指標體系應結合上市公司的實際情況來設定。具體來講，主要應結合公司的發展階段、業務特點、風險發生頻率及對公司經營管理活動的影響程度等來確定。

通常，把風險發生的可能性和影響程度劃分為5個等級。表1和表2分別從定性、定量兩方面描述了風險發生的可能性及影響程度，并把風險的定性標準定量化，從而實現了定性標準與定量標準的銜接和轉換。從表中可以看出，風險的影響程度隨著風險發生概率的逐級加大也越來越嚴重。

3.調查問卷的設計

問卷調查是比較常用和有效的風險評估方法之一。科學、合理的問卷設計關系到風險評估的準確度，調查問卷設計一般從風險發生的可能性和風險影響程度兩個維度去考慮和設計，一般需要設計200―500個風險事項，力求全面客觀地反映上市公司當前面臨的主要風險。

4.問卷調查數據的整理

問卷調查結束后，需要對問卷調查的結果進行分類、匯總及處理。理論上，風險評估至少應進行兩次問卷調查，要求參與問卷調查的人員基本不變，并且兩次問卷調查的時間間隔至少在兩周以上，然后再測算兩次問卷調查統計結果的離散度。若離散度較低（通常以標準差小于1來認定），則取兩次調查問卷的平均值作為問卷調查結果；若離散度較高（通常以標準差大于等于1來認定）時，則公司管理層應組織參與風險評估的人員進行探討、溝通與交流，努力使大家對風險的認識趨于一致，然后再進行第三次問卷調查，并將這次問卷調查結果作為最終問卷調查結果。

需要注意的是，實務中，在統計問卷時，需將調查問卷分成高層領導、中層干部和基層骨干三個小組，分別進行統計匯總取各組的平均值。對于公司戰略層面等較為宏觀的風險，運用三組平均值時適當加大高層領導小組數據的權重；對于管理職能類、重要業務類風險，運用三組平均值時適當加大中層干部小組數據的權重；對于具體業務、操作類風險，運用三組平均值時適當加大基層骨干小組數據的權重。權重的調整幅度需要通過開會溝通、討論，由參與風險評估的主要人員共同做出決定。

5.繪制風險地圖

為了比較直觀地反映風險分類，根據數據統計匯總調整結果，從風險發生的可能性及影響程度兩個維度繪制風險地圖，如圖1所示。處于黑色區域的為重大風險，處在白色區域的為重要風險，處在灰色區域的為一般風險。通過圖1，可以直觀地識別出重大風險、重要風險和一般風險。需要注意的是，風險的認定就高不就低，即處在重大風險和重要風險臨界點上的風險，劃為重大風險，處在重要風險和一般風險臨界點上的風險，劃為重要風險，充分體現風險評估中風險就高不就低的原則和理念。

風險往往是相互交織、相互轉化的，上市公司不但要進行風險評估，還需要進行風險管理。通常，對重大風險應予以高度關注，還應制定出重大風險預案，確保風險被有效管理，當重大風險發生時，立即啟動預案，應對風險，降低損失。對重要風險要加強監控，防止其進一步發展為重大風險。對一般風險要予以適度關注。

第7篇：采購內部控制的主要風險點范文

1.基于內部控制的集團企業全面風險管理的基本內涵內部控制與風險管理是基于內部控制的集團企業全面風險管理體系對立統一的兩面，其基本內涵為：以集團企業戰略目標為指導，將風險管理和內部控制納入統一的一體化管理框架。首先，以風險為導向，在“全面風險管理”層次上對內部控制進行思考與定位，在全面評估風險的基礎上，分析、設計、構建“風險導向的內部控制體系”；然后，以內部控制為平臺，通過內部控制活動，在集團企業的風險偏好范圍內管控風險，最終將風險控制在可接受的范圍內，為企業戰略目標的實現提供合理保證。總之，基于內部控制的集團企業全面風險管理，通過內部控制為全面風險管理找到著力點和切入點，能夠有效避免風險管理和內部控制的分離，防止風險管理流于形式，以促進全面風險管理機制在集團企業內部有效運轉。

