內部控制的最高目標是在控制和效率之間找到最佳平衡,支持公司高效平衡的運作。它不僅要求合規,還考察了《條例》的地位(是否完善,是否有配套的指引,實施過程是否完善),並在此基礎上開發相對完善的工具和方法(COSO框架)。企業要想健康長遠的發展,就要主動完善內部控制制度。
風險管理的最高目標是支持企業戰略和經營目標的實現,是實現企業使命和願景的中長期目標。企業面臨的風險壹般可分為七類,如市場風險、經營風險等。風險可能來自外部和內部,松懈的內部控制也可能導致欺詐風險。因此,風險管理的職能必須提升到高級管理層,必須建立獨立於業務部門的風險管理部門。
企業在合規的基礎上,通過完成日常經營目標,實現年度經營業績,支持公司整體戰略目標的實現,這是企業價值創造的全過程。
業務領域是風險和內控的第壹道防線,95%的風險都在流程運作中解決。
內控部、合規部和風險管理部是風險防控的第二道防線,負責內控方法論的建設和推廣,跨流程、跨領域高風險事項的管理,以及避免遺漏的監督檢查。
內部審計是風險防控的第三道防線,獨立評估,事後調查,對惡性事件的冷威懾。內部審計的檢查方式有很多種,其中穿透檢查會涉及整個業務流程。
理論上,內控、合規、風險管理更註重過程管理和前端管理,而內部審計更多的是對結果的監控。
內部控制、風險管理和內部審計的最終目的是促進企業組織實現管理目標或戰略目標。
從控制方式上看,內部控制是事前預防和控制,因為制度和流程是為管理而生,為防止企業管理出現問題和失誤而制定的;
風險管理主要是在過程中進行分析和評估,風險評估的基本內容也是內部控制和制度流程,所以經營過程中的風險屬於流程控制;即使事後分析風險,也是為了事情的控制;內部審計,就三者的關系而言,是事後的確認和評價。內部審計根據風險提示或結果,確認內部控制對應的節點(關鍵控制點),確認風險是否存在、是否產生損失、是否可以化解或轉移。內部審計離不開企業組織的運作。內部控制和風險管理需要從內部審計中獲取風險信息、風險判斷、評價結果以及實際或潛在的重大問題。
搜索國際註冊反欺詐師了解更多。