2.基于內部控制的集團企業全面風險管理的主要內容根據coso《企業風險管理－整合框架》[2]，財政部等五部委《企業內部控制基本規范》的基本要求，國資委《中央企業全面風險管理指引》的基本內容為依據，參考《上海證卷交易所上市公司內部控制指引》、香港聯交所的《公司管治常規法則》、英美等國家的管治守的基本要求，立足集團企業的實際情況，以集團企業戰略目標為指引，構建以內部控制為基礎的全面風險管理的體系，主要內容包括：全面風險管理目標、風險導向的內部控制體系、風險管控、風險管理考評、風險管理報告與風險預警六個方面。在實際操作過程中，基于內部控制的集團企業全面風險管理的主要內容一般通過編制《基于內部控制的集團企業全面風險管理手冊》來體現，以其作為集團企業開展全面風險管理工作的操作性文件。

二、基于內部控制的集團企業全面風險管理的運行機制

以內部控制為基礎的全面風險管理的運行機制主要包括設立全面風險管理目標、構建風險導向的內部控制體系、實施風險管控、開展全面風險管理考評、明確全面風險管理預警體系和建立全面風險管理報告體系等。

1.設立全面風險管理目標基于內部控制的集團企業全面風險管理應該始終圍繞支持集團企業戰略目標的實現而開展工作，使風險管控與集團企業戰略目標相適應，并將風險控制在集團企業可承受的范圍內，為確保集團企業戰略目標的實現提供合理保障，以實現“最大限度的企業價值”。因此，需要在集團企業戰略目標的指引下，設立全面風險管理目標。第一，進行集團企業環境分析。采用“SWOT”和“PEST”分析法，全面分析集團企業所處的內外部環境，并形成環境分析報告。第二，制定集團企業風險管理方針。基于環境分析報告，制定集團企業對各種重大風險和重要風險領域的風險管理方針。第三，設定集團企業戰略目標。為了保證集團企業建立科學、合理戰略目標，將集團企業戰略與風險管理有機結合起來，將風險偏好與集團企業戰略相聯系。在集團企業戰略目標設定過程中，需要充分考量各種風險的影響，使集團企業戰略目標與風險管理方針相吻合，保證集團企業戰略目標與其風險偏好相一致，確保集團企業發展戰略、風險管理方針與價值創造相一致。因此，在制定集團企業戰略時，一方面使集團企業發展戰略符合既定的風險管理方針，另一方面，通過風險管理為促進集團企業戰略目標的實現提供合理保障。第四，制定集團企業運營目標。以集團企業風險管理方針和戰略目標為依據，設定運營目標，據此確定三年或五年滾動經營計劃。在運營目標的設定和經營計劃編制過程中，要充分考量各種運營風險，并使運營目標、經營計劃與風險管理方針和戰略目標相容。第五，建立集團企業全面風險管理目標體系。根據運營目標，制定集團企業全面風險管理總目標以及分子公司、各部門和業務單位的具體風險管理目標，形成集團企業全面風險管理目標體系。

2.構建風險導向的內部控制體系內部控制要以風險為導向，分析、設計和實施內部控制活動，旨在全面降低和管控集團企業風險。（1）開展內部控制現狀診斷評價以集團企業全面風險管理目標體系為指導，以《企業內部控制基本規范》、《企業內部控制應用指引》為依據，以“行業最佳實踐”為標桿，從“內部環境、風險管理、控制活動、信息與溝通、內部監督”五個方面，采用問卷調查、訪談、制度審核、流程測試等方法，了解集團企業業務運作、經營管理現狀，分析評估內部控制事項是否符合相關的內部控制要求，是否符合集團企業制定的全面風險管理方針，診斷內控薄弱環節，評價內控有效性[3]。通過以上診斷以及評價，揭示風險管理的主要問題，確定基于內部控制的集團企業全面風險管理體系建設的重點。例如，2013年，JZ能源集團按照上述診斷評價方法，對“投資、融資、擔保、銷售、采購”五個重要業務環節，共設置了446個檢查點，全面剖析經營管理及內部控制現狀，查找不足。通過內部控制現狀診斷評價發現五個重要業務環節的總體完善度為64.57%，屬于中等；檢查點的執行有效率為85.20%，結果良好；制度的總體合規率為75.78%，屬于中等。由此可知，其內部控制還存在缺陷，需要強化內部控制體系建設和提升內部控制執行力。（2）建立風險識別分類框架結合集團企業生產、經營與管理現狀、實際業務板塊特點、外部環境以及內部條件，運用訪談、研討、資料研究、發放調查問卷、審閱所有重要的管理制度以及制度與流程相結合的形式，建立風險識別分類框架，規范風險描述語言，統一對風險的認識和理解，并明確各類風險的責任管理部門。例如，2013年JZ能源集團按照上述方法，從“戰略、法律、運營、財務、市場、投資”方面建立了風險識別分類框架，見圖1。（3）進行風險辨識根據風險識別分類框架，對各類風險進行分類細化，辨識出集團企業需要關注的風險事件，形成集團企業風險事件庫，找出各風險的關鍵影響因素，揭示風險發生的內外部原因、暴露狀態以及潛在的不利后果，明確各項風險管控的關鍵責任部門與個人，對接集團企業的有關業務流程、管理流程和制度，確定關鍵業務流程、管理流程的風險事項。例如，JZ能源集團企業根據上述風險辨識流程與方法，初步建立了包含137條風險事件的風險事件庫，形成了集團企業總部層面風險庫，涵蓋了集團企業內外部的主要風險表現。總部層面風險庫的一級風險目錄6個，分別為“戰略風險、投資風險、市場風險、財務風險、運營風險、法律風險”。一級風險目錄下又分為39個二級風險子類別，其中戰略類風險8個，風險事件18條；市場類風險7個，事件36條；財務類風險7個，風險事件21條；運營類風險8個；風險事件20條，法律類風險5個，風險事件33條；投資類風險3個，風險事件9條。該集團企業風險整體分類框架見圖1。（4）進行風險評估針對辨識出的風險事件，從風險發生的可能性和風險發生對戰略目標、經營管理目標的影響程度兩個緯度進行風險評估，確定其風險水平，找出面臨的重大風險、重要風險、中等風險和低風險，確定各項風險的重要性排序和管控重點，繪制風險坐標圖。據此，JZ能源集團通過風險評估，明確了2013年的重大風險和重要風險—9個重大風險和3個重要風險。9個重大風險分別為：戰略類—資源獲取風險、分子公司管控風險、產業政策風險；市場類—銷售管理風險、采購風險；財務類—融資風險、擔保風險；運營類—安全管理風險；投資類—產（股）權類投資風險。3個重要風險分別為：投資類—固定資產投資風險；運營類—環境保護風險、信息系統風險。JZ能源集團企業2013年重大、重要風險見圖2。（5）制定風險管控策略根據風險評估結果，制定集團企業總部層面的風險管控策略，明確每一類（項）重大風險的風險偏好、風險承受度。一般來說，重大風險的風險偏好是集團企業愿意承擔風險的重大決策，應該由董事會決定。風險承受度就是集團企業風險偏好的邊界，即能夠承擔的風險水平。例如，2013年SH能源集團確定：安全管理風險偏好為：不能發生鐵路顛覆、電力事故、瓦斯爆炸，港口淤泥等任何安全事故，確保安全運行；安全管理風險的風險承受度為：力爭達到原煤生產百萬噸零死亡率的目標，力爭安全生產創出歷史最好水平。（6）構建風險導向的內部控制環境風險導向的控制環境包括全面風險管理組織體系、全面風險管理信息系統、全面風險管理文化和全面風險管理制度體系。通過建立完善的風險導向的內部控制環境，塑造全面風險管理文化，進而培養員工的全面風險意識，形成人崗匹配、授權有度、運行有序、監控到位的內控環境。第一，建立權責清晰的全面風險管理組織體系。全面風險管理組織體系是有效實施全面風險管理的組織保障。主要包括規范的法人治理結構、風險管理職能部門、內部審計部門和法律事務部門以及其他職能部門、業務單位的風險管理組織領導機構及其職責。通過合理的組織結構設計和職能安排，將全面風險管理責任落實到每個部門和崗位，明確界定每個部門和崗位的職責并進行有效地傳達溝通。JZ能源集團的全面風險管理組織體系見圖3。第二，搭建暢通的全面風險管理信息系統。基于內部控制的集團企業全面風險管理體系必須設置全面風險管理信息系統，以便建立起順暢的內外部風險信息傳遞與溝通機制，將風險管理相關的所有資訊集成到全面風險管理信息系統中，使相關個人、部門能及時獲得履行風險管理相關職責所需的資訊。主要包括風險數據信息的采集、存儲、加工、統計、評估、圖譜分析、監控、預警、應對等功能。第三，塑造先進的全面風險管理文化。全面風險管理文化是風險管理的世界觀與方法論，是基于內部控制的集團企業全面風險管理體系的靈魂。因此，必須以塑造先進的全面風險管理文化為先導。把全面風險管理文化融入企業文化建設和全面風險管理的全過程，建立具有風險意識的企業文化，統一風險語言，培育員工的風險意識，營造風險管理氛圍，使風險管理理念貫穿于從戰略目標設定到日常運營的各項活動中，固化在員工的行為之中。第四，建立執行有力的風險管理制度體系。鼓勵大家藐視各種規章制度是安然破產倒閉的重要原因之一。有效的全面風險管控必須建立完善的執行有力的制度體系，以此來規范每一個員工的行為。全面風險管理制度體系就是要在集團企業的各項管理制度中嵌入風險管控的制度條文。這些制度主要包括公司治理、戰略計劃、技術管理、財務管理、采購管理、物資管理、人力資源、法律管理、安全環保、行政管理、銷售管理、內部控制、信息技術和工程管理等制度。

3.實施風險管控主要從以下幾個方面實施風險管控：一是梳理集團企業的重要業務流程、管理流程，進行流程描述，分析流程所涉及的主要風險點和潛在的隱患，同時確定各種風險涉及的責任部門與崗位。例如JZ能源集團風險管理涉及的責任部門，見圖4。二是確定重要業務流程、管理流程的關鍵控制點，針對關鍵控制點，明確風險控制工具、控制方法、控制程序與措施、控制活動及其檢驗方法。三是編制《集團企業崗位風險管控手冊》，明確每個崗位的風險管理職責和權限等，促進全面風險管理機制在集團企業內部得到有效實施，切實強化日常風險管理，使全面風險管理真正落到實處。

4.開展全面風險管理考評人們只會做你考評的事情，不會做你提倡的事情。要有效地執行基于內部控制的集團企業全面風險管理體系，需要制定《集團全面風險管理工作考評辦法》，明確考評的組織機構、范圍對象、內容標準、方法程序，對集團企業各個層面的重大和重要風險事項及管理流程、業務流程的管控效果進行考評，評價其有效性[5]。如果考評結果不滿足所確定的全面風險管理目標，要按照PDCA循環及時檢討內部控制體系，分析風險管控缺陷，并對全面風險管理體系加以完善和改進，開始新一輪以內部控制為基礎的全面風險管理循環，還需要考察全面風險管理目標的合理性，以不斷完善集團企業全面風險管理。

5.建立全面風險管理預警體系要有效地執行基于內部控制的集團企業全面風險管理體系，要制定《集團風險監控預警工作指引》，建立風險監控預警指標體系，制定風險監控預警應對策略，利用全面風險管理信息系統，通過連續觀測各項預警指標，將數據導入預警模型，計算其綜合風險分值，并獲取相應的預警信號。按照一定的風險轉換矩陣，綜合判斷各種風險預警等級，分別給出正常、藍色、橙色和紅色預警信號。例如，2013年JZ能源集團全面風險監控預警指標體系，具體如表1所示。

6.建立全面風險管理報告體系全面風險管理報告體系是集團企業利益相關者之間實現風險信息充分溝通的有效保障，健全的基于內部控制的集團企業全面風險管理體系，必須建立規范的風險管理報告體系，全面風險管理報告體系的核心就是要根據利益相關者的信息需求，建立滿足風險管理目標要求的風險管理工作報告機制，包括風險管理工作匯報的內容、形式及程序、報告負責人、報告周期、覆蓋范圍、報告內容、形式、程序及報告分送名單等。全面風險管理報告體系不僅包括風險管理流程中應形成的各種類型的風險管理報告及其內容要求，還要建立這些報告如何在集團企業利益相關者之間、風險管理各職能機構之間傳遞的風險管理報告機制。

第8篇：采購內部控制的主要風險點范文

一、企業內部控制工作開展過程中出現的問題

（一）企業對內部控制制度的認識不夠全面

很多企業管理層對內控重要性的認識不夠，缺乏對企業內部控制制度的全面認識，進而忽視企業內部控制體系的建立。由于有些企業管理層片面的認為內控工作是企業財務管理部門的職責范圍，使他們對企業內部各職能部門之間的協作配合不夠重視，致使內控體系出現漏洞[1]。

（二）內部控制與信息技術未達到有效的融合

企業信息化建設是企業經營管理中的重要手段，不僅提高了工作效率，而且還能有效避免因主觀原因導致的差錯或者風險，但由于信息化技術的快速發展，企業的信息化建設又都參差不齊，到目前為止，還沒有標準的在信息化技術背景下對于內部控制制度的建立與實施的體系，因此在具體的運用中很多企業為了更快捷處理相關業務或集成相關信息，而忽視了風險的控制點；信息化技術作為一種提高工作效率的工具，也以可通過設置不同的權限、設置不同的控制節點，而避免因為人的主觀因素而導致的風險，但是在運營中，因為缺乏對內控制度的把握、或對信息技術的運用也在摸索中，因此，對于內部控制制度的建立、實施與企業信息化的建設、發展還未達到有效的融合。

（三）企業內部控制制度僵化未能有效實施

自在上市公司實施內部控制審計制度以來，上市公司也基本建立了內部控制制度，但由于企業領導層的重視力度不夠，或專業人才的缺乏，或制度本身就只是一個標準化的模板，無個性化的設置，或沒有持續性，沒有變更機制，在實際運用中就難以達到規避企業經營風險的效果，無法切實保障企業的長遠發展[2]。

（四）企業內部控制的管理人員職業水平不夠

企業的內部控制滲透在各個業務模塊、各個業務單元，因此企業內控領導小組成員既要熟悉業務流程，更應該了解各業務模塊的風險管控以及內部控制設計與評價方法等，但實際上，往往懂業務的不懂管控；有管控理念的人又不懂業務，也無法合理設計管控措施。企業往往缺乏這種綜合型的管理人才，在實際執行中，可能會借助于專業的咨詢公司，而咨詢公司又往往缺乏對企業業務的充分了解，因此內部控制制度在實際執行中由于專業水平的不夠，或者對企業業務不夠熟悉，可能會導致人力、財力的浪費，甚至會使內部控制體系機制難以有效運轉，從而無法引導企業的健康發展。

二、企業內部控制工作開展的思路

（一）建立符合企業自身發展的內控體系

根據內部控制體系建立的18項《應用指引》、1項《評價指引》、1項《審計指引》，在專門的部門組織下，公司領導層的大力支持下，全面推行符合企業自身發展的內部控制體系。內部控制體系建設不是一蹴而就的模式照搬，而是一個集風險評估、控制活動、信息與溝通、以及內部監督的全方位、多層次、多角度以防范企業各種經營風險的一種系統化的管理手段，因此內部控制管理體系也是一個動態的、不斷完善符合企業自身特點的內部控制管理體系。

（二）全面推行、重點防范

內部控制管理體系貫穿于企業各個業務單元，在全面覆蓋的原則下，更應該關注重點防范領域及重要環節。根據不同的業務活動，以及相同業務活動不同的風險控制點，采用風險評估的手段，識別不同級別的風險，權衡成本效益原則，重點設計關鍵控制點并制定相應的控制措施。

（三）借助于信息化的技術管理手段

由于企業規模的擴大，信息化技術在企業運營過程運用的越來越廣泛，不僅存于最初的財務核算方面，越來越多的被運用于人力資源、企業文化經、質量管理、采購管理、生產管理、財務管理等多個業務模塊兒，因此在遵循內部控制管理體系的基本規范的基礎上，要大膽的解放思想，在新的業務運行管理模式下，探索風險控制與提高工作效率之間的平衡點，達到風險控制與信息技術的融合。

（四）建立內部監督、評價考核制度

任何制度的執行都離不開監督、考核機制，由于人的客觀利我性，沒有監督、考核機制作為保障，內部控制的執行力則將會大打折扣，因此，除了建立完善的業務活動的內部控制的管理手段外，則還要結合內部監督的評價、考核機制來予以保障。企業管理層要對企業內控工作進行階段性的監督和考核，并對內控工作的具體情況和控制效果進行評估，為企業階段性調整、完善內部控制提供有效、及時的依據[3]。另外也可能借助于外部機構的內控審計，更為客觀地反映內部控制在企業運營過程的風險保障程度。

三、解決企業內部控制中問題的有效對策

（一）全面認識內部控制的重要性以及基本規范

企業內部控制組織管理部門首先要在公司領導層上對建立內部控制制度的必要性取得統一認識，得到一致支持；此外要加強員工對內部控制制度的認識，保障內部控制措施得以落地、執行。具體來講：第一，企業管理層要為企業員工樹立正確的內部控制觀念；第二，要加大內控觀念的普及力度，促進企業各部門之間進行協作配合[4]。當然在這過程中，可通過多種方式以達到全員對內控制度的基本認識：文件形式、公告形式、會議形式、以及內部刊物、培訓學習等方式，通過多層次、多角度、分部門、分業務塊進行講解，以取得大家對內控實施的支持。

（二）逐步建立系統的、符合企業自身發展的內部控制體系

企業內部控制制度的建立不是一場，它是在對企業內、外部環境作充分認識的基礎上，分業務塊兒詳細評估各業務單元的風險節點，并分層、分業務塊兒，再整合的一個不斷完善和發展的一個動態管理過程；并根據建立內部控制的五大基本原則，制定符合企業自身特點的內部控制管理規范。在具體建立過程中，首先要對現行的各項管理制度進行梳理、審查。內控制度的建立是將企業本身就有的相關規章、制度進行整合、完善，使其與時俱進，符合時展對企業的要求。同時，企業要建立有效的獎懲機制，對于那些內控工作完成較好的部門和個人，要給予一定的物質和精神獎勵，反之則進行處罰。

（三）借助于企業信息化體系建設融合內控風險管控

內部控制作為企業經營風險管控的一種工具，在企業信息化的背景下必然要借助于信息化技術的發展，在風險管控與提高工作效率間進行權衡。通過設置相應的權限管理，信息化的流程管控，既能防范風險，而且還能達到事半功倍的效果；當然在信息化建設中，信息資源的安全性也成為內控體系控制的一個重要方面：要想保證企業的信息資源的安全性，就要完善企業信息化管理體系。對于一些較為重要的財務數據，企業內部財務部門要建立企業財務數據信息管理系統，通過企業單獨子系統的建立，不僅可以有效保證數據信息的安全性，同時還能確保信息收集、整合的準確性。

（四）事前的風險預測、事中的日常管控與評價缺一不可

企業要想在市場競爭中長久的生存下去，必須建立風險評估機制，預測經營事項的主要風險，并根據重要程度、發生概率等區別風險級別，并建立風險預警機制，以規避企業經營管理過程中的風險。在項目開展前，進行投資風險評估；在項目開展過程中，加強對項目實施過程的監督，重點關注主要風險，根據風險級別可采用定期、或不定期的匯報制度；對于重大項目，加強項目的第三方的審計力度，對內部控制的管控進行評價，從而實現規避企業經營風險的目的。

（五）建設一支內部控制工作素養強的人才隊伍

企業管理層應該結合企業發展需要，從內部員工中選拔綜合業務能力強的工作人員，組建內部控制管理隊伍，組織建立、實施內部控制管理體系，此外還可借助于外部咨詢公司的專業水平對公司的內控建立與實施進行現場指導。

第9篇：采購內部控制的主要風險點范文

關鍵詞：存貨內控;風險導向;關鍵控制點;職責分離

    存貨是指企業在正常生產經營過程中持有以備出售的產成品或商品,或者為了出售仍然處在生產過程中的在產品,以及將在生產過程或提供勞務過程中耗用的材料、物料等。存貨屬于企業的流動資產,具體來講,包括原材料、在產品、產成品、半成品、商品及包裝物、低值易耗品等。

    存貨是企業流動資產重要組成部分之一,存貨數量龐大,種類繁多,存放地點不一,計價方法較多,容易產生舞弊行為,為了確保資產的安全和使用效率,這就要求企業必須加強對存貨的管理,建立存貨管理的崗位責任制,特別是要建立和完善企業存貨的內部控制制度,對存貨的關鍵環節進行控制。

    一、存貨內控現狀

    (一)企業內部控制制度不健全

    存貨實物控制存在缺陷,存貨管理制度也存在缺陷,哪里出問題,哪里補,對存貨盤點制度,感覺有問題就盤,沒問題就不盤,沒有形成制度化,崗位職責不清晰,只注重存貨的購買環節控制,對其他環節往往忽視,造成大量的浪費。很多企業在采購環節,往往由一個人完成。采購價格,只有采購員一人掌握,增加了營私舞弊的可能性。出庫隨意,接觸存貨人員授權不明。

    (二)內部控制觀念不強

    內部會計控制已在企業實行,有的企業管理者仍然認為內部控制可有可無,不能帶來直接的經濟效益,反而增加崗位,增加成本,抓好管理制度就可以了,有了內控還增加了管理的難度,管理者的這些認識,直接導致整個企業對內控重視不夠,員工更不理解內控,認為有了內控增加工作的難度,變得不自由。也有的企業管理者認識到了內控的重要性,但執行不力,形同虛設。

    (三)風險意識薄弱

    企業面對激烈的市場競爭,風險無處不在。企業應當收集相關信息,對風險進行評估,關注內外部主要風險因素,進行風險識別,對識別的風險采用定性與定量相結合的方法進行分析,經過分析后,采取進一步應對策略。企業缺乏風險意識,認為對存貨只要管住兩頭,哪里還會有風險,也不愿意花時間和精力去研究每個環節的風險。

    (四)整體框架體系有缺失

    內部控制的要素包括內部環境、風險評估、控制活動、信息與溝通、內部監督5大方面,企業在內控方面更多重視控制活動,內部環境、風險評估涉及較少,信息與溝通、內部監督更是缺少。存貨內控作為整個內控的一部分,同樣面臨這樣的情況,內部環境、風險評估不全面,設計出的存貨內控就會缺失,缺少信息與溝通、內部監督,會使存貨內控帶病工作,何來成效。

    二、改進整體設計理念

    (一)體現整個內部控制體系

    內部控制是由董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。這種目標包括:合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略。內控目標可通過內控要素實現,內控要素包括5個方面。存貨內控設計要融入整個體系,不可孤立。這樣才能使存貨內控運行良好,效果明顯,達到目的。

    (二)以風險導向為基點

    風險管理成為組織管理的關鍵所在。存貨的交易數量龐大,存貨項目的種類繁多,存貨計價方法多樣化,業務復雜,涉及環節較多,占資產比重大,存貨放置地點不同,實物控制不便。由于存貨的這些特點,增加了存貨管理中的風險。風險點就是企業日常經營的控制點。企業對存貨面臨的各種風險,收集相關信息,采用定量與定性相結合的方法,進行識別;對識別的風險采用科學的方法進行分析,確定主要風險點,風險點就是企業日常經營的控制點;對分析出的重點控制風險,結合企業的具體情況,確定應對策略。

    (三)充分考慮企業具體情況

    內部控制涉及范圍大,內容多,人員多,應充分考慮企業的具體情況,制定出切實可行的存貨內控制度。針對關鍵控制點可根據企業實際情況,設置相應崗位

,建立崗位責任制,確保不相容崗位相互分離、相互制約、相互監督。

    (四)理清關鍵控制點

    企業存貨涉及多個環節,多個部門,對存貨業務運用流程圖法,列表法等進行全面梳理,理清各個環節,找出關鍵控制點,與風險評估與應對相結合,設計出存貨內部控制。存貨關鍵控制點主要有采購,驗收,倉儲,發出,盤點。采購環節關鍵控制點主要有采購計劃,請購,確定供應商,訂立采購合同,供應過程管理。驗收環節關鍵控制點主要有驗收標準,驗收程序,驗收記錄。倉儲環節關鍵控制點主要有設立存放區域,保管方法,接觸存貨人員授權,建立臺賬,信息化系統。發出環節關鍵控制點主要有領用審批,消耗定額,銷售單,存貨計價。盤點環節關鍵控制點主要有盤點流程,盤點方法,盤點報告。

    三、具體設計措施

    (一)采購環節

    生產計劃部門可根據銷售預測、庫存情況,制訂采購計劃,經過審批后,嚴格執行。由存貨具體使用人提出申請,填制請購單,計劃內的采購,嚴格按照計劃進度由采購部執行,對于零星物資,經部門主管審批,財務部門同意后,由采購部直接執行,對于緊急需求可辦理特批手續執行。采購部門根據收到的請購單,編制訂購單,并連續編號。企業評估小組對供應商進行評估,評估時可從信譽、質量、價格、供貨能力、經營狀況進行,確定供應商名單,建立供應商信息庫,建立長期合作關系,爭取價格及付款方面的優惠,不可由采購部門、請購部門直接確定。對重大采購項目企業可采用公開招投標的形式進行。根據批準的訂購單,及時與符合條件的供應商簽訂符合國家法規的采購合同,對簽訂的重大采購合同,要組織技術、財務、法律相關人員共同參與評審。采購合同履行過程中,采取跟蹤制度,獲取供貨質量、價格、及時性、出現異議的解決信息,對供應商適時評估,完善供應商信息庫。

    (二)驗收環節

    存貨驗收是按照驗收標準,驗收程序進行。外購存貨首先檢查采購合同、收料單、供貨企業提供的材料證明、合格證、運單、提供通知單等原始單據與收到的貨物是否相符,其次,檢查實際交貨期與訂購單中的交貨日期是否一致,再者,對收到的貨物進行數量、技術規格復核和質量檢驗,最后,對于經驗收合格的貨物辦理入庫手續。對于不合格的貨物,應及時辦理退貨、換貨或索賠。驗收部門建立臺賬,做好驗收記錄。

    (三)倉儲環節

    設立倉儲區域,對接觸存貨人員授權,未經授權人員不得接觸存貨,建立存貨明細賬,根據入庫單、出庫單、退庫單分別登記供貨單位、領用單位、出入庫日期、出入庫數量、存放地點等祥細信息,按照存貨的儲存條件進行儲存,經常巡查存貨狀況,安裝攝像頭監管存貨,用erp系統對存貨實施適時管理。與財務部門、驗收部門、領用部門建立定期對賬制度。

    (四)發出環節

    存貨發出分兩種情況:一是生產領用,二是銷售出庫。

    對于生產領用,制訂消耗定額,按照定額和計劃實施雙重控制,生產部門根據生產需要填寫一式多聯的出庫單,由部門領導、生產部按照定額、計劃、庫存情況審批,經批準的出庫單交給倉儲部門,倉儲部門審核無誤后,嚴格按照出庫單上的內容發料,當面點清,領料人辦理簽字手續,將出庫單分別傳遞給生產,財務部門,登記臺賬,對于超出定額或計劃的領料,應經過更高級別領導特批,否則不預發料。

    對于銷售出庫,銷售部門根據銷售合同、訂貨單、銷售發票或賒銷審批單編制銷售通知單,銷售通知單由特別授權人員簽字審批,倉儲部門收到銷售通知單后,審核手續是否齊全,關注銷售的真實性,審核后按照銷售通知單內容填寫出庫單,發貨,當面點清,經辦人簽字,將出庫單分別傳遞給銷售部門,財務部門,登記臺賬。

    結合單位的實際情況,選擇符合單位情況的存貨發出計價方法。

    (五)盤點環節

    企業至少應當于每年年度終了開展全面的存貨清查。成立盤點小組,制定合理的存貨盤點計劃,確定合理的盤點流程,倉儲部門、技術部門、生產部門、財務部門、審計部門等共同參與,合理安排相關人員,使用科學的盤點方法,關注存貨的完整性,存貨的狀況,做好盤點記錄,編制盤點表,對賬實不符問題,查清原因,經